Categories
Links

Un filastrocca sulla sicurezza – From Schneier comments

The Gashlycrumb Terrors

A is for anthrax, deadly and white.
B is for burglars who break in at night.
C is for cars that have minds of their own
and accelerate rapidly in a school zone.
D is for dynamite lit with a fuse.
E is for everything we have to lose.
F is for foreigners, different and strange.
G is for gangs and the crimes they arrange.
H is for hand lotion, more than three ounces;
let’s pray some brave agent soon sees it and pounces.
I is for implants (I’ll explain when you’re older).
J is for jokers who only grow bolder.
K is for kids who aren’t afraid
to play in the park or drink lemonade.
L is for lead in our toys and our food.
M is for Mom’s cavalier attitude.
N is for neighbors — you never can tell:
is that a book club or terrorist cell?
O is for ostrich, with head in the sand.
P is for plots to blow up Disneyland.
Q is for those who would question authorities.
R is for radical sects and minorities.
S is for satanists, who have been seen
to give children razor blades on Halloween.
T is for terrorists, by definition.
U is for uncensored acts of sedition.
V is for vigilance, our leaders’ tool
for keeping us safe, both at home and at school.
W is for warnings with colors and levels.
X is for xraying bags at all revels.
Y is for you! So don’t be a dope.
Z is for zero tolerance, our finest hope.

Via Schneier on Security Comments

Categories
Sicurezza Video

Eve Ensler on Security @ TED 2005

Da vedere assolutamente

Categories
Politica

Strumenti e tecniche anti stupro

Alessandro Bottoni, mio carissimo amico, ha scritto un post molto interessante su alcuni strumenti e tecniche antistupro. A dire il vero tali consigli possono essere applicati a qualsiasi situazione di pericolo.

Mi trova perfettamente d’accordo quando scrive:

Francamente, tutte le leggi antistupro di cui ho sentito parlare negli ultimi quarant’anni anni hanno la stessa credibilità di una legge che vieti alla grandine di scendere sui frutteti.

Ho trovato molto interessante la riflessione finale riguardo gli spray al peperoncino:

Quando questi aggeggi cominceranno a venire usati dagli stupratori, come avviene da sempre in USA, potrete ringraziare la Lega Nord che con un suo emendamento al “Piano Sicurezza” ha voluto liberalizzare la vendita di questi oggetti.

Inoltre il messaggio che emerge durante tutto il post è molto chiaro: inasprire le pene non elimina il problema fino a quando non viene fatta una vera operazione di controllo e assistenza da parte dello stato attraverso persone e mezzi qualificati e disponibili.
Chi decidesse di provvedere autonomamente alla propria difesa attraverso qualunque strumento di difesa (armi da fuoco, spray, coltelli) deve mettere in conto un serio addestramento all’uso dei medesimi e alla gestione di una situazione di pericolo perchè questi oggetti sono pericolosissimi se non si è adeguatamente addestrati.

Io mi trovo particolarmente d’accordo e vi consiglio la lettura integrale del suo post.

Categories
Amici Humor

Gli ultimi saranno i primi

plane
Image by myjavamania on

Nonostante il mio volo per Lamezia Terme fosse in partenza alle ore 15.40, ho deciso di arrivare in anticipo all’aeroporto di almeno un paio di ore, durante le quali ho potuto:

  • Lasciare il telefonino nella macchina del mio amico, non sul sedile dove lui se ne poteva accorgere subito, ma da qualche parte sul tappetino dove chiaramente non se ne sarebbe accorto mai
  • Accorgermi di aver dimenticato il telefono nella macchina e iniziare a correre nervosamente su e giù per l’aeroporto come una gallina senza testa.
  • Ricomporre il mio decoro e cercare una soluzione
  • Ricordare che all’università usavo incidere il numero di telefono del mio miglior amico sui banchi e nei cessi, cosicché a distanza di anni me lo sarei ricordato a memoria se ne avessi avuto bisogno (questa è la motivazione ufficiale…)
  • Implorare ad una serie sconosciuti di poter scroccare loro una telefonata per raggiungere il mio amico
  • Essere evitato peggio dei punkabbestia di via Zamboni da tutti coloro a cui chiedevo una talefonata
  • Trovare l’unico telefono a monete funzionante in tutto l’aeroporto
  • Chiamare il mio amico e farlo tornare indietro
  • Recuperare il telefono
  • Fare una fila lunghissima per il check-in dato che ero l’ultimo
  • Farmi sgridare al varco di sicurezza perchè non avevo estratto il portatile dalla borsa prima di infilarlo nel forno a microonde
  • Arrivare al gate sudato come Stive Ballmer alla convention degli sviluppatori Microsoft e salire allegramente sul pulmino per ultimo
  • Quindi di conseguenza salire sull’aereo per primo, dato che il pulmino non aveva le doppie porte e usava un protocollo LIFO per immagazzinare i viaggiatori.
Categories
Flash Geek Lavoro News Sicurezza

Message in a bottle

sms
Picture by ttaanngg on DeviantArt

A quanto pare l’autenticazione tramite SMS è valida per dare accesso a reti Wi-Fi.

