While we aren’t typically put off by a large wristwatch, we were taken a bit aback by [Chris Fenton]’s latest timepiece — if you can call it that. It’s actually a 1/25th-scale Cray C90 worn as a wristwatch. The whole thing started with [Chris] trying to build a Cray in Verilog. He started with a Cray-1 but then moved to a Cray X-MP, which is essentially a Cray-1 with two extra address bits. Then he expanded it to 32 bits, which makes it a Cray Y-MP/C90/J90 core. As he puts it, “If you wanted something practical, go read someone else’s blog.”

The watch emulates a Cray C916 and uses a round OLED display on the top. While the move from 22 to 32 address bits sounds outdated, keep in mind the Cray addresses 64-bit words exclusively, so we’re talking access to 32 gigabytes of memory. The hardware consists of an off-the-shelf FPGA board and a Teensy microcontroller to handle mundane tasks like driving the OLED display and booting the main CPU. Interestingly, the actual Cray 1A used Data General computers for a similar task.

Of course, any supercomputer needs a super program, so [Chris] uses the screen to display a full simulation of Jupiter and 63 of its moons. The Cray excels at programs like this because of its vector processing abilities. The whole program is 127 words long and sustains 40 MFLOPs. Of course, that means to read the current time, you need to know where Jupiter’s moons are at all times so you can match it with the display. He did warn us this would not be practical.

While the Cray wouldn’t qualify as a supercomputer today, we love learning about what was state-of-the-art not that long ago. Cray was named, of course, after [Seymour Cray] who had earlier designed the Univac 1103, several iconic CDC computers, and the Cray computers, of course.

I dark market rappresentano un settore in rapida crescita e in continua evoluzione. La chiave del successo in questo contesto dinamico è l’innovazione continua e la capacità di adattarsi rapidamente ai cambiamenti. Un aspetto fondamentale da considerare è come la vendita tramite dark market è attirare anche i meno esperti del settore, rendendo accessibili a un pubblico più ampio beni e servizi altrimenti difficili da ottenere.

Kerberos vuole imporsi sul mercato con l’obiettivo di essere all’avanguardia, rispetto ai suoi competitor, fornendo sicurezza e anonimato senza eguali, e garantendo un’esperienza utente di altissimo livello.

Il nome è un chiaro riferimento a “Cerbero” spesso indicato come il segugio dell’Ade, è un multi-cane dalla testa a due teste che custodisce le porte degli Inferi per impedire ai morti di andarsene.

Era il discendente dei mostri Echidna e Tifone, e di solito veniva descritto come avente tre teste, un serpente per coda e serpenti che sporgevano dal suo corpo. Cerbero è noto principalmente per la sua cattura da parte di Eracle , l’ultima delle dodici fatiche di Eracle …
[Wikipedia]

Struttura del Dark Market

L’Homepage

Sicuramente la grafica è molto accattivante, come la home page.

Intanto il sistema è presente sia nella rete Onion e sia nel clearnet. Questo per rendere molto più semplice l’accesso ai clienti o banalmente ai curiosi, anche se sul clearnet è solo una pagina vetrina per poter consentire l’accesso al forum tramite link onion.

Riportano l’immagine del personaggio di Lucifer Morningstar (interpretato da Tom Ellis nella celebre serie TV) ed una premessa molto importante… Rimanere per sempre!
Creato con la premessa di rimanere per sempre.

- Marketplace con crittografia a più livelli e server e servizi veloci.
- Nessun deposito cauzionale per i venditori verificati e di fiducia.
- Nessuna commissione per depositi o prelievi.
- Protocollo Cataclysm.
- Programma di affiliazione per i clienti con il 0,50%.
In effetti, accedendo al sito dopo 3 volte con il doppio capcha non siamo riusciti, ma proveremo più avanti sicuramente.

About US

Anche la sezione “about us” è molto ben strutturata e con chiari riferimenti alla celebre serie TV “Lucifer”
Buongiorno amici miei, vi auguro una splendida giornata nel nostro bellissimo mondo sotterraneo, il mercato darknet di Kerberos.

Abbiamo riflettuto a lungo sull'opportunità di dare vita a Kerberos Onion. La ragione è che, se decidiamo di lanciare un progetto come Kerberos Onion, vogliamo farlo nel modo giusto: senza compromessi e con la responsabilità necessaria. Quando abbiamo visto un mercato scomparire dopo l'altro (spesso a causa di Exit-Scams), abbiamo deciso di creare il mercato darknet di Kerberos.

