Archivi del mese: settembre 2012

Sicurezza E Social Media, Il Dibattito Continua Con Klout

Per tutti i patiti delle interazioni social-digitali degli ultimi anni Klout.com e’ diventato uno dei principali strumenti, se non il preferito, per valutare il proprio grado di influenza sul web. L’applicazione, disponibile sia su desktop/laptop sia su smartphone, pretende di quantificare il grado di popolarita’ di ogni iscritto analizzando di questi il grado di interattivita’, la tipologia di contenuto pubblicato e l’ampiezza del network che lo coinvolge. Ma quanto vale Klout dal punto di vista della sicurezza?

"Non conosci Klout? Non ti interessa quanto sei popolare?"; ecco l'osservazione che presto, anche in Italia, potremmo sentirci rivolgere...

“Non conosci Klout? Non ti interessa quanto sei popolare?”; ecco l’osservazione che presto, anche in Italia, potremmo sentirci rivolgere…

Cerchiamo di capirci qualcosa di piu’. Per poter attribuire un valore del tipo sopra descritto Klout, alla registrazione effettuabile in pochi minuti inserendo il nome utente utilizzato su Facebook o Twitter, richiede l’accesso alla diverse fonti di dati presso le quali la persona dichiara di essere iscritta: tra queste, oltre ai 2 social media indicati sopra, e’ d’uopo citare Foursquare, Google+, LinkedIn, Instagram, YouTube e WordPress.

Il verificarsi di alcune spiacevoli situazioni, che hanno visto la creazione automatica di profili per minorenni e la mancata cancellazione dei dati di coloro i quali avevano scelto di eliminare il proprio profilo dal database, Klout e’ stato oggetto di critiche piuttosto aspre, soprattutto da personaggi autorevoli negli Stati Uniti.

Klout, La Polemica Sulla Sicurezza Ne Accresce La Popolarita’ O Ne Mina La Crescita?

Le accuse mosse a Klout appaiono ripercorrere, per certi versi, quelle che hanno avuto oggetto in precedenza altri social media e servizi online (ad esempio Google), accusati di aver custodito “inconsapevolmente” per gli utenti informazioni personali senza il loro esplicito consenso. Sommando tutto questo a cio’ che recentemente e’ accaduto a piu’ di un social media, la strada e’ breve…

Esempio Di Interfaccia Utente Klout

Esempio Di Interfaccia Utente Klout

La soluzione proposta da molti esperti di sicurezza non ci convince particolarmente: utilizzare un nickname per iscriversi a questo tipo di servizi fa perdere di vista il significato originario attribuito, secondo noi, ai social media; essere rintracciabili, poter instaurare relazioni personali e/o lavorative, ecc. Utilizzare uno pseudonimo avrebbe si’ qualche vantaggio dal punto di vista della propria sicurezza personale (sotto forma di bit), ma toglierebbe “il sale” che rende questa nuova forma di espressione virtuale ai piu’ interessante. Per assurdo, in questo caso, perche’ iscriversi?

Diverso mi pare invece l’approccio di coloro i quali predicano una maggiore attenzione, da parte di tutti coloro che usano il web, nei confronti delle impostazioni di privacy, richieste all’iscrizione e nei confronti delle quali molti di noi, onestamente, pongono attenzione praticamente nulla. Un minimo di informazione rende il tutto, almeno sulla carta, piu’ comprensibile, o perlomeno azzera il pericolo di ignoranza che porta alla proliferazione di atteggiamenti irrispettosi da parte dei colossi digitali.

In definitiva il progetto Klout, il cui funzionamento e valore e’ ancora da comprendere e valutare pienamente, pare avere qualche difetto dal punto di vista della comunicazione posta in essere, verso l’esterno, dai manager che se ne occupano. La sicurezza in ambito informatico, soprattutto per quanto riguarda strumenti ampiamente usati come i social media, merita qualche certezza in piu’, specialmente in un periodo storico dominato generalmente dalla mancanza di chiarezza.

