Acquisizioni: Google compra GreenBorder
Scritto da Enrico Bertini | 29 Maggio 2007
Continua la politica di acquisizioni messa in atto da Google. Ora l’azienda di Mountain View acquisisce GreenBorder, una società che sviluppa software di sicurezza per la navigazione su Internet.
GreenBorder possiede un prodotto denominato Green Border Pro ed una tecnologia software che serve per combattere i virus, gli spywares e le minacce derivanti dai trojans. Le soluzioni di sicurezza implementate da Green Border utilizzano un nuovo paradigma di protezione nei confronti del malware: quello basato sui sandboxes. Sulla base di tale paradigma, la sicurezza viene garantita isolando ogni singola sessione Internet aperta del browser e cancellandone le tracce al momento della sua chiusura (cache, files temporanei, ecc.).
è molto probabile che Google inserirà la tecnologia di Green Border all’interno delle proprie applicazioni software.
Categorie: Acquisizioni, Google, Security
Anti-phishing: un dominio .bank per prevenire il phishing
Scritto da Enrico Bertini | 8 Maggio 2007
Mikko Hypponen è il CRO (Chief Research Officer) di F-Secure. All’interno di un articolo pubblicato su ForeignPolicy Hypponen propone che le banche e le istituzioni finanziarie in genere (chinque gestisce i soldi altrui, in pratica) adottino un speciale dominio .bank al fine di prevenire le attività di phishing. Naturalmente, i domini .bank sarebbero ristretti alle sole organizzazioni finanziarie certificate che ne fanno richiesta.
Sebbene la sicurezza sia un problema complesso e dalle molte sfaccettature, occorre almeno rendere la vita difficile ai phishers e a chiunque voglia approfittarsi della ingenuità degli utenti: attualmente, registrare un dominio .com che contiene al suo interno il nome di una banca o di una istituzione finanziaria è ancora troppo facile per chiunque.
Leggete l’articolo su Foreign Policy.
105 Strumenti di Open Source Security
Scritto da Enrico Bertini | 13 Aprile 2007
La diatriba tra i sostenitori della Open Source Security e quelli della Closed Source Security è da sempre molto accesa: dura ormai da anni, e non si è mai placata. Essa rappresenta una delle più roventi polemiche che hanno caratterizzato il mondo dell’information technology negli ultimi tempi. E si tratta di una discussione inevitabile: la security è il più grosso problema che l’informatica si trova ad affrontare. Le vulnerabilità concernenti la sicurezza dei sistemi informatici rappresentano una spina nel fianco per qualsiasi organizzazione. Le falle riscontrabili in un software costituiscono, per chiunque, una serissima minaccia da fronteggiare quotidianamente. Non c’è spazio per generalizzazioni di sorta.
è davvero importante comprendere le differenze tra Open Source Security e Closed Source Security: ne va della propria capacità di operare al riparo dai potenziali pericoli digitali. Ma le correnti di pensiero che sostengono i due modelli sono comunque d’accordo su alcuni punti: a) i problemi di sicurezza sono una prerogativa dei sistemi complessi; b) il numero di bugs esistenti in un software è correlato al numero di persone che ne manutengono il codice; c) il know how trasversale di chi si occupa di queste problematiche deve essere assolutamente di prim’ordine. Le sostanziali differenze di vedute riguardano soprattutto le filosofie e le metodologie da utilizzare nello sviluppo del software.
Esistono diverse argomentazioni pro e contro la Open Source Security, e tutte contengono una loro verità parziale.
I produttori di software commerciale (Closed Source) elencano una serie di motivi per i quali le loro applicazioni sono in realtà più sicure: alta ingegnerizzazione; maggiore security assessment; migliore auditing del software; minori bugs. In pratica, il cliente commerciale paga e pretende standard molto alti. Ma l’argomento principale a sostegno della loro tesi rimane la cosiddetta “security through obscurity”, quel principio secondo il quale la sicurezza è maggiore laddove nessuno può vedere il codice di un software (quindi neanche scovare le sue debolezze).
La Open Source Community ribatte che, rispetto al Closed Source, il numero di persone che possono vedere il codice di un software per scoprirne gli errori e le vulnerabilità è sproporzionatamente alto, di fatto potenzialmente illimitato: questo conduce verso una quintessenza metodologica delle attività di bug reporting che è più che mai efficace nelle applicazioni di larghissima diffusione. Il principio è quello della “security through visibility”, per il quale moltissimi “occhi” affidabili porteranno rapidissimamente alla luce qualsiasi vulnerabilità “nascosta” in un software: dato il numero e l’interesse degli attori in gioco, le cose dovrebbero avvenire come “automagicamente” (dal gergo “automagically”). Inoltre, il mondo Open Source applica il principio del Peer Review, che impedisce a qualsiasi malintenzionato di inserire codice malware all’interno di una applicazione.
