The “Worse Passwords Chart” of 2015

Here are the worse passwords of 2015, with the positions as in a real music chart. Looks like I’m a DJ …. 🙂

1. 123456 (Unchanged)
2. password (Unchanged)
3. 12345678 (Up 1)
4. qwerty (Up 1)
5. 12345 (Down 2)
6. 123456789 (Unchanged)
7. football (Up 3)
8. 1234 (Down 1)
9. 1234567 (Up 2)
10. baseball (Down 2)
11. welcome (New)
12. 1234567890 (New)
13. abc123 (Up 1)
14. 111111 (Up 1)
15. 1qaz2wsx (New)
16. dragon (Down 7)
17. master (Up 2)
18. monkey (Down 6)
19. letmein (Down 6)
20. login (New)
21. princess (New)
22. qwertyuiop (New)
23. solo (New)
24. passw0rd (New)
25. starwars (New)

Please note the introduction of starwars, Seems that the movie did its job 🙂

If you’re a sysadmin and sick of being a potential target due to your users, please consider my free project login.farm or the commercial project SecurePass.

Interview with HP on multi-cloud and login.farm

On October 29th I was interviewed by HP on multi-cloud during the 6th episode of “Two Protons and a Cloud“.

We went through how much cloud is being adopted in enterprises and what are the challenges. We explored what is multi-cloud and why enterprises are looking to multi-cloud and the advantages of embracing such architectures. Also covered security and my login.farm project to address identity management across multiple and hybrid clouds. Enjoy the video!

Extended attributes best practices

After the release of the NSS plugin for SecurePass and my article on Alessio Treglia’s blog, I received a lot of queries on what are the attributes that are considered as “reserved”.

Well, there are not reserved attributes written on a stone in SecurePass Beta, but the following attributes names have been used in the NSS plugin:

  • posixuid → UID of the user
  • posixgid → GID of the user
  • posixhomedir → Home directory
  • posixshell → Desired shell
  • posixgecos → Gecos (defaults to username)

Also the keywords below have been used in some customers:

  • sshkey → SSH public key
  • bitcoin → Bitcoin address

The current development release of SecurePass tools contain a script to extract user’s ssh key and inject automatically into the ~/.ssh/authorized_keys

[fruitful_btn size=”mini” link=”https://beta.secure-pass.net/enroll/”%5DJoin SecurePass Beta[/fruitful_btn]

Security beyond firewalls, 1st OpenStack day Italy

The first edition of OpenStack day Italy was an amazing experience, with a perfect agenda that fits both for beginners and advanced users and greatly hosted by my friends at Enter. No doubt that OpenStack has become one of the most famous open source projects after Linux, but what I did not expect was to find so many people at the conference… thanks to everyone!

I was invited as an OpenStack expert but I wanted to do something slightly different – but typical me 🙂 – and I ranged security from bottom (network) to top (application), including APIs, for a complete cloud control. The final part of my speech was a real-life experience that spans the full security of OpenStack. I’m planning to share this very interesting example more in details in my next ebook (coming soon). Enjoy the slide deck below.

SPID, quanto sarà sicuro?

5 aspetti di sicurezza considerati nello schema di sviluppo del sistema pubblico dell’identità digitale italiana.

Il Sistema Pubblico di Identità Digitale italiano (SPID) è alle porte. Introdotto dalla legge 98/2013, il Decreto attuativo che sancirà l’introduzione e darà via al progetto pilota è previsto in Gazzetta Ufficiale per giugno 2014. La bozza del Decreto definisce uno schema del servizio, trasferendo nel progetto pilota successivo il dettaglio tecnico della realizzazione del sistema.
Con SPID, l’utente potrà disporre di un’identità digitale univoca per accedere ai portali dei fornitori di servizi, ossia le pubbliche amministrazioni e i privati che vorranno aderire al sistema su base volontaria, e poter effettuare delle operazioni online senza aprire un account separato.

I vantaggi per le PA sono notevoli, a partire dall’aggiornamento dei dati anagrafici disponibili alla riduzione degli archivi, ma anche per i cittadini, ad esempio la possibilità di svolgere alcune operazioni online.

SPID
Fonte: AgendaDigitale.eu

 

Non siamo soli: Identity provider e Attribute provider

Lo schema del decreto rimanda a una o più figure esterne il compito di riconoscere gli utenti, ossia verificare la corrispondenza, il livello delle credenziali e gli attributi associati all’identità come il nome azienda, email, consenso privacy, ecc. Dove gli Attribute provider saranno gli enti tenuti a certificare delle informazioni, quali il titolo di studio o l’abilitazione professionale, gli Identity provider possono essere soggetti accreditati al servizio. Affidare a una terza parte l’onere di garantire alla pubblica amministrazione che chi accede al sito è veramente chi dice di essere è un sistema consolidato a patto che l’ente terzo, oltre ad essere indipendente e neutrale, abbia la struttura tecnica necessaria per garantire il rispetto della privacy.

Le credenizali di sicurezza, quale livello?

