Obfuscated TCP è un interessante progetto di Adam Langley che propone delle modifiche al protocollo TCP in modo da avere comunicazioni cifrate e firmate:

Attualmente l’implementazione consiste in una serie di patch per il kernel di Linux e in una libreria.

Da leggere il draft con le specifiche (ecco l’abstract):

This document describes an extension to TCP [RFC0793] which permits a small, mostly constant data payload to be carried in the SYN+ACK frame of the 3-way handshake.  This new behaviour is enabled by an option in the SYN packet to ensure backwards compatibility.  We should how this has latency benefits, specifically for cryptographic applications.

e la pagina del wiki con le differenze tra Obfuscated TCP e le principali alternative (SSL, IPSec)

Interessante lettura sui costi del Content Protection di Microsoft Vista:

Windows Vista includes an extensive reworking of core OS elements in order to provide content protection for so-called “premium content”, typically HD data from Blu-Ray and HD-DVD sources. Providing this protection incurs considerable costs in terms of system performance, system stability, technical support overhead, and hardware and software cost. These issues affect not only users of Vista but the entire PC industry, since the effects of the protection measures extend to cover all hardware and software that will ever come into contact with Vista, even if it’s not used directly with Vista (for example hardware in a Macintosh computer or on a Linux server). This document analyses the cost involved in Vista’s content protection, and the collateral damage that this incurs throughout the computer industry.

Il testo completo di Peter Gutmann è all’indirizzo http://www.cs.auckland.ac.nz/~pgut001/pubs/vista_cost.html

HP e Microsoft hanno rilasciato due tool per l’analisi del codice alla ricerca di SQL injection

• HP Scrawlr: Scrawlr, developed by the HP Web Security Research Group in coordination with the MSRC, is short for SQL Injector and Crawler. Scrawlr will crawl a website while simultaneously analyzing the parameters of each individual web page for SQL Injection vulnerabilities. Scrawlr is lightning fast and uses our intelligent engine technology to dynamically craft SQL Injection attacks on the fly.
• Microsoft Source Code Analyzer for SQL Injection: Microsoft Source Code Analyzer for SQL Injection is a static dataflow analysis tool to help find SQL Injection vulnerabilities in Active Server Pages (ASP) code.

Sul blog Security Vulnerability Research & Defense c’è un confronto tra Scrawlr, MSCASI e UrlScan.

La TIA ha pubblicato uno standard, IMS Security Framework (TIA-1091), sulla sicurezza delle tecnologie 3G. Questo è l’abstract:

TIA-1091 addresses the access and network security for IP-based services. The scope for this document is to specify the security features and mechanisms for secure access to the IM subsystem (IMS) for the 3G mobile telecommunication system. The IMS supports IP Multimedia applications such as video, audio and multimedia conferences using SIP, Session Initiation Protocol, as the signaling protocol for creating and terminating Multimedia sessions, cf.. This document only deals with how the SIP signaling is protected between the subscriber and the IMS, how the subscriber is authenticated and how the subscriber authenticates the IMS.

Bruce Schneier sul mercato della sicurezza:

No one wants to buy security. They want to buy something truly useful — database management systems, Web 2.0 collaboration tools, a company-wide network — and they want it to be secure. They don’t want to have to become IT security experts. They don’t want to have to go to the RSA Conference. This is the future of IT security.

Su Reddit e su Schneier.com alcuni commenti all’articolo.

Stavo cercando un paper presentato a HotSec ‘07, ho inserito il titolo in Google e tra i risultati c’era

Provo a scaricare la versione PDF e viene  fuori il form per l’autenticazione poiché i paper su Usenix sono disponibili solo per gli associati (diventano disponibili a  tutti solo dopo un anno dalla presentazione):

Provo dunque l’opzione “Versione HTML” di Google… e a sorpresa

e poco più sotto l’intero paper

La domanda è: ma come fa Google? Suggerimenti, link?

Vi interessa diventare esperti di sicurezza in 30 giorni spendendo solo 10.000 dollari? Fabio Pietrosanti, in un messaggio sulla mailing list full-disclosure, spiega come fare.

Ecco i passi per diventare dei professionisti in sicurezza informatica:

Buy an offshore university degree in computer science.
Use the CISSP, CISA, CISM, etc, etc certificate title in your email signature and start writing in mailing lists.
Go at security conferences to meet people and spread your name and if you want to be really considered cool organize one yourself.
Write some article on some local magazine by translating (stealing) articles from securityfocus and other international websites.
Setup a blog stating that you are a master in what you do.

E ancora:

Ok, now you can be considered a computer security professional even if you know nothing about computer security.
…
You can work successfully even if you don’t know anything about security!
…
Imho we should think about writing a ‘how to became a successful computer security professional in 30 days’ !

Il messaggio completo, che sottoscrivo in pieno, è qui. Da leggere.

Mi è venuta l’idea per un libro che, visto come vanno le cose, venderebbe davvero molto: PenTest for Dummies ovvero Penetration test per deficienti e come sottotitolo “Come i deficienti fanno i penetration test”.
Sarebbe anche facile da scrivere: la sicurezza in mano ai deficienti non è altro che un processo ripetitivo che richiede poche conoscenze ed è il più possibile automatizzato. Altro sottotitolo: La catena di montaggio dell’hacking. O anche: Breve storia dei figli di Nessus.

Venderebbe tanto perché per qualche strano motivo tutti i deficienti della rete si stanno improvvisando pen-tester. Gente che non sa programmare fa sicurezza, gente che non distingue i layer del modello OSI fa sicurezza, gente che confonde IDS con IPS fa sicurezza… e gli esempi potrebbero continuare ancora per molto.

Signori, la sicurezza è una scienza, e come tale va studiata e trattata. Non ci sono scorciatoie.

Una lista altamente selezionata dei migliori blog sulla sicurezza scritti da italiani per italiani:

• Il blog di Andrea Ghirardini sulla computer forensics
• Il blog di Feliciano Intini, Chief Security Advisor di Microsoft Italia
• Il blog di Marco Misitano, Security Consulting alla Cisco Systems Italia
• Il blog di Claudio Telmon
• …continua

Nei prossimi 5-10 anni la sicurezza rimarrà allo stesso patetico livello di oggi. Lo scrive Roger Grimes su Infoworld, e continua dicendo che questa situazione è determinata principalmente da questioni culturali. Prevede poi che per i prossimi anni i nuovi prodotti della sicurezza continueranno a fallire, i criminali continueranno ad attaccare restando impuniti e così via…
Grimes però fornisce anche la soluzione a questo scenario indicando il vero problema da risolvere: la diffusione dell’anonimato (the pervasiveness of anonymity). La maggior parte dei problemi di sicurezza di internet possono essere risolti adottando migliori sistemi di autenticazione a tutti i livelli; deve essere possibile identificare chi ha inviato ogni singolo pacchetto e ogni connessione dall’inizio alla fine.
Grimes vede nella biometria, che prevede essere uno standard entro i prossimi 5 anni, una soluzione soddisfacente per gli attuali problemi di autenticazione.

Conclude dicendo: In exchange for compromising on privacy, the online experience will finally be a safe one.

Anche se la proposta può sembrare radicale ha in se alcune verità ed è comunque un argomento complesso e ricco di implicazioni sicuramente da approfondire.