14 mag 2009

rassegna links security

Questo articolo di Exaprotect segnala che, su 300 hard disk comprati su ebay, il 34% e' risultato contenere informazioni "sensibili", inclusi i piani di lancio di un missile. Ora io mi chiedo: qualcuno dovrebbe essere responsabile per una cosa del genere, no? Chi ha perso quegli hard disk. chi li ha rubati. chi li rivende su ebay sapendo che sono rubati. chi li ha gettati senza cancellare i dati. eccetera. E quanto dovrebbe essere responsabile ebay per aver messo la propria piattaforma a disposizione di ricettatori di dischi rubati?
Ora che ci penso, devo farmi un giro su ebay, casomai ritrovassi il portatile che mi hanno ciulato dal bagagliaio a Roma.

Questo articolo commenta quest'altro post circa le "security questions" di Facebook. In effetti, queste cosiddette "security" questions sono domande a cui un buon numero di miei conoscenti, amici e parenti saprebbe rispondere. oops. La cosa grave e' che, a ben pensarci, al di la' dell'evidente ironia insita nell'usare questo tipo di domande "social" su un sito di "social" networking, queste domande aggiungono un piccolo livello di sicurezza nei confronti di estranei, ma in generale sono poco efficaci se a cercare di carpire la mia password e' un conoscente.

Questo articolo dice cose risapute circa i sistemi di gestione degli eventi di sicurezza (SIEM), ma fa sempre bene ripetere le banalita': "Security information and event management (SIEM) products are only as good as the policies and processes they support, and the analyst resources that a company can pour into them."

Questo, ora che le Poste sono riuscite a recapitarmi il bluetooth dongle che avevo acquistato un mese e mezzo fa, devo esaminarlo con attenzione: "The software, dubbed Phoenix Freeze, uses a mobile device's Bluetooth feature to pair a phone with a laptop or desktop system. When a user moves a certain distance from the computer, the program will lock the desktop".

Mi chiedo se questa notizia possa essere attribuita a una specie di "effetto Obama" sull'andazzo delle intercettazioni telefoniche in USA l'anno scorso: "U.S. wiretaps fall for first time in five years". Sarebbe carino sapere se statistiche analoghe sono disponibili in Italia o no.

Quest'altro articolo m'e' piaciuto veramente, come tutti gli articoli in cui finalmente qualcuno si prende la briga di criticare quelle che spesso sono viste come verita' assodate e incontestabili. Nel campo dell'IT security il NAC e i quadranti Gartner sono un'esempio di questi dogmi. L'articolo spiega perche' i "magic quadrant" di Gartner sono fondamentalmente solo una bella invenzione di marketing, perche' il NAC e' una tecnologia morta, e soprattutto ricorda -anche qui- un'altra banalita': che le societa' di consulenza possono sbagliare, e i loro "white paper" non vanno presi come oro colato ma piuttosto usati cum grano salis.

Nessun commento: