Categories
informatica sicurezza

Cyberwar

Il caso e-stonia del 2007 sembrava essere il più eclatante e forse lo è ancora per la sfrontatezza con cui l’attaccante ha colpito e inginocchiato una repubblica sovrana in poche ore.

Ma gli eventi degli ultimi giorni legati a Stuxnet fanno tornare alla mente di nuovo alcuni scenari fantascientifici o cyberpunk di attacchi informatici.

Se è vero anche solamente in parte quello che riporta DEBKA, l’attacco ha colpito il bersaglio in pieno. Il mio sospetto è che non ci sia stato ancora nessuno che si sia offerto volontario per andare a risolvere il problema degli Iraniani perché ci potrebbe essere il rischio concreto che il viaggio per Tehran sia di sola andata o abbia comunque un ritorno… difficoltoso.

Categories
informatica sicurezza

L'(in)utilità della firma elettronica

Sto cambiando auto, la qual cosa da sola mi procura fastidio, ma di questo darò forse conto in un altro post.

Nell’ambito di questo travaglio ho dovuto firmare e timbrare una quantità letteralmente incredibile di fogli, molti dei quali utili solamente a giustificare una burocrazia autoreferenziale. Ma transeat.

La quasi totalità dei documenti che ho firmato o consegnato sono passati tramite una mail: quelli che ho firmato di pugno sono stati inviati via PDF, stampati e firmati. I documenti che ho inviato io li ho passati allo scanner, convertiti in PDF e inviati via email.

Categories
informatica internet sicurezza

…allora è meglio Microsoft!

Il titolo è volutamente provocatorio e l’antagonismo ideologico tra le major dell’informatica non è l’oggetto di questo post, che è un esercizio teorico basato su un fatto di cronaca.

Recentemente c’è stato un attacco coordinato proveniente dalla Cina contro il servizio di posta elettronica di Google. L’attacco sarebbe stato coordinato attraverso dei computer controllati tramite il protocollo Aurora, la cui analisi ne rivela la complessità e fa chiaramente capire che non è stato creato dal solito gruppo di smanettoni cantinari.

Categories
informatica programmazione sicurezza

Y2.01K

Dopo averci scherzato tempo fa, pare che il problema della data nei software non sia sparito del tutto.

Il problema dell’anno 2000 era serio, anche se le conseguenze non sarebbero state quelle “previste” dagli “esperti” catastrofisti interrogati dalla stampa, la quale era a caccia più di sensazionalismi che di notizie. In ogni modo, sia con lo sforzo preventivo sia con l’intelligenza degli utilizzatori il problema dell’anno 2000 è stato superato.

Durante il periodo di caccia al baco precedente il primo gennaio 2000, i protocolli di test per verificare il software prevedevano, ovviamente, l’utilizzo di date successive all’anno 2000 nelle normali operazioni del software.  Ok, ma quanto successive al 2000? 2001? 2005? 2010? 2100? 3000?

Categories
informatica internet sicurezza windows

Quante informazioni state esponendo con un Copia-e-Incolla?

Inutile negare che alcuni programmi di Microsoft, se usati assieme, facilitino la vita di tutti i giorni in ufficio, del resto sono pensati per quello. Ma spesso può capitare che i programmi siano troppo solerti e che non ci si renda conto che quello che viene copiato e, soprattutto, incollato non è solamente il testo formattato che vediamo, ma anche alcune informazioni note con il termine tecnico di metadati e informazioni circa il nostro PC

Un cliente mi ha mandato una mail composta con Outlook Express in cui aveva fatto un copia e incolla di un testo creato con Word. Il sorgente HTML di una mail composta in questo modo può rivelare alcune informazioni che vogliamo restino private o che potrebbero essere utilizzate come elementi di social engineering per portare degli attacchi alla nostra organizzazione.

Di seguito mostro alcuni elementi che potrebbero essere contenuti in una mail inviata con il metodo appena descritto; ovviamente i dati veri sono stati omessi o modificati per proteggere l’innocente. Mi limito qui ad analizzare la parte HTML del messaggio, va da sé che non è l’unica fonte di informazioni che dovrebbero restare riservate, in quanto anche gli header del messaggio  potrebbero contenere informazioni preziose per i malintenzionati.

Categories
sicurezza

Tritadocumenti

Alcune norme di legge e le regole del buon senso richiedono che alcuni documenti vengano distrutti prima di essere gettati nella spazzatura al fine di vanificare eventuali azioni di trashing.

È fuori discussione che stracciare a mano i fogli di carta non sia una soluzione sicura. Esistono in commercio delle macchine distruggi documenti (shredder) che sminuzzano i fogli di carta (o di plastica) in modo da rendere difficile la lettura del documento originale.

La normativa DIN 32757 divide in sei livelli i distruggidocumenti in base alla dimensione dei frammenti di carta prodotti dalla macchina.

Categories
informatica internet sicurezza

Malware e Spam

Cos’hanno in comune malware e spam? Molto più di quello che una persona non del settore possa immaginare.

