Ipse Dixit
Mi é capitato nell'aggregatore questo articolo parla dei rischi del software open
sourceNetworkworld / Open source software a security risk, study claims"You've got to go into this with your eyes wide open"
Howard Schmidt, former White House cybersecurity czar
"Bisogna andarci con gl'occhi bene aperti", dice
Howard Shmidt "
già zar della
cybersicurezza della
casabianca" lo definisce
NW. Al di la di Zar ed altri titoli
pseudonobiliari ho avuto il piacere di conoscere e fare quattro chiacchiere diverse volte con
Howard e lo stimo molto. Sul fatto che open
source sia
più o meno sicuro non ho una forte opinione. Dipende da talmente tante cose che si potrebbero trarre le conclusioni che si vogliono. Quelli che usano software open
source perché "posso guardare il codice e rendermi conto di com'é fatto e quanto é sicuro" e poi non hanno (o non hanno in azienda) le competenze per effettivamente valutare il codice mi fanno sorridere. Come anche altri che usano
closed source per altrettanto futili motivi, del resto.
Etichette: ipsedixit
Ipse Dixit
La Stampa : Garante Privacy: "Internet é uno strumento pericoloso"Internet - però - è uno strumento pericoloso.
(Francesco Pizzetti, presidente del Garante per la protezione dei dati personali)
Avevo gia detto che in casa abbiamo armi di distruzione di massa. Porto d'armi o patentino prima di potersi collegare!
Etichette: ipsedixit
Ipse Dixit: spam, phishing, ecc...
Per Spam e Phishing Nessun rimedio ? (di Matteo Tricarico)
E' sempre più critica la situazione dello SPAM e del Pishing nel nostro paese. Attualmente siamo arrivati a livello "Arancione" e, nonostante filtri bayesiani e quant'altro non si riesce a venire a capo di un problema che sta mettendo a rischio l'intero servizio di posta elettronica.
Non sapevo fossimo a livello "Arancione". I filtri bayesiani hanno l'efficacia che hanno, e cioé limitata, come quella di un qualsiasi controllo sul contenuto di una email. L'efficacia migliora se si incrocia il filtro (statistico o bayesiano che sia) con un controllo rella reputazione dell'indirizzo IP sorgente del MTA di provenienza. Senderbase, é uno di questi database. Cosí magari torniamo a livello "giallo" ?
Eppure la faccenda si potrebbe risolvere abbastanza velocemente: visto che gli indirizzi dei collegamenti da cui provengono queste e-mail sono dinamici (quindi si tratta di ADSL private o connessioni via modem), perchè non si obbligano i provider proprietari di questi indirizzi di verificare l'utenza che invia e-mail a catena bloccando l'accesso di quel computer che, probabilemente, ha un virus a bordo di quelli che installano un server mail?
Perche se i provider sono in russia, o in cina, é piuttosto difficile "obbligarli". E perche se fosse possibile, sarebbe un un approccio reattivo: uno abusa e tu lo blocchi. Lui cambia indirizzo e cosí via, il problema non sarebbe comunque risolto. Credimi, Matteo, e' meno semplice di quanto possa sembrare.
Etichette: ipsedixit
Ipse Dixit
Government Executive / Pentagon: Cyberattacks appear to come from China"In the past year numerous computer networks around the world, including
those owned by the U.S. government, were subject to intrusions that appear to
have originated within the People's Republic of China"
Nello scorso anno diverse reti di computer nel mondo, incluse quelle del governo degli Stati Uniti sono state oggetto d'intrusioni apparentemente provenienti dalla Repubblica Popolare Cinese."The application of non-nuclear high technologies can bring about strategic effects similar to that of nuclear weapons..."
L'applicazione di tecnologie non nucleari puo portare a effetti strategici simili a quelli delle armi nucleari..Abbiamo in casa armi di distruzione di massa.
Etichette: ipsedixit
Ipse Dixit
Infoworld / Computer security's dubious futureIl Dubbio futuro della computer security"Complexity is the worst enemy of security"
La complessitá é il peggior nemico della sicurezza.
Bruce Schneier
Parole sante, caro Bruce. Mi permetteró di cirarti nelle mie presentazioni, perche se lo dico io ci credono meno perche non sono famoso come te.
Etichette: ipsedixit
Ipse Dixit: Consulenti e P2P
CBC News // LimeWire led to data breachIl Ministro della giustizia Jerome Kennedy ha dichiarato:
Kennedy told reporters that an outside consultant had installed LimeWire, a popular program used to swap music for free, on a laptop computer that was being used to work with data for the Workplace Health, Safety and Compensation Commission. As a result, information — including names, addresses, dates of birth and medical and work histories — related to 153 individuals was exposed, Kennedy said.
[(libero riassunto) ...un consulente con installato Limewire su un laptop utilizzato per lavorare su dati sensibili relativi a 153 persone]
Kennedy said the information was exposed for more than three weeks, but said that does not necessarily mean any of the details are now in the hands of potential identity thieves.
[(traduzione) le informazioni sono state esposte per piu di tre settiman, ma (ha detto) questo non per forza vuol dire che alcuno dei dettagli é nelle mani di ladri d'identitá]
Con il massimo rispetto, ministro, ma quest'ultima affermazione non mi da nessuna garanzia.
C'e' un modo molto semplice per evitare che i consulenti che lavorano in svariati posti non abbiano (ahem) limewire sul PC. E' una delle poche cose che possiamo pretendere dalla tecnologia, si chiama
NAC. Per quel che riguarda il fattore umano, basta stendere dei contatti di fornutira di consulenza ad hoc. Ad esempio "Se il consulente ha installato sul PC software del tipo x, y, z, succede al consulente che _ _ _ _ (inserisci la formula che preferisci)."