GO PEELOO GO!!!

Categories
Filosofia FrontPost Geek Lavoro Sicurezza Video

eTourCamp – Turista connesso, turista felice


Direttamente dal blog di Luca Mascaro.

Categories
FrontPost Geek Lavoro Sicurezza

Hotspot wi-fi e software libero – parte 1

WiFi
Picture by jackaprini on Flickr

Ripropongo in questa sede, i concetti che ho avuto il piacere di esprimere durante il RomagnaCamp, parlando su un palco esterno assolato senza slide ma con tante persone ad ascoltarmi. Grazie a tutti coloro che c’erano e che mi hanno prestato attenzione.

Definire il contesto

Partiamo dall’esigenza di un ristoratore che voglia offrire connettività ai propri clienti, sia dietro compenso, sia in forma gratuita.

I problemi di un hotspot Wi-Fi

I problemi che si pongono all’esercente che voglia offrire questo genere di servizio, sono sostanzialmente due. Il primo di carattere tecnico, il secondo di carattere giuridico. La questione tecnica si preoccupa di connettere i clienti alla rete, la questione giuridica ci impone di farlo secondo le attuali norme vigenti. L’intreccio di questi due problemi configura la soluzione che ho elaborato e che al RomagnaCamp ha visto la sua prima applicazione pratica. Proprio perchè il problema di natura giuridica coinvolge anche la soluzione tecnica che andremo ad applicare, sarà il primo ad essere analizzato.

Il problema giuridico

Il legislatore ci mette di fronte ad un precetto: identificare con sicurezza tutti coloro che accedono alla nostra infrastruttura e che la utilizzano per accedere a Internet. Non ho la minima intenzione, in questa sede, di affrontare la questione etica e morale di una scelta così importante da parte della giurisprudenza italiana, pertanto mi interesserò soltanto dello stato di fatto e non di cosa io reputo “giusto”, “sbagliato” secondo le mie idee. In questo contesto “giusto” significa “non contrario al diritto”.

La profilazione degli utenti è stata introdotta dal decreto Pisanu e successivamente convertita in legge. Prevede l’attività imperativa di raccogliere le informazioni identificative di coloro che fruiranno del servizio di hotspot. Si devono raccogliere: nome, cognome, data e luogo di nascita, tipo e numero del documento di identità e una copia del medesimo. Successivamente si dovrà essere in grado di fornire un tabulato degli accessi alla rete in cui siano chiari data e ora dell’accesso e la relativa identità. Non si fa obbligo di tenere traccia delle comunicazioni svolte dagli utenti sulla rete. Oltre a non essere obbligatorio, l’attività di registrazione delle comunicazioni, in questo contesto, è severamente vietato. Si fa obbligo, inoltre, di conservare questi dati per un tempo sufficientemente lungo per consentire all’autorità giudiziaria di farne accesso in caso di indagini.

Questo trattamento di dati, pone origine ad un altro problema di ordine giuridico. Il codice per la protezione dei dati personali impone a qualunque privato, titolare di un trattamento di dati personali, una serie di regole alle quali attenersi, che talvolta possono diventare onerose in termini di tempo e di soldi. Nel caso in cui i dati trattati siano sensibili divengono necessari comportamenti piuttosto difficoltosi per chi aveva deciso di offrire un servizio ai propri clienti, fiducioso del fatto che si trattasse solamente di collegare un access point al proprio router.

I documenti di identità rivelano con certezza istituzionale una serie di informazioni sull’interessato che rientrano appunto della categoria dei dati sensibili: etnia, cittadinanza, segni particolari. A voler essere puntigliosi, anche la foto nel documento può rivelare informazioni sensibili come il colore della pelle o cicatrici, per esempio.

Come risolvere questi due problemi piuttosto spinosi

In sostanza si deve riuscire a fare una copia del documento d’identità e a conservarla senza configurare un trattamento di dati sensibili. Il sistema che ho realizzato si basa sul rendere il cliente responsabile “de facto” del proprio trattamento e nel rendere il fornitore di servizio un semplice controllore del processo di registrazione. Il flusso di registrazione e di accesso è il seguente:

  • il cliente richiede accesso alla rete wifi
  • il fornitore consente l’accesso visionando il documento ed accertandosi dell’identità del cliente
  • il cliente pone il proprio documento su uno scanner ad alta risoluzione
  • il cliente preme il tasto per avviare la scansione
  • il sistema stampa un foglio su cui ci sono username, password, copia del documento (per verificare che non siano stati usati trucchi nel porre il documento sullo scanner) ed informativa riguardo il trattamento dei dati personali
  • il fornitore controlla che la copia del documento sia leggibile
  • il cliente ritira il foglio appena stampato
  • il cliente utilizza la rete mediante login e password ricevute

Questo flusso limita enormemente i problemi perchè mantiene i dati personali e sensibili fuori dalla portata del fornitore che di fatto non esercita un trattamento pericoloso per l’integrità e la riservatezza. Si fa notare come il fornitore non mantenga copia cartacea del documento d’indentità del cliente, ma mantenga solo una scansione ad alta risoluzione all’interno del sistema informatico. Tale base dati viene conservata codificata come la legge prevede.