Il mercato darknet di Kerberos è stato progettato per restare, non per scomparire come tutti gli altri dopo 1 o 2 anni. Secondo l'opinione del darknet di Kerberos, è davvero assurdo creare un marketplace e poi, appena stabilito, eseguire un Exit-Scam. Soprattutto dopo che i venditori hanno costruito il loro negozio con tanto lavoro e impegno, e i clienti hanno trovato un luogo affidabile per acquistare i loro beni preferiti. È successo personalmente a Kerberos - sia come venditori che come clienti, tipo: Che diavolo!??

Inoltre, il team di Kerberos darknet ha monitorato molto da vicino i mercati negli ultimi anni e raramente - se non mai - c'è stato un miglioramento in termini di qualità dei mercati. Era sempre solo un altro marketplace o un tentativo di riportare una nuova versione di una vecchia leggenda. Ma alla fine, tutti sono scomparsi dopo un tempo relativamente breve.

Ecco perché abbiamo deciso finalmente di creare qualcosa di nuovo, che non è mai stato fatto in questa forma. Abbiamo creato il mercato darknet di Kerberos! Che siate venditori o clienti del mercato di Kerberos - ogni utente sentirà molto rapidamente la differenza. Grazie al continuo sviluppo della rete Onion e di altre tecnologie, oggi è possibile creare un marketplace che possa durare molti anni. Questo è ciò che vogliamo fare con il link Onion di Kerberos! Kerberos si è concentrato sulla sicurezza e non ha fatto compromessi, inclusa la crittografia a più livelli e il Kerberos Guardian con il sistema di Strike integrato.

Qualunque cosa accada, forniremo tutto il necessario affinché il mercato darknet di Kerberos duri per sempre. Se mai decidessimo di chiudere Kerberos Onion, sarà fatto in maniera annunciata e corretta. Ma questo accadrà in un tempo lontano, l'obiettivo di Kerberos è restare per sempre.

Le poche persone che amano la loro libertà e che hanno avuto l'opportunità di guardare dietro le quinte nel nostro mondo di Kerberos darknet sono rare. È ancora più triste se poi truffano persone con idee simili. Una cosa del genere non accadrà mai su Kerberos.

Abbiamo anche voluto cogliere l'opportunità di fare qualcosa di buono con il progetto Kerberos. Ecco perché supportiamo Heifer International (Scopri di più su Heifer International).

Come alcuni potrebbero sapere, Lucifero non può mentire.

Io sono Lucifero e noi siamo Kerberos. Siate fedeli al darknet di Kerberos e noi non vi saremo mai infedeli. Hell yes.
Gli obiettivi descritti nell”About us” pertanto sono molto ambiziosi:

• Contrastare la scomparsa di altri mercati dovuta agli Exit-Scams.
• Il progetto di Kerberos è concepito per durare nel tempo
• Attrarre nuovi utenti con la promessa di elevati standard di sicurezza e crittografia a più livelli
• Supporto a cause benefiche (come Heifer International).

Caratteristiche del darkmarket Kerberos

Caratteristiche principali di Kerberos darknet
Ora ti parleremo delle caratteristiche principali del mercato darknet Kerberos:

