LulzSec: siamo alla cyber-guerriglia

-
Dopo il primo attacco a Sony, con relativo e imponente furto di credenziali, oramai gli attacchi sia a siti governativi che a grandi aziende (l'ultimo a SEGA) sta diventando una moda. Il furto di dati (credenziali o informazioni interne) non fa più notizia, ma fa mercato :)

Incuriosito sono andato a cercare "Lulz" su google e in bella posta, tra i primi risultati, compare sia il canale twitter che il sito di questo simpatico gruppo di cracckeroni. E per cortesia, non continuate a chiamarli hacker...

La home page è strepitosa. Andateci e ascoltate la musichetta :)


C'è da fare qualche considerazione? L'unica, ovvia, considerazione è che la sicurezza dei dati è veramente ad uno stadio primordiale.

Per cui: registratevi sempre con credenziali di comodo create ad-hoc, utilizzate password secondarie e soprattutto fatevi una benedetta carta di credito prepagata. 

Commenti

Posta un commento

Post popolari in questo blog

Exploit: icsploit o espluà?

-
Immagine
Non ce la faccio più! Continuo a sentir pronunciare " exploit ", nel senso di " sfruttamento di una vulnerabilità informatica ", in francese: espluà ! E' quasi un pugno nello stomaco! Sebbene il termine inglese derivi dal francese, quando si usa nel contesto della sicurezza informatica, la pronuncia è in inglese, ovvero " ecsploit "o " icsploit " (a seconda che sia un sostantivo o un verbo). E poi visto che la consuetudine è quella di usare termini inglesi nel contesto informatico, e per amore di un unico e non ambiguo vocabolario, usiamo i termini inglesi quando ci riferiamo a cose ben specifiche  e relative all'informatica. Per essere estremamente chiari, se dobbiamo parlare di "SQL Injection" non è che possiamo tradurla come "inoculazione di sequenze maliziose in una istruzione del linguaggio SQL". Non si capisce nulla! Altrimenti torniamo al caro professore che insisteva nel tradurre "Computer" in "
Continua a leggere

Sicurezza Applicativa: il modello STRIDE per i pattern di attacco

-
Nei post precedenti sulla sicurezza applicativa abbiamo visto che nella fase dedicata ai casi di abuso e dei requisiti di sicurezza, un modello come STRIDE può essere di aiuto nel definire i pattern di attacco tra cui estrarre il modello di attacco (ovvero il sottoinsieme dei possibili attacchi) per il nostro sistema applicativo. STRIDE ha l'indubbio vantaggio di non essere eccessivamente astratto ed è invece facilmente riconducibile a situazioni reali. Se fate delle ricerche su Internet troverete che STRIDE viene definito un sistema per la modellazione delle minacce. Io non sono d'accordo su questa definizione e ritengo (come Gary McGraw) che STRIDE sia un modello relativo ai possibili attacchi, legando la "minaccia" invece agli attori (umani e non) che sono invece gli artefici degli attacchi. STRIDE è l'acronimo di: Spoofing , Tampering , Repudiation , Information disclosure , DoS , Elevation of privilege: Spoofing dell'identità : "sono attacchi che con
Continua a leggere

Fortify SCA overview

-
Immagine
Fortify SCA, per chi non lo conoscesse, è un cosiddetto Static Code Analyzer , o anche Source Code Analyzer . E' uno strumento professionale, dal costo non proprio abbordabile, che può essere utilizzato in analisi di sicurezza sul codice sorgente di applicazioni grandi e complesse. Il software in questione analizza il codice sorgente creando una rappresentazione intermedia utile per le analisi di sicurezza. Come i normali compilatori creano gli alberi astratti della sintassi, che servono per effettuare l'analisi della semantica e poi la conversione in codice macchina, la rappresentazione astratta e intermedia di Fortify serve principalmente a ricondurre diversi linguaggi di programmazione alla stessa rappresentazione, appunto astratta. Fortify permette di analizzare codice sorgente di diversi linguaggi come Java, C, C++, PHP ed altri. E' composto sostanzialmente da un motore di analisi (eseguibile anche in CLI) coadiuvato da una GUI chiamata "Audit Workbench" e r
Continua a leggere