Annunci

Lascia un commento

Archiviato in Facebook, Google+, Klout, Privacy, Recensioni, Social Media & Network

Sophos, Allarme Sicurezza Rientrato

Sophos Italia, societa’ inglese produttrice dell’omonimo antivirus disponibile online, ha visto il proprio prodotto di punta oggetto di chiacchiericcio nel corso degli ultimi giorni quando alcuni files binari sono stati riconosciuti, in diversi dispositivi sul quale l’antivirus era installato, come nocivi.

Sophos Italia e' corsa immediatamente ai ripari con una patch auto-installante

Sophos Italia e’ corsa immediatamente ai ripari con una patch auto-installante

Il caso ha fatto, come ampiamente previsto, il giro del mondo, trovando tuttavia rapida risoluzione grazie alla predisposizione di una patch auto-installante che ha si’ provveduto ad eliminare il problema del presunto malware “Shh/Updater-B“, ma allo stesso modo pare abbia messo “kappao'” diverse caratteristiche dell’antivirus.

Dal sito della casa produttrice giungono indicazioni che l’utenza puo’ utilizzare per comprendere se il problema in questione affligge ancora, o meno, il proprio dispositivo:

  • presenza di nuovi allarmi relativi al virus Shh/Updater-B;
  • problemi relativi al processo di aggiornamento (l’icona di Sophos non e’ presente nell’area di notifica).

Viceversa la riattivazione del “Sophos Live Protection” e l’opzione “Disinfezione” attiva solo per la voce “Nega Solo L’Accesso” indica come la situazione in questione ha avuto una risoluzione del tutto positiva.

Lascia un commento

Archiviato in Informazioni Generali, Phishing & Malware, Sicurezza Connessioni

Microsoft “Risolve” La Falla Nella Sicurezza Di IE

Spaventata dalle considerazioni che il popolo del web aveva espresso nei confronti dell’adozione di Internet Explorer quale browser di navigazione (considerato dai più inaffidabile, quindi nettamente inferiore ai sempre più utilizzati e consigliati Firefox e Chrome), Microsoft ha da poche ore reso disponibile sul proprio sito internet una patch che dovrebbe consentire di porre rimedio al deficit di sicurezza additato.

Internet Explorer resta il browser più diffuso al mondo, ma Firefox e Chrome incalzano

Internet Explorer resta il browser più diffuso al mondo, ma Firefox e Chrome incalzano

Qualche ora fa avevamo raccontato di quanto i terminali di coloro i quali navigano il web utilizzando IE 7, 8 e 9 avrebbero potuto incappare in situazioni spiacevoli, con probabile attacco attraverso malware in grado di auto-installarsi attraverso re-indirizzamento a una pagina costruita ad hoc per sottrarre le credenziali di amministratore.

Il colosso di Redmond consiglia a tutti i propri utenti di scaricare il programma Enhanced Mitigation Experience Toolkit dal proprio sito internet, eseguendolo immediatamente in maniera tale da poter tornare ad usufruire della Rete in maniera più tranquilla ed affidabile. Microsoft, comunque, “mette le mani avanti” affermando che il toolkit sarebbe potenzialmente in grado di rendere il sistema meno stabile.

Semplice iniziativa pubblicitaria, tra l’altro mal riuscita dal punto di vista della comunicazione, o onesto tentativo di porre una pezza adoperando a profusione energie per difendere un browser considerato “vecchio” e poco appetibile da gran parte dei navigatori?

Lascia un commento

Archiviato in Attacchi Informatici/Crimine Informatico, Phishing & Malware, Sicurezza Connessioni

Nuova Vulnerabilità Per Internet Explorer

Il browser di navigazione web Internet Explorer, sicuramente ancora il più diffuso tra gli utenti online (recenti stime ne indicano l’utilizzo giornaliero, nelle sue diverse versioni, in quasi il 50% dei casi), non ha pace. É delle ultime ore la notizia che il software della società di Redmond ha mostrato una preoccupante falla nella sua sicurezza, potenzialmente in grado di causare seri danni agli utenti meno attenti al tema della sicurezza informatica.