- Decentralizzato: Kerberos darknet è un marketplace decentralizzato sin dal primo giorno di lancio e opera su più server e sistemi di backup in tutto il mondo.
- Server ad alta velocità criptati: È il primo e unico marketplace che opera con server e servizi speciali criptati a più livelli e veloci.
- Sviluppo personalizzato: L'intero marketplace Kerberos è stato creato da zero e sviluppato per oltre 2 anni prima del lancio, appositamente per questo scopo. Ogni linea di codice è scritta a mano e non utilizza script esterni pubblici e attaccabili.
- Whitelist: Kerberos funziona secondo il principio della whitelist. Ogni funzione è stata progettata per la massima sicurezza.
- Kerberos Guardian: Include il sistema integrato di strike per garantire il massimo livello di sicurezza.
- Accesso: Puoi accedere a Kerberos tramite Tor (Onion Network), I2P e un indirizzo mirror sicuro sulla clearnet.
- Aggiornamenti costanti: Il marketplace viene costantemente sviluppato per miglioramenti e nuove funzionalità.
- Protocollo Cataclysm: I membri possono essere sicuri che i loro fondi saranno accessibili per il prelievo prima della chiusura del marketplace, che avverrà dopo 26 giorni dalla scadenza del canarino.
- FAQ e Centro Informazioni: Una FAQ dettagliata risponde a tutte le domande comuni e un Centro Informazioni offre tutorial utili.
- Nessuna commissione di deposito o prelievo: Non vengono addebitate commissioni per i depositi o i prelievi, eccetto la commissione stimata di rete (miner) per i prelievi.
- Criptovalute supportate: Monero (XMR) e Bitcoin (BTC).
- Valute fiat supportate: Dollaro Australiano (AUD), Sterlina Britannica (GBP), Dollaro Canadese (CAD), Euro (EUR), Yen Giapponese (JPY), Franco Svizzero (CHF) e Dollaro Americano (USD).
- Rimozione dei dati sensibili: I dati sensibili vengono automaticamente rimossi dalla cronologia degli acquisti e delle vendite entro un certo periodo, senza lasciare tracce.
- Auto-feedback: Funzione di auto-feedback sul Kerberos onion.
- Libro mastro professionale: Include una funzione di reset.
- Captcha sicuri: Utilizza captcha semplici ma eccezionalmente sicuri per la protezione 2FA DDoS, la registrazione e il login.
- PGP: Opzione di crittografia PGP disponibile ovunque nel marketplace.
- Notifica di tentativo di accesso: Email automatica se viene tentato un login con password errata.
- Supporto rapido e amichevole: Supporto rapido per i membri.
- Feedback storico dei venditori: Valutazione rapida e affidabile dei venditori basata su feedback storici.
- Sistema di dispute equo: Sistema di dispute imparziale e equo.
- Visualizzazione articoli: Visualizzazione degli articoli per categorie.
- Inserzioni promozionali: Possibilità per i venditori di creare inserzioni promozionali acquistabili una sola volta per cliente.
-Sicurezza 2FA: Include tutte le funzionalità di sicurezza standard come la sicurezza 2FA.

L'Amministrazione di Kerberos. Interazione degli utenti di Kerberos con l'amministrazione del mercato:

- Il membro è re: A Kerberos, il membro è ancora re, come dovrebbe essere.
- Amministrazione speciale: L'amministrazione è più che speciale, quasi magica.
- Rilevamento errori: Tutti i server e i servizi sono progettati per rilevare immediatamente qualsiasi tipo di errore e informare l'Amministrazione.
- Correzione degli errori: In caso di errore tecnico, l'Amministrazione viene informata e lo corregge rapidamente.
- Supporto ai membri: Le query di supporto vengono elaborate in breve tempo, solitamente in poche ore.

Specifiche per i venditori su Kerberos darknet

- Tipi di account venditore: Kerberos offre 3 tipi di account venditore adatti a ogni venditore e attività.
- Commissioni: La commissione del marketplace per i venditori varia tra il 6% e il 2%, a seconda del livello di reputazione del venditore.
- Account verificati: Gli account venditore verificati con la reputazione richiesta ottengono lo status di fiducia e un livello di reputazione più alto.
- Opzione Finalize Early (FE): Disponibile immediatamente per i venditori verificati.
- URL mirror sicuri: Accesso a URL mirror sicuri protetti da Onion Authentication.
- Valuta di pagamento: I pagamenti saranno sempre regolati nella valuta fiat fornita per l'articolo e nel tasso di cambio crypto attuale.
- Funzionalità speciali: Opzioni di inserzione speciali opzionali e senza limiti di inserzione.

Specifiche per i clienti su Kerberos onion

- Depositi veloci: I depositi vengono controllati ogni 3 minuti.
- Commissioni di mercato: La commissione del marketplace per i clienti è solo del 2% per acquisto.
- Servizio Escrow sicuro: Servizio di escrow sicuro per gli acquisti.
- Opzione Finalize Early (FE): Disponibile per ogni articolo nell'ordine se offerto dal venditore.

Programma di Affiliazione su Kerberos

- Link di affiliazione personale: Ogni cliente riceve un link di affiliazione personale.
- Commissioni: Per ogni acquisto o vendita effettuata tramite il link di affiliazione, il cliente riceverà lo 0,50% del prezzo dell'articolo.
- Pagamento automatico: Le commissioni personali verranno automaticamente pagate al wallet del cliente al completamento dell'acquisto o della vendita.

Ed un invito…

Saremmo molto felici se ti unissi alla nostra famiglia infernale. Dai un'occhiata e dacci una possibilità, sentirai la differenza!

Conclusioni

I darkmarket, rappresentano una realtà complessa e sfuggente del web, caratterizzata da un commercio anonimo di beni e servizi spesso illeciti, come droghe, armi e dati rubati. Utilizzando criptovalute e sofisticati sistemi di crittografia, questi mercati mirano a proteggere la privacy degli utenti e a eludere le autorità. Nonostante i numerosi tentativi di chiusura da parte delle forze dell’ordine, i darkmarket continuano a evolversi, adottando nuove tecnologie e strategie per garantire la loro sopravvivenza e l’operatività a lungo termine. Questa dinamica crea un continuo gioco di gatto e topo con le autorità, rendendo i darkmarket un fenomeno persistente e complesso nel panorama del cybercrimine.

L'articolo Arriva Kerberos: il Nuovo Market Underground! Sicurezza e Anonimato al primo posto proviene da il blog della sicurezza informatica.

Hugging Face e Pollen Robotics hanno presentato il robot antropomorfo Reachy2 , il cui set di dati e modello di addestramento sono open source. Reachy2 svolge le attività domestiche e interagisce in sicurezza con persone e animali domestici.

Pollen Robotics sviluppa tecnologie open source per applicazioni nel mondo reale. Nel 2013 hanno introdotto Poppy, un robot stampato in 3D progettato per scopi di ricerca.

La creazione di Reachy2 prevedeva un nuovo processo di formazione in cui inizialmente un essere umano controlla il robot da remoto utilizzando un visore per la realtà virtuale. Quindi, il modello si allena sui video risultanti.

La formazione ha utilizzato 50 videoclip, ciascuno della durata di circa 15 secondi.

youtube.com/embed/oZxHkp4-DnM?…

Dopo 40.000 iterazioni di addestramento, Reachy2 ha imparato a prendere una mela, a porgerla a una persona e a tornare nella sua posizione originale. Dopo 60.000 iterazioni, è in grado di disporre le tazze su un vassoio. Il robot è dotato di manipolatori con 7 gradi di libertà e ciascuno può sollevare fino a 3 kg.

Negli ultimi anni, la robotica ha compiuto progressi straordinari grazie all’integrazione dell’intelligenza artificiale (IA), portando alla creazione di robot umanoidi sempre più avanzati. Questi robot sono progettati per svolgere una vasta gamma di compiti in diversi settori, tra cui l’industria e l’ambito domestico.

La domanda che molti si pongono è: cosa possiamo aspettarci nei prossimi anni? Avremo davvero la possibilità di avere robot in grado di fornire un aiuto significativo nelle nostre faccende domestiche?

Per quanto riguarda l’ambito domestico, l’idea di avere robot umanoidi che ci assistano nelle faccende quotidiane non è più solo fantascienza. Le tecnologie stanno evolvendo rapidamente, e molte aziende stanno lavorando per creare robot capaci di svolgere una vasta gamma di compiti domestici, come pulire la casa, cucinare, prendersi cura degli anziani e dei bambini, e persino fare la spesa.

Il robot sarà presto disponibile per l’acquisto. Il dataset con i video e il modello sono pubblicati su Hugging Face.

L'articolo Basta stirare camicie! Il robot Reachy2 penserà alle faccende di casa al tuo posto? proviene da il blog della sicurezza informatica.

Nonostante le stime e le previsioni elevate secondo cui l’intelligenza artificiale generativa cambierà la società, il suo impatto sul posto di lavoro non è stato ancora avvertito, secondo un recente sondaggio globale condotto da Nash Squared. Lo studio ha intervistato 322 dirigenti tecnologici in tutto il mondo, di cui il 51% ha implementato l’intelligenza artificiale generativa “in una certa misura” nei propri processi aziendali, e il 21% la utilizza più attivamente.

Il rapporto mostra che i casi d’uso reali dell’IA generativa sono vari. La maggior parte delle aziende sta ancora sperimentando la tecnologia e conducendo progetti pilota in varie aree. Tuttavia, il 39% degli intervistati che hanno adottato l’intelligenza artificiale riferiscono che la tecnologia ha avuto un impatto minimo o nullo sulle loro organizzazioni.

Nella maggior parte dei casi, l’intelligenza artificiale generativa viene utilizzata come strumento per migliorare la produttività personale: condurre ricerche, accelerare la creazione di documenti o materiale di marketing ed eseguire attività amministrative.

Questi risultati contraddicono le previsioni della società di consulenza EY sull’impatto dell’intelligenza artificiale sull’occupazione. Gli analisti di EY hanno precedentemente affermato che la tecnologia è destinata a “rivoluzionare la produttività e guidare l’innovazione in tutti i settori”. E altre società di analisi hanno addirittura previsto licenziamenti di massa, poiché il lavoro di molti dipendenti potrebbe essere completamente sostituito da strumenti di intelligenza artificiale.

La società di ricerca Gartner prevede finora solo un impatto moderato dell’intelligenza artificiale sulla spesa IT, poiché le aziende stanno ora scegliendo di limitarsi a progetti pilota per provare la tecnologia piuttosto che implementarla completamente.

