CyberSecurity 1337

Alla faccia di tutti quelli che affermano : " I Mac sono più sicuri intrinsecamente e non hanno bisogno degli antivirus ". Apple consiglia tre antivirus per i propri gioielli di famiglia. Apple encourages the widespread use of multiple antivirus utilities so that virus programmers have more than one application to circumvent , thus making the whole virus writing process more difficult . Here are some available antivirus utilities : Intego VirusBarrier X5, available from the Apple Online Store License : commercial   Symantec Norton Anti-Virus 11 for Macintosh , available from the Apple Online Store License : commercial   McAfee VirusScan for Mac License : commercial

Decifrare un messaggio a mano aveva certo il suo fascino . Anche l'inchiostro "simpatico" e i "folder" con scritto "confidential" hanno un sapore retrò. Un po' di immagini dell'ufficio cifra dell' FBI (circa 1940) messe a disposizione  da LIFE sul sito di Google .

Sì, certo, la tutela della privacy degli utenti è fondamentale, soprattutto per quelli "poveri". Ecco quindi la seconda bella pensata: rendere le " Social Card " anonime. La prima è quella della "Tessera annonaria"...ooppps.....scusate, "Social Card". Ma perché tutelare la privacy del povero utente "povero"? Il "povero", quando va ad acquistare un bene di consumo con la sua nuova e fiammante Social Card, ci va di persona e mostra la sua faccia. Certo non ha scritto nome e cognome sulla fronte, ma qualcuno potrebbe comunque riconoscerlo e quindi identificarlo, accoppiando il nome e cognome al volto riconosciuto, alla social card posseduta dal "povero". Alla fine avviene l'infausta associazione: lui ha la social card ergo è "povero". Per evitare questa identificazione il povero utente "povero" dovrebbe andare in tutt'altra zona (ma se è "povero" non ha la macchina e quindi deve pre...

Suvvia dopo la SP1 è migliorato ... La sicurezza sicuramente. Sulle performance ho qualche dubbio però. 

Altro esempio di antispam aziendale che non utilizza tecniche di rilevazione di errori di ortografia per l'intercettazione dello SPAM: Abbiamo studiato suo C.V. e vorremo ofrirLe un lavoro. Suo stependio depende da Lei!. 810 euros per 6 giorni. Deve avere: 1 Dal 1,5 a 7,5 ore liberi al giorno. 2. Personale e-mail. 3. Cellurare . Se questo lavoro e interessa scrive a nostro manager al indirizzio : Jose.T.Cunha@gmail.com Scrive via e mail suo nome, eta e citta . Tutte le istruzione sara spedito nella risposta. Grazie.

Interessante proposta di Alfredo Bregni al RomeCamp2008: il gestore dell'ultimo miglio non dovrà essere più la società di TLC ma bensì il singolo utente.  L'idea è interessante e potrebbe avere dei risvolti non marginali nella connettività della popolazione, contrapponendosi alla dipendenza attuale dal gestore TLC. Bregni chiede un po' di tam tam e io rispondo perché l'idea mi piace. E su Lulu.com potete trovare il saggio scritto da Bregni. OTTIMO LAVORO!

Non mi piace lo SPAM . Si capisce. Ma lo tollero perché non posso fare altrimenti. Se del resto mi propongono un investimento in Congo, non ci credo, oppure se mi dicono di chiamare il cell . del medico tizio, oramai sono pronto: ricerca su Google;  Hoax ; Bufala; trovato == SPAM . Giorni fa un caro amico invia a me e ad altri amici una mail in cui si racconta la storia di una ragazza che durante una grigliata sviene per un malore. Nessuno dà importanza al fatto, ma in realtà è un infarto e dopo poche ore la malcapitata muore. Nella mail vi sono quindi i consigli di un sedicente neurologo (poi si trasformerà in cardiologo) su come sia possibile riconoscere un attacco cardiaco. Infine il cardiologo afferma che se si invierà la mail ad altre 10 persone, la catena salverà la vita a tante persone. Ovviamente è una bufala e  anche molto pericolosa  perché fornisce una serie di indicazioni false e fuorvianti che l'infermiere improvvisato di turno potrebbe mal interpretare, arrecando pers...

