CyberSecurity 1337

Sì, potrà sembrare poco Java-style , ma memorizzare password o informazioni sensibili in variabili di tipo String in Java (ma anche C#) non è una buona idea .  Le stringhe in Java sono dette "immutabili" perché una volta inizializzate non è possibile cambiarne il contenuto (e quindi nemmeno poterle sovrascrivere!). E, come se non bastasse, il garbage collector non è così solerte nella cancellazione  delle stringhe grazie al cosiddetto  String Interning . Insomma nessuno vi garantisce che la stringa venga effettivamente cancellata e voi comunque non potrete sovrascriverla! La soluzione è semplice: usate gli array di caratteri , possibilmente evitando di "hardencodarli" nel codice. Così sarete garantiti sia dalla possibilità di sovrascriverne il contenuto, che nella maggior solerzia del garbage collector! Se volete approfondire l'argomento potete leggere la raccomandazione di secure coding  qui .

Le più grandi case costruttrici di hard disk si stanno accordando per convergere ad uno standard per la cifratura hardware delle memorie di massa. L'obiettivo è quello di dotare ogni hard disk (anche a stato solido e quindi anche pen drive USB) di cifratura hardware con algoritmi AES-128 o AES-256. Speriamo che attraverso una economia di scala favorita da accordi di questo tipo, la cifratura hardware delle memorie di massa diventi la norma soprattutto nei dischi dei notebook e dei pen drive USB.  In questo modo il problema della perdita di dati ed in genere di informazioni riservate e/o sensibili potrà essere almeno arginato.

Estremamente interessante: Integrity Levels .  In breve: Windows VISTA e il nuovo Windows 7 implementano un modello per il controllo degli accessi basato anche sul modello di BIBA  (che non è un gatto)   per la garanzia dell'integrità delle informazioni. Non solo ACL discrezionali quindi!

Interessante prospettiva:  leggete qui

Nelle copie pirata di  Apple iWork '09, diffuse nei vari circuiti torrent e P2P, è stata scoperta la presenza di un Troiano chiamato  "iServices.a".  Si installa all'atto dell'installazione di iWork e, visti i suoi privilegi elevati, sembra che permetta il controllo remoto della macchina. La società Indego ne dà comunicazione ufficiale ma anche diversi "utenti" di PirateBay confermano la notizia. Sembra un film già visto: un sistema operativo comincia a diffondersi, fioriscono le copie pirata di applicazioni per esso, fioriscono nuovi malware. Forse è il caso di installare qualche antivirus anche su Mac. Ma i Mac non erano sicuri per definizione?

Se avete un po' di tempo da dedicare a qualche lettura interessante, ma non troppo impegnativa, vi segnalo la sezione "Security Viewpoint" della TechNet Microsoft: Security Viewpoint Sono a mio avviso particolarmente interessanti: Security in a Virtual World Inside the Windows Vista Kernel Applying the Principle of Least Privilege to Windows Vista How to Shoot Yourself in the Foot with Security, Part 2: To ACL or Not to ACL Security Myths: part 1 Security Myths: part 2 Ovviamente alcuni post sono Microsoft oriented, ma sono comunque interessanti.

Vi segnalo l' ottimo post di Felciano Intini, che chiarisce quali siano i vettori di attacco del worm Conficker.B.  Nel suo post vi sono inoltre utili riferimenti per le difese da implementare nella propria struttura.

SANS ha stilato l'ennesima classificazione dei più comuni errori di programmazione che hanno impatto sulla sicurezza del software: Insecure Interaction Between Components These weaknesses are related to insecure ways in which data is sent and received between separate components, modules, programs, processes, threads, or systems. CWE-20 : Improper Input Validation CWE-116 : Improper Encoding or Escaping of Output CWE-89 : Failure to Preserve SQL Query Structure (aka 'SQL Injection') CWE-79 : Failure to Preserve Web Page Structure (aka 'Cross-site Scripting') CWE-78 : Failure to Preserve OS Command Structure (aka 'OS Command Injection') CWE-319 : Cleartext Transmission of Sensitive Information CWE-352 : Cross-Site Request Forgery (CSRF) CWE-362 : Race Condition CWE-209 : Error Message Information Leak Risky Resource Management The weaknesses in this category are related to ways in which software does not properly manage the creation, usage, transfer, or dest...

