RSS

Archivi tag: sicurezza

La Sapienza vince sui ransomware

03 Feb

L’incubo per l’Università La Sapienza di Roma è iniziato ieri, quando sono diventati irraggiungibili sia il sito web del più grande ateneo italiano che Infostud, la piattaforma utilizzata dagli studenti per prenotare gli esami, consultare i voti e pagare le tasse, operazioni che già domenica sera non era possibile portare a termine con i sistemi compromessi. L’università ha confermato di aver subìto un attacco ransomware che è stato rivendicato da cybercriminali russi.

Un’immagine rapida per chi non sapesse o non ricordasse il significato della parola ransomware: immaginate di trovarvi davanti alla porta di casa vostra e scoprire che qualcuno ha cambiato la serratura. La chiave che avete in tasca non funziona più, e sul portone trovate un biglietto: “Vuoi rientrare? Pagami”. Il ransomware fa questo, ma con i dati: è un software malevolo che, una volta penetrato in un sistema informatico, si attiva criptando documenti, foto e database, rendendoli completamente inutilizzabili senza una chiave segreta. Che ovviamente ha un costo.

L’università ha ricevuto una comunicazione con un link che porta a un sito nel dark web dove si può negoziare il riscatto. La cifra richiesta non è stata resa pubblica, ma è verosimile che si tratti di alcuni milioni di euro, da pagare in criptovalute. L’ultimatum è di 72 ore e la minaccia è presto spiegata: se il pagamento non viene effettuato entro il termine stabilito, oltre a non fornire la chiave per sbloccare i file, gli aggressori diffonderanno pubblicamente tutti i dati sottratti dai server prima dell’attacco (doppia estorsione).

La Sapienza ha scelto di non cedere al ricatto, forte della possibilità di ripristinare i sistemi attraverso i backup che le permetteranno di tornare online a partire dai servizi essenziali, per andare incontro alle esigenze degli studenti e quindi dando priorità alla piattaforma Infostud, dal momento che l’attacco è arrivato alla fine della sessione invernale.

Poche ore dopo, un altro attacco ha colpito la Galleria degli Uffizi, che ha immediatamente attivato il ripristino da backup dei dati compromessi.

Episodi come questo ci ricordano quanto siamo diventati dipendenti dai sistemi digitali e quanto sia fondamentale proteggerli in modo adeguato. L’insegnamento che ci portiamo a casa è chiaro: nel mondo digitale la prevenzione vale molto più della cura, perché la sicurezza al 100% non esiste. E il riscatto non è mai la soluzione.

 
Lascia un commento

Pubblicato da su 3 febbraio 2026 in news

 

Tag: , , , , , , , ,

Cosa dimostra l’indagine nata dal servizio di Report su Microsoft ECM

01 Feb

L’indagine aperta per l’ipotesi di accesso abusivo a sistema informatico nei confronti di un tecnico ministeriale del distretto torinese, per come la vedo io, ha già avuto un effetto di rilievo: confermare le lacune nella gestione del sistema finito sotto la lente di Report. Le notizie diffuse nelle scorse ore, infatti, evidenziano che il ministero si è reso conto di quegli accessi solo dopo averne avuto notizia dalla trasmissione televisiva, e non da un alert interno.

Osservatori ed esperti del settore lo hanno evidenziato in tutti i modi: Microsoft ECM non è una cimice o un software-spia (definizioni errate date da alcuni), è uno standard di Endpoint Management, un prodotto regolarmente disponibile sul mercato e utilizzato in tutto il mondo per normalissime e necessarie operazioni di monitoraggio dello stato di un computer, distribuzione di aggiornamenti di sicurezza, installazione di software, supporto tecnico da remoto.

I vertici del Ministero hanno dichiarato che non può essere utilizzato per attività di controllo remoto senza il consenso degli utenti, ma questo non è un impedimento tecnico, poiché è stato riscontrato che notifiche e richieste di consenso agli utenti possono effettivamente essere disattivate. Certo, queste disattivazioni lasciano tracce che possono essere rilevate, ma il punto è proprio questo: vengono effettivamente rilevate?

Stiamo parlando dell’infrastruttura informatica del Ministero della Giustizia, di cui fanno parte i computer di magistrati che trattano dati molto riservati: se fosse attivo un controllo sulla disattivazione di notifiche e richieste di consenso, con l’invio dei relativi alert a figure responsabili della sicurezza dell’infrastruttura, dovrebbero scattare immediatamente le necessarie procedure di verifica, dando prova dell’efficacia della governance del sistema. In questo caso, invece, l’indagine della Procura è scattata in seguito a un esposto del Ministero della Giustizia datato 24 gennaio, dopo la pubblicazione – avvenuta il 21 gennaio da parte di Report – del video in cui il GIP di Alessandria Aldo Tirone spiega di aver consapevolmente fatto effettuare alcune prove con il supporto di tecnici informatici.

Queste evidenze, purtroppo, non trasmettono solo la smentita dell’impossibilità di disattivare notifiche e richieste di consenso all’utente, ma vanno ad un livello più alto, escludendo l’esistenza di un controllo efficace su eventuali disattivazioni non dichiarate. In questo momento, quindi, nell’occhio del ciclone sta finendo chi ha segnalato una seria vulnerabilità organizzativa, mentre l’attenzione dovrebbe puntare ad individuare e affrontare i problemi che l’hanno generata

 
Lascia un commento

Pubblicato da su 1 febbraio 2026 in news

 

Tag: , , , , , , , , , , , , , , , ,

Ministero della Giustizia e Microsoft ECM sotto la lente di Report

26 Gen

Il servizio anticipato da Report nei giorni scorsi sul software di controllo installato nei computer del Ministero della Giustizia ha suscitato perplessità e preoccupazioni nei magistrati, sul fronte politico e nell’opinione pubblica. Prima di esprimermi ho atteso la messa in onda del servizio, per vederne il contenuto e formarmi un’opinione basata su informazioni più complete. Risultato: il vero problema non è tanto il software, quanto la mancanza di informazioni – o di chiarezza – sulla sua governance.

