-
Un pizzico di sale
Bruce Schneier ricorda per l’n-sima volta che, quando richiesto, è il caso di salare gli algoritmi di hash. Di solito gli algoritmi di hash si usano per rappresentare con un valore gestibile (un numero) qualcosa che o non si vuole scrivere in chiaro (una password, un dato personale) oppure si vuole rappresentare in maniera compatta…
-
Code Spaces
Code Spaces era un servizio di ospitazione di sorgenti software e gestione progetti. Un attacco ben coordinato ha distrutto il sito, i backup e l’azienda. Quelli di Code Spaces non erano così sprovveduti come si potrebbe pensare perché avevano un sistema di backup in tempo reale che era stato testato. Avevano anche un sistema di…
-
OpenSSL e software open
Sono state scoperte e corrette altre sei vulnerabilità di OpenSSL. Enfasi su “corrette”. Dopo Heartbleed qualcuno ha dubitato della bontà del software open, altri hanno visto quel problema come un argomento a favore di una circolazione limitata dei sorgenti. Sono argomenti facilmente confutabili con l’esperienza della storia e le basi della sicurezza informatica.
-
TrueCrypt
TrueCrypt era un programma open multipiattaforma di cifratura in tempo reale dei dischi. Era perché da ieri un laconico messaggio sul loro sito annuncia la fine del progetto in quanto conterrebbe dei “problemi non corretti” (unfixed issues). Gli autori del software sono sempre rimasti anonimi e per ora non c’è alcuna presa di posizione formale da…
-
Protocolli S nella posta elettronica
Alcuni utenti credono che l’utilizzo di HTTPS possa da solo risolvere i problemi di tutela dei dati nelle comunicazioni Internet. Tralasciando i protocolli proprietari di app modaiole che non sono l’oggetto di questo articolo, molti dati viaggiano tramite la posta elettronica. Un messaggio di posta elettronica viene inviato dal client al primo server (server di posta…
-
SMTP STARTTLS in crescita
Un rapporto di Facebook dimostra che la cifratura della posta elettronica ha raggiunto una “massa critica”. Questa è senza dubbio una buona notizia per la tutela dei dati personali perché il normale protocollo SMTP, figlio di quando Internet era un’altra cosa, dialoga in chiaro. L’estensione STARTTLS consente anche ad SMTP di passare ad una connessione cifrata…
-
Conformità non significa sicurezza
Molte aziende valutano l’opzione di certificarsi secondo alcuni standard per poter acquisire nuovi clienti. Alcuni manager presumono che la conformità a leggi, linee guida (come ad esempio ITIL) o standard industriali di qualità sia da sola sufficiente per garantire la sicurezza del sistema informativo. In realtà l’introduzione delle procedure e dei comportamenti previsti da leggi, standard o best practice…
-
DoS tramite SNMP
Dopo DNS e NTP è la volta di SNMP, un protocollo utilizzato per il monitoraggio dei dispositivi. Prolexic ha evidenziato come sia possibile utilizzare gli host esposti a Internet con attivo SNMP per portare un attacco distribuito (DDoS) come è già successo con DNS e NTP.
-
Quanto vale un computer hackerato?
Mikko Hyppönen ha spiegato che il malware viene scritto principalmente per tre motivi: soldi, attivismo politico e lotta tra Stati. Spesso le persone che non seguono le vicende della parte oscura di Internet non riescono a capire come un computer infetto possa valere dei soldi. La risposta breve è: mercato.
-
Approccio differente
Fatto di cronaca: un idiota tira ad un giocatore di calcio una banana e questo se la mangia. Reazione di una persona normale: sottolineare e plaudire all’azione di scherno contro un idiota. Reazione di chi si occupa di sicurezza informatica: pensare subito che la prossima banana lanciata in campo contenga un potente lassativo. Questo caso esemplifica…