Monthly Archives: June 2008

Viaggiare con un po’ di privacy in meno…

…ma con un po’ di paura in piu’.

Bruce Schneier direbbe: “questa storia non c’entra niente con la sicurezza, ma solo con il desiderio di controllo

UPDATE 8/7/08: molto piu’ prosaicamente, ha detto che Automatic Profiling is Useless!
***

Viaggiare negli Stati Uniti comporta gia’ qualche rischio, come essere rinchiusi 10 giorni in cella per un equivoco, ma se passera’ questo accordo fra Unione Europea e Stati Uniti, avremo qualche motivo in piu’ per preoccuparci.

Da Repubblica, l’accordo:

consentirà alle agenzie di sicurezza e alle forze dell’ordine di ottenere informazioni riservate – transazioni con la carta di credito, viaggi effettuati, abitudini su Internet – dei privati cittadini di entrambe le sponde dell’Atlantico

Per fortuna,

le controparti hanno concordato che le informazioni relative alla razza di appartenenza, la religione, le opinioni politiche, la “vita sessuale” e la salute non possano essere utilizzate dal governo ” a meno che le leggi non forniscano adeguate garanzie”

Naturalmente e’ il virgolettato che desta maggiori preoccupazioni, anche se, personalmente, mi chiedo se non venga gia’ fatto: andare negli Stati Uniti comporta gia’ la “donazione” di impronte digitali, firma, foto, scanner dell’iride e di qualsiasi altra informazione venga “raccontata” alla guardia di turno.

***

Un paio di anni fa ho assistito ad un talk di Joseph Kielman (US Dept. of Homeland Security). Ci ha raccontato come gli Stati Uniti stavano affrontando il problema della sicurezza interna, terrorismo in primis. Il succo della presentazione fu il seguente:

  • Focus = prevenzione (essenziale, ad esempio, in caso di terrorismo)
  • Prevenire = anticipare il pericolo = identificare i “potenziali” terroristi

Per identificare un potenziale pericolo e’ necessario

  • Creare un modello (profilo del terrorista) realistico con i dati a disposizione
  • Classificare ogni persona in base al modello: terrorista si’, terrorista no

Naturalmente, per avere un sistema sufficientemente accurato:

  • Il profilo del terrorista deve Includere piu’ informazioni possibili (nome, sesso, razza, eta’, religione, abitudini alimentari, etc.)
  • Devono essere raccolti dati su piu’ persone possibili, terroristi e non

A conclusione della presentazione (accolta un po’ freddamente e con un certo scetticismo), ci furono due domande interessanti, che qui riporto “a memoria”:

Domanda 1: “Volete costruire un modello raffinatissimo in cui, dato l’insieme di comportamenti, credenze, idee, etc, di una persona, voi ne deduciate la probabilita’ che quella persona possa compiere atti di terrorismo sul suolo Americano.
Avete pensato, invece, di modellare il comportamento, le scelte politiche ed economiche, etc, dell’America e dei suoi governanti per capire se fra queste ce ne sia qualcuna che possa spingere, piu’ di altre, dei perfetti sconosciuti a compiere atti di terrorismo?

Risposta: “No” (anche abbastanza infastidito dalla domanda)

Domanda 2: “Se questo sistema venisse implementato, anche i politici (deputati e senatori) si sottoporranno allo stesso trattamento?

Non ricordo se la domanda fosse questa o fosse legata all’utilizzo di un tale sistema per predire i politici e gli uomini d’affari che imbrogliano. In ogni caso la risposta fu:

Risposta: “Non credo che i politici si sottoporrebbero a un sistema come questo

***

Ma quello che la maggior parte di noi, una volta usciti dalla stanza, si chiesero fu: ma pensano che possa veramente funzionare?

Advertisements

Carta d’identita’ elettronica e impronte digitali

Dovrei parlare dell’ICANN di Parigi, ma non ne ho voglia. Piuttosto, vorrei concludere il racconto della mia esperienza con la CIE.

***
Lasciati alle spalle i problemi di gestione del software, soliti problemi all’italiana nell’uso di tecnologie “all’avanguardia” ;-), entro in cabina. Convenevoli di rito, documento (vecchio) sul tavolo, mi aggiusto il ciuffo, butto le spalle indietro modello figo-da-spiaggia, sguardo intelligente e via con la foto digitale. Tutto fila liscio fino a che l’impiegata mi chiede:

Lei: vuole lasciare le impronte digitali?
Io (incredulo): Cosa? E perche’?
Lei: Aumenta la sicurezza
Io: Arrivederci!!

Scioccato e impreparato, torno a casa con tante, troppe domande. Mi consulto con i miei e scopro che:

  • Tutti lasciano le impronte, “perche’ no?”. Naturalmente, nessuno nell’ufficio da’ spiegazioni dettagliate sul come e per cosa verranno usate.
  • Mia madre non sa se qualcuno le abbia chiesto se queste impronte le voleva lasciare (o se, semplicemente, le abbiano mostrato la macchinetta per il rilevamento)
  • Su Wikipedia ci sono tante informazioni sulla CIE, informazioni molto importanti che nessuno si preoccupa di comunicare, a voce o tramite opuscolo informativo, agli utenti.
  • Mi viene consegnata una busta chiusa che, a detta dell’impiegata, contiene i codici da comunicare in caso di smarrimento. Non l’ho ancora aperta, forse ho sbagliato.

