Il blog del team MSDN Italia : Sicurezza

TechED NA: Disponibili i WhitePaper per Interoperabilità di Geneva Server con Novell Access Manager e Sun OpenSSO Enterprise

mfontana — Fri, 15 May 2009 10:32:00 GMT

Oggi credo sia una giornata importante per chi fa il mio lavoro : il Software Architect ! Chi lavora con aziende medio/grandi sa quanto sia difficile (da sempre) far coesistere componenti e architetture di infrastruttura sistemistica di vendor diversi...(read more)

VB 6.0 Service Pack 6 Cumulative Update

pietrobr — Wed, 06 May 2009 01:46:00 GMT

E’ stata rilasciata un update per Microsoft Visual Basic 6.0 Service Pack 6 (SP6) Runtime Extended Files che contiene la fix per la sicurezza 926857 per le applicazioni che usano il runtime di Visual Basic 6 e l’update di alcuni controlli Activex. Ricordiamo...(read more)

SQL Injection, la piaga continua...

mfontana — Sat, 28 Jun 2008 12:46:00 GMT

A differenza di altre tipologie di attacchi alle applicazioni il SQL Injection purtroppo è in costante e perenne crescita sia in termini di siti compromessi sia in nuove tecniche sempre più evolute.
Non a caso il buon Raffaele tempo fa scrisse un articolo su MSDN dal titolo : Una piaga chiamata SQL Injection.

Questo attacco alle applicazioni è particolarmente insidioso perchè da un lato può essere facilmente attuato da molti (almeno nelle sue forme più semplici, come ad esempio l'inserimento di statement SQL formattati nei campi di input delle applicazioni) dall'altro può causare parecchi danni ad interi sistemi. Più volte negli anni mi è capitato di iniziare a parlare di SQL Injection presso clienti e poco dopo (tipicamente dopo la primissima demo) di interrompere la riunione perchè i responsabili applicativi scioccati dall'estrema facilità con cui si può iniziare ad attaccare volevano verificare subito le loro applicazioni in produzione... e in alcuni casi ho visto letteralmente "spegnere" in fretta e furia interi siti perchè le protezioni di sicurezza venivano bypassate senza nessun problema. Spesso manco la riunione riuscivo a terminare :-)

Gli attacchi di tipo SQL Injection possono avvenire quando una applicazione usa l'input dell’utente per costruire delle dichiarazioni dinamiche di TSQL per accedere alla base dati indipendentemente dal linguaggio e dal database utilizzato. Una delle prime “leggende” da sfatare è che l’uso di Store Procedure possa vanificare questo attacco. Nulla di più falso!!! Dipende cosa si passa alle Store Procedure… se passiamo delle stringhe che contengono l'input non preventivamente verificato o, peggio ancora, la store procedure accetta una stringa e la esegue as-is come ad esempio:

exec(@stringa),

eccoci nuovamente nei guai !!!

Questi attacchi permettono ad eventuali hackers di eseguire comandi non controllati e in alcuni casi di compromettere i sistemi che ospitano le applicazioni. Il problema infatti si aggrava nel caso in cui la connessione verso il database avvenga con credenziali di amminstratore o comunque di tipo privilegiato.

Per contrastare questo fenomeno si possono adottare alcune semplici regole:

· Verificare l’input degli utenti tramite le Regular Expressions.

· Ricordarsi che i controlli formali lato client sono utili solo per motivi di performance (per evitare inutili round-trip) e non di sicurezza. I “veri” controlli di sicurezza dei dati di input avvengono sempre server-side!

· Utilizzare Store Procedure (correttamente) e query parametrizzate.

· Eseguire il codice SQL mediante un account con privilegi minimi, in modo tale da ridurre la possibilità di eventuali danni in caso i controlli dei dati di input falliscano (secondo le buone norme del Defense in Depth).

· Non esporre gli errori SQL generati dal database all'utente finale nel caso in cui si verifichi una eccezioe nel codice. In questo modo si evita di esporre dettagli non necessari che potrebbero invece risultare utili agli autori degli attacchi. (Database Probing).

In questi giorni Microsoft ha rilasciato due tool che possono dare una mano nell’affrontare la problematica (maggiori info nell’advisory): URLSCAN 3.0 BETA e il Microsoft Source Code Analyzer for SQL Injection (MSCASI) e relativo forum . Inoltre segnalo il tool Scrawlr sviluppato da HP e Microsoft.
IMPORTANTE : Questi tool però devono essere utilizzati ed automatizzati all’interno di un continuo processo di analisi di sicurezza dei propri siti/applicazioni perché solo in questo modo è possibile garantire un livello sicurezza accettabile nel tempo!

Infine, all’interno del nostro percorso formativo sulla sicurezza applicativa potete trovare del materiale per approfondire l’argomento SQL Injection.

--Mario

SQL Server & Security

pietrobr — Fri, 30 May 2008 09:00:52 GMT

Feliciano Intini, ci parla in questo video editoriale della sicurezza di SQL Server 2005 e in particolare di SQL Server 2008:

Riduzione della superficie di attacco
Encryption
Audit reingegnerizzato

Buona visione

Video: Editoriale sicurezza SQL Server 05-2008

-Pietro

Raffaele Rialdi su Threat Modeling al TechEd 2007

pietrobr — Wed, 13 Feb 2008 11:00:35 GMT

E' da pochi giorni disponibile il video intervista che Raffaele Rialdi ha rilasciato ai microfoni del TechEd 2007.