Rapid7, impresa responsabile del programma virtuale di verifica delle penetrazioni informatiche Metasploit, ha denunciato apertamente l’esistenza di questo deficit, assolutamente non limitato ad alcune delle versioni del sistema operativo Windows ma che interesserebbe tutti i dispositivi sui quali sono installate versioni da XP in poi.

Attacco nei confronti di un dispositivo con installato Internet Explorer 8

Attacco nei confronti di un dispositivo con installato Internet Explorer 8 (fonte: Community Rapid7)

Il problema in questione darebbe strada ad attacchi di tipologia “drive by“, attraverso il quale coloro che cercano di ingannare gli utenti della Rete si impossessano, in maniera fraudolenta, dei privilegi di amministratore del proprietario del dispositivo attaccato, dando il via all’esecuzione del codice dannoso (“malware) che cela il tentativo di intromissione.

La possibilità di essere colpiti aumenterebbe, inoltre, in caso di utenti disattenti, poco propensi ad installare sul proprio computer le ultime patch disponibili. Il consiglio, ribadito spesso in occasione di questi eventi, é quello di mantenere il proprio sistema operativo il più possibile aggiornato.

In mancanza di una patch di correzione da applicare ai sistemi in pericolo, diversi esperti in sicurezza informatica consigliano vivamente di “abbandonare” l’utilizzo di Internet Explorer finora fatto, optando per i più affidabili Chrome, Firefox e Safari.

2 commenti

Archiviato in Attacchi Informatici/Crimine Informatico, Phishing & Malware

Certificati SSL SGC, Un’Analisi Critica

SGC è l’acronimo utilizzato in tutto il mondo per Server Gated Cryptography, tecnologia tradizionalmente associata alla crittografia dei dati in entrata ed uscita da un server, meglio conosciuta come SSL (Secure Socket Layer).

Nata sulla scia della legge statunitense sull’esportazione di sistemi di criptazione ad alto valore, attuata negli anni ’90 sulla scia della Guerra Fredda, permette a browser di navigazione più datati di connettersi ad un sito web protetto da un certificato SSL di godere di un valore di crittografia a 128 bit invece di quello a 40 bit.

La Server Gated Cryptography ebbe la luce, dapprincipio, come estensione SSL per istituzioni finanziarie, venendo poi garantita anche a Società di altro tipo. La situazione che portò la creazione della SGC cambia nel 2000, quando la legge USA sulle esportazioni venne cambiata aprendo le frontiere all’esportazione di valori a 128 bit (e oltre).

Nello stesso periodo Microsoft realizzò le versioni 5.5 e 5.0.1 SP1 di Internet Explorer che di fatto, attivando connessioni sicure a 128 bit, resero la tipologia di certificazioni SSL con SGC, a detta di molti, inutili. Sul sito del colosso di Redmond sono ancora adesso presenti le istruzioni necessarie per aggiornare Internet Explorer alla crittografia a 128 bit.

Per molti esperti di sicurezza informatica l’utilizzo di certificati SSL con SGC non è, nel 2012 più giustificabile; elenchiamo le principali obiezioni che si fanno strada sulla Rete:

  • il numero di coloro che ad oggi navigano utilizzando una versione di IE 5.x (o inferiore) è estremamente ridotto (si veda la tabella qui sotto, relativa all’adozione di questa versione del browser nel 2008, ultimo anno che ha permesso di quantificare il numero di soggetti adoperanti questo tipo di sistema);

Dati mondiali di utilizzo Internet Explorer 5.x Al 2008 (Fonte: W3School.com)

Dati mondiali di utilizzo Internet Explorer 5.x Al 2008 (Fonte: W3School.com)

  • acquistare un certificato SSL con SGC potrebbe, paradossalmente, favorire la “pigrizia” (o il disinteresse) di coloro i quali nel corso degli anni hanno sottovalutato l’importanza di aggiornare periodicamente gli strumenti a disposizione sul proprio terminale lavorativo o personale. In definitiva pare che questi browsers non aggiornati potrebbero causare all’intero sistema informatico problemi che vanno ben oltre la semplice criptazione dei dati. Usando uno slogan caro a molti utenti del web “i certificati SSL SGC sponsorizzano un utilizzo irresponsabile della Rete, e per questo il loro acquisto andrebbe evitato da chi ha il potere di cambiare le cose”.

  • il costo delle versioni di certificati SSL con SGC. Nonostante le richieste del mondo virtuale, la scelta di “regalare” questa tecnologia all’interno di un certificato SSL è stata presa solo da poche Autorità di Certificazione. Per quanto riguarda il resto del mercato si tratta di una particolarità che ha ancora un costo, e si tratta di qualcosa di non indifferente.

Attualmente l’Autorità Certificante più importante al mondo che fornisce certificati SSL SGC è Symantec, che sul proprio sito e su quello dei suoi rivenditori e partner permette la scelta di questo tipo di tecnologia per certificati SSL SGC Secure Site, con e senza “barra verde” (Green Bar). Per la cronaca è doveroso sottolineare quanto Symantec non abbia, ad oggi, ancora deciso di donare la Server Gated Cryptography all’emissione di uno qualsiasi dei suoi certificati SSL.

Sicurezza Digitale le posizioni dei critici dei certificati SSL SGC abbastanza condivisibili, anche se crede sia necessario fare un distinguo. I dati sopra riportati, relativi all’uso di browsers di navigazione con capacità di crittazione a 40 bit, sono del tutto chiari ed esaustivi, ma il dubbio è relativo a quanto gli stessi siano riferiti solo a quella parte del mondo, e dell’economia, che defininiamo “sviluppata”, o se prendano in considerazione anche quello che accade in Paesi attualmente sottosviluppati o in piena crescita economica, all’interno dei quali non è ancora sviluppata adeguatamente una cultura della sicurezza digitale.

Visti e considerati i repentini cambiamenti che il versante socio-economico registra giorno dopo giorno c’è da comprendere, usando un eufemismo, da dove verranno i soldi in futuro”, quindi se a fare la “voce grossa” saranno popoli ed imprese dell’attuale parte ricca del nostro Pianeta o se gli sconvolgimenti in atto daranno maggior potere di acquisto a coloro i quali usano ancora versioni di browsers a 40 bit.

Tentare di individuare il trend economico futuro è indubbiamente qualcosa di fondamentale per coloro i quali gestiscono o gestiranno un’attività di commercio elettronico, e per questo motivo la decisione di dotarsi o meno di un certificato SSL con SGC rappresenta qualcosa da non sottovalutare.

Lascia un commento

Archiviato in Certificati SSL, E-Commerce, SGC/Server Gated Cryptography, Sicurezza Connessioni, Sicurezza Mobile

Global Security Map, Analisi Della Sicurezza In Tempo Reale

Per poter operare malware badware hanno bisogno di chi li ospiti fisicamente. Global Security Map è un report aggiornato in tempo reale, disponibile gratis online, atto a stabilire in quali luoghi il crimine informatico attecchisce e dove ha allungato i propri tentacoli.

Nata dall’esperienza in fatto di report acquisita col tempo da HostExploit, Global Security Map ha storicamente contribuito a smascherare alcuni episodi di cybercrimine in tutto il mondo.

La pericolosità della situazione, raccontata sul sito di Global Security Map attraverso alcuni pratici e dettagliati grafici, è valutata in base a 6 diversi parametri: spam, malware, badware, botnets, phishing hub di crimine informaticoHE Index è il metro di giudizio sviluppato dal team responsabile di questi report, attraverso il quale si descrive la gravità dello scenario di ogni Paese al mondo su una scala che va da 0 a 1000. Raccolti i dati, il sistema attribuisce una classe di merito ad ogni versante in base alla significatività di quanto recepito e alla grandezza del/i server coinvolto/i.

Definiamo con maggior precisione le classi di analisi, individuando per ciascuna di esse lo stato di fatto ad oggi rilevato:

Spam: e-mail non richiesta dal ricevente ed inviata indiscriminatamente su vasta scala, sempre di più verso uno specifico gruppo di soggetti.

Lo scenario attuale: Arabia Saudita, Pakistan e India paiono ospitare il maggior numero di server indiziati come fonte di spam a livello mondiale.

Diffusione di server di spam a livello mondiale (fonte: "Global Security Map")

Diffusione di server di spam a livello mondiale (fonte: “Global Security Map”)

Continua a leggere

Lascia un commento

Archiviato in Attacchi Informatici/Crimine Informatico, BEAST Attack/Attacco BEAST, FLAME Malware/FLAME, Phishing & Malware, Sicurezza Connessioni, Sicurezza Mobile, Sicurezza Reti Aziendali

Certificati SSL Installati Ma Non Riconosciuti

Torniamo a parlare, dopo diverso tempo, della sicurezza informatica sotto forma di certificati SSL. Nel post di oggi desideriamo chiarire uno dei più comuni problemi che, spesso, spaventano coloro i quali acquistano ed installano un certificato SSL su un server, allo scopo di proteggere le comunicazioni effettuate attraverso il proprio sito web: la mancata installazione del CA Intermedio, dimenticanza o leggerezza spesso commessa considerando lo stesso non indispensabile alla protezione desiderata.

All’acquisto di un certificato SSL, dopo aver predisposto sul nostro server il CSR (Certificate Signing Request) e la Chiave Privata (Private Key) a 2048 bit, riceveremo 2 tipologie di certificati diversi, entrambi da inserire sul nostro server insieme alla Chiave Privata precedentemente generata: il certificato SSL e il certificato SSL cosiddetto intermedio. Mentre il certificato SSL “definitivo” fornisce lo strumento criptante la trasmissione dei dati effettuata da un client ed il server di riferimento (la Chiave Privata servirà, per l’appunto, a decifrare quanto celato; per questo motivo è da conservare con particolare cura all’interno del server e rappresenta indubbiamente il blocco di caratteri più delicato tra i 3), il certificato SSL CA Intermedio (Intermediate Certificate) o CA root firma le richieste delle CA root “inferiori”, generanti specificatamente la certificazione SSL che andiamo ad installare.

Il certificato SSL intermedio rappresenta, quindi, la radice di qualsiasi certificato SSL. In caso di inaffidabilità della CA root tutti gli SSL da essa derivanti risulteranno pericolosi ed in grado di poter essere attaccati. I certificati SSL intermedi, una volta installati all’interno del server, comunicano al browser che li riconosce come attendibili che il certificato da essa firmato è sicuro, evitando al visitatore di turno di visualizzare (su Mozilla Firefox) la schermata d’errore di cui sotto.

Esempio Di Certificato SSL Non Riconosciuto Su Mozilla Firefox

Esempio Di Certificato SSL Non Riconosciuto Su Mozilla Firefox

In caso di installazione di un certificato SSL è sempre consigliabile aggiungere il certificato SSL intermedio; in questo caso il risultato ottenuto sarà certamente positivo e potrà essere verificato, in caso di certificati SSL emessi da RapidSSL, GeoTrust, Thawte, VeriSign e Symantec, accedendo agli strumenti di GeoTrust o di GeoCerts.

1 Commento

Archiviato in Catena Di Certificazione/Certificate Chain, Certificati SSL, CSR/Certificate Signing Authority, HTTPS, Installare Certificati SSL, Sicurezza Connessioni