Dopo aver imposto restrizioni all’ esportazione di hardware informatico , i burocrati di Washington mirano ora a fare lo stesso con gli strumenti software utilizzabili nell’ambito della cyber-sicurezza. Il rischio è però di danneggiare il lavoro degli stessi ricercatori.
La proposta arriva dal Bureau of Industry and Security (BIS) del Dipartimento del Commercio, e prevede l’obbligo di avere una licenza specifica per l’esportazione di software utilizzabile nell’ambito dell’analisi delle comunicazioni di rete o della “penetrazione” dei sistemi informatici.
Il BIS propone di modificare l’ accordo di Wassenaar , un elenco di prodotti e tecnologie la cui esportazione fuori dagli USA risulta limitata e che viene modificato annualmente; i paesi appartenenti al gruppo noto come “Five Eye” (Australia, Nuova Zelanda, Canada, Regno Unito) sarebbero invece sottoposti a restrizioni meno stringenti.
La proposta del BIS dovrà ora attendere un periodo di due mesi in cui i soggetti interessati avranno modo di commentare gli effetti della mossa, e prevedibilmente i primi, allarmati pareri sulle conseguenze potenzialmente disastrose delle nuove restrizioni sono già arrivati , ad opera dei ricercatori di sicurezza.
La definizione dei tool software da inserire nella lista Wassenaar è troppo generica, denunciano i suddetti ricercatori, e potrebbe portare a danni notevoli sul fronte della cyber-sicurezza: si ripeterebbe insomma lo stesso errore fatto negli anni ’90 con le tecnologie crittografiche, un errore le cui conseguenze l’intera industria deve affrontare ancora oggi .
C’è poi da considerare il comportamento delle aziende hi-tech costrette a fare i conti con le nuove restrizioni, aziende che già oggi mal digeriscono i limiti imposti alle esportazioni di prodotti tecnologici come nel caso delle ultime sanzioni contro la Russia e i presunti affari in nero di Cisco .
Alfonso Maruccia
-
dimenticare?
Ho sempre trovato fastidiose le domande di sicurezza all'iscrizione, tipo il nome del tuo cane o quello di tua mamma da nubile.Se voglio, posso dare un n. di telefono per la ri-autenticazione.Ma con tutti i servizi collegati ad un account google (mail, drive, youtube ecc.), mi è impossibile dimenticarla.Re: dimenticare?
- Scritto da: rico> Ho sempre trovato fastidiose le domande di> sicurezza all'iscrizione, tipo il nome del tuo> cane o quello di tua mamma da> nubile.> Se voglio, posso dare un n. di telefono per la> ri-autenticazione.> Ma con tutti i servizi collegati ad un account> google (mail, drive, youtube ecc.), mi è> impossibile> dimenticarla.indovino se dico che la risposta che hai messo e' "XXXXXXXXXX"? :D :D :DRe: dimenticare?
Come dimenticarsi la "Lingua salmistrata in salsa di banane"non e' strano che bigg
ami il sistema piu' invasivo e tracciante... del resto non e' il solo (anzi).la domanda di sicurezza funge benone invece... il "problema" e' 1)l'utente e 2)chi imposta il servizio... l'utente non deve essere utonto, e la 'domanda di sicurezza' deve poter essere liberamente impostabile dall'utente medesimo (e non la solita XXXXXXXta preimpostata del cibo o del nome della madre)Re: non e' strano che bigg
beh oddio può andere bene anche la ca...ta del nome della mamma... nessuno dice che tu non possa mentire... tutto sommato il "nome della mamma" se parti dal presupposto che puoi mentire non è più "guessabile" di altre cose pure per uno che ti conosca....Re: non e' strano che bigg
- Scritto da: Abitudinari o> beh oddio può andere bene anche la ca...ta del> nome della mamma... nessuno dice che tu non possa> mentire... tutto sommato il "nome della mamma" se> parti dal presupposto che puoi mentire non è più> "guessabile" di altre cose pure per uno che ti> conosca....mentire porta a dimenticarti la vera risposta, e il range delle risposte menzognere e' cmq basso. CERTO, se uno prende la domanda "qual'e' il nome di tua madre" e decide nella sua mente che a quella domanda risponde con la formula della rezione deuterio-trizio.. allora va meglio.. (deve pero' ricordarsi questo espediente... e torniamo all'utente-utonto... )Re: non e' strano che bigg