Le premesse, agli occhi e alle orecchie di un tecnico informato estraneo alla vicenda, indicavano essenzialmente che, per la gestione centralizzata di tutti i computer del Ministero, viene utilizzato Microsoft ECM, un software che per sua natura è utile, legittimo e regolarmente utilizzato in molte organizzazioni sia pubbliche che private, descrizione che i giornalisti di Report hanno dato correttamente, specificando che non si tratta di un software-spia, anche se alcune testimonianze nel servizio lo hanno etichettato in modo errato e fuorviante con termini come “cimice” e “trojan di Stato”.

Per inciso: quando dico “tutti i computer del Ministero” parlo di circa 40mila computer utilizzati da tutti coloro che lavorano alle dipendenze del Ministero. Un contesto in cui è necessario gestire l’inventario di hardware e software, avere il controllo delle licenze, programmare ed eseguire tutti i dovuti aggiornamenti per la sicurezza ed effettuare operazioni di helpdesk. Un’infrastruttura di grandi dimensioni richiede una gestione centralizzata di queste esigenze: per comprensibili difficoltà logistiche, non è pensabile che questa gestione sia affidata a un tecnico, ma sarebbe complesso anche per un team di tecnici pronti a intervenire fisicamente su ogni singolo pc.

Microsoft ECM consente di superare questi limiti e, tra le varie funzionalità, prevede quella di Remote Control, ad esempio, progettata ovviamente per effettuare assistenza tecnica da un altro dispositivo. Generalmente, prima di un intervento effettuato da remoto, è previsto che l’utente dia il consenso all’attività e accetti il collegamento. Tuttavia, è effettivamente possibile impostare un’opzione che permette di avviare quel collegamento anche senza consenso e questo è chiarito dalla stessa Microsoft che, nella documentazione tecnica, spiega esplicitamente che lo strumento “può anche monitorare gli utenti senza il loro permesso o consapevolezza” a seconda di come viene configurato.

Il software include anche strumenti di Software Metering per raccogliere dati sull’uso del computer (è possibile rilevare quali applicazioni vengono aperte, per quanto tempo e da quale utente, in background e senza notifiche all’utente) e permette di effettuare, sempre senza interazioni con l’utente, attività approfondite di ispezione su configurazione di sistema, utenti, file a scopo di inventario di hardware e software, così come l’esecuzione di script e comandi da remoto per estrarre informazioni o file senza che appaia nulla sullo schermo dell’utente.

I vertici del Ministero dichiarano che Microsoft ECM non può essere utilizzato per attività di controllo remoto senza il consenso degli utenti, ma questo è un impedimento procedurale e non tecnico, poiché è stato riscontrato che le notifiche e le richieste di consenso agli utenti possono effettivamente essere disattivate. Le possibilità di accesso “stealth” ad un pc dipendono dalla disattivazione intenzionale di questi controlli e di tutte queste operazioni, ovviamente, resta traccia. A quanto pare, tuttavia, nessuno rileva queste tracce, ne’ chiede conto di queste operazioni, come è stato dimostrato dai test effettuati da un giudice – il gip di Alessandria Aldo Tirone – con la collaborazione di un tecnico informatico interno, che per mesi e in più occasioni ha effettuato varie prove di collegamento remoto senza riscontrare alcun tipo di alert e, in seguito, senza ricevere alcuna segnalazione da chi dovrebbe avere la governance del sistema.

Occorre dunque considerare un aspetto importante: queste caratteristiche di Microsoft ECM, se non vincolate, lo rendono più adatto alla gestione dei dispositivi di organizzazioni che, per loro natura, trattano dati meno riservati e sensibili. Pensiamo ad esempio ai computer collegati ai display che mostrano i dati di arrivi e partenze presenti in aeroporti e stazioni ferroviarie, oppure a totem informativi o pubblicitari: in sintesi, è lo strumento ideale per la gestione di postazioni non presidiate (e che quindi non hanno un utilizzatore che deve dare un consenso alle attività di aggiornamento o manutenzione).

Sorgono quindi di conseguenza almeno due domande. La prima: per quale motivo, nel 2019, per la gestione e la manutenzione software dei computer del Ministero della Giustizia a tutti i livelli – da quelli amministrativi fino a quelli in uso ai magistrati – la scelta è caduta su Microsoft ECM? La seconda: come vengono gestite le informazioni relative alle operazioni effettuate senza trasmettere segnalazioni agli utenti?

Ricevere risposta a tali quesiti potrebbe, forse, contribuire a rendere meno fondate le perplessità sorte su questo software e a trasmettere la percezione di un Ministero che ha il controllo della situazione. Sicuramente una soluzione che consenta una gestione ottimale delle attività di supporto, manutenzione e aggiornamento è necessaria ad una realtà come quella del Ministero della Giustizia, soprattutto pensando alla sicurezza dei dati e ricordando che in un recente passato ci sono stati episodi allarmanti come l’attacco messo in atto nel 2024 dall’hacker Carmelo Miano, che riuscì a violare i server del Ministero della Giustizia, della Guardia di Finanza e di Telespazio, non con software di controllo remoto, ma utilizzando credenziali reali di magistrati e personale amministrativo carpite grazie a un malware trasmesso ai pc di due dipendenti del Ministero. Probabilmente privi di aggiornamenti o adeguate protezioni.

