Dan Geer interviene all'edizione 2014 della conferenza Black Hat prendendosela ancora una volta con Microsoft, i produttori di software e più in generale con un'industria informatica che, a suo dire, si deve assumere le proprie responsabilità in vista dell'imminente disastro di sicurezza che attende l'umanità digitale al varco.
Co-autore del sistema X Window e del protocollo di autenticazione Kerberos, Geer è noto per aver accusato Microsoft (nel 2003) di rappresentare un rischio concreto alla sicurezza nazionale degli Stati Uniti per via del monopolio di fatto detenuto da Windows nel mercato dei Personal Computer. Dopo questa sortita l'esperto perse il posto, ma ora si è ampiamente rifatto come chief information security officer per i capitalisti di ventura di In-Q-Tel che lavorano per supportare lo sviluppo tecnologico della CIA.
Nel suo speech Cybersecurity as Realpolitik , Geer ha inanellato alcune idee per dare un nuovo volto della sicurezza informatica, idee sicuramente destinate ad alimentare polemiche su più fronti. L'umanità digitale è a un bivio, spiega l'esperto, e occorrono soluzioni drastiche per evitare la distruzione dell'intera industria tecnologica dovuta all'inazione.
Geer propone ad esempio di imporre ai produttori di software proprietario la responsabilità legale delle conseguenze concrete di eventuali bug e vulnerabilità di sicurezza presenti nel codice, responsabilità da cui potrebbero invece essere esentate quelle aziende che rilasciassero pubblicamente il codice sotto licenza open.
Il governo statunitense, poi, dovrebbe poi acquistare tutte le vulnerabilità zero day a un prezzo 10 volte superiore a quello di mercato, imporre lo sviluppo di patch correttive e poi pubblicare tutti i dettagli sulle falle, propone Geer, un modo per ridurre la capacità distruttiva delle falle e contribuire alla pace nel mondo (sic).
Il guru dell'infosec non si dimentica di Microsoft e invoca la distribuzione del codice sorgente di Windows XP, un obbligo che dovrebbe essere imposto a tutte quelle aziende che abbandonano il supporto di un prodotto software allo stesso modo in cui l'abbandono di un figlio o di una proprietà privano un individuo dei diritti su quel figlio o quella proprietà.
Il diritto all'oblio imposto dalle recenti sentenze europee a Google e agli altri colossi della ricerca in rete? Un diritto essenziale che andrebbe ulteriormente rafforzato, spiega ancora Geer, perché tutti hanno il diritto di “reinventarsi” e i professionisti dell'intelligence hanno sempre più difficoltà a creare false identità realistiche da usare nell'ambito del loro lavoro contro i cattivi.
Alfonso Maruccia
-
In pratica
Mazzo mondo web scritto con programmi MS anni fa e con ActiveX non aggiornate non sara' più leggibile dai nuovi browser.Meglio meglio... la gente passera' a Mozilla e a Opera. :DRe: In pratica
Si Legù potrebbero ma poi c'è l'incertezza del supporto al telugu.Che fare?(newbie)Re: In pratica
- Scritto da: tucumcari> Si Legù potrebbero ma poi c'è l'incertezza del> supporto al> telugu.> Che fare?> (newbie)[yt]AeQxiqPDWw4[/yt]Re: In pratica
- Scritto da: tucumcari> Si Legù potrebbero ma poi c'è l'incertezza del> supporto al> telugu.> Che fare?> (newbie)ma il telugu e' il dialetto legalese parlato da leguleio?Re: In pratica
- Scritto da: tucumcari> Mazzo mondo web scritto con programmi MS anni fa> e con ActiveX non aggiornate non sara' più> leggibile dai nuovi> browser.> Meglio meglio... la gente passera' a Mozilla e a> Opera.> :Duh!?! se pazzi a mozilla e opera comunque non li leggiqua si rischia di avere tutti quei bei siti della PA, zeppi di ActiveX, praticamente inutilizzabililo so, è colpa della PA che appalta a dei cialtroniRe: In pratica
- Scritto da: collione> - Scritto da: tucumcari> > Mazzo mondo web scritto con programmi MS anni fa> > e con ActiveX non aggiornate non sara' più> > leggibile dai nuovi> > browser.> > Meglio meglio... la gente passera' a Mozilla e> a> > Opera.> > :D> > uh!?! se pazzi a mozilla e opera comunque non li> leggi> > qua si rischia di avere tutti quei bei siti della> PA, zeppi di ActiveX, praticamente> inutilizzabiliPer quello che servono! (rotfl) > lo so, è colpa della PA che appalta a dei> cialtroniIn realta' appalta a furbi che sanno bene che dopo un po' la tecnologia sara' obsoleta, e che saranno costretti ad avvalersi di nuovo dei loro servigi.Con Xenix era uguale.Re: In pratica
