Blog di Felter Roberto

A causa di un bug del software di gestione di molti modelli di IP camera TrendNet, è possibile collegarsi alla webcam senza autenticarsi e quindi vedere quanto sta riprendendo, semplicemente avendo il suo indirizzo IP.

La notizia non è nuova, è stato scoperto a gennaio da Console Cowboys ma, a due mesi di distanza, nonostante il rilascio da parte di TrendNET di un aggiornamento critico del software che risolve il problema, sono ancora molte le netcam presenti in rete ad avere questo bug.

Il problema è proprio che è impossibile avvisare tutti i proprietari che esiste questo difetto, a meno che non vadano sul sito a cercare gli aggiornamenti o ne leggano in giro.

Ed è per questo che ho deciso di scriverne anche io, dato che spesso su questo blog si è parlato di privacy e mai come in questo caso si può dire che un oggetto che viene utilizzato per la propria sicurezza diventa strumento per l’esatto opposto.

Quindi, se avete in funzione una IP camera TrendNet, provvedete subito a scaricare l’aggiornamento del firmware.

Grazie all’invito di Sara e Alessia di FIRST CLASS PR, ho potuto partecipare alla presentazione di Ikarus, l’antivirus di IKARUS Security Software GmbH, società austriaca attiva dal 1986, importato finalmente in esclusiva per l’Italia da Dedalo S.r.l.

L’antivirus, o meglio la suite Ikarus, dato che contiene antivirus, antispyware, antimalware e filtro antispam, (ma vi conviene guardare sul sito http://www.ikarus.it/ per vedere esattamente tutto quello che fa) è pensato per essere utilizzato in ambito business ma la sua interfaccia è stata costruita in modo da essere la più semplice possibile.
Si vede che anche gli austriaci hanno le piccole e medie aziende senza una competenza tecnica elevata in materia di sicurezza, esattamente come le abbiamo in Italia.

In un antivirus la cosa principale è il motore di ricerca ed identificazione dei problemi.

Ovviamente in una presentazione di un’ora non è possibile verificare la bontà di funzionamento dell’antivirus sotto questo punto di vista, però il fatto che questo engine sia sviluppato da loro e, da quello che hanno detto, venduto anche a terzi (che poi ci costruiscono attorno il proprio pacchetto software) fa pensare a qualcosa di valido.

Chiacchierando con i rappresentati di Dedalo S.r.L. presenti, abbiamo parlato anche dell’esistenza di una console di gestione centralizzata del software, cosi da permettere ad aziende di una certa dimensione, strutturata con settori IT da cui si gestisce tutto il parco macchine, di intervenire da remoto sulla gestione e il monitoraggio della sicurezza dei pc.

Questo è un aspetto molto interessante e che mi piacerebbe approfondire, perché se a livello di antivirus, al di là del miglior o peggior funzionamento dello stesso, le differenze non possono mai essere molte, in questi pannelli di gestione esiste veramente tutto e il contrario di tutto.

Per concludere posso dire che la presenza di nuove soluzioni nel campo della sicurezza è sempre un bene e quindi sono contento che in Italia si sia lavorato per portare una soluzione che all’estero risulta essere apprezzata e utilizzata su larga scala.

Ora starà al mercato premiare o meno il prodotto. Io oggi se avessi necessità di un antivirus sicuramente lo proverei, anche solo per il fatto che in fase di conquista del mercato la disponibilità del fornitore è sempre superiore alla media.

Questa notte nella server farm di Aruba hanno preso fuoco le batterie di alcuni UPS e le procedure di sicurezza hanno tolto la corrente al data center, spegnendo di fatto tutti i server.

Aruba ha attivato un account twitter come canale informativo per i propri clienti ( se lo avesse fatto prima probabilmente i clienti informati del problema sarebbero stati molti di più)

http://twitter.com/#!/Arubait

Le operazioni di ripristino sono ancora in corso e non sono state comunicate previsioni in merito.

Da una prima verifica effettuata, sembra che anche i server per gestire la Posta elettronica Certificata siano stati spenti o almeno non risultano raggiungibili dalle 4:35 di questa mattina.

Le strutture fisiche di un certificatore PEC sono stabilite dalla legge. Vediamo se sono solide come dovrebbero essere. Un down può esserci, ma la salvaguardia dei dati deve essere garantita.

Se Aruba è considerata un servizio economico per l’hosting web e quindi può essere intuibile un qualche risparmio, per quanto riguarda i servizi di certificazione di posta elettronica certificata non esiste il concetto di “servizio economico” in quanto il servizio erogato deve essere nel rispetto della normativa.

