Security Conference: solo vaporware?

-

Non ce la faccio più! Questo è stato l'ennesimo convegno di sicurezza "fuffologico". Ma possibile che ultimamente tutti i convegni siano così scadenti? Almeno una volta ti volevano vendere il solito scatolotto, adesso nemmeno più quello! Qualità degli oratori scadente, qualità del contenuto degli interventi scadente, organizzazione scadente, etc.

L'ultima che ho sentito è la "Teoria del Cigno Nero". Metafora dell'evento raro impredicibile e catastrofico. Che per sua natura non è prevedibile. Roba da Wikipedia, copia-incolla e lavoro per i Debunker (vero Paolo?). Capisco che abbia il suo fascino e colpisca la platea (ma solo un certo tipo eh...), ma suvvia questi colpi da teatro dell'orrore lasciamoli ad altri contesti no?

E che dire della solita statistica con il numero di malware per paese? A che serve? A spaventare e quindi a vendere servizi? Alla fine anche quelli digiuni di sicurezza, dopo 5 anni, le hanno capite queste cose o no? Ah giusto, se parlassero con i loro tecnici invece che pascolare in giro per rinfreschi (ed essere stipendiati per farlo) forse saprebbero qualche cosa di più.

Poi cominci a guardare la platea di uditori e chi ti trovi? Generali, AD, "capoccioni" vari che manco sanno accendere un PC, figuriamoci capire cosa sia un DDoS, o chi siano gli "Anonymous", o peggio capire che c'è una differenza tra hacker e cracker. Forse lo capirebbero con un esempio banale?
  • "se il tuo bambino comincia a smontare e rimontare le cose, è un hacker!"
  • "se il tuo bambino comincia a smontare le mattonelle del bagno per nascondere la cocaina, allora è un cracker".

Ci vuole molto?

Insomma non se ne può più. La scelta è quindi oramai tra convegni organizzati dalle Università e in generale da enti di ricerca (ma spesso le conferenze sono a pagamento) e convegni nell'ambito dell'hacking (e qui già va meglio, ma gli hacker si sa per loro natura sono schivi). I primi godono certamente di alcuni approfondimenti derivati dalla ricerca. Dateci una rete Bayesiana ogni tanto, un grafo, una sommatoria vi prego!!! Ovviamente alcune parti potranno essere un po' troppo accademiche per alcuni, ma almeno saranno interessanti!
I secondi invece sono da sempre interventi molto "smanettosi" in cui si fanno vedere "cose" (oddio mi viene in mente però l'ennesimo speech sulla SQL injection), ma poi saranno compresi da un uditorio di burocrati interessati solo al break mangereccio?

Per concludere: per cortesia, tutti gli pseudo-esperti di sicurezza (e se hai una responsabilità in tal senso sei pregato di studiare prima) se ne restino a casa o almeno non tengano speech pretendendo di vendere al mondo la solita aria-fritta!

Alla fin fine "security means hacking"!

Commenti

Posta un commento

Post popolari in questo blog

Exploit: icsploit o espluà?

-
Immagine
Non ce la faccio più! Continuo a sentir pronunciare " exploit ", nel senso di " sfruttamento di una vulnerabilità informatica ", in francese: espluà ! E' quasi un pugno nello stomaco! Sebbene il termine inglese derivi dal francese, quando si usa nel contesto della sicurezza informatica, la pronuncia è in inglese, ovvero " ecsploit "o " icsploit " (a seconda che sia un sostantivo o un verbo). E poi visto che la consuetudine è quella di usare termini inglesi nel contesto informatico, e per amore di un unico e non ambiguo vocabolario, usiamo i termini inglesi quando ci riferiamo a cose ben specifiche  e relative all'informatica. Per essere estremamente chiari, se dobbiamo parlare di "SQL Injection" non è che possiamo tradurla come "inoculazione di sequenze maliziose in una istruzione del linguaggio SQL". Non si capisce nulla! Altrimenti torniamo al caro professore che insisteva nel tradurre "Computer" in "...
Continua a leggere

TrueCrypt 5.0: nuova release

-
E' uscita la nuova versione di TrueCrypt 5.0 (ricordo che è Free e Open Source). Importanti le novità: Features : permette di cifrare una intera partizione del disco con un'autenticazione pre-boot; inserita una pipeline per le operazioni di read/write che migliorano le prestazioni fino al 100% su Windows; nuova versione per Mac OS X; GUI per TrueCrypt su Linux; utilizzo di XTS - approvato recentemente come standard IEEE 1619 - per la protezione crittografica di device per lo storage a blocchi; sostituzione dello SHA1 con il più sicuro SHA-512. Bug fix : versione su Linux completamente ridisegnata per sopperire ai problemi dovuti all'aggiornamento del kernel; correzioni di bug e falle di sicurezza. Ho provato la nuova versione sia su Windows XP che su Vista Home Premium. Su XP Professional o Home nessun problema. Potete addirittura non disinstallare la vecchia versione, reinstallando tutto sopra. In Vista consiglio di disinstallare la vecchia versione, riavviare e poi ins...
Continua a leggere

ING Direct: ancora con il PAD numerico rotante!

-
Immagine
Quanti anni saranno che ING Direct ci propina il suo sistema di autenticazione? Avete presente il PAD numerico in cui ogni volta che si accede vengono cambiate le posizioni dei numeri sul tastierino? Negli anni avranno sicuramente cambiato la tecnologia sottostante e le tecniche di sicurezza, tanto è vero che alcuni script client-side inclusi nella pagina, con un breve giro con Firebug, sono generati server-side con URL randomiche (solo nell'ultima parte) e Firebug non riesce a mostrarli. Ma a parte la loro bravura nell'offuscare il codice, perché di offuscamento si tratta, quando si decideranno ad utilizzare un meccanismo di autenticazione a 2 fattori? Una cosa che tu sai + Una cosa che tu hai Potrei suggerire uno degli innumerevoli Token OTP che ormai molte banche danno ai loro correntisti e che li tranquillizzano non poco nell'accesso ai propri conti on-line. Provate a chiedere ad un utente se è più o meno tranquillo con un Token fisico che solo lui detiene e che ogni 30...
Continua a leggere