Ciphire mail è un semplice client per criptare e decriptare la propria posta elettronica. Gratis per utenti singoli, non-profit e per la stampa. Disponibile per Windows, Mac e Linux. Compatibile con tutti i programmi che usano POP, IMAP e SMTP.
Più diventanon efficaci e sofisticati i motori di ricerca, più impietosi sono gli effetti che possono avere.
La ricerca di lavoro che può essere mandata a monte da una semplice query su Google che svela particolari imbarazzanti sul candidato.
Il worm che si diffonde cercando vulnerabilità tramite Google.
Ultima (solo per ora) in ordine di tempo, da qualche giorno circola la notizia della ricerca che permette di scovare telecamere di sicurezza insufficientemente protette.
Il problema è rappresentato dalle network cams (di Axis e Panasonic, ad esempio). Ottimi prodotti, potenzialmente sicuri, ma in questo caso comprate e configurate da un gregge di utenti disattenti.
[Via The Register]
In risposta ad alcune vulnerabilità scoperte per Mozilla, tre vulnerabilità “estremamente critiche” scoperte per IE (permettono di cancellare o modificare file sul PC dell’utente). Dice Secunia: “Solution: use another product”. Non potrei essere più d’accordo.
Finalmente Microsoft si occupa attivamente del problema dello spyware per Windows: è disponibile la beta di Window AntiSpyware, il primo frutto dell’acquisizione di Giant Company Software dello scorso dicembre.
Sulla pagina di scaricamento compare anche una sezione in cui viene raccomandato di “validare” la propria installazione di Windows, per essere certi che sia legittima. Al momento questo passo è facoltativo ma raccomandato, per “avere accesso più rapidamente in futuro al Microsoft Download Center”. Ci si può aspettare che diventi obbligatorio in futuro.
Sono anche curioso di sapere se il servizio di aggiornamento di AntiSpyware rimarrà gratuito in futuro, o sarà necessario pagare un abbonamento.
Matt Blaze, noto esperto di sicurezza informatica, ha scritto un lungo articolo sullo Scassinamento di casseforti per informatici, in cui analizza la sicurezza delle casseforti e delle loro serrature secondo le metriche usate per la sicurezza informatica.
La lezione: nonostante alcune vulnerabilità agli informatici rimane molto da imparare dal modo in cui sono implementati lucchetti e casseforti, che falliscono “meglio” dei sistemi di sicurezza informatica.
Blaze, come al solito, infrange il galateo dei costruttori di serrature, che vuole che non si parli delle vulnerabilità conosciute da esperti (“buoni” e non) ma non dal grande pubblico.
[Via Slashdot]
Google ha messo i bastoni tra le ruote al worm che si propagava usando Google per cercare installazione vulnerabili di phpBB, un software open-source per la gestione di forum. Google sembra essere molto reattiva ai problemi di sicurezza: ieri era stata tappata in poche ore la falla di Google Desktop Search.
Un blogger di Microsoft, solleva un disinteressato quesito: “come posso fidarmi di Firefox“. Poi si concentra sul fatto che ci sono molti mirror che ospitano il software (caspita!) e che su alcuni di questi potrebbe esserci copie corrotte dell’applicazione. Solo tre parole: Fear, uncertainty, doubt!
Nello stesso giorno Microsoft annuncia l’acquisto di una azienda che produce software anti-spyware e compare la notizia di una nuova vulnerabilità che permette di falsificare l’indirizzo visualizzato da Internet Explorer.
Fortunatamente per le falle di IE è disponibile una soluzione da un bel pò di tempo: Firefox.
DJ Bernstein ha annunciato i risultati del corso Unix Security Holes 2004 dell’Università di Chicago. Gli studenti (25) avevano come compito trovare 10 falle e degli exploit in software per Unix correntemente in uso.
Alla fine del corso sono state trovate 44 falle (comunicate agli autori dei programmi).
Da Bruce Schneier alcuni consigli su “personal computing security”. Parafrasando e condensando:
Spegnere il PC quando non è in uso, specialmente in presenza di connessioni always-on.
Tenete sempre il vostro laptop con voi, quando siete in giro, trattatelo come un portafogli o una borsetta. Ripulitelo periodicamente da dati non necessari (stesso vale per i palmari, specialmenete per password e dati personali).
Backup regolari, e distruggete i vecchi backup [Schenier suggerisce cinque secondi di microonde per i CD-R].
Sistema operativo: se possibile non usate Windows (meglio Macintosh o Linux).
Meno applicazioni installate, meglio è. Installate solo quelle di cui avete bisogno, tenetele sempre aggiornate e disinstallate quelle di cui non avete più bisogno.
Browsing: Non usate Internet Explorer. Punto.
Password: usae password lunghe, usatele per un solo sito, scrivetele e conservatele come se fossero denaro.
E-Mail: non leggete e-mail html, non fidatevi del campo “From:”, non fidatevi dei link nelle e-mail e cancellate lo spam senza leggerlo. Criptate tutte le mail che potete.
Usate un firewall, se possibile hardware (software sul laptop).
L’articolo è da leggere, i consigli da seguire come fossero vangelo.
