27 lug 2010

Scrematura feed RSS parte 3: security

Molte notizie interessanti e "food for though" estratte dalle centinaia di articoli arretrati nelle ultime settimane.

Network World
commenta questa notizia che riporta questa segnalazione: alcune schede madre Dell conterrebbero del malware all'interno del firmware. La cosa e' interessante, e non e' il primo caso di "hardware infetto" venuto alla luce. Un sacco di riflessioni interessanti si potrebbero fare a riguardo, ma che principalmente si riassumono in "come fare ad assicurarsi che tutte le fasi di produzione di un apparato sia effettivamente sicure?". E ancora: come coniugare tale requisito di sicurezza con la corsa all'abbattimento dei costi (leggi: trasferimento della produzione verso i paesi poveri) perseguita da tutte le multinazionali?
Tra l'altro, questo ha in qualche modo a che fare con la vicenda del worm che infettava apparati SCADA (apparecchiature industriali) intrufolandosi usando la password di default: viene fuori che il maggior numero di infezioni arriva dall'Iran. E allora se i malvagi iraniani sono le vittime, chi sono i cattivi?

The Register e altri ci segnalano almeno centomila smartphone Symbian sarebbero stati infettati da un worm. Non c'e' dubbio che le botnet "mobili" saranno a brevissimo un'arma potentissima in mano a spammer e criminali informatici assortiti. Il pericolo e' ancora maggiore rispetto alle infezioni riguardanti i PC, in quanto: 1) infettare uno smartphone fornisce un "ponte" tra la rete dati e la rete voce (pensiamo a un worm che attiva automaticamente chiamate trasmettendo messaggi preregistrati), 2) proprio per questa interazione con la rete voce, le conseguenze di un'infezione si farebbero sentire pesantemente sulle bollette degli utenti infetti, mentre finora, in caso di tariffe flat, una connessione dati infetta non causa molto danno economico, 3) antivirus e intrusion prevention systems per smartphone sono lontani anni luce dall'efficace (gia' di per se' ridotta) dei loro cugini per PC, 4) idem dicasi per le aspettative e l'alfabetizzazione in termini di security dell'utente medio del cellulare: ho la forte sensazione che l'attenzione dell'utente verso i software maligni, il phishing o altre forme di social engineering tramite apparato mobile sia minore di quella gia' scarsa prestata su PC; 5) cosi' a occhio, dalla mia scarsa esperienza, mi pare che gli OS per smartphone non eccellano certo in protezione delle risorse, ad esempio quando si tratta di installare nuovi software.

E a proposito,
qui si parla di attacchi DDoS telefonici.

In fatto di attacchi diretti "all'utente finale",
questo e' preoccupante (non che sia nulla di nuovo): micro-pagamenti su carte di credito compromesse. Qualche centesimo qua, qualche centesimo la', alla fine si parla di dieci milioni di dollari. Controllate (controlliamo) sempre il nostro estratto conto! Ad esempio, la mia Mastercard, oltre agli avvisi via SMS, ha un efficiente ufficio anti-frode che mi telefona quando ci sono addebiti poco chiari, dubito pero' che si scomidino per le piccole somme; e inoltre, l'estratto conto non mi viene inviato, ma e' solo disponibile sul sito e devo quindi andarlo a controllare io manualmente.

Qui,
qualcuno dice cose sensate, che condivido, sui Mac e sui loro utenti: "Making matters worse for Apple aficionados is the mounting evidence that Apple software was never as secure as it seemed."

Questa e' forte: una societa' spagnola di sviluppo software forniva, dal 1998,
prodotti appositamente bacati per costringere gli utenti a rinnovare i contratti di supporto e manutenzione. Ci abbiamo sempre scherzato, ma tra il dire e il fare... in effetti tra il dire e il fare non c'e' di mezzo un oceano.

Il SANS ci segnala che il giudice Nancy Gertner ha riportato
un minimo di buon senso nella multa comminata a Joel Tanenbaum nel relativo caso di "pirateria": da 675.000 dollari a 67.500.

Sempre il SANS ci informa che
l'esercito americano s'e' fatto fregare tremila PC.

Quindici paesi hanno sottoposto all'ONU
una proposta per il controllo dei ciber-armamenti. La cosa mi fa un po' sorridere. Non perche' sia totalmente inutile, ma perche' forse andrebbe prima definito con chiarezza cosa si intende per "ciber-armamenti". Mah.

Questa e' la ragione per cui, quando Formigoni mi ha scritto dicendomi di andare a chiedere il PIN per creare la mia cartella sanitaria digitale, ho stracciato la lettera: "
Massachusetts Hospital Backup Files Lost - Missing backup files contain personally identifiable information of about 800,000 people".

Fotocopiatrici col disco fisso. Non proprio la migliore idea al mondo. "What does your company do if anything to ensure that no confidential data is leaked by disposal of old equipment?"

Nuova versione di Winpcap rilasciata! Era da un po' che non se ne vedevano, no?

Il 54% degli intervistati si porta il PC coi dati di lavoro in vacanza. A parte le implicazioni di sicurezza (PC persi, rubati, danneggiati) o comodita' (il PC del lavoro usato anche per scopi personali), io penso a quelli che se lo portano dietro per lavorare. Vil razza dannata!

Attrezzatura da spie per tutti! Remote monitoring, telecamere, disturbatori di cellulari, keylogger, GPS, scanner, protezioni anti-cimici, visione notturna, monitoraggio aereo, cimici per telefonini, monete-spia.


E per finire, qualcosa che non c'entra nulla.

Nessun commento: