Sto preparando il seminario sulla sicurezza degli ambienti virtualizzati che terrò il 7 Febbraio a Infosecurity, e mi sono imbattuto su questa vignetta:
Speriamo non sia di pessimo auspicio!
Visualizzazione post con etichetta Curiosità. Mostra tutti i post
Visualizzazione post con etichetta Curiosità. Mostra tutti i post
sabato 19 gennaio 2008
Poisoning
Etichette:
Appunti di viaggio,
Curiosità
lunedì 17 dicembre 2007
Formiche nel disco fisso
Etichette:
Appunti di viaggio,
Curiosità
Insolita iniziativa, chiaramente pubblicitaria ma certamente simpatica, è la lista dei 10 più insoliti disastri che comportano la perdita di dati.
La lista (qui il sito) vede in prima fila un'invasione di formiche che ha "costretto" il proprietario "legittimo" dell'hdd esterno a metterlo a nudo ed a spruzzarvi dell'insetticida.
Al di là del lato ironico, è interessante vedere che anche nelle peggiori condizioni sistono margini di recupero dei dati. Si sapeva, ma alcuni casi (tipo il CD arrostito nel lettore) non me li sarei immaginati.
Buon per la disponibilità (al di là dei tempio necessari), un bel pò meno per la riservatezza.
La lista (qui il sito) vede in prima fila un'invasione di formiche che ha "costretto" il proprietario "legittimo" dell'hdd esterno a metterlo a nudo ed a spruzzarvi dell'insetticida.
Al di là del lato ironico, è interessante vedere che anche nelle peggiori condizioni sistono margini di recupero dei dati. Si sapeva, ma alcuni casi (tipo il CD arrostito nel lettore) non me li sarei immaginati.
Buon per la disponibilità (al di là dei tempio necessari), un bel pò meno per la riservatezza.
lunedì 10 dicembre 2007
Corsi e Ricorsi
Etichette:
Curiosità
Vico aveva (quasi sempre) ragione:
L'ho visto sul blog di Marco Misitano, e non potevo resistere!
martedì 20 novembre 2007
Colossus
Etichette:
Appunti di viaggio,
Curiosità,
Sicurezza
Hari Seldon aveva ragione?
Psicostoriograficamente, l'umanità, o un gruppo elevato di individui, agiscono in modo prevedibile. Indipendentemente dalle azioni dei singoli, gli effetti possono essere misurati su vasta scala.
E' quello che mi è venuto in mente leggendo la notizia che Colossus è stato rimesso in funzione, per tentare la decifrazione di alcuni messaggi cifrati con la macchina Lorenz SZ42 (a proposito, anche questa è stata di nuovo resa operativa, oppure si tratta di una implementazione software dell'algoritmo?).
Dai vari articoli che ho letto, Colossus (UK) è stato indicato come il "primo computer". Da ignorante in materia, ho cercato qua e là: sapevo che il titolo era attribuito a ENIAC (USA), del '46, ma mi è venuto in mente che effettivamente altri modelli per scopi militari, l'avevano preceduto, come il Mark I (USA); cercando in rete ci si imbatte in ABC (USA), lo Z3 in Germania, e forse qualche altro.
Seppure, fortunatamente, Hari Seldon non ha ragione, evidentemente il momento storico, la guerra imminente e chissà cos'altro, ha fatto sì che nel giro di pochi anni in luoghi e ambiti diversi siano stati realizzati, spesso con ingenti somme di capitali spesi, i primi moderni computer.
Ancora non so quale meriti la palma del "primo". Colossus, certamente nasce in un ambito che lo renderà famoso rispetto al segreto nel quale fu costruito.
