Decreti sicurezza e immigrazione
Mentre in Italia e in Europa si dibatte sul fenomeno dell'immigrazione clandestina, io vi passo questo reportage che fa capire un po'meglio quali sono le terribili condizioni che spingono una persona a mollare tutto e cambiare completamente vita.
Spesso un'immagine vale più di mille parole.
L’importanza di avere PC sicuri
Voi lascereste la vostra macchina aperta e in moto in mezzo alla strada? Non credo proprio. Eppure è esattamente quello che accade, trasportando la metafora in ambito informatico, ogni qualvolta si utilizzano PC non appositamente configurati e protetti per connettersi a internet, oppure quando si lasciano in chiaro le proprie connessioni wireless. Cosa può accadere? Ad esempio, che virus e programmi troiani utilizzino il vostro PC per compiere automaticamente azioni illecite a vostra insaputa. Il caso di Michael Fiola è sicuramente una delle cose peggiori che vi possono capitare, quella cioè di finire improvvisamente indagati per pedofilia a causa di un PC non adeguatamente protetto. A causa di quanto successo, il signor Fiola è stato licenziato e si trova tuttora in un contenzioso con la propria azienda. E le leggi italiane, che puniscono per il possesso di questo materiale, non sono diverse da questo punto di vista. Un virus può scaricare e salvare materiale illegale sul vostro PC, ed è tutt'altro che semplice dimostrare che non lo si è fatto volutamente :)
Io trovo che, nell'era in cui l'elettronica di largo consumo è ormai alla portata di tutti e i dispositivi "intelligenti" che si connettono a internet sono diffusissimi, non si faccia (nemmeno nei punti di vendita) adeguata informazione sui rischi che si corrono utilizzando tali attrezzature. Un PC non è un tostapane (e neanche un iPhone, un palmare e via dicendo ...).
Blog oscurato – Morti bianche
Vortexmind è stato oscurato. Se stai leggendo il feed, ti consiglio di visitare il mio sito per verificare di persona che è successo.
Update: per facilitare la visione da parte di chi utilizza il feed per leggere Vortexmind, aggiungo il video da Youtube.
Update: In diretta l'intervista a Silvestro Capelli
Security – Cold Boot RAM attack
Un video interessante che mostra a tutti la vulnerabilità dei nostri comuni portatili alle intrusioni effettuate sfruttando la non istantanea cancellazione della memoria RAM quando il PC viene spento. Praticamente tutti i programmi infatti utilizzano la memoria RAM per salvare informazioni d'uso comune come password e chiavi di crittografia.
Questo tipo di vulnerabilità è denominata Cold Boot Attack.
Repubblica scopre il XSS
Repubblica.it , dopo (tra?) una vagonata di seni nudi e di sfilate di moda sculettanti, scopre l'esistenza del Cross Site Scripting (XSS) ... Evviva evviva!
iPhone Exploited – Rischi di sicurezza
I dispositivi mobili (telefoni cellulari, PDA, handheld e così via) già da qualche anno stanno registrando un vertiginoso aumento di capacità e di potenzialità di processing. Questo, se da un lato permette all'utente finale di svolgere operazioni più complesse, dall'altro rende più facilmente possibili operazioni non autorizzate da parte di terzi i quali, tramite lo sfruttamento di exploit, sono spesso in grado di compromettere i dati presenti sul dispositivo. E'quello che è accaduto al celeberrimo iPhone della Apple: la ISE infatti ha reso nota una vulnerabilità che permette all'attaccante di prendere possesso dei privilegi amministrativi del dispositivo (e quindi, potenzialmente, di fare tutto quello che anche il legittimo possessore potrebbe fare). Ecco il video:
Come si nota, ad esempio, l'attaccante è riuscito a leggere i messaggi testuali inviati con il telefono. Per saperne di più, si può visitare il sito dedicato all'exploit.
TOR Network – Anonimato in rete
Avrete certamente sentito tutti parlare di tecniche di analisi del traffico. Tramite queste tecniche, chiunque può spiare la vostra attività in internet. Questo può avvenire (in linea teorica) ogni volta che non adottate particolari precauzioni, quali ad esempio HTTP over SSL (per capirci, quando vi connettete a server con il metodo https://), oppure ad esempio se create una rete sicura (come una Virtual Private Network). Non utilizzando mezzi crittografati, è possibile che determinate persone ascoltino parte del vostro traffico dati, oppure che si mettano in mezzo spacciandosi per chi non sono intercettando tutto quello che inviate.
Il problema principale è che queste tecnologie non sono quasi mai di immediata fruizione, specie per chi non ha le necessarie competenze per comprendere l'importanza e la criticità di questa problematica.
Inoltre, anche crittografando i dati, le informazioni di indirizzamento applicate ad ogni pacchetto-dati in rete (come per le cartoline: potreste scrivere un messaggio in codice che solo il vostro amico capirebbe, ma l'indirizzo lo dovete scrivere giusto!) rimangono in chiaro, e questo perchè altrimenti la rete non potrebbe funzionare, per sua struttura intrinseca. Dall'analisi di queste intestazioni di indirizzo si possono comunque ricavare moltissimi dati sulle vostre abitudini.
I pericoli del wireless selvaggio
Certo non è una novità, ma in molti casi la gente comune continua ad ignorare i pericoli derivanti da un utilizzo improprio delle tecnologie wireless. Quanti di voi hanno magari un router wireless in casa, magari ancora impostato con la strabucata crittografia WEP o addirittura impostato senza alcuna crittografia? Sapete che i dati che mandate sulla rete wireless, se non adeguatamente protetti, sono facilmente intercettabili con programmi di utilizzo comune? Siccome vedere con i propri occhi è più convincente che leggere queste strane sigle, vi segnalo il seguente filmato (in inglese, ma si capisce lo stesso cosa succede):
Quanto sono sicure le password?
