Per la prima volta in tutta la storia di Internet, c'è un paese che ha visto diminuire il numero di accessi da parte delle famiglie, siamo noi:
No comment
mercoledì 17 dicembre 2008
venerdì 5 dicembre 2008
Come proteggere il proprio diritto di autore
Nel caso in cui abbiate tale esigenza vi consiglio questo video copyzero, che riporta due metodi molto interessanti. Il primo è applicabile ai documenti cartacei, il secondo ai documenti informatici. In particolare quest'ultimo utilizza la tecnologia della marcatura temporale, un mio vecchio ricordo.
martedì 7 ottobre 2008
Ingegneria Sociale
Parlando di sicurezza, il fattore umano gioca un ruolo da primo attore sia nel bene che nel male. Nel bene perchè, non è possibile computerizzare quella facoltà umana che consente di intuire e sventare situazioni di pericolo e che costituisce l'elemento in più di un sistema di gestione della sicurezza.
Ma anche nel male.
Secondo Kevin Mitnick, forse l'hacker più famoso al mondo, oggi passato dall'altro lato della barricata, l'attacco migliore è quello che colpisce l'anello più debole della catena: l'elemento umano.
Vero è che gli attacchi low-tech funzionano, ed il più delle volte funzionano proprio contro i sistemi e dispositivi tecnologicamente più sofisticati.
Ricordate il film "la stangata" con Paul Newman e Robert Redford, l'ingegnere sociale agisce con modalità similari: è una persona che unisce alle competenze tecniche, una spiccata attitudine a studiare e comprendere le situazioni e la psicologia delle persone, riuscendo in quelli che sono i suoi intenti nascosti.
Generalmente un attacco di ingegneria sociale, ha come fine quello di carpire informazioni segrete (quali codici di accesso, dati confidenziali, ecc), attraverso step successivi, ciascuno dei quali rivolti a ottenere informazioni semi-confidenziali o parti di informazioni confidenziali ma con un grado di segretezza sempre maggiore. Queste informazioni possono essere: numeri di telefono, indirizzi civici, clienti noti, codici fiscali, ecc. Ad ogni passo l'ingegnere sociale, coinvolge persone differenti, in modo che nessuna di queste abbia un visione complessiva del percorso di attacco posto in essere; egli riesce ad ottenere la loro fiducia dimostrando di essere a conoscenza delle informazioni ottenute negli step precedenti.
In queste circostanze la migliore difesa è ancora una volta quella facolta umana di sospettare, intuire, percepire situazioni di pericolo o rischio rilevando comportamenti che fuoriescono da schemi consolidati.
Questo è il motivo per cui la sicurezza non è un problema di tecnologia, ma è qualcosa che ha molto a che fare con le persone.
Ma anche nel male.
Secondo Kevin Mitnick, forse l'hacker più famoso al mondo, oggi passato dall'altro lato della barricata, l'attacco migliore è quello che colpisce l'anello più debole della catena: l'elemento umano.
Vero è che gli attacchi low-tech funzionano, ed il più delle volte funzionano proprio contro i sistemi e dispositivi tecnologicamente più sofisticati.
Ricordate il film "la stangata" con Paul Newman e Robert Redford, l'ingegnere sociale agisce con modalità similari: è una persona che unisce alle competenze tecniche, una spiccata attitudine a studiare e comprendere le situazioni e la psicologia delle persone, riuscendo in quelli che sono i suoi intenti nascosti.
Generalmente un attacco di ingegneria sociale, ha come fine quello di carpire informazioni segrete (quali codici di accesso, dati confidenziali, ecc), attraverso step successivi, ciascuno dei quali rivolti a ottenere informazioni semi-confidenziali o parti di informazioni confidenziali ma con un grado di segretezza sempre maggiore. Queste informazioni possono essere: numeri di telefono, indirizzi civici, clienti noti, codici fiscali, ecc. Ad ogni passo l'ingegnere sociale, coinvolge persone differenti, in modo che nessuna di queste abbia un visione complessiva del percorso di attacco posto in essere; egli riesce ad ottenere la loro fiducia dimostrando di essere a conoscenza delle informazioni ottenute negli step precedenti.
In queste circostanze la migliore difesa è ancora una volta quella facolta umana di sospettare, intuire, percepire situazioni di pericolo o rischio rilevando comportamenti che fuoriescono da schemi consolidati.
Questo è il motivo per cui la sicurezza non è un problema di tecnologia, ma è qualcosa che ha molto a che fare con le persone.
sabato 26 luglio 2008
La riservatezza è una proprietà invariante dell'informazione
Mentre integrità e disponibilità sono due proprietà che variano in funzione del fruitore dell'informazione, la riservatezza non lo è.
