Spie russe – Cosa ci insegnano sulla security?
4 lug

Spie, a memoria credo che sia la prima volta che ascolto una notizia del genere, ma forse sono troppo “piccolo” per ricordare di notizie di guerra fredda nei TG nostrani, ho seguito un pò di straforo la questione dei 10 arresti e delle vicende annesse spizzicando qua e la e non ho potuto veramente fare a meno di trarne qualche spunto (dopo tutto si tratta di errori eccellenti):
Crittografa la tua wifi
Le spie a quanto traspare dai fatti, usavano connessioni wifi per comunicare. Molto intelligentemente, invece di utilizzare il medesimo access point effettuavano delle connessioni adHoc (WIN).
Il grande pregio di una soluzione come questa è che esclude di fatto la possibilità di essere spiati tramite una infrastruttura di comunicazione che non si possa controllare (internet point, gestore, wisp) costringendo l’FBI a fare degli appostamenti nei pressi di caffè/bar/abitazioni e/o altri luoghi di incontro con i rappresentanti dell’ambasciata.
Tuttavia nel tentativo di “far commettere” un errore agli agenti dell’FBI non si sono resi contro dell’enorme errore a cui sono andati incontro: le adHoc network supportano solo l’encryption via WEP (MEGA FAIL) quindi a meno di non crittografare end to end tutte le sessioni, le comunicazioni risultavano reversibili esponendo MAC address (se non modificato) e contenuti alla mercè degli agenti.
Usate delle password sicure
Durante gli ultimi anni di indagini (non è che si becca una spia dall’oggi al domani) gli agenti avevano rinvenuto e copiato, durante una perquisizione nella casa di una spia, una serie di harddisk peccato per loro che fossero però codificati (WIN). Tuttavia un agente in una di queste perquisizioni ha notato un appunto con una stringa di 27 caratteri alfanumerica, non c’è voluto molto a capire che quella fosse la password (FAIL) non solo, all’interno degli HD rinvenuti c’erano una serie di tool/siti e altre risorse utilizzate per steganografare e scambiarsi informazioni, insomma hanno lasciato il cifrario incustodito (double FAIL) direttamente fornito da Schneier e tratto da cnet:
Ricci said the steganographic program was activated by pressing control-alt-E and then typing in a 27-character password, which the FBI found written down on a piece of paper during one of its searches
Obscurity non è security
I contenuti scambiati nei siti di cui sopra venivano steganografati cioè, modificati ed inseriti all’interno di altri file (es. immagini). Questo garantiva all’informazione l’impossibilità di esser “vista” a colpo d’occhio (WIN) tuttavia però è buona pratica, quando si steganografano delle informazioni cifrarle in modo da non rendere facilmente reversibili le info, specialmente se per fare tutte queste operazioni si stanno utilizzando dei software “comuni” (FAIL) e specialmente se (vedi punto precedente) si tengono questi manuali di decrifrazione tutti insieme nello stesso point of failure (EPIC FAIL)
Perfect forward secrecy – PFS
Il concetto è un pò contorto ma tenterò di spiegarlo brevemente.
Se in un sistema informatico (qualunque) si usasse la password precedente per generare o codificare la password futura, basterebbe intromettersi in un anello qualsiasi di questa catena per scoprire passo dopo passo tutte le “password” che sono state create nel tempo.
Così nella nostra spy story, le spie utilizzavano sempre i soliti sistemi di comunicazioni per pianificare incontri futuri e/o per scambiarsi password o protocolli atti a decifrare le loro comunicazioni, così agli agenti dell’FBI è bastato abbattere un muro (quello delle comunicazioni wifi) per rendere vani tutti gli altri articolati metodi per codificare le informazioni (GAME OVER)
Remember: La velocità di una flotta è data dalla nave più lenta che la compone!

Google Apps 2010 – 6 mesi d’innovazione
19 giu
Nell’ultimo periodo (Q1/Q2 – 2009) Google sta spingendo fortemente la sua suite di (web)application per l’ufficio meglio nota come Google Apps al punto da poter trovare anche sulla carta stampata pubblicità che invitano allo “switch”