Probabilmente ve lo sarete chiesto anche voi: ma quanto sono sicure le password che avete scelto per proteggere i vostri account sparsi sulla rete? Caselle di posta, forum, blog, servizi finanziari online ... su questo sito c'è un'intera tabella che vi mostra i tempi medi con cui possono venir forzate le vostre password, supponendo attacchi di tipo "brute force" che vadano a tentare tutte le possibili combinazioni dell'alfabeto utilizzato. Ovviamente bisogna tener conto che questo tipo di attacco è in genere l'ultima spiaggia dell'hacker, perchè in genere è sempre possibile trarre indizi per restringere la classe d'appartenenza della password rispetto a tutte quelle possibili, oppure è possibile ottenere le password con altri metodi più furbi di "social engineering" (ad esempio tramite pishing). Ma vediamo qualche esempio, ad esempio pensiamo ad una password di 8 caratteri, che viene forzata da un singolo processore veloce (diciamo quello che avete in casa se è di ultima generazione) oppure in un contesto di "computazione distribuita su larga scala" (ad esempio, un hacker che prenda il controllo di "migliaia" -cifra da prendere con le pinze- di PC sulla rete e faccia loro svolgere questi calcoli):
- Alfabeto di 26 caratteri (A-Z senza distinzione tra maiuscole/minuscole): la password viene forzata in 348 minuti da un singolo processore "veloce". In un contestodistribuito, può venir forzata in tre minuti e mezzo
- Alfabeto di 62 caratteri (lettere e numeri con distinzione maiuscole/minuscole): la password viene forzata in 253 giorni da un singolo processore "veloce". In un contesto distribuito, può venir forzata in 60 ore e mezzo
- Alfabeto di 96 caratteri (lettere e numeri con distinzione maiuscole/minuscole più altri simboli comuni): la password viene forzata in 23 anni da un singolo processore "veloce". In un contesto distribuito può venir forzata in 60 ore e mezzo
Ora capirete l'importanza di scegliere delle password abbastanza lunghe e "variegate" ... bisogna però pensare che questo è solo uno degli aspetti del problema: che senso ha scegliere una password di 30 caratteri se poi per ricordarvela dovete scriverla su un biglietto da attaccare al monitor in ufficio, dove tutti possono leggerlo? E poi, ha senso utilizzare una password del genere per il vostro account sul forum delle foto di gnocche? Io in genere uso diverse password, più o meno sicure a seconda di quanto sia per me importante che l'account in questione rimanga privato :) E voi?
Crittografia al quasar
Utilizzare i quasar per ottenere una tecnica crittografica veramente robusta? E'quello che sperano di realizzare alcuni ricercatori giapponesi del National Institute of Information and Communications Technology di Tokyo: i quasar infatti sono oggetti astronomici molto particolari che emettono in continuazione segnali radio. Dove sta il trucco? In una comunicazione crittografica normalmente si fa largo uso di numeri casuali "usa-e-getta" (i cosiddetti one time pad) generati dagli attori che partecipano alla comunicazione sicura. Tali numeri devono rimanere segreti per tutti gli altri, altrimenti la comunicazione è compromessa. Usualmente si usano degli algoritmi in grado di generare numeri "pseudo-casuali": tuttavia esistono tecniche statistiche che permettono di ricostruire "i pattern" di generazione di questi numeri pseudo-casuali, per cui volendo è possibile prevedere il numero segreto che verrà utilizzato nella comunicazione.
I quasar invece emettono radioonde con frequenze totalmente imprevedibili. A questo punto i due soggetti della comunicazione possono accordarsi su "che quasar ascoltare" e in che istante, per "ricevere il numero casuale". Un eventuale aggressore avrà un gran da fare a quel punto per capire che numero segreto è utilizzato nella comunicazione, nè potrà fare molto per prevedere il prossimo! Ad ogni modo non pensate ovviamente che un sistema simile possa venire utilizzato convenientemente per crittografare la comunicazione tra voi e il sito di Ebay :D
Inoltre ci sono numerose obiezioni a questo metodo: in primis ci si chiede perchè utilizzare un sistema così elaborato e complicato quando attualmente esistono ottimi e robusti algoritmi di crittografia (come AES ad esempio). In secondo luogo, si fa notare che a quel punto si potrebbe facilmente ingannare le antenne di ricezione del segnale radio, utilizzandone uno forgiato appositamente senza andare a scomodare Jean Luc Picard per raggiungere il quasar a curvatura 9... Mah?
Google+
Shared
Last comments
- Nicola D'Agostino » Mytech – A caccia del blog on BlogUniverso, Asimov, varie ed eventuali
- Top 40 Web Design Resources Sites on Apache .htaccess tweaking tutorial
- alistsirtaylor on Will Google+ beat Facebook?
- Vortexmind on Duxford Airshow – 8/9 September 2012
- .htaccess Kullanımı | on Apache .htaccess tweaking tutorial
Recent articles
- Warbirds Forum & Blog – Restyled
- Natural Selection 2 – #gorgeous update #ns2
- Autumn
- Duxford Airshow – 8/9 September 2012
- Incidenti diplomatici in Greco – Topa
Archive
| M | T | W | T | F | S | S |
|---|---|---|---|---|---|---|
| « Apr | ||||||
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 | 31 | ||
Meta
Pages
Blogs
- +Blog
- Arrakis
- Ciscozine
- Fuffologia
- Funk On Web
- Jon Homepage
- My Vintage London
- Portagalera
- Sanbaldo
- Vittorio Strampelli
