Archivi del mese: maggio 2013

Certificati SSL Di Google, In Arrivo La Transizione Da 1024 A 2048 Bit

Il più famoso motore di ricerca al mondo ha comunicato nei giorni scorsi l’intenzione di sostituire, all’interno dei vari siti che ne compongono il network mondiale, i certificati SSL emessi come CA dalla versione a 128 bit (CSR e Chiave Privata a 1024 bit) a quella a 256 bit (CSR e Chiave Privata a 2048 bit).

come-verificare-se-i-certificati-ssl-sono-a-1024-2048-bit

Considerati come necessari per la protezione di comunicazioni in entrata e in uscita da un sito web, i certificati SSL vengono oggi comunemente venduti con capacità di criptazione minima a 256 bit.

Google ha assicurato che la decisione di iniziare un processo di revisione dei certificati per la seconda metà del 2013 non è dovuta a situazioni di pericolo per la sicurezza dei suoi utenti, mettendo così a tacere i tentativi di speculazione che si erano immediatamente scatenati.

Questa modifica dovrebbe, quindi, tutelare la sicurezza di queste piattaforme fino al termine di questo secondo decennio, a patto che la tecnologia non metta in campo sistemi e tecniche in grado di rendere obsoleto questo valore.

2 commenti

Archiviato in Certificati SSL

Come Cancellare Definitivamente Dati Dal Proprio PC

Spostare i propri files nel cestino non assicura, chiaramente, la definitiva scomparsa degli stessi dal nostro PC. Affinché questa rimozione sia effettiva al 99% è consigliabile utilizzare un programma atto a sovrascrivere, con caratteri casuali, il contenuto delle cartelle e dei files che si vuole rendere illegibili a chi recupererà il disco fisso o mobile in questione.

Ecco 3 programmi che garantiscono questa possibilità:

  • File Shredder” di Kaspersky Pure 3.0: con un semplice click sarà possibile “pulire” i drivers locali, removibili, le cartelle o singoli files. Il sistema utilizzato per portare a compimento questa procedura si basa sulla sovrascrittura dei dati presenti con “zeri” e “altri caratteri casuali”. La cancellazione delle cartelle e dei files di sistema richiede una conferma aggiuntiva, considerata la particolare importanza di questi per il dispositivo.

file-shredder-kaspersky-pure-3

 

  • Lavasoft File Shredder: anche in questo caso, come per la soluzione di Kaspersky, il prodotto è offerto ad un costo limitato ed opera per OS Windows XP, Vista, 7 e 8. E’ possibile adoperare questo programa per cancellare files, logs, lo storico di navigazione oltre alle versioni di questi files custodite sui drivers. In questo caso sono 7 i diversi gradi di cancellazione garantiti, ciascuno con una diversa profondità di azione.

 

lavasoft-file-shredder

 

  • Free File Shredder: questo programma, estremamente leggero e funzionale dedicato ai sistemi operativi Windows, opera in maniera molto simile a quello prodotto dal colosso Kaspersky, riscrivendo le informazioni contenuto sul dispositivo con un linguaggio binario. “Free File Shredder” offre 5 diversi algoritmi di criptazione, ciascuno avente un diverso grado di forza.

free-file-shredder

 

In linea generale è bene segnalare che questo tipo di strumenti effettua sì una riscrittura dei dati con caratteri casuali, ma non elimina al 100% la possibilità che gli stessi possano essere recuperati da mani esperte. Indicativamente, comunque, la protezione garantita è estremamente affidabile per la stragrande maggioranza degli utenti.

1 Commento

Archiviato in Manutenzione Computer

Certificati SSL OV E EV, Ecco I Controlli Richiesti

I certificati SSL OV (Organization Validation) e EV (Extended Validation) sono, al contempo, in grado di garantire un maggior livello di credibilità relativamente alla Società che detiene il dominio (grazie al processo di verifica da completare per poter essere emessi) e di richiedere tempi di creazione piuttosto lunghi, in grado di protrarsi nel caso in cui non si prestasse sufficiente attenzione alle richieste che le CA pongono solitamente in essere.

Per iniziare, vediamo quali sono i principali prodotti che rientrano in queste 2 famiglie; per quanto riguarda il gruppo dei certificati SSL OV rientrano:

Al fine di poter essere emessi entro i termini annunciati dalla CA (3-5 giorni lavorativi), tali certificati digitali richiedono:

  1. la iscrizione della Società titolare presso il database nazionale delle Aziende (potrebbe trattarsi sia di una fonte governativa o di una che da quest’ultima ha ricevuto approvazione) o sul sito internazionale “Dun & Bradstreet”, disponibile sia in versione internazionale sia italiana. E’ importante che lo status della Società sia, nei casi previsti qui sopra, raffigurabile come “Attivo”.
  2. la titolarità del dominio per il quale si richiede il certificato in capo alla Società che sta effettuando la richiesta. Questo tipo di informazioni è disponibile presso i registri WHOIS (si veda, a questo proposito, il registro WHOIS per nomi dominio .it, WHOIS per domini .com, WHOIS per domini .net, e via dicendo). E’ fondamentale verificare il nome dell’Organizzazione (deve essere assolutamente identico a quello incluso nel modulo d’ordine), l’indirizzo stradale e il contatto Organizzativo responsabile del dominio stesso.
  3. la presenza di un numero fisso, attribuito all’azienda, verificabile sui registri telefonici riconosciuti (per GeoTrust le fonti ritenute, al momento, attendibili comprendono PagineBianche, PagineGialle, Pagine-Mail, Infobel Italy, RegistroImprese, 1818.com, 892 892, GuidaMonaci, Kompass).