Innanzi tutto, alcune premesse doverose. Per quanto difficile da credere, lo spam rende soldi a chi lo gestisce. Il fatto stesso che continui ad esistere significa che è una pratica conveniente. Lo spam non è opera di un ragazzino solitario, ma è un’azione coordinata portata avanti da organizzazioni malavitose. Il malware non è più il virus scritto dall’universitario per noia o per goliardia, ma è un programma che ha il preciso e deliberato scopo di assumere il controllo di un computer o carpirne i dati (o entrambi).

Categories
informatica programmazione sicurezza

Ancora sugli errori: connessioni al database

Riprendo di nuovo il tema degli errori, dopo averne parlato la scorsa estate.

Una buona diagnostica degli errori è fondamentale per qualsiasi linguaggio di programmazione, ma nel caso di linguaggi per il web molti dettagli dovrebbero essere tenuti abbastanza nascosti agli utenti quando la procedura va in produzione.

Categories
informatica internet sicurezza

Sicurezza dei certificati con MD5

L’ultimo giorno del 2008 è stata presentata con dati di fatto verificabili la prova che i certificati di sicurezza basati sugli algoritmi a chiave pubblica verificati con hash MD5 dono da considerare non sicuri.

Anche questa volta il problema è molto tecnico, ma potrebbe avere ripercussioni sulla sicurezza di molti utenti. Fortunatamente, le autorità di certificazione (CA) che utilizzano ancora MD5 sono poche e cambieranno l’algoritmo in breve tempo, in quanto sono state avvisate prima della pubblicazione della ricerca.

La verifica della validità di un certificato di sicurezza (quello che provoca la visualizzazione di un lucchetto chiuso nel browser quando si visitano siti considerati sicuri) non avviene confrontando i certificati veri e propri ma confrontando delle sequenze di numeri ottenute applicando un algoritmo particolare (l’algoritmo di hash) al certificato originale. In questo modo si evita di spedire in chiaro il certificato stesso. Questo sistema è utilizzato per verificare o registrare le password di molti sistemi ed è il motivo per cui il vostro amministratore di sistema vi dice che non può dirvi la vostra password, ma la può solamente cambiare.

Categories
fantascienza informatica sicurezza

ParanoidLinux

ParanoidLinux is an operating system that assumes that its operator is under assault from the government (it was intended for use by Chinese and Syrian dissidents), and it does everything it can to keep your communications and documents a secret. It even throws up a bunch of “chaff” communications that are supposed to disguise the fact that you’re doing anything covert. So while you’re receiving a political message one character at a time, ParanoidLinux is pretending to surf the Web and fill in questionnaires and flirt in chat-rooms. Meanwhile, one in every five hundred characters you receive is your real message, a needle buried in a huge haystack.

Quando Cory Doctorow ha scritto questo brano di Little Brother, Paranoid Linux era solamente una sua invenzione funzionale allo svolgimento del racconto. Qualcuno, però, ha pensato di trasformare la finzione in realtà, così lo scorso maggio è nato il progetto ParanoidLinux.

Categories
informatica internet sicurezza

Attacchi a Microsft SQL Server

Trusted source riporta la notizia di un nuovo attacco a Microsoft SQL Server.

L’attacco sarebbe partito la scorsa settimana e avrebbe già interessato migliaia di siti.

Categories
geek informatica internet programmazione sicurezza

Security through obscurity è MALE

Ficcatevelo in testa: nascondere (o negare) i problemi di un sistema è il peggiore dei comportamenti possibili.

La considerazione nasce, ovviamente, dalla paradossale storia che ha coinvolto alcuni studenti del MIT e un servizio di trasporti pubblici del Massachussetts. Innanzi tutto va chiarito che le persone coinvolte non sono un manipolo di malviventi, ma studenti del MIT il cui professore è Ron Rivest, la ‘R’ del RSA. Gli studenti hanno scoperto un problema nel sistema di tariffazione dei trasporti pubblici e hanno applicato le procedure descritte dalla Full Disclosure Policy (RFPolicy) v2.0. La policy prevede che chi scopre un problema di un sistema contatti per prima cosa l’autore/gestore del sistema con cui stabilisce un dialogo che ha come scopo primario la soluzione del problema.

Categories
geek informatica sicurezza

33.000 record di iscritti a Clear rubati a SFO

La CBS riporta (via Slashdot) che all’aeroporto di San Francisco il 26 luglio u.s. è stato rubato un computer portatile che contiene le informazioni personali di 33.000 clienti di Clear, un servizio che consente a chi paga 100$/anno di seguire una procedura più rapida durante le operazioni di controllo di sicurezza negli aeroporti americani.

A parte l’idiozia di far pagare un quid per evitare i controlli di sicurezza, le informazioni personali contenute nel computer non erano protette da alcun sistema di crittografia, perciò chi ha in mano in questo momento il portatile ha libero accesso ai dati personali e agli estremi dei documenti di identità di 33.000 cittadini americani, molti dei quali, è ragionevole presumere, sono utenti abituali del servizio aereo.