Passa ai contenuti principali

Post

Visualizzazione dei post da Settembre, 2012

Tatanga aggira il chipTAN - Frodi bancarie in vista

La Trusteer ha pubblicato un articolo sul funzionamento di Tatanga (trojan) che dimostra come questa minaccia sia in grado di aggirare i token chipTan per frodare i conti online dei malcapitati, ad oggi quasi tutti Tedeschi. Tatanga controlla i dettagli utente, il numero del conto, la valuta corrente e i limiti di trasferimento, scegliendo con cura quale vittima di fatto garantisca il più alto trasferimento di denaro. Dopo di che inizia ad operare. Tecnicamente viene utilizzata un Web Inject per frodare l'utente facendo credere che la banca stia richiedendo un test chipTAN. Acquisite tutte le tuple necessarie si effettua il trasferimento. Niente di trascendentale , da un punto di vista tecnico è MITM con una spolveratina del sempre più comune Man In The Browser, mi tornano però alla mente due parole "Human Firewall".

Hack WhatsApp - Un'applicazione vulnerabile by design

Premetto, amo WhatsApp, adoro il fatto che permetta di trasferire messaggi e brevi informazioni ad un costo equo (cioè quasi gratuitamente) rompendo le logiche delle telco che lucrano paurosamente su SMS ed affini (lucravano spero).

Va ricordato, per la cronaca, che WhatsApp è un giocattolo capace di muovere 1 miliardo di messaggi al giorno, ma proprio per questa popolarità è giusto che, in quanto utenti, impariamo a porci alcune domande in merito alla sua affidabilità (questo vale anche per molte altre app a dire il vero).

La prima, da buon paranoico è: Ma quant'è sicuro? Quanto è preservata la riservatezza dei messaggi che girano su quest'app? Poco veramente poco.

Distinguiamo ora due scenari di utilizzo: 1) Rete cellulare 2) Rete wifi

Rete cellulare
E' sicuramente l'approccio più comune per coloro che sono in mobilità. Avrete già intuito che WhatsApp non sia sicura come applicazione. Partendo da quest'assunto (che andremo a sviscerare) possiamo affermare che la …

Matrici RACI - Matrice di responsabilità

Ne avete mai sentito parlare? Sapete cosa sono?
Semplice, sono uno strumento per organizzare il proprio lavoro (che siate manager o operativi non importa).

Spesso, soprattutto nelle piccole realtà, si ha il problema di organizzare e stabilire i ruoli operativi all'interno di una funzione aziendale (spesso la funzione aziendale copre tutta l'organizzazione).
Nelle medie realtà, forse, qualche impiegato ha sentito parlare di ISO 9001. Sfogliando le carte della certificazione si possono trovare questo genere di matrici, troppo spesso relegate a "must have" per i soli scopo della certificazione.

Lascio qui, per mia memoria, due appunti in merito alle matrici RACI che spero possano servire anche a qualcuno di voi.

Lo scopo di una matrice RACI è quello di individuare, soprattutto quando si lavora in team, chi è, o chi sono i referenti di un'attività.

RACI sta per:

Responsible: è il responsabile della realizzazione, cioè colui che esegue un'attività attraverso una res…

Donne e stereotipi

Milano - ore 21.30
Audi SW col muso sul marciapiedi che fa manovra. Cautelativamente mi fermo. 
La macchina retrocede invadendo in piena curva cieca entrambe le corsie. Capisco che sta parcheggiando. 
Esito ma faccio un passo. 
La macchina si allinea alla corsia e si accosta. 
Una donna con la voce della Littizzetto mi strilla: "Scusa! Ehi scusa! Ma secondo te la mia macchina ci sta?". Guardo i 7 metri di parcheggio desertico... "Vai tranquilla ci stai alla grande" ... Ride "eh infatti ci devo stare per forza"... mi allontano col rumore di una coppa dell'olio che si infrange sullo spigolo vivo del marciapiedi che resta, bontà sua, inamovibile.

Dunque vorresti diventare un security expert

Per prima cosa, c'è da capire che ci sono molte specializzazione nella computer security. Puoi essere un esperto nell'hardening dei sistemi, o nel creare software non violabili. Puoi essere un esperto nel trovare problemi di sicurezza nei software, o nelle reti. Puoi essere un esperto di virus, o nel redigere policy, o nella crittografia. Ci sono molte, molte opportunità per molte competenze diverse. Non devi essere uno sviluppatore per essere un esperto di sicurezza.

In generale, possiamo elencare tre azioni fondamentali da compiere per coloro che vogliono muovere i propri passi nella mondo della sicurezza: Studia. Lo studio può assumere molte forme. Può fare esercitazioni, seguire corsi universitari, oppure puoi partecipare a "delle" training conference come SANS o Offensive Security. (Ci sonoanchedegli ottimistarter kit). Può cimentarti in letture a tema, cisonotantiottimilibrisullasecurityingiro, o blog, focalizzati su differenti aspetti della computer security. In…