Durante il video Raffaele spiega perchè sia fondamentale pensare alla sicurezza applicativa fin dalle prime fasi di progettazione di un'applicazione e non sia più solo sufficiente affidarsi alle sicurezza di rete. In questo contesto Microsoft ha da anni adottato una "metodologia" conosciuta come Security Development LifeCycle (SDL) che ha il vantaggio di essere molto pratica e rivolta al fine di realizzare applicazioni sicure. Il cuore di questa "metodologia" è il Threat Modeling che Raffaele ci spiega possa essere ora utilizzato in modo più semplice che in passato per identificare i punti che in una applicazione possono essere passibili di attacco al fine di definirne delle contromisure. Durante il video Raffaele mostra anche l'uso di un tool (Threat Analysis and Modeling Tool) gratuito che rende utilizzabile questo modello anche se non si è degli esperti di sicurezza.

Il video è in inglese, ma potete contattare Raffaele tramite il suo blog per ogni chiarimento.

Windows Vista Security - Continua il trend positivo

mfontana — Fri, 25 Jan 2008 16:09:59 GMT

E' uscita la nuova versione del documento di analisi di Microsoft delle vulnerabilità di Windows Vista rispetto ad altri sistemi operativi (Microsoft e non).
Questo nuovo report mostra il trend positivo di Windows Vista confermando la validità degli investimenti fatti nell'implementazione del SDL - Security Development Lifecycle -.
Si confronti il numero di vulnerabilità rispetto ai tre momenti (90 giorni - 6 mesi - 1 anno)

Per maggiori informazioni leggete il post di Feliciano.

--Mario

TechED 2007: Developers e Sicurezza...

mfontana — Sun, 11 Nov 2007 22:15:26 GMT

Anche quest'anno l'edizione del TechED ha dato molto spazio agli aspetti di sicurezza applicativa. Tante le sessioni dedicate alla gestione all'Identity & Access Management (I&AM), alle novità introdotte nel framework 3.5, ad ASP.NET Security, Windows Vista e Windows Server 2008 oltre (non poteva mancare) ai processi con l' SDL (Security Development LifeCycle).
Facciamo un piccolo sunto per ogni argomento:

I&AM è un termine relativamente nuovo che ha significati diversi a seconda dell'interolcutore. Ad esempio per i Software Architect è sinonimo di Autenticazione e autorizzazione, per gli IT Pro di single password synchronization, meta-directory e Single sign on mentre per gli sviluppatori (oltre ad essere prevalentemente una seccatura) significa quali API o servizi usare per interfacciarsi con l'infrastruttura di autenticazione ed autorizzazione.In questo contesto i vari speaker sono tutti convenuti sull'importanza dei token claim-based e delle applicazioni claim-aware contestualizzando ADFS e Cardspace a seconda degli scenari architetturali : Intra Identity Domain, Cross Identity Domain e Internet.
Infine, una sessione dedicata agli Architetti per mostrare la strategia della nuova piattaforma Identity Lifecycle Management "2" e i passi per rendere le proprie applicazioni identity aware.

.NET 3.5. Viste le notizie della keynote e relative date di rilascio di Visual Studio 2008 e .NET Framework 3.5 non potevano mancare le sessioni dedicate agli aspetti di sicurezza presenti nel framework .NET 3.5.

Alcune sessioni erano dedicate alle sole novità mentre molte altre partivano dai concetti base come : WCF Security, CardSpace, ecc..

SDL e Threat Modeling. Il mitico Michael Howard quest'anno si è concentrato maggiormente sugli aspetti pratici del Threat Modeling riportando spesso l'esperienza all'interno dei team di sviluppo:

Per ulteriori informazioni riguardo le novità nel Threat Modeling vi rimando al mio post a riguardo.

Windows Vista e Windows Server 2008. Anche gli aspetti di sicurezza dei sistemi operativi sono stati oggetto di varie sessioni. Infatti è importante conoscere i miglioramenti di sicurezza nei sistemi per poterli sfruttare all'interno delle proprie applicazioni. La sessione più seguita è stata quella del grande Rafal Lukawiecki che con il suo inconfondibile stile old-english ha fatto una carellata delle princiapali novità...

Web Apps e ASP.NET. Tutte le sessioni sull'argomento partivano dal concetto del SDL (Security Development Lifecycle) rispetto al proprio SDLC (Software Development LifeCycle) per poi entrare nei dettagli tecnologici. Alcune sessioni si focalizzavano solo sugli aspetti tecnici mentre altre riportavano l'esperienza maturata da alcuni clienti nella realizzazione delle proprie applicazioni.. ma alla fine tutti devono prima o poi rispondere a:

Software Licensing and Protection Services (SLPS). Questo è un prodotto nuovo che permette chi sviluppa software (ISV e Enterprise Developers) di gestire la distribuzione delle prorpie soluzioni tramite un insieme di servizi orientati al licensing.

Tutte queste tematiche le approfondiremo nei mesi prossimi tramite il sito di sicurezza applicativa, i percorsi formativi sulla sicurezza oltre ovviamente al mio blog...

A presto...

Mario Fontana