CyberSecurity 1337

Vi giro una notizia uscita su Punto-Informatico che ha destato la mia curiosità, non tanto per il tipo di attacco, un CSRF , ma per l'obiettivo attaccato: ING Direct e Youtube (e altri...).  Nell'articolo vengono descritti con dovizia di particolari i passi e le modalità di attacco ai diversi siti tra cui ING Direct e Youtube! Il paper PDF è da leggere perché estremamente utile per capire fino in fondo cosa sia e come si porti un attacco di tipo CSRF, oltre alle contromisure da intreprendere.  Ovviamente l'articolo è stato pubblicato solo dopo che gli autori hanno notificato le vulnerabilità ai diversi siti sotto osservazione e dopo che queste sono state risolte.

Il poliedrico Matteo Flora ha messo su un'altra delle sue imprese:  FoolDNS . E' un DNS che sostanzialmente black-lista tutte le URL di Banner e agenzie pubblicitarie su Internet. Quindi, utilizzando questo DNS, il vostro client Web si scaricherà solo la URL interessata, mentre tutti i puntamenti nella pagina a siti nella loro black-list non funzioneranno. Matteo afferma che dai loro Log il vostro IP scomparirà dopo circa un'ora o 1 Mbyte di traffico e che (l'impresa commerciale e tecnica) adotta un codice etico. Insomma niente più banner! Matteo è bravo e la "vende" come una soluzione che tutela la Privacy degli utenti. Ma a me sembra che vi eviti solo di essere profilati commercialmente (comunque non è da poco). FoolDNS sa chi siete e quali siti tentate di risolvere, anche se poi "anonimizzano i loro log". Altrimenti basta scaricarsi Tor e allora sì che sarete veramente anonimi (attenzione comunque ai plug-in o alla google toolbar) e la vostra pr...

Sono in corso più di 40 ispezioni in tutta Italia a sistemi di video sorveglianza. La Guardia di Finanza (GdF), su incarico del Garante della Privacy, sta effettuando i controlli accertandosi che tutte le misure a tutela della privacy dei cittadini sia garantita. I controlli mirano a stabilire se sono state poste in essere tutte le misure tecniche per la conservazione dei filmati e se nei pressi delle telecamere sono poste delle informative ai cittadini per informarli delle videoriprese. Certo che in Italia siamo strani, mandiamo la GdF a fare controlli sulle telecamere invece di fargli fare controlli sull'evasione fiscale e/o sugli scontrini che non vengono mai rilasciati. Tempo fa sono stato a Cattolica: pranzo, cena e colazione senza nemmeno uno scontrino. E poi dicono che solo al Sud succedono queste cose! Vorrei suggerire al Garante di mandare in giro la GdF per Ospedali per stabilire se la privacy su dati SENSIBILI come quelli sanitari è preservata, o anche nei normali uffi...

Le Open Networks sono un pericolo o una opportunità? Avete presente le reti WiFi aperte delle varie università, conferenze, etc ? Adesso se ne parla come un nuovo approccio per una maggiore fruibilità della rete (Internet) a scapito ovviamente della sicurezza. Queste, in parole povere, sono le "open networks". Ma la sicurezza non è mai zero o uno . C'è sempre l'inevitabile compromesso con l'usabilità delle diverse soluzioni. Che poi, a pensarci bene, anche l'usabilità potrebbe essere inquadrata nel concetto più ampio di disponibilità dei sistemi e delle informazioni, ritornando sempre alla terna magica: Confidenzialità , Integrità e Disponibilità delle informazioni. Quindi in grandi realtà dove gestire le utenze è sicuramente un onere, con le relative procedure di identificazione, autenticazione, autorizzazione e gestione della privacy del traffico, si sta considerando sempre più la possibilità di lasciare tutto aperto, gestendo solo la sicurezza dei propri ap...

