Posts Tagged “security”
Sono sempre stato incuriosito da un personaggio quale Kevin Mitnick, per il movimento Free  Kevin e per le sue idee.
Ormai due anni or sono, ho letto il primo libro di Mitnick: l’arte dell’inganno (the art of deception). Il libro tratta il tema del social engineering: il tema è interessante, e rivela quanto spesso le persone sono inclini a fornire informazioni sensibili a persone sconosciute (o che forniscono credenziali convincenti). Tuttavia in alcuni punti la lettura è noiosa (ci sono trascrizioni di dialoghi e il dettaglio tecnico è molto basso). In definitiva, leggetelo se vi interessa sapere di più sulle tecniche di social engineering che vengono usate, e come difendersi.
 Il secondo libro, l’arte dell’intrusione (the art of intrusion): 288 pagine divorate in 6 giorni. Si parla di dettagli tecnici, tecniche di intrusione, storie “gialle”: un mix veramente interessante e che crea dipendenza. I 10 capitoli scorrono veloci, tra slot-machine modificate e intrusioni in banche dati. Alla fine di ogni capitolo, Kevin analizza le tecniche utilizzate e costruisce alcune riflessioni, e spiega come ci si può difendere da questi attacchi. L’ultimo capitolo del libro è dedicato ad un attacco di social engineering, un caso esemplare da cui trarre insegnamento. Alcune considerazioni:
- Il libro in alcuni punti è molto tecnico (si parla di RARP, reverse DNS, port knocking): anche se si parla di “racconti gialli”, è meglio avere un buon background tecnico per comprendere al meglio i dettagli di attacco nel corso del libro.
- La traduzione in italiano, in alcuni punti, è forse un po’ troppo spinta (”token-gettoni”, magari colpa di un traduttore troppo zelante?)
- Nelle ultime parti del libro si pubblicizza in modo eccessivo il primo libro di Mitnick, l’arte dell’inganno.
La citazione nella citazione: nel suo libro, Mitnick cita “L’arte della guerra” di Sun Tzu:
Know thy enemy and thyself, and you will be victorious.
If you enjoyed this post, make sure you subscribe to my RSS feed!
No Comments »
Per il corso di Sicurezza dei Sistemi Informatici, ho realizzato una presentazione che spiega cosa sono i rootkit (in ambito UNIX e GNU/Linux) e come funzionano.
La presentazione tratta:
- Che cos’è un rootkit
- A cosa serve
- Come funzionano
- Tipi di rootkit
- Come difendersi dai rootkit
- Cosa fare se si è infetti
La presentazione si può scaricare da qui.
Commenti benvenuti!
If you enjoyed this post, make sure you subscribe to my RSS feed!
4 Comments »
 Avete bisogno di generare una password sicura ma non avete un metodo? Vi ricordo che utilizzare la stessa password per account e servizi diversi è considerato insicuro (se la password viene compromessa, tutti i vostri servizi saranno compromessi).
SafePasswd può aiutarvi: basta andare sul sito, scegliere la lunghezza della password (personalmente consiglio almeno 10) e generare una password. Premi il pulsante a sinistra per provare!
A questo punto sorge un problema: come si possono memorizzare le password associate ai vari servizi? (il post-it sul monitor o sulla scrivania non è sicuro).
 Ecco perché esistono servizi quali Clipperz, un online password manager.
Alcune caratteristiche:
- per utilizzare la versione online non è necessaria l’installazione di alcun software: le password sono salvate (in modo cifrato) sui servers di Clipperz). In questo modo è possibile accedere alle proprie password da qualsiasi PC, con qualsiasi sistema operativo
- è anche possibile avere una versione “offline” del database (cifrato) delle password per poterle trasportare, ad esempio, su una chiavetta USB
- totalmente anonimo: per l’iscrizione non serve un’e-mail: si richiede solo di scegliere username e una frase segreta. Viene precisato che se verrà dimenticata la frase segreta, non si potrà più accedere ai propri dati
- l’interfaccia è in stile web 2.0 ed è in italiano
- integrazione con Firefox: attraverso un bookmarklet è possibile effettuare il login automatico ad un sito le cui credenziali di accesso siano memorizzate sul vostro account di Clipperz (qui per maggiori informazioni)
If you enjoyed this post, make sure you subscribe to my RSS feed!
2 Comments »
Windows Vista è più sicuro di Windows XP?
Oggi stavo leggendo il blog di Feliciano Intini, che riporta un link ad un report stilato da Jeff Jones.
Il report (disponibile qui) riguarda un’analisi dei primi 6 mesi di vita di Windows Vista. In particolare, su questo report troviamo un grafico molto interessante (vedi il post di Feliciano qui).
Come riporta Feliciano,
la tabella riportata confronta le vulnerabilità critiche note pubblicamente, distinte in vulnerabilità corrette e non ancora corrette, tra i sistemi operativi Windows Vista, Windows XP, Red Hat Enterprise Linux, Novell SUSE Linux Enterprise Desktop e Mac OS X 10.4 (Tiger), e mostra in modo evidente che Windows Vista è decisamente messo molto meglio sia del suo predecessore, che dei sistemi operativi concorrenti.
Per altri dati di confronto, vi rimando al report e al blog di Feliciano.
Per quanto mi riguarda, invece, posso dire che la notizia conferma ciò che mi aspettavo da Windows Vista: è molto più sicuro di XP grazie alle tecnologie introdotte da Microsoft per il suo sviluppo, tra cui (a mio avviso) le principali:
Esiste un articolo molto esaustivo (disponibile qui) che illustra tutte le principali novità (in termini di sicurezza) introdotte dal nuovo sistema operativo di Microsoft.
In definitiva, nonostante quello che si dica in rete e le varie critiche al report, penso che le tecnologie appena citate permettano a Windows Vista di ottenere una maggiore sicurezza rispetto al suo predecessore e Microsoft abbia fatto un notevole passo in avanti sul piano sicurezza: ecco perché, appena possibile, migrerò a Windows Vista.
If you enjoyed this post, make sure you subscribe to my RSS feed!
No Comments »
La società di sicurezza Secunia ci mette a disposizione un ottimo tool, basato su Java, per controllare i programmi installati sul proprio computer. Il controllo ci fornirà un profilo di tutti i programmi installati, consigliandoci di aggiornare (e anche indicando come) i programmi che hanno (o hanno avuto) problemi di sicurezza.
Ovviamente, bisogna accettare che il plugin acceda al nostro hard disk; il tool si esegue direttamente dal browser, senza bisogno di installare nulla. L’indirizzo a cui trovare il tool è qui.
If you enjoyed this post, make sure you subscribe to my RSS feed!
No Comments »
|
Kevin e per le sue idee.
Il secondo libro, l’arte dell’intrusione (the art of intrusion): 288 pagine divorate in 6 giorni. Si parla di dettagli tecnici, tecniche di intrusione, storie “gialle”: un mix veramente interessante e che crea dipendenza. I 10 capitoli scorrono veloci, tra slot-machine modificate e intrusioni in banche dati. Alla fine di ogni capitolo, Kevin analizza le tecniche utilizzate e costruisce alcune riflessioni, e spiega come ci si può difendere da questi attacchi. L’ultimo capitolo del libro è dedicato ad un attacco di social engineering, un caso esemplare da cui trarre insegnamento. Alcune considerazioni:
Entries (RSS)