venerdì 31 gennaio 2014

Phishing alla CNN

Questo caso mi sembra interessante da analizzare (dal SANS NewsBites):
-
http://www.darkreading.com/attacks-breaches/report-phishing-attacks-enabled-
sea-to-c/240165675


In sintesi:
- le spie siriane (SEA) hanno inviato messaggi di phishing ben fatti al
personale CNN;
- una persona di CNN ha creduto al messaggio e si è connessa con la propria
user-id e password ad un sito fasullo;
- quelli della SEA hanno quindi usato il suo account per inviare tweet e
post sul blog della CNN;
- la SEA ha usato il suo account anche per inviare altri messaggi di
phishing; 5 nuove persone ci hanno creduto e hanno fornito le proprie
credenziali al sito fasullo della SEA.

lunedì 27 gennaio 2014

ISO/IEC 27000:2014

E' stata pubblicata la ISO/IEC 27000:2014 dal titolo "Information security
management systems — Overview and vocabulary". In poche parole, si tratta
delle definizioni delle norme della famiglia ISO/IEC 27000.

La norma è disponibile gratuitamente dall'URL:
- http://standards.iso.org/ittf/PubliclyAvailableStandards/

Sono anche disponibili le versioni del 2009 e del 2012, ma, ovviamente, sono superate.

NIST SP 800-53 rev 4.1

Il NIST ha annuciato la pubblicazione della rev 4.1 della Special
Publication 800-53 dal titolo "Security and Privacy Controls for Federal
Information Systems and Organizations".

Si tratta di un bel malloppone di 460 pagine; le prime 157 sono di
introduzione, mentre le restanti riportano il catalogo di misure di
sicurezza.

Interessante è la messa a disposizione di un file xml delle 4.124 misure di
sicurezza, che può quindi essere utilizzato per check list o altro.
Certamente, 4.124 misure sono tante!

Il link:
- http://csrc.nist.gov/publications/PubsSPs.html#800-53

venerdì 24 gennaio 2014

Creative Commons 4.0

Le Creative Commons sono licenze per chi desidera condividere i propri
lavori con "alcuni diritti riservati". Per saperne di più:
- http://www.creativecommons.it/

A novembre 2013 sono state aggiornate alla versione 4.0. Potete trovare le
novità sia sul sito italiano appena citato, sia qui:
- http://creativecommons.org/Version4

Ahimè... dovrò cambiare blog, sito e newsletter...

Le 25 peggiori password del 2013

Da gruppo Italian Security Professional di LinkedIn rilancio la notizia
della pubblicazione del rapporto "Worst Passwords of 2013".

Il rapporto originale è qui, con una brevissima descrizione del metodo
utilizzato:
- http://splashdata.com/press/worstpasswords2013.htm

La traduzione in italiano, con una comparazione dettagliata della lista del
2012 con quella del 2013:
- http://www.techeconomy.it/2014/01/22/le-peggiori-password-del-2013-e-come-scegliere-quella-giusta/

giovedì 23 gennaio 2014

Direttiva e-commerce

La Direttiva Europea 2011/83 sui sui diritti dei consumatori è stata
recepita dal'Italia con Decreto Legislativo del 3 dicembre 2013. Purtroppo,
questo D. Lgs. non è stato ancora pubblicato in Gazzetta Ufficiale.

Esso è importante perché modifica il Codice del Consumo (Decreto Legislativo
206/2005) soprattutto nelle parti relative ai contratti a distanza ossia, se
vogliamo usare l'inglese, all'e-commerce.

Appena ne avrò la notizia, provvederò a segnalare i riferimenti esatti del
Decreto. Per intanto, segnalo l'interessante articolo di Filodiritto, in cui
sono sintetizzate le novità (piuttosto impegnative per i venditori):
-
http://www.filodiritto.com/governo-recepimento-direttiva-e-commerce-maggiori
-tutele-per-i-consumatori-che-acquistano-online/


Attenzione che, secondo le ultime notizie, le nuove disposizioni entreranno
in vigore dal 13 giugno 2014.

5 metodi per costruire una cultura di sicurezza

Segnalo questo interessante articolo dal titolo "5 Solid Ways to Build
Security Culture in Your Organization (That You Probably Never Heard Of)":
-
http://infosecisland.com/blogview/23577-5-Solid-Ways-to-Build-Security-Cultu
re-in-Your-Organization-That-You-Probably-Never-Heard-Of.html


I metodi sono i seguenti:
- insegnare alle persone a non dire NO,
- lasciar perdere i messaggi paranoici e sulle minacce,
- perseguire la felicità,
- discoraggiare la socializzazione,
- incoraggiare le camminate.

Come si vede dai titoli, sono argomenti nuovi e non abusati. Vale la pena
approfondirli, anche per discuterne.

mercoledì 22 gennaio 2014

sabato 18 gennaio 2014

E-book "Grazie mr. Snowden"

Giusto giusto il mese scorso avevo detto che non mi sono occupato di
Snowden, NSA, PRISM e compagnia.

