Leggo via Downloadblog di un report di Symantec ripreso da Ars Technica sulla possibilità, cito i loro titoli, "di sfruttare Windows Update per scaricare malware sul sistema". Dopo aver letto i tre articoli a ritroso mi sono messo nei panni di un lettore non particolarmente esperto di Windows e mi sono domandato: è vero ? E' tutto chiaro il rischio che mi hanno cercato di spiegare ? Ho imparato qualcosa di nuovo in ambito sicurezza ? Che percezione ne deriva della sicurezza di Windows, e di Windows Update in particolare ? Le risposte che mi sono dato non sono molto confortanti . . . e ho sentito il bisogno di aggiungere chiarezza. ...

Ricordate quando ho espresso la profonda soddisfazione di vedere le mie analisi di vulnerabilità riprese dal blog di Michael Howard ? Ebbene, durante il mio recente viaggio a Redmond quel contatto mi ha permesso di conoscere di persona Michael : abbiamo avuto modo di chiaccherare una mezz'oretta, in un brainstorming tanto rapido quanto illuminante. Ho provato a stuzzicarlo come se fossi un cliente, con le tipiche domande e perplessità che vedevo emergere nella blogosfera in quei giorni, sulla sicurezza di Windows Vista, l'SDL e la vulnerabilità sui cursori animati (corretta dal bollettino MS07-017)....

Come promesso, Microsoft ha rilasciato il tool MOICE per Office 2003 di cui vi ho raccontato in breve in questo mio post. L'annuncio è stato dato tramite l'emissione del Microsoft Security Advisory 937696 (questo a riprova dell'utilizzo degli advisory per comunicare informazioni di sicurezza non strettamente correlate a delle vulnerabilità di prodotto, come spiegato al post 27) in cui contestualmente è stato segnalato il rilascio del tool per aggiungere la funzionalità di File Block anche ad Office 2003...

Psss... psss...ho una soffiata da farvi ... quest'anno ai due eventi del Microsoft Security Day di Milano (7 giugno 2007) e Roma (12 giugno 2007) si aggira un tizio poco raccomandabile a cui hanno anche affidato , scelleratamente, una sessione sulla Security Governance. Non sono riuscito a sapere il nome di questo tipo: so solo che terrà la presentazione verso l'ora di pranzo, non so bene se all'interno della ormai collaudata e seguitissima sessione del TechNet Security Workshop, dedicata ai professionisti IT sulle funzionalità di sicurezza di Windows Server 2008, Forefront e System Center, o se all'interno della nuovissima sessione Microsoft Security Briefing, dedicata ai Security & IT Manager sugli aspetti più di strategia e conformità alle normative....

Due recenti occasioni mi hanno richiamato alla memoria un facile suggerimento da tenere sempre presente per difendersi dagli attacchi di Social Engineering (la traduzione Ingegneria Sociale non mi piace molto, ma è bene che tutti sappiano cosa sia) e che vi condivido. ...

Vi confido che ho avuto il privilegio di ospitare nel mio ufficio, lo scorso mercoledì 9 maggio, il primo non-meeting (come lo chiama l'amico Vincenzo nel suo post) di quella che ho appena battezzato moooolto spiritosamente la "Setta dei Blogger non-Estinti di Microsoft Italia". ...

Scusate se colgo nuovamente spunto da un post di DownloadBlog per puntare il dito (con disappunto...)su chi fa vera e propria disinformazione: se qualche giorno fa è toccato a Symantec, oggi tocca ad una news di Yahoo, che ha ripreso a sua volta un articolo di PCWorld.com. ...

Ho un lungo backlog di informazioni che premono per diventare dei post, ma l'annuncio di ieri merita una corsia preferenziale: Microsoft ha operato il lancio di due soluzioni, Microsoft® Forefront Client Security e Microsoft System Center Essentials 2007, e lo ha fatto volutamente congiunto per delineare la sua intenzione strategica di integrare le soluzioni di sicurezza con quelle di management, costruite entrambe su una comune piattaforma di gestione dell'infrastruttura. ...

Un post da non perdere è quello in cui David LeBlanc spiega il tool di prossima pubblicazione MOICE, "Microsoft Office Isolated Conversion Environment". Lasciandovi il piacere di leggerlo per intero, richiamo in questa sede alcuni spunti interessanti che confermano diversi elementi di strategia di sicurezza già accennati nel mio blog. Cosa è MOICE ? ...

Rieccoci all'appuntamento mensile con i bollettini di sicurezza di Microsoft. Come al solito cercherò di analizzarli in modo da aiutarvi a valutare se vi possa essere un diverso livello di urgenza nella loro installazione: a prima vista il fatto che questi 7 bollettini siano tutti critici nel loro livello di severity, potrebbe indurre a pensare che siano tutti equamente gravi e urgenti. Anche se questa considerazione è generalmente vera (assieme al fatto che le patch vanno messe tutte, in base alla loro applicabilità - scusate se sono petulante ...-) è tuttavia possibile mettere questi bollettini in sequenza in ordine decrescente di pericolosità: questo esercizio risulta utile per "allenarsi" ad operare l'analisi di rischio e applicarla nel proprio ambito aziendale....

E' proprio vero l'adagio che dice: "fa più rumore un albero che cade, piuttosto che una foresta che cresce". La blogosfera fa tanto clamore su informazioni di finte "nuove" vulnerabilità Microsoft (come spiegato nel mio post precedente) e invece ignora notizie, a mio parere, di enorme importanza per l'evoluzione dell'interoperabilità nella gestione delle identità digitali online, a tutto vantaggio del miglioramento della sicurezza su Internet. Mi riferisco all'annuncio dato da Microsoft allo scorso Interop, in cui sono state condivise tre iniziative direttamente connesse all'Identity Metasystem, il framework aperto proposto al mercato che ho iniziato a raccontarvi nel post che illustra la vision e nel post che ne descrive i requisiti di partenza...