CyberSecurity 1337

Che sorpresa. Da Repubblica : il Ministero delle Entrate ha pubblicato su Internet i redditi degli italiani del 2005. Ci sono tutti. Un esempio? Beppe Grillo guadagna 4 milioni di euro l'anno! Comunque adesso il sito è ovviamente sotto DoS per i troppi accessi. Seguirà qualche altro mio post in merito. Secondo me hanno scatenato una bufera.

Quello che leggo dal sito del Corriere della Sera ha dell'incredibile. Il sito Web di Storace fa un hot-link ad un sito per prendersi una immagine del Pantheon. Il web-master del sito host dell'immagine, intima più volte al web-master del sito di Storace di non utilizzare tale tecnica (che come tutti sappiamo ruba banda dal sito verso cui si fa hot-linking). A questo punto, stanco di non sentire risposte, fa un bel fotomontaggio e sostituisce sul suo sito la bella immagine del Pantheon con una allucinante . Ora un po' di riflessioni Capisco la scocciatura del povero web-master che si vede trafugare banda con l'hot-link, ma come gli viene in mente di fare un fotomontaggio diffamatorio sapendo che questo verrà visto proprio dai simpatizzanti di Storace? Secondo me rischia abbastanza (a meno che non viva in Russia o in Estonia). Perché se è vero che il vento tira verso l'equiparazione in ambito giudiziario di un blog ad una testata giornalistica, qualcuno potrebbe anc...

Volete cimentarvi nella cifratura d'altri tempi con la macchina Enigma...di carta ? ( sulla distribuzione del PDF c'è il copyright ) Da provare, specialmente con i più piccoli :-) Poi se volete una versione più "moderna" c'è questo fantastico emulatore :-)

Ecco il video:

Non so chi di voi ha avuto occasione di leggere " The Six Dumbest Ideas in Computer Security " che tradotto suona più o meno così: "Le sei più stupide idee della sicurezza informatica". L'autore è Marcus Ranum , esperto di sicurezza e autore di numerose pubblicazioni, il quale propone quelle che secondo lui rappresentano le sei idee alquanto poco geniali della sicurezza informatica. La lettura è interessante ed è spunto di riflessioni sicuramente costruttive. Innanzitutto noto che qualche volta questi esperti oltreoceano hanno una certa smania di voler per forza schematizzare tutto e devo dire che questo approccio comincia a farmi venire l'orticaria! Possibile che la soluzione di tutto sia un susseguirsi di linee guida e/o di best practice? Questo può forse essere adatto in contesti con una rigida impostazione, in cui ognuno segue pedissequamente delle regole e non agisce quasi mai di propria iniziativa. Ma quando la situazione è imprevista, cosa succede? D...

Adesso capisco tutto questo interesse sull' Asus Eee :-) Piazzarlo dentro ad un Bancomat... No Antonio, sono convinto che non è il tuo caso :-)

Sì sono d'accordo con tutti voi. E' sicuramente una rivelazione. Il base64 non è un algoritmo di cifratura Siete sorpresi? No, non credo. Ma vi prego di spargere il verbo con i vostri colleghi developer che ancora credono ciò. Possibile che nel 2008 ancora non si sia capito che il base64 è un algoritmo di codifica? Non fa altro che prendere una sequenza di bit e "pacchettizzarla" ogni 6 bit. Il risultato è una sequenza di parole binarie di 6 bit che possono essere rappresentate con caratteri ASCII in cui il codice del carattere sia minore di 64 (2^6 = 64). Chiaramente ogni pacchetto di 6 bit occuperà in realtà 8 bit nel computer ed ecco perché una sequenza di dati convertita in Base64 tipicamente occuperà 1/3 di spazio in più del dato originario. Il vantaggio è che possiamo rappresentare qualsiasi dato binario in caratteri ASCII. Comunque la sostanza è che non è un algoritmo di cifratura. Diffondete prego :-)

Microsoft ha attivato il programma "Office Genuine Advantage ". Se, biricchini , avete installato sulla vostra macchina di casa una versione piratata di Office (ma anche negli uffici), tra poco vedrete comparire sul vostro schermo una simpatica finestrella che vi ricorderà che la copia non è "genuina". E chissà che tra un altro po' non vi impedirà di lavorarci. Quindi, parlando in sicuritese , se non volete creare un problema di " continuità del servizio " o mettete mano al portafogli, oppure vi decidete a passare a OpenOffice .