Continuerò a non farlo, ma Sandro Sanna mi ha segnalato questo e-book
gratuito indirizzato a chi avesse perso qualche puntata della saga:
-
http://messaggeroveneto.gelocal.it/cronaca/2014/01/17/news/grazie-mr-snowden
-scarica-gratis-l-e-book-di-fabio-chiusi-1.8486390

mercoledì 15 gennaio 2014

Microsoft Security Intelligence Report 15

Dal gruppo infotechlegale.it di LinkedIn vedo che Microsoft ha pubblicato il
suo "Microsoft Security Intelligence Report", relativo al periodo
gennaio-giugno 2013.

Come molti altri report, presenta molti esempi e casi registrati da
Microsoft, con indicazioni su come sono stati trattati:
- http://www.microsoft.com/security/sir/default.aspx

martedì 14 gennaio 2014

Annex SL o Annex JC o MSS HLS?

Come già detto altrove, la ISO ha promosso uno schema unico per scrivere gli
standard relativi ai sistemi di gestione.

Al momento, sono stati pubblicati sei standard aderenti allo schema unico:
ISO 30301, ISO 22301, ISO 20121, ISO 39001, ISO 14298 e ISO 27001. Nove
standard sono in fase di redazione e aderenti allo schema: ISO 9001, ISO
14001, ISO 18420, ISO 19228, ISO 19600, ISO 21101, ISO 34001, ISO 37101, ISO
55001).

Lo schema unico ha un titolo: "High level structure, identical core text,
common terms and core definitions" ed è parte dell'Annex SL delle "ISO/IEC
Directives, Part 1 - Consolidated ISO Supplement — Procedures specific to
ISO".

L'ISO/IEC ha emesso le nuove direttive del 2014 specifiche per il JTC 1 (quelle appena ricordate sono specifiche per ISO), comitato a cui fanno riferimento le attività congiunte ISO e IEC, incluse quelle dedicate alla ISO/IEC 27001. Anche in queste direttive è riportata la "High level structure, identical core text, common terms and core definitions", ma nell'Annex JC!.

Ottimo... da oggi lo chiamerò, come fanno in molti, MSS HLS (Management
system standards - High level structure)

sabato 4 gennaio 2014

Le backdoor dell'NSA

Dal gruppo Italian security professional di LinkedIn segnalo questi due
articoli del Der Spiegel:
-
http://www.spiegel.de/international/world/the-nsa-uses-powerful-toolbox-in-e
ffort-to-spy-on-global-networks-a-940969.html

-
http://www.spiegel.de/international/world/catalog-reveals-nsa-has-back-doors
-for-numerous-devices-a-940994.html


In pochissime parole, sembra che l'NSA disponesse di un gruppo (TAO), che a
sua volta utilizzava le tecnologie messe a disposizione dal gruppo ANT, per
compromettere qualsiasi tipo di dispositivo. In particolare, sembra che
l'ANT avesse pubblicato un catalogo in cui apparivano più o meno tutte le
marche dei prodotti di gestione delle reti informatiche.

Da una parte è certamente inquietante che i servizi di spionaggio degli USA
possano accedere a qualsiasi tipo di dispositivo e intercettare quasi ogni
comunicazione (ma quando guardiamo certi telefilm come Person of Interest ne
siamo affascinati!). Io confesso di essere più turbato dal fatto che se lo
possono fare gli USA, lo possono fare anche gli altri.

Per i fan del genere, anche le linee intercontinentali di comunicazione
erano spiate:
-
http://www.repubblica.it/tecnologia/2013/12/30/news/datagate_nsa_cavo_sottom
arino_piratato-74789471/

Attacchi DDoS via NTP

SANS NewsBites riporta la notizia dell'aumento di attacchi DDoS basati su
una vulnerabilità del Network Time Protocol (NTP):
-
http://www.darkreading.com/attacks-breaches/attackers-wage-network-time-prot
ocol-bas/240165063

- https://isc.sans.edu/forums/diary/NTP+reflection+attack/17300

Il problema del NTP è che spesso viene configurato dagli sviluppatori e
dagli amministratori di rete e poi dimenticato. Quindi, le vulnerabilità
sono ignorate da produttori e utilizzatori.

Questo ricorda la necessità di tenersi sempre aggiornati sui prodotti che si
usano.

Attacco a OpenSSL

La notizia di Capodanno, ricevuta dal SANS NewsBites, è l'attacco al sito di
OpenSSL:
-
http://arstechnica.com/security/2014/01/openssl-site-defacement-involving-hy
pervisor-hack-rattles-nerves/


La cosa interessante è il comunicato finale del 29 dicembre, in cui si dice
che l'attacco ha sfruttato una password debole utilizzata per l'accesso
all'hypervisor:
- http://www.openssl.org/news/secadv_hack.txt

Insomma: il solito caro vecchio errore nella gestione delle password!