La soluzione tecnica

Si è realizato un sistema di autenticazione basato su GNU/Linux. Tutte le operazioni illustrate nel flusso vengono svolte automaticamente e nella loro completezza. Nei prossimi post spiegherò dettagliatamente la struttura tecnica del sistema di autenticazione.

Categories
Eventi Lavoro RavennaLUG Sicurezza

Phishing e altre insidie della rete

phishing
Picture by edizkirman on DeviantArt

Martedi 28 Agosto 2007 alle ore 21, presso Hotel Columbia a Marina Romea terrò una presentazione dal titolo:

Phishing e altre insidie della rete

Hotel Columbia
Viale Italia 70
Marina Romea (RA)

Categories
Filosofia FrontPost Politica Sicurezza

Solo un paio di bicchieri…

biccchieri
Picture by photodan88 on DeviantArt

Te ne stai in fila al gate dell’aeroporto e davanti a te passano il pilota e l’equipaggio del tuo volo.
Sono molto allegri e piuttosto rumorosi. Ma dai, non preoccuparti, hanno bevuto solo un paio di bicchieri a cena…

Una banale appendicite e finalmente riesci a farti quindici giorni di malattia. Te ne stai sul tuo letto in corsia e l’iniezione preanestesia inizia a fare effetto. Senti gli infermieri e lo staff medico che se la ridono di gusto. Ma non ti preoccupare hanno bevuto solo un paio di bicchieri a pranzo..

Curare una carie è sempre una rottura di scatole. Il rumore del trapano è proprio insopportabile. Il dentista oggi ha voglia di chiacchierare… forse per via di quel paio di bicchieri a pranzo…

Il bagnino se ne sta sulla sua torretta in spiaggia e controlla che tuo figlio non corra rischi mentre fa il bagno. Oggi è proprio contento di stare al sole, ci volevano proprio quel paio di bicchieri a pranzo…

Maledetta sfortuna, ti hanno ritirato la patente!!! Non hanno voluto sentire ragioni, tu che guidi da una vita, che non hai mai preso una multa, che stavi benissimo, che rispetti sempre la precedenza, che avevi bevuto solo un paio bicchieri…

Categories
Amici FrontPost Lavoro News Sicurezza

Caso di phishing via MSN

phishing
Picture by Aymstar on DeviantArt

Ho già parlato del phishing e di come funziona.

Qualche giorno fa ho ricevuto un messaggio, tramite MSN, da parte di un mio amico. Il messaggio, in italiano recitava:

“Guarda questo per scoprire se ti hanno eliminato dal MSN: http://www.messenger-list.biz”

Incuriosito da questo messaggio inusuale, sono andato a verificare il sito che mi veniva suggerito e ho capito subito che c’era qualcosa di strano. I dati che mi venivano richiesti erano il nome utente e la password di accesso al servizio MSN. Ho subito capito quello che era
successo e una telefonata al mio amico ha confermato i miei sospetti.

Ecco, in sintesi, l’accaduto. Il mio amico aveva ricevuto qualche giorno prima lo stesso tipo di messaggio da uno dei suoi contatti e fidandosi del suggerimento a provare il servizio offerto dal sito incriminato aveva comunicato il proprio account e la propria password.

Ovviamente il sito aveva memorizzato queste informazioni, prendendo di fatto possesso dell’account del mio amico. Dopo qualche giorno aveva utilizzato queste informazioni per spedire lo stesso messaggio di invito a tutta la rubrica. In questo modo, sfruttando la naturale propensione umana a fidarsi dei suggerimenti dei propri amici, entrava in possesso
di decine e decine di account MSN.

La finalità è ovvia, attraverso MSN si scambiano molte informazioni confidenziali e controllare un canale comunicativo largamente utilizzato è l’obiettivo più ambito di chiunque abbia intenzioni poco lecite. Il controllo dell’informazione è alla base di qualsiasi truffa online.

Il consiglio che ho dato al mio amico, pochi minuti dopo aver capito quello che era successo è lo stesso che mi sento di suggerire a tutti colo che hanno il dubbio di essere finiti in questo genere di insidie. Cambiare le password coinvolte in situazioni poco chiare o che ci creano
dei dubbi, fidarsi dei propri amici ma tenere sempre gli occhi aperti e nel dubbio, utilizzare canali alternativi per raggiungerli per esempio il telefono. Non fornire mai le proprie credenziali identificative a servizi che non conosciamo bene e nel dubbio chiedere consiglio a
qualcuno più esperto di noi.