Se avrete qualche problema scrivetelo pure nei commenti.

La sicurezza informatica è un argomento a cui tengo molto.

Questa volta, invece di parlarne vorrei che voi dedicaste qualche minuto ad ascoltare questa intervista di Gigi Tagliapietra, presidente del CLUSIT.

(intervista pubblicata da Il sole 24 ore – Nova Milano innovhub )

Sono parole semplici, concetti chiari che dovrebbero apparire all’accensione di ogni computer, come le raccomandazioni all’inizio dei DVD o il giuramento che si fa davanti al giudice.

Iniziamo a dedicare 6 minuti alla nostra sicurezza, poi programmiamo quando dedicarne altri 6 e cosi via. E’ importante, facciamolo.

Ne avevo parlato nel post precedente e non posso certo mancare di raccontare come è andata.

Sono state due ore in cui il garante, da quello che ho capito la prima alta carica dello stato che si presenta in Second Life a conversare del proprio ruolo, ha raccontato la sua posizione, le sue difficoltà e le problematiche che devono affrontare ogni giorno quando si parla di privacy e tutela dei dati personali all’interno di un social network.

Ha ascoltato le domande e risposto puntualmente ad ognuna, dimostrando che c’è la volontà di confrontarsi, di ascoltare e capire. Perchè, come ha detto lui stesso:

“ad un certo punto di una nostra riunione collegiale un collega si è alzato è ha detto: la prossima volta facciamo venire un diciottenne”

Si è discusso anche della sua dichiarazione in cui consigliava agli utenti di utilizzare un nickname per iscriversi ai social network e anche solo il fatto che sia stato lui a parlarne, prima ancora che i presenti ne facessero accenno, mi ha fatto capire che si è reso conto che è arrivato un messaggio diverso da quello che si aspettava.

Concludendo ha affermato che farà il possibile perchè, in futuro, si possa ripetere un incontro del genere, magari su temi più specifici. Me lo auguro vivamente.

Non so quale sia il risultato di questa conferenza dal punto di vista del garante, ma a me ha fatto prendere coscienza di quanto sia difficile affrontare questo tipo di argomenti, di quante sfumature ci sono da considerare e di quanto sia importante confrontarsi con le esperienze altrui. Ma allo stesso tempo ho capito quali potenzialità hanno gli strumenti che abbiamo a disposizione, se solo tutti decidiamo di usarli nella maniera più opportuna.

Devo quindi dire un grazie particolare a quanti stanno dietro la struttura della UnAcademy, Giuseppe Granieri in primis, ma anche Giovanni Boccia Artieri e la mia amica Velas (che ha vita propria rispetto ad Elena) per l’impegno profuso.

Qui potete vedere il video con alcuni passaggi del discorso del garante.

Siamo alle solite. Gratis, gratis ma qualcuno che paga ci deve essere.

Nel giro di un paio di giorni è già la seconda volta che qualcuno vorrebbe che a pagare fossi io.

In pratica il servizio gratuito di statistiche webstat.ms, mentre ai gestori dei siti su cui viene installato dà GRATUITAMENTE le statistiche sulle visite, ai visitatori tenta di installare un dialer, cosi che, nel caso usino una connessione a 56K, possano venir dirottati su numeri a valore aggiunto il cui costo in fattura può arrivare a 15 Euro/Minuto.

Il problema grosso è che questo avviene con una richiesta di esecuzione di un programma java, che il messaggio di richiesta definisce verificato e certificato. Quindi il visitatore è portato a dare il consenso.

Fortunatamente sul mio computer ho attivo un antivirus che mi verifica qualsiasi cosa venga lanciata sulla macchina e immediatamente mi ha informato del problema.

Per chi ha una ADSL il problema Dialer non esiste, ma avere un software del genere che lavora sul vostro computer è comunque sempre fonte di rallentamenti e malfunzionamenti.

Per cui, se nelle vostra pagine avete scelto di utilizzare il servizio di webstat, provvedete immediatamente a rimuoverlo e a sostituirlo con un altro servizio meno “invasivo”.

Io consiglio di usare Google Analytics, se però proprio volete anche che appaia un contatore delle visite (cosa che GA sembra avrà solo con i prossimi aggiornamenti) valutate servizi più corretti come Shinystat o Bravenet.

Ma veramente vi interessa avere un contatore per le visite?