Secondo un sondaggio di Nash Squared, il 54% degli intervistati ritiene che le grandi aziende modello di intelligenza artificiale non abbiano ancora dimostrato il business case per investimenti massicci nell’intelligenza artificiale generativa. Anche i vincoli di budget e le preoccupazioni sull’uso improprio degli strumenti sono fattori significativi che le organizzazioni devono considerare.

Anche l’impatto dell’IA sull’occupazione si è rivelato trascurabile. Secondo un sondaggio globale, solo un’azienda su dieci ha riferito di aver cambiato ruolo lavorativo e solo l’1% dei dirigenti vede l’intelligenza artificiale come un sostituto completo dei lavoratori umani.

Bev White, CEO di Nash Squared, ha affermato in una dichiarazione che mentre il tema della sostituzione dell’intelligenza artificiale generativa occupa spesso i titoli dei giornali, i risultati dell’azienda dimostrano chiaramente che le organizzazioni che hanno strettamente integrato l’intelligenza artificiale nei loro processi aziendali, hanno maggiori probabilità di aumentare il numero di dipendenti tecnici nel prossimo anno piuttosto che licenziare quelli esistenti.

Quindi, anche se ci sono molte previsioni sull’impatto rivoluzionario dell’intelligenza artificiale generativa sull’occupazione e sulla produttività, per ora il suo impatto reale rimane piuttosto modesto. Le aziende preferiscono ancora limitarsi a esperimenti e progetti pilota e non hanno fretta di implementare pienamente le tecnologie AI nei loro processi aziendali.

L'articolo Tutti licenziati dalle AI? Per ora gli impatti sono minimi se non nulli. Facciamo una analisi proviene da il blog della sicurezza informatica.

Nell’era digitale di oggi, la sicurezza delle applicazioni è di vitale importanza. Uno degli errori più comuni è il design insicuro, che può avere gravi conseguenze sulla sicurezza del sistema. Un design insicuro può rendere un’applicazione vulnerabile a molte minacce. Questo è il motivo per cui l’OWASP ha identificato il design insicuro come una delle principali preoccupazioni nella loro lista di vulnerabilità del 2021.

I difetti di progettazione possono influire negativamente su vari aspetti della sicurezza, tra cui la disponibilità, il rispetto delle politiche di sicurezza e la divulgazione di informazioni. Durante la fase di sviluppo, le scelte progettuali errate possono compromettere l’intero sistema. Ad esempio, non considerare i modelli di minaccia può portare a falle di sicurezza facilmente sfruttabili.

Adottare metodologie di design sicure consente di prevenire molte di queste vulnerabilità. Un design sicuro coinvolge l’uso di design pattern sicuri e architetture di riferimento, come suggerito dagli esperti di Foresite Cybersecurity. Questo post esplorerà i principi chiave del design sicuro e fornirà esempi pratici su come migliorare la sicurezza del design delle applicazioni.

Key Takeaways

• Importanza di evitare design insicuri nelle applicazioni.
• Principi fondamentali del design sicuro.
• Esempi pratici e metodologie per migliorare la sicurezza.

Concetti Fondamentali del Design Insicuro

Il design insicuro deriva da scelte progettuali inadeguate che possono portare a vulnerabilità e minacce. La sicurezza deve essere una priorità fin dall’inizio del progetto.

Difetti, Vulnerabilità e Minacce

Il design insicuro si manifesta principalmente attraverso difetti, vulnerabilità e minacce. I difetti di progettazione sono errori commessi durante la creazione dell’architettura del sistema o dell’applicazione. Questi difetti possono provocare la compromissione della sicurezza dell’intero sistema.

Le vulnerabilità derivano spesso da un’inefficace gestione dei dati e dall’assenza di controlli adeguati. Le minacce includono attacchi informatici che sfruttano questi difetti, come l’accesso non autorizzato o la perdita di dati sensibili. Una progettazione accurata deve includere modelli di minacce per identificare possibili punti di attacco durante la fase di sviluppo.

Le attività di minaccia devono essere integrate nelle sessioni di rifinitura per osservare i cambiamenti nei flussi di dati e nei controlli di accesso. Questo approccio aiuta a garantire che il design sia resistente agli attacchi noti.

Importanza del Design Sicuro

Il design sicuro è essenziale per proteggere applicazioni e sistemi contro minacce informatiche. Un design robusto valuta costantemente le minacce e include test di sicurezza in tutte le fasi. Integrare modelli di minaccia nelle attività di progettazione aiuta a rilevare e mitigare i rischi potenziali.

