Apr 17, 2009

rassegna stampa security

Avendo tempo di guardare con un po' di attenzione ai miei feed RSS, mi appunto le cosette piu' interessanti:

Scan SSH: il SANS ci dice che "se avete un server SSH esposto su Internet e le vostre username/password non sono lunghe almeno 8 caratteri, il vostro apparato e' gia' stato compromesso ("owned") o lo sara' a breve". Questo ci dice una cosa banale che spesso molti smanettoni dimenticano: non basta usare un protocollo "sicuro" per essere "sicuri". Anche perche' non esistono protocolli "sicuri": esistono protocolli di cifratura piu' o meno robusti. Ma se l'utente e' idiota e usa admin/admin o cisco/cisco per accedere ai propri server tramite Internet, non c'e' "sicurezza" che tenga. E ci dice anche un'altra banalita', e cioe' che se SSH non serve, tanto vale spegnerlo. Non e' che "fa figo" avere tanti protocolli "sicuri" attivi sulla propria macchina.

Social Network, privacy e autenticazione: il SANS ci descrive il simpatico "worm" diffusosi su Twitter. Al di la' del meccanismo usato per il "worm" (cross-site scripting, vecchio come il cucu), fa riflettere il fatto che un messaggio che appare su Twitter, Facebook, o Internet in generale immediatamente assume un livello di "affidabilita'" sorprendentemente alto. Altrimenti come si spiega che migliaia di utenti abbiano cliccato sul link a stalkdaily.com permettendo al "worm" di proliferare, o che qualcuno possa inviare dei soldi a qualcuno che te li chiede tramite Facebook?
Io penso che la mail, i forum, i "social network" siano bellissime invenzioni. Bisogna "solo" tenere a mente che tutti questi mezzi di comunicazione non offrono, di per se', alcuna forma di autenticazione dell'identita' dei mittenti. Se ricevo un messaggio via mail o un post su facebook da un "amico", in realta' al di la' del cavo potrebbe esserci chiunque, dal fratellino che s'e' seduto al pc mentre ti sei allontanato, al professionista dell'impersonificazione. Quindi, nel momento in cui una comunicazione via Internet si facesse "seria" (richieste di soldi, offese, dichiarazioni compromettenti, confidenze private, eccetera), conviene passare ad altri mezzi di comunicazione: telefonami. cosi' posso autenticarti riconoscendo la tua voce. vediamoci al bar, cosi' posso autenticarti vedendo la tua faccia. Eccetera.
Le discussioni che da tempo si fanno intorno ai Termini di Servizio di Facebook ci ricordano anche che e' errato assumere che una comunicazione elettronica goda dello stesso livello di privacy di una conversazione di persona o anche solo di una lettera tradizionale spedita in busta chiusa. Le societa' per cui lavoriamo, i siti che frequentiamo, spesso e volentieri cercano di tutelarsi (da cosa non saprei, a dir la verita') affermando cose tipo "il contenuto delle comunicazioni effettuate dagli utenti tramite il nostro sito o il nostro servizio di email e' di nostra proprieta'". Questo e', nella maggior parte dei casi, eccessivo e anche scorretto. Cio' non toglie pero' che se posto i fatti miei su facebook io debba essere conscio che ne sto dando una diffusione analoga a stamparli su volantini e affiggerli in tutte le citta' del mondo, per sempre.

Vulnerabilita' VMWare, ancora dal SANS. L'articolo e' interessante, perche' fa riflettere su un'altra magica panacea che ultimamente va molto di moda: la virtualizzazione e vmware. Io non sono cosi' convinto che vmware sia sempre una buona idea. E' vero, fa risparmiare spazio negli armadi (e tante altre cose, ok). Ma si tratta pur sempre di un nuovo strato -software, in questo caso- da gestire, e mettere in sicurezza. mah.

Last but not least, un titolo ingannevole: "La gang di Conficker aggiorna il worm col peer to peer". Il titolo fa pensare che Conficker si propaghi e aggiorni tramite qualche software p2p, magari tramite bittorrent, o emule. No. Conficker e' stato aggiornato tramite meccanismi di tipo "peer to peer", invece dei consueti "punti di distribuzione" piu' o meno centralizzati. Cioe' ogni macchina infetta ha cercato di contattare altre macchine infette, senza dover "chiamare casa", quindi in maniera piu' difficile da rilevare e contrastare.
Cio' non toglie che ritengo che i software p2p siano un potenziale ricettacolo di vulnerabilita' a disposizione degli hacker. Il fatto e' che, comunque, il p2p e' usato da una minoranza degli utenti Internet, e questo lo rende meno attraente per hacker e spammer, che hanno bisogno di grandi numeri per i loro scopi.

test.

No comments: