Risposte e automatiche: Out of Office
Misi is out of the office until January 7th...
Quando vado in vacanza non metto mai il cartello sulla porta " Sono in vacanza e rientreró il giorno X. Chi ha bisogno puó trovarmi al cellulare al 335xxx oppure chiamare la mia vicina (seguono coordinate della vicina)". Non metto il cartello ne sulla porta né vicino al citofono. Lo faccio "per i ladri" (ricordo mia madre "lasciamo una lucina accesa quando usciamo..per i ladri"). Mi sembra una buona norma per la sicurezza della mia casa, chiaro e semplice.
Allo stesso modo non mi sembra una buona idea mettere il risponditore automatico alle email. A che pro informare qualcuno che non leggeró la posta dal-al, che peró in certe situazioni mi trova al cellulare, specificando quale sia il mio numero di cellulare, specificando nomi e coordinate di miei colleghi, eventualmente anche funzioni aziendali e gerarchiche.
Dal biglietto sulla porta all'avviso automatico, mi sembra una trasposizione banalissima ed alla portata di tutti. Ciononostante la piaga dell'autorisponditore out of office continua ad esserci. Quando ne parlo, suggerisco sempre di non usarla, quando ho tenuto corsi di security awareness ho suggerito di non farlo. Eppure tutti continuano a farlo. Oltretutto l'email é un mezzo di comunicazione non in tempo reale. Quindi se mi scrivi un'email, sappi che potrei metterci dei giorni a risponderti. E lo trovo normale e giusto. Altrimenti mi telefoni.
Bene da qualche giorno e' iniziata l'inondazione di auguri natalizi con conseguente ondata di risposta di risposte automatiche di persone fuori sede. Non sono un amante di nessuna delle due pratiche. Quest'anno peró ho un blog, quindi colgo l'occasione per :
- Buon Natale
- Non leggeró la posta da stasera fino al 2 gennaio
- Buon Anno
Potrei sempre riuscire a postare qualcosa via email (ho detto che non leggo, ma se voglio scrivo) anche se ne dubito. Potrei dare segnali di vita via twitter. Ma potrei anche scomparire e riemergere nel 2008.
A presto!
Google Privacy Channel
Google lancia Privacy Channel su Youtube. E' una buona iniziativa, alla portata di molti e che trovo in linea con la necessitá di creare coscienza negli utilizzatori .
Chi si offre come traduttore per la gloria e per la comunitá ?
Cisco Security Report 2007
Cisco (finalmente) pubblica il suo
annual report sui trend di sicurezza. Dico finalmente perche da impiegato Cisco partecipo ad una quantitá innumerevole di forum di discussione interni (non per forza sempre attivamente quanto vorrei) e vedo argutissime osservazioni, validi spunti, interessanti previsioni, segnalazioni, insomma vedo tantissime opinioni (alcune delle quali condivido, altre sulle quali dico la mia, altre che faccio mie o altre che cerco di minimizzare), e fino a questi giorni non avevo visto tutta questa conoscenza formalizzata in un report. Questo per me e' un bel regalo di natale.
Mi piace per come é organizzato, secondo sette categorie di rischio
- Vulnerability
- Physical
- Legal
- Trust
- Identity
- Human
- Geopolitical
portando per ogni categoria di rischio la opinione di cisco su cosa si osserva, raccomandazioni e (cosa che piu mi piace), una previsione su come si svilupperá l'area nel breve futuro vale a dire nel prossimo anno.
Sono assolutamente d'accordo sulla convergenza della sicurezza fisica e logica (tanto che da un po mi sto interessando agli aspetti di sicurezza fisica). Chi mi conosce sa quanto posso supportare l'ipotesi di un non adeguato livello di sicurezza dell'RFID al momento in cui ce lo ritroveremo sempre piu spesso (e non per forza sempre piu consapevolmente) addosso.
Sulla raccomandazione di "
Enforce security policies and controls uniformly" devo prendere una posizione ? E' una raccomandazione che sfonda una porta aperta, come anche con la raccomandazione di "
Educate users about social engineering risks" !
Inedita (e mi fa molto piacere) la previsione di "
Expect increased spending on green technologies.", in altre parole se le tecnologie fanno quello che devono fare e l'impatto ambientale é minore, tanto meglio per tutti.
E' conciso, é facilmente leggibile, e raccoglie molte delle considerazioni che spesso riprendo su questo sito. Lo so che sono di parte, me l'ho preferito a molti altri report (di cui sono ghiotto).
Buona lettura.
Etichette: cisco
I brits, quegli sbadati.
Dice un proverbio: non c'é due senza tre.
Telegraph / Sensitive security data is lostThe Daily Telegraph understands that a laptop containing sensitive information about the new Westminster access system disappeared last Wednesday night. The computer belonged to a senior parliamentary official believed to work in the Serjeant at Arms department responsible for the security of MPs and the Palace of Westminster.
Precedenti penali
Codice Penale : Art. 494 Sostituzione di personaChiunque, al fine di procurare a sé o ad altri un vantaggio o di recare ad altri un danno, induce taluno in errore, sostituendo illegittimamente la propria all'altrui persona, o attribuendo a sé o ad altri un falso nome, o un falso stato, ovvero una qualità a cui la legge attribuisce effetti giuridici, é punito, se il fatto non costituisce un altro delitto contro la fede pubblica, con la reclusione fino a un anno.
Corriere / Rischia il carcere chi crea un'email falsaLa Cassazione fissa i paletti per regolare il mondo di internet: non ci si può spacciare, creando una mail di posta elettronica falsa, per un’altra persona magari di sesso diverso, ingannando gli utenti della rete: si rischia fino a un anno di reclusione. È quanto affermato dalla Suprema Corte che, con la sentenza n. 46674 ha confermato la condanna per sostituzione di persona nei confronti di un 37enne fiorentino che aveva creato un indirizzo di posta elettronica spacciandosi per una sua amica e intrattenendo sotto mentite spoglie rapporti con gli utenti della rete.
Bene. Avremo bisogno di questi precedenti in futuro quando la falsificazione/furto d'identità sarà un problema di
prim'ordine (anche se in questo caso trovo un pelo esagerata la sentenza).
Ipse Dixit
il Giornale / Ecco come noi hacker romeni vi svuotiamo i conti bancari"Di mestiere faccio l’hacker, il pirata informatico."Sorin Pascu, 22 anni, condannato a 5 anni e mezzo di carcere.
Il pirata informatico non é un mestiere. Si va in carcere. Il panettiere é un mestiere.
Etichette: ipsedixit
Spam per ora (SpH)
SpH = 17 @ 10.30 Dic 14Ho contato quante email di Spam mi arrivano in un'ora, qualche minuto fa. Sono 17, pensavo molto peggio. Il numero di per se da una indicazione relativa, sono curioso (se riusciró a farlo) di monitorare il rate orario nel tempo.
Ti fidi del toster ?
Il vero professionista di sicurezza non usa elettrodomestici. Solo roba a gas, carbone e le proprie mani (e un PC).
Avevo già parlato dell'evil mouse dopo essere tornato da RSA Conference quando una sessione mi aveva aperto gli occhi sulla sovversione di determinati dispositivi (mouse, ma perché no Toster, Frullatori, Lavatrici...) con l'inserimento di mini memorie di massa. Oggi leggo questo articolo che ipotizza un "toster hacking a computer". C'é una vena di verità ma c'é anche molta PID. Ho cercato le slides presentate (e le ho trovate qui), il concetto é interessante, anche se secondo me non introduce nulla di nuovo salvo un interessante miscuglio di tecnologie diverse che ammicca ad un futuro nel quale i dispositivi saranno tutti collegati in rete e fra di loro.
Però precisiamo:
"I came up with a toaster that could actually hack a computer"
[ ho inventato un toster che può hackare un computer ]
Parliamone. C'é computer e computer, piú o meno vulnerabile.
"With wireless technology available, there is no need for connecting the appliance with the computer"
[ Con la tecnologia wireless disponibile non c'é bisogno di collegare il dispositivo con il computer ]
Ti sei dimenticato di physically fra for e connecting.
Hai anche assunto (ma é una assunzione ragionevole, ti appoggio) che la rete wireless sia aperta, non protetta e gli altri dispositivi di casa siano utilizzati nella configurazione relativamente di default.
"If an appliance or home device comes as a gift, accept it only if it is from someone you trust."
[ Se un dispositivo viene regalato, accettalo solo se proviene da qualcuno di cui ti fidi ]
Due cose:
1. E se alle persone di cui mi fido (e che mi regalano elettrodomestici come piovesse) una spia _ _ _ _ _ _ (inserire russa/ americana/israeliana/ governativa/ industriale a piacimento) ha modificato il frullatore senza farsi scoprire ? Allora paranoici fino in fondo, come quando prendi un aero per gli USA: La valigia l'hai fatta tu ? L'hai tenuta sempre tu ? C'é dentro roba tua ? Hai accettato oggetti da sconosciuti ?
Che vita faccio se inizio a comportarmi così ?
2. E' una forma di cavallo di troia. Ne parla per la prima volta Virgilio nell'Eneide. Da quel momento nessuna novità, salvo quella che basta trovare una forma inedita (NB: un cavallo di legno dalle fattezze epiche nel 2007 é una forma inedita) e continuiamo a cascarci.
"The world is turning into a global village. But this village is not secure in terms of the cyber crimes"
[ Il mondo si sta trasformando in un villaggio globale. Ma questo villaggio non é sicuro in termini di cybercrime ]
Parole sante. Appoggio incondizionato
Neologismi: PID
Vedo che tutti usano spavaldamente il termine FUD. FUD é un acronimo Inglese che significa Fear, Uncertainty, Doubt. Passino tante altre sigle e violenze che facciamo alla nostra lingua, da oggi inizio a parlare di PID, Paura, Incertezza, Dubbio, intendendo tutto ciò che viene instillato come un sospetto o una fobia ed e' basato su basi incerte, deliberatamente campato in aria o comunque non sostenuto da dati o studi concreti, attendibili, verificabili, autorevoli eccetera.
Da oggi inizio ad usarlo, vediamo quanto passa prima prima che qualcuno mi chieda "scusa, che vuol dire?" (e vorrei sapere quanti vorrebbero alzare la mano quando qualcuno parla di FUD, ma non lo fanno..).
Cisco Applied mitigation Bullettin, Dicembre
Ieri é
stato rilasciato il bollettino di sicurezza Microsoft per Dicembre, che come al
solito é
stato in maniera
estremamente esauriente commentato da
Feliciano.
A valle,
segnalo questo Applied Mitigation Bullettin di
Cisco Security Center, che delinea come
tecnologie Cisco come
IOS Routers,
Switch,
NetFlow,
Firewall come ASA,
PIX,
FWSM e
Intrusion Prevention possono aiutare a
prevenire l'
exploiting di
queste specifiche vulnerabilitá, evidentemente
nell'
attesa di un
patching risolutivo. A
questa pagina l'
archivio di
questi bollettini.
Etichette: cisco
Ipse Dixit
BBC / Thousands of driver details lost"It wasn't encrypted." [ Non era cifrato ]Brendan Magee, chief executive of the Driver and Vehicle Agency, dopo che sono stati persi dei dischi con i dati personali di circa seimila persone.
1. E dáje. 2. Truecrypt -per dirne uno- é gratis. Usalo..non costa niente (la battuta originale, di John Belushi era "Agguanta una birra. Non costa niente.")Etichette: ipsedixit
Informazionu su una persona
Prima,
spock.com mi preoccupava. Ora non piú. Devo decidere se preoccuparmi piu di
wink.com o di
pipl.com (no, Alessio, non c'e' bisogno di iscriverti ;-).
Poke 650,128
ANSA / Ha 25 Anni il Commodore 64Il natale 1983 (lo volevo nell'82 ma babbo natale deve non aver ricevuto la mia letterina per tempo, quindi mi sono dovuto sparare un'altro anno interno nei
3583 bytes free del
VIC20) mi ha portato uno dei regali che ricordo come il
più bello mai avuto.
Dopo pochi mesi scrivevo
poke 650,128 più veloce di chiunque altro in tutto l'isolato. Chi si ricorda (senza cercarlo su
google) a cosa serviva ?
Etichette: amarcord
Ipse Dixit
CW Security / Security policies? Workers ignore them, survey says[ policy di sicurezza ? gl'impiegati le ignorano, dice il sondaggio]"The key take-away is that information security policies are not being read, or if they are being read, are not being understood; if understood, people may not be following it" [ il punto fondamentale é che le policy di sicurezza non sono lette, e se lo sono, non sono capite, e fossero capite le persone potrebbero non seguirle ]ha dichiarato
Larry Ponemon,
Chairman del
Ponemon Institute, commentando un sondaggio fra 890 professionisti dell'
IT dal quale si evince che:
- Più della metà degli intervistati ha personalmente copiato informazioni confidenziali su chiavette USB (di questi quasi uno su dieci sapeva però che la policy aziendale lo proibiva)
- Quasi la metà ammette di condividere password con colleghi (anche se i due terzi sanno che la policy lo proibisce)
- Otto su dieci hanno detto di non essere sicuri (quasi due su dieci l'ha fatto!) se spegnere un network firewall é violazione della policy o no.
- .. e svariate altre.
"The reason why these things are happening [is] because compliance is not enforced, people are just not paying attention to enforcement. "[ la ragione é che se la compliance non é applicata, le persone non ci fanno attenzione (e non applicano) ]Suggerisco: scrivere le policy in forma più semplice, fare dei test per la comprensione (da me lo fanno, e la comprensione migliora - anche se qualcuno copia -), fare enforcement tramite tecnologia (la tecnologia aiuta) e sanzionare chi non si attiene. Etichette: ipsedixit
Ipse Dixit.
Sydney Morning Herald / Loose email sees CBD(*) HQ under siege[ Email 'lasca' porta l'assedio al quartier generale ]"I ... told everyone internal documents should be kept internal." [ ho detto a tutti che i documenti interni devono essere mantenuti interni ]Steve Lyon, General Manager della
Lindt Australia dopo l'assedio di persone che volevano cioccolata a prezzo scontato (per che un impiegato ha
girato un'email a qualcuno fuori dall'azienda).
Steve, mi raccomando, se cercano di venderti una soluzione di Data Leakage Prevention, chiedi quanto costa. Poi digli che prima hai prima altri problemi da risolvere, quindi investi la cifra in Awareness Training ai tuoi collaboratori. PS: Se il consiglio ti é piaciuto, mandami pure una cassa di Lindor Fondenti.*CBD = Central Business District, di Sydney
Etichette: ipsedixit
Cisco introduce Trusted Security
Ho appena finito di vedere un
webcast durante il quale é stata presentata la nuova tecnologia
Cisco Trusted Security (
TrustSec). Credo si tratti di uno dei
più significativi passi in avanti nella protezioni delle infrastrutture informatiche. Siamo stati abituati finora ad un controllo degli accessi prima di entrare su una rete. In principio si trattava di password (chi sei?). Ultimamente si trattava di
NAC (sai a posto?). Entrambi accorgimenti efficaci, ma nei quali mancava un ambito fondamentale: la presa in considerazione della
deperimetralizzazione progressiva delle reti. Una volta autenticato ed entrato sulla rete l'utente
può (
più o meno) fare
ciò che vuole e l'accesso alle applicazioni é demandato alla componente applicativa (ulteriori password, eventualmente, bellamente mascherate da
Single Sign On), piuttosto che l'accesso a determinati segmenti del sistema informativo é protetto da
protocol filtering (che va benissimo, ma ancora una volta si basa su "chi sei" o "da dove vieni" o, nel migliore dei casi "cosa stai cercando di fare").
TrustSec rivoluziona tutto questo, dando la
possibilità di mantenere coscienza di chi e' l'utente e del suo ruolo in ogni punto della rete. In pratica:
- Io ho un ruolo e la rete me lo riconosce e mi offre servizi coerentemente con questo
- La rete diventa un punto di enforcement per policy che erano già presenti a livello applicativo (Active Directory, Novell, ecc...)
- Cifratura hop-to-hop in modo da garantire la confidenzialitá dei dati in modo trasparente all'utente.
Non vedo l'ora di saperne (ancora di più), nel frattempo in questo whitepaper é spiegato meglio ciò che nel comunicato stampa é invece meno chiaro.
Etichette: cisco
Ipse Dixit
globeandmail / Passport applicant finds massive privacy breach"I was expecting the site to tell me that I couldn't do that"[ mi aspettavo che il sito mi dicesse che non potevo farlo ]Jamie Laning, un informatico di 47 anni, scoprendo di poter accedere le richieste di passaporti altrui (inclusi dati personali).