Ci saranno un milione di post che dicono come fare il WIPE del disco rigido.  E allora? 1.000.000 e 1. A che serve fare il WIPE de disco?  Ad evitare che dopo aver rottamato o ceduto  il vostro vecchio PC (anche se avete prudentemente formattato prima il disco) qualcuno risalga alle vostre informazioni precedentemente registrate. Non penserete davvero che la formattazione cancelli i dati dal disco sovrascrivendoli vero? Come fare il WIPE? Tre le principali possibilità (in una linux box): DD: dd if=/dev/zero of=/dev/hda SHRED:   shred -u -n 5 /dev/hda Utilizzate qualche tool per il wiping (attenzione però a non esagerare, altrimenti il disco sarà inservibile e se proprio volete disintegrarlo guardate qui ) Necessario come detto una Linux Box live. Shred e DD sono presenti per esempio nella Ubuntu. Se poi volete approfondire l'argomento vi consiglio di leggere il paper del prof. Peter Gutmann. Scommetto che avete già sentito questo nome...

Ne hanno ampiamente parlato i giornali e quindi è inutile continuare ad approfondire ulteriormente l'argomento.   Però sarebbe auspicabile un maggior controllo da parte di Facebook sui gruppi che vengono aperti, altrimenti diventa la terra di nessuno. Non si può fare affidamento solo sul buon senso delle persone. E spero proprio che gli anti-censura non innalzino la loro bandiera. Questa non è censura è decenza! Che facciamo aspettiamo che compaiano i gruppi del pedoporno? Sì al social network no al pizza connection!

Sappiamo tutti che il  controllo degli accessi alle informazioni è essenziale per preservare confidenzialità e integrità (e quindi anche privacy) delle stesse. E' però un processo difficile da implementare fino in fondo e con successo, perché quasi sempre include il fattore umano che ne rappresenta l'anello debole (ex: basta pensare al Social Engineering).  Insomma alla fine, a meno che non si stia parlando di autenticazione tra sistemi, c'è sempre un utente che fa qualche cosa :-) Per sopperire quindi alla inevitabile fallacia del controllo degli accessi, bisogna necessariamente ricorrere anche ad attività complementari, tra le quali la più importante è quella dell' audit di sicurezza . La definizione che Wikipedia ne dà è la seguente: "Nell'ambito della sicurezza informatica, l'audit è una valutazione tecnica manuale o sistematica misurabile di un sistema o di un'applicazione." Per implementare correttamente un auditing degli accessi è necessari...

Il mirroring dei dati non è un backup. Mi sembra chiaro. Ma se ancora succedono certe cose a chi fa business evidentemente non è così chiaro per tutti (fatevi due risate) . Il mirroring è una replica fedele di tutti gli ultimi dati disponibili tra diversi supporti fisici, tale da garantire la continuità del servizio in caso di fallimenti di scritture a basso livello (dove per basso livello si intende un livello inferiore o uguale al SO). Nel mirroring con la ridondanza dell'hardware ridondiamo anche i dati in esso contenuti. Ma solo degli ultimi dati disponibili.  Il mirroring inoltre è sempre un'attività automatica. Il backup invece permette di effettuare archiviazioni dei dati contenuti in un supporto (non necessariamente tutti) ad un certo tempo T . Storicizzando i backup si ottengono quindi dei diversi "save-point" con cui è possibile effettuare delle operazioni di ripristino in caso di corruzioni logiche o fisiche (es: se cancellate tutti i file di una direct...

Chi di voi ancora non è su Facebook alzi la propria mano. E anche se affermate di non esserlo sapete quanto questo fenomeno sia in voga in questo momento nel nostro paese. Lungi da me fare considerazioni filosofiche. Bastano la TV, i giornali e la radio con tutti i vari e nuovi psico-socio-tecno-esperti che si gettano nell'arena mediatica per dare il loro prezioso (secondo loro) parere su Facebook. Facebook , per aumentare - sostengono - la sicurezza degli utenti, sta chiedendo da un po' di giorni ad ogni suo iscritto di scegliere la fatidica " Domanda di sicurezza " ed inserire quindi la relativa "risposta". Nulla di strano. Molti sistemi prevedono questo meccanismo di backdoor nel caso in cui l'utente si sia scordato la password di accesso al sistema (anche se personalmente sono dell'opinione che è più un rischio che una risorsa di sicurezza). Osservando però le diverse domande che Facebook propone, ci si rende conto che quelle domande, e le relati...