Enigmail è un plugin per Thunderbird con una semplice interfaccia per gestire la sicurezza delle proprie mail (firma o codifica) con PGP o GPG [via Jeremy Zawodny]
Imbarazzante falla nei browser: 4 righe di Javascript che chiamano infinite volte la funzione di ordinamento di un array possono mettere in ginocchio tutti i maggiori browser. Si attendono fix.
Non sembra possibile usare questa falla per eseguire codice. Semplicemente il browser va in crash. Probabilmente le pagine web che fanno questo giochino non resteranno popolari a lungo.
Bruce Scheneier ha un altra prospettiva sui potenziali problemi di privacy che Google Desktop Search può causare: Google Desktop svolge bene il suo lavoro di ricerca, talmente bene che mette in evidenza i difetti di altre applicazioni.
Il fatto che Google Desktop trovi password salvate, codici per l’home banking e il testo in chiaro di file che dovrebbero essere criptati è una cosa negativa, ma è causata da errata progettazione dei browser e dei programmi per criptare le comunicazioni.
Se il browser lascia nella cache copie in chiaro delle pagine criptate provenienti da connessioni SSL (tipo home banking e webmail), la falla è nel browser, non in GDS: le copie in chiaro del materiale confidenziale non dovrebbero mai essere lasciate in memorie persistenti, quindi non dovrebbero essere presenti nella cache, non dovrebbero essere salvati in file temporanei. Allo stesso modo, le password “importanti” non dovrebbero mai essere memorizzate nel browser. Se anche GDS venisse modificato per evitare di includere queste informazioni nei risultati di ricerca, le informazioni sarebbero comunque presenti nel sistema, pronte per essere trovate da un altro programma, magari creato apposta per questo scopo.
Venditori di antivirus e firewall hanno cominciato la campagna per creare un pò di allarme attorno alla telefonia via Internet (VoIP). L’attenzione da parte dei venditori di software per la sicurezza è un sicuro segno che una tecnologia informatica è diventata matura e che l’adozione di massa è cominciata.
Purtroppo, chi produce antivirus e firewall, soprattutto per il mercato consumer, prospera quando attorno a prodotti popolari si crea un clima di insicurezza. L’insicurezza di sistemi operativi, browser e client per la posta elettonica è la condizione per un sano mercato di prodotti “profilattici”.
Adesso è il turno di VoIP. Apparentemente, la tecnologia è la “prossima grande area di attacco”, è “completamente insicura”.
Come per tutte le tecnologie, al rischio cracker seguiranno poi un altra serie di spauracchi, ad uso e consumo della stampa pigra e allarmista. Ci sarà il turno delle cassandre della produttività, come per web e email: ” gli impiegati passano ore e ore a parlare su Skype, le aziende perdono milioni di euro”. Poi il turno dei segreti aziendali, come i pen drive e gli iPod: “C’è il rischio che gli impiegati usino software VoIP criptato per spifferare i segreti aziendali”.
[via GigaOM]
Prova comparativa degli strumenti per rimuovere Spyware su Ars Technica. Spybot + Ad Aware Personal Edition sembrano un ottima combinazione, con il grosso vantaggio della gratuità.
Negli ultimi due mesi sono state trovate 19 vulnerabilità in Internet Explorer.
Il comportamento di Skype in occasione della scoperta della recente falla nel programma non è stato del tutto limpido (alcune critiche):
bugfix: buffer overflow fix) che mette i brividi agli esperti di sicurezza, ma lascia indifferente la maggioranza degli utentiQuando un applicazione ha 14 milioni di utenti, è opportuno essere più trasparenti riguardo a questi problemi. Soprattutto se Skype vuole che la sua tecnologia venga adottata anche negli apparati di consumer electronics …
Google ha annunciato che il problema di sicurezza scoperto da un hacker Israeliano nel sistema di autenticazione di GMail è stato risolto.
La National Security Agency, spauracchio preferito di molte conspiracy theories, ha pubblicato diverse guide che contengono indicazioni per migliorare il livello di sicurezza dei principali sistemi operativi e applicazioni:
Manca una guida per Linux, visto che le distribuzioni Linux sono un pò troppo eterogenee per permettere di realizzare una guida che vada oltre quanto si possa dire per sistemi Unix generici. In compenso la NSA continua a lavorare su SELinux.
[via Slashdot]
Quando WordPress manda l’avviso “commento ricevuto”, lo invia mettendo come mittente l’indirizzo fornito da chi ha scritto il commento.
Ieri ho ricevuto commento, e sono stato avvisato da GMail:
Warning: This message may not be from whom it claims to be. Beware of following any links in it or of providing the sender with any personal information. Learn more
Il motivo dell’avviso è che WordPress fingeva di scrivere da un indirizzo GMail, ma GMail ha cominciato a “firmare” tutte le mail in uscita con il sistema DomainKeys di Yahoo! (che, tra l’altro, Yahoo! ancora non usa).
Purtroppo, perchè il sistema possa cominciare ad essere efficace contro spam e e-mail truffaldine, dovrà essere adottato dalla stragrande maggioranza dei mail transport agent. Ci vorrà un pò di tempo.