Bene.
Cioe', mica tanto, dato che suppongo che qualcuno ci caschi.

Quello che segue e' cio' che mi sono beccata questa mattina su Skype (inutile dire che ho ignorato bellamente, a parte per farci il post):

Chat History with Software Update | WINDOWS REQUIRES IMMEDIATE.. (#software.update.jk8/$delymyth;b4a4240452204cdf)

Created on 2008-05-22 14:49:49.

2008-05-22

Software Update: 12:40:26

WINDOWS REQUIRES IMMEDIATE ATTENTION
=============================

ATTENTION ! Security Center has detected
malware on your computer !

Affected Software:

Microsoft Windows Vista
Microsoft Windows NT Server 4.0
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Win98
Microsoft Windows Server 2003

Impact of Vulnerability: Remote Code Execution / Virus Infection /
Unexpected shutdowns

Recommendation: Users running vulnerable version should install a repair
utility immediately

Your system IS affected, download the patch from the address below !
Failure to do so may result in severe computer malfunction.

http://www.onlinemonitor.info/?q=scan

 Ok, quando ho letto il titolo ci sono quasi rimasta male...
Poi ho pensato ad un giorno, tempo fa, in cui sono letteralmente impazzita cercando di indovinare una password impostata da una persona di mia conoscenza, e che pensava di averla dimenticata...

Anzi, per essere precisi, questa persona era convinta di aver impostato una password (forse perche' il sistema gliela chiedeva).
Peccato che la password non ci fosse, e che io a battere "invio" ci abbia pensato solo dopo un'ora di Brainstorming col malcapitato proprietario del computer.

Soprattutto poi su Windows Xp, dove un account senza password non puo' essere utilizzato da remoto, l'utilizzo di password "vuote" (cioe' nulle) puo' essere piu' sicuro che non infilare una password stupida come "1234" (dopo la cambio, prometto...), ovviamente a patto che il computer sia a casa vostra, in un ambiente dove voi avete il controllo delle persone che accedono e che quindi possono "toccare" il vostro computer.

[Microsoft Security, via Lifehacker]

In Italia la diffusione del Wi-Fi non e' certo altissima, tantomeno lo e' quel minimo di cultura che secondo me e' necessaria quando si vuole proporre uno strumento per l'utilizzo (davvero, me ne rendo conto anche con il Supporto del Nabaztag, la gente qui di Wireless sa veramente troppo poco...).

Resta comunque interessante questa riflessione di Bruce Schneier su Wired, secondo cui una rete Wireless completamente aperta non e' poi tanto insicura come vogliono far credere.
Schneier punta sul fatto che un potenziale Hacker, che voglia fare qualcosa di illegale, andrebbe a farlo da un bar, un pub, o comunque un altro posto che, oltre alla connettivita', fornisse anche una sedia, magari al caldo.
Certo meglio che piazzarsi in macchina sotto casa tua.

In effetti mi trovo assolutamente d'accordo con la questione.
Andare a cercare una rete Wireless aperta non e' una cosa facile, e spesso ci si trova a doversi appostare in maniera piuttosto scomoda (vedi anche questa mia foto).
Ed e' proprio per quello che, senza nemmeno cercarmi le reti, solitamente io mi metta ad utilizzare la mia buona, vecchia, affidabile Datacard di Tre.

Poi c'e' da considerare il discorso che e' piu' facile (umanamente parlando) trovare persone che, se si trovano ad utilizzare la tua connessione, lo fanno come se fossero ospiti in casa tua, cioe' con criterio, rispetto ed educazione.
E' una questione anche di rispetto reciproco.
Che nella maggior parte dei casi si rivela piu' che esistente (vedi quando, ai vari BarCamp, lasciamo tutti senza problemi i nostri portatili in giro, assolutamente incustoditi, e mai nulla e' sparito).

Ovviamente, noi italiani un discorso del genere non possiamo farlo.
Abbiamo una bellissima legge che, tagliando la testa al toro, rende di fatto illegale la condivisione di una rete Wireless aperta, pertanto vi rendono perseguibili se lasciate la vostra rete aperta, a meno che la rete in questione non sia FON, che finalmente viene accettata come rete aperta condivisa in modo legale anche sull'italico suolo.

Giusto giusto installato il software in questione (phpMyAdmin) per un cliente.
E meno male che gli ho infilato una 2.11.0-rc1, che mi mette al riparo da queste vulnerabilita'.
Il problema risiede in come il programma tratta l'input fornito dall'utente (nella query-string dell'URL fondamentalmente, se non ho capito male), e potete leggerne i dettagli sul sito di chi l'ha scovato.
Considerata l'applicazione, e' comunque consigliabile effettuarne installazioni protette da password, e ovviamente non fare accedere chiunque.
Quindi, se vi fidate degli utenti che hanno accesso ai database, il problema e', secondo me, di gravita' non altissima, ma e' comunque sempre buona cosa fare un aggiornamento dell'applicazione all'ultima versione.

