Archivio dell'autore: Zane

Certificati SSL DV StartSSL, Gratuiti Ma…

StartSSL rappresenta, per molti di coloro i quali si avvicinano per la prima volta al mondo della certificazione SSL e non possono disporre di elevati mezzi finanziari per investire in questo campo, un’alternativa interessante, grazie soprattutto alla possibilità di ottenere, (apparentemente) in maniera gratuita, certificati SSL Domain Validated da installare sul proprio server.

Il principale beneficio di questa CA (colpita da un attacco hacker nel 2011), riconosciuta dalla maggior parte dei browser come attendibile, è giustificato quindi dal costo, che ad una prima occhiata può apparire azzerato, supportando il pensiero di coloro i quali consigliano di non acquistare alcun prodotto brandizzato in quanto perfettamente sostituibile da un certificato di StartSSL. Attenzione! non è tutto oro quel che luccica. Scopriamo insieme il perché di questa nostra affermazione.

Certificati SSL DV StartSSL

In caso di ordine di un certificato SSL “Classe 1” (Domain Validated) da StartSSL il modulo di sottoscrizione richiederà l’inserimento di dati anagrafici relativi ad una persona fisica, soggetto che la Certification Authority riterrà da quel momento in poi responsabile per l’emissione e la relativa veridicità delle informazioni riportate. Questo significa che anche nel caso un certificato SSL emesso da un sottoscrittore fosse in seguito da lui destinato ad una Società nessuna autenticità verrebbe garantita a quest’ultima, persistendo quindi un rapporto unico e diretto tra CA e “richiedente autorizzato”.

I certificati SSL appartenenti a questa categoria possono essere adoperati solo per fini non-commerciali, sono validi solo per 12 mesi, possono avere un solo nome dominio per certificato (nessuna possibilità, quindi, di Wildcard o di multi-dominio) e un solo certificato per nome dominio. La validazione del dominio garantita dai certificati SSL DV StartSSL dura 30 giorni, al termine dei quali il processo di verifica deve essere necessariamente ripetuto nelle medesime modalità iniziali. Qualora il richiedente non rispettasse questa scadenza di revisione StartSSL provvederebbe all’annullamento del certificato in oggetto o, addirittura (nei casi più gravi), alla cancellazione di tutti i certificati SSL emessi da quell’utenza.

Certificati SSL OV E EV StartSSL

Per quanto riguarda queste 2 categorie di certificati SSL emessi da StartSSL il processo di verifica pre-emissione ha un costo dovuto una tantum; il titolare dell’account, una volta superato con successo, potrà richiedere l’emissione di svariati certificati SSL, tutti emessi a nome della medesima Società. StartSSL, nella policy presente sul suo sito web, afferma che qualsiasi comportamento irrispettoso delle regole decise porterebbe alla revoca dei certificati SSL .

Revoca dei certificati SSL StartSSL, Quando Avviene E Cosa Comporta

Ecco le motivazioni che provocano la revoca dei certificati SSL emessi da StartSSL:

  • presenza di una Chiave Privata potenzialmente corrotta;
  • inserimento, nel modulo di sottoscrizione, di informazioni errate e/o ingannevoli;
  • mancato rispetto della policy presente sul sito di StartSSL;
  • mancanza del server dal quale è partita la richiesta per il certificato SSL;
  • richiesta di revoca espressa dal sottoscrittore.

StartSSL prevede, per ogni certificato SSL revocato, il pagamento di una penale di 24,90 USD$. E’ bene segnalare che la revoca anche di uno solo tra i certificati SSL richiesti da un sottoscrittore potrebbe portare, in casi di particolare gravità, alla cancellazione dell’intero registro di certificati presenti all’interno del suo bouquet.

In definitiva, StartSSL resta una delle CA sicuramente più interessanti nel mercato della sicurezza dei siti web, ma all’interno delle pieghe della propria policy nasconde condizioni che possono variare non di poco la scelta sull’affidarsi o meno all’organizzazione in questione in merito alla fornitura di certificati SSL per la sicurezza della propria presenza online.

