CyberSecurity 1337

Ce l'hanno fatto un'altra volta!  Come nel 2005, sono riusciti a farsi accettare un articolo generato in modo automatico . La conference è di IEEE CSSE:  Computer Science and Software Engineering  e l 'articolo è  " Towards the Simulation of E-commerce ". L'autore è un certo Herbert Schlangemann. Fatevi un giro su Internet per capire chi è, perché io non ho il coraggio di mettere un link diretto :-) Che vi fossero problemi nel processo di review degli articoli era fuor di dubbio, ma adesso si sta esagerando. Che attendibilità hanno gli articoli già pubblicati a questo punto? Forse andrebbe rivisto l'intero processo di pubblicazione e magari fare in modo che le pubblicazioni di un autore non possano eccedere una certa frequenza (oltre ai problemi di plagio che però sia ACM che IEEE stanno già considerando). Gli articoli pubblicati in queste conferenze costituiscono di fatto la base della conoscenza informatica accreditata e "controllata". Ma forse...

Questo Natale fatti amico un Geek :-) Tanti auguri per un buon natale

Se sviluppate su Windows VISTA vi consiglio di affrettarvi e di andare sul sito della Microsoft Press che, per i suoi 25 anni,  distribuisce gratuitamente la versione elettronica del libro " Writing Secure Code for Windows Vista " di Michael Howard and David LeBlanc (autori di sicuro rilievo nel campo della software security).  Consiglio la lettura del libro poiché VISTA implementa meccanismi di sicurezza indubbiamente più stringenti rispetto ai suoi predecessori. Se però ritenete che VISTA sia insicuro per definizione potete evitare di leggere il tomo :-)

Ieri alle 19:00 Microsoft ha rilasciato la patch per la grave vulnerabilità scoperta in Internet Explorer (praticamente tutte le versioni). Ecco il link:  http://www.microsoft.com/technet/security/bulletin/ms08-078.mspx Consiglio a tutti di sbrigarsi nel patchare le macchine client.  Se avete già sostituito IE con Firefox allora probabilmente avrete visto che anche quest'ultimo ha aggiornato la versione alla 3.0.5. Anche qui per numerose vulnerabilità presenti nella 3.0.4 .

Ma siamo tutti convinti che i nostri dati memorizzati gelosamente sul DVD di turno saranno disponibili tra 10 anni? Forse no. Quanti supporti in 30 anni sono caduti in disuso? Quante piattaforme hardware, software e formati oramai sono irreperibili e/o inutilizzabili? E allora che fare?  Il backup certo, con il restore di sicurezza per controllare che il backup sia effettivamente riuscito. Ma c'è una terza cosa la "conversione": ovvero convertire periodicamente i dati dai vecchi formati/supporti ai nuovi formati/supporti. Un esempio?  Tempo fa aprendo un cassetto ho trovato dei miei vecchi programmi scritti in C e C++. Avevo la tenera età di 17 anni e per me sono dei cari ricordi (qualcuno potrebbe trovare strana questa affermazione ma tant'è). Ah, dimenticavo! I programmi erano (e lo sono tutt'ora) memorizzati su Floppy da 3" 1/2! Un brivido dietro la schiena ed una rapida occhiata al mio PC, che stranamente aveva ancora un Floppy drive funzionante, ed ho pr...

Google ha rilasciato, con licenza Creative Commons 3.0 e a firma di  Michal Zalewski  (Google Security Team),  un manuale che definisce le caratteristiche di sicurezza dei maggiori browser comparandole tra loro. I browser esaminati sono i seguenti: Microsoft Internet Explorer (versioni 6 e 7) Mozilla Firefox (versioni 2 e 3) Apple Safari Opera Google Chrome Android embedded browser Per ogni caratteristica di sicurezza vi sono delle tabelle comparative che permettono allo sfortunato web developer di capire come la caratteristica di sicurezza venga implementata nei diversi browser. Molto utile non c'è che dire! Questa è l'introduzione dell'autore del manuale nella pagina Wiki del progetto : Browser Security Handbook is meant to provide web application developers, browser engineers, and information security researchers with a one-stop reference to key security properties of contemporary web browsers. Insufficient understanding of these often poorly-documented characteris...

Peccato! Devo dire che questa volta avevano iniziato bene ma poi sono caduti sul solito ORRORE di ortografia.  "Per attivare il tuo account, la preghiamo di [...], hanno per rispondere...." Ma con tutti i soldi che si fregano non si possono permettere un traduttore dal russo/estone/cinese/coreano all'italiano? Ovviamente il link non punta alla banca ma ad un PC a Seoul nella Corea del Sud.

Per tutti quelli che aspettavano la nuova versione di PHP 5.2.7, una terribile notizia . La versione in questione contiene un baco di sicurezza niente male. In poche parole viene disattivata la funzionalità (a dire il vero oramai deprecata) "magic_quotes_gpc":  anche se impostata non funzionerà. In sostanza la direttiva " magic_quotes_gpc " esegue automaticamente l'escape di apici e doppi apici presenti nei parametri passati in GET e POST. Come difesa dalle "SQL Injection" oramai è abbastanza debole e per questo è consigliabile fare una " data validation " più accurata.  Per il software legacy però è meglio non avere una versione bacata di PHP e poiché tra una settimana verrà rilasciata la 5.2.8, forse è il caso di aspettare. --- AGGIUNTA DEL 10/12/2008 --- E' stata rilasciata la versione 5.2.8 che risolve il problema.

Ha attraversato l'oceano un'altra delle mirabili idee del nostro amato Premier: regolare Internet . Si sarà consigliato con il governo Cinese che è esperto in materia. "The President of Italy, which will have the Presidency of the G8 starting January 1, says he wants to use the future position of Italy to 'Regulate the Internet.' Italy's President Berlusconi appears to be a cantankerous character, prompting riots when Italy last had the G8 presidency in 2001. This will no doubt be a serious effort, but knowing the fundamental design of the Internet involves routing around damage, the efforts could be more amusing than threatening." Update — 12/5 at 00:04 by SS: Reader fondacio noted that Silvio Berlusconi is Italy's Prime Minister, not its President. He is Italy's G8 representative, and Italy will hold the presidency in 2009." Non potremmo proporre ai cinesi di adottarlo? In fondo è simpatico...

Non tutti sanno che Microsoft dopo la disastrosa esperienza di VISTA ha deciso di rendere lo sviluppo del prossimo sistema operativo di Redmond "collaborativo". Nell'alveo della collaborazione c'è anche il blog del gruppo di ingegneri che si dedicano appunto alla ingegnerizzazione del nuovo SO: Windows 7.  Il blog ha come finalità il recepimento di possibili indicazioni da parte della community degli utenti Windows prendendo in considerazioni le loro, spesso, giuste critiche. Come sappiamo una delle caratteristiche più contestate di VISTA è lo UAC. Personalmente mi aspettavo queste contestazioni. Non perché sia implementato male, ma perché passare da un SO che ti fa fare qualsiasi cosa ad uno che ti chiede abbastanza spesso il consenso è sempre abbastanza impattante sull'usabilità del sistema. Ma tant'è. Ricordate? Usabilità e Sicurezza sono nemici giurati e spingere da una parte rende inevitabilmente il sistema meno usabile o meno sicuro.  E questo è stato. ...