Non mi fossi mai installato QuickTime! Adesso ogni volta che mamma Apple aggiorna il suo Safari o c'è un update di sicurezza, ecco che compare un bel pop-up che mi propone di scaricarmi 25 Mbyte dalla rete per installare la nuova versione di Safari per Windows e gli aggiornamenti di sicurezza. Ahi ahi ahi...Apple cominci ad assomigliare ad una "finestra". E pensare che PayPal ha bannato proprio Safari considerandolo un browser non sicuro :-) Ma come disse una volta Fabio Fazio a Bill Gates: "Signor Gates lei lo sa che se in casa non funziona la lavatrice la gente dice che è colpa sua?" Meditate gente meditate. Ogni software ha i suoi bug, anche di sicurezza. Nemmeno il pinguino ne è immune. Basta vedere i bollettini di sicurezza e il problema della "distro-hell" :-) Un saluto festoso a tutti

Non ci posso credere, anche Steve Ballmer sostiene che VISTA è un Work in Progress e che non prolungheranno la vita di XP . Ammette anche che 5 anni di ciclo di vita di sviluppo sono stati un po' tantini per lo sviluppo di un sistema operativo. Insomma anche Microsoft è convinta che VISTA è stato una sVISTA ? Fammi aprire la mia Ubuntu ;-)

Giuro di averlo detto molto prima di lui ....il grande Bruce ...colui che disse: "La sicurezza non è un prodotto ma un processo". Vi fidereste di SELinux ? SE Linux è un esempio di come un sistema operativo possa implementare un sistema di controllo degli accessi di tipo " mandatorio " (traduzione orrenda di mandatory ). Anche detto MAC , Mandatory Access Control . Il piccolo particolare è che il progetto è gestito dalla NSA !

Finalmente è disponibile il SP 1 di VISTA anche per la versione italiana. Per chi può, è consigliabile aggiornarlo con Windows Update perché il download è meno oneroso. Per chi come me si è comprato un portatile con Windows VISTA lo consiglio vivamente. Per fortuna che oltre a XP poi ho una bella Ubuntu ;-) Altrimenti come farei a fare un pò di etical hacking? Qualche link a post più corposi in merito.

Immaginate queste due entità, sicurezza e usabilità, distribuite sui due piatti di una bilancia. L'introduzione di misure di sicurezza può alle volte diminuire l'usabilità, o meglio l' Interazione Uomo-Macchina ( Human Computer Interaction ), dei sistemi o delle applicazioni. Bisogna fare attenzione quindi a bilanciare opportunamente le due entità. Le migliori soluzioni di sicurezza infatti sono quelle trasparenti agli utenti che non li obbligano a distogliere la loro attenzione dai compiti principali. L'esempio classico è quello delle password . E' indubbio che le password migliori siano quelle più complesse da scoprire con tecniche di brute forcing, attacco del dizionario, rainbow-table. etc. Ma se sono troppo complesse il nostro povero utente sarà costretto a scriverle da qualche parte e allora la sicurezza si andrà a far benedire. Già con le passphrase ci avviciniamo ad una soluzione sicura ma più "usabile" per gli utenti. Le passphrase infatti sono fr...

Ogni tanto qualche digressione me la concederete. Visto che in altri Blog ci si diletta a manifestare il proprio orientamento politico, non vedo perché io non possa almeno girarvi un post del Prof. Guzzetta. Una cosa mi preme dire: difendiamo la nostra costituzione! Ecco il post: Ci hanno insegnato che la democrazia è il potere di scelta dei cittadini. Alle prossime elezioni però i cittadini potranno votare ma non scegliere. A scegliere saranno solo i partiti, con liste preconfezionate "prendere o lasciare" e con il giochetto delle candidature multiple che trasferisce ai plurieletti – dopo le elezioni! – il potere di scelta dei parlamentari, sottraendolo ai cittadini. Abbiamo fatto una simulazione per difetto da cui emerge che – grazie alle liste "prendere o lasciare" – vengono decisi a tavolino, prima del voto, i nomi degli eletti "sicuri", pari ai tre quarti (75%) dell' intero Parlamento; e che – grazie al giochetto delle candidature multi...