Cosa è che ci distingue nel regno animale? Forse la capacità di ragionare in modo razionale e di non agire secondo l'istinto. Manteniamo questo primato! 25 novembre: un momento per ricordare a tutti che le donne vanno rispettate sempre e comunque

Grazioso articolo su Microsoft MSDN di Howard .  Volete capire quanto ne sapete di software security (o meglio di secure coding )? Fate il test, magari sotto l'ombrellone e potrete capire finalmente quanto ne sapete veramente. Più che testare il quoziente intellettivo per la software security è un passatempo: nemmeno tanto divertente. Questa è veramente la solita americanata (o microsoftata ) e anche Howard deve fare un po' di marchette per mamma Microsoft. Questa Software Security sta diventando un'altra bolla...

Vi giro in modo "selvaggio" un post segnalato da Bruce Schneier. Nel post viene analizzato un PDF malizioso con dovizia di particolari grazie alla, spesso sconosciuta, capacità dei PDF di storicizzarne le modifiche.  In questo caso l'autore del PDF malizioso, ignaro del versioning del PDF, ci regala una cronistoria di come abbia creato questo malware.

Dagli archivi dell' NSA sono usciti dei corposi libri (tutti disponibili in PDF) in passato classificati come TOP SECRET.  I ltitolo è: " American Cryptology during Cold War 1945-1989 ". Chi volesse dargli un'occhiata vada qui . Interessante la modalità di secretazione di alcune parti :-)

Adesso il GAT scende in campo contro lo SPAM su Facebook . Cavolo era ora! Noi poveri utenti cretini avevamo bisogno di un nucleo nutrito di persone preparate per fermare lo SPAM su Facebook! Forse sarebbe il caso di fermare prima lo SPAM via e-mail o no? Ma Facebook è più di moda e d'altronde perché levare la possibilità a qualche finanziere di mettersi in mostra? Per non parlare del sito. Ma quelli non sono soldi pubblici? Mha! :-(

Come capire se un disco rigido è al termine della propri vita? Il mio passato da Hardwarista mi ha insegnato ad ascoltare molto attentamente i diversi "rumori" del disco rigido per capire se vi fosse qualche possibilità di rottura imminente. Una società di Data Recovery ha messo in linea differenti "rumori" di dischi rigidi in fase di rotture. L'ordinamento è per marca e per tipologia di malfunzionamento. Un'idea sicuramente utile. Non mi stancherò mai di ricordarvi l'assioma base della sicurezza delle informazioni: "Il backup è fondamentale" Il corollario: "Il restore verifica che il backup sia andato a buon fine"

Cari amici vi invito a sottoscrivere la petizione on-line per contrastare la Proposta Di Legge che cerca di mettere il bavaglio alla libera espressione dei blogger. Di rado faccio escursioni in campi che vanno al di fuori della sicurezza delle informazioni, ma questa volta il motivo mi sembra più che valido. Ecco la petizione che potete firmare qui: A: Presidente della Camera dei Deputati La nuova disciplina del settore dell'editoria e delega al Governo per l'emanazione di un testo unico delle disposizioni legislative in materia di editoria intenderebbe difatto includere anche l'attività dei semplici blogger obbligandoli all' iscrizione nel Registro degli operatori di comunicazione ( ROC ) con la conseguente applicazione delle norme sulla responsabilità connessa ai reati a mezzo stampa e il rischio di denuncia per stampa clandestina in caso di mancata iscrizione. L'articolo 8 definisce quanto segue: ´ Sono esclusi dall'obbligo dell'...