Posto un filmato straordinario su Riccardo Patrese ( suggerito da Paolo ) che "passeggia" in pista con la moglie al suo fianco.  A parte ascoltare gli improperi della moglie, guardate il sorrisetto e la tranquillità Zen di Riccardo :-)

Vi avevo promesso un post sulla sicurezza del WCC 2008. Eccolo qui! In poche parole la connessione WiFi era aperta : circa 6 o 7 hotspot con lo stesso SSID e connessione assolutamente in chiaro, senza proxy di autenticazione o altre forme di protezione della navigazione. Persino il mio albergo aveva una connessione in chiaro ma con un proxy per l'autenticazione :-( mentre tutti gli altri hotspot intorno avevano almeno una cifratura WEP (peccato per il poco traffico altrimenti avrei potuto navigare gratis...). Il bello è che la connessione WiFi alla conferenza era tranquillamente raggiungibile anche da fuori il WCC. Quindi seduto comodamente al Bar di fronte (test che ho fatto mentre mangiavo un panino) si poteva fare una bella sessione di WiFi Sniffing, con il portatile chiuso, dentro la borsa, senza dare il minimo sospetto... Basta una Linux, Kismet e Wireshark . Capisco che gestire quella marea di persone con anche le problematiche relative all'autenticazione per il WiFi non...

Se volete saperne di più sul Kernel di Windows VISTA e sulle differenze rispetto alle precedenti versioni, vi giro parte del post di  Feliciano Intini. Gli articoli sono più che attendibili, visto che Mark Russinovich ( sysinternals.com ) è il papà della serie di libri su Windows e l'autore di tutti quei fantastici software per la gestione del sistema ( ProcessExplorer , ProcessMonitor , TcpView , etc. etc.). Ecco parte del post di Feliciano: La pagina web dedicata al libro Windows Internals (la cui 5a versione - da non perdere - è attesa per gennaio 2009) riporta una serie di suoi articoli che vale la pena leggere: Inside the Windows Vista Kernel: Part 1 Inside the Windows Vista Kernel: Part 2 Inside the Windows Vista Kernel: Part 3 Inside Windows Vista User Account Control Inside Windows Server 2008 Kernel Changes La sua video intervista su Technet Edge: Interview with Mark Russinovich: the future of Sysinternals, Security, Windows in cui parla, tra le altre cose, di questi asp...

Sono appena ritornato dal congresso  IFIP WCC 2008,  che per la prima volta si è svolto in Italia e precisamente al MIC di Milano (non me la ricordavo così: un cantiere a cielo aperto con delle metro calde come quelle romane).  Il convegno ha ospitato molte  conferenze attinenti a diverse branche dell'Informatica . Dall'Intelligenza Artificiale all'Open Source, sino alla Security. Interessante anche il taglio del congresso, che ha puntato ad unire conferenze accademiche, tecniche e legate al comparto dell'industria ICT. E' stato impossibile seguire tutto, anche perché sono stati sottomessi più di 600 lavori e presentarli in 4 giorni ha richiesto necessariamente la parallelizzazione di molte convegni e sessioni, spesso all'interno dello stesso convegno.  Per quello che mi riguarda (ovviamente) ho seguito principalmente il convegno IFIP-SEC e quello sull'E-government. Tutti lavori molto interessanti e molto innovativi. Molti i cinesi, in numero ragguardevole i...

Stavo ravanando nel mio SPAM quando ho visto i soliti, e mal tradotti, messaggi di SPAM di Poste: Certo che questi Spammer potrebbero anche fare un corso di lingua italiana :-) Poi invece lo SPAM di QuiUBi mi sorprende. Sono più raffinati e si vede che hanno studiato meglio la nostra lingua. Ma che c'entra GoogleChrome ? Provando a cliccare sulle spam-url, Google-Chrome apre una bella schermata di avvertimento. La blacklist non è ancora completa ma almeno è un passo avanti contro lo SPAM. Comunque Google Chrome è di una velocità impressionante. Da provare assolutamente.