2 commenti

Archiviato in Certificati SSL, Certificati SSL EV, Certificati SSL Gratis, Certificati SSL OV, EV/Extended Validation, HTTPS, Sicurezza Connessioni

Certificati SSL Di Google, In Arrivo La Transizione Da 1024 A 2048 Bit

Il più famoso motore di ricerca al mondo ha comunicato nei giorni scorsi l’intenzione di sostituire, all’interno dei vari siti che ne compongono il network mondiale, i certificati SSL emessi come CA dalla versione a 128 bit (CSR e Chiave Privata a 1024 bit) a quella a 256 bit (CSR e Chiave Privata a 2048 bit).

come-verificare-se-i-certificati-ssl-sono-a-1024-2048-bit

Considerati come necessari per la protezione di comunicazioni in entrata e in uscita da un sito web, i certificati SSL vengono oggi comunemente venduti con capacità di criptazione minima a 256 bit.

Google ha assicurato che la decisione di iniziare un processo di revisione dei certificati per la seconda metà del 2013 non è dovuta a situazioni di pericolo per la sicurezza dei suoi utenti, mettendo così a tacere i tentativi di speculazione che si erano immediatamente scatenati.

Questa modifica dovrebbe, quindi, tutelare la sicurezza di queste piattaforme fino al termine di questo secondo decennio, a patto che la tecnologia non metta in campo sistemi e tecniche in grado di rendere obsoleto questo valore.

2 commenti

Archiviato in Certificati SSL

Come Cancellare Definitivamente Dati Dal Proprio PC

Spostare i propri files nel cestino non assicura, chiaramente, la definitiva scomparsa degli stessi dal nostro PC. Affinché questa rimozione sia effettiva al 99% è consigliabile utilizzare un programma atto a sovrascrivere, con caratteri casuali, il contenuto delle cartelle e dei files che si vuole rendere illegibili a chi recupererà il disco fisso o mobile in questione.

Ecco 3 programmi che garantiscono questa possibilità:

  • File Shredder” di Kaspersky Pure 3.0: con un semplice click sarà possibile “pulire” i drivers locali, removibili, le cartelle o singoli files. Il sistema utilizzato per portare a compimento questa procedura si basa sulla sovrascrittura dei dati presenti con “zeri” e “altri caratteri casuali”. La cancellazione delle cartelle e dei files di sistema richiede una conferma aggiuntiva, considerata la particolare importanza di questi per il dispositivo.

file-shredder-kaspersky-pure-3

 

  • Lavasoft File Shredder: anche in questo caso, come per la soluzione di Kaspersky, il prodotto è offerto ad un costo limitato ed opera per OS Windows XP, Vista, 7 e 8. E’ possibile adoperare questo programa per cancellare files, logs, lo storico di navigazione oltre alle versioni di questi files custodite sui drivers. In questo caso sono 7 i diversi gradi di cancellazione garantiti, ciascuno con una diversa profondità di azione.

 

lavasoft-file-shredder

 

  • Free File Shredder: questo programma, estremamente leggero e funzionale dedicato ai sistemi operativi Windows, opera in maniera molto simile a quello prodotto dal colosso Kaspersky, riscrivendo le informazioni contenuto sul dispositivo con un linguaggio binario. “Free File Shredder” offre 5 diversi algoritmi di criptazione, ciascuno avente un diverso grado di forza.

free-file-shredder

 

In linea generale è bene segnalare che questo tipo di strumenti effettua sì una riscrittura dei dati con caratteri casuali, ma non elimina al 100% la possibilità che gli stessi possano essere recuperati da mani esperte. Indicativamente, comunque, la protezione garantita è estremamente affidabile per la stragrande maggioranza degli utenti.

1 Commento

Archiviato in Manutenzione Computer

Certificati SSL OV E EV, Ecco I Controlli Richiesti

I certificati SSL OV (Organization Validation) e EV (Extended Validation) sono, al contempo, in grado di garantire un maggior livello di credibilità relativamente alla Società che detiene il dominio (grazie al processo di verifica da completare per poter essere emessi) e di richiedere tempi di creazione piuttosto lunghi, in grado di protrarsi nel caso in cui non si prestasse sufficiente attenzione alle richieste che le CA pongono solitamente in essere.