Etichette: ipsedixit
Ipse dixit
NBC4 / Armored Car Guard Impostor Robs BankAfter Almost 11 Hours, Bank Realizes It Was Robbed[ Impostore con furgone blindato ruba ina banca. 11 ore dopo la banca realizza il furto.]"Around 9:30 in the morning, we had a gentleman entered the bank who was dressed in... uniform walked in and signed for the money and walked out" (Luogotenente William Farr, Polizia di Washington)
Circa alle 9.30 un signore é entrato in banca, vestito con una (...) uniforme, ha firmato per la ricevuta dei soldi ed é andato. Luogotentente, tutta la mia solidarietá. Succede. Mi rendo conto che negli states non leggete Diabolik e questi trucchi non potete conoscerli. Come direbbe Ginko: "Dannato Criminale!".
Etichette: ipsedixit
Ipse Dixit
il Giornale / Ecco come noi hacker romeni vi svuotiamo i conti bancari"Di mestiere faccio l’hacker, il pirata informatico."Sorin Pascu, 22 anni, condannato a 5 anni e mezzo di carcere.
Il pirata informatico non é un mestiere. Si va in carcere. Il panettiere é un mestiere.
Etichette: ipsedixit
Ipse Dixit
BBC / Thousands of driver details lost"It wasn't encrypted." [ Non era cifrato ]Brendan Magee, chief executive of the Driver and Vehicle Agency, dopo che sono stati persi dei dischi con i dati personali di circa seimila persone.
1. E dáje. 2. Truecrypt -per dirne uno- é gratis. Usalo..non costa niente (la battuta originale, di John Belushi era "Agguanta una birra. Non costa niente.")Etichette: ipsedixit
Ipse Dixit
CW Security / Security policies? Workers ignore them, survey says[ policy di sicurezza ? gl'impiegati le ignorano, dice il sondaggio]"The key take-away is that information security policies are not being read, or if they are being read, are not being understood; if understood, people may not be following it" [ il punto fondamentale é che le policy di sicurezza non sono lette, e se lo sono, non sono capite, e fossero capite le persone potrebbero non seguirle ]ha dichiarato
Larry Ponemon,
Chairman del
Ponemon Institute, commentando un sondaggio fra 890 professionisti dell'
IT dal quale si evince che:
- Più della metà degli intervistati ha personalmente copiato informazioni confidenziali su chiavette USB (di questi quasi uno su dieci sapeva però che la policy aziendale lo proibiva)
- Quasi la metà ammette di condividere password con colleghi (anche se i due terzi sanno che la policy lo proibisce)
- Otto su dieci hanno detto di non essere sicuri (quasi due su dieci l'ha fatto!) se spegnere un network firewall é violazione della policy o no.
- .. e svariate altre.
"The reason why these things are happening [is] because compliance is not enforced, people are just not paying attention to enforcement. "[ la ragione é che se la compliance non é applicata, le persone non ci fanno attenzione (e non applicano) ]Suggerisco: scrivere le policy in forma più semplice, fare dei test per la comprensione (da me lo fanno, e la comprensione migliora - anche se qualcuno copia -), fare enforcement tramite tecnologia (la tecnologia aiuta) e sanzionare chi non si attiene. Etichette: ipsedixit
Ipse Dixit.
Sydney Morning Herald / Loose email sees CBD(*) HQ under siege[ Email 'lasca' porta l'assedio al quartier generale ]"I ... told everyone internal documents should be kept internal." [ ho detto a tutti che i documenti interni devono essere mantenuti interni ]Steve Lyon, General Manager della
Lindt Australia dopo l'assedio di persone che volevano cioccolata a prezzo scontato (per che un impiegato ha
girato un'email a qualcuno fuori dall'azienda).
Steve, mi raccomando, se cercano di venderti una soluzione di Data Leakage Prevention, chiedi quanto costa. Poi digli che prima hai prima altri problemi da risolvere, quindi investi la cifra in Awareness Training ai tuoi collaboratori. PS: Se il consiglio ti é piaciuto, mandami pure una cassa di Lindor Fondenti.*CBD = Central Business District, di Sydney
Etichette: ipsedixit
Ipse Dixit
globeandmail / Passport applicant finds massive privacy breach"I was expecting the site to tell me that I couldn't do that"[ mi aspettavo che il sito mi dicesse che non potevo farlo ]Jamie Laning, un informatico di 47 anni, scoprendo di poter accedere le richieste di passaporti altrui (inclusi dati personali).
Caro Jamie, la speranza é l'ultima a morire, diciamo da queste parti."If you read the disclaimer on the website, it's supposed to use high-tech security" [ se leggi il disclaimer del sito, dice di usare HIGH TECH SECURITY ]Jason Marsden, uno qualsiasi, i cui dati sono stati acceduti da Laning
Jason, non é un problema di tecnologia, ma delle persone che la implementano.Etichette: ipsedixit
Ipse Dixit
Alleged Cisco hacker convicted in Sweden, bewails fate.
(Il sospettato hacker di Cisco, condannato in Svezia, si rammarica della sua sorte.)
"They have destroyed my life before I'm even a grown-up",
(Mi hanno rovinato la vita prima ancora che io sia cresciuto)ha dichiarato il 19enne di Uppsala (Svezia), dichiarato colpevole di svariati accessi non autorizzati ad universitá svedesi.
Etichette: ipsedixit