Qui la notizia, nella quale si discute anche delle prestazioni dell'elaboratore, che sembra essere paragonabile a quella di un moderno PC nello svolgere le medesime operazioni, che è poi la spiegazione del fatto che generare una coppia di chiavi RSA sul PC o su una smartcard comporta pressappoco lo stesso tempo: specializzazione!
sabato 24 marzo 2007
Paper Security
Etichette:
Appunti di viaggio,
Curiosità,
Sicurezza,
Tutela dei dati personali
Mi ha sorpreso questo articolo. Se non altro, perchè è dal 2001 che includo le fotocopiatrici e le stampanti nell'elenco degli apparati da valutare dal punto di vista della sicurezza, nelle aziende, e spesso sono stato considerato un tantino paranoico.
La notizia di per sè non sorprenderà chi fa un uso intensivo di fotocopiatrice di ultima generazione: dei veri e propri computer con interfaccia touch-screen con capacità di interconnessione alla rete (per funzionalità di stampa) e memoria volatile (mica tanto...) per la memorizzazione di documenti da sottoporre a copie successive, elaborazioni di vario tipo e stampa.
Personalmente, ho avuto modo di maturare autonomamente qualche sospetto su questi apparati durante il servizio civile, svolto (ahimè, nonostante la richiesta congiunta con un Centro di Igiene Mentale) negli uffici di una ASL.
La prima volta sono inorridito di fronte a una serie di documenti inerenti trattamenti socio-sanitari lasciati su una fotocopiatrice per errore... In questo caso, ovviamente la tecnologia non c'entra! Il problema, di processo, ma sopratutto di scarsa cultura e buonsenso, può far sorridere oggi, "tempi di 196", ma ricordo che anche allora vigeva una normativa, la buona vecchia 675, talvolta ben più punitiva, anche se talvolta sembra che prima del Testo Unico sulla tutela dei dati personali non vi fossero adempimenti...
La seconda volta, è capitato a me di sbagliare nell'inserire il numero di copie di una grossa mole di fogli che stavo fotocopiando: panico! Avrei dovuto cominciare dall'inizio! Manualmente!!!!
Fortunatamente (!) la fotocopiatrice aveva attiva una funzionalità di recupero e stampa dell'ultima sequenza di fogli memorizzata. Due click e... fatto! L'n-esima copia era di nuovo disponibile!
Ovviamente, inizialmente ho gioito di questa feature! Poi, mi sono posto il problema.
Chiunque potrebbe quindi richiedere la ristampa di una sequenza di copie? Certo, se la fotocopiatrice non richiede la password utente o, ancora meglio, una password specifica per ogni utente. Nate inizialmente come meccanismi di supporto alla fatturazione delle copie, queste funzionalità sono molto utili per la sicurezza, pertanto, perchè non usarle?
La stessa cosa vale per le stampe fatte su stampante di rete, condivisa tra vari uffici e tipicamente posizionata in aree ad accesso pubblico e non presidiato.
Vi è mai capitato di mandare in stampa qualcosa e poi scoprire che non è stato effettivamente stampato?
A me si, anche con la stampante a dieci centimetri dal PC.
Da remoto, potrebbe darsi che i fogli li abbia presi qualcuno...Con il vantaggio che maledirete solo la stampante che, poverina, ha svolto per bene il proprio lavoro...
Rimedi? Tipicamente, tutte le fotocopiatrici/stampanti di rete consentono di specificare una password quando si invia il documento allo spooler. La fotocopiatrice non avvierà la stampa fintanto che non digiterete fisicamente sull'apposito tastierino la parola chiave che avete deciso.
Ovviamente, serve una print-etiquette per evitare che le persone mandino documenti in stampa e poi cogliere l'occasione di prendere un caffè, sospendendo il servizio per tutto l'ufficio, ma i dati personali dei vostri utenti ve ne saranno grati!
La notizia di per sè non sorprenderà chi fa un uso intensivo di fotocopiatrice di ultima generazione: dei veri e propri computer con interfaccia touch-screen con capacità di interconnessione alla rete (per funzionalità di stampa) e memoria volatile (mica tanto...) per la memorizzazione di documenti da sottoporre a copie successive, elaborazioni di vario tipo e stampa.