Pagina del Sole24Ore rubata da Pandemia
Inutile nascondersi dietro ad un dito sono un Google Fan della prima ora (mi esaltavo per Suggest, mi stupivo per Scholar ed imploravo per IMAP) ma con quel minimo d’obiettività che (credo) mi contraddistingue sono molto orgoglioso del lavoro svolto dal team che si occupa di queste apps.
Ho visto crescere la soluzione da semplice “accozzaglia” di startup comprate all’asta (chi ha detto writely e jotspot?) a prodotti di una maturità quasi imbarazzante (alcuni miei utenti/clienti scambiano sistematicamente la finestra del browser per quella del “wordprocessor”) e, al di la delle competenze dei singoli, questo la dice lunga sulle possibilità e sull’integrazione espresse da queste applicazioni.
Tuttavia c’è ancora molto da lavorare:
- L’integrazione con Postini è ancora troppo superficiale e non permette di sfruttare a pieno le caratteristiche di questo mail gateway
- Google Site è rimasto così com’era ai tempi dell’acquisizione di Jotspot, una soluzione troppo acerba per essere preso in considerazione come “portale intranet”
- Google Groups è ancora un ibrido tra una soluzione usenet on steroids ed uno strumento ben integrato col resto della suite
- Google Video è (a mio avviso) troppo chiuso per essere preso in considerazione come una sorta di youtube aziendale
- Google Contacts (ancora in beta però) DEVE dare molto di più a tutta la suite
… ma son finezze se guardiamo a:
- Gmail è oramai una soluzione solida con livelli di uptime triple 9
- Google Calendar non ha niente da invidiare ai suoi omologhi “da banco” con tanto di gestione delle risorse aziendali (macchine, uffici, materiale vario)
- Google Docs permette livelli di interazione e collaborazione in fase di scrittura secondi solo a Google Wave (la lotta è tutta intestina)
- L’intuitività e la semplicità delle applicazioni velocizzano l’operatività ( molte volte ho sentito dire “Ma era così semplice?”)
tutto questo sottendendo due vantaggi rispetto ad altre soluzione più blasonate (e monolitiche):
- l’ubiquità (ogni dispositivo mobile permette virtualmente l’accesso alla suite)
- ed il fatto che la soluzione sia totalmente in SaaS (espressione business del concetto di web 2.0, acquistando una licenza Google Apps si accede ad un servizio non si copra un software)
Fino ad oggi non mi sono mai spinto in installazione superiori alle 50 utenze, ma chi crede che queste descritte siano soluzioni da PMI si sbaglia di grosso anzi:
- il control pannel per l’amministrazione è stato, nel tempo, notevolmente migliorato
- c’è la possibilità di forzare parametri di sicurezza a tutti i servizi, con livelli di granularità che arrivano anche alla specifica di condivisione del singolo documento/gruppo/messaggio
- E’ possibile integrare gli users con domini LDAP e/o altri sistemi di SSO (Oauth e OpenID in primis)
- Secure Data Connector permette l’accesso ai dati in LAN senza troppo sforzo e garantendo riservatezza e integrità
- Provisionng API e Migration tool sono solo 2 dei tanti sistemi possibili per gestire la migrazione da un qualsiasi sistema a GApps
Senza parlare di GApps Script e del nuovo Marketplace. Beh, ce n’è abbastanza da far venire un pò d’appetito e vi invito tutti a registrarvi al Webminar che si terrà il 22 Giugno p.v. alle 5:00 pm London time
PS: mi scuso per l’approccio markettaro ma mi sono infervorato man mano che scrivevo
WordPress 3.0
17 giu
Questa sera mi loggo qui sul blog e cosa ti trovo? Fresca fresca la versione 3.0 di wordpress da “scaricare” (in realtà fa tutto da solo) e aggiornare sopra la oramai vetusta 2.9.2
Era il 26 Dicembre 2005 quando passavo dalla 1.X alla 2.0 cinque anni più tardi il progetto wordpress è vivo più che mai e continua a covare in seno delle sorprese.
Ma veniamo alle novità:
- Sarà possibile cambiare lo username: finalmente hanno capito che lasciare lo username admin di default era causa di selvaggio bruteforcing
- Cambia il tema di default (era ora) che diventa TwentyTen
- E’ possibile impostare uno sfondo per il blog (lo cito giusto per dovere di cronaca)
- Fusione tra WordPress (single) e WordPress MU ogni blog potrà diventare (quasi) automaticamente una piccola community
- Post, Pages e … quello che volete: è stata aggiunta la possibilità di personalizzare la natura dei post
- Tassonomie rinnovate e gerarchiche
- FINALMENTE una gestione dei menù degna di questo nome, tanto per rendere questo prodotto un pò più CMS
- Template per le pagine Author
- Una Media Librari completamente riscritta
- Possibilità degli “short link” (cosa che non ho ancora capito)
WordPress, Automattic, BuddyPress, Gravatar, IntenseDebate, bbpress e polldaddy la famiglia, cresce, s’aggiorna e prospera
Update:
Eccovi il video della release
Di PCI DSS e checklist per Windows 2008 e BES 5
14 giu
Questa settimana si aggiorna il materiale riguardante le varie checklist che uso per lavoro, le posto anche qui visto mai che per qualcuno possano essere utili (tanto sono tutto documenti unclassified ndr).
Si parte con Defense Information Systems Agency:
- WINDOWS SERVER 2008 SECURITY CHECKLIST – Version 6, Release 1.8 + Appendici
- BlackBerry Enterprise Server (BES) 5.0.1 – STIG (tool)
Inoltre mi sono accorto solo oggi della presenza delle PCI DSS in ita (me tapino)
Non resta che augurarvi buona lettura
Di simbiosi, vecchi ricordi e cicli
13 giu
Un week-end abbastanza riflessivo, passato tra il giardino, l’officina e il computer. Tra le tante cose con cui mi sono messo in pari c’era l’infinito task di armonizzazione delle categorie proprio qui, sul blog che stai leggendo.
Un post alla volta sono andato a ritroso fin ai primi articoli con cui salutavo il mondo del web per la prima volta, è stato strano come estrarre dall’armadio un vecchio diario e cominciare a sfogliare pagine a caso, il bello è che non mi era mai capitato, dopo tutto non ho mai avuto un diario e non ho potuto fare a meno di constatare come tante cose siano cambiate.
FreeUser ha subito alti e bassi un pò umorali, un pò dovuti, forse, alla noia, il tutto quasi misurabile dal numero di post. Ho visto come, da blog personale, questo spazio si è trasformato in un punto di ritrovo su tematiche specifiche per poi ritornare in quella sorta di oblio in cui le comunicazioni si facevano rarefatte… è stato bello rileggerlo.
Tra i tanti post ce n’è uno che mi ha colpito particolarmente, una canzone, che avevo quasi del tutto dimenticato ma i diari servono a questo no?Ops volevo dire blog
Un pensiero improvviso m’illumina
Come una lanterna
Non so come si sia acceso
Ma un motivo di sicuro ci sarà
Mi dico che devo tenere
I piedi ben piantati a terra
Per far radicare desideri
Che nessuno mai nessuno estirperà


