misi blog
varie // eventuali // sicurezza informatica
giovedì 24 luglio 2008
lunedì 21 luglio 2008
Ipse Dixit
Mi é capitato nell'aggregatore questo articolo parla dei rischi del software open sourceNetworkworld / Open source software a security risk, study claims
"You've got to go into this with your eyes wide open""Bisogna andarci con gl'occhi bene aperti", dice Howard Shmidt "già zar della cybersicurezza della casabianca" lo definisce NW. Al di la di Zar ed altri titoli pseudonobiliari ho avuto il piacere di conoscere e fare quattro chiacchiere diverse volte con Howard e lo stimo molto. Sul fatto che open source sia più o meno sicuro non ho una forte opinione. Dipende da talmente tante cose che si potrebbero trarre le conclusioni che si vogliono. Quelli che usano software open source perché "posso guardare il codice e rendermi conto di com'é fatto e quanto é sicuro" e poi non hanno (o non hanno in azienda) le competenze per effettivamente valutare il codice mi fanno sorridere. Come anche altri che usano closed source per altrettanto futili motivi, del resto.
Howard Schmidt, former White House cybersecurity czar
Etichette: ipsedixit
giovedì 10 luglio 2008
Foto del Giorno.
Dopo la versione da piscina e quella invernale, non poteva mancare la versione da campeggio (grazie Alessio). Se avete segnalazioni/testimonianze saró lieto di continuare la serie.
Sulla sicurezza fisica, invece, ecco un impianto antincendio a regola d'arte (grazie Davide):
mercoledì 9 luglio 2008
Nuove identitá sul web ?
Ancora con questa storia del cappello per non farsi riprendere in aree videosorvegliate ?Oltre il cappello, questo articolo suggerisce anche di non mangiare in locali pubblici e di non usare bagni pubblici. In altre parole: se la trattieni e non mangi non ti trova nessuno.
martedì 8 luglio 2008
Infosecurity é finita.
Nel 2001 sono stato per la prima volta ad Infosecurity e mi é piaciuta molto la fiera. Da allora é stato un leggero, lento ed inesorabile declino. Come manifestazione ha cercato di espandersi su Roma e Verona oltre che a Milano, ma forse questo é stato proprio questo che ha generato una diluizione che é stata letale.E' di pochi giorni fa la notizia: ASCA / Addio Infosecurity Italia
Reed Exhibition ha deciso di sospendere Infosecurity Italia, la più importante manifestazione in Italia nel settore della sicurezza informatica. La scelta, si legge in un comunicato, deriva dalla considerazione che il mercato dell'information technology nel nostro paese si sta orientando verso altri strumenti di promozione diversi dagli eventi fieristici di taglio tradizionale. Gli operatori del settore, infatti, hanno dimostrato di voler sempre più indirizzare i loro investimenti su eventi specialistici personalizzati sulle caratteristiche e le richieste di singoli mercati verticali di riferimento.
Personalmente la cosa mi lascia abbastanza indifferente. A febbraio sono passato alla manifestazione solo un paio d'ore - forse quelle sbagliate - ma l'impressione é stata di respirare aria vecchia.
Oggi leggo sul blog del CLUSIT che sulle ceneri della vecchia manifestazione ne nascerà una nuova e innovativa che si chiamerà Security Summit.La nuova manifestazione, che vedrà un considerevole coinvolgimento dei soci, si chiamerà "Security Summit" e la prima edizione si terrà già nella primavera del 2009 prima a Milano e poi a Roma.
Da quello che leggo la cosa é interessante. Per più di un motivo; il primo:Intendiamo superare il format ormai logoro di eventi dalla spiccata fisionomia fieristica per concentrarci invece su un format innovativo, caratterizzato da contenuti culturali di alto livello, key note speaker di profilo internazionale e in generale una forte attenzione alla qualità. Per far questo stiamo mettendo a punto un programma convegnistico che vedrà sessioni plenarie, seminari di approfondimento, tavole rotonde, sessioni verticali ecc. in una varietà e articolazione di offerta culturale che permetta al partecipante di costruirsi un percorso professionale di approfondimento su misura.
Quindi meno "vetrina" e più convegni. Bene, perche convegni significa contenuti, condivisione, conoscenza, conoscersi e confrontarsi, specie se il convegno é tavola rotonda. La vetrina ormai non serve più, é stata sostituita da internet.
Il secondo:Fortemente basato sulla possibilità di interazione dei partecipanti, il "Security Summit", oltre alle tematiche tipiche del mondo business, svilupperà anche una attenzione particolare a quelle della sicurezza in rete per i cittadini: i risparmiatori, le famiglie, i più giovani e gli anziani.
Se i partecipanti girano fra le "bancarelle”, non portano a casa niente (se non un sacchetto di carta che butteranno alla prima occasione). Se ci sono convegni portano a casa conoscenza, se c'e' possibilità d’interazione portano a casa conoscenza e confronto.
Terzo:Per realizzare questo ambizioso progetto avremo bisogno dell' aiuto e dei suggerimenti di tutti i soci, per costruire assieme un evento veramente innovativo: originale, accattivante e di gran qualità.