Caro Jamie, la speranza é l'ultima a morire, diciamo da queste parti."If you read the disclaimer on the website, it's supposed to use high-tech security" [ se leggi il disclaimer del sito, dice di usare HIGH TECH SECURITY ]Jason Marsden, uno qualsiasi, i cui dati sono stati acceduti da Laning
Jason, non é un problema di tecnologia, ma delle persone che la implementano.Etichette: ipsedixit
Barriere Architettoniche.
Se sei un giovanotto e spendi una significativa parte della tua vita sociale sulla rete, un vantaggio é la reale assenza di barriere architettoniche. Essere
cieco o affetto da un
leggero autismo, infatti non impedisce di essere un
hacker telefonico o la mente di una rete di
bot-net. E guadagnare interesse da parte degli enti investigativi e (triste) fama. Da una parte, bravi, dall'altra, che bravura sprecata.
Chiacchiere eccellenti sul futuro della sicurezza
La settimana scorsa al convegno Net and System Security
ho fatto alcune ipotesi sul futuro della sicurezza informatica ed il punto sul presente. Come ho ricordato in quell'occasione si spende
male in tecnologia, si investe
poco sulle persone e
poco e
male su strategie e procedure.
Per il futuro vedo un
sempre crescente utilizzo del social networking nelle piu svariate forme (secondlife, facebook, linkedin, habbo, ecc...) ed
attraverso PC che non avranno per forza
la forma di un PC (potranno essere pseudotelefoni, palmari o altri dispositivi intelligenti),
e che proprio non avendo la forma di PC
non saranno percepiti come tali, pur essendo vulnerabili ai noti problemi di sicurezza di quello che ad oggi chiamiamo PC.
Il fatto che la
comunicazione sará sempre piu sofisticata con voce, video e presenza remota fará si che
l'interazione via rete diventerá estremamente popolare. E di conseguenza cresceranno d'importanza furto d'identitá e compagnia.
Tutte le tecnologie continueranno a subite il
patching per i problemi di sicurezza, ed un altro grosso problema che vedo nel futuro sará la
carenza di figure professionali.
Oggi leggo la
chiacchierata fra
Bruce Schneier e
Marcus Ranum sullo stesso argomento e sono d'accordo con molti degli spunti e felice che condividano il mio punto di vista (preoccupato) sul futuro del social networking, sulla futura carenza di figure professionali e sul patching. Ecco alcuni estratti.
Patching:
(MR) You can't turn shovelware into reliable software by patching it a whole lot.
Forma dei PC:
(BS) In 10 years, ... My desktop will fit into my cell phone, ..
Convergenza della sicurezza nel reale e virtuale:
(BS) Fraud, theft, impersonation and counterfeiting are perennial problems ... these crimes have migrated into cyberspace, and over the next 10, they will migrate into whatever computing, communications and commerce platforms we're using.
(MR) By 2017, computers will be even more important to our lives, economies and infrastructure.
Competenze:
(MR) Another trend I see getting worse is government IT know-how ... by 2017 there won't be a single government employee who knows how to do anything with a computer except run PowerPoint and Web surf.
E questa mi é piaciuta moltissimo:
(MR)
Security is not something you build - it's something you get when you leave out all the other garbage as part of your design process.
L'articolo completo é
qui.
Etichette: speech
Assenza, piccole modifiche un trucco noto.
Non sto scrivendo granche per ora, ed il motivo é semplice: ho una montagna di cose da fare. Che sono vivo si vede dal boxino di
twitter, sul quale mando frammenti prevalentemente nei ritagli di tempo, peró. In realtá qualcosina sul blog l'ho fatta. Ho sistemato l'orario dei post, che adesso dicono l'ora anziche la data, ho sistemato il footer in basso che riporta correttamente
disclaimer,
feed RSS e
Copyright ed ho aggiunto qualche link sulla colonna di destra. Una missione che vorrei almeno iniziare e' quella di fare luce sulle aree piu interessanti (per chi come me si occupa di sicurezza) del sito cisco.com, che é eccessivamente ampio. I link sulla colonna di destra sono l'inizio, e colgo l'occasione per ribadire il trucco del
barra-go-barra: pensa ad un prodotto o tecnologia cisco. Poi apri il browser e come URL scrivi:
http://cisco.com/go/
quello-che-hai-pensato.Etichette: cisco