Tra i certificati SSL Extended Validation rientrano invece:

Per questo genere di prodotti la Certification Authority responsabile chiede il rispetto delle seguenti condizioni, da soddisfare prima dell’esecuzione della richiesta o, al massimo, appena dopo il pagamento dell’ordine:

  1. verificare la registrazione della Compagnia che detiene il dominio all’interno del database nazionale per le imprese, edito dal Governo nazionale o approvato da quest’ultimo;
  2. accertarsi che la Società/Organizzazione proprietaria del dominio sia stata fondata almeno 3 anni prima della richiesta per il certificato SSL. Nel caso in cui il periodo intercorso sia minore sarà necessario fornire i dettagli di iscrizione al registro di Duns & Bradstreet o inviare a GeoTrust una lettera bancaria che indichi gli estremi di registrazione della Società stessa;
  3. cercare sul WHOIS di appartenenza (si vedano sopra i dettagli) con quale Denominazione è indicata la Società/Organizzazione che detiene il dominio, l’indirizzo della sede e il contatto Amministrativo di tale registrazione. Sarà importante modificare tutti i dettagli non più validi in maniera tale da poter consentire a GeoTrust di completare positivamente le verifiche richieste per l’emissione del certificato;
  4. avvertire le Risorse Umane o la Direzione della chiamata telefonica che GeoTrust effettuerà per verificare la presenza del contatto Amministrativo in azienda e il ruolo di quest’ultimo all’interno dell’organico. Non sarà difatti sufficiente l’autocertificazione di un semplice impiegato, a meno che lo stesso non sia indicato come Dirigente;
  5. controllare che il numero telefonico inserito nel modulo d’ordine all’interno del contatto Amministrativo sia presente in un registro telefonico online (per sapere quali sono quelli approvati da GeoTrust si prega di verificare le indicazioni fornite al terzo punto del processo di verifica per i certificati SSL OV). Si consiglia l’inserimento di un centralino in grado di smistare le chiamate.
  6. indicare, come Contatto Amministrativo, una persona presente in Azienda per l’intera giornata. In questa maniera sarà più semplice permettere la verifica delle informazioni riportate sull’ordine e, di conseguenza, favorire l’emissione della certificazione SSL nei termini temporali previsti.

Il rispetto delle regole sopra indicate per i 2 gruppi di certificati, seppur del tutto indicative e non ufficialmente confermate dalla CA, sarà in grado di ridurre le tempistiche di emissione previste (3-5 giorni lavorativi per i certificati SSL OV e 7-10 giorni lavorativi per i certificati SSL EV).

2 commenti

Archiviato in Certificati SSL, Certificati SSL EV, Certificati SSL OV

Consigli Utili Per Un Mobile Banking Sicuro

E’ in costante aumento il numero di utenti che operano sul proprio conto corrente attraverso le app per i loro smartphones (fonte: “Interactive Advertising Bureau“).

Quasi il 60% di coloro che hanno risposto all’inchiesta hanno affermato di interagire abitualmente con il proprio patrimonio in maniera virtuale e on the move, mentre il 25% è a conoscenza della presenza di una app ma non l’ha ancora scaricata e/o utilizzata. Minore è la percentuale di coloro i quali utilizzano il sito della propria banca in formato mobile, senza sfruttare la app ufficiale.

consigli-utili-per-un-mobile-banking-sicuro

Ribadendo l’importanza di interagire con la propria banca attraverso la app ufficiale disponibile sugli stores virtuali, è importante non comunicare a nessuno e/o trascrivere la password di accesso ai propri dati, accertandosi inoltre che la sessione si svolga protetta dalla criptazione SSL (Secure Socket Layer).

Ecco alcuni consigli utili per coloro i quali intendano iniziare o continuare ad operare con la propria banca attraverso queste applicazioni:

  • non connettersi al servizio da hotspots e/o wi-fi pubblici e/o privi di sufficiente sicurezza;
  • diffidare delle comunicazioni che la propria Banca invia attraverso SMS o e-mail. E’ estremamente consigliabile, inoltre, evitare di chiamare i numeri telefonici indicati in questi messaggi;
  • attivare gli alerts relativi ai pagamenti effettuati tramite il proprio bancomat, la propria carta di credito e/o il conto corrente bancario. Il servizio in questione, in passato proposto solo da alcune banche, è ora comune a diversi Istituti e società emittenti carte di pagamento;
  • allontanarsi dal sito della banca e/o interrompere l’uso della app laddove si tema la stessa stia funzionando in maniera equivoca;
  • controllare regolarmente il proprio estratto conto bancario;
  • installare sul proprio dispositivo mobile un software che si prenda cura della sicurezza del dispositivo mobile in questione.

3 commenti

Archiviato in Attacchi Informatici/Crimine Informatico, Phishing & Malware, Sicurezza Connessioni, Sicurezza Mobile