ICT
Security Consultant
Informazioni | Link | Documenti |
Il commento di oggiAggiornato il 12/11/2005 ATTENZIONE!Nel novembre 2005 nasce Next Hop S.r.l. Il mio impegno in Next Hop non mi permetterà almeno per un certo tempo di aggiornare ulteriormente questo sito |
|
Il link di oggiAggiornato il 12/11/2005 Si dice che nella Societá dell'Informazione l'informazione abbia un grande valore. La mia impressione è che l'informazione sia sempre più di dominio pubblico, e che quello che vale sia saperla trovare e saperla usare. In questo spazio metto dei link commentati che mi sembrano particolarmente significativi per chi lavora nel campo della sicurezza. Associazione Italiana Professionisti della Sicurezza Informatica
|
NovitàIn questo spazio metto informazioni più estemporanee e quindi anche meno verificate. È uscita la seconda edizione di Sicurezza Informatica, edito da Mc Graw Hill 11/11/2005
Nasce Next Hop S.r.l., società di consulenza su reti e sicurezza
di cui sono uno dei fondatori. Il mio impegno in Next Hop non mi
permetterà almeno per un certo tempo di aggiornare ulteriormente
questo sito.
17/06/2005 ISO ha pubblicato una versione rivista dello standard ISO/IEC 17799. In autunno sembra che sarà pubblicata anche una versione aggiornata del BS7799-2 come ISO/IEC 27001. Sembra si vada verso un'armonizzazione con standard come l'ISO 9001 e l'ISO 14001. 01/06/2005 ISCOM ha pubblicato le sue Linee Guida sulla sicurezza delle reti. È un bel malloppone, ci sarà certamente occasione per parlarne. In generale queste linee guida mi creano una perplessità; non sono norme, e il disclaimer dice: "Le opinioni e le considerazioni espresse in questo volume, nonché le proposte avanzate, sono da considerarsi personali dei singoli partecipanti...." eccetera. Dobbiamo davvero prenderla semplicemente come pubblicazione di opinioni personali? 27/05/2005 Sembra che Microsoft ci riprovi: voci insistenti continuano a parlare di un prodotto antivirus di Microsoft. I produttori di antivirus non sembrano preoccupati. Per inciso, Microsoft aveva già provato con l'MS-DOS 6.0. Il risultato era decisamente scadente: a parte la mancanza di aggiornamenti, in poco tempo i realizzatori di virus avevano imparato come disabilitarlo. Molto interessante questo commento. 12/05/2005 Il quizzettino di Microsoft sulla sicurezza fa una fine ingloriosa; meno male, e almeno ci fa fare due risate. 16/02/2005 A quanto pare SHA-1 è stato rotto. A questo punto i nodi cominciano a venire al pettine, ovvero la scarsa scelta di algoritmi di hashing diponibili. Ci si può chiedere: se la firma digitale fosse stata già diffusa, quali conseguenze avrebbe avuto questo evento? Con le vulnerabilità di MD5 in molti si sono subito affrettati a dire che non ci sono problemi, perché MD5 non è ammissibile come firma digitale... come "firma digitale in Italia", si intende, non come firma elettronica in Europa. E naturalmente, c'è differenza fra generare collisioni e generare collisioni con una struttura precisa. Il problema tuttavia non è questo o quell'algoritmo, perché di ogni algoritmo può essere scoperta una qualche grave vulnerabilità in un qualsiasi momento, e per la dimostrazione non è il caso di aspettare che qualcuno trovi una vulnerabilità che permette di generare documenti "simili" all'originale, perché a quel punto ci sarebbe poco rimedio. Il problema è, in questo come in troppi aspetti della sicurezza, la mancanza di ridondanza e di fault tolerance. Ad esempio, se ogni firma dovesse essere realizzata con due algoritmi di hash appartenenti a famiglie abbastanza diverse, questi eventi si potrebbero superare senza grosse difficoltà, e la complessità del software cambierebbe di poco. Posto naturalmente di avere un'evoluzione continua anche degli algoritmi di hash, in modo da avere alternative in caso di difficoltà. |
Socio
CLUSIT
p. IVA 01367450507