Claudio Telmon english version

ICT Security Consultant

Informazioni Link Documenti

claudioATtelmon.org

Il commento di oggi

Aggiornato il 12/11/2005

ATTENZIONE!
Nel novembre 2005 nasce Next Hop S.r.l.  Il mio impegno in Next Hop non mi permetterà almeno per un certo tempo di aggiornare ulteriormente questo sito

Commenti precedenti


Il link di oggi

Aggiornato il 12/11/2005

Si dice che nella Societá dell'Informazione l'informazione abbia un grande valore. La mia impressione è che l'informazione sia sempre più di dominio pubblico, e che quello che vale sia saperla trovare e saperla usare.

In questo spazio metto dei link commentati che mi sembrano particolarmente significativi per chi lavora nel campo della sicurezza.

Associazione Italiana Professionisti della Sicurezza Informatica


Novità

In questo spazio metto informazioni più estemporanee e quindi anche meno verificate.

È uscita la seconda edizione di Sicurezza Informatica, edito da Mc Graw Hill

11/11/2005 Nasce Next Hop S.r.l., società di consulenza su reti e sicurezza di cui sono uno dei fondatori. Il mio impegno in Next Hop non mi permetterà almeno per un certo tempo di aggiornare ulteriormente questo sito.
17/06/2005 ISO ha pubblicato una versione rivista dello standard ISO/IEC 17799. In autunno sembra che sarà pubblicata anche una versione aggiornata del BS7799-2 come ISO/IEC 27001. Sembra si vada verso un'armonizzazione con standard come l'ISO 9001 e l'ISO 14001.
01/06/2005 ISCOM ha pubblicato le sue Linee Guida sulla sicurezza delle reti. È un bel malloppone, ci sarà certamente occasione per parlarne. In generale queste linee guida mi creano una perplessità; non sono norme, e il disclaimer dice: "Le opinioni e le considerazioni espresse in questo volume, nonché le proposte avanzate, sono da considerarsi personali dei singoli partecipanti...." eccetera. Dobbiamo davvero prenderla semplicemente come pubblicazione di opinioni personali?
27/05/2005 Sembra che Microsoft ci riprovi: voci insistenti continuano a parlare di un prodotto antivirus di Microsoft. I produttori di antivirus non sembrano preoccupati. Per inciso, Microsoft aveva già provato con l'MS-DOS 6.0. Il risultato era decisamente scadente: a parte la mancanza di aggiornamenti,  in poco tempo i realizzatori di virus avevano imparato come disabilitarlo. Molto interessante questo commento.
12/05/2005 Il quizzettino di Microsoft sulla sicurezza fa una fine ingloriosa; meno male, e almeno ci fa fare due risate.
16/02/2005 A quanto pare SHA-1 è stato rotto. A questo punto i nodi cominciano a venire al pettine, ovvero la scarsa scelta di algoritmi di hashing diponibili. Ci si può chiedere: se la firma digitale fosse stata già diffusa, quali conseguenze avrebbe avuto questo evento? Con le vulnerabilità di MD5 in molti si sono subito affrettati a dire che non ci sono problemi, perché MD5 non è ammissibile come firma digitale... come "firma digitale in Italia", si intende, non come firma elettronica in Europa.  E naturalmente, c'è differenza fra generare collisioni e generare collisioni con una struttura precisa. Il problema tuttavia non è questo o quell'algoritmo, perché di ogni algoritmo può essere scoperta una qualche grave vulnerabilità in un qualsiasi momento, e per la dimostrazione non è il caso di aspettare che qualcuno trovi una vulnerabilità che permette di generare documenti "simili" all'originale, perché a quel punto ci sarebbe poco rimedio. Il problema è, in questo come in troppi aspetti della sicurezza, la mancanza di ridondanza e di fault tolerance. Ad esempio, se ogni firma dovesse essere realizzata con due algoritmi di hash appartenenti a famiglie abbastanza diverse, questi eventi si potrebbero superare senza grosse difficoltà, e la complessità del software cambierebbe di poco. Posto naturalmente di avere un'evoluzione continua anche degli algoritmi di hash, in modo da avere alternative in caso di difficoltà.

Socio CLUSIT

Sito CLUSIT

p. IVA 01367450507