Oggi è un anno esatto che è nato questo blog. Quasi per gioco. E' tempo quindi di un primo bilancio. Il campo della security è strano: estremamente tecnico in alcuni frangenti ma anche molto astratto in altri. Del resto per sua natura la sicurezza delle informazioni è trasversale, non solo agli ambiti tecnologici ma anche ai diversi livelli di dettaglio delle tecnologie e dei processi. E' difficile quindi mantenere una conoscenza vasta e anche approfondita. Vedo però aumentare i venditori di fumo, ma confido che verrano automaticamente espulsi da un processo di selezione naturale che tende a selezionare comunque i più preparati nel medio-lungo periodo.  Il fenomeno "one-man-show" all'americana sta aumentando anche in Italia, senza però averne la scuola. " The italians do it better " E sono d'accordo con questa frase, ma forse dobbiamo imparare un po' di sano pragmatismo e tecnica di esposizione dai nostri colleghi d'oltre oceano. Per il resto...

Ammetto di girarvi tale e quale un post di Bruce Schneier. Ma sinceramente non sapevo che q ualcuno stesse annotando i diversi tentativi nel tempo di dimostrare che P=NP oppure che P!=NP. Questo l'ultimo articolo che tenta di dimostrare che SAT non è in P . Ma come qualche commentatore ha detto a Bruce: - gli esperti di AI assumono che P=NP in modo da risolvere problemi ardui - gli esperti di sicurezza assumono che P!=NP in modo da garantire la sicurezza Vedremo mai chi ha ragione? Oppure come sostiene qualcuno P=NP è una di quelle congetture che non verranno mai dimostrate?

E' uscita la nuova versione di TrueCrypt: 6.1.  Oltre a diversi bug fix e a migliorie riguardanti le partizioni nascoste e cifrate, mi sembra interessante la nuova feature che permette l'autenticazione mediante "security token" e smartcard. Purtroppo però prevede solo lo standard PKCS#11 per l'interfacciamento a dispositivi di sicurezza. Nulla da fare per i CSP (Cryptographic Service Providers) di Microsoft. Del resto quasi tutti i device di sicurezza oramai prevedono (fortunatamente) tutti e due gli standard.

Sono in ritardo di un giorno, ma tant'è: buon compleanno Morris Worm .  Nel 1988 si diffondeva il primo worm della storia di Internet. E' inutile che vi racconti tutta la storia ( potete leggerla su Wikipedia ), ma al solito uno studentello del MIT ha innocentemente creato un programma per "controllare" la "grandezza" dell'Internet di allora. Robert Tappan Morris è il suo nome ( oggi  professore associato al MIT). Peccato che poi dei bug nel worm hanno di fatto cambiato la sua natura in Worm malevolo. In giro potete trovare i sorgenti del Worm:

Defacement del sito di Giulio Tremonti : ------UPDATE ------ Alle 21.27 è stato ripristinato il sito originale.

Bruce Schneier et al. hanno presentato la loro proposta al contest del NIST per il nuovo algoritmo hash che soppianterà la famiglia degli SHA. Skein è il nome scelto da Schneier & co.  I tempi per la nuova famiglia di funzioni hash non sarà breve. Circa 4 anni solo per la selezione, in cui verranno analizzati tutti gli algoritmi presentati. Qui potete trovare il  codice sorgente  e l' articolo  della submission. 

Che bello! Google Street View anche nelle grandi città italiane. E girando (virtualmente) per le strade mi sono accorto che le targhe avevano qualche cosa di particolare. Erano oscurate! Fantastici questi di Google, troppo forti. Poi gironzolando un amico mi fa notare una cosa: le targhe ogni tanto non riescono ad essere oscurate! Accidenti questi di Google allora non sono così forti come dicono di essere. E se quel giorno quella targa lì per sfortuna fosse di qualcuno che è andato a trovare l'amante? Il riquadro nero l'ho aggiunto io e come vedete la targa si legge molto bene. Comunque tranquillizzatevi perché Google StreetView prevede una modalità di segnalazione (fatta dagli utenti) di foto "inappropriate", con cui potete segnalare foto che violano in qualche modo la privacy. Tranquilli voi... :-)