In Inghilterra, uno dei cavalli di battaglia del movimento no2id (che si oppone all’introduzione della carta di identita’ elettronica) e’ il database centralizzato con i dati biometrici dei cittadini che solleva forti dubbi e molte domande le cui risposta, per ora, non sono soddisfacenti.

In Italia che si fa? Qualcosa di simile, ma all’italiana, sotto-tono, senza clamore ne’ pubblicita’. Certo, e’ facoltativo, ma senza un’informazione adeguata non c’e’ liberta’ di scelta e, infatti, i miei non sono a conoscenza dei rischi alla sicurezza legati alla carta d’identita’ elettronica:

  • La carta’ e’ sicura? E’ veramente impossibile estratte le impronte digitali da una carta?
  • L’ufficio dove si fa la CIE e’ sicuro? E i suoi sistemi? Cosa succederebbe se un malintenzionato entrasse e rubasse i computer? O inserisse un virus?
  • Perche’ il sabato il sistema non riesce piu’ a trasmettere dati alla centrale? PS: secondo me e’ un problema di memory overhead (e infatti riavviando funziona)
  • Il database dove vengono contenuti i dati e’ sicuro?
  • La trasmissione dei dati e’ sicura?

Le impronte digitali non si cambiano come il pin di una carta di credito: se qualcuno ne venisse in possesso, sarebbe un bel guaio. E dopo aver toccato con mano il sistema di registrazione, stoccaggio e trasmissione della CIE, qualche dubbio sulla sua sicurezza mi e’ venuto: odio le dietrologie, ma doversi affidare a un sistema “che si blocca il sabato mattina” non e’ molto rassicurante!

Carta d’identita’ elettronica – Prima Parte

Sabato scorso ero ad Ancona per rinnovare la carta d’identita’. A quanto pare, Ancona e’ una delle 10 citta’ italiane ad aver avviato la sperimentazione della carta d’identita’ elettronica e questo, naturalmente, mi incuriosiva parecchio (oltre a esserne, in fondo, un po’ fiero, per puro, e un po’ infantile, spirito campanilistico). Quello che segue e’ il racconto di un normale Sabato mattina negli uffici del Comune.

Di buon mattino (intorno alle 11!), raggiungo l’ufficio “carta d’identita’ elettronica” (non si chiama cosi’, ma rende l’idea) che non e’ nell’edificio del Comune, bensi’ nei garage (o cantine, a scelta) di un normale condominio. Un po’ come i gruppi rock di quartiere di una volta.

Mentre entro, mi chiedo se le misure di sicurezza adottate dall’ufficio (o dal condominio?) siano adeguate: dentro ci sono computer, macchinari e altri documenti sensibili, che succede se uno entra di nascosto? Si stampa la carta’ d’identita’? Ruba i dati di tanti cittadini?

In ogni caso, confido nella serieta’ del mio Comune, certo che una situazione del genere non capitera’ mai: mi metto in fila e aspetto il mio turno.

L’impiegato del Comune, molto gentilmente, mi informa che a volte il sistema si blocca (?) ma che in caso di emergenza si puo’ sempre fare la CI tradizionale (allora forse e’ l’ufficio CI e non CIE). Vabbe’, speriamo bene, al mio cartoncino ci tengo.

Il mio primo disappunto (in realta’ lo sapevo gia’, ma crea suspence) e’ scoprire che la CI elettronica costa 25€ e spiccioli, a fronte dei circa 5€ di quella tradizionale. Ok’ che c’e’ il chip, ok la foto a colori, ma a me sembra un po’ tanto. Vabbe’.

Aspetto il mio turno e, naturalmente, il sistema si blocca, ma e’ normale, “succede ogni Sabato“, come ci comunica l’impiegato. A volte e’ un problema di collegamento con Roma, ma di solito “basta chiudere tutto e riaprire, non c’e’ bisogno di riavviare le macchine”.

Ma il software chi l’ha fatto, mia nonna? Ah, no, forse quelli di Italia.it. Dopo 15 minuti (forse era meglio spegnere tutto e riavviare) il sistema riparte e di li’ a poco vengo chiamato nella cabina.

(…to be continued, domani trovero’ delle analogie con il movimento no2id qui in Inghilterra…)

Italian TLD and malicious web sites

(cross-post Experiment, Three)

Mapping the Mal Web, Revisited (McAfee, June 4).