Un approccio proattivo alla sicurezza del design evita errori costosi e compromissioni future. Assicura che le applicazioni rispettino le politiche di sicurezza e best practices riconosciute. Ogni applicazione dovrebbe incorporare requisiti di sicurezza sia funzionali che non funzionali per coprire ogni aspetto della progettazione e del funzionamento.

Implementare un design sicuro e robusto richiede pianificazione e negoziazione del budget che coprano tutte le attività di progettazione, costruzione e test, incluso il funzionamento sicuro delle applicazioni, come indicato anche dall’OWASP.

Principi del Design Sicuro

I principi del design sicuro includono strategie fondamentali per proteggere applicazioni e sistemi. Tra questi troviamo il minimo privilegio, la difesa in profondità e il fallimento sicuro, che aiutano a ridurre i rischi di vulnerabilità legate alla progettazione.

Minimo Privilegio

Il principio del minimo privilegio sostiene che ogni utente e componente di un sistema dovrebbe avere solo le autorizzazioni necessarie per svolgere le proprie funzioni. Questo approccio limita i danni potenziali in caso di compromissione.

Impostare le autorizzazioni in modo restrittivo aiuta a prevenire accessi non autorizzati a dati sensibili.

Ad esempio, un impiegato di contabilità non dovrebbe avere accesso ai dati del reparto IT. Inoltre, l’accesso temporaneo può essere utilizzato per ulteriori restrizioni.

Difesa in Profondità (Defense in deep)

La difesa in profondità si basa sull’idea di implementare più livelli di sicurezza per proteggere un sistema. L’obiettivo è creare una serie di barriere che un attaccante deve superare.

Questi livelli possono includere firewall, sistemi di rilevamento delle intrusioni e controlli di accesso.

Ogni strato di sicurezza è progettato per bloccare attacchi diversi. Ad esempio, un firewall può bloccare il traffico non autorizzato mentre un IDS può rilevare attività sospette.

Fallimento Sicuro

Il fallimento sicuro implica che un sistema, in caso di guasto, entri in uno stato sicuro che non comprometta i dati o l’integrità del sistema stesso.

Questo principio è cruciale per evitare che gli errori portino a falle di sicurezza. Ad esempio, in caso di errore di autenticazione, un sistema dovrebbe negare l’accesso piuttosto che concederlo.

Implementare questi principi richiede una valutazione continua e un’adeguata pianificazione per garantire la massima sicurezza.

Esempio di Insecure Design in Python

Immaginiamo di avere una semplice applicazione web in Python che permette agli utenti di autenticarsi e visualizzare i propri dati personali. L’applicazione utilizza un database SQLite per memorizzare le informazioni degli utenti.

Codice di Esempio: Insecure Design

from flask import Flask, request, jsonify
import sqlite3

app = Flask(__name__)

# Inizializzazione del database
def init_db():
conn = sqlite3.connect('example.db')
cursor = conn.cursor()
cursor.execute('''
CREATE TABLE IF NOT EXISTS users (
id INTEGER PRIMARY KEY AUTOINCREMENT,
username TEXT NOT NULL,
password TEXT NOT NULL
)
''')
conn.commit()
conn.close()

# Funzione per autenticare l'utente
@app.route('/login', methods=['POST'])
def login():
username = request.form['username']
password = request.form['password']

conn = sqlite3.connect('example.db')
cursor = conn.cursor()

# Esempio di query SQL vulnerabile
query = f"SELECT * FROM users WHERE username = '{username}' AND password = '{password}'"
cursor.execute(query)
user = cursor.fetchone()
conn.close()

if user:
return jsonify({"message": "Login successful", "user": user})
else:
return jsonify({"message": "Invalid credentials"}), 401

if __name__ == '__main__':
init_db()
app.run(debug=True)

Spiegazione delle Vulnerabilità

1. SQL Injection: L’esempio di query SQL è vulnerabile a SQL injection. Un utente malintenzionato può manipolare l’input del campo username o password per eseguire comandi SQL arbitrari. Per esempio, un input admin' OR '1'='1 bypasserebbe l’autenticazione.
2. Progettazione Debole: Non ci sono misure di sicurezza aggiuntive come il hashing delle password. Le password sono memorizzate in testo chiaro nel database, rendendole vulnerabili in caso di compromissione del database.

Correzione del Codice: Secure Design

Per mitigare queste vulnerabilità, possiamo utilizzare pratiche di progettazione sicure come l’uso di query parametrizzate e il hashing delle password.

