a Quinta 's weblog : un Blog di Stefano Quintarelli

Il concorso FunkyPrize vuole ricordare il Funky Professor Marco Zamperini, e incentivare tutti coloro – soprattutto i giovani – che desiderano proseguirne l’opera di promotore e divulgatore dell’innovazione attraverso la rete Internet, ispirandosi agli stessi valori di positività, umanità e semplicità che hanno caratterizzato le attività  e gli insegnamenti di Marco.

via www.funkyprize.org

Marco e' sempre nei nostri cuori e la sua passione rivive nel premio per i giovani #FunkyPrize http://www.funkyprize.org/ @funkyprize

Private encryption keys have been successfully extracted multiple times from a virtual private network server running the widely used OpenVPN application with a vulnerable version of OpenSSL, adding yet more urgency to the call for operators to fully protect their systems against the catastrophic Heartbleed bug.

Developers who maintain the open source OpenVPN package previously warned that private keys underpinning VPN sessions were vulnerable to Heartbleed. But until Wednesday, there was no public confirmation such a devastating theft was feasible in real-world settings, said Fredrik Strömberg, the operator of a Sweden-based VPN service who carried out the attacks on a test server. An attacker carrying out a malicious attack could use the same exploit to impersonate a target's VPN server and, in some cases, decrypt traffic passing between an end user and the real VPN server.

via arstechnica.com

A 19-year-old student has been arrested for allegedly exploiting the Heartbleed vulnerability to steal taxpayer data from as many as 900 Canadians, authorities said Wednesday.

The arrest of Stephen Arthuro Solis-Reyes by the Royal Canadian Mounted Police marks the first time authorities anywhere have publicly levied charges in connection to the malicious exploitation of a defect in the widely used OpenSSL cryptography library.

via arstechnica.com

Questa vignetta e' una buona spiegazione di come il bug Heartbleed può essere sfruttato per pigliare info di terzi da un server durante una sessione SSL.

In realtà è un po' più complesso di così perchè i dati si possono pigliare a blocchi da 64K, perchè ciò che vedi non è chiaramente identificabile, ecc. prendere cookies di sessione è difficile, password molto di più, certificati di server ancora di più. ma non impossibile.

Questo articolo del FT recita..

The first evidence of cyber thefts as a result of the “Heartbleed” bug has emerged with social insurance numbers stolen from the Canadian tax authority and passwords and private messages accessed from the UK site Mumsnet.

In una delle slide di Snowden c'era scritto che NSA era in grado di violare SSL. vedendo i numeri in un'altra slide, risultava che erano in grado di essere più efficaci con le mail di yahoo che di google, nonostante gli utenti siano piu' numerosi su google. una differenza e' che google usava https.

se questo fosse stato un bug exploited da NSA, ciò sarebbe una spiegazione plausibile di come riuscivano a beccare mail da google ed il fatto che lo facessero in misura assai inferiore rispetto a yahoo, essendo piu' complicato (per yahoo bastava guardare la mail in chiaro sniffata dal GCHQ dal traffico in transito sulle fibre)

Bloomberg lo dice esplicitamente (avranno qualche fonte), NSA nega (che dovrebbe fare ?)
 
questa vicenda dovrebbe servire di monito alle agenzie di intelligence (anche per le vulnerabilita' introdotte artatamente nella generazione di numeri casuali di algoritmi di cifratura): un segreto non e' per sempre e la backdoor per l'intelligence di oggi, diventa la vetrina da infrangere domani per i cracker.

fortunatamente la cosa pare meno diffusa di quanto ipotizzato inizialmente da varie fonti.

questi sono i checker che sto usando io per vedere se sono stati patchati i servizi che uso
uno e due e ci sono anche estensioni per i browser: per chrome e firefox

cosa fare come utente ?

fare logout dai siti e' sempre cosa buona e giusta

e poi, una volta che i siti sono stati patchati, cambiare password..

io cancello i cookies molto frequentemente, anche se cio' puo' risultare un po' scomodo, usando questo tool

certo, devi fare login di nuovo ed avendo centinaia di password tutte diverse puo' essere fastidioso...
uso questo password manager

non perche' sia "il migliore", dato che i criteri sono sempre soggettivi. per me e' comodo che c'e' anche il plugin per il browser Dolphin che uso su android

ogni x mesi dedico qualche ora a cambiare quasi tutte le password. piu' frequentemente cambio quelle della mail e del mio DNS, che sono la radice da cui dipendono tutte le altre password dato che con la mail, si recuperano o cambiano tutte le altre password.

se ci sono siti che non uso frequentemente, ma dove mi registro per valutare un servizio, uso un indirizzo email di quelli che scadono dopo pochi minuti, grazie a questo plugin che ne facilita enormemente l'uso. (inutile spargere info personali in giro..)

non c'entra con heartbleed, ma se avete a cuore la vs privacy, questo e' un tool carino per non dare a terzi dati sul vostro browsing

qui il video della presentazione che abbiamo fatto assieme, per i 20 anni del web.

12/04/2014

Pedopornografia, 3 arresti e 25 indagati

Si scambiavano video con abusi su minori in Rete. Perquisizioni in tutta Italia

Ti consigliamo:

ANSA

+ Scandalo formazione, il deputato Genovese si auto sospende dal partito

ANSA

via www.lastampa.it

Chi ha detto che online non ci sono norme e non si viene beccati a infrangerle ?

Which brings me back to the litigation with Samsung — the company that is coming to market with products that are every bit as good as Apple’s, and at a lower price to boot. This never-ending litigation is yet another sign that Apple is becoming a spent force. Suing each other “is not what innovative companies do,” said Robin Feldman, a patent law expert at the University of California, Hastings College of the Law.

Continue reading the main story Write A Comment

Nor has the lawsuit been going smoothly for Apple. One document revealed during the trial was an internal Apple presentation, a slide of which read, “Consumers want what we don’t have” — meaning inexpensive phones with large screens, which Apple doesn’t sell. In the earlier trial, although Apple won a verdict against Samsung, the judge refused to force Samsung to remove certain products from the market, as Apple has demanded. Instead, the case had the perverse effect of validating “the Korean company as a worthy rival and supplied it with free advertising,” writes Kane.

These patent war cases can be — and should be — easily settled, as everyone in the business knows. Every smartphone company is now armed to the teeth with patents, and the most sensible way to deal with the issue is to cross-license the patents. Then the companies can get back to the business of innovating. Apple’s utter refusal to do so suggests that it has become less interested — or less capable — of innovating and more interested in protecting what it has already brought to market.

Or, as Apple’s former general counsel, Nancy Heinen, tells Kane, “When patent lawyers become rock stars, it is a bad sign for where an industry is headed.”

via www.nytimes.com

My son lives in a relatively small city about 50 miles from Seoul. He has a choice of three major Internet providers -- their monthly list prices for symmetric 100 Mbps Internet connectivity are as follows:

via cis471.blogspot.it