CyberSecurity 1337

Ce l'hanno fatto un'altra volta!  Come nel 2005, sono riusciti a farsi accettare un articolo generato in modo automatico . La conference è di IEEE CSSE:  Computer Science and Software Engineering  e l 'articolo è  " Towards the Simulation of E-commerce ". L'autore è un certo Herbert Schlangemann. Fatevi un giro su Internet per capire chi è, perché io non ho il coraggio di mettere un link diretto :-) Che vi fossero problemi nel processo di review degli articoli era fuor di dubbio, ma adesso si sta esagerando. Che attendibilità hanno gli articoli già pubblicati a questo punto? Forse andrebbe rivisto l'intero processo di pubblicazione e magari fare in modo che le pubblicazioni di un autore non possano eccedere una certa frequenza (oltre ai problemi di plagio che però sia ACM che IEEE stanno già considerando). Gli articoli pubblicati in queste conferenze costituiscono di fatto la base della conoscenza informatica accreditata e "controllata". Ma forse...

Questo Natale fatti amico un Geek :-) Tanti auguri per un buon natale

Se sviluppate su Windows VISTA vi consiglio di affrettarvi e di andare sul sito della Microsoft Press che, per i suoi 25 anni,  distribuisce gratuitamente la versione elettronica del libro " Writing Secure Code for Windows Vista " di Michael Howard and David LeBlanc (autori di sicuro rilievo nel campo della software security).  Consiglio la lettura del libro poiché VISTA implementa meccanismi di sicurezza indubbiamente più stringenti rispetto ai suoi predecessori. Se però ritenete che VISTA sia insicuro per definizione potete evitare di leggere il tomo :-)

Ieri alle 19:00 Microsoft ha rilasciato la patch per la grave vulnerabilità scoperta in Internet Explorer (praticamente tutte le versioni). Ecco il link:  http://www.microsoft.com/technet/security/bulletin/ms08-078.mspx Consiglio a tutti di sbrigarsi nel patchare le macchine client.  Se avete già sostituito IE con Firefox allora probabilmente avrete visto che anche quest'ultimo ha aggiornato la versione alla 3.0.5. Anche qui per numerose vulnerabilità presenti nella 3.0.4 .

Ma siamo tutti convinti che i nostri dati memorizzati gelosamente sul DVD di turno saranno disponibili tra 10 anni? Forse no. Quanti supporti in 30 anni sono caduti in disuso? Quante piattaforme hardware, software e formati oramai sono irreperibili e/o inutilizzabili? E allora che fare?  Il backup certo, con il restore di sicurezza per controllare che il backup sia effettivamente riuscito. Ma c'è una terza cosa la "conversione": ovvero convertire periodicamente i dati dai vecchi formati/supporti ai nuovi formati/supporti. Un esempio?  Tempo fa aprendo un cassetto ho trovato dei miei vecchi programmi scritti in C e C++. Avevo la tenera età di 17 anni e per me sono dei cari ricordi (qualcuno potrebbe trovare strana questa affermazione ma tant'è). Ah, dimenticavo! I programmi erano (e lo sono tutt'ora) memorizzati su Floppy da 3" 1/2! Un brivido dietro la schiena ed una rapida occhiata al mio PC, che stranamente aveva ancora un Floppy drive funzionante, ed ho pr...

Google ha rilasciato, con licenza Creative Commons 3.0 e a firma di  Michal Zalewski  (Google Security Team),  un manuale che definisce le caratteristiche di sicurezza dei maggiori browser comparandole tra loro. I browser esaminati sono i seguenti: Microsoft Internet Explorer (versioni 6 e 7) Mozilla Firefox (versioni 2 e 3) Apple Safari Opera Google Chrome Android embedded browser Per ogni caratteristica di sicurezza vi sono delle tabelle comparative che permettono allo sfortunato web developer di capire come la caratteristica di sicurezza venga implementata nei diversi browser. Molto utile non c'è che dire! Questa è l'introduzione dell'autore del manuale nella pagina Wiki del progetto : Browser Security Handbook is meant to provide web application developers, browser engineers, and information security researchers with a one-stop reference to key security properties of contemporary web browsers. Insufficient understanding of these often poorly-documented characteris...

