- Blog
- Profilo
- Homepage
-
Prima versione di LibreSSL
È stata rilasciata la prima versione di LibreSSL, aggiornata oggi alla 2.0.1. LibreSSL si propone come rimpiazzo di OpenSSL dopo i problemi iniziati con heartbleed. Il team di BSD ha avviato il progetto con l’intenzione di produrre un codice meno fumoso, più stabile e sicuro. Il codice di OpenSSL ha sulle spalle una lunga storia di…
-
Un pizzico di sale
Bruce Schneier ricorda per l’n-sima volta che, quando richiesto, è il caso di salare gli algoritmi di hash. Di solito gli algoritmi di hash si usano per rappresentare con un valore gestibile (un numero) qualcosa che o non si vuole scrivere in chiaro (una password, un dato personale) oppure si vuole rappresentare in maniera compatta…
-
Code Spaces
Code Spaces era un servizio di ospitazione di sorgenti software e gestione progetti. Un attacco ben coordinato ha distrutto il sito, i backup e l’azienda. Quelli di Code Spaces non erano così sprovveduti come si potrebbe pensare perché avevano un sistema di backup in tempo reale che era stato testato. Avevano anche un sistema di…
-
Effetto Streisand
Le persone che non conoscono uno strumento e pensano di imporre le loro regole a ciò che non conoscono finisco sempre sconfitte. Questa è una conclusione che si può trarre guardando la cronaca degli anni passati, ma tutti sanno che l’unica cosa che la Storia insegna è che nessuno impara dalla Storia. Uno degli effetti…
-
OpenSSL e software open
Sono state scoperte e corrette altre sei vulnerabilità di OpenSSL. Enfasi su “corrette”. Dopo Heartbleed qualcuno ha dubitato della bontà del software open, altri hanno visto quel problema come un argomento a favore di una circolazione limitata dei sorgenti. Sono argomenti facilmente confutabili con l’esperienza della storia e le basi della sicurezza informatica.
-
Dragon V2
Ci sono molti articoli a riguardo e non starò qui a ricopiare le schede tecniche che si trovano un po’ dappertutto. Una sola considerazione: i fan seguono la fantascienza, ma solo i veri geek (miliardari, è vero) la costruiscono.
-
TrueCrypt
TrueCrypt era un programma open multipiattaforma di cifratura in tempo reale dei dischi. Era perché da ieri un laconico messaggio sul loro sito annuncia la fine del progetto in quanto conterrebbe dei “problemi non corretti” (unfixed issues). Gli autori del software sono sempre rimasti anonimi e per ora non c’è alcuna presa di posizione formale da…
-
Protocolli S nella posta elettronica
Alcuni utenti credono che l’utilizzo di HTTPS possa da solo risolvere i problemi di tutela dei dati nelle comunicazioni Internet. Tralasciando i protocolli proprietari di app modaiole che non sono l’oggetto di questo articolo, molti dati viaggiano tramite la posta elettronica. Un messaggio di posta elettronica viene inviato dal client al primo server (server di posta…
-
SMTP STARTTLS in crescita
Un rapporto di Facebook dimostra che la cifratura della posta elettronica ha raggiunto una “massa critica”. Questa è senza dubbio una buona notizia per la tutela dei dati personali perché il normale protocollo SMTP, figlio di quando Internet era un’altra cosa, dialoga in chiaro. L’estensione STARTTLS consente anche ad SMTP di passare ad una connessione cifrata…
-
Conformità non significa sicurezza
Molte aziende valutano l’opzione di certificarsi secondo alcuni standard per poter acquisire nuovi clienti. Alcuni manager presumono che la conformità a leggi, linee guida (come ad esempio ITIL) o standard industriali di qualità sia da sola sufficiente per garantire la sicurezza del sistema informativo. In realtà l’introduzione delle procedure e dei comportamenti previsti da leggi, standard o best practice…
-
Data Centre in scatola
Agli eventi del VMUG IT c’è sempre qualcosa da imparare. Tra i panel della VMUGIT User Conference dello scorso 7 maggio ce n’era uno di Chris Roeleveld e Dennis Hoegen Dijkhof in cui spiegavano le differenze sul campo tra i dischi rotanti e i dischi SSD. Apparentemente nulla di nuovo, senonché la presentazione è avvenuta con…
-
DoS tramite SNMP
Dopo DNS e NTP è la volta di SNMP, un protocollo utilizzato per il monitoraggio dei dispositivi. Prolexic ha evidenziato come sia possibile utilizzare gli host esposti a Internet con attivo SNMP per portare un attacco distribuito (DDoS) come è già successo con DNS e NTP.