SIAMO GEEK

Categoria: Internet

  • Non avete ricevuto alcun MMS

    Si avvicina il Natale, che porta con sé innumerevoli messaggi di posta elettronica inutili con allegate immagini oppure programmi che installano malware.

    L’ultima notizia riguarda un messaggio di posta elettronica che sembra provenire da Vodafone U.K. che contiene l’avviso del presunto recapito di un messaggio MMS.

    Come è successo in altri casi, è facile supporre che, se questo scherzetto avrà seguito oltre Manica, potrebbero diffondersi alternative in altre lingue o con altri operatori telefonici.

    Al solito, se non avete delle SIM del presunto operatore telefonico che vi starebbe scrivendo, è difficile che abbiate ricevuto un MMS; inoltre diffidate sempre di mail sgrammaticate o con errori grossolani. (via Naked Security)

  • Open Data

    Open Data è una delle parole chiave che riempiono le bocche di molte persone o amministratori.

    Si tratta più di un concetto astratto che di un insieme di regole, la qual cosa lascia la mano libera alle più varie interpretazioni.

    Per un amministrativo (o comunque un non-tecnico) la scansione bitmap di una pagina stampata messa online costituisce open data. Da un punto di vista tecnico questo esempio non è open data, ma una banale pubblicazione di un documento non elaborabile.

    (altro…)

  • HTML5: raccolta di vulnerabilità

    Nato dopo una serie di frizioni e malintesi, HTML 5 sta diventando il nuovo standard delle pagine web.

    Come successo fin dagli inizi della diffusione del web, il nuovo livello del linguaggio HTML diventa uno standard nel momento in cui i browser più diffusi lo supportano.

    Allo stesso modo, ciascun motore di rendering alla base dei vari browser supporta un set di markup del linguaggio e ogni tanto lo fa a proprio modo oppure ha delle estensioni che funzionano solamente con quel motore. Qui e qui ci sono delle tabelle comparative relative a HTML5.

    Ovviamente nuovi markup significano nuove vulnerabilità, rese più insidiose dall’integrazione di JavaScript, il quale si porta dietro il rischio di attacchi XSS.

    HTML5 Security Cheatsheet è un sito che raccoglie le vulnerabilità dell’implementazione di HTML5.

    (altro…)

  • Big Data vs. Pig Data

    Secondo un’interessante analisi di Gianni Riotta, la vittoria presidenziale americana sarebbe stata favorita dalla corretta elaborazione di una grande messe di dati a disposizione o raccolti dallo staff di Obama.

    Lo staff del presidente rieletto ha dispiegato con molto anticipo il progetto Narwhal, un sistema che integra da modelli matematici, capacità di elaborare e analizzare big data, applicazioni mobili, raccolta dati e, soprattutto, tanti volontari sul campo.

    Romney non è restato certamente con le mani in mano e ha risposto con il progetto Orca (le orche sono i predatori dei narvali), che però ha sofferto di alcuni piccoli intoppi informatici e di infrastruttura, al punto tale che alcuni l’hanno descritto come uno “huge clusterfuck”.

    Il problema principale di Orca è che è stato sviluppato da zero in soli sette mesi, dopo i risultati delle primarie repubblicane, con l’aiuto di Microsoft e di una società di consulenza il cui nome non viene rivelato.

    (altro…)

  • Verifica dei certificati SSL

    Uno studio ha dimostrato che non è una bella idea verificare i certificati con chiamate alle librerie, ma è meglio delegare il compito a chi lo sa far bene, come il browser.

    Il problema risiede nel modo in cui vengono utilizzate le API delle librerie, non si tratta, quindi, di una vulnerabilità intrinseca delle librerie medesime.

    Secondo lo studio citato, le diverse API SSL espongono funzioni di basso livello e non offrono la possibilità di chiamare una serie di funzioni cappello con pochi e chiari parametri che permettono di effettuare la verifica di un certificato in maniera affidabile. Spesso i programmatori, vuoi per leggerezza, vuoi per poca informazione, interpretano male la documentazione delle funzioni e finiscono per commettere errori che espongono gli applicativi a vulnerabilità serie.