Peccato! Devo dire che questa volta avevano iniziato bene ma poi sono caduti sul solito ORRORE di ortografia.  "Per attivare il tuo account, la preghiamo di [...], hanno per rispondere...." Ma con tutti i soldi che si fregano non si possono permettere un traduttore dal russo/estone/cinese/coreano all'italiano? Ovviamente il link non punta alla banca ma ad un PC a Seoul nella Corea del Sud.

Per tutti quelli che aspettavano la nuova versione di PHP 5.2.7, una terribile notizia . La versione in questione contiene un baco di sicurezza niente male. In poche parole viene disattivata la funzionalità (a dire il vero oramai deprecata) "magic_quotes_gpc":  anche se impostata non funzionerà. In sostanza la direttiva " magic_quotes_gpc " esegue automaticamente l'escape di apici e doppi apici presenti nei parametri passati in GET e POST. Come difesa dalle "SQL Injection" oramai è abbastanza debole e per questo è consigliabile fare una " data validation " più accurata.  Per il software legacy però è meglio non avere una versione bacata di PHP e poiché tra una settimana verrà rilasciata la 5.2.8, forse è il caso di aspettare. --- AGGIUNTA DEL 10/12/2008 --- E' stata rilasciata la versione 5.2.8 che risolve il problema.

Ha attraversato l'oceano un'altra delle mirabili idee del nostro amato Premier: regolare Internet . Si sarà consigliato con il governo Cinese che è esperto in materia. "The President of Italy, which will have the Presidency of the G8 starting January 1, says he wants to use the future position of Italy to 'Regulate the Internet.' Italy's President Berlusconi appears to be a cantankerous character, prompting riots when Italy last had the G8 presidency in 2001. This will no doubt be a serious effort, but knowing the fundamental design of the Internet involves routing around damage, the efforts could be more amusing than threatening." Update — 12/5 at 00:04 by SS: Reader fondacio noted that Silvio Berlusconi is Italy's Prime Minister, not its President. He is Italy's G8 representative, and Italy will hold the presidency in 2009." Non potremmo proporre ai cinesi di adottarlo? In fondo è simpatico...

Non tutti sanno che Microsoft dopo la disastrosa esperienza di VISTA ha deciso di rendere lo sviluppo del prossimo sistema operativo di Redmond "collaborativo". Nell'alveo della collaborazione c'è anche il blog del gruppo di ingegneri che si dedicano appunto alla ingegnerizzazione del nuovo SO: Windows 7.  Il blog ha come finalità il recepimento di possibili indicazioni da parte della community degli utenti Windows prendendo in considerazioni le loro, spesso, giuste critiche. Come sappiamo una delle caratteristiche più contestate di VISTA è lo UAC. Personalmente mi aspettavo queste contestazioni. Non perché sia implementato male, ma perché passare da un SO che ti fa fare qualsiasi cosa ad uno che ti chiede abbastanza spesso il consenso è sempre abbastanza impattante sull'usabilità del sistema. Ma tant'è. Ricordate? Usabilità e Sicurezza sono nemici giurati e spingere da una parte rende inevitabilmente il sistema meno usabile o meno sicuro.  E questo è stato. ...

Alla faccia di tutti quelli che affermano : " I Mac sono più sicuri intrinsecamente e non hanno bisogno degli antivirus ". Apple consiglia tre antivirus per i propri gioielli di famiglia. Apple encourages the widespread use of multiple antivirus utilities so that virus programmers have more than one application to circumvent , thus making the whole virus writing process more difficult . Here are some available antivirus utilities : Intego VirusBarrier X5, available from the Apple Online Store License : commercial   Symantec Norton Anti-Virus 11 for Macintosh , available from the Apple Online Store License : commercial   McAfee VirusScan for Mac License : commercial

Decifrare un messaggio a mano aveva certo il suo fascino . Anche l'inchiostro "simpatico" e i "folder" con scritto "confidential" hanno un sapore retrò. Un po' di immagini dell'ufficio cifra dell' FBI (circa 1940) messe a disposizione  da LIFE sul sito di Google .

