CyberSecurity 1337

Alice : "Il bollettino di questa vulnerabilità dice che è critical perché ci può essere un exploit che la sfrutta in tempi brevi" Bob : "Sì, ma la valutazione di rischio che fanno è sempre poi da calibrare nell'ambiente dove il software da patchare si trova, non credi?" Alice : "No no, se dice che è critical è critical!" Bob : "Forse non ci siamo capiti! Se è vero che può esistere un exploit che sfrutta la vulnerabilità oggetto della patch, è anche vero che sfruttare tale vulnerabilità con successo, e quindi l'esecuzione appunto con successo del probabile exploit, dipende anche da fattori di "ambiente": se il PC è in una Intranet, se c'è un antivirus aziendale, una sicurezza perimetrale, se gli utenti sono administrator, etc." Bob : "Quindi come vedi la valutazione del rischio di un bollettino deve essere sempre calibrata all'ambiente in cui si opera" Alice : "Ah!" Bob : "Eh!" Bob : "(A...

E' uscita la versione 5.0 stable di Chrome . Oltre a correggere alcuni problemi di sicurezza, è aumentata la stabilità del browser e le sue performance. Che dire. Ad una prima impressione, almeno sul mio Mac, mi sembra migliorato il refresh delle pagine sul cambio tab, che avevano un noisissimo effetto "delay": cambiavate tab, schermata bianca, poi dopo un secondo arrivava il refresh della pagina. Aumentate le possibilità di sincronizzazione di bookmark e altro tra i vari Chrome su diverse macchine. Altre chicche su HTML5 (provatelo su scribd.com ) e a breve anche l'integrazione con il Flash Player 10.1. Dicono "as soon". Speriamo. A me sembra semplicemente più performante e questo già mi basta, avendo in media una ventina di tab aperti! Fantastico il video:

Perché ostinarsi con i canali IRC? Oramai con il Web 2.0 anche le botnet devono essere più "trendy" (e anche più furbe). E quindi il "Command & Control" è facilmente attuabile da cellulari, smartphone, portatili, desktop lasciati incustoditi, e tanto altro. In questo modo potrete comandare la vostra botnet direttamente dalla spiaggia! Questo spostamento di protocollo di trasmissione da IRC al caro e "offuscante" HTTP non è ovviamente un caso, ma una opportunità! Il video (Symantec) mi sembra molto eloquente: Allego qui di seguito il bel post dell'amico Maddler sull'argomento: Uno dei problemi principali nella realizzazione di una botnet è sicuramente legato alla necessità di poter contattare i PC infetti per poter inviar loro i comandi di gestione. La tecnica più diffusa, almeno sino ad ora, era di utilizzare IRC a tale scopo. Gli zombie si connettono ad un server, entrano in un canale e restano in attesa che il master invii loro i comandi....

La protezione di dati sensibili è cosa assai seria e gestirla in modo adeguato non è per nulla semplice. Si potrebbe pensare di cifrare semplicemente il dato dentro al DBMS aziendale. Ma basta? No. Purtroppo no. Cifrare il dato nel DB, e dipende anche come, ci preserva da tutta una serie di minacce ma di certo non ci mette al riparo da altre. Iniziamo col dire che se abbiamo la necessità di proteggere i nostri dati sensibili, o meglio alcuni dati sensibili, è perché probabilmente esiste anche uno strato applicativo che utilizza e gestisce tali dati. Analizzando le possibili minacce a cui il nostro sistema applicativo può essere soggetto, possiamo ravvisare le seguenti: DB Admin malizioso che fa un export dei dati sensibili: direttamente dal DB o utilizzando le diverse console tipo PHPMyAdmin; rottura dei dischi rigidi del DB e società deputata all'assistenza che interviene sul guasto, avendo accesso ai dati in forma nativa; connessioni di rete non protette tra il DBMS e i layer app...

Che l'informatica sia tempestata di " buzzword " è cosa nota. E una "buzzword" è tale se è ambigua nel suo significato e ammiccante al marketing. Stavo riflettendo sul fatto che molti dei termini o delle locuzioni utilizzate nella "Sicurezza applicativa" sono state e continuano ad essere ambigue e come tali sono appunto delle "buzzword"!...e le traduzioni dall'inglese all'italiano non aiutano di certo! Vediamo quindi se è possibile rendere questo panorama di Buzzword un po' meno ambiguo e avviare una riflessione su questo punto che non è di secondaria importanza. Cerchiamo intanto di capire quali sono le possibili e corrispondenti traduzioni in italiano delle locuzioni più note: Secure Coding: Codificazione Sicura; Secure Programming : Programmazione Sicura; Secure Software : Software Sicuro; Secure Software Development Life Cycle : Ciclo di vita per lo sviluppo sicuro del Software; Application Security : Sicurezza delle Applicaz...

Per chi non se ne fosse accorto (come il sottoscritto, visto che oggi è il 2 Maggio), il 1° Maggio è iniziato il mese della sicurezza di PHP. Mese in cui ogni giorno, sul sito ufficiale , verranno postati articoli e approfondimenti su bug e in generale la sicurezza di PHP. Che dire: Stay Tuned !