giovedì 24 maggio 2012

Sfera di cristallo (e verbalizzazione online)

Mi è accaduto più volte di descrivere un rischio in una lezione di sicurezza informatica e poi, pochi giorni dopo, vedere una notizia che dimostra la concretizzazione proprio di quel rischio.

In questi giorni ho corretto gli esami del corso che ho tenuto al "Master in gestione della privacy e del rischio ICT nella pubblica amministrazione". L'esame consisteva di una elaborazione sul tema "Verbalizzazione online degli esami universitari". Tra le osservazioni collettive che ho fatto c'erano queste:
...
3) Quasi nessuno ha dimostrato di essere consapevole delle potenziali conseguenze di malware, virus e cose del genere (solo per dirne una, la possibilità di verbalizzare esami all'insaputa del docente; magari verbalizzandone uno o due in più proprio quando il docente sta verbalizzando una sessione d'esame). 

Anche in questo caso valuto negativamente il mio operato: non essere riuscito a trasmettere la nozione basilare che il pc può fare ciò che vuole lui, indipendentemente da ciò che vuole fare il suo proprietario ed indipendentemente da smartcard, etc.

Un attaccante può sfruttare questa possibilità. Che lo faccia o meno dipende dalla posta in gioco. Omettere questo aspetto dalla descrizione dei potenziali svantaggi non è corretto.

4) Quasi nessuno ha dimostrato di essere consapevole che non basta dire "occorre installare antivirus". I docenti sono molte centinaia, ognuno usa chissà quale PC, con chissà quale sistema operativo, lasciato chissà dove.

Garantire l'integrità dei PC, intesa come presenza del software che "ci deve essere" ai fini dei processi operativi dell'organizzazione e solo di quello, è un problema ENORME. Non basta dire cosa si dovrebbe fare, bisogna farlo davvero. Ed è quindi necessario chiedersi: "è realistico aspettarsi che ciò sia fatto ? cosa succede se non viene fatto ?"

Questo problema non è presente solo in università, ma in qualsiasi organizzazione. Un giudice naviga su Internet con il proprio portatile ? Ci mette le chiavette che usa anche sul pc di casa, magari suo figlio ? Male, malissimo....
...
Bene. Proprio stamani ho letto l'esito di uno hacking contest in cui è stato dimostrato come alterare il browser Chrome. Dettagli tecnici a parte, l'effetto è il seguente:

Installing and running native code with the privilege of the browser itself, simply by visiting a web page, and without any warning... you can now do everything the current user could do, and anything he wouldn't.
In two words, "Game over".
Più chiaro di così impossibile.

Non è la concretizzazione del rischio che ho descritto ma è esattamente la descrizione della sua piena fattibilità tecnica, con step descritti chiaramente su Internet.

martedì 22 maggio 2012

Concorso di poesia

La scorsa settimana ho partecipato alla 22-esima edizione di un concorso di poesia. Mi sono classificato secondo. Il tema di quest'anno era "la responsabilità". Segue il mio componimento...


Democrazia

Et voilà, ecco qua, chi l’avrebbe mai detto,
salta fuori un altro furbetto,
solo perché è stato eletto,
gli par normale farsi un bel tesoretto

Anche i suoi amici ed i suoi figli brillanti,
rimborsi e regali, diplomi e diamanti,
paghette mensili euro cinquemila
per incassare facevan la fila

Degna sequela di un altro cammeo
di quella casetta al Colosseo
“non so proprio come l’abbia avuta,
certamente comprata a mia insaputa”

Certo, certo, anche gli altri,
lo so bene, tutti assai scaltri
si urlano insulti di tutti i colori
poi tutti insieme ad intascare i valori

Pensioni, prebende e rimborsi a milioni
regalati da noi, come tanti "oioni",
a noi ogni giorno togliete qualcosa,
ma per voi la vita non è mai faticosa

Dovreste mostrare responsabilità
ma pensate solo alla tassabilità
Vedo ognuno di voi e quanto si approvvigiona,
io ogni giorno mi sento un poco più mona

giovedì 10 maggio 2012

cgi-php: Well, that just about wraps it up for open-source

I trust Chrome over Internet Explorer not because it's open-source, but because they pay people to put eyeballs on it. Thus, the new axis is "bounties vs. no-bounties", not "open-source vs. close-source".


Link


tags: WordsOfWisdom, Vulnerable, securityincident