CyberSecurity 1337

Tanti auguri per un anno nuovo sereno e felice, con l'augurio che i mostri siano solo quelli di questo spot.

Nuovo blog di sicurezza del gruppo SWI di Microsoft. In questo blog il team discute delle vulnerabilità di sicurezza di prodotti Microsoft e di come queste siano patchate o dei workaround necessari. Microsoft finalmente comincia a condividere la conoscenza interna, anche di sicurezza, con il Web. Una bella iniziativa. " Security Vulnerability Research & Defense Information from Microsoft about vulnerabilities, mitigations and workarounds, active attacks, and other related guidance and information. "

Cercate un tool per creare dischi cifrati dove tenere i vostri dati riservati e/o sensibili? Avete deciso di non tenere più i vostri dati in chiaro sulla chiavetta USB? Siete terrorizzati dal fatto di perdere il portatile e tutti i dati riservati in esso? Allora TrueCrypt fa al caso vostro: è free, open source, sicuro ed efficiente. Sul sito di TrueCrypt (anche presente su SourceForge ) potete scaricare i binari per Windows e Linux e i sorgenti dell'intera applicazione. Dobbiamo, da buoni uomini di sicurezza, ricompilare tutti i sorgenti ed eseguire il binario ricompilato per evitare spiacevoli sorprese (mai sentito parlare di backdoor ?). Ma già il fatto che TrueCrypt sia su SourceForge, con sorgenti e tanto di spiegazioni sul fatto che il compilato potrebbe differire dal binario distribuito a meno dei byte occupati dalla firma del driver Windows, ci rassicura sulla serietà del progetto. " (...) Keep this in mind if you compile TrueCrypt and compare your binaries with the off...

Se qualche cosa va storto possiamo sempre dire: "Santo Schneier"

Gary McGraw , vera autorità per quello che riguarda la sicurezza applicativa, ha scritto questo meraviglioso post sulla validità di insegnare sicurezza tramite fumetti e cartoni animati. Su questo sito un po' di cartoon specifici per la sicurezza. A questo link potete invece trovare un video sul XSS . L'idea è valida non solo per un'alfabetizzazione di sicurezza informatica ma anche per esperti del settore che spesso su tematiche più complesse hanno bisogno di un' aggiornatina . Chi ha capito bene XSS alzi la mano!

Gli articoli: A. Anton, P. Hope, G. McGraw, “ Misuse and Abuses Cases: Getting Past the Positive ”, IEEE Security & Privacy, March 2004; Curphey, Araujo, “ Web Application Security Assessment Tools ”, IEEE Security and Privacy archive, Volume 4 , Issue 4 (July 2006); B. Chess, G. McGraw, “ Static Analysis for Security ”, IEEE Security & Privacy, December 2004; Federal Information Processing Standard (fips) 199, “ Standards for security categorization of federal information and information syst ems”, 2004; G. McGraw, “ Software Security ”, IEEE Security & Privacy, February 2004; G. McGraw, B. Potter, “ Software Security Testing ”, IEEE Security & Privacy, May 2004; G. McGraw, D. Verdon, “ Risk Analysis in Software Design ”, IEEE Security & Privacy, April 2004; Vaclav Rajlich, “ Changing the paradigm of software engineering ”,Communications of the ACM archive,Volume 49 , Issue 8 (August 2006); NIST, “ Security Considerations in the Information SDLC ”, SP 800-64 Rev. ...

La sicurezza delle applicazioni sta assumendo negli ultimi anni un ruolo sempre più importante, che potremmo definire decisivo nella quotidiana battaglia per la sicurezza dei sistemi informatici. Fino ad oggi gli addetti alla sicurezza informatica hanno sempre considerato la sicurezza dei sistemi e delle reti (SSR) come prioritaria, trascurando altri aspetti invece fondamentali. Ma questo ha soprattutto delle motivazioni storiche legate alla evoluzione della sicurezza informatica. In passato gli hacker miravano perlopiù a rendere inservibili i sistemi oppure a manifestare la loro presenza attraverso i cosiddetti "defacement"; l'obiettivo era quindi quello di rendere indisponibile un sistema (interno o esterno) oppure affermare la propria superiorità tecnica. Gli hacker erano quasi sempre adolescenti desiderosi di dimostrare le proprie abilità informatiche al mondo, magari facendosi assumere poi dalle stesse aziende attaccate. Ma la versione romantica dell'hacker og...

Facciamoci una risata che è meglio...

Vi consiglio questo ottimo libro in versione elettronica.

Chi di voi ha mai sentito parlare di HSM ? Lo immaginavo. HSM è l'acronimo di " Hardware Security Module ", un dispositivo hardware atto a contenere chiavi crittografiche o di firma di una certa rilevanza che devono essere utilizzate per dati e documenti particolarmente sensibili. Se volete potete pensare ad un HSM come ad una grande Smartcard (appunto quella di James Bond) con caratteristiche di sicurezza, resistenza ed efficienza estremamente elevate . Gli HSM, nella stragrande maggioranza dei casi, sono utilizzati per la firma elettronica e/o digitale. Possono contenere sia chiavi simmetriche che asimmetriche (coppie di chiavi pubblico/private e relativi certificati X.509) e, cosa estremamente importante, non importano (o esportano) mai tali chiavi dall'esterno ma le generano o distruggono direttamente al loro interno . E' una questione di sicurezza e affidabilità delle chiavi che solo con una gestione interna dell'HSM può garantire. Le chiavi asimmetric...

Sarà la prossima bolla? Here Comes Another Bubble : The Richter Scales Caricato da balr0g

Su qualche blog è girata questa bufala: aprendo una shell su Windows con un utente non amministratore e digitando il comando: "AT [ora:min] /interactive cmd" si riesce ad ottenere una shell con diritti di Amministratore! In effetti se provate, molto probabilmente vi aprirà una nuova shell, ma solo perché siete Amministratori della vostra macchina. Su XP e VISTA se provate con un utente non privilegiato il nostro Windows-Calimero vi risponde un bel "Access Denied"!!! E come disse un presentatore a Bill Gates in TV "Signor Gates, lo sa lei che se la lavatrice in casa non funziona è colpa di Windows?" mha!