Archivi del mese: dicembre 2012

Codici Quick Response Veicolano Malware

La diffusione capillare di telefoni di ultima generazione, sempre più simili ai notebook rispetto che ai cellulari di “prima generazione”, ha rivoluzionato anche il meccanismo di trasmissione e ricezione delle informazioni.

Un semplice esempio relativo a questo trend è dato dai QR (Quick Response), moderni codici a barre a 2 dimensioni che una volta scansionati con appositi programmi permettono l’accesso a contenuti specifici (es. video, pagine web con offerte dedicate, buoni sconto, immagini).

Codici-Quick-Response-Veicolano-Malware

Complice la diffusione di applicazioni gratuitamente scaricabili ed installabili sul proprio dispositivo (una su tutte “Scan”, ritratta nel collage qui sotto) un crescente numero di società e agenzie di comunicazione ha concentrato la propria attività su questo tipo di strumento.

app-smartphone-qr-code-scan

“Scan” è l’applicazione per smartphone più scaricata e installata, utile per la lettura dei QR codes

Symantec, per voce di alcuni suoi esperti in malware, ha avvertito la Rete in merito al crescente rischio di imbattersi in codici Quick Response contraffatti, che indirizzerebbero ignari utenti verso pagine web ingannevoli o che comporrebbero numeri telefonici ad alto costo.

I QR contraffatti sarebbero proposti su adesivi, applicati per strada (su muri, lampioni, manifesti pubblicitari, ecc.) e su alcuni siti web non raccomandabili, camuffati come pubblicità, ma che di legale non hanno purtroppo nulla.

Il consiglio di Symantec, che sottoscriviamo pienamente, è quello di non inquadrare, e conseguentemente decodificare, alcun codice proposto su supporti mobili come adesivi; nel caso in cui si effettuasse comunque la scansione è bene accertarsi che il sito in questione sia “pulito”.

Una misura cautelativa accessoria prevede l’attivazione, sulla propria applicazione leggi-codici di riferimento, dell’impostazione “Chiedi prima di aprire”, disponibile su “Scan” accedendo alle Impostazioni (si veda l’immagine a seguire per maggiori informazioni).

attivare-protezione-qr-code

Concludendo, la minaccia in questione va sicuramente considerata con estrema attenzione in quanto un attacco di questo tipo metterebbe a repentaglio la sicurezza delle informazioni custodite all’interno dello smartphone; tuttavia i consigli, comunque validi, di Symantec & Co. confermano quanto siamo soliti ripetere ad ogni notizia di questo tipo: la prudenza e l’attenzione sono due atteggiamenti sicuramente in grado di allontanare le minacce informatiche, compresa quella che vede interessati i codici QR.

Lascia un commento

Archiviato in Phishing & Malware, Sicurezza Connessioni, Sicurezza Mobile

Quale Strumento Utilizzare Per Criptare Dati E Documenti

Sono numerosi gli strumenti che promettono di criptare informazioni e files custoditi all’interno di sistemi informatici. L’adozione di uno di questi diventa di crescente importanza allorquando a dover essere protetti sono dati personali cosiddetti “sensibili”.

Quale-Strumento-Utilizzare-Per-Criptare-Dati-Documenti

Passiamo in rassegna alcuni di questi:

  • TrueCrypt: software gratuito in grado di attivare svariate tipologie di protezione (es. creazione di una parte di disco virtuale criptata; crittazione di una sezione del sistema sulla quale è installato un determinato sistema operativo; protezione di un supporto fisico quale, ad esempio, un driver USB, ecc.). La sicurezza è garantita da una password e dall’utilizzo di un particolare sistema (“On The Fly“) che decripta automaticamente i dati mentre vi si lavora e li cripta non appena il file in questione non viene adoperato. Ultimo aggiornamento: 7 Febbraio 2012
  • AxCrypt: anche in questo caso si tratta di un programma distribuito senza alcun costo per l’utilizzatore. Una volta installato i comandi ad esso relativi vengono integrati all’interno del pannello del sistema operativo, rendendo la crittazione dei dati e dei files davvero semplice. Nel caso in cui i documenti vengano adoperati anche su altri dispositivi il programma è in grado di creare, su richiesta dell’utente, archivi in grado di accedere ai contenuti senza dover ripetere più volte l’installazione del programma. Per concludere, i comandi di AxCrypt sono anche in lingua italiana e consentono di criptare anche files in “.exe”.
  • GPG (Gnu Privacy Guard): il sistema di crittografia è distribuito con alcuni tra i principali sistemi operativi. Si tratta della soluzione più tecnica tra quelle descritte in questo post in quanto è utilizzabile attraverso librerie e front end che ospitino righe di comando, dalle quali GPG è composto.
  • Disk Utility: principalmente destinato a Mac users, “Disk Utility” permette di operare in estrema libertà sui dischi del sistema, consentendo anche di criptare i documenti. Tra le caratteristiche del prodotto “a licenza chiusa” vi sono l’abilità di creare “immagini disco” sicure e di operare sulle partizioni e sui privilegi del sistema in questione.

L’algoritmo più comune, non solo tra queste 4 soluzioni ma in generale tra tutti gli strumenti utilizzabili per criptare dati e documenti, è l’AES a 256 bit.

Lascia un commento

Archiviato in Recensioni

Spam LinkedIn

spam-linkedin

Riportiamo un nuovo caso di spam, del quale siamo stati oggetto nelle scorse ore. L’e-mail contraffatta appariva inviata, in questo caso, da LinkedIn.Riportiamo un nuovo caso di spam, del quale siamo stati oggetto nelle scorse ore. L’e-mail contraffatta appariva inviata, in questo caso, da LinkedIn.

Lascia un commento

Archiviato in LinkedIn, Phishing & Malware, Social Media & Network

La Privacy Di Facebook Sta Per Cambiare Ma Pochi Lo Sanno…

Le modalità con le quali la privacy su Facebook viene trattata potrebbe cambiare presto. Il famoso social media diretto da Zuckerberg ha indetto, qualche tempo fa, una sorta di referendum tra i propri iscritti chiamati ad esprimersi sulle attuali norme che regolano la diffusione dei dati personali pubblicati sul sito web.

Affinché lo stesso abbia validità è necessario che almeno il 30% degli iscritti si esprima a favore o contro la modifica della SRR and Data Use Policy, un numero impressionante considerato l’immenso ammontare di iscritti (solo in Italia si calcola siano almeno 23 milioni…) sia per lo scarso richiamo che la consultazione ha ottenuto sui mass media. A poche ore dalla conclusione del “referendum” (la votazione si chiuderà Domenica 12 Dicembre 2012 alle ore 16.00 italiane) lo stesso sembra destinato a fallire inesorabilmente…

la-privacy-su-facebook-sta-per-cambiare-ma-se-ne-parla-poco

La schermata del social media che permette di esprimere la propria preferenza sulle norme di privacy di Facebook

Vediamo brevemente quali sono le regole relative al Facebook Governance Vote:

  1.  Quando si potrà votare? è possibile esprimere la propria preferenza dalle 16.00 (ora italiana) del 3 Dicembre 2012 sino alle 16.00 del 10 Dicembre 2012. Gli utenti possono votare tra la nuova versione proposta delle norme di trattamento della privacy e dell’utilizzo dei dati personali e quella attualmente attiva. E’ possibile votare solo una volta e non è permesso modificare la propria preferenza una volta comunicata. Come indicato all’interno dello Statement of Rights and Responsibilities and Data Use Policy di Facebook se almeno il 30% di tutti gli utenti attivi esprimeranno il proprio parere lo stesso verrà considerato vincolante, se il totale dei votanti sarà inferiore il risultato sarà considerato alla stregua di una semplice opinione.
  2. Chi può votare? Possono votare tutti coloro che risulteranno iscritti a Facebook prima del 3 Dicembre 2012, data di convocazione ufficiale.
  3. Quale genere di informazioni la app dedicata al voto raccoglierà e cosa accadrà a questi dati? Come indicato all’interno della Data Use Policy, Facebook “condivide a volte” informazioni con il fornitore del servizio, Thuzi. Utilizzando questa app Thuzi potrà ottenere l’accesso ad alcune tue informazioni personali, tra le quali il tuo nome utente. Ciò consentirà a Thuzi di determinare se tu possa votare, registrando altresì la tua partecipazione non appena espressa. Secondo le indicazioni di Facebook Thuzi “non potrà usare questo tipo di informazioni per uno scopo diverso da questo e provvederà a cancellare le informazioni a servizio completato”.
  4. Quando saranno resi noti i risultati? I risultati saranno comunicati sul social media il giorno successivo alla conclusione della consultazione referendaria, quindi l’11 Dicembre 2012.
  5. Cosa succederà una volta che il risultato sarà noto? A voto concluso il voto verrà analizzato da addetti esterni. Facebook comunicherà il risultato sulla Site Governance Page.
  6. Potrò condividere il mio voto con i miei amici? Sì, non appena avrai espresso il tuo voto ti sarà offerta la possibilità di condividere la notizia con il tuo pubblico attraverso il tuo profilo personale.

Le modifiche proposte riguardano principalmente i rapporti tra Facebook e le società alle quali Zuckerberg ha recentemente associato il marchio, tra le quali Instagram. Nonostante i dubbi relativi al trattamento più o meno etico di questi dati sia sempre stato dibattuto online tale consultazione viene vista, da molte voci su Internet, quale “l’ultima possibilità data agli utenti di esprimere al propria opinione” su ciò che concerne non solo la privacy su Facebook, ma su una vasta gamma di social media. Il risultato della consultazione, difatti, potrebbe diventare vera e propria giurisprudenza, zittendo iniziative quali Our Policy Europe versus Facebook.

Una volta in più, quindi, votare è importante! 😉 prestate 5 minuti ed esprimete la vostra preferenza in tempo!!!

4 commenti

Archiviato in Eventi, Facebook, Privacy, Social Media & Network

Mente Virtuale, Danni Reali

Parlare di crimine informatico porta spesso ad immaginare scenari da film hollywoodiano, nei quali malintenzionati senza scrupoli puntano a forzare la sicurezza di sistemi informativi governativi o database di grandi imprese. Occupandosi giornalmente di sicurezza informatica si sa quanto il cyber-crimine abbia come principali vittime singoli navigatori del web, in particolar modo coloro i quali effettuano acquisti su Internet (numero in costante ascesa, nonostante la crisi economica degli ultimi anni) e che inseriscono online dati personali.

Lo scorso 29 Novembre un folto gruppo di esponenti di Polizia, magistrati e avvocati abruzzesi si è riunito a Pescara, presso la sede della Fondazione PescarAbruzzo, per spiegare ai convenuti la rilevanza di questo genere di minacce all’interno della Regione. La relazione del Sostituto Procuratore presso il Tribunale de L’Aquila Simonetta Ciccarelli ha configurato come pari al 15%, negli ultimi 36 mesi, il numero dei reati “virtuali” che hanno popolato i faldoni dei procedimenti penali attivati contro soggetti noti ed ignoti. Oltre 3000, quindi, i reati di questa tipologia commessi attraverso la tecnologia informatica e quella delle reti.

mente-virtuale-danni-reali

La locandina del Convegno

La parte del leone la fa, come accade anche su terreni più vasti e di portata nazionale e internazionale, il phishing. La tipologia di minacce poste in essere dai criminali cambia continuamente, comprendendo quello incentrato sulla false verifiche richieste dagli istituti di credito o dalle Poste, passando per le richieste di controllare determinate pagine web inviate tramite i più diffusi social media.

I relatori hanno inoltre puntato il dito sulla scarsa informazione e attenzione dedicata dai mass media al problema (troppo spesso si spendono troppe parole sulla spettacolarità di determinati attacchi, ma si spiega molto raramente come gli stessi possano essere arrestati prima di provocare danni) e su un aspetto tecnico che rende questi attacchi difficili da debellare: l’antiforensic (l’azione di coloro i quali si oppongono ai difensori della Rete informatica) conta su server che, spostandosi rapidamente da un Paese ad un altro (soprattutto verso quelli che limitano l’accessibilità alle informazioni relative alle minacce), diventano difficilmente tracciabili da parte degli investigatori che, laddove possano individuarne la presenza, “perdono tempo” tentando di recuperarne i dati.

Al fine di poter combattere nel miglior modo possibile questo genere di situazioni “Violenza Informatica e Cyber Attack: Di.f.e S.I.?” ha espresso, per voce di diversi esponenti che hanno preso parte alla discussione, la necessità di creare prima a livello nazionale, quindi internazionale, autorità a carattere giuridico unite nella guerra al crimine informatico. Affinché la comunicazione possa assumere contorni di maggior interesse per le nuove generazioni, maggiori utenti della Rete sia nel presente sia nel prossimo futuro, potrebbe risultare interessante valutare nuovi canali di informazione attraverso social media e blog (es. giochi, test, giornate dedicate alla sicurezza informatica, ecc.).

Lascia un commento

Archiviato in Attacchi Informatici/Crimine Informatico, Eventi, Informazioni Generali, Phishing & Malware, Privacy, Sicurezza Mobile, Sicurezza Reti Aziendali, Social Media & Network