Sì, certo, la tutela della privacy degli utenti è fondamentale, soprattutto per quelli "poveri". Ecco quindi la seconda bella pensata: rendere le " Social Card " anonime. La prima è quella della "Tessera annonaria"...ooppps.....scusate, "Social Card". Ma perché tutelare la privacy del povero utente "povero"? Il "povero", quando va ad acquistare un bene di consumo con la sua nuova e fiammante Social Card, ci va di persona e mostra la sua faccia. Certo non ha scritto nome e cognome sulla fronte, ma qualcuno potrebbe comunque riconoscerlo e quindi identificarlo, accoppiando il nome e cognome al volto riconosciuto, alla social card posseduta dal "povero". Alla fine avviene l'infausta associazione: lui ha la social card ergo è "povero". Per evitare questa identificazione il povero utente "povero" dovrebbe andare in tutt'altra zona (ma se è "povero" non ha la macchina e quindi deve pre...

Suvvia dopo la SP1 è migliorato ... La sicurezza sicuramente. Sulle performance ho qualche dubbio però. 

Altro esempio di antispam aziendale che non utilizza tecniche di rilevazione di errori di ortografia per l'intercettazione dello SPAM: Abbiamo studiato suo C.V. e vorremo ofrirLe un lavoro. Suo stependio depende da Lei!. 810 euros per 6 giorni. Deve avere: 1 Dal 1,5 a 7,5 ore liberi al giorno. 2. Personale e-mail. 3. Cellurare . Se questo lavoro e interessa scrive a nostro manager al indirizzio : Jose.T.Cunha@gmail.com Scrive via e mail suo nome, eta e citta . Tutte le istruzione sara spedito nella risposta. Grazie.

Interessante proposta di Alfredo Bregni al RomeCamp2008: il gestore dell'ultimo miglio non dovrà essere più la società di TLC ma bensì il singolo utente.  L'idea è interessante e potrebbe avere dei risvolti non marginali nella connettività della popolazione, contrapponendosi alla dipendenza attuale dal gestore TLC. Bregni chiede un po' di tam tam e io rispondo perché l'idea mi piace. E su Lulu.com potete trovare il saggio scritto da Bregni. OTTIMO LAVORO!

Non mi piace lo SPAM . Si capisce. Ma lo tollero perché non posso fare altrimenti. Se del resto mi propongono un investimento in Congo, non ci credo, oppure se mi dicono di chiamare il cell . del medico tizio, oramai sono pronto: ricerca su Google;  Hoax ; Bufala; trovato == SPAM . Giorni fa un caro amico invia a me e ad altri amici una mail in cui si racconta la storia di una ragazza che durante una grigliata sviene per un malore. Nessuno dà importanza al fatto, ma in realtà è un infarto e dopo poche ore la malcapitata muore. Nella mail vi sono quindi i consigli di un sedicente neurologo (poi si trasformerà in cardiologo) su come sia possibile riconoscere un attacco cardiaco. Infine il cardiologo afferma che se si invierà la mail ad altre 10 persone, la catena salverà la vita a tante persone. Ovviamente è una bufala e  anche molto pericolosa  perché fornisce una serie di indicazioni false e fuorvianti che l'infermiere improvvisato di turno potrebbe mal interpretare, arrecando pers...

Cosa è che ci distingue nel regno animale? Forse la capacità di ragionare in modo razionale e di non agire secondo l'istinto. Manteniamo questo primato! 25 novembre: un momento per ricordare a tutti che le donne vanno rispettate sempre e comunque

Grazioso articolo su Microsoft MSDN di Howard .  Volete capire quanto ne sapete di software security (o meglio di secure coding )? Fate il test, magari sotto l'ombrellone e potrete capire finalmente quanto ne sapete veramente. Più che testare il quoziente intellettivo per la software security è un passatempo: nemmeno tanto divertente. Questa è veramente la solita americanata (o microsoftata ) e anche Howard deve fare un po' di marchette per mamma Microsoft. Questa Software Security sta diventando un'altra bolla...

Vi giro in modo "selvaggio" un post segnalato da Bruce Schneier. Nel post viene analizzato un PDF malizioso con dovizia di particolari grazie alla, spesso sconosciuta, capacità dei PDF di storicizzarne le modifiche.  In questo caso l'autore del PDF malizioso, ignaro del versioning del PDF, ci regala una cronistoria di come abbia creato questo malware.

