Privacy, norme per le telecamere

Nuove regole per la videosorveglianza

L'Autorità Garante per la protezione dei dati personali ha varato le nuove norme per installare telecamere e sistemi di videosorveglianza, nel rispetto della libertà delle persone. Obbligatori cartelli per segnalare la presenza di telecamere e la verifica da parte del Garante dei sistemi stessi, prima della loro attivazione. Il periodo per adeguarsi è stato fissato, a seconda degli adempimenti, da un minimo di sei mesi ad un massimo di un anno.

Il Garante interviene per garantire la libertà delle persone modificando la legislazione relativa all'uso delle telecamere di sorveglianza. Appositi cartelli per segnalare la presenza di telecamere collegate con le sale operative delle forze di polizia. Obbligo di sottoporre alla verifica del Garante privacy, prima della loro attivazione, i sistemi che presentino rischi per i diritti e le libertà fondamentali delle persone, come i sistemi tecnologicamente avanzati o "intelligenti". Conservazione a tempo delle immagini registrate.

Il provvedimento generale, che sostituisce quello del 2004 e introduce importanti novità, si è reso necessario non solo alla luce dell'aumento massiccio di sistemi di videosorveglianza per diverse finalità (prevenzione accertamento e repressione dei reati, sicurezza pubblica, tutela della proprietà privata, controllo stradale etc.), ma anche in considerazione dei numerosi interventi legislativi adottati in materia: tra questi, quelli più recenti che hanno attribuito ai sindaci e ai comuni specifiche competenze in materia di incolumità pubblica e di sicurezza urbana, così come le norme, anche regionali, che hanno incentivato l'uso di telecamere.

Le regole per le infrazioni stradaliQuanto alle violazioni al codice della strada, sono "obbligatori i cartelli che segnalino i sistemi elettronici di rilevamento delle infrazioni. Le telecamere devono riprendere solo la targa del veicolo, non conducente, passeggeri, eventuali pedoni. Le fotografie o i video che attestano l'infrazione non devono essere inviati al domicilio dell'intestatario del veicolo". Lecito l'utilizzo di telecamere per controllare discariche di sostanze pericolose e piazzole ecologiche, per monitorare modalita' del loro uso, tipologia dei rifiuti scaricati e orario di deposito.

Telecamere anche sul lavoro
Sui luoghi di lavoro, "le telecamere possono essere installate solo nel rispetto delle norme in materia di lavoro. Vietato comunque il controllo a distanza dei lavoratori, sia all'interno degli edifici, sia in altri luoghi di prestazione del lavoro, come in cantieri o nei veicoli".

Protezione delle scuole dai vandaliNegli istituti scolastici, "ammessa l'installazione di sistemi di videosorveglianza per la tutela contro gli atti vandalici, con riprese delimitate alle sole aree interessate e solo negli orari di chiusura". Inoltre, a bordo dei taxi "le telecamere non devono riprendere in modo stabile la postazione di guida". Sul trasporto pubblico, "lecita l'installazione sui mezzi e presso le fermate, ma rispettando limiti precisi: ad esempio la visuale circoscritta e le riprese senza l'uso di zoom".

Le webcam turistiche
Con le webcam a scopo turistico, "la ripresa delle immagini deve avvenire con modalita' che non rendano identificabili le persone". Infine, a tutela delle persone e della proprieta', contro possibili aggressioni, furti, rapine, danneggiamenti, atti di vandalismo, prevenzione incendi, sicurezza del lavoro, "si possono installare telecamere senza il consenso dei soggetti ripresi", ma sempre sulla base delle prescrizioni indicate dal Garante.
Pubblicato da alle Nessun commento:

Clickjacking 2.0 with drag & drop

Clickjacking is a term first introduced by Jeremiah Grossman and Robert Hansen in 2008 to describe a technique whereby an attacker tricks a user into performing certain actions on a website by hiding clickable elements inside an invisible iframe.
Although it has been two years since the concept was first introduced, most websites still have not implemented effective protection against clickjacking. In part, this may be because of the difficulty of visualising how the technique works in practice.
This new browser-based tool allows a user to experiment with clickjacking techniques by using point-and-click to visually select different elements within a webpage to be targeted. The tool also allows several 'next-generation' clickjacking techniques to be used, as introduced in Paul Stone's Blackhat Europe 2010 talk.
Among the features of the new tool are:
  • Use point-and-click to select the areas of a page to be targeted
  • Supports the new 'text-field injection' technique
  • Supports the new 'content extraction' technique
  • 'Visible mode' replay allowing a user to see how the technique works behind the science
  • 'Hidden mode' replay allows the same steps to be replayed in a hidden manner, simulating a real clickjacking attack.
The tool is currently in an early beta stage, and works best in Firefox 3.6. Full support for other browsers will follow shortly. For further information, please see the Readme.txt file in the downloadable tool.

Download the Clickjacking tool
Source :  http://www.contextis.co.uk/resources/tools/clickjacking-tool/
Pubblicato da alle Nessun commento:

Apache sotto attacco


L'attacco a "Fort Apache" di questi giorni interessa la Apache Software Foundation, che mantiene il progetto dell'omonimo server web. Gli hacker sono penetrati sfruttando un'ignota falla di tipo cross-site scripting (XSS), hanno installato un software ruba-password e ottenuto credenziali di "basso livello" appartenenti a sviluppatori Apache.

"Nessun codice sorgente è stato impattato in alcun modo", assicura il vicepresidente della fondazione Philip Gollucci. Per penetrare dentro Apache i criminali hanno attaccato il software web di Atlassian, sviluppatrice di tool di tracking e collaborazione e fornitrice di Apache stessa. Oltre che della falla XSS, l'attacco è consistito nel brute-forcing della password di accesso grazie alla quale gli autori sono entrati nel server e hanno installato un trojan.

Il duplice risultato raggiunto dai criminali è stato il guadagnare l'accesso alla wiki Confluence e a Bugzilla, oltre che al server Minotaur.apache.org che ospita People.apache.org su cui sono registrati gli shell account degli sviluppatori Apache. Non che i criminali abbiano potuto combinare granché con i suddetti account, dice Apache, perché le informazioni contenute sui server compromessi erano di basso profilo e mancanti dei dati sulle falle del codice open source ospitati altrove.
L'attacco è cominciato il 6 aprile scorso ed è stato notato dagli amministratori 3 giorni dopo, quando già gli autori avevano rubato le credenziali d'accesso compromesse. Non è chiaro se l'obiettivo fosse colpire Apache o Atlassian, che oltre a fornire software alla prima impiega anche alcuni dei suoi sviluppatori. Sul proprio blog la società australiana riconosce le proprie responsabilità e chiede scusa dell'accaduto, frutto di "un grosso errore" di valutazione da non ripetersi più in futuro.
Fonte : http://www.pierotofy.it 
Pubblicato da alle Nessun commento:

Java vulnerability - when lyric sites attack

According to anti-virus software vendor AVG, web sites are now actively exploiting the Java vulnerability Web Start disclosed at the end of last week, to infect Windows PCs. These include the popular songlyrics.com platform, from which users can download lyrics for the latest hits. The web site appears to have been hacked by criminals who have embedded a program to download malicious code from a Russian web server.

The vulnerability is the result of insufficient filtering of URLs, allowing them to be used to pass arguments to Java Web Start, which in turn can be used to launch local applications. Web Start can be exploited to download and run malicious code from the web. The vulnerability is not a problem in Windows alone – Unix is also affected although Java for Mac OS X is apparently not affected.

According to analysis by Wepawet (information on Wepawet can be found in The H article "Tracking down malware"), the attackers are not just exploiting the Java vulnerability, but also multiple vulnerabilities in Adobe Reader. Adobe yesterday fixed 15 vulnerabilities in Reader with update 9.3.2.

A solution for Java is also at hand – Oracle has released Update 20 for Java 6, which reportedly fixes the problem. Certainly the exploit published by Tavis Ormandy no longer works in either Internet Explorer or Firefox after installing the new version. Oracle has reacted with surprising speed. As recently as Friday, Ormandy reported that Sun did not consider the vulnerability to be sufficiently critical to release an emergency patch outside of its three-month patch cycle. Although Oracle did carry out its quarterly critical patch update yesterday, Java was not mentioned.

In its release notes for the Java 6 Update 20, Oracle does not say exactly what has been patched. At first sight it would appear that the vulnerable components are no longer loaded in the browser, i.e. that the actual vulnerability has genuinely been fixed.

However, it seems the Java update does not prevent the exploit from working in all cases. The cause is currently unclear. As an alternative, Internet Explorer users can set a kill bit and disable the ActiveX control responsible by creating a registry key. To prevent the system from being vulnerable, users can place the following text into a file called file-kill.reg and double click the file:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}]
"Compatibility Flags"=dword:00000400

Windows will then automatically import the key (admin rights are required to perform this action). In Firefox, it's sufficient to disable all of the Java Deployment Toolkit modules under Tools / Add-ons / Plug-ins.
Source: http://www.h-online.com
Pubblicato da alle Nessun commento:

Nuovo virus sfrutta ancora una volta Acrobat Reader

La Symantec ha comunicato che il virus Trojan.Dosvine è stato utilizzato per attacchi DDoS (Distributed Denial of Service) contro le risorse del governo vietnamita.

Purtroppo questo malware può essere sfruttato anche per altre azioni illecite come ad esempio rubare denaro online, o addirittura rubare l’identità. Il Trojan.Dosvine riuscirebbe ad entrare nei pc sfruttando il file .exe presente in Acrobat Reader che permette di aggiornare automaticamente il programma.

Fonte : http://www.pc-facile.com
Pubblicato da alle Nessun commento:

Quali sono i 10 "Torrent Finder" più usati?

Ho cominciato ad utilizzare BitTorrent per pura curiosità e sentito dire dagli inizi dello scorso anno, subito me ne affezionai. I client offrono una grafica molto spiccia ma allo stesso tempo ricca di informazioni preziose, utili all’utente per effettuare le proprie scelte e i propri settaggi.
A differenza dei cugini come eMule, kazaa e shareaza, BitTorrent non implementa al suo interno un sistema di ricerca file, in quanto per ragioni prettamente progettuali il sistema non è connesso a nessun server o nodo principale. Si utilizza allora un seme, il .Torrent, un file di qualche decine di kbyte che contiene al suo interno le coordinate e le informazioni generali di ciò che si è cercato.

Tutti questi .Torrent sono collezionati in dei motori di ricerca, dalle funzioni simili a Google, in grado di assolvere le richieste controllando la disponibilità all’interno dei propri archivi. Seppure l’idea non sembra rivoluzionaria, garantisce una velocità di trasferimento impensabile con i p2p convenzionali.

Recentemente è stata effettuata una classifica dei "Torrent Finder" inserendo un contatore che registrasse ogni singola richiesta di ricerca, e questo è il risultato:

1-Btjunkie.org
2-Bittorrent.com
3-Torrentreactor.net
4-Isohunt.com
5-Meganova.org
6-Mininova.org
7-ThePirateBay.org
8-Torrentportal.com
9-Torrentspy.com
10-Torrentz.com

Fonte :  http://www.pc-facile.com
Pubblicato da alle Nessun commento:
Iscriviti a: Post (Atom)