misi blog
varie // eventuali // sicurezza informatica
giovedì 24 luglio 2008
lunedì 21 luglio 2008
Ipse Dixit
Mi é capitato nell'aggregatore questo articolo parla dei rischi del software open sourceNetworkworld / Open source software a security risk, study claims
"You've got to go into this with your eyes wide open""Bisogna andarci con gl'occhi bene aperti", dice Howard Shmidt "già zar della cybersicurezza della casabianca" lo definisce NW. Al di la di Zar ed altri titoli pseudonobiliari ho avuto il piacere di conoscere e fare quattro chiacchiere diverse volte con Howard e lo stimo molto. Sul fatto che open source sia più o meno sicuro non ho una forte opinione. Dipende da talmente tante cose che si potrebbero trarre le conclusioni che si vogliono. Quelli che usano software open source perché "posso guardare il codice e rendermi conto di com'é fatto e quanto é sicuro" e poi non hanno (o non hanno in azienda) le competenze per effettivamente valutare il codice mi fanno sorridere. Come anche altri che usano closed source per altrettanto futili motivi, del resto.
Howard Schmidt, former White House cybersecurity czar
Etichette: ipsedixit
giovedì 10 luglio 2008
Foto del Giorno.
Dopo la versione da piscina e quella invernale, non poteva mancare la versione da campeggio (grazie Alessio). Se avete segnalazioni/testimonianze saró lieto di continuare la serie.
Sulla sicurezza fisica, invece, ecco un impianto antincendio a regola d'arte (grazie Davide):
mercoledì 9 luglio 2008
Nuove identitá sul web ?
Ancora con questa storia del cappello per non farsi riprendere in aree videosorvegliate ?Oltre il cappello, questo articolo suggerisce anche di non mangiare in locali pubblici e di non usare bagni pubblici. In altre parole: se la trattieni e non mangi non ti trova nessuno.
martedì 8 luglio 2008
Infosecurity é finita.
Nel 2001 sono stato per la prima volta ad Infosecurity e mi é piaciuta molto la fiera. Da allora é stato un leggero, lento ed inesorabile declino. Come manifestazione ha cercato di espandersi su Roma e Verona oltre che a Milano, ma forse questo é stato proprio questo che ha generato una diluizione che é stata letale.E' di pochi giorni fa la notizia: ASCA / Addio Infosecurity Italia
Reed Exhibition ha deciso di sospendere Infosecurity Italia, la più importante manifestazione in Italia nel settore della sicurezza informatica. La scelta, si legge in un comunicato, deriva dalla considerazione che il mercato dell'information technology nel nostro paese si sta orientando verso altri strumenti di promozione diversi dagli eventi fieristici di taglio tradizionale. Gli operatori del settore, infatti, hanno dimostrato di voler sempre più indirizzare i loro investimenti su eventi specialistici personalizzati sulle caratteristiche e le richieste di singoli mercati verticali di riferimento.
Personalmente la cosa mi lascia abbastanza indifferente. A febbraio sono passato alla manifestazione solo un paio d'ore - forse quelle sbagliate - ma l'impressione é stata di respirare aria vecchia.
Oggi leggo sul blog del CLUSIT che sulle ceneri della vecchia manifestazione ne nascerà una nuova e innovativa che si chiamerà Security Summit.La nuova manifestazione, che vedrà un considerevole coinvolgimento dei soci, si chiamerà "Security Summit" e la prima edizione si terrà già nella primavera del 2009 prima a Milano e poi a Roma.
Da quello che leggo la cosa é interessante. Per più di un motivo; il primo:Intendiamo superare il format ormai logoro di eventi dalla spiccata fisionomia fieristica per concentrarci invece su un format innovativo, caratterizzato da contenuti culturali di alto livello, key note speaker di profilo internazionale e in generale una forte attenzione alla qualità. Per far questo stiamo mettendo a punto un programma convegnistico che vedrà sessioni plenarie, seminari di approfondimento, tavole rotonde, sessioni verticali ecc. in una varietà e articolazione di offerta culturale che permetta al partecipante di costruirsi un percorso professionale di approfondimento su misura.