Si dice che sia più temibile di Storm e l'obiettivo della botnet di Kraken è l'invio di SPAM (anche 500.000 in un giorno). La botnet di Kraken non è basata su un protocollo P2P, ma all'interno del trojan installato sui PC vi sarebbe la lista dei server per il "Command & Control" (C&C). Il troiano si installa sui PC degli ignari utenti scaricando una finta immagine JPG o PNG. La finta immagine è in realtà un file eseguibile in cui l'estensione EXE viene nascosta rendendo difficile all'utente capire. Qui potete trovare la notizia con un po' di documentazione più tecnica (andate alla fine della pagina). Alla fine della pagina nella seconda URL consigliano di inserire delle regole nei Firewall che filtrino i domini e gli IP dei server di C&C inclusi nel Worm. In questo modo il troiano non si potrà aggiornare dai server C&C e mutare il proprio comportamento o peggio la propria struttura. Una volta isolato il canale di comunicazione si p...

Mi capita spesso di parlare con amici e conoscenti che hanno l'esigenza di attivare una connessione Wireless in casa. Il più delle volte si preoccupano del fatto che qualcuno possa "sfruttare" la loro connessione WiFi o che si introduca furtivamente nei loro PC. Giusti timori. Ma forse ignorano il problema a mio avviso più grande relativo alla loro privacy: che qualcuno intercetti il loro traffico Internet! Infatti se la connessione Wireless non non è cifrata è persino troppo facile: kismet (o anche iwconfig) + ethereal (o Wireshark ) su una linux blackbox ed il gioco è fatto. Ma anche con una cifratura WEP non è che si raggiunga un elevato grado di sicurezza anzi.... Basta "spolverare" Airsnort e dargli in pasto un sufficiente volume di traffico intercettato, poi le vulnerabilità di RC4 alla base del protocollo WEP faranno il resto. Direi che il WEP induce ad un falso senso di sicurezza che forse è anche peggio di non avere una connessione cifrata. Anche con un...

Ok, sarò cattivello ma dopo aver assistito al 2° OWASP Day mi sono fatto un'idea abbastanza chiara di quello che sta succedendo. Durante la conferenza, Telecom fa il suo intervento su come sia incentrata la loro attività nell'offrire servizi di Sicurezza Applicativa a terzi, e, nel pomeriggio anche IBM conferma questa linea (non scordate che IBM ha acquisito Watchfire ). Se consideriamo che gli stessi servizi li offrono Poste, HP (che ha acquisito Spidynamics e utilizza SCA Fortify) e Microsoft la cosa comincia a preoccuparmi. Perché? Perché il SSDLC (Secure Software Development Life Cycle) è diventato un vero e proprio business con cui vendere servizi a PA e Aziende. Con la storia della sicurezza ti vendono anche: QA sul software e sui processi aziendali, network security, consulting, vulnerability assessment, presidi per l'operational. E tutto questo non certo a due lire! Gestire un buon SSDLC può sicuramente richiedere delle risorse esterne preparate ed è giusto appogg...

Dopo il successo dell'OWASP Day II vi segnalo questo nuovo evento alla Sapienza di Roma. Gli organizzatori sono sempre il gruppo di sicurezza IC Security Group del Dipartimento di Informatica guidato dal Prof. Mancini. Ecco l'invito: Università di Roma "La Sapienza", Convegno " Istituzioni, aziende e la sicurezza delle infrastrutture critiche:problematiche a confronto " e Cerimonia di consegna dei diplomi di Master. Inizio ore 9.00, termine ore 17.00 circa.Sabato 5 Aprile 2008, presso il Centro Congressi dell'Università di Roma"La Sapienza", Via Salaria 113 Roma, si terrà il convegno dal titolo "Istituzioni, aziende e la sicurezza delle infrastrutture critiche: problematiche a confronto" al quale parteciperanno autorevoli rappresentanti del mondo istituzionale nazionale ed internazionale, esperti del mondo scientifico. Gli interventi porranno a confronto le diverse problematiche e soluzioni legate alla sicurezza informatica. L'...