Security by design, una dolorosa lesson learned

La notizia più importante sulla sicurezza informatica della scorsa settimana è quella relativa all’attacco contro Lastpass, il popolare (e consigliato da quasi tutti gli esperti del settore) password manager remoto.

lastpass security Continua a leggere

La falsa sensazione di sicurezza

Uno degli epiteti che gli esperti di sicurezza si sentono più dire è paranoico.

Paranoico perché “Che vuoi che succeda

  • … tanto abbiamo i firewall
  • … tanto abbiamo l’antivirus
  • … tanto non siamo imporanti
  • … tanto abbiamo fatto un corso ai dipendenti
  • … tanto abbiamo le guardie armate all’ingresso

Ecco, le guardie armate, mettiamole un attimo da parte.

Continua a leggere

Il valore del cybercrime

Spesso si parla di economia del cybercrime parlando del giro di soldi, effettivamente enorme, che c’è dietro l’attività della criminalità organizzata che costantemente inonda le caselle di posta di malware, phishing e schifezze di questo tipo.

Spesso però mancano i dati reali di quanto sia questo giro d’affari, e cosa c’è di più reale di un listino prezzi?

Grazie a Gianni, posso mostrare uno di questi prezziari, tra l’altro molto recente

black market price list

Continua a leggere

La sicurezza è un trade-off, anche in volo

scatola nera

Bureau d’Enquetes et d’Analyses, via Associated Press

Adoro la sicurezza aerea.

L’adoro perché la ritengo la massima espressione di metodologie e tecniche di sicurezza che l’umanità abbia (per ora) mai raggiunto.

Questo perché

  • lavora contro natura: volare è una delle poche cose che gli umani non possono fare, quindi farlo significa andare fondamentalmente contro la nostra natura,
  • salva realmente delle vite: se un aereo cade, muoiono tutti (non sempre,m ma chi vuole sfidare le probabilità?),
  • coinvolge tantissime persone: magari la sicurezza aerospaziale può essere migliore, ma di sicuro riguarda molte meno persone,
  • ha una capacità incredibile di trovare e applicare le lessons learned: gli investigatori di sicurezza aerea sono tra i migliori al mondo, sangue freddo, esperti reali e riconosciuti, e sempre mirati a trovare la causa del perché si è verificato un incidente,
  • è pragmatica: il focus è sempre risolvere il problema nel modo più rapido possibile, e trovare la soluzione migliore affinché l’incidente non si ripeta mai più,
  • ha conseguenze enormemente visibili: tutti odiano la sicurezza aeroportuale, no?

Ma, come tutte le metodologie di sicurezza nel mondo, implica sempre un trade-off.
Necessita sempre di trovare un equilibrio.

Continua a leggere

L’intelligence italiana usa FinFisher?

Torno a parlare dell’attività dei nostri servizi di intelligence, sempre in seguito a leak di informazioni.

L’altra volta si trattava della pubblicazione di indirizzi non proprio nascosti, ma nemmeno tanto pubblici, usati per ricercare fonti OSINT e poi divenuti OSINT loro stessi.

Stavolta si tratta di cose molto più serie, come seria è la fonte: Wikileaks.

Continua a leggere