[via SecurityFocus]

A parte che il conto con la Banca di Roma non ce l'ho (ne ho due ma nessuno e' con loro), penso che questa sera il filtro anti-spam e anti-phishing di Gmail abbia fatto cilecca.
Non solo perche', appunto, il conto li' non ce l'ho, ma anche e soprattutto per il contenuto (pregevole!) della mail, che merita di essere copiato, incollato e commentato:

Caro cliente ,
Che poi, volendo, se mi conosceste davvero, io avrei un nome e cognome, e sono anche piuttosto pubblici...

Eseguiamo attualmente la manutenzione regolare delle nostre misure di sicurezza. Il suo conto stato scelto a caso per questa manutenzione, e lei sar adesso portato attraverso una serie di pagine di verifica di identit.
Le accentate le diamo per disperse, il "lei sara' adesso portato" zoppica ma forse puo' ancora reggere...

Per eseguire la manutenzione regolare per favore scatto qui
"Scatto"?!?
E che e'?
Click non si dice piu'?

Proteggere la sicurezza del suo Primo conto bancario di Scambio il nostro interesse primario, e chiediamo scusa per qualunque inconvenienza che questo pu causare
Non ce l'ho proprio il conto li', spiacente.
E poi che significa "Primo conto bancario di Scambio"?

Per favore nota:
Chi ti ha autorizzato a darmi del tu a meta' della mail?

Se facciamo no riceve la verifica di conto appropriata entro 24 ore, poi presumeremo che questo conto fraudolento e sar sospeso. Lo scopo di questa verifica assicurare che il suo conto non stato fraudolentamente usato e combattere la frode dalla nostra comunit.
Ecco, questa frase (la prima) non ha senso.
Mi spiace, ma l'ho letta TRE volte, e al massimo ho rischiato di star male dal ridere.

2007 . Tutti i diritti hanno riservato.
Il traduttore automatico scazza di brutto anche la dicitura del copyright (che, a questo punto, era meglio lasciarla in inglese...)

Considerazioni a Margine
Non so se voglio credere che qualcuno su quel "Scatto qui" abbia davvero clickato.
Anzi, so che NON ci voglio credere.
Pero' in realta' so anche che qualche fesso (non c'e' altro modo di definirlo) e' in grado di scambiare una simile oscenita' per una mail legittima.

Proprio in questi giorni cade il venticinquesimo compleanno dei Virus Informatici.
Come si legge in questo articolo, il primo virus e' stato scritto da tal Richard Skrenta, possessore di un Apple II, e si chiamava "Elk Cloner".
E quindi trattavasi di virus per Mac.
Si copiava di floppy in floppy e ogni tanto se ne usciva con un messaggio di codesto genere:

Elk Cloner: The program with a personality

It will stick to you like glue
It will modify RAM too
Send in the Cloner!

E se il primo virus fu per Mac, oggi la storia e' diversa, essendo la stragrande maggioranza di virus per Windows.
Ma anche questo, continuando a leggere l'articolo, ha una spiegazione.

[via digg]

Una questione che torna ciclicamente alla ribalta (e che ovviamente ciclicamente mi trovo a ripostare) riguarda la sicurezza informatica.
Quali sono le vere falle dei sistemi, specie quelli di autenticazione?
Si puo' pensare ai Firewall, alle applicazioni bacate, dare la colpa ai sistemisti (che tanto ogni tanto pare siano li' apposta per prendersi le colpe di tutto...), ma non e' cosi'.
Sembra infatti che, tanto per cambiare, la principale falla di sicurezza sia l'essere umano.
L'essere umano che si scrive la password da qualche parte (qualcuno ha detto "post-it sul monitor"? si, io ne ho visti).
L'essere umano che utilizza il nome del cane o del gatto come password (quando ne deve scegliere una che sia diversa dal nome utente).
L'essere umano che ci casca sempre, tra l'altro, se gli si applica un po' (basta poco) di sano "social engineering".

Come risolvere il problema?
Educando gli utenti, in primo luogo, spiegandogli cosa succede se utilizzano password deboli, e soprattutto sperare (pregare?) che questi capiscano.
Ma non e' facile (ci ho provato...)

[spunto di riflessione tratto da The Register]

Ok, dopo il lavoro sono decollata, di tutta fretta, per il security talk di AIPSI sponsorizzato da KrollOnTrack.
Sapevo che i tempi sarebbero stati tirati, e immaginavo che me ne sarei andata forse prima della fine, quasi sicuramente prima dell'aperitivo conclusivo (sulla cena scrivo o dopo o domattina)...

