CyberSecurity 1337

Questa poi! Io l'ho già ordinato, anche perché è gratis . Un meraviglioso poster formato A0 che riepiloga tutti gli aspetti di sicurezza da tenere a mente quando si sviluppa in PHP. Certo dovete avere una parete adeguata, se non a casa in ufficio, però volete mettere l'utilità?

Donare il sangue è un dovere ma pochi lo fanno. Pur non essendo un assiduo donatore, di recente mi sono recato presso la locale parrocchia che con l'AVIS ha organizzato la raccolta di sangue. Per chi non lo sapesse, prima di donare il sangue si deve compilare un modulo da consegnare ad un primo medico che lo analizzerà e che poi farà alcune domande al probabile donatore, decidendo se questi potrà o meno appunto donare. Viaggi all'estero, agopuntura, rapporti extraconiugali, cure per malattie recenti, operazioni chirurgiche, uso di sostanze stupefacenti, etc: sono tutti elementi che inducono il medico ad una valutazione ulteriore o eventualmente al rifiuto del donatore. Ma torniamo alla parrocchia. Una volta entrato nei locali adibiti alla donazione del sangue, ho trovato con soddisfazione una fila di 5 persone in attesa per la visita pre-donazione. La stanza che ospitava il medico e il paziente sottoposto a visita però presentava una dislocazione alquanto singolare: la porta di...

Una vulnerabilità di tipo 0-day è stata identificata in Microsoft Internet Explorer 6 e 7. La vulnerabilità, causata da un "dangling pointer" in Microsoft HTML Viewer (mshtml.dll) quando utilizza oggetti CSS/STYLE tramite il metodo "getElementsByTagName()" , può provocare il crash del browser oppure l'esecuzione di codice malizioso, semplicemente inducendo l'utente a visitare pagine Web maliziose. Anche Symantec conferma l'esistenza di tale 0-day e suggerisce come soluzione (in attesa della patch) di disabilitare JavaScript per le zone Internet e local Intranet, e ovviamente un buon antivirus aggiornato. Attendiamo che mamma Microsoft rilasci, con urgenza, la patch.

Una delle domande che spesso mi sento rivolgere è se sia necessaria la firma digitale nella PEC. Senza indugiare nella risposta. Dipende! La PEC è un meccanismo di recapito con ricevuta di ritorno elettronica. Sostanzialmente l'utente, dotato di indirizzo PEC, invia in modo sicuro e autenticato al suo gestore (chiamato gestore del mittente) di posta la mail da recapitare in PEC. Questi la prende in carico, apponendo la firma digitale del provider stesso con relativa marca temporale ed inviando una ricevuta di presa in consegna al mittente. Come vedete una firma digitale c'è, ma del provider che la prende in carico. A questo punto la busta firmata viene inviata al gestore del destinatario che verifica l'autentiticità della firma digitale del gestore del mittente (e altri controlli) e invia una ricevuta di presa in carico a quest'ultimo. Poi quando consegnerà la mail nella casella del destinatario invierà una ricevuta di consegna al mittente. Ovviamente ogni passaggio è t...

A tempo di record hanno hackerato il sito della Riforma del Ministro Renato Brunetta: www.riformabrunetta.it . Il sito dovrebbe servire a monitorare l'efficienza della PA ed è stato presentato oggi stesso. Questo l'errore che campeggia a tutta pagina nel momento in cui scrivo questo post. E poi dice che nella PA non sono efficienti! Questa volta lo sono stato fin troppo...tempo 3 ore ed il sito era giù. Certo, da parte del Ministro forse un errore di comunicazione: avrebbe dovuto dichiarare "non sono degli hacker....sono solo le innumerevoli richieste. Segno che la gente sente in modo particolare il problema" . Se vi fate un giretto sul WhoIs del NIC.IT potete anche capire la politica con cui il Ministero "di Brunetta" registra i domini. Visto che comunque un Ministero è una Istituzione, si spera che questi domini "Ad personam" se li registri Brunetta come cittadino e non come Ministro della Repubblica. Capisco la "professorite" ma un po...

Poco tempo fa stavo leggendo un articolo in cui si affermava che l'immissione della password oscurata con i soliti asterischi, è cosa oramai superata. Piuttosto che inserire la password due volte oscurata, si dà la possibilità all'utente, dietro attivazione di un opportuno flag, di visualizzare la password che sta scrivendo. A prima vista può sembrare un approccio poco sicuro, ma riflettendoci bene questa piccola deroga alla sicurezza aiuta enormemente l'inserimento di password estremamente lunghe! Dovendo inserire la stessa password "al buio" con i soliti asterischi, la probabilità di sbagliare è alta e ci si potrebbe scoraggiare, riducendone alla fine la lunghezza. Inoltre il solito trucco di copiare e incollare la stessa password due volte rischia di fare ulteriori danni, incollando magari una stringa errata. Con questa piccola deroga invece possiamo inserire le password o le chiavi segrete controllando a video la corretta immissione. E se sono particolarmente ...