Codice di Esempio: Secure Design

from flask import Flask, request, jsonify
import sqlite3
from werkzeug.security import generate_password_hash, check_password_hash

app = Flask(__name__)

# Inizializzazione del database
def init_db():
conn = sqlite3.connect('example.db')
cursor = conn.cursor()
cursor.execute('''
CREATE TABLE IF NOT EXISTS users (
id INTEGER PRIMARY KEY AUTOINCREMENT,
username TEXT NOT NULL,
password TEXT NOT NULL
)
''')
conn.commit()
conn.close()

# Funzione per registrare un nuovo utente con password hashata
@app.route('/register', methods=['POST'])
def register():
username = request.form['username']
password = request.form['password']
hashed_password = generate_password_hash(password)

conn = sqlite3.connect('example.db')
cursor = conn.cursor()
cursor.execute("INSERT INTO users (username, password) VALUES (?, ?)", (username, hashed_password))
conn.commit()
conn.close()

return jsonify({"message": "User registered successfully"})

# Funzione per autenticare l'utente con password hashata
@app.route('/login', methods=['POST'])
def login():
username = request.form['username']
password = request.form['password']

conn = sqlite3.connect('example.db')
cursor = conn.cursor()
cursor.execute("SELECT * FROM users WHERE username = ?", (username,))
user = cursor.fetchone()
conn.close()

if user and check_password_hash(user[2], password):
return jsonify({"message": "Login successful", "user": user})
else:
return jsonify({"message": "Invalid credentials"}), 401

if __name__ == '__main__':
init_db()
app.run(debug=True)

Spiegazione delle Correzioni

1. Query Parametrizzate: Utilizzando il segnaposto ? nelle query SQL e passando i valori come tuple ((username,)), preveniamo le vulnerabilità di SQL injection.
2. Hashing delle Password: Utilizzando generate_password_hash per memorizzare le password in forma hashata e check_password_hash per verificare le password durante il login, proteggiamo le password degli utenti in caso di compromissione del database.

Metodologie per Migliorare la Sicurezza

Implementare pratiche come il threat modeling e utilizzare strumenti specifici sono essenziali per migliorare la sicurezza. Questi approcci aiutano a identificare e risolvere le vulnerabilità durante il ciclo di vita dello sviluppo del software.

Threat Modeling

Il threat modeling è un processo strutturato per identificare potenziali minacce e vulnerabilità in un sistema. Gli sviluppatori analizzano l’architettura, i punti di ingresso e le interazioni del sistema.

Questo consente di anticipare i possibili attacchi e di progettare contromisure efficaci. Una pratica comune è creare diagrammi di flusso dei dati per visualizzare come l’informazione si muove nel sistema. STRIDE, un framework utilizzato per il threat modeling, aiuta a classificare le minacce in varie categorie come Spoofing, Tampering, e Information Disclosure.

Strumenti e Pratiche

L’uso di strumenti specifici e la conformità a pratiche collaudate sono fondamentali. Strumenti come OWASP ZAP e Burp Suite possono automatizzare il processo di identificazione delle vulnerabilità. Implementare librerie di design pattern sicuri offre componenti pronti all’uso che minimizzano gli errori di progettazione.

Adottare l’approccio Shift Left implica integrare la sicurezza nelle prime fasi dello sviluppo. Monitorare l’ambiente di produzione con strumenti come Splunk o ELK Stack permette di rilevare anomalie e prontamente rispondere agli incidenti di sicurezza.

Misurazione dell’Adeguamento del Design

Misurare se il design di un’applicazione è sicuro è essenziale per garantire che rispetti gli standard di sicurezza richiesti. Questo processo coinvolge l’uso di metriche specifiche e la conduzione di revisioni e valutazioni dettagliate.

Metriche di Sicurezza

Le metriche di sicurezza sono utili per valutare l’adeguatezza del design. Il numero di vulnerabilità identificate è una metrica chiave. Più vulnerabilità ci sono, meno sicuro è il design.

Un’altra metrica importante è i tempi di risposta agli incidenti. Un design sicuro consente risposte rapide. Monitorare il tasso di successo degli attacchi può anche rivelare punti deboli.

L’efficacia delle misure di mitigazione indica quanto bene il design protegge contro le minacce. Raccogliere queste metriche consente di identificare aree in cui il design può essere migliorato.

Revisioni e Valutazioni

Le revisioni e valutazioni del design coinvolgono analisi approfondite. Le revisioni del codice cercano potenziali vulnerabilità direttamente nel codice sorgente.

Test di penetrazione simulano attacchi reali per verificare quanto bene il design resiste alle minacce. Le valutazioni di conformità verificano che il design segua gli standard di sicurezza e le best practices.

