sicurezza

L'anello debole

Scritto da Davide, 2 febbraio 2009 - 22:33

Purtroppo capita di non pensare a quale sia davvero l'anello debole in un sistema di sicurezza. O anche a un problema più sottile: se un anello viene rafforzato, la nuova strategia di attacco che ne deriva può essere particolarmente indesiderabile. Ricordo una storia sugli antifurto per auto "troppo" sicuri che, rendendo molto difficile il furto con scasso, paradossalmente potevano causare un aumento dei furti con aggressione... è probabilmente meglio tornare al parcheggio e non trovare più la macchina che trovarsi con il ladro che ti pianta un coltello alla gola per rubartela.

xkcd - security

(vignetta da xkcd)

Immaginazione, scetticismo, e sense of humour

Scritto da Davide, 22 gennaio 2009 - 22:52

People lacking imagination, scepticism, and a sense of humour should not work in the security field.

– Anonimo

Cose che capitano...

Scritto da Davide, 3 gennaio 2008 - 11:43

...da ubriachi (da xkcd).

xkcd - responsible behaviour

I numeri casuali

Scritto da Davide, 16 febbraio 2007 - 22:57

Temo che, in alcuni casi, non sia poi così lontano dalla realtà...

Generazione di numeri casuali

(da xkcd).

Il Grande Fratello ti guarda

Scritto da Davide, 19 settembre 2006 - 8:42

Da Punto Informatico di oggi:

UK, le cam di sicurezza ora parlano ai passanti. Prevengono, osservano e controllano gli atteggiamenti antisociali, a discrezione dei poliziotti che, con dei megafoni, richiamano all'ordine i passanti: vi stiamo guardando, rispettate le norme.

Allucinante.

RFID sul passaporto

Scritto da Davide, 18 settembre 2006 - 22:15

Non so come sia la situazione in Italia (penso non abbiano ancora finito di attrezzarsi per i passaporti con la foto digitalizzata), ma in caso anche da noi pensino di mettere un RFID sul passaporto mi associo all'appello di Schneier: rinnovatelo prima di trovarvi un passaporto con incluso il malefico congegno. Il problema degli RFID infatti è che si possono leggere anche a distanza (senza necessità di contatto, come è invece per le comuni smart-card), per cui il proprietario può non accorgersi che qualcuno sta leggendo i dati del suo passaporto. E questo non è per niente desiderabile.

Chi è un hacker?

Scritto da Davide, 14 settembre 2006 - 22:02

Il termine hacker è legato al mondo dei computer e delle reti, tanto che compare addirittura nel glossario dei termini di Internet (RFC 1983 - Internet Users' Glossary) con questa definizione:

hacker: A person who delights in having an intimate understanding of the internal workings of a system, computers and computer networks in particular. The term is often misused in a pejorative context, where "cracker" would be the correct term.

Computer e reti sono citati espressamente, ma "in particolare" e non in via esclusiva. Bruce Schneier si spinge più in là, e dà una definizione più ampia e totalmente slegata da quel campo specifico:

A hacker is someone who thinks outside the box. It's someone who discards conventional wisdom, and does something else instead. It's someone who looks at the edge and wonders what's beyond. It's someone who sees a set of rules and wonders what happens if you don't follow them. A hacker is someone who experiments with the limitations of systems for intellectual curiosity.

È forse una definizione un po' provocatoria (come dice lo stesso Schneier nell'articolo dedicato all'argomento, che consiglio di leggere, Galileo era un hacker!), ma credo colga il punto: non si tratta solo di abilità tecnica, ma soprattutto di forma mentis. Consiglio anche un'altra lettura: L'etica hacker e lo spirito dell'età dell'informazione, di Pekka Himanen, pubblicato in Italia da Feltrinelli.

I bei tempi andati di Internet

Scritto da Davide, 16 luglio 2006 - 21:07

Until a few years ago, you could connect to the Internet and be in contact with hundreds of millions of other nodes, without giving even a thought to security. The Internet in the '90s was like sex in the '60s. It was great while it lasted, but it was inherently unhealthy and was destined to end badly. I'm just glad I didn't miss out again this time.

— Charlie Kaufman

E della sicurezza ci si dimentica…

Scritto da Davide, 12 maggio 2006 - 21:30

The wire protocol guys don't worry about security because that's really a network protocol problem. The network protocol guys don't worry about it because, really, it's an application problem. The application guys don't worry about it because, after all, they can just use the IP address and trust the network.

— Marcus J. Ranum

Purtroppo accade...

Di chi è il tuo computer?

Scritto da Davide, 4 maggio 2006 - 21:35

Bruce Schneier se lo domanda in un articolo. Considerando DRM, Trusted Computing, e in generale una certa crescente tendenza a rifilare all'utente degli oggetti (hardware e software) che tendono a comportarsi a vantaggio di chi li ha prodotti anziché a vantaggio di chi li ha acquistati, la domanda è quantomai opportuna.

Dove portano queste spinte?

If left to grow, these external control systems will fundamentally change your relationship with your computer. They will make your computer much less useful by letting corporations limit what you can do with it. They will make your computer much less reliable because you will no longer have control of what is running on your machine, what it does, and how the various software components interact. At the extreme, they will transform your computer into a glorified boob tube.

Il computer ridotto a un televisore vestito a festa, che è un bel modo per uccidere gli spazi di libertà creati dalla Rete e anzi ribaltare il tutto in un nuovo e potente strumento di controllo (il computer ridotto a tostapane non avrebbe questo vantaggio). Che fare allora? Il suggerimento di Schneier è questo:

You can fight back against this trend by only using software that respects your boundaries. Boycott companies that don't honestly serve their customers, that don't disclose their alliances, that treat users like marketing assets. Use open-source software -- software created and owned by users, with no hidden agendas, no secret alliances and no back-room marketing deals.

Non posso che sottoscrivere.

Syndicate content