Quantum Cryptography per il voto elettronico?

Posted on October 31, 2007 by claudio

A quanto pare, in Svizzera hanno usato la quantum cryptography per proteggere le comunicazioni nella raccolta dei voti dai seggi. Il commento di Avi Rubin, che pure dichiara di essere un fan di questa tecnologia, è chiaramente che il problema del voto elettronico non è certo l’uso di tecniche sofisticate per proteggere le connessioni. Anche perché la riservatezza non è assolutamente un problema per queste comunicazioni, anzi. E per l’integrità basta una sana e semplice smart card, se il sistema su cui è utilizzata è corretto. I problemi veri sono quelli evidenziati nel post di Rubin: non solo la correttezza del software utilizzato, ma assicurarsi che il software non sia stato volutamente realizzato per manomettere il risultato. Come sempre, usare un meccanismo di sicurezza anche sofisticato non vuole dire avere reso sicuro il processo, bisogna usare il meccanismo giusto nel posto giusto e nel modo giusto per risolvere il giusto problema. In questo caso, dice Rubin, “they are using the wrong tool to solve the wrong problem in an inappropriate way”.

Posted in ict, Sicurezza, Varie | Comments Off on Quantum Cryptography per il voto elettronico?

Siti sulla sicurezza e sicurezza

Posted on October 30, 2007 by claudio

Avete presente la storia dell’auto del meccanico che è sempre scassata… solo che il meccanico se lo può permettere, fa parte del personaggio, chi si occupa di sicurezza no. Per questo, la compromissione di questo sito è una cosa che ogni tanto mi preoccupa, e per questo ci ho messo tanto a decidermi ad esempio di attivare la possibilità di lasciare direttamente dei commenti. Mi faccio i miei backup quotidiani, aggiorno quello che è possibile aggiornare (non le parti che deve aggiornare o configurare necessariamente il provider) e verifico quello che posso verificare. Ovviamente, spero sempre che se a qualcuno capita per le mani uno 0-day di WordPress non lo provi sul mio sito, perché ci potrei fare poco. A quanto pare però, la sindrome del meccanico colpisce anche chi si occupa di sicurezza. Oggi il gestore di una mailing lista alla quale sono iscritto ha comunicato che gli servirà un può di tempo a riattivare la mailing list perché il suo provider gli ha perso i dati e che “è una cosa fuori dal suo controllo”; direi che i backup non erano fuori dal suo controllo 😉 A meno che gli strumenti che utilizza non gli permettano di fare backup, il che è anche peggio. Ma ancora di più mi ha stupito questo post quasi in sordina di Light Blue Touchpaper, in cui ammettono candidamente che il loro sito è stato compromesso a causa di “numerose vulnerabilità di WordPress” che hanno provveduto a correggerle aggiornando il sistema. Mah!

Posted in Sicurezza | Comments Off on Siti sulla sicurezza e sicurezza

Rapporto sulla sicurezza ICT in svizzera

Posted on October 29, 2007 by claudio

Da una mail passata su Sikurezza sono arrivato a questo rapporto della “Centrale d’annuncio e d’analisi per la sicurezza dell’informazione” Svizzera. Il rapporto è molto interssante, anche se mancano informazioni quantitative. Decisamente più interessante del rapporto di CSI. A prescindere dai problemi specifici, la Svizzera ci è molto più vicina degli Stati Uniti, e non solo in senso geografico. Inoltre, è un paese che per il tipo di economia è sempre stato sia interessante che attento per i problemi di sicurezza, e per sua sfortuna “all’avanguardia” nei problemi. Fra l’altro, il primo worm che catturava credenziali bancarie che io ricordi mirava a una banca svizzera (forse era questo, ma a me sembrava più vecchio). E  anche in questo rapporto, fra le tante informazioni interessanti, si segnala una riduzione degli attacchi di phishing (non più efficaci) e il passaggio a malware in grado di effettuare un man-in-the-middle sulla connessione al sito bancario.  La sicurezza della workstation diventa sempre più critica. A questo proposito segnalo un thread su securitymetrics dal titolo emblematico: “Probability of one”, che discute del fatto che in futuro dovremo progettare la sicurezza dei servizi partendo dall’idea che i pc degli utenti siano infetti con certezza da malware. Una sfida senz’altro interessante…

Posted in ict, Sicurezza | Comments Off on Rapporto sulla sicurezza ICT in svizzera