Ci sono molti articoli a riguardo e non starò qui a ricopiare le schede tecniche che si trovano un po’ dappertutto. Una sola considerazione: i fan seguono la fantascienza, ma solo i veri geek (miliardari, è vero) la costruiscono.
-
TrueCrypt
TrueCrypt era un programma open multipiattaforma di cifratura in tempo reale dei dischi.Era perché da ieri un laconico messaggio sul loro sito annuncia la fine del progetto in quanto conterrebbe dei “problemi non corretti” (unfixed issues).
Gli autori del software sono sempre rimasti anonimi e per ora non c’è alcuna presa di posizione formale da parte loro.
Il programma utilizzabile per la sola decifratura dei dati che è stato pubblicato sul sito reca la firma digitale del team di sviluppo, quindi chi l’ha pubblicato è in possesso della chiave privata.
Con queste premesse, l’uso di TrueCrypt da oggi è del tutto sconsigliabile. Purtroppo non esiste nessun altro prodotto analogo multipiattaforma: si può usare GPG, ma non è la medesima cosa. (altro…)
-
Protocolli S nella posta elettronica
Alcuni utenti credono che l’utilizzo di HTTPS possa da solo risolvere i problemi di tutela dei dati nelle comunicazioni Internet.
Tralasciando i protocolli proprietari di app modaiole che non sono l’oggetto di questo articolo, molti dati viaggiano tramite la posta elettronica.
Un messaggio di posta elettronica viene inviato dal client al primo server (server di posta in uscita) con il protocollo SMTP, i server parlano tra di loro in SMTP e alla fine un client scarica un messaggio con IMAP o POP3 (server di posta in arrivo).
(altro…) -
SMTP STARTTLS in crescita
Un rapporto di Facebook dimostra che la cifratura della posta elettronica ha raggiunto una “massa critica”.
Questa è senza dubbio una buona notizia per la tutela dei dati personali perché il normale protocollo SMTP, figlio di quando Internet era un’altra cosa, dialoga in chiaro.
L’estensione STARTTLS consente anche ad SMTP di passare ad una connessione cifrata utilizzando la medesima connessione TCP.
(altro…) -
Conformità non significa sicurezza
Molte aziende valutano l’opzione di certificarsi secondo alcuni standard per poter acquisire nuovi clienti.
Alcuni manager presumono che la conformità a leggi, linee guida (come ad esempio ITIL) o standard industriali di qualità sia da sola sufficiente per garantire la sicurezza del sistema informativo.
In realtà l’introduzione delle procedure e dei comportamenti previsti da leggi, standard o best practice è il punto di partenza per arrivare ad una sicurezza informatica accettabile.
(altro…) -
Data Centre in scatola
Agli eventi del VMUG IT c’è sempre qualcosa da imparare.Tra i panel della VMUGIT User Conference dello scorso 7 maggio ce n’era uno di Chris Roeleveld e Dennis Hoegen Dijkhof in cui spiegavano le differenze sul campo tra i dischi rotanti e i dischi SSD. Apparentemente nulla di nuovo, senonché la presentazione è avvenuta con l’ausilio del gioiellino geek ritratto qui a fianco.
Si tratta di un cluster VMware con tre nodi e uno storage condiviso.
Chris e Dennis hanno utilizzato delle Intel NUC D54250WYB, vere e proprie micro motherboard con un Core i5 4250U, una porta SATA, due USB 3.0, altrettanti USB 2.0 e un’altra manciata di porte.
I rack arancioni visibili nella foto sono stati realizzati con una stampante 3D.
Visto l’hardware in gioco, non stiamo certo parlando di performance stellari, ma è la dimostrazione che si può mettere in pochissimo spazio un sistema VMware con consumi di corrente assai ridotti e con caratteristiche di ridondanza analoghe ai sistemi che girano su hardware molto più potente e carrozzato.
-
DoS tramite SNMP
Dopo DNS e NTP è la volta di SNMP, un protocollo utilizzato per il monitoraggio dei dispositivi.
Prolexic ha evidenziato come sia possibile utilizzare gli host esposti a Internet con attivo SNMP per portare un attacco distribuito (DDoS) come è già successo con DNS e NTP.
(altro…) -
50 anni di BASIC
HELLO
DARTMOUTH TIMESHARING ON AT 4:07AM ON MAY 1, 1964
2 USERS
OLD BASIC50***
READY
RUN
Sembra che sia questo l’output quando, 50 anni fa, è stato lanciato il primo programma scritto in BASIC. (altro…)
-
Quanto vale un computer hackerato?
Mikko Hyppönen ha spiegato che il malware viene scritto principalmente per tre motivi: soldi, attivismo politico e lotta tra Stati.
Spesso le persone che non seguono le vicende della parte oscura di Internet non riescono a capire come un computer infetto possa valere dei soldi. La risposta breve è: mercato.
(altro…) -
Approccio differente
Fatto di cronaca: un idiota tira ad un giocatore di calcio una banana e questo se la mangia.
Reazione di una persona normale: sottolineare e plaudire all’azione di scherno contro un idiota.
Reazione di chi si occupa di sicurezza informatica: pensare subito che la prossima banana lanciata in campo contenga un potente lassativo.
Questo caso esemplifica l’approccio necessario quando ci si occupa di sicurezza. Un tecnico pensa di norma a come funzionano le cose, chi si occupa di sicurezza pensa sempre a come le cose si possono rompere.
Ok, ok: il vero paranoico avrebbe pensato subito che la banana potesse esplodere, ma questo è un altro discorso.
-
MSIE + Flash = 0-Day
Nuovo Zero-Day di Internet Explorer con installato il plugin di Adobe Flash.
Secondo Microsoft stessa la vulnerabilità interessa tutte le versioni del browser dalla 6 alla 11 incluse, anche se lo 0-day che è stato analizzato (ma non è detto che non ne esistano altri) colpisce solamente le versioni dalla 9 alla 11 incluse.
La vulnerabilità in questione permette all’attaccante di eseguire codice arbitrario sul computer della vittima (remote code execution) bypassando ogni tipo di protezione sia se viene utilizzato Internet Explorer come browser sia se viene utilizzato per visualizzare i contenuti HTML all’interno di altri programmi, come Outlook. (altro…)
-
Prendere senza dare
Per alcuni capi progetto avidi l’open source e assimilati rappresentano solamente una cornucopia da cui attingere a piene mani.
In pochi tra i big della tecnologia hanno scelto di non utilizzare software con licenze GPL o similari; tra questi, ovviamente, Microsoft, anche se è impossibile resistere alla tentazione di rubare (RUBARE!) senza rispettare i termini di licenza. Anche una società come Sony ha fatto largo uso negli anni di software GPL e ha rispettato i termini della licenza.
(altro…)