- Scritto da: bubba> - Scritto da: Abitudinari o> > beh oddio può andere bene anche la ca...ta del> > nome della mamma... nessuno dice che tu non> possa> > mentire... tutto sommato il "nome della mamma"> se> > parti dal presupposto che puoi mentire non è più> > "guessabile" di altre cose pure per uno che ti> > conosca....> mentire porta a dimenticarti la vera risposta, e> il range delle risposte menzognere e' cmq basso.> CERTO, se uno prende la domanda "qual'e' il nome> di tua madre" e decide nella sua mente che a> quella domanda risponde con la formula della> rezione deuterio-trizio.. allora va meglio..> (deve pero' ricordarsi questo espediente... e> torniamo all'utente-utonto...> )Beh oddio basta che usi quello della tua fidanzata invece che quello della mamma è più semplice del della formula e ugualmente "mnemonico"."Peccato" che lo sia solo per te.La associazione deve essere "semplice" (senza più di uno step di "indirezione) e "esclusiva" (ovvero non deducibile da terzi anche se ti conoscono) chi ti conosce sa il nome della tua mamma (forse) ma non sa che tu hai deciso di mentire ne quale bugia hai deciso di raccontare.Il deuterio puoi tranquillamente lasciarlo dove sta. ;)WTF!?
"Da un lato ciò complica le operazioni mnemoniche al momento del recupero della password, dall'altro apre la strada a risposte più intuibili per i malintenzionati"Eh? Da quando una risposta falsa aiuta i malintenzionati? Una risposta falsa implica che non vi è alcun collegamento evidente tra la domanda e la risposta. Se a me piacesse Gigi D'alessio e alla domanda "qual è il tuo autore preferito?" rispondo "Tokio Hotel" voglio vedere come farebbero ad indovinarla. Il top è quando si usano risposte errate, con errori di ortografia e altro.P.S. No, non mi piace né Gigi D'alessio né i Tokio Hotel.Re: WTF!?
- Scritto da: Luca> P.S. No, non mi piace né Gigi D'alessio né i> Tokio> Hotel.E vorrei pure vedere! si può tranquillamente mentire senza bisogno di essere masochisti....(non saprei dire quale dei 2 "artista/gruppo" sia peggio... una bella gara...) :)Re: WTF!?
Era per scrivere risposte che nessuno darebbe mai, nemmeno sotto minaccia armata. :D :DRe: WTF!?
- Scritto da: Luca> > Eh? Da quando una risposta falsa aiuta i> malintenzionati? Una risposta falsa implica che> non vi è alcun collegamento evidente tra la> domanda e la risposta. Se a me piacesse Gigi> D'alessio e alla domanda "qual è il tuo autore> preferito?" rispondo "Tokio Hotel" voglio vedere> come farebbero ad indovinarla. Ti sei risposto da solo.Per una risposta falsa, nella maggior parte dei casi, si sceglierà una risposta più comune, magari molto più comune della risposta che avresti dato sinceramente...Re: WTF!?
In realtà è proprio il contrario. Non mi ritengo un intellettuale, ma ho comunque una certa cultura. Voglio vedere il cracker di turno ad indovinare il personaggio che posso mettere in risposta alla domanda "qual è il tuo personaggio storico preferito?" considerando che ci posso mettere anche "frulululala".Domanda di sicurezza? Risposta giusta!
Tramite l'applicazione dell'ingegneria sociale, e con unamotivazione, si può riuscire abbastanza facilmente a crackareuna domanda di sicurezza in un sistema di login. Quindiusarla cambia molto poco a livello di sicurezza.richiesta parere
se nella domanda segreta hanno scritto "il nome della mamma della password" secondo voi cosa puo' essere la password? un nome??? oppure?Grazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoLeggi gli altri commentiPubblicato il 22 mag 2015Link copiato negli appuntiTi potrebbe interessare
![Alfonso Maruccia]()
Pubblicato il 22 mag 2015Link copiato negli appunti