    Un’ipotesi formulata dalla pubblicazione è che in almeno un caso, quello dell’applicazione Android di Chase Bank, la vulnerabilità introdotta a livello applicativo sia il retaggio di un codice di test che bypassa la verifica del certificato rimasto per errore anche nel codice finale. (via Bruce Schneier)

  • Quando anche in Italia?

    Appena Fox (schierata politicamente con i Repubblicani) prima ancora di CNN ha dato la vittoria a Obama, l’account di Twitter del Presidente uscente ha pubblicato questo:

    I 78.000 RT sono stati catturati cinque minuti scarsi dopo il tweet, venti minuti dopo erano 232.000, con una crescita di 2.000 in una decina di secondi.

    Faccio ancora fatica a pensare la medesima cosa da noi (inteso come comunicazione in senso generale, non voglio dare giudizi politici perché non è questo il contesto), ma ho speranza.

     

  • Listino prezzi russo

    Trend Micro ha pubblicato un’analisi dell’attività criminale russa legata al malware, spam e assimilati.

    La creazione di malware o l’hacking di siti o email è passata da qualcosa di goliardico ad una vera e propria attività legata alla criminalità organizzata.

    Alcuni siti russi, citati nella pubblicazione, mettono a disposizione una serie di servizi illegali a fronte del pagamento di un corrispettivo.

    (altro…)

  • Caro amico, ti scrivo… così bevi un po’!

    No, non c’è nessun refuso nel titolo.

    Un giovanotto, noto su internet come Morskoiboy, ha progettato una macchina da scrivere che converte ogni parola in un cocktail. Ogni tasto è collegato a una bottiglia contenente quello che sembra o liquore o succo di frutta (considerazione per fegati astemi?).

    Leggete come qui.

    E qui ci starebbe bene la tag, bevete responsabilmente! specie quando scrivete lettere! D’amore o odio poca è la differenza…

  • Si trova proprio di tutto

    Abbiamo trattato varie volte il problema dei motori di ricerca che indicizzano più di quello che ci si aspetta.

    Con la formula corretta si possono trovare varie cose: chiavi private, log di trasferimenti FTP, chiavi o configurazioni dei VPN, telecamere

    Aggiungiamo questa messe di informazioni un esempio di come sia possibile cercare dei fogli di Excel il cui none finisce con la parola email:

    filetype:xls inurl:"email.xls"

    Il risultato è interessante e potrebbe essere una delle tante possibili risposte alla domanda “Ma da dove diavolo hanno preso la mia mail?!”

    Mutatis mutandis, si potrebbero cercare documenti che contengono altre parole nel nome.

    Chi ha detto “password”?

    inurl:elmah.axd "powered by elmah" password

  • AET: siamo tutti vulnerabili! Sarà vero??

    Nella giornata di ieri ho partecipato ad un seminario sulle AET (Advenced Evasion Techniques) tenuto dal vendor che per primo si è occupato di fornire soluzioni per proteggere da questa minaccia.

    Senza entrare in dettagli molto tecnici si tratta di metodi in grado di penetrare gli IPS più avanzati del mercato e di farlo senza lasciare traccia.

    Tali metodi sono stati studiati negli ultimi anni da un’azienda che si occupa di sicurezza nell’IT  e che a partire dal 2010 ha iniziato a fornire dati su queste vulnerabilità in accordo con CERT Fi (autorità finlandese sui regolamenti nelle comunicazioni).

    (altro…)

  • Un linguaggio senza ‘if’

    Vanno bene i concetti di no frills e low cost, ma ci dovrebbero essere dei limiti ragionevoli.

    Questa mattina ho rinnovato un account di mail che devo avere per rispetto della legge e che acquisto dal fornitore che fa il minor prezzo. Insomma: la mailbox PEC per la mia società.

    Una volta confermati i dati anagrafici e selezionata l’offerta desiderata (3 anni per la PEC meno cara) mi si è presentata davanti una videata di cui riproduco a fianco un pezzo.

    Sfido qualsiasi programmatore a riuscire a far passare un software con un output simile senza essere, giustamente, coperto di insulti.

  • Venduta la “God Letter” di Einstein

    Segnalo un articolo a riguardo. Enjoy!