Fatto sta che il talk e' cominciato con 15 minuti abbondanti di ritardo (primo problema) e che (forse a causa dei nulli interventi del "pubblico in sala") alla fine e' stato fin troppo incentrato su KrollOnTrack.
E' vero che, volendo, si sarebbe anche potuti intervenire...
Ma che dire quando le esperienze dei "parlanti" sono tutte positive con KrollOnTrack?
Che dire quando non conosci competitor di KrollOnTrack?
Nulla.
Non avevo nulla da dire, se non che i loro prezzi sono molto competitivi, che ne vale la pena, e che se mai avro' bisogno di un servizio del genere li contattero'.
Nulla di piu', ma cose che comunque diceva gia' chi stava li' davanti con il
microfono in mano.

Non che il talk avesse un'aria troppo commerciale, ma nei 45 minuti che sono stata a sentire prima di decidere di passare da casa a cambiarmi e a depositare il Burgman ho sentito le stesse cose ripetute almeno due o tre volte.
Non esattamente una delusione, no, non intendo dire quello.
Solo che, forse, essendoci poca competizione e poca cultura (piu' che altro non ho mai avuto l'impellente necessita' di servirmi di un servizio di recupero dati, e comunque avrei scelto la KrollOnTrack in ogni caso), da dire c'e' ben poco.

E infatti sono uscita in netto anticipo, passando da casa per depositare lo scooter prima di andare alla PandeCena (di cui sto pubblicando adesso le foto).

Ho sempre detto che i titoli di The Register sono bellissimi, e questo non e' da meno:
Feeling left out? Get your PC infected today!
Per cercare di farla breve, pare che qualcuno si sia comprato degli AdWords per pubblicizzare un servizio quantomeno bizzarro, offrendo di infettare il computer dei "clienti" con del Malware.
L'effetto sembra sia stato degno di nota, con varie richieste di infezione (cioe', si intende volontarie...), anche da parte di persone abbastanza esperte di informatica e computer da non rischiare, normalmente, infezioni.

Il testo dell'annuncio, per i curiosi, era questo:
Drive-By Download Is your PC virus-free? Get it infected here!

[via The Register]

Lo segnala catepol via Twitter, e ovviamente corro a vedere.
A quanto pare la gente non ha ancora compreso appieno il significato del termine "pubblico", e ha la tendenza a memorizzare le cose sbagliate nei posti sbagliati.
Se infatti andate su Google Calendar e cercate, nei calendari pubblici, la combinazione "user password" potreste anche rimanerci male:

digg The Mac Observer Virus Windows Mac Os X

Ogni tanto in giro per il mare della Rete capita di incappare in qualcosa di cui si e', in passato, discusso.
Piu' e piu' volte.
Ed e' il caso di questo articolo, riportato da digg, che (tanto per cambiare) vuole far capire perche' Windows sia cosi' facile da attaccare per i Virus-Writer, mentre Mac Os X non lo sia.

Luca Graziano Spia e Non Farti Spiare FAG DigitalLifeStyle Sicurezza Privacy Recensioni Libri Manuali Manualistica

Ok, profonda delusione.
Ho comprato questo libro in fiera, a febbraio.
Il titolo mi incuriosiva e io per la sicurezza son quasi malata, quindi non potevo resistere alla tentazione e l'ho acchiappato all'edicola.
Eppure, gia' durante la lettura, ne sono rimasta decisamente delusa.
Vero che non e' un trattato di sicurezza informatica destinato ad amministratori di rete (senno' sarebbe ancora piu' grave), ma io sono dell'idea che un falso senso di sicurezza sia peggio della certezza di non essere al sicuro.
Quante persone infatti, avendo installato un programma antivirus, pensano che qualunque file dato per buono sia buono? Mentre magari e' solo l'antivirus a non essere aggiornato o il virus ad essere uscito 10 minuti prima...
Quindi, in un mondo dove la gente si sente al sicuro (con che coraggio?) solo perche' "Windows Xp ha il firewall integrato" (e poi non scaricano le patch ovviamente), ha senso presentare un libro dove l'aggiornamento del sistema e' presentato solo sotto forma di Service Pack?

Puntodivista Microsoft Windows Vista Installazione Internet Sicurezza

Sebbene possa essere una feature molto interessante, questa cosa mi preoccupa.
E sotto spiego anche il perche'.

Windows Vista BetaNews OSNews The Register PC World Bachi Patch Cursori Animati Microsoft

L'altra sera scrivevo relativamente al baco per Vista entrerebbe in un Loop Infinito grazie a Cursori Animati.
E tra ieri ed oggi in giro per il web ci sono stati aggiornamenti in materia.
Gli aggiornamenti in questione non sono di poco conto, perche' se da un lato la vulnerabilita' di cui sopra (anzi, di cui ieri) puo' far sorridere (diciamocelo, l'ennesimo Loop Infinito di Windows puo' davvero far ridere), dall'altro c'e' stato gia' (ovviamente) chi ha pensato all'exploit.
Ed appunto alcuni siti stanno gia' distribuendo il codice maligno (che, disgraziatamente, funziona anche tramite pagine HTML).
E se da un lato si leggono i soliti commenti (su BetaNews) per cui l'utente non dovrebbe disabilitare le features di sicurezza, in modo da non avere problemi, dall'altro si puo' obiettare che la disabilitazione di una feature di sicurezza non e' sempre cosi' dannosa, o per lo meno non dovrebbe esserlo.

Tagged Taggedmail Spam Gmail

Ok, un bel rientro a casa post-allenamenti questa sera...
Nel senso che la mia esimia Inbox mi ha riservato qualche sorpresina non esattamente di mio gradimento, nella forma di strani messaggi email (nella fattispecie tre messaggi) che mi segnalavano che due persone mi avevano "taggato".
La cosa mi ha un po' insospettita, un po' perche' la prima non la conosco neppure, non ho idea di chi diavolo sia, un po' perche' la seconda la conosco ma non la sento da una vita e mezza, e la mail era doppia (nessun servizio che si rispetti manda mail doppie).
Il link per annullare la sottoscrizione ha fatto accendere altri allarmi, dal momento che non mi ricordavo di essermi mai iscritta a quel coso.
Visitare il sito ha fugato ogni successivo dubbio: mai iscritta (non risulto nel loro database).
Quindi, com'e' che mi arrivano queste cose?

WordPress, Sicurezza, Hacker

Signori, quando tempo fa mollai WordPress non pensavo di aver agito con cotanta lungimiranza!
Invece oggi per ben due volte mi sono trovata a dire "ma che brava che sono stata a mollare quella piattaforma!".

Linux, Virus, Sicurezza

La cosa salta fuori periodicamente, dal momento che e' data come uno dei punti di forza di Linux rispetto a Windows (e nell'eterna guerra tra i due, c'e' da dire che le cose che si sentono sono alla fine sempre le stesse...).
Di cosa parlo?
Ma semplice, del fatto (riportato da NewsForge) che non servono antivirus su Linux.

Sicurezza, SSH, Autenticazione, RootPrompt, Linux, Sysadmin

RootPrompt e' un sito che consiglio a chiunque abbia necessita' di utilizzare a livello sistemistico macchine UNIX.
In mezzo alla marea di segnalazioni che ci si possono trovare, talvolta si trovano interessantissimi tutorial utilizzabili per il proprio ambiente lavorativo (almeno nel mio caso specifico), come questo link, che rimanda a questo articolo.
Ottimo tutorial per l'impostazione di un server SSH in modo che utilizzi solo autenticazione con chiave.

Google, Google Desktop, Watchfire, Sicurezza

Non so se sono io a portare una cerca sfiga, ma di Google Desktop avevo scritto pochi giorni fa...
E proprio ieri (ma che caso!) su SecurityFocus mi trovo a leggere questo.
Prima cosa, scaricare, stampare e dare una lettura veloce al White Paper...
Non proprio cortissimo, senza dubbio tecnico, senza dubbio anche abbastanza inquietante.

Firewall, O'Reilly, Cisco PIX, OpenBSD, Sicurezza

NewsForge pubblica oggi il link a questo interessante articolo scritto dalla O'Reilly.
Lo studio vuole fare un confronto da Firewall Hardware e Software, alla luce del fatto che un computer con Windows connesso ad Internet puo' essere violato in mirabolanti dodici minuti.

Sicurezza, Sigarette, Backdoor

Curioso articolo quello apparso oggi su The Register, secondo cui il divieto di fumare sul posto di lavoro potrebbe diventare una minaccia per la sicurezza (informatica, nello specifico) del luogo.
A prima vista, questa affermazione parrebbe una sonora cazzata, ma leggendo bene l'articolo si capisce che tanto cazzata non e'.
Infatti, da quando non si puo' piu' fumare all'interno dell'ufficio (sono in pochi ad avere un'area fumatori attrezzata), i lavoratori si arrangiano su balconi, scale antincendio, cortili, e chi piu' ne ha piu' ne metta (si, fa molto ghetto...).
E in alcuni posti (pare, almeno leggendo l'articolo di cui sopra) si ha la tendenza a lasciare le porte aperte per i poveri fumatori.
Ma non solo per loro.