 
1 Commento

Pubblicato da su 26 gennaio 2026 in news

 

Tag: , , , , , , , , , , , , , , ,

Il phishing scorre su LinkedIn

21 Gen

Anche LinkedIn, con la sua messaggistica interna, può essere usato come canale di distribuzione di malware. Lo ha reso noto Reliaquest spiegando la dinamica dell’attacco: gli utenti del social network vengono contattati da falsi recruiter o colleghi, con l’obiettivo di ottenere fiducia e convincere la vittima a scaricare un file, apparentemente innocuo che si presenta come un archivio compresso WinRAR che contiene un lettore PDF open source, una libreria DLL dannosa, un interprete Python e un file RAR di copertura.

La questione richiede particolare attenzione per un motivo molto semplice: generalmente la messaggistica privata di un social network non è sotto il controllo dei sistemi di sicurezza aziendali e questo la rende un canale ideale per i criminali informatici.

Per agire in modo nascosto gli attaccanti utilizzano una tecnica chiamata DLL side-loading: quando la vittima apre il lettore PDF legittimo, viene caricata automaticamente anche la libreria dannosa, camuffata da file legittimo e innocuo. Con questo malware i malintenzionati ottengono accesso remoto al computer colpito e da questo possono ricavare i dati personali e sensibili memorizzati, oltre ad avere la possibilità di mantenere il controllo del sistema.

Raccomandazioni d’obbligo: diffidate dei messaggi inattesi che chiedono di scaricare un file, anche se sembrano provenienti da persone conosciute e verificate l’identità del mittente (sfruttando altri canali, ad esempio via mail, WhatsApp o qualunque altra forma di comunicazione con cui potete mettervi in contatto), perché per un’opportunità professionale seria e legittima nessuno chiederà mai di scaricare file sospetti o di bypassare le procedure di sicurezza. Last but not least: mantenete aggiornati antivirus e sistema operativo e attivate l’autenticazione a due fattori.

È necessario tenere presente che il phishing non è più confinato solo alla posta elettronica e i social media sono terreno di caccia per i cybercriminali, anche quelli professionali come LinkedIn. La prima ldifesa, anche questo va ricordato, è la consapevolezza: se qualcosa sembra troppo bello per essere vero o mette fretta, probabilmente è un tentativo di truffa.

 
Lascia un commento

Pubblicato da su 21 gennaio 2026 in news

 

Tag: , , , , , , , , , , ,

Spionaggio: governo italiano cliente di Paragon?

06 Feb

L’Italia è stata cliente di Paragon fino a ieri? Il governo nega, alcune notizie svelerebbero il contrario. Ma andiamo con ordine.

Notizia della scorsa settimana: gli smartphone di circa novanta utenti di WhatsApp, in prevalenza giornalisti e attivisti, sono stati spiati attraverso il software Graphite sviluppato dalla società israeliana di spyware Paragon Solutions. Questo software permette ad un altro soggetto il controllo di un dispositivo, consente quindi di leggere i contenuti anche di app dichiaratamente crittografate. Non è stato pubblicato un elenco delle vittime di questa attività, ma Francesco Cancellato (direttore di Fanpage.it) e Luca Casarini (capomissione della ong Mediterranea Saving Humans) hanno dichiarato di aver ricevuto da Meta questo messaggio:

A dicembre WhatsApp ha interrotto le attività di una società di spyware che riteniamo abbia attaccato il tuo dispositivo. Le nostre indagini indicano che potresti aver ricevuto un file dannoso tramite WhatsApp e che lo spyware potrebbe aver comportato l’accesso ai tuoi dati, inclusi i messaggi salvati nel dispositivo

Notizia delle ultime ore: la Presidenza del Consiglio, nell’escludere il coinvolgimento dei servizi di intelligence italiani – e quindi del Governo – ha reso noto di aver appreso dai rappresentanti legali di Meta che le vittime italiane di questa attività di spionaggio sarebbero sette. Ma c’è un colpo di scena offerto dal Guardian: fonti della testata hanno dichiarato che Paragon ha rescisso il contratto con il Governo Italiano, svelando quindi l’esistenza del rapporto con la società israeliana. La decisione sarebbe stata presa dall’azienda ieri, dopo aver valutato che l’Italia ha “violato i termini di servizio e il quadro etico concordato nell’ambito del contratto”.

La questione è decisamente controversa e richiede approfondimenti ad altri (e più alti) livelli. Intanto portatevi a casa un dato di fatto: le intercettazioni delle chat di WhatsApp e altre app non sono impossibili.

 
Commenti disabilitati su Spionaggio: governo italiano cliente di Paragon?

Pubblicato da su 6 febbraio 2025 in news

 

Tag: , , , , , ,

Richieste insolite in Direct Message? Attenzione

20 Nov

Le trappole per “rubare” gli account nei social network sono tante. Qui spiego un espediente piuttosto ricorrente nei social network, basato semplicemente sulla modifica delle informazioni di contatto, che un utente può essere indotto ad aggiornare in modo ingannevole. Non chiamiamolo hackeraggio, non lo è: si tratta di un imbroglio. E in questo caso un utente incauto, senza accorgersene, serve il proprio account su un piatto d’argento direttamente ad un truffatore.