Dagli archivi dell' NSA sono usciti dei corposi libri (tutti disponibili in PDF) in passato classificati come TOP SECRET.  I ltitolo è: " American Cryptology during Cold War 1945-1989 ". Chi volesse dargli un'occhiata vada qui . Interessante la modalità di secretazione di alcune parti :-)

Adesso il GAT scende in campo contro lo SPAM su Facebook . Cavolo era ora! Noi poveri utenti cretini avevamo bisogno di un nucleo nutrito di persone preparate per fermare lo SPAM su Facebook! Forse sarebbe il caso di fermare prima lo SPAM via e-mail o no? Ma Facebook è più di moda e d'altronde perché levare la possibilità a qualche finanziere di mettersi in mostra? Per non parlare del sito. Ma quelli non sono soldi pubblici? Mha! :-(

Come capire se un disco rigido è al termine della propri vita? Il mio passato da Hardwarista mi ha insegnato ad ascoltare molto attentamente i diversi "rumori" del disco rigido per capire se vi fosse qualche possibilità di rottura imminente. Una società di Data Recovery ha messo in linea differenti "rumori" di dischi rigidi in fase di rotture. L'ordinamento è per marca e per tipologia di malfunzionamento. Un'idea sicuramente utile. Non mi stancherò mai di ricordarvi l'assioma base della sicurezza delle informazioni: "Il backup è fondamentale" Il corollario: "Il restore verifica che il backup sia andato a buon fine"

Cari amici vi invito a sottoscrivere la petizione on-line per contrastare la Proposta Di Legge che cerca di mettere il bavaglio alla libera espressione dei blogger. Di rado faccio escursioni in campi che vanno al di fuori della sicurezza delle informazioni, ma questa volta il motivo mi sembra più che valido. Ecco la petizione che potete firmare qui: A: Presidente della Camera dei Deputati La nuova disciplina del settore dell'editoria e delega al Governo per l'emanazione di un testo unico delle disposizioni legislative in materia di editoria intenderebbe difatto includere anche l'attività dei semplici blogger obbligandoli all' iscrizione nel Registro degli operatori di comunicazione ( ROC ) con la conseguente applicazione delle norme sulla responsabilità connessa ai reati a mezzo stampa e il rischio di denuncia per stampa clandestina in caso di mancata iscrizione. L'articolo 8 definisce quanto segue: ´ Sono esclusi dall'obbligo dell'...

Oggi è un anno esatto che è nato questo blog. Quasi per gioco. E' tempo quindi di un primo bilancio. Il campo della security è strano: estremamente tecnico in alcuni frangenti ma anche molto astratto in altri. Del resto per sua natura la sicurezza delle informazioni è trasversale, non solo agli ambiti tecnologici ma anche ai diversi livelli di dettaglio delle tecnologie e dei processi. E' difficile quindi mantenere una conoscenza vasta e anche approfondita. Vedo però aumentare i venditori di fumo, ma confido che verrano automaticamente espulsi da un processo di selezione naturale che tende a selezionare comunque i più preparati nel medio-lungo periodo.  Il fenomeno "one-man-show" all'americana sta aumentando anche in Italia, senza però averne la scuola. " The italians do it better " E sono d'accordo con questa frase, ma forse dobbiamo imparare un po' di sano pragmatismo e tecnica di esposizione dai nostri colleghi d'oltre oceano. Per il resto...

Ammetto di girarvi tale e quale un post di Bruce Schneier. Ma sinceramente non sapevo che q ualcuno stesse annotando i diversi tentativi nel tempo di dimostrare che P=NP oppure che P!=NP. Questo l'ultimo articolo che tenta di dimostrare che SAT non è in P . Ma come qualche commentatore ha detto a Bruce: - gli esperti di AI assumono che P=NP in modo da risolvere problemi ardui - gli esperti di sicurezza assumono che P!=NP in modo da garantire la sicurezza Vedremo mai chi ha ragione? Oppure come sostiene qualcuno P=NP è una di quelle congetture che non verranno mai dimostrate?

