Sicurezza Informatica

di Bruce Schneier
lunedì 13 dicembre 2004

I am regularly asked what average Internet users can do to ensure their security. My first answer is usually, “Nothing–you're screwed.”

But that's not true, and the reality is more complicated. You're screwed if you do nothing to protect yourself, but there are many things you can do to increase your security on the Internet.

Two years ago, I published a list of PC security recommendations. The idea was to give home users concrete actions they could take to improve security. This is an update of that list: a dozen things you can do to improve your security. ⇒

→ Read more...

venerdì 22 ottobre 2004

Security Report: Windows vs Linux

By Jonathan Krim, Washington Post Staff Writer
venerdì 26 settembre 2003

www.washingtonpost.com

A technology executive whose company does business with Microsoft Corp. has been forced out of his job after he helped write a cybersecurity report critical of the software giant, according to sources with knowledge of the situation.

Massachusetts-based AtStakeInc., a computer security firm, said yesterday that chief technology officer Daniel R. Geer Jr. is “no longer associated” with the firm. A company statement added that Geer's participation in preparation of the report was not sanctioned by the firm, and that “the values and opinions of the report are not in line with [AtStake's] views.” ⇒

→ Read more...

How the Dominance of Microsoft’s Products Poses a Risk to Security
mercoledì 24 settembre 2003

CyberInsecurity: The Cost of Monopoly 878.8 Kb

Un rapporto sulla sicurezza informatica centrato sui rischi che la monocoltura Microsoft impone all’intera società. Analisi del rischio e proposte per fronteggiare il problema. Uno degli autori, Dan Geer, ha perso il posto di lavoro il giorno dopo la pubblicazione dell’articolo: era impiegato presso @Stake, una ditta che riceve ingenti commesse da Microsoft. La Computer & Communications Industry Association, che aveva sponsorizzato il rapporto, intendeva distribuirlo tramite e-mail agli abbonati della rivista Chief Information Officers. Quest’ultima - solita “noleggiare” l’elenco dei propri abbonati ad aziende del settore informatico, Microsoft compresa - si è rifiutata di cedere l’elenco.

Un articolo del Washington Post riguardo la vicenda: Microsoft Critic Forced Out.

venerdì 22 novembre 2002

La piattaforma Windows 2000 ha ottenuto una certificazione Common Criteria certification di grado EAL 4 riguardo la sicurezza informatica. Understanding the Windows EAL4 Evaluation è un autorevole commento da parte di Jonathan S. Shapiro. In breve: da anni gli esperti di sicurezza dicono che la famiglia dei prodotti Windows ha un livello di sicurezza definitivamente inadeguato. Adesso esiste una rigorosa certificazione del governo che lo conferma. Sono disponibili anche due documenti necessari a comprendere il significato di tale certificazione: Controlled Access Protection Profile 1.d è il profilo di sicurezza rispetto al quale è stata ottenuta la certificazione. Documento abbastanza complesso, ma è qui che si specifica quanto e per cosa è sicuro il sistema certificato. The Common Criteria ISO/IEC 15408 spiega invece cosa significa ottenere il livello 4 (in una scala da 1 a 7) rispetto al profilo di sicurezza scelto.

→ Read more...