- Scritto da: bubba> .. ma andare a discutere nel forum di arkham> asylum, non sarebbe piu'> adeguato?ehm lo so ma bisogna che tu metta il link (possibilmente in telugu) per Leguleio altrimenti come fa?ActiveX
Una "tecnologia" ridicola...Re: ActiveX
- Scritto da: ...> Una "tecnologia" ridicola...Ridicola si ma col buco! ;)Re: ActiveX
- Scritto da: ...> Una "tecnologia" ridicola...Ridicola è un eufemismo! Gli ActiveX sono stati il principale veicolo di diffusione dei virus su Windows; ai bei tempi, mi ricordo che attraverso questa pseudo-tecnologia si riusciva da remoto a far avviare qualunque programma (a scopo didattico, ad esempio, c'erano dei siti per IE, collegandosi ai quali si faceva avviare la calcolatrice di Windows).M$ conosce benissimo la pericolosità di ActiveX, ma continua ad usarli per rendersi incompatibile con le altre piattaforme.Re: ActiveX
M$ conosce benissimo la pericolosità di ActiveX, ma e' costretta a continuare a gestirli perche' nel mondo ci sono migliaia di societa' (tra le quali, banche, assicurazioni, ministeri ecc...)che usano software scritto per IE con ActiveX e che non possono riscrivere tutto da capo.ActiveX e' stato uno sbaglio, ma e' stato anche un modo molto semplice per ottenere cose che altrimenti sarebbero state piu' complesse. Ora quello che puo' fare MS (e che sta facendo) e' cercare di arginare i pericoli. Ma non puo' dismettere il supporto agli ActiveX.mmmmmmmmm
Prima riga -> " Microsoft continua a fare passi avanti per migliorare la sicurezza di Internet Explorer "ma se pochi giorni fà è risultato il più fallato di sempre ! :DRe: mmmmmmmmm
appunto, fanno continui passi in avanti nell'aggiunta di nuove falle sempre più potenti :DE se non esiste aggiornamento?
Mi auguro che questo tipo di controllo si possa disattivare, oppure segnare come affidabile un compinente ActiveX obsoleto per Microsoft.Esistono una miriade di dispositivi, vedi telecamere IP, VCR IP che utilizzano i controlli Activex per poter visualizzare l'interfaccia sul browser, molti di questi prodotti hanno piu di 6 o 7 anni, quindi non credo che la casa madre sia intenzionata ad aggiornarli.Re: E se non esiste aggiornamento?
- Scritto da: Mr Bil.> Esistono una miriade di dispositivi, vedi> telecamere IP, VCR IP che utilizzano i controlli> Activex per poter visualizzare l'interfaccia sul> browser, molti di questi prodotti hanno piu di 6> o 7 anni, quindi non credo che la casa madre sia> intenzionata ad> aggiornarli.Beh è facile se il prodotto è obsoleto si butta tutto se non lo è si scrive (non si riscrive) una applicazione sensata se era fatta con activex semplicemente non era sensata.Re: E se non esiste aggiornamento?
- Scritto da: Mr Bil.> Mi auguro che questo tipo di controllo si possa> disattivare, oppure segnare come affidabile un> compinente ActiveX obsoleto per> Microsoft.> Esistono una miriade di dispositivi, vedi> telecamere IP, VCR IP che utilizzano i controlli> Activex per poter visualizzare l'interfaccia sul> browser, molti di questi prodotti hanno piu di 6> o 7 anni, quindi non credo che la casa madre sia> intenzionata ad> aggiornarli.Out-of-date ActiveX control blocking for managed environmentsOut-of-date ActiveX control blocking is turned off in the Local Intranet Zone and Trusted Sites Zone, to help ensure that intranet Web sites and trusted line-of-business apps can continue to use ActiveX controls without disruption. quindi il malware puo' continuare a girare allegramente, no hay problema :)...
ma che me ne frega a me degli activecs.Grazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoLeggi gli altri commenti08 08 2014
Link copiato negli appuntiTi potrebbe interessare
![Alfonso Maruccia]()
08 08 2014Link copiato negli appunti