Una possibilità è questa: voi commentate il post Instagram (o Facebook) di un personaggio famoso o di un’azienda, il vostro commento viene notato da qualcuno che, tramite DM (Direct Message), vi contatta spacciandosi per un collaboratore, dice che il commento è interessante e vi promette di aprirvi un canale di comunicazione privilegiato ed esclusivo con il personaggio o l’azienda, inviandovi un link. L’opportunità attira la vostra attenzione: il commento che avevate scritto potrebbe essere ignorato, annegare in mezzo a migliaia di altri, qui invece vi propongono di aprire un contatto diretto e poter comunicare direttamente con la sicurezza di essere considerati, tutto ciò che dovete fare è seguire un link. Questo link vi porta alla gestione dei contatti del vostro account, in cui il truffatore vi indica di aggiungere un indirizzo mail (non il vostro, ma un indirizzo che vi dirà lui) “per permettere l’invio di messaggi diretti”. Il gioco è fatto: da quel momento, pensando di aver creato un collegamento con il personaggio o l’azienda in questione, in realtà avete dato ad un truffatore la delega a gestire il vostro account. Da lì a pochi minuti, ogni utente caduto nel tranello si trova ben presto a non poter più utilizzare il proprio account, perché il truffatore ha cambiato la password d’accesso e i contatti di riferimento. Pertanto è fondamentale fare sempre molta attenzione agli inviti ricevuti da persone sconosciute.

Aggiungo un elemento di complicazione: potreste ricevere questo stesso tipo di invito da una persona che conoscete, o almeno così credete. La persona che vi contatta potrebbe essersi impossessata dell’account del vostro conoscente, oppure potrebbe avere un account fasullo con lo stesso nome, per indurvi a fidarsi di lui. Anche qui, attenzione: il link che vi indica porta alla pagina che gestisce gli account del vostro profilo. Se ricevete quindi una richiesta simile, verificate sempre: prima di inserire o trasmettere qualsiasi informazione personale, contattate quella persona in un altro modo (telefonicamente oppure via mail, WhatsApp, Telegram, fax, piccione viaggiatore, citofonate a casa sua… quello che vi pare) e chiedetele se è stata lei a mandarvi quel link, che non serve a stabilire alcun canale di comunicazione privilegiato, ma a definire chi ha la possibilità gestire il vostro account.

Ultimamente ho ricevuto svariate segnalazioni di account rubati con espedienti simili e sabato scorso io stesso ho ricevuto questo tipo di esca, in cui mi è stato offerto di avere un contatto esclusivo con un’azienda che però conosco bene e con cui ho già un rapporto diretto. Il sospetto della truffa quindi era dietro l’angolo, ma in molti casi scoprirla non è semplice. Per cui ripeto, attenzione: si tratta a tutti gli effetti di un tentativo di furto di identità ed esserne vittime, oltre a creare problemi personali legati all’indisponibilità dell’account, può avere effetti collaterali anche molto sgradevoli. Se pensate a tutto ciò che può fare una persona che può agire sotto mentite spoglie, capite che si tratta di un argomento da prendere in seria considerazione. E se vi accade una cosa simile, oltre a non abboccare, segnalate l’account all’assistenza del social network

 
Commenti disabilitati su Richieste insolite in Direct Message? Attenzione

Pubblicato da su 20 novembre 2023 in news

 

Tag: , , , , , , , ,

Password: scocciatura o serratura?

18 Nov

Nella classifica delle password più utilizzate, l’Italia si distingue (poco): mentre a livello mondiale resta saldamente in testa l’inossidabile “123456“, noi ci differenziamo con “admin” (dimostrando anche un discreto complesso di superiorità: l’admin è l’administrator, l’utente principale, il profilo con permessi di accesso “onnipotenti”). Ma in realtà la fantasia è poca, come si vede dal parallelo tra le top ten “Tutti i Paesi” e “Italia”. Perché nonostante siamo nel 2023, non tutti hanno maturato la consapevolezza che oggi, nell’era in cui tutto viene digitalizzato (dai documenti al conto corrente bancario), la password è la versione digitale della chiave – o della combinazione – che apre la cassaforte in cui conserviamo i nostri dati personali.

Si noti inoltre – sempre dalle classifiche qui riportate – quanto tempo serve per decifrare le password di uso comune: nel 70% dei casi basta meno di un secondo per aggirare l’ostacolo. Una menzione d’onore meritano però gli utenti che hanno scelto UNKNOWN, che danno più filo da torcere ai malintenzionati. Ovviamente uno dei criteri più diffusi resta sempre quello di utilizzare il proprio nome, ma nessun nome ricorrente potrà mai vantare presenze pari alle password più standard del mondo.

La debolezza della password è un problema? Sì perché, come detto sopra, le password sono le chiavi. Chiavi di casa digitali, del conto in banca, del computer. Se le perdiamo – o se ne perdiamo il controllo al punto da permettere a un’altra persona di impossessarsene e farne un utilizzo illecito – sapete meglio di me cosa può accadere: dal furto di informazioni a quello di identità, passando per i reati contro il patrimonio, le probabilità di subire un danno concreto sono direttamente proporzionali alla facilità di individuazione della parola chiave.

Le password devono essere complesse, e il più possibile slegate e indipendenti da qualunque informazione che ci riguarda: meglio pensare a qualcosa di differente dal nome (nostro o di qualcuno di famiglia, animali domestici inclusi), dalla data di nascita e da qualsiasi informazione che possa essere facilmente individuata, per conoscenza diretta o indiretta.

I criteri di composizione delle password devono andare in altre direzioni. Ad esempio si può pensare ad una frase, considerando le lettere iniziali di ogni parola che la compone e giocando con maiuscole e minuscole, usando anche lettere alternate a numeri e aggiungendo caratteri speciali. Oppure è possibile ricorrere a un generatore di password (come Roboform) e affidarsi alla sua scelta, senza utilizzare informazioni riconducibili a informazioni personali. Quando le password diventano tante e diventa difficile gestirle, anziché scriverle su un post it o in un foglio Excel, è il momento di affidarsi ad una soluzione di password management, cioè di qualcosa che possa aiutare a gestirne l’inventario e a recuperarle all’occorrenza. Una soluzione efficace e gratuita ad esempio è Devolutions Hub Personal.

Mai sottovalutare l’importanza delle password. Se pensate alle informazioni personali gestite dalle applicazioni installate su uno smartphone, ad esempio, capite bene quanta parte della vostra vita ha bisogno di password sicure: account social media, posta elettronica, conto corrente bancario, fascicolo sanitario elettronico, identità digitale. La possibilità che le nostre informazioni personali finiscano nelle mani sbagliate ci deve far riflettere: meglio una sola password, facile, da utilizzare per tutti gli account (che una volta rubata apre ai malintenzionati tutte le porte), oppure tante password complesse, diverse per ogni account?

 
Commenti disabilitati su Password: scocciatura o serratura?

Pubblicato da su 18 novembre 2023 in news, privacy, security

 

Tag: , , , , , ,

E-commerce, attenti alle trappole

03 Nov

In rete esistono ancora molti e-commerce ingannevoli che si pubblicizzano tramite i social media attirando nella loro rete molti utenti, attratti da prodotti interessanti presentati a prezzi favorevoli. Fate molta attenzione prima di procedere con gli acquisti su siti di e-commerce sconosciuti, perché è davvero semplice diventare vittime di truffe o pratiche commerciali ingannevoli, e con l’approssimarsi di offerte promozionali da “black friday” il rischio di cadere in trappola è davvero dietro l’angolo. Un esempio recente è dato dalla “attività” in cui mi sono imbattuto di recente, che si presenta con il nome Domenica Milano.

L’approccio parte da un annuncio ingannevole pubblicato sui social network, che inizia con la frase “Purtroppo annuncio con tristezza la chiusura della nostra amata azienda di famiglia”, prosegue descrivendo quanto una piccola attività commerciale non possa più competere con i “giganti online” e conclude indicando lo sconto che sarà applicato sulle collezioni poste in saldo per cessata attività. Tutto verosimile, ma da approfondire. E identico all’annuncio pubblicato da un’altra attività simile, Zorrato negozio.

E approfondendo si nota innanzitutto che l’annuncio di questo e-commerce italiano ha uno strano problema di lingua:

“Hasta el 75% de descuento”, “Existencias limitatadas – Envio Gratuito”. Un problema tecnico? Mah, se fosse un peccato di gioventù sarebbe un po’ anomalo per un’attività di famiglia che dichiara di essere sul mercato da tempo. Intanto prendiamo nota e proseguiamo, cliccando sul link che porta a domenicamilano.com. Il sito web ha caratteristiche standard, d’altronde utilizzando una piattaforma come Shopify è abbastanza semplice realizzare in poco tempo e con poche risorse un negozio online. I capi in vendita sono gli stessi che si possono trovare – a prezzi anche migliori – su un numero imprecisato di siti di e-commerce. Provate a vedere questa giacca venduta ad Eur 79,99:

I contatti offerti sono un indirizzo e-mail e un numero telefonico “poco milanese”, visto il prefisso internazionale francese +33. L’iscrizione alla newsletter (con promessa di uno sconto del 10%) viene confermata da un messaggio e-mail che riporta il codice sconto da utilizzare per il primo acquisto. Però, come già osservato in altri casi, sul sito web manca l’indicazione di informazioni obbligatorie per una attività commerciale che opera sul mercato italiano, i termini di utilizzo sono molto generici e approssimativi, così come è abbastanza vaga (e priva di riferimenti di legge) l’informativa sulla riservatezza. La cosiddetta azienda di famiglia fa parte di un gruppo con sede a Hong Kong, indicato nella pagina relativa ai termini di utilizzo:

Gli stessi di altri negozi online (molto simili a domenicamilano.com) come madiolisboa.com, annabcnboutique.com, nicoleberlin.de, angelikabutik.com e molti altri, tutti molto simili tra loro, che troverete con una semplice ricerca. Indubbiamente una grande famiglia!

Dulcis in fundo: un post sponsorizzato pubblicato su Facebook è stato commentato da alcuni utenti che hanno dato feedback negativi sugli acquisti effettuati (e non ricevuti), molto simili alle testimonianze scritte a commento di altri post della pagina Domenica Milano.

 
Commenti disabilitati su E-commerce, attenti alle trappole

Pubblicato da su 3 novembre 2023 in news

 

Tag: , , , , , , , , ,

Se usi Chrome o Edge, aggiorna subito

18 Apr

Nelle scorse ore, sui browser Google Chrome e Microsoft Edge è stata rilevata una vulnerabilità che potrebbe dare problemi di sicurezza. Se sfruttato, il bug potrebbe dare la possibilità ad un utente remoto di accedere indisturbato al vostro computer. Il problema si risolve semplicemente aggiornando il browser, è un’operazione molto agevole che è necessario effettuare appena possibile.

Per Chrome è sufficiente aprire il browser e andare a questo indirizzo interno: chrome://settings/help  (potete copiarlo e incollarlo direttamente nella barra degli indirizzi di Chrome). Il browser, se rimasto ad una versione precedente, verrà aggiornato automaticamente (entro un minuto, talvolta l’update è quasi impercettibile) e in seguito comparirà un’indicazione come quella riportata sopra. Analogamente, per Edge si deve aprire il browser e andare all’indirizzo: edge://settings/help  (anche in questo caso è possibile incollarlo nella barra degli indirizzi).

E’ possibile che vi troviate già con la versione aggiornata e in tal caso non è necessario fare altro, ma dal momento che ho già riscontrato computer che, pur avendo già ricevuto aggiornamenti automatici, si presentavano con il browser nella versione precedente, un controllo in più non guasta mai.

 
Commenti disabilitati su Se usi Chrome o Edge, aggiorna subito

Pubblicato da su 18 aprile 2023 in news

 

Tag: , , , , , , ,

TikTok vietato ai dipendenti pubblici. Solo da ora?