Personalmente, ho avuto modo di maturare autonomamente qualche sospetto su questi apparati durante il servizio civile, svolto (ahimè, nonostante la richiesta congiunta con un Centro di Igiene Mentale) negli uffici di una ASL.
La prima volta sono inorridito di fronte a una serie di documenti inerenti trattamenti socio-sanitari lasciati su una fotocopiatrice per errore... In questo caso, ovviamente la tecnologia non c'entra! Il problema, di processo, ma sopratutto di scarsa cultura e buonsenso, può far sorridere oggi, "tempi di 196", ma ricordo che anche allora vigeva una normativa, la buona vecchia 675, talvolta ben più punitiva, anche se talvolta sembra che prima del Testo Unico sulla tutela dei dati personali non vi fossero adempimenti...
La seconda volta, è capitato a me di sbagliare nell'inserire il numero di copie di una grossa mole di fogli che stavo fotocopiando: panico! Avrei dovuto cominciare dall'inizio! Manualmente!!!!
Fortunatamente (!) la fotocopiatrice aveva attiva una funzionalità di recupero e stampa dell'ultima sequenza di fogli memorizzata. Due click e... fatto! L'n-esima copia era di nuovo disponibile!
Ovviamente, inizialmente ho gioito di questa feature! Poi, mi sono posto il problema.
Chiunque potrebbe quindi richiedere la ristampa di una sequenza di copie? Certo, se la fotocopiatrice non richiede la password utente o, ancora meglio, una password specifica per ogni utente. Nate inizialmente come meccanismi di supporto alla fatturazione delle copie, queste funzionalità sono molto utili per la sicurezza, pertanto, perchè non usarle?
La stessa cosa vale per le stampe fatte su stampante di rete, condivisa tra vari uffici e tipicamente posizionata in aree ad accesso pubblico e non presidiato.
Vi è mai capitato di mandare in stampa qualcosa e poi scoprire che non è stato effettivamente stampato?
A me si, anche con la stampante a dieci centimetri dal PC.
Da remoto, potrebbe darsi che i fogli li abbia presi qualcuno...Con il vantaggio che maledirete solo la stampante che, poverina, ha svolto per bene il proprio lavoro...
Rimedi? Tipicamente, tutte le fotocopiatrici/stampanti di rete consentono di specificare una password quando si invia il documento allo spooler. La fotocopiatrice non avvierà la stampa fintanto che non digiterete fisicamente sull'apposito tastierino la parola chiave che avete deciso.
Ovviamente, serve una print-etiquette per evitare che le persone mandino documenti in stampa e poi cogliere l'occasione di prendere un caffè, sospendendo il servizio per tutto l'ufficio, ma i dati personali dei vostri utenti ve ne saranno grati!
martedì 30 gennaio 2007
Metti il cassetto nel televisore
Etichette:
Appunti di viaggio,
Curiosità,
Sicurezza
Apprendo da questo post che Bill Gates ipotizza una breve durata per la televisione come la conosciamo.
Bhè, guardando la televisione di oggi, non c'è che da attendere che il tempo passi in fretta :-)
Solo che, se a dirlo è il produttore di un S.O., la deformazione professionale mi fa sperare che, almeno parlando di tecnologia, questa non cambi troppo repentinamente: oggi, per non vedere un contenuto, basta cambiare canale. Questo non è solo il limite ed
il vantaggio dell'offerta limitata, ma anche di una strumentazione semplice ma altrettanto poco pericolosa. Se la televisione del futuro ipotizzata da Gates è una evoluzione di Media-Center (o prodotti analoghi, per carità, non sto parlando di Windows-contro-tutti!), non siamo certamente sulla buona strada.
