|
admin
Webmaster
Regione: Italy
Prov.: Pisa
Città: Capannoli
24850 Messaggi |
 Inserito il - 08/10/2005 : 11:25:06
|
Spear phishing, nuovo tipo di attacco; pelati vivi dal roaming;
brevetti software beccano Bill
by Paolo Attivissimo
2005/10/07
___Nuova terminologia: dopo il phishing, arriva lo spear phishing___
Secondo un articolo di IBM, sta sviluppandosi una nuova forma di
attacco, simile al phishing ma più mirato:
http://www-03.ibm.com/industries/financialservices/doc/content/news/
magazine/1348544103.html
link breve: http://tinyurl.com/b32dh
Il phishing si basa sul mandare centinaia di migliaia di e-mail
generici che simulano di provenire da una banca o da eBay o da altra
organizzazione che gestisce soldi, nella speranza di trovare a
casaccio qualche utente di quell'organizzazione che sia
sufficientemente malaccorto da rispondere all'invito a fornire i
propri codici segreti. La nuova forma di attacco, denominata spear
phishing (letteralmente, "pesca con la fiocina" o "phishing con la
fiocina"), è invece calibrata specificamente sulla vittima.
Lo spear phishing è in genere condotto dall'interno del sistema. Per
esempio, un dipendente di una ditta (che conosce i dettagli personali
degli altri dipendenti) manda a ciascuno dei propri colleghi un e-
mail che si spaccia per una comunicazione interna, che ordina loro di
cambiare password e di inviarla via e-mail all'indirizzo
appositamente fornito. L'indirizzo, ovviamente, non è quello
dell'amministratore della sicurezza, ma uno che gli somiglia, creato
dal dipendente-aggressore.
Lo spear phishing consente di confezionare e-mail-trappola molto più
convincenti. Nel phishing tradizionale, i messaggi iniziano con un
vago "caro correntista" e simili. I messaggi di spear phishing,
invece, indicano nome, cognome e altri dati personali dei loro
bersagli. La reazione istintiva è di fidarsi di chi dimostra di
sapere già tutte queste informazioni personali.
Per difendersi occorre, come sempre, cautela e un po' di buon senso.
Qualunque richiesta di dati personali e specialmente di codici
d'accesso che ci arriva via e-mail va trattata con la massima
diffidenza e verificata usando un canale di comunicazione
alternativo: per esempio, una telefonata al responsabile aziendale
della sicurezza o all'ente che apparentemente ha inviato il messaggio
di richiesta.
2005/10/06
___Gli operatori cellulari ci stanno pelando vivi col roaming___
L'Unione Europea ha pubblicato una ricerca-confronto sulle tariffe di
roaming per i cellulari, ossia quanto si spende per ricevere o fare
una chiamata col proprio telefonino quando si è all'estero.
Le disparità e più in generale l'esosità delle tariffe sono evidenti.
Due-tre euro al minuto (sono quattro-seimila lire, ricordate!) sono
la norma, ma c'è anche di peggio. Tanto vale farsi infettare da un
dialer.
Considerato che i costi effettivi tecnici del roaming sono
praticamente gli stessi di una telefonata cellulare normale, è chiaro
che i margini di profitto sono esageratamente alti. Per questo l'UE
sta indagando.
Per ora la pagina della ricerca è in inglese; le altre lingue
verranno aggiunte a breve:
http://europa.eu.int/information_society/activities/roaming/index_en.htm
link breve: http://tinyurl.com/ds8dg
2005/10/05
___Brevetti software, confermati i pericoli anche per i colossi___
The Register segnala che Microsoft ha subìto una nuova sconfitta
nella sua lotta contro un brevetto della Eolas (numero 5,838,906) che
sarebbe violato da Internet Explorer e da molti altri browser.
L'Ufficio Brevetti statunitense ha annunciato pochi giorni fa di aver
riesaminato il brevetto Eolas e di averlo trovato valido:
http://www.theregister.co.uk/2005/09/30/uspto_upholds_eolas_patent/
Eolas è un'emanazione della University of California, che nel 1999
iniziò una causa contro Microsoft per questo brevetto. La causa si è
conclusa nel 2003 con una sentenza clamorosa: Microsoft doveva pagare
a Eolas un risarcimento di 520,6 milioni di dollari, più gli
interessi. Il verdetto, confermato a gennaio 2004, è però soggetto a
un ulteriore appello, che a marzo 2005 ha concesso a Microsoft di
sospendere il pagamento.
L'argomentazione difensiva dell'appello di Microsoft è che la
tecnologia descritta dal brevetto (che secondo Eolas copre plug-in,
applet Java, scriptlet e controlli ActiveX) era già nota quando fu
depositato il brevetto, che quindi sarebbe nullo. La dimostrazione di
questa nullità sarebbe un browser antecedente, denominato Viola, ma a
Microsoft non era stato consentito di presentarlo come prova, e
questo sarebbe stato scorretto.
Il brevetto Eolas non è un problema soltanto per Microsoft, ma per
moltissimi altri browser e per chiunque abbia un sito Web: infatti se
confermato definitivamente, obbligherebbe a riscrivere praticamente
tutto il Web. La cosa è così seria che persino Tim Berners-Lee,
direttore del W3C nonché uno dei padri del Web, aveva scritto
all'Ufficio Brevetti USA chiedendone la nullità e fornendo fior di
documentazione invalidante:
http://www.w3.org/2003/10/301-filing.html
Ma l'Ufficio Brevetti ha invece appena confermato di nuovo (sia pure
non definitivamente) la validità del brevetto Eolas.
A prescindere da chi abbia torto e chi ragione, questo caso (in ballo
da ormai sei anni, un'eternità in informatica) dimostra quanto è
perniciosa la brevettazione del software. I fautori dei brevetti
software, quelli che vogliono introdurli anche in Europa, dicono
"niente paura, se un brevetto è troppo ampio o banale o descrive cose
già note, basta andare in tribunale e lo si annulla". Ma qui abbiamo
Microsoft, con una montagna di soldi e con un'orda di avvocati, che
non riesce a spuntarla. Figuriamoci che speranze potrebbe avere una
qualsiasi piccola società di software: finirebbe per spendere più in
parcelle legali che in stipendi per i programmatori.
Il bello è che Microsoft è una strenua sostenitrice della
brevettazione del software. Chissà che uno o due altri casi come
questo facciano cambiare idea a lei e a molte altre aziende del
settore altrettanto pro-brevetti software.
Ciao da Paolo.
-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-
(C) 2005 by Paolo Attivissimo (www.attivissimo.net).
|
|
![[AmadeuX BiblioForum]](https://www.amadeux.it/forum/immagini/amadeuxcomm1.jpg "[AmadeuX BiblioForum]")
Spear phishing, nuovo tipo di attacco; pelati vivi
