Bruce Schneier fa un interessante ragionamento e paragona la sicurezza informatica con la salute pubblica.
(altro…)Categoria: Sicurezza
Sicurezza informatica
-
Testimonianza di Snowden al Parlamento Europeo
Lo scorso dicembre la Commissione per le libertà civili, giustizia e affari interni del Parlamento Europeoinchiesta sulla sorveglianza di massa dei cittadini europeiThe good news is that there are solutions. The weakness of mass surveillance is that it can very easily be made much more expensive through changes in technical standards: pervasive, end-to-end encryption can quickly make indiscriminate surveillance impossible on a costeffective basis. The result is that governments are likely to fall back to traditional, targeted surveillance founded upon an individualized suspicion. Governments cannot risk the discovery of their exploits by simply throwing attacks at every “endpoint,” or computer processor on the end of a network connection, in the world. Mass surveillance, passive surveillance, relies upon unencrypted or weakly encrypted communications at the global network level.
Come molti esperti del settore ripetono da tempo, la cifratura dei dati è utile; per citare un esempio, si veda il discorso di Mikko Hyppönen sulla NSA. (altro…)
-
Attacchi ai router ADSL
Team Cymru ha pubblicato un report [PDF] che descrive una serie di attacchi portati ai router ADSL di fascia casalinga o SOHO(altro…) -
Attenzione alle webcam
Wired riporta la notizia della condanna di un londinese condannato per voyeurismo per aver installato dello spyware sui computer delle vittime con il pretesto di sistemare il loro computer.
Questi sono crimini odiosi perché si basano sulla buona fede delle persone e le colpiscono nella loro intimità, dove si dovrebbero sentire al sicuro.
Oramai bisogna iniziare a considerare le telecamere come si considerano i microfoni in uno studio di trasmissione: sempre attive e pronte a trasmettere.
Quello che trae maggiormente in inganno gli utenti è credere che la luce della telecamera si accenda “per forza” quando viene attivata la ripresa video. In realtà è un comando software, non è un collegamento elettrico e, come tale, può essere scavalcato o disabilitato.
Donne e minorenni dovrebbero essere particolarmente sensibilizzati in merito a questo problema perché sono spesso le vittime più colpite e le più ricattabili.
-
Aggiornamenti: che fatica!
Una settimana fa è uscito un aggiornamento importante per iOS e ho avvisato tutti i clienti con dispositivi iOS della necessità di aggiornare.
(altro…) -
Le password nel commercio elettronico
Dashlane ha pubblicato un rapporto sulle password nel commercio elettronico [PDF].
Il documento analizza le regole imposte dai primi cento siti americani di e-commerce, molti dei quali operano anche a livello globale. Dashlane ha individuato 24 caratteristiche delle password e ha assegnato a ciascuna un punteggio negativo o positivo; se una caratteristica è applicabile alle password di un sito, il punteggio relativo viene assegnato ad esso. Il punteggio può variare da -100 a +100.
Prima di esaminare la classifica alcuni dati aggregati degni di nota:
- il 55% dei siti accetta password del tipo
123456opassword; - il 64% ha delle regole molto discutibili in merito alle password, la qual cosa ha portato ad un punteggio negativo;
- il 61% non fornisce alcuna indicazione su come creare una password sicura durante la creazione di un account;
- il 93% non fornisce in tempo reale una valutazione della forza della password durante la digitazione della medesima
- 8 siti inviano la password via mail in chiaro.
Per gli amanti delle top 10 ecco la classifica dei siti migliori. (altro…)
- il 55% dei siti accetta password del tipo
-
Controllate il vostro NTP
CloudFlare è stato attaccato con un pesante DDoSNTP.
Lo scorso dicembre Symantec aveva scoperto un metodo per sfruttare il comando monlist presente nelle vecchie versioni di ntpd
Il fattore di amplificazione di un attacco questo tipo può raggiungere anche 58,5; il che significa che chi dispone di 100 Mbit di banda può attaccare una vittima con un traffico che può arrivare a 5,85 Gbit.
noquery in ntp.conf.
Ironia della sorte, il 9 gennaio scorso era stato pubblicato nel blog di CloudFlare un articolo sugli attacchi via NTP.
Per scoprire se un server può essere utilizzato per un attacco di questo tipo si può utilizzare il servizio di Open NTP Project che esegue scansioni su blocchi di IP fino al /22.
-
Finto FileZilla che ruba le credenziali
avast! ha scoperto una versione modificata di FileZillaAbout sono diverse. Queste versioni sono perfettamente funzionanti e, se utilizzate, non presentano altre differenze rispetto alla versione legittima del programma.