Per iniziare, vediamo quali sono i principali prodotti che rientrano in queste 2 famiglie; per quanto riguarda il gruppo dei certificati SSL OV rientrano:

Al fine di poter essere emessi entro i termini annunciati dalla CA (3-5 giorni lavorativi), tali certificati digitali richiedono:

  1. la iscrizione della Società titolare presso il database nazionale delle Aziende (potrebbe trattarsi sia di una fonte governativa o di una che da quest’ultima ha ricevuto approvazione) o sul sito internazionale “Dun & Bradstreet”, disponibile sia in versione internazionale sia italiana. E’ importante che lo status della Società sia, nei casi previsti qui sopra, raffigurabile come “Attivo”.
  2. la titolarità del dominio per il quale si richiede il certificato in capo alla Società che sta effettuando la richiesta. Questo tipo di informazioni è disponibile presso i registri WHOIS (si veda, a questo proposito, il registro WHOIS per nomi dominio .it, WHOIS per domini .com, WHOIS per domini .net, e via dicendo). E’ fondamentale verificare il nome dell’Organizzazione (deve essere assolutamente identico a quello incluso nel modulo d’ordine), l’indirizzo stradale e il contatto Organizzativo responsabile del dominio stesso.
  3. la presenza di un numero fisso, attribuito all’azienda, verificabile sui registri telefonici riconosciuti (per GeoTrust le fonti ritenute, al momento, attendibili comprendono PagineBianche, PagineGialle, Pagine-Mail, Infobel Italy, RegistroImprese, 1818.com, 892 892, GuidaMonaci, Kompass).

Tra i certificati SSL Extended Validation rientrano invece:

Per questo genere di prodotti la Certification Authority responsabile chiede il rispetto delle seguenti condizioni, da soddisfare prima dell’esecuzione della richiesta o, al massimo, appena dopo il pagamento dell’ordine:

  1. verificare la registrazione della Compagnia che detiene il dominio all’interno del database nazionale per le imprese, edito dal Governo nazionale o approvato da quest’ultimo;
  2. accertarsi che la Società/Organizzazione proprietaria del dominio sia stata fondata almeno 3 anni prima della richiesta per il certificato SSL. Nel caso in cui il periodo intercorso sia minore sarà necessario fornire i dettagli di iscrizione al registro di Duns & Bradstreet o inviare a GeoTrust una lettera bancaria che indichi gli estremi di registrazione della Società stessa;
  3. cercare sul WHOIS di appartenenza (si vedano sopra i dettagli) con quale Denominazione è indicata la Società/Organizzazione che detiene il dominio, l’indirizzo della sede e il contatto Amministrativo di tale registrazione. Sarà importante modificare tutti i dettagli non più validi in maniera tale da poter consentire a GeoTrust di completare positivamente le verifiche richieste per l’emissione del certificato;
  4. avvertire le Risorse Umane o la Direzione della chiamata telefonica che GeoTrust effettuerà per verificare la presenza del contatto Amministrativo in azienda e il ruolo di quest’ultimo all’interno dell’organico. Non sarà difatti sufficiente l’autocertificazione di un semplice impiegato, a meno che lo stesso non sia indicato come Dirigente;
  5. controllare che il numero telefonico inserito nel modulo d’ordine all’interno del contatto Amministrativo sia presente in un registro telefonico online (per sapere quali sono quelli approvati da GeoTrust si prega di verificare le indicazioni fornite al terzo punto del processo di verifica per i certificati SSL OV). Si consiglia l’inserimento di un centralino in grado di smistare le chiamate.
  6. indicare, come Contatto Amministrativo, una persona presente in Azienda per l’intera giornata. In questa maniera sarà più semplice permettere la verifica delle informazioni riportate sull’ordine e, di conseguenza, favorire l’emissione della certificazione SSL nei termini temporali previsti.

Il rispetto delle regole sopra indicate per i 2 gruppi di certificati, seppur del tutto indicative e non ufficialmente confermate dalla CA, sarà in grado di ridurre le tempistiche di emissione previste (3-5 giorni lavorativi per i certificati SSL OV e 7-10 giorni lavorativi per i certificati SSL EV).

2 commenti

Archiviato in Certificati SSL, Certificati SSL EV, Certificati SSL OV

Attacco “Brute-Force” Ai Danni Di WordPress

Nella giornata di ieri WordPress, il CMS più famoso al mondo, ha subito un brute-force attack avente come obiettivo l’individuazione della password di accesso ai registri di blog e siti web costruiti e gestiti attraverso la sopracitata piattaforma.

Gli attacchi detti “brute-force” consistono nella composizione sistematica di tutte le possibili chiavi di accesso fino a scoprire quella giusta. E’ logico sottolineare che più una chiave di accesso + lunga e composta da caratteri diversi tra loro più la barriera diviene difficilmente espugnabile da parte dei malintenzionati.

Attacco-Brute-Force-Ai-Danni-Di-Wordpress

Questo non vuol purtroppo dire che una chiave più lunga sia in assoluto più sicura: spesso un sistema viene mantenuto in condizioni di maggiore sicurezza modificando periodicamente la password di accesso, facendo sì che per un cybercriminale non sia più così vantaggioso provare a forzare l’accesso, sia dal punto di vista del tempo che tale attacco richiederebbe per poter essere portato a termine positivamente, sia per quanto concerne le risorse informatiche che esso domanderebbe.

Con riferimento agli eventi del 15 aprile sembra che buona parte degli attacchi siano mirati nei confronti degli accounts “admin”, i principali (e spesso unici) adoperati per la gestione dei profili su WordPress.

La principale raccomandazione che gli esperti di sicurezza informatica stanno rilasciando nelle ultime ore riguarda l’immediata modifica della propria password di accesso; l’intervento è ancora più necessario nel caso in cui la stessa fosse estremamente semplice (es. nome proprio di persona, cognome, data di nascita, ecc.) o corrispondesse ad una di quelle elencate in questa pagina.

2 commenti

Archiviato in Attacchi Informatici/Crimine Informatico

Nasce In Provincia Di Brescia L’Educational Web Team

Lo scorso anno, in provincia di Brescia, partendo da un’idea di Ettore Fontana, alcune persone, specialiste nel proprio settore, si sono riunite in un ideale comune e hanno così fondato l’Educational Web Team.

“Il nostro scopo”, dice il fondatore del gruppo Educational Web Team“è quello di rendere le persone maggiormente consapevoli circa i pericoli derivanti dall’uso di internet e dei social network, perché ancor’oggi, sono molte quelle che utilizzano il web senza rendersi conto degli eventuali pericoli a cui potrebbero andare incontro. Pensano che una volta spento il computer tutto finisca lì, come una sorta di videogioco, ma noi tutti sappiamo che cosi non è. Preciso subito che non è nostra intenzione demonizzare il Web e le tecnologie che ci consentono di utilizzarlo per le più svariate attività e nemmeno vogliamo demonizzare i nuovi metodi per comunicare ( i social network), poiché è chiaro che la tecnologia nel suo insieme e il Web in primis, hanno portato vantaggi alla nostra società. Tuttavia, come sempre accade, non si ottengono solo vantaggi da un progresso, ma c’è sempre anche il rovescio della medaglia. Per questo motivo, ho ritenuto importante, riunire persone esperte intorno a me e promuovere cosi un azione educativa mirata e destinata a chi non sa nulla di queste cose, in modo da poter offrire loro una prima formazione utile a renderli maggiormente consapevoli di fronte ad eventuali rischi derivanti dall’uso di internet. Oltre a questa attività di educazione, siamo in grado di fornire consulenza personalizzata in ottica preventiva sotto il profilo psicologico, ma anche di intervenire dopo che “un danno” è stato provocato. La cyberdipendenza o dipendenza da internet si può porre nella stessa categoria di dipendenza da alcol, droghe o gioco d’azzardo. Spesso la dipendenza dal web è associata alla solitudine e alla necessità di stabilire relazioni virtuali e anonime e questo implica un impatto negativo sulla vita quotidiana e spesso ci fa perdere il controllo su noi stessi. Allora internet da strumento tecnologico utile e valido come finestra sul mondo, si trasforma in un vero e proprio inferno! Il nostro gruppo si propone di fornire a tutti informazioni e strumenti per un approccio consapevole, sicuro e maturo ai nuovi strumenti di comunicazione. Gli strumenti vanno usati, ma non ci devono usare. 