La Open Source Community sostiene anche che l’oscurità del Closed Source (la non visibilità del modello proprietario) può anche essere un sinonimo della volontà di mantenere le vulnerabilità di un software fuori dagli occhi del pubblico: d’altronde, i produttori di software commerciale devono creare una immagine pubblica di sicurezza per proteggere le loro quote di mercato.
In conclusione, anche se l’automagia non sempre si verifica (Linux, Apache e Firefox hanno sofferto di problemi di security), le applicazioni più popolari con grosse basi di installato hanno solo di che beneficiare dalla trasparenza dell’approccio Open Source. Un dato significativo è che la Mozilla Foundation produce, testa e rilascia patches per Mozilla Firefox in meno di una settimana: la frequenza di rilascio delle patches per il Linux Kernel può addirittura essere misurata in ore (piuttosto che in giorni). Esistono anche autorevoli studi che dimostrano che il Closed Source può contenere centinaia di volte i bugs dell’Open Source.
In moltissimi si è ormai consolidata la consapevolezza che l’Open Source è più sicuro. E non si tratta più soltanto di elitarismo culturale delle Open Software Communities. Qualcuno aveva paragonato questo ad un mito. Molti rimangono ancora scettici. La vigilanza resta comunque un obbligo: c’è chi ha trovato buchi anche nelle migliori dighe.
Network Security Journal paragona la Open Source Security ad un generale in battaglia che mostra i propri piani sia ai suoi alleati che ai suoi nemici. Da un lato, i suoi nemici possono utilizzare tali piani per cercare eventuali debolezze. Dall’altro lato, invece, i suoi alleati renderanno più forti questi piani grazie al loro feedback ed al loro apporto strategico. Ecco 105 Strumenti di Open Source Security che Network Security Journal vi illustra.
Categorie: Open Source, Security
Anti-Phishing d’aprile
Scritto da Enrico Bertini | 1 Aprile 2007
Purtroppo non si tratta di uno scherzo. Il numero dei siti di phishing è aumentato, nell’ultimo anno, di ben il 280%. Si è passati dai 9715 siti di phishing del Gennaio 2006 ai 27221 rilevati nel Gennaio 2007. Sempre nel Gennaio 2007, il numero di segnalazioni sulle e-mail di phishing ha raggiunto un record, attestandosi a 29930. Sono questi gli impressionanti numeri resi noti dall’ultimo rapporto mensile “Phishing Activity Trends”, pubblicato da Anti-Phishing Working Group (APWG) e redatto in collaborazione con Panda Software, MarkMonitor e Websense. Tali numeri testimoniano l’esistenza di un trend in costante crescita delle attività di phishing che, negli ultimi due anni, hanno prodotto globalmente perdite per svariati miliardi di euro. Tradizionalmente, i principali obbiettivi dei phishers sono i siti bancari e finanziari, ma negli utimi tempi si è registrato un aumento di attività verso i siti di social networking. Sfortunatamente, l’”allarme phishing” è e continua a rimanere alto.
I siti a cui fare riferimento sono Anti-Phishing Italia, APWG e PishTank.
Voglio segnalare anche il video di Poste Italiane su “Come difendersi dal phishing“.
Rilasciato TrueCrypt 4.3
Scritto da Enrico Bertini | 23 Marzo 2007
è stata rilasciata una nuova versione di TrueCrypt, il software di crittografia opensource e multipiattaforma (Linux e Windows) che consente di proteggere dati, documenti ed informazioni, da qualsiasi accesso non autorizzato.
Per chi non lo sapesse, TrueCrypt è in grado di cifrare e di decifrare files "al volo" (On The Fly Encryption) ed in modo completamente trasparente per l’utente: esso offre sia la possibilità di creare dischi virtuali criptati all’interno di un singolo file, sia quella di crittografare intere partizioni di hard disk. TrueCrypt permette persino di nascondere i dati, cioè di creare nell’hard disk partizioni invisibili cifrate (con doppio algoritmo) e protette da password, implementando di fatto la cosiddetta funzionalità di plausible deniability (in altre parole, non c’è modo di provare che una tale partizione cifrata esiste all’interno di un sistema). Inoltre, gli algoritmi di crittografia che TrueCrypt supporta sono robustissimi: AES, Blowfish, Twofish, Serpent, CAST5.
Oltre al bug fixing e ad una serie di miglioramenti, la nuova versione 4.3 introduce il supporto per i devices e per i file systems che usano settori diversi dai classici 512 bytes (nuovi hard disks, memorie USB flash, DVD-RAM, lettori MP3, ecc.) e ne facilita l’auto-smontamento.