A new security report from McAfee has just been released on the spread of malicious web sites among different TLDs. Very informative and detailed, the report integrates last year report. Some of the key findings:

  • .ro (Romania) and .ru (Russia) are the most risky European TLDs, i.e., the probability of finding a malicious web site is higher if surfing one of those TLDs.
  • Risk related to .biz (business) and .cn (China) is also increasing (if compared to last year)
  • .it (Italy) has worsened, but is still “a safe place”
  • .hk (Hong Kong) is the riskiest TLDs

The “Hong Kong” case, in particular, is worth a closer attention:

Bonnie Chun, an official [from the .hk] TLD, acknowledged that they had made some decisions that inadvertently encouraged the scammers:
1 . “We enhanced our domain registration online process thus making it more user-friendly. Instances include the capability for registering several domains at one time, auto-copying of administrative contact to technical contact and billing contact, etc. Phishers usually registered eight or more domains at one time.
2 . We offered great domain registration discounts, such as buy-one, get-two domains.
3 . Our overseas service partners promoted .hk domains in overseas markets.”

In a previous post I talked about the recent increased phishing activity in the .uk registry, which, in that particular case, has taken advantage from Nominet’s automatic registration process.

Other country, other problem: the .it registry will implement automatic registration procedures by the end of the year; and I read, a couple of weeks ago on Swartzy’s blog, that the IIT/CNR is also launching an advertisement campaign for .it domains.

I am curious to see if, in analogy to what happened in Hong Kong, we will see an increase of the malicious activity in the .it TLD.

DNS Ops Workshop

(cross-post Experiment, Three)

As promised, I post a report of the DNS Ops workshop I attended last week. The workshop has been very interesting, though a few talks were a bit too technical for me, which I only have a partial knowledge of DNS operations. Following, then, you will find a non-comprehensive list of “impressions” rather than a detailed report.

A Statistical Approach to Typosquatting
Of course 😉 I will start from my talk, which reports the preliminary results of the research on typosquatting I have been conducting recently. The slides can be found here (and here as well, as I gave the same talk at the Centr technical meeting in May).

The talk seems to have generated a bit of interest in the audience, though I think it suffered a bit from the fact that these are “early results” and much work still needs to be done before we can claim we really understand what typosquatting is (at least from a technical point of view). The talk also raised a bit of questioning about Nominet’s involvement in typosquatting. Just to be clear, at the moment Nominet is interested in my work only from a research point of view and is not taking any position in favour or against any registrar, registrant or any other party that might think to be the object of my work.

DNS monitoring, use and misuse
According to Sebastian Castro (CAIDA), in 2007 only 510 unique IP addresses generated 30% of the traffic at the root servers and 144 of them (called Heavy Hitters) sent more than 10 queries/sec and in 11 cases more than 40 queries/sec.

This are impressive numbers which might tell something about the kind of traffic that daily takes place in the Internet.

Later on, Shintaro Nakagami from NTT Communications, one of the major ISPs in Japan, reported that only 15% of the queries hitting their name servers were legitimate. This doesn’t mean that the other are necessarily malicious, for example, many of them are simply malformed queries or are generated by misconfigured web servers, however…

Finally, Young Sun La (NIDA, Korea) showed an impressive tool that they use at NIDA for monitoring queries to the .kr name servers in real time. It even sends sms’ to sysadmins if an urgent problem arises. Have a look at the slides for an idea of how it works. I might have heard that the software will be released for download, but I might have misunderstood.

Heatmaps
How do you conveniently represent the IPv4 space? With a Hilbert Curve, for example, or, as Roy Arends (Nominet) suggests, with a Z-order curve. The resulting graph is more intuitive to read and can easily be extended to work in a 3D space.

Check out his interactive tool (from Nominet website) and his slides. In particular, go to slide number 9 and watch the heatmap of… women below 30 and earning more 100000$/year in Manhattan!!

Privacy issues in DNS
Karsten Nohl (University of Virginia) talked about the privacy issues related to the use of DNS caches. When users query the DNS they leave pieces of information in many caches and they have to trust several entities, ISPs, registries, backbone operators, etcc, that their information will not be released, sold, etc.

DNS operators cache the results of user queries, i.e., the IP corresponding to certain URLs in order to retrieve them more efficiently. This information is anonymous, i.e., they do not register the IP who made the query (in theory), but in practice certain URLs are used only by one (or a small subset of) person(s). At present, it is relatively easy for a malicious party to trace the online behaviour of some user by querying specific DNS servers only and check whether a specific URL is present in their cache.

Such an attack can be used to identify the individuals that access a specific web site: knowing the IP gives the geographic localisation of a user, but knowing his/her online behaviour might disclose much more personal information. Alternatively, it might be possible to track a specific user.

This scenario might become even more critical with the large-scale deployment of RFIDs. RFIDs have unique identifiers but are too small to store information (e.g., product information, price, etc) and they will use the DNS to look up for this data. Then, RFIDs (which have unique identifiers) will be indexed by the DNS and it will be easy to identify single users.

New York

Grazie alle lancette che sono tornate indietro quella di oggi e’ stata una super-giornata, fra alzataccia, volo e “sightseeing”. Insomma, oggi (e domani mattina) sono qui a fare il turista.

Ma nel pomeriggio “si fa sul serio” 😉 e partecipero’ a questo meeting qua (organizzato dall’OARC) per parlare di typosquatting.

Report e considerazioni varie a seguire.