Consideriamo il classico esempio della formula segreta di una famosa bevanda. Per semplicità ipotizziamo che questa informazione sia utilizzata da due funzioni aziendali: i tecnici addetti alla configurazione dei dosatori degli ingredienti e gli scienziati che hanno definito la formula e che lavorano ad una sua modifica.
La riservatezza è indipendente da chi utilizza l'informazione ed il suo valore è univocamente determinato dall'impatto derivante da una sua divulgazione non autorizzata.
Viceversa disponibilità e integrità sono due proprietà che vanno sempre riferite ad un contesto di utillizzo. Ritornando all'esempio della formula della bevanda, è verosimile che gli scienziati possano tollerare periodi di indispobilità di suddetta informazione superiore a quella dei tecnici addetti al dosaggio - in quest'ultimo caso si rischia il blocco della produzione.
Di ciò bisognerà tenere conto, nei progetti di classificazione delle informazioni. Se come suggeriscono orma molti standard (vedi ISO/IEC 27001) la classificazione delle informazioni deve riguardare tutte e tre le dimensioni di sicurezza (riservatezza, integrità e disponibilità), la stessa informazione si presenterà con differenti livelli di classificazione di integrità e disponibilità ma non di riservatezza. Peraltro questa complicazione risulta evidente perchè ogni metodologia di classificazione delle informazioni prevede uno step di consolidamento delle informazioni, che consiste nel consolidare la stessa informazione valutata da differenti funzioni aziendali.
Consideriamo il classico esempio della formula segreta di una famosa bevanda. Per semplicità ipotizziamo che questa informazione sia utilizzata da due funzioni aziendali: i tecnici addetti alla configurazione dei dosatori degli ingredienti e gli scienziati che hanno definito la formula e che lavorano ad una sua modifica.
La riservatezza è indipendente da chi utilizza l'informazione ed il suo valore è univocamente determinato dall'impatto derivante da una sua divulgazione non autorizzata.
Viceversa disponibilità e integrità sono due proprietà che vanno sempre riferite ad un contesto di utillizzo. Ritornando all'esempio della formula della bevanda, è verosimile che gli scienziati possano tollerare periodi di indispobilità di suddetta informazione superiore a quella dei tecnici addetti al dosaggio - in quest'ultimo caso si rischia il blocco della produzione.
Di ciò bisognerà tenere conto, nei progetti di classificazione delle informazioni. Se come suggeriscono orma molti standard (vedi ISO/IEC 27001) la classificazione delle informazioni deve riguardare tutte e tre le dimensioni di sicurezza (riservatezza, integrità e disponibilità), la stessa informazione si presenterà con differenti livelli di classificazione di integrità e disponibilità ma non di riservatezza. Peraltro questa complicazione risulta evidente perchè ogni metodologia di classificazione delle informazioni prevede uno step di consolidamento delle informazioni, che consiste nel consolidare la stessa informazione valutata da differenti funzioni aziendali.
venerdì 5 gennaio 2007
Primo Messaggio
Ciao a tutti,
anche se con molto ritardo, ho finalmente deciso di aprire il mio primo blog, nonostante la mia ormai cronica reticenza verso tutto ciò che offrono le nuove tecnologie, specie se informatiche.
Penso che l'informatica sia una brutta bestia, purtoppo ne ho fatto il mio lavoro.
Ne approfitto per sponsorizzarmi un po:
vi riporto in questo link "I vostri clienti ed i loro segreti" la mia traduzione di un interessante owasp paper sulla sicurezza delle applicazioni web, che entra nel dettaglio delle vulnerabilità introdotte dai meccanismi di password reset e delle contromisure da adottare.
Nel documento è riportato sia l'autore che il link al documento originale
anche se con molto ritardo, ho finalmente deciso di aprire il mio primo blog, nonostante la mia ormai cronica reticenza verso tutto ciò che offrono le nuove tecnologie, specie se informatiche.
Penso che l'informatica sia una brutta bestia, purtoppo ne ho fatto il mio lavoro.
Ne approfitto per sponsorizzarmi un po:
vi riporto in questo link "I vostri clienti ed i loro segreti" la mia traduzione di un interessante owasp paper sulla sicurezza delle applicazioni web, che entra nel dettaglio delle vulnerabilità introdotte dai meccanismi di password reset e delle contromisure da adottare.
Nel documento è riportato sia l'autore che il link al documento originale
Iscriviti a:
Post (Atom)