Quindi meno "vetrina" e più convegni. Bene, perche convegni significa contenuti, condivisione, conoscenza, conoscersi e confrontarsi, specie se il convegno é tavola rotonda. La vetrina ormai non serve più, é stata sostituita da internet.
Il secondo:Fortemente basato sulla possibilità di interazione dei partecipanti, il "Security Summit", oltre alle tematiche tipiche del mondo business, svilupperà anche una attenzione particolare a quelle della sicurezza in rete per i cittadini: i risparmiatori, le famiglie, i più giovani e gli anziani.
Se i partecipanti girano fra le "bancarelle”, non portano a casa niente (se non un sacchetto di carta che butteranno alla prima occasione). Se ci sono convegni portano a casa conoscenza, se c'e' possibilità d’interazione portano a casa conoscenza e confronto.
Terzo:Per realizzare questo ambizioso progetto avremo bisogno dell' aiuto e dei suggerimenti di tutti i soci, per costruire assieme un evento veramente innovativo: originale, accattivante e di gran qualità.
Questo é quello che mi piace di più. Il fatto di poter interagire e dare suggerimenti evitando quindi la manifestazione "imposta" con contenuti fatti da comitati sconosciuti. possibilità quindi di fare noi tutti da comitato. A me l'idea piace molto. Sto pensando già di proporre qualcosa.
NIST: Due nuove pubblicazioni
Sono due le pubblicazioni appena rilasciate dal NIST, e sono entrambe molto interessanti.La prima, "Guide to SSL VPNs" parla delle tecnologie che stanno alla base delle SSL VPN, ambito che sta guadagnando sempre più popolarità rispetto alle "tradizionali" IPsec VPN. Si passa poi a scenari d’implementazione e raccomandazioni d'uso. Ovviamente non ho ancora avuto il tempo di leggere la pubblicazione, ma da una prima occhiata é fatta molto bene (come tradizione del NIST).
link - NIST: Guide to SSL VPNs (pdf)
La seconda é una pubblicazione ancora in draft, e quindi può essere commentata prima della chiusura e pubblicazione. Quanto mai attuale anche quest’argomento: "Guidelines on Cell Phone and PDA Security". Con l'utilizzo sempre più massiccio di dispositivi mobili, palmari e telefoni intelligenti che allargano il loro ambito d'azione dal semplice calendario o telefono a dispositivo multifunzionale che integra calendario, email, contatti, telefono e spesso accesso alle risorse aziendali, diventa imperativo porsi l'interrogativo sull'effettivo livello di sicurezza di questi dispositivi e su quali possono essere le linee guida da applicare per un utilizzo sicuro. Ben venga quindi una pubblicazione come questa!
link - NIST: Guidelines on Cell Phone and PDA Security (Draft, pdf)
lunedì 7 luglio 2008
VoIP Exploit Research toolkit
http://sourceforge.net/projects/voiper/VoIPER is a VoIP security testing toolkit incorporating several VoIP fuzzers and auxilliary tools to assist the auditor. It can currently generate over 200,000 SIP tests and H.323/IAX modules are in development.
Etichette: voip
martedì 1 luglio 2008
Sanzioni esemplari
Usa "RemoteAnywhere" per accesso non autorizzato a dati sui computer militari. Gli USA chiedono l'estradizione di un "hacker" inglese. PC World : British Hacker Faces Extradition Hearing Next WeekSedicenne fa truffe online per far soldi e potersi permettere gadget e vita agiata. Darknet: 16 Year Old Indian Hacker Busted for eBay Scam
Crea una botnet con centinaia di PC compromessi per attaccare altri PC installando pop-up pubblicitari. BBC News: Jail sentence for botnet creator