E' uscita la nuova versione di TrueCrypt: 6.1.  Oltre a diversi bug fix e a migliorie riguardanti le partizioni nascoste e cifrate, mi sembra interessante la nuova feature che permette l'autenticazione mediante "security token" e smartcard. Purtroppo però prevede solo lo standard PKCS#11 per l'interfacciamento a dispositivi di sicurezza. Nulla da fare per i CSP (Cryptographic Service Providers) di Microsoft. Del resto quasi tutti i device di sicurezza oramai prevedono (fortunatamente) tutti e due gli standard.

Sono in ritardo di un giorno, ma tant'è: buon compleanno Morris Worm .  Nel 1988 si diffondeva il primo worm della storia di Internet. E' inutile che vi racconti tutta la storia ( potete leggerla su Wikipedia ), ma al solito uno studentello del MIT ha innocentemente creato un programma per "controllare" la "grandezza" dell'Internet di allora. Robert Tappan Morris è il suo nome ( oggi  professore associato al MIT). Peccato che poi dei bug nel worm hanno di fatto cambiato la sua natura in Worm malevolo. In giro potete trovare i sorgenti del Worm:

Defacement del sito di Giulio Tremonti : ------UPDATE ------ Alle 21.27 è stato ripristinato il sito originale.

Bruce Schneier et al. hanno presentato la loro proposta al contest del NIST per il nuovo algoritmo hash che soppianterà la famiglia degli SHA. Skein è il nome scelto da Schneier & co.  I tempi per la nuova famiglia di funzioni hash non sarà breve. Circa 4 anni solo per la selezione, in cui verranno analizzati tutti gli algoritmi presentati. Qui potete trovare il  codice sorgente  e l' articolo  della submission. 

Che bello! Google Street View anche nelle grandi città italiane. E girando (virtualmente) per le strade mi sono accorto che le targhe avevano qualche cosa di particolare. Erano oscurate! Fantastici questi di Google, troppo forti. Poi gironzolando un amico mi fa notare una cosa: le targhe ogni tanto non riescono ad essere oscurate! Accidenti questi di Google allora non sono così forti come dicono di essere. E se quel giorno quella targa lì per sfortuna fosse di qualcuno che è andato a trovare l'amante? Il riquadro nero l'ho aggiunto io e come vedete la targa si legge molto bene. Comunque tranquillizzatevi perché Google StreetView prevede una modalità di segnalazione (fatta dagli utenti) di foto "inappropriate", con cui potete segnalare foto che violano in qualche modo la privacy. Tranquilli voi... :-)

Aspetto estremamente importante della sicurezza applicativa è la programmazione sicura. Programmare in modo sicuro significa utilizzare i costrutti del linguaggio di programmazione e le caratteristiche dell'ambiente in cui verrà eseguito, in modo sicuro. Proprio per aiutare lo sviluppatore nel compito di scrivere del codice sicuro, vi illustro una tassonomia degli errori di programmazione che, se la si vede come un insieme di errori da non commettere, rappresenta delle "best practice" molto utili. Per definire tale tassonomia vengono considerate due note classificazioni degli errori di programmazione: Seven Pernicious Kingdoms: primo livello della tassomonia che identifica i raggruppamenti degli errori di codifica 19 Deadly Sins: secondo livello della tassonomia che identifica gli errori di codifica Nella tassonomia c'è quindi un primo livello (più astratto) costituito dai "Seven Pernicious Kingdoms" ed un secondo livello (più di dettaglio) con i ...

Da tempo GMail ha inserito una interessante opzione che permette di impostare l'accesso sempre in HTTPS.  Un po' di tempo addietro avevo scritto un post su questo fatto . Le vecchie versioni di GMail mobile però avevano qualche problema a connettersi con questa impostazione attivata.  Ora con GMail mobile v. 2.0 invece è tutto ok.  Perfetto!