01 Mar

Solo io trovo assolutamente normale che TikTok – così come il profilo personale personale esistente su ogni altro social network – non debba trovare posto sui dispositivi dei dipendenti pubblici che hanno accesso ai sistemi dell’ente per cui lavorano? Ovviamente stiamo parlando di dispositivi “aziendali” e non di quelli privati, che non accedono ai servizi di telefonia mobile degli enti pubblici. Se lo smartphone o il tablet sono personali e sono attivi con account privati, che nulla hanno a che vedere con l’attività lavorativa svolta, naturalmente l’utente ha la massima libertà di usare qualunque app lecita gli interessi, chiaramente mantenendo un comportamento consapevole e sui rischi che si possono correre utilizzandola.

Il fatto che solo adesso le pubbliche amministrazioni si pongano il problema di un divieto fa pensare che finora non sia mai esistita un’indicazione in questo senso a livello di regolamento per i dipendenti, una regola banalmente basilare che deve essere sicuramente definita a scopo di sicurezza, ma in primo luogo per correttezza verso il “datore di lavoro”. Per cui – leggendo titoli e articoli sul “bando” di TikTok dagli smartphone aziendali dei dipendenti pubblici – si potrebbe pensare che al personale retribuito con il denaro dei contribuenti fosse consentito il trastullo attraverso un dispositivo pagato con il denaro dei contribuenti. Ovviamente non è così, tuttavia sembra sempre sia necessario perdere del tempo per vietare ciò che già non è consentito, solamente per il fatto di non essere specificamente ed espressamente vietato. Certo, sarebbe sufficiente adottare una soluzione di gestione centralizzata dei dispositivi mobili (MDM) per impedire a monte (e per tutti) ogni installazione di app non conforme all’attività lavorativa. Nelle organizzazioni in cui questo è stato già fatto, non esiste la necessità di ulteriori provvedimenti di divieto.

Il “bando” deriva dal fatto che i tecnici TikTok che lavorano in Cina – come riportato dal Guardian – hanno accesso ai dati personali degli utenti. Quali informazioni si possono ottenere? Sicuramente la posizione dello smartphone, le app installate, quanto tempo sono state utilizzate, i contenuti della rubrica dei contatti e del calendario. Quando gli utenti vengono invitati a condividere audio e immagini mentre utilizzano l’app, di fatto condividono quei contenuti multimediali con TikTok. Ora forse non tutti sanno che nel partito comunista cinese esiste una commissione di cui fanno parte alcuni dipendenti della ByteDance, l’azienda che è alle spalle di TikTok. I legami con il governo di Pechino sono dunque piuttosto stretti e questo induce molti addetti ai lavori a pensare che i dati personali degli utenti possano essere trasmessi a enti delle istituzioni cinesi, sebbene l’azienda l’abbia sempre smentito.

Questi presupposti a me basterebbero per spegnere ogni smania di utilizzo di TikTok, soprattutto se fossi nei panni di uno qualunque fra i politici italiani che da poco tempo hanno aperto un profilo su questo social, nella speranza di conquistare i voti dei suoi giovani frequentatori.

 
Commenti disabilitati su TikTok vietato ai dipendenti pubblici. Solo da ora?

Pubblicato da su 1 marzo 2023 in news

 

Tag: , , , , , , , , , , , , , , , , ,

Fakecommerce, blindati 13mila negozi online

27 Gen

Scoperti 13 mila siti fasulli di e-commerce grazie a Yarix, azienda italiana attiva nel campo della sicurezza informatica. Leggiamo da Bloomberg che 1.200 di quei fakecommerce si presentavano sul web con brand premium del mondo della moda millantando una disponibilità di articoli inesistenti a prezzi allettanti. Il classico business in cui il cliente ingolosito ordina, paga e… rimane a bocca asciutta.

Brand come Armani, Brunello Cucinelli, Dolce & Gabbana, Prada, Ermenegildo Zegna, Moncler campeggiavano sulle vetrine virtuali di questa enorme rete di vendita fasulla, gestita da un gruppo di criminali informatici cinesi. Una rete che fortunatamente ora è in corso di smantellamento.

La dinamica è consolidata, come abbiamo potuto vedere anche direttamente (leggete ad esempio il mio post E-commerce sospetti che spuntano come funghi). Spesso si tratta di imitazioni ben realizzate di siti di e-commerce autentici, con vetrine perfettamente credibili (spesso “montate” grazie alle stesse soluzioni utilizzate per veri negozi online, come Shopify), e sono dotati di una vera e propria piattaforma di pagamento online tramite carta di credito, dove si trova la vera e propria trappola: il cliente fornisce i propri dati, effettua il pagamento e il gestore del sito web incassa. Oppure si appropria dei dati delle carte con relative credenziali.

E’ necessario quindi usare la massima cautela quando si effettuano acquisti online: fatelo solo presso siti affidabili che abbiano domini controllabili e verificate sempre la presenza del protocollo https. Evitate siti web di aziende non identificabili, ignorate gli e-commerce che non permettono l’identificazione dell’attività commerciale. Ricordate che un venditore in buona fede non ha alcun problema a fornire i propri dati anagrafici e fiscali (alcune informazioni sono anzi obbligatorie, come ad esempio lanpartita Iva aziendale), con i riferimenti a cui può essere contattato, oltre ovviamente a mail, moduli online e altre forme di comunicazione rintracciabili.

I suggerimenti che ho indicato in questo post (che ho citato anche sopra) sono sempre validi, anche fuori dal periodo natalizio 😉

E-commerce sospetti che spuntano come funghi

 
Commenti disabilitati su Fakecommerce, blindati 13mila negozi online

Pubblicato da su 27 gennaio 2023 in e-commerce, security, truffe&bufale

 

Tag: , , , , , , , , , , ,

Arriva GoodWill, il ransomware “etico” (forse)

26 Mag

I ransomware non sono tutti uguali: oltre a quelli che “rapiscono” i file presenti sui computer per poi “liberarli” solo dietro pagamento di un riscatto, ora scopriamo che ci sono anche quelli “etici”, che non chiedono denaro, ma… buone azioni. Come GoodWill, una nuova forma di minaccia informatica recentemente scoperta. Minacciosa solo all’apparenza? No, minacciosa come le altre.