Questo é quello che mi piace di più. Il fatto di poter interagire e dare suggerimenti evitando quindi la manifestazione "imposta" con contenuti fatti da comitati sconosciuti. possibilità quindi di fare noi tutti da comitato. A me l'idea piace molto. Sto pensando già di proporre qualcosa.
NIST: Due nuove pubblicazioni
Sono due le pubblicazioni appena rilasciate dal NIST, e sono entrambe molto interessanti.La prima, "Guide to SSL VPNs" parla delle tecnologie che stanno alla base delle SSL VPN, ambito che sta guadagnando sempre più popolarità rispetto alle "tradizionali" IPsec VPN. Si passa poi a scenari d’implementazione e raccomandazioni d'uso. Ovviamente non ho ancora avuto il tempo di leggere la pubblicazione, ma da una prima occhiata é fatta molto bene (come tradizione del NIST).
link - NIST: Guide to SSL VPNs (pdf)
La seconda é una pubblicazione ancora in draft, e quindi può essere commentata prima della chiusura e pubblicazione. Quanto mai attuale anche quest’argomento: "Guidelines on Cell Phone and PDA Security". Con l'utilizzo sempre più massiccio di dispositivi mobili, palmari e telefoni intelligenti che allargano il loro ambito d'azione dal semplice calendario o telefono a dispositivo multifunzionale che integra calendario, email, contatti, telefono e spesso accesso alle risorse aziendali, diventa imperativo porsi l'interrogativo sull'effettivo livello di sicurezza di questi dispositivi e su quali possono essere le linee guida da applicare per un utilizzo sicuro. Ben venga quindi una pubblicazione come questa!
link - NIST: Guidelines on Cell Phone and PDA Security (Draft, pdf)
lunedì 7 luglio 2008
VoIP Exploit Research toolkit
http://sourceforge.net/projects/voiper/VoIPER is a VoIP security testing toolkit incorporating several VoIP fuzzers and auxilliary tools to assist the auditor. It can currently generate over 200,000 SIP tests and H.323/IAX modules are in development.
Etichette: voip
martedì 1 luglio 2008
Sanzioni esemplari
Usa "RemoteAnywhere" per accesso non autorizzato a dati sui computer militari. Gli USA chiedono l'estradizione di un "hacker" inglese. PC World : British Hacker Faces Extradition Hearing Next WeekSedicenne fa truffe online per far soldi e potersi permettere gadget e vita agiata. Darknet: 16 Year Old Indian Hacker Busted for eBay Scam
Crea una botnet con centinaia di PC compromessi per attaccare altri PC installando pop-up pubblicitari. BBC News: Jail sentence for botnet creator
lunedì 30 giugno 2008
Nasce www.icasi.org
E' notizia fresca (di giovedì scorso) la costituzione di ICASI, Industry Consortium for Advancement of Security on the Internet. [link]ICASI intends to be a trusted forum for addressing international, multi-product security challenges. This trusted forum extends the ability of information technology vendors to proactively address complex security issues and better protect enterprises, governments, and citizens, and the critical IT infrastructures that support them. ICASI shares the results of its work with the IT industry through papers and other media.
La cosa non può che farmi piacere. Sono un sostenitore del fatto che la sicurezza più efficace sia fatta di tecnologie, procedure e persone, e che la protezione offerta sia tanto più efficace quanto più queste tre entità si parlano fra di loro. Quindi tecnologie che collaborano, procedure che influenzano le tecnologie e viceversa, e sopratutto persone. Persone che interagiscono con le tecnologie e sottostanno alle policy di utilizzo, conoscendo i problemi.
La notizia della nascita di ICASI mi fa piacere perche vede seduti allo stesso tavolo diversi fornitori (Cisco per prima, con IBM, Intel, Juniper e Microsoft), tutti di rilievo e capaci di offrire tecnologie e servizi molto significativi. Se ci si parla, le cose non possono che migliorare, in uno scenario dove gli attacchi informatici sono sempre più pericolosi.
Gli obiettivi:
- Sicurezza per gli utilizzatori – Grazie ad ICASI e alla collaborazione, i vendor saranno più efficaci nell'identificare e combattere minacce che a volte sono al di fuori dell'ambito di un singolo vendor; quindi riducendo l'impatto di eventuali problemi di sicurezza.
- Flessibilità ed efficacia – ICASI ha come obiettivo quello di migliorare l'efficienza ed efficacia nella risoluzioni di minacce informatiche multivendor.
- Collaborazione - Si viene a creare un ambiente dove possono rapidamente essere scambiate le informazioni necessarie a risolvere rapidamente problemi di sicurezza cross-vendor. Informazioni che - caso per caso - potranno essere condivise.
- Innovazione e leadership – ICASI comprende aziende ognuna leader nel proprio settore e nel mondo e sfrutta l'esperienza di ognuna per innovare le modalità di risposta ai problemi di sicurezza, e l'efficacia quindi per gli utilizzatori di queste informazioni.
Etichette: cisco