Ma non si potrebbero dotare i filtri antispam di un correttore ortografico per le mail in falso-italiano? Se il numero degli errori supera una certa soglia (diciamo due errori di ortografia per mail) ma rimane al di sotto di un massimo (che indica la mail in un'altra lingua diversa dall'italiano), allora l'antispam colpisce.  Funzionerà? Da: yyyopzora@halozatszolgaltatas.hu "Salutiamo Nostra ditta vorrebbe ofrirle un lavoro. Non serve andare in ufficio. 520 eur per 6 giorni. Ci bisognerebbe: 1. Dal 1 a 7,5 ore liberi al giorno. 2. Accesso dal internet. 3. Cellurare. Se questo lavoro e interessa scrive a noi al indirizzio: Monica.Leggieri@gmail.com Scrive via e mail suo nome, eta e citta. Tutte le istruzione sara spedito nella risposta. -- ArrivederLa."

Non so se ridere o preoccuparmi. Pensare però che nell'altra stanza vi sia un'antennona del genere e che qualcuno tenti di intercettare le mie password con quella sorta di armamentario mi fa più ridere che altro. E' come pensare di vedere qualcuno appeso fuori dalla finestra che tenta di leggere quello che sto scrivendo sulla tastiera con un grosso binocolo. Comunque il video è strepitoso : Compromising Electromagnetic Emanations of Keyboards Experiment 2/2 from Martin Vuagnoux on Vimeo . Immagino però che negli uffici di tutti i giorni sia più difficile intercettare le variazioni di campo elettromagnetico e ricondurle a questo o a quel dispositivo elettronico. Un consiglio? Affacciatevi sempre nella stanza del vicino! 

Post veramente ben fatto di Bruce Schneier sul Risk Management e sul perché spesso questa attività non venga condotta in modo opportuno. Solo qualche estratto: This means balancing the costs and benefits of any security decision -- buying and installing a new technology, implementing a new procedure or forgoing a common precaution. It means allocating a security budget to mitigate different risks by different amounts. It means buying insurance to transfer some risks to others. It's what businesses do, all the time, about everything. IT security has its own risk management decisions, based on the threats and the technologies. (...) You can't completely remove emotion from risk management decisions, but the best way to keep risk management focused on the data is to formalize the methodology. That's what companies that manage risk for a living -- insurance companies, financial trading firms and arbitrageurs -- try to do. They try to replace intuition with models, and hunches w...

Devo dire che questi spammer stanno davvero migliorando: Salve! Noi ci occupiamo della realizzazione di automobili di diverse compagnie,quali Alfa Romeo, Hummer, Lamborghini, Jaguar e così via.Noi cerchiamo nuovi partner e vogliamo proporvi una collaborazione con noi. Al giorno d’oggi noi abbiamo 14 posti disponibili. Se siete interessati ad una collaborazione, noi con piacere vi racconteremo tutto quello che sarà necessario fare. A seconda dell’orario di lavoro scelto voi riceverete dai 700 ai 1300 (euro) alla settimana. Tutto il lavoro consisterà nel dare consultazioni ai nostri clienti al telefono. Per prima cosa voi dovrete scrivere al nostro operatore e comunicare le informazioni al vostro riguardo. dovrete mandare alla nostra casella di posta: Vincenzo.Macchia@gmail.com i seguenti dati: 1 Il vostro nome e cognome. 2) il vostro anno di nascità e la città . 3. Desiderate lavorare tutto il giorno o mezzo giorno lavorativo? Vi ringraziamo per l’attenzione! -- Con rispetto. Il Dir...

Dopo il post di Daniele Frongia e il loro paper sugli Hash in PHP (che vi consiglio di leggere) mi è venuto in mente che un po' di tempo fa avevo buttato giù qualche riga di codice in PHP per implementare un meccanismo di memorizzazione e verifica di password utente con il meccanismo del salted hash . Questa è la classe in PHP che modella la logica (potete estenderla anche ad altri algoritmi oltre lo SHA1): /** * Classe per la manipolazioni degli hash di sicurezza * */ class Hasher  { private $text; private $nchar_salt; private $nchar_cycle; function __construct($text, $nchar_salt, $nchar_cycle) { $this->text = $text; $this->nchar_salt = $nchar_salt; $this->nchar_cycle = $nchar_cycle; } static private function get_salt($nchar_salt)  { $s = ""; for ($i=0;$i $s .= chr(rand(32,127)); return $s; } // Calcola lo Sha1 + salt per un certo numero di cicli public function secure_sha1($cycle = 1000)  { $salt = Hasher::get_salt($this->...