Non è previsto un sistema di autenticazione univoco per tutti, sarà il gestore del servizio a scegliere i sistemi e a fare in modo che siano adeguati all’aggiornamento tecnologico. Il livello “base” è la password statica, una premessa che a fronte della relativa comodità d’uso non sembra considerare i rischi associati. I gestori potranno scegliere tra sistemi diversi ma dello stesso livello di sicurezza, ad esempio Smartcard alternative a SecureSim oppure One Time Password alternativa a sistemi basati su App. per quanto riguarda la smartcard, è da considerare l’esperienza della Regione Lombardia con le tessere sanitarie, dove la necessità dell’apposito lettore ha portato al successo parziale dell’operazione.

Condivisione minima, condivisione esplicita

SPID fornirà al servizio gestore solo le informazioni sul cittadino, o attributi, strettamente richiesti, e solo in presenza di un consenso esplicito da parte dell’utente. L’attivazione iniziale di ogni servizio digitale della PA parte allo sportello, è importante fare un passo avanti rispetto alla firma dei moduli e a pensare in sede di richiesta di un’intefaccia chiara ed intuitiva con esplicita indicazioni delle informazioni condivise.

Dove l’avevamo già visto? La burocrazia non si estingue con il digitale

L’uso del digitale come soluzione per snellire la comunicazione con l’ente pubblico non è una novità per l’Italia, si vedano ad esempio il progetto del codice fiscale, la carta d’identità elettronica, la carta dei servizi (sanitari), e l’ultima nata e più vicina nello spirito, la PEC. Per la PEC il piano di obblighi per la pubblica amministrazione sembrava aver portato un miglioramento, che non si poi concretizzato in un successo dell’operazioni per la mancata associazione di servizi e cambiamento della modalità di gestione.

Più sicurezza ma anche più servizi.

Ottime intenzioni di riduzione del furto d’identità e la volontà di ridurre il numero degli archivi, ma come su ogni portale privato, si accede per ottenere un servizio.

Alla base di queste operazioni, un investimento di risorse non supportato da un adeguato piano di attivazione dei servizi. Per le aziende o per i cittadini, il buon successo dell’operazione alla base dell’Agenda Digitale è che serva a qualcosa.

 

The 2013 and New Year’s resolutions

It’s time to sit down and think about the past year. This 2013 was definitively one of the busiest of my career, I’ve never traveled so much, mostly across Telcos, ISPs and biggest companies of Germany, UK and Switzerland. But it was as well one of the worse year in security, especially when it comes to passwords.

Crackers were able to get Adobe encrypted passwords for approximately 38 million active users.  Evernote had a security breach with stolen information from the user base, forcing them to reset all passwords. And more than 2 million accounts have been compromised from popular sites such as Google, Yahoo, Twitter, Facebook and LinkedIn after malware captured login credentials from users worldwide. This just to mention some highlights of this year in the consumer space.

Just imagine what happened o could potentially happen in a corporate environment and how many trade secrets, inventions and personal confidential information are at risk. Passwords are definitively over and cannot be considered a secure method to protect information in a cloud world. That’s why I consider 2014 the year of Cloud IAM (Identity & Access Management).

What am I doing to help?

  • When involved in designing OpenStack architectures for Canonical, I am very conscious in implementing security as it should be. Most of the world’s biggest hosting and housing providers are having issues on misuse of their infrastructures. The biggest issue is that they cannot control and enforce security in their guests and Gigabits, or even Terabits, are wasted in botnet and coordinated attacks.
  • I am driving SecurePass to be able to handle groups and access policies for web-based applications, as well as in RADIUS and LDAP. Moreover, during 2014 we will release a beta of the public APIs with the same security and segregation of the existing protocols. Through APIs, customers and partners can build lot of new applications, provisioning and more.
  • IBM labs with my cooperation created a SecurePass plugin for WebSphere applications. With this partnership, I helped protecting two of the largest financial companies across Europe, helping them to reduce costs while increasing protection and confidence in their extranets and applications accessed by 3rd parties. Public reference will be published in 2014 by both IBM and GARL.
  • I am cooperating with Google’s engineering team to enhance Ganeti, Google’s virtualisation platform that is used to manage Google’s internal corporate network. GARL’s SecureData is the result of our co-operation, bringing the reliability of Ganeti with the protection to SecurePass to help companies reducing the costs of their VMware installations. SecureData is available on Debian, Ubuntu, CentOS and RedHat Enterprise Linux (RHEL). Early 2014 it will be installed in the Labs of a popular italian telco.
  • GARL traditionally offered Vulnerability Assessment and Penetration Tests. These audits usually targets banks and ISPs, but there’s specific cases in which even medium-sized companies should need a security audits (ex: healthcare, factories, …). GARL introduced EasyAudit in its offering an “audit package” in cooperation with ISGroup,  headed by  the well-known and respected Francesco Ongaro, that mixes security with affordability. Myself and Francesco were the auditors that acted on behalf of Symantec when the well-known firm used to deliver VA and Penetration Tests in Europe, so who better than us can deliver these services?
  • As always, I’m trying to write papers to help people understand how security and quality are important during a project. Most of the time it’s not a waste of time, it could take less than what you expect (or other company are trying to sell you), but on the long run you will save time, money and … headaches!

Let me thank you publicily my wife Maria, she’s sustaining me on my decisions and she understands the massive amount of travel I am doing. A big thank you goes to Donatella, my right-hand woman and my invaluable assistant, as well as all my staff at GARL.

Wish you and your families a joyful 2014.

Giuseppe Paternò