Archivio dell'autore: Zane

Certificati SSL DV StartSSL, Gratuiti Ma…

StartSSL rappresenta, per molti di coloro i quali si avvicinano per la prima volta al mondo della certificazione SSL e non possono disporre di elevati mezzi finanziari per investire in questo campo, un’alternativa interessante, grazie soprattutto alla possibilità di ottenere, (apparentemente) in maniera gratuita, certificati SSL Domain Validated da installare sul proprio server.

Il principale beneficio di questa CA (colpita da un attacco hacker nel 2011), riconosciuta dalla maggior parte dei browser come attendibile, è giustificato quindi dal costo, che ad una prima occhiata può apparire azzerato, supportando il pensiero di coloro i quali consigliano di non acquistare alcun prodotto brandizzato in quanto perfettamente sostituibile da un certificato di StartSSL. Attenzione! non è tutto oro quel che luccica. Scopriamo insieme il perché di questa nostra affermazione.

Certificati SSL DV StartSSL

In caso di ordine di un certificato SSL “Classe 1” (Domain Validated) da StartSSL il modulo di sottoscrizione richiederà l’inserimento di dati anagrafici relativi ad una persona fisica, soggetto che la Certification Authority riterrà da quel momento in poi responsabile per l’emissione e la relativa veridicità delle informazioni riportate. Questo significa che anche nel caso un certificato SSL emesso da un sottoscrittore fosse in seguito da lui destinato ad una Società nessuna autenticità verrebbe garantita a quest’ultima, persistendo quindi un rapporto unico e diretto tra CA e “richiedente autorizzato”.

I certificati SSL appartenenti a questa categoria possono essere adoperati solo per fini non-commerciali, sono validi solo per 12 mesi, possono avere un solo nome dominio per certificato (nessuna possibilità, quindi, di Wildcard o di multi-dominio) e un solo certificato per nome dominio. La validazione del dominio garantita dai certificati SSL DV StartSSL dura 30 giorni, al termine dei quali il processo di verifica deve essere necessariamente ripetuto nelle medesime modalità iniziali. Qualora il richiedente non rispettasse questa scadenza di revisione StartSSL provvederebbe all’annullamento del certificato in oggetto o, addirittura (nei casi più gravi), alla cancellazione di tutti i certificati SSL emessi da quell’utenza.

Certificati SSL OV E EV StartSSL

Per quanto riguarda queste 2 categorie di certificati SSL emessi da StartSSL il processo di verifica pre-emissione ha un costo dovuto una tantum; il titolare dell’account, una volta superato con successo, potrà richiedere l’emissione di svariati certificati SSL, tutti emessi a nome della medesima Società. StartSSL, nella policy presente sul suo sito web, afferma che qualsiasi comportamento irrispettoso delle regole decise porterebbe alla revoca dei certificati SSL .

Revoca dei certificati SSL StartSSL, Quando Avviene E Cosa Comporta

Ecco le motivazioni che provocano la revoca dei certificati SSL emessi da StartSSL:

  • presenza di una Chiave Privata potenzialmente corrotta;
  • inserimento, nel modulo di sottoscrizione, di informazioni errate e/o ingannevoli;
  • mancato rispetto della policy presente sul sito di StartSSL;
  • mancanza del server dal quale è partita la richiesta per il certificato SSL;
  • richiesta di revoca espressa dal sottoscrittore.

StartSSL prevede, per ogni certificato SSL revocato, il pagamento di una penale di 24,90 USD$. E’ bene segnalare che la revoca anche di uno solo tra i certificati SSL richiesti da un sottoscrittore potrebbe portare, in casi di particolare gravità, alla cancellazione dell’intero registro di certificati presenti all’interno del suo bouquet.

In definitiva, StartSSL resta una delle CA sicuramente più interessanti nel mercato della sicurezza dei siti web, ma all’interno delle pieghe della propria policy nasconde condizioni che possono variare non di poco la scelta sull’affidarsi o meno all’organizzazione in questione in merito alla fornitura di certificati SSL per la sicurezza della propria presenza online.

2 commenti

Archiviato in Certificati SSL, Certificati SSL EV, Certificati SSL Gratis, Certificati SSL OV, EV/Extended Validation, HTTPS, Sicurezza Connessioni

Certificati SSL Di Google, In Arrivo La Transizione Da 1024 A 2048 Bit

Il più famoso motore di ricerca al mondo ha comunicato nei giorni scorsi l’intenzione di sostituire, all’interno dei vari siti che ne compongono il network mondiale, i certificati SSL emessi come CA dalla versione a 128 bit (CSR e Chiave Privata a 1024 bit) a quella a 256 bit (CSR e Chiave Privata a 2048 bit).

come-verificare-se-i-certificati-ssl-sono-a-1024-2048-bit

Considerati come necessari per la protezione di comunicazioni in entrata e in uscita da un sito web, i certificati SSL vengono oggi comunemente venduti con capacità di criptazione minima a 256 bit.

Google ha assicurato che la decisione di iniziare un processo di revisione dei certificati per la seconda metà del 2013 non è dovuta a situazioni di pericolo per la sicurezza dei suoi utenti, mettendo così a tacere i tentativi di speculazione che si erano immediatamente scatenati.

Questa modifica dovrebbe, quindi, tutelare la sicurezza di queste piattaforme fino al termine di questo secondo decennio, a patto che la tecnologia non metta in campo sistemi e tecniche in grado di rendere obsoleto questo valore.

2 commenti

Archiviato in Certificati SSL

Come Cancellare Definitivamente Dati Dal Proprio PC

Spostare i propri files nel cestino non assicura, chiaramente, la definitiva scomparsa degli stessi dal nostro PC. Affinché questa rimozione sia effettiva al 99% è consigliabile utilizzare un programma atto a sovrascrivere, con caratteri casuali, il contenuto delle cartelle e dei files che si vuole rendere illegibili a chi recupererà il disco fisso o mobile in questione.

Ecco 3 programmi che garantiscono questa possibilità:

  • File Shredder” di Kaspersky Pure 3.0: con un semplice click sarà possibile “pulire” i drivers locali, removibili, le cartelle o singoli files. Il sistema utilizzato per portare a compimento questa procedura si basa sulla sovrascrittura dei dati presenti con “zeri” e “altri caratteri casuali”. La cancellazione delle cartelle e dei files di sistema richiede una conferma aggiuntiva, considerata la particolare importanza di questi per il dispositivo.

file-shredder-kaspersky-pure-3

 

  • Lavasoft File Shredder: anche in questo caso, come per la soluzione di Kaspersky, il prodotto è offerto ad un costo limitato ed opera per OS Windows XP, Vista, 7 e 8. E’ possibile adoperare questo programa per cancellare files, logs, lo storico di navigazione oltre alle versioni di questi files custodite sui drivers. In questo caso sono 7 i diversi gradi di cancellazione garantiti, ciascuno con una diversa profondità di azione.

 

lavasoft-file-shredder

 

  • Free File Shredder: questo programma, estremamente leggero e funzionale dedicato ai sistemi operativi Windows, opera in maniera molto simile a quello prodotto dal colosso Kaspersky, riscrivendo le informazioni contenuto sul dispositivo con un linguaggio binario. “Free File Shredder” offre 5 diversi algoritmi di criptazione, ciascuno avente un diverso grado di forza.

free-file-shredder

 

In linea generale è bene segnalare che questo tipo di strumenti effettua sì una riscrittura dei dati con caratteri casuali, ma non elimina al 100% la possibilità che gli stessi possano essere recuperati da mani esperte. Indicativamente, comunque, la protezione garantita è estremamente affidabile per la stragrande maggioranza degli utenti.

1 Commento

Archiviato in Manutenzione Computer

Certificati SSL OV E EV, Ecco I Controlli Richiesti

I certificati SSL OV (Organization Validation) e EV (Extended Validation) sono, al contempo, in grado di garantire un maggior livello di credibilità relativamente alla Società che detiene il dominio (grazie al processo di verifica da completare per poter essere emessi) e di richiedere tempi di creazione piuttosto lunghi, in grado di protrarsi nel caso in cui non si prestasse sufficiente attenzione alle richieste che le CA pongono solitamente in essere.

Per iniziare, vediamo quali sono i principali prodotti che rientrano in queste 2 famiglie; per quanto riguarda il gruppo dei certificati SSL OV rientrano:

Al fine di poter essere emessi entro i termini annunciati dalla CA (3-5 giorni lavorativi), tali certificati digitali richiedono:

  1. la iscrizione della Società titolare presso il database nazionale delle Aziende (potrebbe trattarsi sia di una fonte governativa o di una che da quest’ultima ha ricevuto approvazione) o sul sito internazionale “Dun & Bradstreet”, disponibile sia in versione internazionale sia italiana. E’ importante che lo status della Società sia, nei casi previsti qui sopra, raffigurabile come “Attivo”.
  2. la titolarità del dominio per il quale si richiede il certificato in capo alla Società che sta effettuando la richiesta. Questo tipo di informazioni è disponibile presso i registri WHOIS (si veda, a questo proposito, il registro WHOIS per nomi dominio .it, WHOIS per domini .com, WHOIS per domini .net, e via dicendo). E’ fondamentale verificare il nome dell’Organizzazione (deve essere assolutamente identico a quello incluso nel modulo d’ordine), l’indirizzo stradale e il contatto Organizzativo responsabile del dominio stesso.
  3. la presenza di un numero fisso, attribuito all’azienda, verificabile sui registri telefonici riconosciuti (per GeoTrust le fonti ritenute, al momento, attendibili comprendono PagineBianche, PagineGialle, Pagine-Mail, Infobel Italy, RegistroImprese, 1818.com, 892 892, GuidaMonaci, Kompass).

Tra i certificati SSL Extended Validation rientrano invece:

Per questo genere di prodotti la Certification Authority responsabile chiede il rispetto delle seguenti condizioni, da soddisfare prima dell’esecuzione della richiesta o, al massimo, appena dopo il pagamento dell’ordine:

  1. verificare la registrazione della Compagnia che detiene il dominio all’interno del database nazionale per le imprese, edito dal Governo nazionale o approvato da quest’ultimo;
  2. accertarsi che la Società/Organizzazione proprietaria del dominio sia stata fondata almeno 3 anni prima della richiesta per il certificato SSL. Nel caso in cui il periodo intercorso sia minore sarà necessario fornire i dettagli di iscrizione al registro di Duns & Bradstreet o inviare a GeoTrust una lettera bancaria che indichi gli estremi di registrazione della Società stessa;
  3. cercare sul WHOIS di appartenenza (si vedano sopra i dettagli) con quale Denominazione è indicata la Società/Organizzazione che detiene il dominio, l’indirizzo della sede e il contatto Amministrativo di tale registrazione. Sarà importante modificare tutti i dettagli non più validi in maniera tale da poter consentire a GeoTrust di completare positivamente le verifiche richieste per l’emissione del certificato;
  4. avvertire le Risorse Umane o la Direzione della chiamata telefonica che GeoTrust effettuerà per verificare la presenza del contatto Amministrativo in azienda e il ruolo di quest’ultimo all’interno dell’organico. Non sarà difatti sufficiente l’autocertificazione di un semplice impiegato, a meno che lo stesso non sia indicato come Dirigente;
  5. controllare che il numero telefonico inserito nel modulo d’ordine all’interno del contatto Amministrativo sia presente in un registro telefonico online (per sapere quali sono quelli approvati da GeoTrust si prega di verificare le indicazioni fornite al terzo punto del processo di verifica per i certificati SSL OV). Si consiglia l’inserimento di un centralino in grado di smistare le chiamate.
  6. indicare, come Contatto Amministrativo, una persona presente in Azienda per l’intera giornata. In questa maniera sarà più semplice permettere la verifica delle informazioni riportate sull’ordine e, di conseguenza, favorire l’emissione della certificazione SSL nei termini temporali previsti.

Il rispetto delle regole sopra indicate per i 2 gruppi di certificati, seppur del tutto indicative e non ufficialmente confermate dalla CA, sarà in grado di ridurre le tempistiche di emissione previste (3-5 giorni lavorativi per i certificati SSL OV e 7-10 giorni lavorativi per i certificati SSL EV).

2 commenti

Archiviato in Certificati SSL, Certificati SSL EV, Certificati SSL OV

Attacco “Brute-Force” Ai Danni Di WordPress

Nella giornata di ieri WordPress, il CMS più famoso al mondo, ha subito un brute-force attack avente come obiettivo l’individuazione della password di accesso ai registri di blog e siti web costruiti e gestiti attraverso la sopracitata piattaforma.

Gli attacchi detti “brute-force” consistono nella composizione sistematica di tutte le possibili chiavi di accesso fino a scoprire quella giusta. E’ logico sottolineare che più una chiave di accesso + lunga e composta da caratteri diversi tra loro più la barriera diviene difficilmente espugnabile da parte dei malintenzionati.

Attacco-Brute-Force-Ai-Danni-Di-Wordpress

Questo non vuol purtroppo dire che una chiave più lunga sia in assoluto più sicura: spesso un sistema viene mantenuto in condizioni di maggiore sicurezza modificando periodicamente la password di accesso, facendo sì che per un cybercriminale non sia più così vantaggioso provare a forzare l’accesso, sia dal punto di vista del tempo che tale attacco richiederebbe per poter essere portato a termine positivamente, sia per quanto concerne le risorse informatiche che esso domanderebbe.

Con riferimento agli eventi del 15 aprile sembra che buona parte degli attacchi siano mirati nei confronti degli accounts “admin”, i principali (e spesso unici) adoperati per la gestione dei profili su WordPress.

La principale raccomandazione che gli esperti di sicurezza informatica stanno rilasciando nelle ultime ore riguarda l’immediata modifica della propria password di accesso; l’intervento è ancora più necessario nel caso in cui la stessa fosse estremamente semplice (es. nome proprio di persona, cognome, data di nascita, ecc.) o corrispondesse ad una di quelle elencate in questa pagina.

2 commenti

Archiviato in Attacchi Informatici/Crimine Informatico

Nasce In Provincia Di Brescia L’Educational Web Team

Lo scorso anno, in provincia di Brescia, partendo da un’idea di Ettore Fontana, alcune persone, specialiste nel proprio settore, si sono riunite in un ideale comune e hanno così fondato l’Educational Web Team.

“Il nostro scopo”, dice il fondatore del gruppo Educational Web Team“è quello di rendere le persone maggiormente consapevoli circa i pericoli derivanti dall’uso di internet e dei social network, perché ancor’oggi, sono molte quelle che utilizzano il web senza rendersi conto degli eventuali pericoli a cui potrebbero andare incontro. Pensano che una volta spento il computer tutto finisca lì, come una sorta di videogioco, ma noi tutti sappiamo che cosi non è. Preciso subito che non è nostra intenzione demonizzare il Web e le tecnologie che ci consentono di utilizzarlo per le più svariate attività e nemmeno vogliamo demonizzare i nuovi metodi per comunicare ( i social network), poiché è chiaro che la tecnologia nel suo insieme e il Web in primis, hanno portato vantaggi alla nostra società. Tuttavia, come sempre accade, non si ottengono solo vantaggi da un progresso, ma c’è sempre anche il rovescio della medaglia. Per questo motivo, ho ritenuto importante, riunire persone esperte intorno a me e promuovere cosi un azione educativa mirata e destinata a chi non sa nulla di queste cose, in modo da poter offrire loro una prima formazione utile a renderli maggiormente consapevoli di fronte ad eventuali rischi derivanti dall’uso di internet. Oltre a questa attività di educazione, siamo in grado di fornire consulenza personalizzata in ottica preventiva sotto il profilo psicologico, ma anche di intervenire dopo che “un danno” è stato provocato. La cyberdipendenza o dipendenza da internet si può porre nella stessa categoria di dipendenza da alcol, droghe o gioco d’azzardo. Spesso la dipendenza dal web è associata alla solitudine e alla necessità di stabilire relazioni virtuali e anonime e questo implica un impatto negativo sulla vita quotidiana e spesso ci fa perdere il controllo su noi stessi. Allora internet da strumento tecnologico utile e valido come finestra sul mondo, si trasforma in un vero e proprio inferno! Il nostro gruppo si propone di fornire a tutti informazioni e strumenti per un approccio consapevole, sicuro e maturo ai nuovi strumenti di comunicazione. Gli strumenti vanno usati, ma non ci devono usare. 

L’Educational Web Team è inoltre un gruppo aperto a vari professionisti, il nostro intendimento è di crescere ed evidenziarci sempre più, per dare una risposta possibilmente esauriente neiconfronti di chi ci vorrà interpellare. Potete visitare il nostro sito all’indirizzo www.ewteam.euquindi eventualmente contattarci tramite l’apposito modulo presente nella sezione Contattaci!”.

2 commenti

Archiviato in Comunicati Stampa

Sicurezza Mobile, Scegliere Un Buon Antivirus Per Android

Le previsioni degli esperti parlano chiaro: il 2013 sarà l’anno che vedrà i supporti mobile tra quelli preferiti per l’accesso alle risorse web. Le prime settimane di questo nuovo anno hanno preannunciato, allo stesso modo, qualcosa che ha sorpreso molti: Apple starebbe perdendo crescenti quote di mercato per quanto concerne gli smartphones, a discapito del sistema operativo Android.

La probabile maggiore diffusione di dispositivi Android causerà, come insegna l’esperienza sul campo, un aumento delle minacce a danno di apparecchi sui quali è installato il S.O. in questione. Anche in vista dell’imminente uscita del Samsung Galaxy s4, che promette di diventare uno dei best sellers della prossima primavera, l’attenzione degli appassionati e/o dei potenziali clienti è rivolta a capire se anche Android, secondo le accuse che più spesso sono state mosse nei confronti del concorrente Apple, negherà a prescindere il pericolo di infezioni da virus o diversamente sceglierà di tutelare i propri clienti rendendo disponibili più soluzioni per la loro sicurezza.

In Rete è possibile imbattersi in blog e forum che dedicano approfondimenti e suggerimenti, più o meno attendibili, relativi ai software migliori per rendere il proprio smartphone più sicuro. Il team di Sicurezza-Digitale.com desidera condividere con i propri lettori una manciata di soluzioni ritenute, in seguito a test, più affidabili e accessibili.

Ecco alcuni dei migliori antivirus Android sul mercato secondo l’indagine condotta dall’istituto indipendente AVTest:

  1. McAfee Mobile Security: antivirus particolarmente consigliato a chi adopera il proprio cellulare per scaricare applicazioni “non ufficiali” (al di fuori dagli stores approvati dalle case produttrici), acquistare online o semplicemente consultare informazioni su internet, è disponibile in prova gratuita e con licenza annuale a poco meno di 30$ l’anno. Tra le funzioni proposte da McAfee Mobile Security la possibilità di fare un backup di sicurezza dei dati custoditi sullo smartphone, un livello di protezione assolutamente elevato nei confronti dei malware e l’opportunità di localizzare il proprio dispositivo controllandone altresì le app in esso installate.
  2. Dr. Web Anti-Virus Light: il prodotto in questione può essere scaricato gratuitamente dal portale Google Play. Tra le principali particolarità di questo antivirus è importante citare l’algoritmo “Origins Tracing“, che permette di individuare le nuove minacce partendo da quelle già debellate. Da non sottovalutare, inoltre, il limitato consumo della batteria dello smartphone e il consumo ridotto del traffico dati disponibile, necessario per scaricare gli aggiornamenti della libreria contenente le minacce riconosciute.
  3. Norton Mobile Security Lite: applicazione antivirus utile per proteggere dispositivi mobili Android (dalla versione 2.2 in su), iPhone e iPad (dalla 4.3 in poi). Norton Mobile Security Lite permette di effettuare un backup dei dati custoditi nello smartphone, ottenere informazioni relativamente alla sua posizione ed evitare di visitare siti web fraudolenti affetti da phishing, eliminare le minacce che possono venire a materializzarsi tramite chiamate e SMS indesiderati e dare informazioni sullo stato di sicurezza dei supporti mobili (ad esempio le schede SD) inseriti nello smartphone.

2 commenti

Archiviato in Attacchi Informatici/Crimine Informatico, Phishing & Malware, Sicurezza Connessioni, Sicurezza Mobile

Il Contenuto Dell’Agenda Digitale Italiana In 10 Punti

Nel post di questa oggi ci concentriamo nell’analisi dei punti che compongono l’Agenda Digitale Italiana, legge dello Stato dallo scorso 15 dicembre 2012 dopo aver ricevuto il sì definitivo da Montecitorio.

E’ possibile dividere il tema in 10 punti principali, relativi ai diversi aspetti che l’Agenda Digitale si troverà a trattare, con ripercussioni (si spera positive) sulla popolazione fisica ed imprenditoriale italiana:

  1. Documento Unificato: conforme agli standard internazionali, garantirà l’identità fisica e digitale del titolare, rappresentando un “passo in avanti nella lotta al furto d’identità”, fenomeno sempre più diffuso negli ultimi tempi. Il Documento Unificato unirà le funzioni dapprima svolte da più supporti cartacei e sarà adoperato per usufruire dei servizi sanitari nazionali e locali oltre che per la richiesta di certificati. Le amministrazioni potranno garantire, in maniera virtuale, gli stessi servizi che prima richiedevano la presenza dell’utente, grazie ad una struttura centrale che accorperà strutture di rete e sistemi di cloud computing.
  2. Domicilio Digitale Del Cittadino: casella e-mail certificata che verrà utilizzata, da parte della Pubblica Amministrazione, per le comunicazioni con i cittadini che richiedano il maggior livello di sicurezza possibile. La partenza di questo punto è prevista per il presente mese di Gennaio 2013.
  3. Domicilio Digitale Delle Imprese/Dei Professionisti: questo punto è accomunabile, come senso e finalità, con quello precedente relativo ai singoli cittadini del nostro Paese. In questo caso, come ampiamente prevedibile dal nome, si tratta di un elenco di indirizzi che la P.A. utilizzerà per comunicare con le Società tramite PEC.
  4. Anagrafe Nazionale Dei Residenti (ANPR): il passaggio in questione prevede l’integrazione dei registri gestiti ora centralmente (INA e AIRE) e la federazione dei vari comparti comunali.
  5. Ricette Digitali: le prescrizioni su carta verranno quasi completamente sostituite in maniera graduale, fino al 2015, venendo sostituite da quelle digitali; ciò porterà ad un abbattimento dei costi e ad un generale alleggerimenti delle procedure gestionali. Le ricette in formato digitale potranno essere esibite e verranno riconosciute in tutta Italia e ogni cittadino potrà prenotare online le visite che desidera effettuare.
  6. Fascicolo Sanitario Elettronico: raccolta di tutti i documenti socio-sanitari dell’assistito, a disposizione del personale sanitario autorizzato a consultarlo telematicamente.
  7. Cartelle Cliniche Digitali: il paziente avrà la possibilità di conservare digitalmente le proprie cartelle cliniche.
  8. Pagamenti Elettronici A Favore Della Pubblica Amministrazione: le Società che gestiscono i servizi pubblici e la Pubblica Amministrazione dovranno accettare i pagamenti effettuati online, utilizzando modalità quali il bonifico e le carte di debito/credito.
  9. Variazioni Anagrafiche: le comunicazioni degli atti viaggeranno su supporto telematico e non dovranno più essere comunicati dall’interessato alla Pubblica Amministrazione; questo dovrebbe consentire, secondo quanto riferito all’interno del progetto, ad un processo di aggiornamento automatico ed in tempo reale delle banche dati comunali, sanitarie, pensionistiche e previdenziali. Sulla carta dovrebbe diventare, quindi, più difficile (se non, si spera, impossibile) compiere truffe ai danni dello Stato.
  10. La P.A. Potrà Stipulare Contratti Con Le Imprese Solo Digitalmente

Il treno dell’Agenda Digitale Italiana sembra, quindi, essere già partito, anche se chiaramente se esso arriverà a destinazione (e in che condizioni) dipenderà dall’interesse e dall’impegno che il prossimo governo nazionale metterà nel progetto che potrebbe davvero modificare tradizioni e pensiero del nostro Paese e di chi ci vive/lavora.

Cosa servirebbe affinché l’Agenda Digitale riuscisse a riscuotere il successo che merita:

  • diffusione su larga scala, e attraverso la popolazione, del concetto di Rivoluzione Digitale, presentando ai cittadini ciò che materialmente cambierà con il passare dei mesi e degli anni;
  • definire obiettivi veritieri e certi di costo, organizzazione, sicurezza e qualità;
  • censire la diffusione di dispositivi informatici tra la popolazione e, soprattutto, rimuovere gli ostacoli presenti sul cammino (non solo materiali, dati anche dalla ritrosia di alcune fasce della popolazione che potrebbero risultare spiazzate di fronte a quanto si verificherebbe).

2 commenti

Archiviato in Agenda Digitale

Google Blocca I Certificati SSL Di TurkTrust

La notizia non appartiene alla categoria delle breaking news ma resta comunque molto interessante: negli scorsi giorni Google ha modificato, all’interno del codice del proprio browser di navigazione Chrome, i parametri di riconoscibilita’ attivi per i certificati SSL.

Non e’ la prima volta che accade qualcosa di questo tipo, ma nel caso dell’Autorita’ di Certificazione TurkTrust (i cui certificati digitali sono stati esclusi da quelli considerati attendibili non solo su Google Chrome, ma anche da parte degli altri principali browser di navigazione) la motivazione di questa scelta sta nella diffusione, da parte della societa’ turca, di certificazioni che riportavano tra le informazioni delle stesse il nome di Google.

Google Blocca I Certificati SSL Di TurkTrust

Google Blocca I Certificati SSL Di TurkTrust

La CA aveva giustificato l’accaduto parlando di una “grave svista” assolutamente non dolosa, ma questo non e’ servito a risolvere la situazione a proprio favore. Google, temendo (come ampiamente prevedibile) che questi certificati SSL potessero essere considerati attendibili dai navigatori, e’ entrata in scena comunicando la propria intenzione di rendere globalmente nota tale situazione, scegliendo di applicare una modifica al proprio browser Chrome e “sospendendo” la richiesta di inclusione della CA all’interno del gruppo di emittenti attendibili.

Google temeva, in particolare, che questi certificati SSL contraffatti potessero essere utilizzati per attacchi di phishing, con ingenti danni anche economici per chi si fosse sfortunatamente fidato di quanto riportato.

Simile approccio nei confronti di questa situazione e’ stato adottato anche dai produttori di Internet Explorer e Mozilla Firefox, che nei giorni a seguire hanno reso disponibili in Rete le patch atte a porre rimedio a quanto creato da TurkTrust.

La vicenda di TurkTrust dimostra, una volta di piu’, quanto sia necessario affidarsi a autorita’ certificanti conosciute e che detengano il certificato SSL subordinato (o intermedio) necessario per porre in essere certificati SSL in serie. Attraverso i certificati SSL intermedi, o root certificates, il detentore puo’ infatti  porre in essere certificazioni Secure Sockets Layer in serie per un numero potenzialmente illimitato di richiedenti.

Lascia un commento

Archiviato in Certificati SSL

Test Anti-Malware “Non Positivo” Per Android 4.2 Jelly Bean

Xuxian Jiang, ricercatore dell’università statunitense della North Carolina, ha negli ultimi giorni sottoposto l’ultima versione del sistema operativo Android ad una prova di perforabilità anti-malware, attraverso la quale desiderava verificare la capacità dello stesso di individuare e rimuovere con successo i malware.

Il test in questione ha chiamato Android 4.2 Jelly Bean a fronteggiare oltre 1200 malware con l’aiuto di un tablet Nexus 10, sul mercato da fine Ottobre 2012. Solo 193 malware (poco più di 15% del totale) sono stati rilevati correttamente, molto meno di quanto fatto da altri applicativi di sicurezza (offerti da Symantec, Kaspersky, AVG, ecc. e presenti sul Play Store a pagamento o gratis) che hanno pienamente superato il 50% del totale.

Test-Anti-Malware-Non-Positivo-Per-Android-Jelly Bean

Il risultato della verifica rappresenta più di un semplice campanello d’allarme per il nuovo Android, rilasciato di recente con un aggiornamento per i supporti Nexus.

Le falle relative al sistema di verifica della versione 4.2 della piattaforma, attivata per riconoscere e bloccare le applicazioni in grado di danneggiare il dispositivo informando della cosa l’utente che può scegliere se considerare o ignorare l’avvertimento proseguendo con l’attività già iniziata, sono troppo frequenti per essere considerati come casi isolati.

La recente acquisizione di VirusTotal da parte di Google, avvenuta poco più di 3 mesi fa, sembra avere come fine ultimo quello di risolvere una volta per tutte questo genere di situazioni, cancellando le minacce di vulnerabilità che non paiono voler abbandonare il tanto bistrattato sistema Android.

Il buon senso consiglia, naturalmente, di non avventurarsi in download di applicazioni per Android da siti web “dubbi” in quanto questi ultimi rappresentano il più facile ricettacolo di infezioni per i sistemi informatici, non solo made in Google.

Molto spesso la voglia di “risparmiare” a tutti i costi, o meglio di contravvenire alle regole, porta ad effettuare download “rischiosi” di applicazioni dal costo davvero irrisorio, mettendo in questo modo a rischio un intero sistema informatico.

1 Commento

Archiviato in Attacchi Informatici/Crimine Informatico, Phishing & Malware, Privacy, Sicurezza Connessioni, Sicurezza Mobile