Oggi, l'utente medio fa fatica a proteggere il PC, con il quale si "impegna" a lavorare, o ama giocare/impegnare il proprio tempo. Nessuna soluzione casalinga PC-like unisce semplicità e sicurezza ad un livello paragonabile ad un elettrodomestico senza un adeguato controllo, ad oggi. Basta leggere i vari articoli sulle "botnet", quelli non inutilmente allarmistici, intendo, per immaginare l'utente medio che la sera, davanti alla TV del futuro, si pone il problema che il proprio apparato multimediale abbia prestazioni adeguate o sia stranamente sovraccaricato...
In definitiva, chi ha bisogno di un tray dentro un televisore?
Magari il problema è un altro: se metto un tray nel televisore, cosa ci potrò trovare dentro?
Bhè, guardando la televisione di oggi, non c'è che da attendere che il tempo passi in fretta :-)
Solo che, se a dirlo è il produttore di un S.O., la deformazione professionale mi fa sperare che, almeno parlando di tecnologia, questa non cambi troppo repentinamente: oggi, per non vedere un contenuto, basta cambiare canale. Questo non è solo il limite ed
il vantaggio dell'offerta limitata, ma anche di una strumentazione semplice ma altrettanto poco pericolosa. Se la televisione del futuro ipotizzata da Gates è una evoluzione di Media-Center (o prodotti analoghi, per carità, non sto parlando di Windows-contro-tutti!), non siamo certamente sulla buona strada.Oggi, l'utente medio fa fatica a proteggere il PC, con il quale si "impegna" a lavorare, o ama giocare/impegnare il proprio tempo. Nessuna soluzione casalinga PC-like unisce semplicità e sicurezza ad un livello paragonabile ad un elettrodomestico senza un adeguato controllo, ad oggi. Basta leggere i vari articoli sulle "botnet", quelli non inutilmente allarmistici, intendo, per immaginare l'utente medio che la sera, davanti alla TV del futuro, si pone il problema che il proprio apparato multimediale abbia prestazioni adeguate o sia stranamente sovraccaricato...
In definitiva, chi ha bisogno di un tray dentro un televisore?
Magari il problema è un altro: se metto un tray nel televisore, cosa ci potrò trovare dentro?
mercoledì 3 gennaio 2007
Se volevamo solo telefonare, ascoltare musica e fare ginnastica...
Etichette:
Curiosità,
Sicurezza,
Tutela dei dati personali
Di nuovo uno spunto tratto da Cryptogram: come farsi spiare facendo ginnastica. Potete trovare i dettagli in questo documento.
Si tratta dell'ennesimo caso in cui strumenti non certo di fondamentale utilità possono compromettere la nostra privacy, semplicemente perchè non sono minimamente progettati e realizzati tenendo conto del rispetto della medesima.
Il caso riguarda un noto riproduttore MP3, al quale è collegato un kit per il jogging con sensori wireless posizionati nelle scarpe.
Non si tratta di accedere a dei dati, ma semplicemente di dedurre informazioni dall'uso che si fa di un oggetto, ed in particolare, il kit è stato utilizzato per rilevare la posizione di un soggetto che si allena all'aperto.
Questo per riflettere su due aspetti non trascurabili: in primo luogo, parlando di privacy, non dobbiamo mai dimenticare che il dato in se non è sempre l'unica cosa da difendere: per esempio, non è necessario conoscere la cartella clinica dei pazienti di un reparto di cardiologia se posso conoscere la provenienza degli accessi internet al sito stesso (ammesso che dal sito siano fruibili dei servizi agli utenti) : se io fossi un'assicurazione, questo potrebbe essere sufficiente.
In secondo luogo, le tecnologie mobili, in grado di operare in maniera attiva o passiva (penso, avrete capito, anche agli RFID), devono essere oggetto di attenta valutazione da parte degli integratori e, fintanto che il settore non si dimostrerà sufficientemente maturo, degli utenti.
Come al solito.
Aggiungo un altro fatto.
Recentemente, un amico mi ha mostrato il suo nuovo cellulare.
Dovendo *necessariamente* far funzionare un kit di navigazione satellitare, vado sulle impostazioni bluetooth: il telefono è impostato come "visibile a tutti".
In questo caso, non c'è bisogno di essere ricercatori all'MIT per sapere quanto sia rischioso lasciare visibile il telefono rispetto ai nuovi worm che circolano su queste piattaforme.
Solo che stiamo parlando di tecnologie che hanno dimostrato problemi di sicurezza da qualche anno, esperienza che si spererebbe essere tramutata in configurazioni adeguate, se non soluzioni.
Il problema è che se può sembrare banale come esempio, d'altro canto il mio amico fa tutt'altro mestiere e naturalmente non è tenuto a sapere che ha comprato un mini-computer, pur giovandosi da poche ore del suo GPS (per la cronaca, la consapevolezza c'era, ma il problema era far funzionare il navigatore :-) )!
La soluzione non è certo evitare di comprare telefoni evoluti o lettori MP3 con il cardio-frequenzimetro! Il problema reale, tuttavia, è che non esiste un marketing della sicurezza su prodotti di tali fasce di utenze, e nessun mezzo per discernere chiaramente tra prodotti "buoni" e "meno buoni", quanto meno nelle impostazioni di base con le quali sono messi sul mercato.
Ancora una volta, il richiamo forte è alla "cultura della sicurezza".
Il caso riguarda un noto riproduttore MP3, al quale è collegato un kit per il jogging con sensori wireless posizionati nelle scarpe.
Non si tratta di accedere a dei dati, ma semplicemente di dedurre informazioni dall'uso che si fa di un oggetto, ed in particolare, il kit è stato utilizzato per rilevare la posizione di un soggetto che si allena all'aperto.
Questo per riflettere su due aspetti non trascurabili: in primo luogo, parlando di privacy, non dobbiamo mai dimenticare che il dato in se non è sempre l'unica cosa da difendere: per esempio, non è necessario conoscere la cartella clinica dei pazienti di un reparto di cardiologia se posso conoscere la provenienza degli accessi internet al sito stesso (ammesso che dal sito siano fruibili dei servizi agli utenti) : se io fossi un'assicurazione, questo potrebbe essere sufficiente.
In secondo luogo, le tecnologie mobili, in grado di operare in maniera attiva o passiva (penso, avrete capito, anche agli RFID), devono essere oggetto di attenta valutazione da parte degli integratori e, fintanto che il settore non si dimostrerà sufficientemente maturo, degli utenti.
Come al solito.
Aggiungo un altro fatto.
Recentemente, un amico mi ha mostrato il suo nuovo cellulare.
Dovendo *necessariamente* far funzionare un kit di navigazione satellitare, vado sulle impostazioni bluetooth: il telefono è impostato come "visibile a tutti".
In questo caso, non c'è bisogno di essere ricercatori all'MIT per sapere quanto sia rischioso lasciare visibile il telefono rispetto ai nuovi worm che circolano su queste piattaforme.
Solo che stiamo parlando di tecnologie che hanno dimostrato problemi di sicurezza da qualche anno, esperienza che si spererebbe essere tramutata in configurazioni adeguate, se non soluzioni.
Il problema è che se può sembrare banale come esempio, d'altro canto il mio amico fa tutt'altro mestiere e naturalmente non è tenuto a sapere che ha comprato un mini-computer, pur giovandosi da poche ore del suo GPS (per la cronaca, la consapevolezza c'era, ma il problema era far funzionare il navigatore :-) )!
La soluzione non è certo evitare di comprare telefoni evoluti o lettori MP3 con il cardio-frequenzimetro! Il problema reale, tuttavia, è che non esiste un marketing della sicurezza su prodotti di tali fasce di utenze, e nessun mezzo per discernere chiaramente tra prodotti "buoni" e "meno buoni", quanto meno nelle impostazioni di base con le quali sono messi sul mercato.
Ancora una volta, il richiamo forte è alla "cultura della sicurezza".
Iscriviti a:
Comment Feed (RSS)
Eventi a cui partecipo
View Luca Bechelli's profile