La dinamica iniziale è quella tipica dei ransomware: quando il computer viene colpito, i file memorizzati vengono “blindati”. Per ottenere la chiave, però, non si deve cedere ad un’estorsione: più o meno come nel film Pay it forward (Un sogno per domani), l’utente si vede presentare l’invito ad eseguire tre buone azioni. Il motivo è nel messaggio che compare all’utente:

Il team di GoodWill non ha fame di denaro e ricchezza, ma di gentilezza. Vogliamo fare in modo che ogni persona sul pianeta sia gentile e vogliamo dare a tutti una forte lezione, per aiutare sempre i poveri e i bisognosi. Quindi, sarà necessario che tutte le nostre vittime siano gentili, per riavere i file (…)

E quindi quali sono le richieste? Donare abiti e coperte a chi vive e dorme per strada, donare una cena a cinque ragazzini bisognosi (di età inferiore ai 13 anni), e infine recarsi in un ospedale, andando dalle persone che si trovano in fila per una prestazione, e donare denaro a chi non si può permettere di pagarla. In ognuno di questi tre casi, la buona azione deve essere documentata con foto, video o registrazioni audio che possano testimoniarne l’esito, che dovranno poi essere pubblicate sui social network. Il link al post così pubblicato dovrà poi essere inviato agli autori di GoodWill che, accertata l’esecuzione delle buone azioni, permetteranno all’utente il download alla chiave utile a decifrare i file bloccati.

L’intento sembra originale e apparentemente non estorsivo, ma parliamoci chiaro: vedere i propri file bloccati da un ransomware, che chieda denaro o buone azioni, è comunque una rogna, evitabile con un buon backup periodico dei propri dati che oggi potrà mettere al riparo i vostri dati da ransomware sia tradizionali che “moralizzatori”, e domani vi proteggerà da altre minacce che potrebbero rivelarsi ben più inquietanti: a questa stregua, chi può escludere che un giorno un ransomware, per la liberazione dei file crittografati, chieda di eseguire cattive azioni?

 
Commenti disabilitati su Arriva GoodWill, il ransomware “etico” (forse)

Pubblicato da su 26 Maggio 2022 in news

 

Tag: , , , , , ,

Smishing, se lo conosci lo eviti

27 Apr

Il caro, vecchio SMS, che ormai nessuno usa più a livello personale, è uno strumento ancora ampiamente sfruttato da aziende e istituzioni per comunicare informazioni ai propri utenti o clienti, non raramente anche in veste di secondo fattore di autenticazione (la password temporanea rilasciata per confermare credenziali, disporre bonifici, eccetera). E in virtù di questo sopravvissuto utilizzo, piace molto anche ai truffatori che fanno smishing, ossia il phishing tramite SMS, appunto.

Il messaggio riportato è a prima vista verosimile, ma in realtà ha sufficienti caratteristiche per essere identificato come “trappola”. Escludendo un motivo strettamente personale legato al numero telefonico su cui è arrivato (numero che non è abbinato ad alcuna utenza di Poste Italiane, ragione che fa precipitare al suolo qualunque possibile attendibilità), troviamo un messaggio scritto in modo non consono all’ente che dovrebbe averlo spedito:

Abbiamo verificato accesso anomalo

Eventualmente dovremmo leggere “un” accesso anomalo (lo so, potrebbe sembrare irrilevante, ma gli SMS provenienti da Poste Italiane sono solitamente scritti in buon italiano). Ma c’è anche un link anonimo:

https://is.gd/pst2022

Il servizio con indirizzo is.gd permette di generare link brevi che sostituiscono indirizzi più lunghi, per farli diventare di facile riscrittura o dettatura, ma anche per occupare meno caratteri in un messaggio SMS o un tweet. Il nome PosteInfo è legato abitualmente a un mittente attendibile da cui potremmo ricevere SMS di vario tipo, inclusi gli aggiornamenti su una spedizione in arrivo, il cui link però è quasi sempre del tipo https://www.poste.it/eccetera.

Da un dispositivo sicuro (per quanto possibile) ho provato a seguire il link indicato, non si riesce ad approdare ad un sito web, il caricamento si ferma prima e permette solo di vedere l’indirizzo di destinazione del link abbreviato: belleviewvenue.com. Che verosimilmente non ha nulla a che fare con Poste Italiane, ma che potrebbe essere (come sempre accade) legato ad un form di richiesta credenziali. Da evitare come la peste.

 
Commenti disabilitati su Smishing, se lo conosci lo eviti

Pubblicato da su 27 aprile 2022 in news

 

Tag: , , , , , , ,

Il problema non è (solo) Kaspersky

14 Mar

C’è da scuotere la testa a leggere, in questi giorni, le parole di Franco Gabrielli, attualmente Sottosegretario di Stato con delega alla sicurezza nazionale. In un’intervista al Corriere della Sera Gabrielli ha parlato di segnali di crisi e alert su possibili attacchi informatici esistenti già da gennaio, dichiarando:

“Dobbiamo imparare a vivere gli alert come gli annunci di eventi meteorologici avversi: non con disperazione ma con spirito di reazione per evitare le conseguenze peggiori. Tenendo presente che scontiamo i limiti strutturali di un sistema di server pubblici inadeguato, e che pure in questo ambito dobbiamo liberarci da una dipendenza dalla tecnologia russa».

Che tipo di dipendenza?