Ricordate l'attacco del cavernicolo ? Ecco perché bisognerebbe considerare terroristi anche degli (innocui) scoiattoli. Decine infatti sono i problemi in centrali elettriche americane provocate da degli scoiattoli che intrufolandosi nelle centrali di trasformazione provocherebbero dei blackout. I poverini ovviamente non ne escono vivi. Se degli scoiattoli riescono a provocare questi danni, prima o poi a qualcuno verrà in mente di addestrarli. E non pensiate che la notizia sia surreale: negli States gli scoiattoli sono molto comuni e problemi del genere anche. Insomma il bug (nel senso di scarafaggio) sta al software come lo squirrel (scoiattolo) sta alla sicurezza fisica!

Il 5 Novembre 2009 si è tenuto nell'Auditorium di Via Rieti a Roma il primo OWASP Day per la PA organizzato appunto da OWASP e CONSIP . Devo dire che sono rimasto impressionato per il numero di partecipanti, a occhio e croce circa una sessantina di rappresentanti delle varie PA, locali o centrali e SpA collegate. Gli speaker, tutti di notevole spessore tecnico, hanno illustrato non solo cosa sia l'Application Security e la Software Security, ma anche come queste tematiche stiano diventando di interesse per la PA e come questa possa e debba gestirle. La PA infatti è uno dei principali motori di outsourcing, almeno nel Lazio, e spesso si trova a confrontarsi con prodotti software sviluppati da società private. E' quindi chiaro che anche una garanzia sulla sicurezza del software comincia a divenire estremamente importante, vista anche l'esposizione delle stesse PA sul Web con applicazioni Web sempre più pervasive e esposte all'esterno. Matteo Meucci, responsabile del ...

Posto qui un'interessante intervista di LinuxSexurity.it a Eddy Nigg, fondatore di StartSSL, Certification Authority "alternativa". Buona lettura :-) ((( LinuxSecurity.it ))) Linux Security ha avuto modo di scambiare qualche domanda con Eddy Nigg, fondatore di StartSSL, una CA “alternativa”, in tutti i sensi. Il modello di business adottato è abbastanza diverso da quello di altre CA più conosciute, con una politica di prezzi assolutamente controtendenza: una volta effettuata la verifica dell’identità è possibile richiedere quanti certificati si desidera, il pagamento è richiesto solo per quelle attività che richiedono un intervento umano (tipicamente solo quelle di identificazione o il rilascio di certificati EV). Linux Security : Ciao Eddy, prima di tutto grazie per averci dedicato un po’ del tuo tempo. Eddy Nigg: Grazie a te per avermi contattato, è un piacere poter spiegare cosa è StartSSL e cosa StartCOM significhi. LS: Allora, prima di tutto: sul vostro sito f...

Per essere un sito istituzionale non è male, no!

Il backup dei dati è un aspetto fondamentale nella vita di ogni utente. Quindi che lo facciate su un disco esterno o su altri supporti, o magari con Time-Machine non importa, l'importante è che lo facciate. Ma se volete evitare di perdervi nei meandri degli scheduler, dei parametri da mettere, oppure siete preoccupati perché il vostro appartamento o studio o azienda può essere oggetto di visite inaspettate, allora l'unica soluzione è un servizio di backup on-line. Mozy.com , società americana situata nello Utah, vi permette tramite un client Windows o Mac, di effettuare il backup dei vostri dati sui loro server remoti ed in modo cifrato e sicuro. La cifratura è a scelta con una chiave generata da Mozy, BlowFish a 448 bit, o con una vostra chiave, AES a 256 bit . La comunicazione tra il client e i server è su SSL. Il recupero dei dati è automatico nel caso del client installato, oppure, nel caso di perdita del computer, contattando Mozy che vi invierà un disco esterno con i vost...

Ok ragazzi adesso ci siamo veramente: italiano perfetto; passaggio indolore da tutti i filtri anti-spam, anti-phishing; sito clone perfetto; Si vede che è opera di italiani :-) Gentile Cliente, la ringraziamo per aver scelto Conto BancoPosta. A seguito della modalità di identificazione scelta da lei o dal suo cointestatario, le ricordiamo che è necessario che entrambi vi rechiate presso l'Ufficio Postale da voi prescelto per concludere la richiesta del Conto. Di seguito le riassumiamo quindi i prossimi passi: 1) Firmi subito il contratto precompilato (la copia è anche disponibile nella sezione "apri il conto" del sito www.poste.it); Il contratto deve essere firmato da entrambi gli intestatari. 2) Raccolga la seguente documentazione (di ogni eventuale intestatario): • fotocopia documento di identità (fronte retro); • fotocopia codice fiscale o tessera sanitaria. 3) Si rechi, con il suo cointestatario, presso il suo ufficio Postale per portare a termine la richiesta del...