L’Educational Web Team è inoltre un gruppo aperto a vari professionisti, il nostro intendimento è di crescere ed evidenziarci sempre più, per dare una risposta possibilmente esauriente neiconfronti di chi ci vorrà interpellare. Potete visitare il nostro sito all’indirizzo www.ewteam.euquindi eventualmente contattarci tramite l’apposito modulo presente nella sezione Contattaci!”.

2 commenti

Archiviato in Comunicati Stampa

Sicurezza Mobile, Scegliere Un Buon Antivirus Per Android

Le previsioni degli esperti parlano chiaro: il 2013 sarà l’anno che vedrà i supporti mobile tra quelli preferiti per l’accesso alle risorse web. Le prime settimane di questo nuovo anno hanno preannunciato, allo stesso modo, qualcosa che ha sorpreso molti: Apple starebbe perdendo crescenti quote di mercato per quanto concerne gli smartphones, a discapito del sistema operativo Android.

La probabile maggiore diffusione di dispositivi Android causerà, come insegna l’esperienza sul campo, un aumento delle minacce a danno di apparecchi sui quali è installato il S.O. in questione. Anche in vista dell’imminente uscita del Samsung Galaxy s4, che promette di diventare uno dei best sellers della prossima primavera, l’attenzione degli appassionati e/o dei potenziali clienti è rivolta a capire se anche Android, secondo le accuse che più spesso sono state mosse nei confronti del concorrente Apple, negherà a prescindere il pericolo di infezioni da virus o diversamente sceglierà di tutelare i propri clienti rendendo disponibili più soluzioni per la loro sicurezza.

In Rete è possibile imbattersi in blog e forum che dedicano approfondimenti e suggerimenti, più o meno attendibili, relativi ai software migliori per rendere il proprio smartphone più sicuro. Il team di Sicurezza-Digitale.com desidera condividere con i propri lettori una manciata di soluzioni ritenute, in seguito a test, più affidabili e accessibili.

Ecco alcuni dei migliori antivirus Android sul mercato secondo l’indagine condotta dall’istituto indipendente AVTest:

  1. McAfee Mobile Security: antivirus particolarmente consigliato a chi adopera il proprio cellulare per scaricare applicazioni “non ufficiali” (al di fuori dagli stores approvati dalle case produttrici), acquistare online o semplicemente consultare informazioni su internet, è disponibile in prova gratuita e con licenza annuale a poco meno di 30$ l’anno. Tra le funzioni proposte da McAfee Mobile Security la possibilità di fare un backup di sicurezza dei dati custoditi sullo smartphone, un livello di protezione assolutamente elevato nei confronti dei malware e l’opportunità di localizzare il proprio dispositivo controllandone altresì le app in esso installate.
  2. Dr. Web Anti-Virus Light: il prodotto in questione può essere scaricato gratuitamente dal portale Google Play. Tra le principali particolarità di questo antivirus è importante citare l’algoritmo “Origins Tracing“, che permette di individuare le nuove minacce partendo da quelle già debellate. Da non sottovalutare, inoltre, il limitato consumo della batteria dello smartphone e il consumo ridotto del traffico dati disponibile, necessario per scaricare gli aggiornamenti della libreria contenente le minacce riconosciute.
  3. Norton Mobile Security Lite: applicazione antivirus utile per proteggere dispositivi mobili Android (dalla versione 2.2 in su), iPhone e iPad (dalla 4.3 in poi). Norton Mobile Security Lite permette di effettuare un backup dei dati custoditi nello smartphone, ottenere informazioni relativamente alla sua posizione ed evitare di visitare siti web fraudolenti affetti da phishing, eliminare le minacce che possono venire a materializzarsi tramite chiamate e SMS indesiderati e dare informazioni sullo stato di sicurezza dei supporti mobili (ad esempio le schede SD) inseriti nello smartphone.

2 commenti

Archiviato in Attacchi Informatici/Crimine Informatico, Phishing & Malware, Sicurezza Connessioni, Sicurezza Mobile