CyberSecurity 1337

Imperdibile e utilissimo webcast di Raffaele Rialdi sugli aspetti cruciali di Windows VISTA e 7 per quello che riguarda lo sviluppo e l'installazione di applicazioni. Gli argomenti esaminati sono UAC, LUA, Virtualizzazione, Integrity Level e molto altro. Il video, disponibile in streaming sul sito della Microsoft, dura circa 30 minuti. Raffaele è persona estremamente preparata negli aspetti di application security e qui dimostra anche le sue doti oratorie. Per chi ha dovuto subire o dovrà fare un upgrade aziendale a VISTA, questo video chiarisce molti degli aspetti ancora poco conosciuti e fornisce delle best practice per il funzionamento di applicazioni legacy in un contesto di sicurezza molto più restrittivo di XP e Windows 2000. Raffaele inoltre chiarisce ancora una volta i concetti base quali Access Token, DACL e Integrity Level.  Mi accorgo che spesso questi concetti non sono per nulla conosciuti, impedendo quindi una corretta analisi dei problemi. Figuriamoci poi le soluzion...

Ci avrei giurato che l' NSA si sarebbe offerta di collaborare con il nostro governo per intercettare il traffico Skype. La storia di Skype e delle intercettazioni impossibili sbandierata su tutti i giornali mi puzza di avvertimento per i cattivoni. Non c'è bisogno di sbandierarlo a chiunque. Le tecnologie ci sono e gli accordi, sottobanco, tra i governi e Skype anche (checché ne dicano). Figuratevi se i nostri servizi non si sono già mossi in tal senso e con un po' di quattrini volete che non si muova nulla? Ovviamente quando parlo di tecnologie non mi riferisco alla forzatura della suite crittografica, cosa abbastanza difficile, o all'intercettazione massiva, difficile con la struttura P2P. Mi riferisco ad attacchi mirati sui PC dei possibili intercettati. Insomma sui giornali avrebbero potuto scrivere: " Attenti cattivoni, adesso intercettiamo anche voi ". Il risultato? I cattivoni utilizzeranno altri strumenti e si faranno più furbi. Magari si inventeranno...

Presentato da tre ricercatori vietnamiti al recente BlackHat DC 2009 un attacco  ai sistemi di autenticazione biometrici   di riconoscimento facciale dei laptop Lenovo , Asus e Toshiba . In buona sostanza i software integrati di autenticazione biometrica facciale, che sfruttano la WebCam on- board , non garantirebbero certo una buona sicurezza. Per exploitare il sistema basterebbero un po' di buone fotografie, condizioni di luce opportune e un po' di pazienza (a dire il vero non molta).  Nel documento presentato viene anche illustrata una tabella di comparazione tra i vari sistemi di autenticazione biometrica. Tra questi il sistema di riconoscimento facciale ha il più alto FRR (False Reject Rate) in relazione al FAR (False Acceptance Rate).  E visto che la tabella presenta dei risultati con condizioni di luce ottimali e strumenti di riconoscimento biometrici di elevata sensibilità, diventa difficile capire come le webcam a 1.3 Mpixel e le condizioni variabili di luce ...

Vi interessa capire cosa sia cambiato in Windows VISTA rispetto alle precedenti versioni e avete oramai capito che cos'è l'UAC?  Questo intervento al BlackHat DC 2009 mette in evidenza le nuove security internal feature di VISTA. Se poi vi piace disassemblare codice qui troverete pane per i vostri denti.

Interessante questo articolo pubblicato da Psychological Science e autorevolmente indicizzato da PubMed! La pronuncia è difficile ? Allora deve essere una cosa rischiosa! Low processing fluency fosters the impression that a stimulus is unfamiliar, which in turn results in perceptions of higher risk, independent of whether the risk is desirable or undesirable. In Studies 1 and 2, ostensible food additives were rated as more harmful when their names were difficult to pronounce than when their names were easy to pronounce; mediation analyses indicated that this effect was mediated by the perceived novelty of the substance. In Study 3, amusement-park rides were rated as more likely to make one sick (an undesirable risk) and also as more exciting and adventurous (a desirable risk) when their names were difficult to pronounce than when their names were easy to pronounce.

" ehhhh, non te lo posso dire. Sai com'è...è una soluzione estremamente sicura e gli algoritmi non possono essere certo rivelati. Pena la sua insicurezza! " Sì, è successo ancora. E proprio a me! Tra grandi sofferenze, mi hanno rivelato il segreto. Inconfessabile. Quasi ai limiti del rossore e della vergogna.  I dettagli, come nei migliori film di spionaggio, non possono essere rivelati. Ed io che pensavo che la sicurezza di un sistema fosse garantita da un'ampia review degli algoritmi e della implementazione, e dalla sola segretezza della/e chiave/i di cifratura! Io, illuso come quel certo " Kerckhoffs " e i suoi strampalati principi che non servono a nessuno.  Ma che ci importa di tonnellate di libri, pubblicazioni ed esperienze? Noi ci reinventiamo la ruota: quadrata però! Un pizzico di offuscamento, parecchia segretezza, qualche nozione di crittografia (sceglieranno un DES ne sono sicuro) e un po' di sana insofferenza verso la crittografia pubblico-p...

Gartner propone il suo "magic quadrant" per i prodotti di static code analysis. Un parere sicuramente autorevole da cui emerge ancora una volta che Fortify è il prodotto leader. Ma non stento a crederlo. Appena possibile farò una review completa di Fortify SCA. Potete scaricare il PDF liberamente dal sito di Fortify.

Vi segnalo questa ottima ed esaustiva analisi del worm Conficker. Worm che sta mettendo a dura prova aziende ed utenti casalinghi. Per invogliarvi accludo l'indice dell'articolo (da leggere con calma e attenzione):

Interessante intervista di Gaia Bottà (Punto Informatico) a Giuseppe Corasaniti (magistrato esperto di problemi giuridici della comunicazione e dell'informatica e di diritto informatico) sul DDL sulle intercettazioni .  Il DDL, attualmente in discussione nella Commissione giustizia al Senato, contiene anche un articolo  (art. 15) in cui si regolamenta anche la rettifica a mezzo web di notizie lesive: "...Per i siti informatici, le dichiarazioni o le rettifiche sono pubblicate, entro quarantotto ore dalla richiesta, con le stesse caratteristiche grafiche, la stessa metodologia di accesso al sito e la stessa visibilità della notizia cui si riferiscono..." Come al solito si tenta in modo maldestro e burocratico di risolvere i non-problemi. Per sapere chi è Giuseppe Corasaniti leggi qui .

Questo dimostra che l'elemento più pericoloso per un sistema è l'uomo. Non che avessi molti dubbi! Nella giornata di sabato 31 gennaio, un banale errore umano nell'aggiornamento delle black list di Google ha fatto sì che tutti i siti indicizzati venissero classificati come pericolosi "per il tuo computer" .  Ovviamente, dopo aver sistemato a tempo di record il problema, Google  si è scusata.  Pensare però che un gigante come Google, che ha fatto dell'efficienza e della sicurezza dei suoi sistemi il carattere distintivo del suo business, commetta una "gaffe" del genere per un banale errore umano, non è il massimo. Poi osservando l'errore ci si domanda se il sistema non avesse potuto evitare certe banalità! " Unfortunately (and here's the human error), the URL of '/' was mistakenly checked in as a value to the file and '/' expands to all URLs" Continuo a pensare che il caro vecchio DoS sia estremamente pericoloso e at...