RSS

Archivi categoria: security

Si fa presto a dire cybersecurity

hacked

“Mancanza di opportune decisioni politiche e gestionali”: secondo Giuseppe Esposito, vicepresidente del Copasir (Comitato Parlamentare per la Sicurezza della Repubblica), sono queste le motivazioni delle criticità e vulnerabilità che hanno aperto le porte all’attacco informatico che ha colpito il Ministero degli Esteri nel 2016 e partito, secondo quanto riferito dal Guardian, dalla Russia. Da alcuni dettagli emersi nelle scorse ore, però, si apprende che l’attività di spionaggio ai danni della Farnesina potrebbe essere iniziata nel 2014.

“Sulla cybersecurity in molte parti le nostre piattaforme sono un colabrodo” ha evidenziato con perspicacia Esposito. Ma questa, probabilmente, è l’unica certezza che abbiamo, mentre su tutto il resto è ancora necessario fare chiarezza. A cominciare dai sospetti caduti sui russi, gli stessi che avrebbero violato le mail di Hillary Clinton e favorito le elezioni di Donald Trump, ma sui quali non sono state ancora trovate prove: il dato ancora sconosciuto è la reale origine degli attacchi, che potrebbero essere stati veicolati da un malware “simile a quelli usati anche dalla scuola russa di polizia informatica“.

In realtà il Ministero degli Esteri ha confermato solo di aver subito alcuni attacchi, che non avrebbero penetrato “un livello criptato di firewall” (eh?), senza confermare – ne’ tantomeno accennare – alcun sospetto sulla loro provenienza. Nulla avrebbe comunque compromesso le comunicazioni di Paolo Gentiloni (all’epoca responsabile del ministero), dal momento che per la corrispondenza riservata farebbe abitualmente uso solo di “carta e penna”. Il non trascurabile fatto che Gentiloni, in passato, sia stato ministro delle Comunicazioni la dice lunga sulla sua fiducia nella sicurezza dei sistemi di comunicazione utilizzati a livello istituzione e conferma – seppur indirettamente – le considerazioni di Esposito sulle “piattaforme colabrodo”.

Ma perché sono un colabrodo? Quello che Esposito dice in merito alla mancanza di opportune decisioni politiche e gestionali è un riferimento ai limiti delle nostre istituzioni: semplicemente, ancor oggi che ci troviamo nel 2017, la sicurezza delle informazioni non è ritenuta una priorità, perché la classe politica è formata in buona parte da persone che non sono in grado di coglierne l’importanza strategica. E se il dna del nostro parlamento non fosse ancora così prevalentemente analogico, forse si saprebbe almeno qualcosa sull’impiego di quei 150 milioni di euro previsti dalla Legge di Stabilità per la cybersecurity.

 

 
1 Commento

Pubblicato da su 13 febbraio 2017 in news, security

 

Tag: , , , , , , , , , ,

Il phishing giudiziario

arresto

Non bastano le querele fasulle, adesso anche l’arresto che sta per entrare in vigore (con testi fantasiosi e link che portano a siti esotici di nulla affidabilità).

Se lo ricevete non spaventatevi... cestinate e basta!

 
Lascia un commento

Pubblicato da su 26 maggio 2016 in security

 

Tag: , , , ,

Meglio un backup in più (troppi ransomware in circolazione)

Nei giorni scorsi le società di sicurezza informatica hanno rilevato un impressionante aumento di infezioni nel traffico e-mail in circolazione. Secondo Eset, venerdì 11 marzo, il trojan Nemucod ha raggiunto il picco di infezioni del 42%. Si tratta di un malware (un “software malevolo” e malefico, aggiungo io) che si diffonde attraverso messaggi ingannevoli inviati con documenti fasulli (bollette, fatture o altri documenti ufficiali) che invitano ad aprire un allegato o a cliccare un link, che porta ad un programma (un file JavaScript). Una volta aperto, senza che l’utente se ne possa accorgere, il programma scarica e installa sul computer il malware che cripta i file office. I file diventano inaccessibili e, per ripristinarli, viene richiesto il pagamento di un riscatto per la decodifica.

Questo è un esempio di messaggio “infetto”:

FalsaBollettaOnline

Ci sono vari indizi che permettono di identificarlo come messaggio ingannevole:

  • MITTENTE FASULLO – non raramente, accanto ad un nome apparentemente affidabile e coerente con il tipo messaggio ricevuto, compare un indirizzo che non ha nulla a che vedere con chi dovrebbe aver spedito il messaggio
  • DESTINATARIO – c’è il vostro nome, che è ripetuto nell’oggetto e nel testo del messaggio. E’ stato ricavato dall’indirizzo mail, potrebbe non corrispondere all’intestatario della bolletta
  • CODICE FISCALE – è palesemente errato

Che fare? Non aprire gli allegati, non cliccate sui link. Eliminate il messaggio, anche dal cestino.