«Per esempio quella di sistemi antivirus prodotti dai russi e utilizzati dalle nostre pubbliche amministrazioni che stiamo verificando e programmando di dismettere, per evitare che da strumento di protezione possano diventare strumento di attacco».

Nessun nome viene pronunciato nell’intervista, ma già qualche anno fa era emerso che le soluzioni di sicurezza di Kaspersky Lab, da tempo accusate di essere suscettibili di subire interferenze da parte del governo russo, erano state adottate da molte pubbliche amministrazioni italiane: tra queste – si legge in un articolo di Euronews – vari ministeri inclusi Difesa, Giustizia, Infrastrutture, Economia, Interno, Istruzione, Sviluppo Economico, alcune Authority (Agcom e Antitrust), l’Enav, il CNR e la Direzione centrale dei Servizi Elettorali.

L’argomento “Kaspersky” però potrebbe essere solo l’ultima criticità “a valle” di un problema ben più complesso: Gabrielli ha parlato esplicitamente di un sistema di server pubblici inadeguato e, se teniamo conto che solo nel 2021 è stata istituita una Agenzia per la Cybersicurezza Nazionale, capiamo che l’inadeguatezza non è semplicemente una questione di sistemi obsoleti o sottodimensionati, o di un piano in attesa dell’approvazione di un budget appropriato, le vulnerabilità sono alle fondamenta e derivano anche da una consapevolezza tardiva dell’importanza della sicurezza nell’infrastruttura informatica della pubblica amministrazione, che già nel 2017 venne etichettata come “un colabrodo” da Giuseppe Esposito, allora vicepresidente del Copasir.

Dico che le vulnerabilità derivano anche da una consapevolezza tardiva perché c’è un altro aspetto da considerare: il problema della dipendenza tecnologica non deve farci guardare solo in direzione della Russia, ma verso tutte le realtà di provenienza esterna a organismi e alleanze di cui fa parte l’Italia (ad esempio Unione Europea, Nato). Adottare soluzioni e piattaforme di aziende estranee a questa sfera fanno sfuggire quella sovranità tecnologica che potrebbe dare maggiori garanzie, soprattutto in enti e organizzazioni che hanno rilevanza critica per il Paese. Considerando che un software come un antivirus è in comunicazione frequente e continua con i server dell’azienda da cui proviene (ad esempio per il download di tutti i vari aggiornamenti e l’upload di log per analisi di quanto rilevato), è comprensibile la massima attenzione su questo fronte.

Una curiosità: lo scorso anno è stato pubblicato il rapporto Telehealth take-up: the risks and opportunities (tradotto sommariamente: L’adozione della telemedicina: i rischi e le opportunità), con i risultati di un’indagine che ha coinvolto un campione di 389 fornitori di servizi sanitari di 36 Paesi, da cui è risultato che l’89% delle organizzazioni sanitarie italiane utilizza apparecchiature e dispositivi medici con sistemi operativi obsoleti (e quindi privi di quel supporto che ne garantirebbe le possibilità di aggiornamento per la sicurezza).

Se non l’avete già scoperto cliccando sul link inserito nel titolo del rapporto, ve ne svelo l’autore: Kaspersky Lab.

 
Commenti disabilitati su Il problema non è (solo) Kaspersky

Pubblicato da su 14 marzo 2022 in news

 

Tag: , , , , , , , , , , , , , ,

Green Pass tutti da rifare?

27 Ott

Risulta valido – agli occhi della app VerificaC19 – il QR Code corrispondente al Green Pass legato al nome di Adolf Hitler con data di nascita 01/01/1930, diffuso in rete nelle scorse ore. Al netto delle palesi incongruenze che questa “certificazione” può presentare – fra le quali quella di minore importanza è la data di nascita non attendibile – questa “validità” dimostra che qualcuno ha preso possesso delle chiavi private utili a generare Green Pass formalmente validi, portando alla luce un rilevante problema di sicurezza.

Raid Forums è la fonte in cui è comparso il primo QR Code “intestato” al Führer, con i dati di una vaccinazione somministrata in Francia in data 11/07/2021 con una dose del vaccino Janssen (Johnson & Johnson). E’ fuori discussione che si tratti di una contraffazione e nel forum un utente che si presenta come przedsiebiorca dichiara di poter realizzare – per 300 dollari – Green Pass rilevati come validi dalle app autorizzate a leggerne i QR Code.

Assodato che un normale cittadino europeo non può aver accesso al sistema in grado di generare i Green Pass, non è affatto detto che il pittoresco caso del certificato intestato ad Adolf Hitler sia un esempio isolato di un’iniziativa dimostrativa, tant’è che ne esistono varie versioni (anche con data di nascita 01/01/1900 ad esempio). E se la possibilità di emettere un Green Pass è in mani sbagliate – eventualità che nessuno ora può escludere – è verosimile pensare che esistano molti certificati fasulli, ma formalmente ritenuti validi dai sistemi abilitati a verificarli. Questo renderebbe necessario:

  • annullare la validità di tutti i certificati emessi con le chiavi finora utilizzate
  • cambiare le chiavi
  • riemettere con tali chiavi nuovi certificati per i cittadini già in legittimo possesso di un Green Pass (che in tal caso se lo vedranno revocare e sostituire)

Ovviamente, in parallelo a quel “cambiare le chiavi” è assolutamente necessario capire in che modo sia avvenuto l’utilizzo abusivo delle chiavi e adottare tutte le soluzioni per risolvere il problema e fare in modo che l’eventualità non si ripresenti.

Aggiornamento (28/10/2021): il QR Code legato al nome di Adolf Hitler ora non risulta più “valido”

 
Commenti disabilitati su Green Pass tutti da rifare?

Pubblicato da su 27 ottobre 2021 in news

 

Tag: , , , , , , , , , , , ,

Articoli più vecchi