Coinvolgere esperti indipendenti nelle revisioni può offrire nuove prospettive e identificare problemi non visti dal team interno. La revisione continua e regolare del design è cruciale per mantenere un alto livello di sicurezza e adattarsi alle nuove minacce.

Usare queste tecniche aiuta a garantire che il design rimanga robusto e sicuro nel tempo.

Risorse e Strumenti Complementari

Utilizzare risorse e strumenti complementari può aiutare a progettare sistemi più sicuri e ridurre le vulnerabilità legate a design insicuri. Librerie, framework, standard e linee guida specifiche sono particolarmente utili per migliorare la sicurezza delle applicazioni.

Librerie e Framework

L’uso di librerie e framework ben documentati e supportati è essenziale per creare un design sicuro. OWASP ASVS (Application Security Verification Standard) è una risorsa importante che offre linee guida dettagliate per la verifica della sicurezza delle applicazioni. Spring Security è un framework Java che fornisce molte funzionalità preconfigurate per l’autenticazione e l’autorizzazione.

Node.js ha varie librerie come Helmet che aiuta a proteggere le applicazioni web impostando intestazioni HTTP sicure. Django per Python include un proprio set di strumenti di sicurezza integrati, come la protezione CSRF (Cross-Site Request Forgery). L’uso di questi strumenti facilita l’implementazione di misure di sicurezza standardizzate, riducendo il rischio di errori umani.

Standard e Linee Guida

ISO/IEC 27001 è uno degli standard internazionali più riconosciuti per la gestione della sicurezza delle informazioni. Questo standard fornisce un framework per la gestione della sicurezza delle informazioni tramite best practices e requisiti specifici.

Le linee guida OWASP sono fondamentali per chiunque lavori nell’ambito della sicurezza applicativa. Il documento OWASP Top Ten offre un elenco aggiornato delle vulnerabilità più critiche, comprese quelle relative al design insicuro.

Infine, l’NIST SP 800-53 fornisce un catalogo di controlli di sicurezza e privacy che possono essere implementati per migliorare la postura di sicurezza di un’organizzazione. Questi standard e linee guida aiutano a garantire che le pratiche di sicurezza siano coerenti e efficaci.

L'articolo OWASP A04 Insecure Design: Prevenire Vulnerabilità nelle Applicazioni proviene da il blog della sicurezza informatica.

Uno scritto davvero interessante, prepotente e sincero senza freni e rivelatore, per uno scrittore fra i più interessanti dello spaghetti weird. @L’angolo del lettore

iyezine.com/michele-borgogni-t…

Michele Borgogni - Terror Supermarket

Michele Borgogni - Terror Supermarket - Terror Supermarket: Michele Borgogni iper realista e descrive cosa potrebbe succedere in un supermercato se cadessero le flebili barriere ipocrite - Terror Supermarket

^{Massimo Argo (In Your Eyes ezine)}

Questo Memories Have Faces esce a quasi dieci anni di distanza da Inside Out Your Mind, ultimo vagito su trentatré della band, dimostrandosi, a mio modesto avviso, ancora superiore al suo già di per sé brillantissimo predecessore;  a riprova, se mai ce ne fosse bisogno, di come passione, competenza e sacro fuoco non abbandonino chi di certe sonorità si è reso uno dei più credibili e quotati alfieri.

@Musica Agorà

iyezine.com/the-loons-memories…

The Loons - Memories Have Faces

The Loons - Memories Have Faces - The Loons - Dream In Jade Green - The Loons

^{Il Santo (In Your Eyes ezine)}

Ad ulteriore dimostrazione di quanto ho scritto in occasione delle sue precedenti uscite, i nove pezzi di questo nuovo album si aprono con suggestioni tra il deserto e lo spazio infinito di Dirty Ground passando poi all'andamento doloroso di Light the Incense.
@Musica Agorà

iyezine.com/black-snake-moan-l…

Black Snake Moan - Lost In Time 

Black Snake Moan - Lost In Time  - Black Snake Moan - Lost In Time: - Black Snake Moan

^{Il Santo (In Your Eyes ezine)}

“The healer” su Thrill Jockey Records è il quinto disco sulla lunga distanza per i Sumac, gruppo di punta del rumorismo e della totale libertà musicale. Il gruppo formato da Nick Yacyshyn, Brian Cook e Aaron Turner torna a disegnare ardite parabole nei consumati cieli della musica moderna. @Musica Agorà

iyezine.com/sumac-the-healer

Sumac - The healer

Sumac - The healer - Sumac: una delle più particolari e meravigliose esperienze sonore che possiate compiere in questi tempi aridi. - Sumac

^{Massimo Argo (In Your Eyes ezine)}