Il vero problema della sicurezza di internet

Posted on November 15, 2010 by blogadmin

Invito tutti a leggere questo post di Schneier. Non dice niente di veramente nuovo, ma riassume in un post i problemi della vera fonte dell’insicurezza generale di Internet: l’incapacità di rendere sicuri in modo diffuso i pc degli utenti “non disonesti”. Il post mi sembra in buona parte condivisibile, e mette in evidenza le difficoltà principali: come riconoscere i sistemi infetti evitando di bloccare (troppi) utenti innocenti? Chi deve decidere su chi intervenire? Come evitare che un meccanismo di questo genere si espanda in un sistema di censura o di blocco indiscriminato, cosa che temo succederebbe sicuramente se messa in mano al legislatore, data la sua attuale comprensione del fenomeno internet e delle sue tecnologie (e non mi riferisco specificamente al governo italiano attuale, nè alla sola Italia)? Come dice Schneier, non è un’idea nuova.  Nel complesso, non credo che questo tipo di meccanismi sarà implementabile, a meno di grandi cambiamenti che al momento non mi sembrano in vista.

In effetti io penso che lo strumento che potrebbe essere realmente efficace è la pressione sociale da parte degli “amici” di chi ha il computer infetto. Se io sapessi che il worm me lo sono preso per l’ennesima volta perché il mio amico Tizio (che mi ha nella sua rubrica di Outlook da cui il virus ha attinto) non ha aggiornato l’antivirus, probabilmente la prossima volta che vedo Tizio gli direi che se non si aggiorna l’antivirus non ci scambiamo più messaggi, e lo sbeffeggerei davanti agli amici comuni. Questo tipo di ostracismo secondo me sarebbe molto più efficace di qualsiasi quarantena imposta. Ho anche qualche idea al riguardo…

Posted in ict, Sicurezza | Tagged , , , | Comments Off on Il vero problema della sicurezza di internet

MacGyvericus

Posted on November 9, 2010 by blogadmin

Bellissimo 🙂

Posted in Uncategorized | Comments Off on MacGyvericus

Dual channel authentication? Dual channel attack

Posted on November 9, 2010 by blogadmin

Ok, la notizia non è nuova: il trojan Zeus, che punta principalmente al phishing di credenziali bancarie e che già aveva una versione per cellulare, a quanto pare si è organizzato per coordinare gli attacchi fra PC e cellulare, e superare quindi anche le protezioni dei meccanismi in cui attraverso il cellulare viene fornito un numero per l’autenticazione della transazione in corso sul PC. Se consideriamo che in molti casi i cellulari vengono sincronizzati con il pc (agenda, rubrica…) la possibilità che un utente si trovi entrambi infetti è probabilmente meno remota di quello che sembra. È la solita corsa al riarmo fra attaccanti e difensori… ma questo episodio mette in evidenza un punto importante, una di quelle cose che più o meno tutti sanno ma di cui si parla troppo poco: con la tendenza attuale, i cellulari non sono minimamente più sicuri dei pc per quanto riguarda la possibilità di installazione di malware, e questo perché qui più che altrove è in atto il “creeping featurism”, la continua aggiunta di funzionalità  che lo rendono complesso e ingestibile quanto e più di un pc. È chiaro che lo sviluppo dei cellulari non ha la sicurezza come fattore importante, e questo perché i cellulari vengono comprati in base ad altri criteri. Ho recuperato questa notizia per ribadire un altro concetto noto da tempo: per ottenere della vera sicurezza per transazioni, firma digitale ecc. serve un componente semplice, verificabile, fidato e dedicato che gestisca le credenziali e permetta all’utente di gestire l’autenticazione/firma e di vedere le informazioni di base della transazione. Per intenderci, stiamo parlando di un oggetto tipo “smart card con tastierino e piccolo display” che permetta di inserire localmente il pin e di vedere una descrizione sintetica della transazione. Il cellulare in origine sembrava ideale (ha la SIM, la tastiera e il display), ma poi ha ceduto sul punto più importante: non è più semplice e verificabile. Per funzionare, uno strumento di autenticazione di questo tipo non deve permettere installazione di componenti o interpretazione di formati di dati complessi (es. audio/video/html), altrimenti le vulnerabilità buttate fuori dal pc rientrano nel componente, che è quello che è successo al cellulare.

Posted in ict, Sicurezza, Uncategorized | Tagged , , , | Comments Off on Dual channel authentication? Dual channel attack