Misure di sicurezza preventive: dotarsi di software antispam e antivirus aggiornati con frequenza è sicuramente d’aiuto, ma spesso questi messaggi non vengono identificati, soprattutto se – anziché avere un allegato infetto – basano la propria azione su un link. Quindi, oltre a  prevenire e mantenere gli occhi aperti, ricordate di effettuare frequentemente il backup dei vostri dati, ovviamente su un supporto diverso. Questa è una misura di sicurezza fondamentale, non sottovalutatene l’importanza.

Chi cade in trappola si ritroverà a non poter più accedere ai propri file: se il computer è collegato ad una rete aziendale o domestica, il rischio è di compromettere anche il frutto del lavoro di altre persone. Generalmente, infatti, il malware cripta documenti, fogli elettronici, foto e altre immagini, presenti sull’hard disk del computer e su tutti i supporti di memorizzazione collegati (inclusi drive USB e di rete) mentre non tocca sistema operativo, programmi e applicazioni. Il suo obiettivo è quello di bloccare l’accesso ai file a cui tenete di più, su cui avete lavorato e investito tempo.

Considerazione non trascurabile: questo particolare tipo di malware si chiama ransomware, dal termine inglese ransom che significa riscatto e si lega al concetti di estorsione, che è un reato. Chi pone in essere la minaccia punta ad ottenere un pagamento di denaro (in bitcoin, con transazioni non tracciabili) per finanziare chissà quali attività. E’ comprensibile che, per la disperazione di perdere file realmente importanti, si possa cadere nella tentazione di pagare il riscatto, in seguito al quale ricevere la soluzione per liberare i file bloccati. Tuttavia è bene sapere che non sempre il risultato è garantito: non sono rari i casi in cui la chiave non è stata recapitata alle vittime, così come ad altri è accaduto di recuperare solo una parte dei file criptati. Quindi, in mancanza di un backup valido, se proprio ci si vede costretti a dover recuperare i file dalla cifratura, anziché foraggiare un criminale è consigliabile affidarsi ad esperti in grado di recuperare dati criptati da un ransomware.

 
Commenti disabilitati su Meglio un backup in più (troppi ransomware in circolazione)

Pubblicato da su 17 marzo 2016 in Buono a sapersi, security

 

Tag: , , , , ,

“Novità” su intercettazioni, acqua calda riscaldata

hqdefault[1]

Ma veramente qualcuno si stupisce che le conversazioni telefoniche di Silvio Berlusconi fossero intercettate nel periodo del suo mandato di presidenza del consiglio? Con tutto il clamore e le informazioni esplose in seguito al Datagate nel 2013 (anno in cui fu reso noto che anche in Italia esistevano centrali di intercettazione)? Con tutte le trascrizioni di conversazioni – sia frivole che istituzionali – pubblicate anche dai rotocalchi?

Ribadisco un concetto che ho già esposto nell’ottobre 2013, quando “improvvisamente” si scoprì che anche l’Italia era coinvolta nel programma di sorveglianza elettronica da parte della NSA:

Il Copasir è il Comitato Parlamentare per la Sicurezza della Repubblica. La stessa istituzione che, alla notizia che Telecom Italia sarebbe passata in mani spagnole, ha lanciato un allarme di sicurezza nazionale, senza ricordare che da anni le Pubbliche Amministrazioni italiane fruiscono di servizi di telecomunicazioni di compagnie di proprietà non italiane, che quindi per anni hanno veicolato dati personali e sensibili di tutti i cittadini italiani, senza generare alcuna necessità di allarme.

Ora, questa stessa istituzione su cui noi tutti dovremmo poter contare, quattro mesi dopo la diffusione delle notizie sul Datagate, ci svela con solennità che anche l’Italia è stata coinvolta nel programma di sorveglianza elettronica.

Verrebbe da dire che il Copasir sta alla sicurezza nazionale come i curiosi stanno agli incidenti stradali.

A margine di queste considerazioni, una nota ANSA per sorridere un po’:

“L’Italia non ha mai concesso agli Usa di intercettare cittadini italiani”. Così l’ex presidente del Copasir Massimo D’Alema, parlando ad una manifestazione elettorale a Trento. D’Alema sottolinea la necessità di un chiarimento sul ‘Datagate’: “Siamo un Paese sovrano e da noi per esempio non possono essere effettuate intercettazioni dei cittadini italiani senza l’autorizzazione della magistratura”.

Certo, per dare corso ad un’operazione di spionaggio sarebbe lecito attendersi la richiesta di permesso:

Salve, siamo agenti segreti americani. Vorremmo intercettare telefonate e corrispondenza elettronica di cittadini italiani, possiamo?

No.

Ok, scusateci per la richiesta. Non lo faremo. Arrivederci

D’altro canto,  “da noi per esempio non possono essere effettuate intercettazioni dei cittadini italiani senza l’autorizzazione della magistratura”. Esattamente come non è possibile evadere il fisco, rubare o uccidere, perché sono azioni che vanno contro la legge, e nessuno le compie (!)

Chi oggi si stupisce ha la memoria corta, oppure ha interesse a rispolverare l’argomento al momento giusto per propria convenienza.

 

 
Commenti disabilitati su “Novità” su intercettazioni, acqua calda riscaldata

Pubblicato da su 24 febbraio 2016 in cellulari & smartphone, mumble mumble (pensieri), News da Internet, pessimismo & fastidio, privacy, security

 

Tag: , , , , , , ,

L’insostenibile leggerezza delle password

ashleymad_pass[1]

Qualche settimana fa, parlando di (in)sicurezza, avevo citato il caso Ashley Madison, il sito web per incontri clandestini a cui sono stati carpiti i dati personali di oltre 30 milioni di utenti. Nei giorni scorsi sono state rese note le password più utilizzate da una parte degli iscritti.

Se tanto mi dà tanto, mettendo insieme le password più universali con quelle più aderenti al contesto (ma comunque prevedibili), si forma un elenco che è uno specchio della (scarsa) consapevolezza dell’importanza delle password. Non parlo solo di chi è iscritto ad Ashley Madison, ma della generalità degli utenti.

Anche da questo punto di vista ci sarebbe da mettersi le mani nei capelli: affidare la sicurezza delle proprie informazioni personali a una password come 123456 è alquanto puerile e ridicolo.

Se questa situazione vi ricorda quanto già visto in altri casi (come con The Fappening), siete sulla buona strada per capire che sarebbe ora di pensare meglio alla sicurezza delle proprie informazioni personali.

 

 
Commenti disabilitati su L’insostenibile leggerezza delle password

Pubblicato da su 15 settembre 2015 in News da Internet, privacy, security

 

Tag: , , ,

Fidarsi è bene. Non fidarsi è un dovere

Lock_secure_security_password[1]

Tra le news tecnologiche pubblicate in questi giorni, alcune spiccano perché riguardano vulnerabilità, privacy e altri problemi di sicurezza. E ci ricordano che nel mondo digitale la sicurezza assoluta non esiste.

  1. Scopre una falla in Messenger e gli revocano lo stage a Facebook: Aran Khanna avrebbe dovuto iniziare uno stage presso Facebook, ma prima ha pensato bene (male) di rendere pubblico una vulnerabilità di Messenger. Il giovane studente di Harvard si è reso conto che l’applicazione condivide automaticamente la localizzazione degli utenti delle chat e ha pubblicato Marauder’s Map, un’estensione per il browser Chrome che sfrutta questo problema per seguire amici e persone presenti in chat di gruppo. Facebook ha chiesto allo studente il silenzio e la rimozione dell’estensione, ma nonostante le richieste siano state esaudite, lo stage gli è stato revocato, poiché ciò che era stato pubblicato andava contro gli elevati standard etici dell’azienda. Qui, oltre alla notizia sulla falla in Messenger, ci sarebbe anche da approfondire l’applicazione degli elevati standard etici da parte di Facebook.
  2. Smascherati 32 milioni di utenti del sito di incontri clandestini Ashley Madison: un mese il sito americano fu saccheggiato del suo database con i dati dei suoi iscritti. Ora sono stati pubblicati: 10 GB di dati corrispondenti a 32 milioni di utenti. Tra i nomi degli iscritti figura anche un utente registrato con il nome di ‘Tony Blair’. Tra i dati trafugati, indirizzi residenziali ed e-mail, nonché tutte le informazioni relative a sette anni di transazioni e pagamenti online. Il sito Ashley Madison, per sua stessa definizione, è il più famoso sito d’incontri per adulteri. Da clandestini a pubblici.
  3. Ennesima falla identificata in Internet ExplorerMicrosoft ha pubblicato una patch (sì, una pezza) per tappare una nuova falla scoperta nel suo browser Internet Explorer. La scoperta anche in questo caso è stata portata alla luce da un estraneo, il ricercatore di sicurezza Clement Lecigne che lavora per Google: la vulnerabilità potrebbe consentire l’esecuzione di malware attraverso un sito web, a cui un utente potrebbe essere indotto ad approdare tramite messaggi e-mail fraudolenti. Il problema non affligge il nuovo browser Microsoft Edge.

Questi problemi di sicurezza ci riguardano da vicino. Pensate al caso Ashley Madison: senza considerare il particolare tipo di servizio che offre, si tratta di un saccheggio di dati da un sito che richiede un’iscrizione, come accade per molti altri servizi, anche più innocenti. In cui, ai dati conferiti all’iscrizione, vengono collegate altre informazioni. Dati personali, sensibili che possono essere utili alla profilazione degli utenti, a conoscerli meglio.

Al netto dei nostri usi e costumi, e del fatto che un utente può non avere nulla da nascondere, non sempre è gradito vedere le proprie informazioni personali esposte sulla pubblica piazza, per i più svariati motivi, e tutti legittimi, trattandosi di dati personali.
Ergo, vale sempre la consueta raccomandazione: anche in rete, fate un uso consapevole delle informazioni personali che trasmettete o condividete.
Navigate responsabilmente 😉

 
1 Commento

Pubblicato da su 19 agosto 2015 in security

 

Tag: , , , , , , , , ,

Phishing maldestro: il pacco non consegnato

Cattura

Attenzione alle false informazioni su fantomatiche spedizioni in arrivo a casa vostra.

Quella che vi riporto, ad un’occhiata superficiale (quella che un utente potrebbe buttare sul messaggio per alcuni secondi), potrebbe sembrare attendibile e indurre a cliccare sull’allegato, soprattutto se siete in attesa di una consegna.

Ma ecco quattro indizi che denotano l’approssimazione con cui è stato composto il messaggio, un’approssimazione che un’azienda seria, cioè un mittente attendibile, non potrebbe certo permettersi nel corrispondere con i clienti, e grazie ai quali è possibile identificare il phishing:

  1. L’allegato ha il nome generico Numero collo senza alcuna informazione specifica.
  2. Quale link sottostante? .
  3. Ufficio postaly? La parola postaly in effetti dovrebbe significare postale, ma in lingua ceca, non nella lingua in cui è stato scritto il resto del messaggio.
  4. Hai? Mi danno del lei in tutto il messaggio e nell’ultima frase mi danno del tu? Cambiamento di stile improbabile,

Il tipo di messaggio può cambiare, così come il formato dell’allegato e il mittente (che potrebbe apparire come un qualsiasi corriere). Ciò che non cambia è il rischio di imbattersi in un malware. Ma ora che sapete che non dovete mai cliccare sul link che vi propongono, ne’ aprire l’allegato (se presenti), non vi resta altro che cestinare senza pietà.

 

 
Commenti disabilitati su Phishing maldestro: il pacco non consegnato

Pubblicato da su 6 agosto 2015 in security

 

Tag: , , , , ,

Nel mondo digitale la sicurezza assoluta non esiste. Punto

piccola2[1]

Senza scendere in dettagli sull’argomento specifico, vorrei solamente sottolineare che l’attacco ad Hacking Team (azienda italiana che si occupa di sicurezza informatica) conferma che nel mondo digitale non esiste la sicurezza assoluta e quindi nessuna cassaforte è inespugnabile. E’ sempre questione di tempo, determinazione e risorse.

Sul tema specifico, uno degli spunti di riflessione più interessanti lo ha scritto da Matteo Flora, che evidenzia in particolare:

Nel caso non vi fosse ancora chiaro, dal 6 di Luglio uno dei più sofisticati e perfezionati sistemi di intercettazione a livello globale è libero e disponibile a chi ha anche limitate capacità di comprendere ed installare il codice che si trova all’interno dei Torrent. Significa che in capo a pochi giorni assisteremo alla messa online di installazioni di “Black RCS” o “Black Galileo”: installazioni “pirata” del software con bersagli decisi dai criminali. E questi bersagli possono benissimo essere politici, magistrati, competitor o anche – nel caso di paesi diversamente democratici – attivisti e oppositori di regime.

Al netto delle varie considerazioni che potremmo fare su come si sia potuta verificare una simile fuga di dati & informazioni (non escludendo l’opera di qualche insider), altri spunti vengono dalle domande che pone Umberto Rapetto:

Riusciamo a prendere per buona la versione di un’azienda che le organizzazioni a tutela dei diritti civili non hanno mai considerato attendibile e che oggi invita a considerare una bufala tutto quel che sta saltando fuori? O leggendo le righe di codice che – a dispetto delle cancellazioni da questo e quel sito – continuano a veleggiare su Internet come monito, dobbiamo temere il peggio?

Le organizzazioni pubbliche e private che hanno comprato prodotti e servizi del genere, adesso, cosa hanno da raccontare? Qualcuno ha immaginato di individuare il responsabile di certi tanto facili quanto onerosi acquisti? Qualcun altro sa dire quali valutazioni economiche e di impatto avrebbe comportato l’uso di certe soluzioni, atteso che difficilmente si aveva effettiva capacità di committenza? Possibile che proprio nessuno abbia immaginato che certi ‘programmini’ potessero avere una backdoor in grado di permettere al produttore di conoscere le modalità (destinatario incluso) di impiego della così portentosa applicazione?

Mumble mumble…

P.S.: Questo post inizialmente aveva un titolo diverso: Rivalutare piccioni viaggiatori e pizzini.

 
Commenti disabilitati su Nel mondo digitale la sicurezza assoluta non esiste. Punto

Pubblicato da su 10 luglio 2015 in news, security

 

Tag: ,

Chi legge news trasmette informazioni

Trackography

Chi controlla gli utenti che consultano notizie tramite Internet?

Che viaggio fanno le loro informazioni durante la navigazione?

E’ possibile scoprirlo con Trackography, che svela come ogni consultazione di un sito di news (agenzie di stampa, testate giornalistiche e non solo) comporti la raccolta di informazioni dal dispositivo da cui si naviga. Informazioni che fanno letteralmente il giro del mondo per essere trasmesse ad altre organizzazioni, spesso aziende private, che le rielaborano a scopo di marketing e profilazione degli utenti.

Basta selezionare il Paese da cui si naviga e i siti di informazione consultati abitualmente per avere una panoramica di chi traccia (Paesi, organizzazioni, eccetera). E non mancano suggerimenti per adottare misure preventive.

 
Commenti disabilitati su Chi legge news trasmette informazioni

Pubblicato da su 24 febbraio 2015 in news, security

 

Tag: , , , , , , , , ,

Giornata Europea della Privacy. E quindi?

online_privacy_cloud_security_shutterstock-100031848-large[1]

Oggi la Giornata Europea della Privacy è stata trattata – in coerenza con il suo tema – con grande riservatezza. Ma come avrebbe potuto essere celebrata? Con iniziative focalizzate a sensibilizzare tutti sul fatto che oggi, più che mai, le nostre informazioni personali, che abbiamo il diritto di proteggere dall’invadenza altrui, sono estremamente vulnerabili.

Mentre a Roma il nostro Garante della Privacy ospita un convegno intitolato “Il pianeta connesso. La nuova dimensione della privacy”, il Guardian ci spiega che il nuovo piano antiterroristico approntato dalla Commissione UE prevede la raccolta e la memorizzazione di 42 differenti tipi di dati personali relativi a chi viaggia in aereo su voli da o per l’Europa (dati anagrafici, informazioni relative al viaggio, ma anche “all forms of payment information”, “general remarks” nonché “any collected advanced passenger information system information”).

Ancora nessuno dei promotori istituzionali, però, nemmeno nella (o a partire dalla) giornata che hanno dedicato alla protezione dei dati personali, mette in guardia i cittadini europei sulle possibili violazioni a cui tutti vanno quotidianamente incontro, ne’ sulle soluzioni da adottare per avere maggiore tutela.

Qualche spunto – molto superficiale e per nulla esaustivo – che riguarda il mondo digitale:

  • Quante volte vi è stato raccomandato di non spedire un messaggio e-mail con molti destinatari in chiaro per non diffondere informazioni altrui senza consenso?
  • Vi hanno mai fatto notare che, in un gruppo WhatsApp, il vostro numero telefonico viene liberamente diffuso a terzi e potrebbe quindi finire anche sotto gli occhi di qualche utente da voi non tollerato?
  • Siete capaci, in Facebook, di impostare il vostro account mantenendo sotto controllo chi può vedere ciò che pubblicate?
  • In Internet, se effettuate un pagamento online, siete certi di utilizzare un servizio basato su server sicuro?
  • Sapete riconoscere un messaggio e-mail fraudolento mirato a carpire i vostri dati di accesso a conto corrente bancario, account della carta di credito o altri servizi finanziari?
  • Sapete che spesso i concorsi online hanno lo scopo di promuovere un prodotto o un servizio, e nel contempo di raccogliere i dati personali degli utenti che vi partecipano?
  • Siete consapevoli che buona parte dello spam che ricevete tramite e-mail, ma anche delle telefonate promozionali che ricevete, è frutto di un consenso che avete accordato a qualcuno mentre inserivate i vostri dati personali?
  • Qual è l’utilizzo che un supermercato può fare della vostra tessera fedeltà?
  • Perché su Internet vedo banner pubblicitari sull’ultimo prodotto di marca XYZ (e simili) proprio dal giorno dopo in cui ho cercato in Internet notizie sui prodotti di marca XYZ?
  • Come fa Google a far comparire nel suo doodle gli auguri di buon compleanno proprio nel giorno in cui lo festeggiate?

Se non sapete dare una risposta (o una spiegazione) ad almeno una di queste domande, che rappresentano semplici esempi quotidiani, significa che non siete stati efficacemente sensibilizzati sulla tutela della vostra privacy. E quindi, per chi organizza la Giornata Europea della Privacy, c’è ancora tanta strada da fare…

 
Commenti disabilitati su Giornata Europea della Privacy. E quindi?

Pubblicato da su 28 gennaio 2015 in security, telefonia

 

Tag: , , , ,

Phishing maldestro: evitate… l’autotruffa

PhishingIntimao

Non mi stupisco più dei messaggi mail truffaldini di phishing che arrivano, anche se nella maggior parte dei casi si tratta di tentativi improbabili e affatto credibili, c’è sempre qualcuno che ci casca (probabilità data dall’alto numero di destinatari dei messaggi inviati).

Certo, quando il mittente coincide con il destinatario, qualche sospetto dovrebbe venire in ogni caso. Ma anche avendo fiuto per capire immediatamente che certi messaggi sono pura fuffa come quello riportato sopra, non è impensabile che qualcuno caschi comunque nel tranello, perché a ben vedere le trappole qui sono tre:

  1. la prima è nei contenuti leggibili nel messaggio, che riporta nell’intestazione “Ministério Pùblico Federal”, nell’oggetto ha un “procedimento investigatorio” e in calce ha i riferimenti del coordinamento IT della “Policia Federal” di Brasilia; credibilità limitata all’eventualità che il destinatario del messaggio abbia un collegamento con quella città o almeno in Brasile;
  2. la struttura del messaggio: apparentemente si tratta di un messaggio tradizionale, costituito da un corpo testuale, un’immagine inserita (peraltro praticamente illeggibile) e un allegato. In realtà si tratta di un’unica immagine che riproduce testo, immagine e link all’allegato (un mandato di comparizione) e il tutto è ben camuffato;
  3. cliccando sull’immagine (l’unica azione a cui mira il messaggio) si segue un link che implica un download diretto senza richiesta di conferma, chi è curioso e vuole aprire il file zip che è appena approdato sul computer cade nel tranello e rischia di compromettere la sicurezza dei propri dati personali, che potrebbero essere trasmessi a terzi
 
Commenti disabilitati su Phishing maldestro: evitate… l’autotruffa

Pubblicato da su 30 ottobre 2014 in Buono a sapersi, security

 

Tag: , , , , ,

Collegarsi a Internet a volte implica un sacrificio. Inconsapevole

AccessPointWiFi

La password WiFi sarà fornita solamente se il destinatario acconsentirà a cedere il proprio primogenito all’azienda, per la durata dell’eternità. 

Il testo che avete appena letto è la Clausola Erode inserita nelle condizioni di servizio da accettare per essere abilitati ad utilizzare un hotspot WiFi pubblico a Londra, nell’ambito di un’indagine investigativa basata su un esperimento organizzato da F-Secure ed Europol e realizzata dal Cyber Security Research Institute con gli specialisti di sicurezza di SySS. La singolare clausola, che naturalmente non è mai stata applicata, è solo l’elemento più eclatante della disattenzione e della mancanza di consapevolezza degli utenti  nell’utilizzo di servizi di connettività, concetti che l’esperimento aveva l’obiettivo di evidenziare.

Oltre al rischio di accettare e sottoscrivere clausole tutt’altro che chiare annegate nelle condizioni contrattuali, che troppo spesso vengono completamente ignorate per utilizzare un servizio, l’indagine ha fatto emergere che è sufficiente una spesa minima per mettere in funzione un accesso WiFi che, nel consentire l’accesso a Internet, possa spiare tutta l’attività dell’utente connesso.

F-Secure ha chiesto a Finn Steglich della SySS di realizzare un kit WiFi portatile, affinché potesse essere attivato agevolmente in un punto qualunque della città. Con una spesa di circa 200 euro è stato realizzato un piccolo sistema perfettamente funzionante e presentato in rete con un nome “credibile”.

Il primo obiettivo era rilevare quanti utenti avrebbe agganciato uno hotspot sconosciuto una volta posizionato e reso disponibile.

AccessPointWiFi2

In mezz’ora sono stati rilevati 250 dispositivi, 33 dei quali si sono connessi, 21 sono stati identificati. Sono stati captati 32 MB e sei utenti hanno accettato la clausola erode prima che venisse disattivata la pagina in cui erano riportare le condizioni di servizio.

In ogni caso, chi ha utilizzato il servizio per navigare in Internet si è sottoposto ad una rilevazione costante di tutta l’attività svolta online durante tutto il collegamento. Il rischio esiste, anche in considerazione del fatto che su molti smartphone è attiva per default la ricerca e l’aggancio del miglior accesso WiFi disponibile in zona. Se l’access point è aperto e non protetto, il collegamento può avvenire senza che l’utente se ne accorga e nel frattempo – se esiste un’attività di cattura dei dati in transito sul dispositivo – questi dati possono essere rilevati e memorizzati (smartphone o tablet lavorano anche quando rimangono in una borsa, quando ad esempio sono attive la ricezione di mail e altre app che ricevono o trasmettono informazioni).

La conclusione: il WiFi è molto utilizzato (laddove disponibile), ma gli utenti non sono a conoscenza delle possibilità e dei rischi derivanti da un uso incauto di queste tecnologie. L’avvertimento di F-Secure è chiaro: nessuno deve dare per scontata la sicurezza di un WiFi pubblico, che è un servizio da utilizzare con consapevolezza e, qualora la sicurezza dei dati sia critica, è opportuno adottare soluzioni di sicurezza, dalla VPN ad altre soluzioni ad hoc in grado di proteggere i dati.

E come conclude oggi Federico Guerrini nel suo articolo, per quanto riguarda coloro che hanno accettato la clausola Erode, “F-Secure, bontà sua, non ha intenzione di far valere i propri diritti (che comunque sarebbero difficili da sostenere in tribunale). È probabile, però, che d’ora in poi i genitori facciano un po’ più di attenzione”.

Nel video (con audio in inglese), il racconto dell’esperimento.

 
Commenti disabilitati su Collegarsi a Internet a volte implica un sacrificio. Inconsapevole

Pubblicato da su 10 ottobre 2014 in cellulari & smartphone, Internet, security, WiFi

 

Tag: , , , , , , , , , , ,

Password Gmail trafugate, un altro caso per riflettere

isleaked-com

Da ieri circola la notizia di un clamoroso furto di password ai danni degli utenti di Gmail: si parla di circa 5 milioni di utenze, i cui dati di accesso sarebbero stati pubblicati da un utente del forum russo Bitcoin Security.

Nel comunicare la notizia, molte fonti indicano di rivolgersi al sito isleaked.com, per le opportune verifiche. Il sito è stato messo online a nome di Egor Buslanov, con un dominio registrato in data 8 settembre 2014, proprio due giorni prima della pubblicazione su Bitcoin Security (dati verificabili attraverso qualunque servizio whois disponibile in rete). Non fornisce alcun elenco, ma chiede all’utente di inserire il proprio indirizzo e-mail promettendo un celere responso. La homepage di default è scritta in russo, con versioni in inglese e spagnolo.

Questi presupposti – insieme a quanto sto per aggiungere – mi sembrano sufficienti ad essere guardingo e a non affrettarmi a sfruttare questo servizio. Per consapevole autolesionismo tecnologico ho inserito personalmente i dati di un account Gmail. Il responso è stato positivo, tanto che isleaked.com – per dimostrarsi attendibile – mi ha anche indicato i primi due caratteri della password che gli risulta trafugata. Peccato che non fossero affatto corrispondenti a quelli della password reale (ne’ attuale, ne’ precedente).

Questo risultato inattendibile, insieme al fatto che la verifica si basa sul fatto che un utente debba comunicare il proprio indirizzo e-mail ad uno sconosciuto, suggerisce di utilizzare la dovuta cautela e di rivolgere attenzione altrove. Certo, il rischio più immediato potrebbe essere limitato a ricevere un po’ di spam aggiuntivo, ma personalmente penso di poterne comunque fare a meno.

L’Online Security Blog di Google ieri ha pubblicato un articolo in cui si spiega che, fra tutti i dump pubblicati in rete (ottenuti dalla combinazione di dati provenienti da fonti esterne a Google), le combinazioni username+password che possono realmente consentire l’accesso ad un account altrui sono meno del 2% e, in ogni caso, i sistemi anti-hijacking di Google sono in grado di bloccare buona parte dei tentativi di accesso fraudolento. Considerando che l’ecosistema Google in fatto di privacy è imbattibile (nel senso che loro sono maestri assoluti nel raccogliere ed elaborare informazioni personali altrui), penso che l’affidabilità di questi sistemi sia quantomeno verosimile.

Avete il dubbio che il vostro account possa essere stato compromesso? Non pensateci due volte: cambiate password, scegliendone una forte e sicura (come ricordavo qualche giorno fa), perché…

Il rischio aumenta quando la password è semplice e non è stata generata con gli opportuni criteri di complessità (ad esempio quelli illustrati nell’articolo Scegliere password più sicure su Mozilla Support, oppure in Creazione di una password forte a cura di Google Support). Oppure se il servizio di password reset è impostato con risposte prevedibili o facilmente reperibili.

 
Commenti disabilitati su Password Gmail trafugate, un altro caso per riflettere

Pubblicato da su 11 settembre 2014 in security

 

Tag: , , , , , , , ,

Specchietti per allodole sprovvedute

image

A volte mi chiedo se, per gli autori di questi messaggi di phishing maldestro, valga ancora la pena spedire massivamente queste esche ingannevoli con l’obiettivo fraudolento di raccogliere dati personali (da nomi e indirizzi fino agli estremi di carta di credito e/o conto corrente).

Davvero esiste qualcuno che casca in un tranello scritto in modo così approssimativo (ma soprattutto pessimamente tradotto) da far capire subito che si tratta di una truffa senza appello?

 
1 Commento

Pubblicato da su 6 settembre 2014 in Buono a sapersi, security, truffe&bufale

 

Tag: , , , , ,

The Fappening, un’altra lezione sulla protezione di dati e foto personali

icloud keys

Avete letto o sentito del furto e della diffusione di foto personali ai danni di alcune celebrità come Kirsten Dunst, Kim Kardashian, Selena Gomez, Bar Refaeli e Jennifer Lawrence? E, soprattutto, avete capito cos’è accaduto?

In breve: le foto, inizialmente memorizzate sui loro dispositivi personali (iPhone, iPad, Mac), erano poi sincronizzate su iCloud (un disco fisso virtuale, cioè un servizio per l’archiviazione di dati in Internet realizzato da Apple per i propri utenti). L’impostazione standard (modificabile, sapendolo) prevede il salvataggio automatico delle foto per poterle gestire su Mac con iPhoto. In seguito ad un attacco hacker, le immagini – prevalentemente intime – contenute in tali spazi sono state copiate dagli account di queste persone e diffuse via web sulla piattaforma 4chan e su Reddit. Pare che l’obiettivo iniziale fosse quello di metterle sul mercato e venderle all’industria del gossip, ma negli Stati Uniti questo genere di azioni è reato e non hanno suscitato l’interesse atteso: per questo sarebbero state distribuite sul web.

Si è ripresentato – su più vasta scala – il problema di violazione della privacy accaduto due anni fa a Scarlett Johansson. Christina Aguilera e Mila Kunis (il colpevole era stato trovato e condannato a scontare 10 anni di reclusione e al pagamento di una sanzione di 76mila dollari).

Ciò che è accaduto poteva essere prevenuto, evitato da chi voleva davvero tutelare la propria privacy? Assolutamente sì, in modi sia analogici che tecnologici, che esporrò in ordine di efficacia:

  1. non scattare foto di quel genere (ok è un po’ radicale, ma è la soluzione che offre maggiori certezze);
  2. conoscendo il valore che tali foto possono acquisire sul mercato dei bavosi, se proprio non è possibile trattenersi dallo scatto hot, sembra decisamente opportuno mantenerle conservate su un supporto di memorizzazione fisico di cui si possa avere il reale controllo (scheda di memoria, chiavetta USB, hard disk, CD, DVD…)
  3. pensare allo scopo per cui è stata scattata la foto… era da mostrare a una persona, a una platea ristretta o a chiunque? Ecco. In ogni caso, lasciarla lì o trasferirla via chiavetta;
  4. se proprio dovete utilizzare un servizio cloud, scegliete una password complessa, createne una diversa per ogni account e, se il servizio prevede il password reset attraverso alcune domande, impostate risposte non facilmente identificabili (esempio: “Qual è il cognome di tua madre da nubile?” Risposta possibile: “Lansbury”, oppure “Merkel” o anche “Jeeg”… insomma, non dev’essere necessariamente reale perché potrebbe essere ottenibile da malintenzionati)
  5. .

Intendiamoci: iCloud, così come Dropbox, GoogleDrive, OneDrive , non è affatto un sistema insicuro, la protezione dei dati che vengono memorizzati è assicurata da un algoritmo di cifratura AES a 128 bit. Ma è sufficiente arrivare a conoscere la password legata all’account per avere l’accesso. Come a dire: una cassaforte può essere ipersicura e a prova di qualunque scasso, ma basta averne la combinazione e il gioco è fatto. E ottenere la password dell’Apple ID (e quindi dell’account iCloud) di queste celebrità potrebbe non essere stato difficile, dato che – finché Apple non se n’è accorta – esisteva la possibilità di scovarla tramite un software. Il rischio aumenta quando la password è semplice e non è stata generata con gli opportuni criteri di complessità (ad esempio quelli illustrati nell’articolo Scegliere password più sicure su Mozilla Support, oppure in Creazione di una password forte a cura di Google Support). Oppure se il servizio di password reset è impostato con risposte prevedibili o facilmente reperibili.

Come già detto più volte in precedenza, nessuna soluzione tecnologica è in grado di garantire la sicurezza assoluta al 100% della propria efficacia. Quindi, meditate su questo aspetto.

Altri aspetti su cui è necessario meditare: l’accidentale (?) sacrificio della privacy in nome della vanità (le foto non sono state certo scattate per essere inviate al dermatologo per un controllo sommario) e – soprattutto – la diffusissima mancanza di consapevolezza dei rischi comportati da determinate azioni compiute attraverso Internet.

 
1 Commento

Pubblicato da su 2 settembre 2014 in Internet, News da Internet, privacy, security

 

Tag: , , , , , , , , , , , ,

 
%d blogger hanno fatto clic su Mi Piace per questo: