Archivi tag: sicurezza digitale

Semaforo Rosso Per “Grum”, Casa Dello Spam Mondiale

La sicurezza online, e con essa tutti coloro che promuovono e sognano una Rete piu’ sicura, ha nei giorni scorsi portato a segno un punto importantissimo nella propria battaglia contro il mondo del cybercrimine.

Grum, il famigerato botnet che secondo gli esperti avrebbe contribuito a generare il volume di spam mondiale con il 18% di questo tipo di e-mail in uscita, e’ stato abbattuto pochissimi giorni fa grazie all’intervento diretto di alcuni esperti della sicurezza digitale.

Con il termine botnet si qualifica una rete di computer, connessi tra loro e collegati al web, precedentemente infettati da un malware in quanto giacenti in condizioni di insicurezza. Nello specifico gli ideatori di “Grum” avrebbe invaso con quasi 18 miliardi di messaggi di posta elettronica indesiderati e dannosi le caselle di persone ignare; un numero spaventoso che rende ancora maggior merito all’azione vincente che l’ha portata alla sconfitta.

L'abbattimento di Grum segue di un anno quanto accaduto al precedente Rustock

L’abbattimento di Grum segue di un anno quanto accaduto al precedente Rustock

Grum, responsabile per l’invio di false comunicazioni elettroniche con riferimenti al mondo farmaceutico, aveva sede a Panama e in Olanda, e successivamente all’azione di questi addetti alla sicurezza digitale si e’ scoperta la presenza di 2 ulteriori indirizzi IP ad esso collegati, dislocati in Ucraina e Russia, che non sono stati fortunatamente attivati grazie alla fattiva collaborazione dimostrata da alcuni operatori telefonici. Come dire, l’unione fa la forza… e la sicurezza!

Grum non era naturalmente l’unica botnet sfruttata dai criminali informatici per inondare il web di pericoli chiamati attacchi spam, ma l’avvisaglia lanciata in questa occasione ha minato le certezze di molti degli hackers al momento attivi. In definitiva molte delle botnet al momento operative hanno diminuito notevolmente i volumi di spam inviati ogni giorno.

Lo stop a Grum conferma chiaramente quanto il popolo della Rete sostiene da diverso tempo: l’attuale legislazione in materia informatica, che prevede la necessita’ di un provvedimento legale prima dell’azione operativa, e’ quanto mai obsoleto. La collaborazione tra i diversi soggetti che si preoccupano di rendere il mondo virtuale piu’ sicuro dal rischio determinato dal furto d’identita’ e di dati relativi alle carte di credito puo’ portare, come in questo caso, a soluzioni infinitamente migliori. In poche parole, basta sapere riconoscere quali sono i veri avversari e combattere uniti per distruggerli… 😉

Lascia un commento

Archiviato in Attacchi Informatici/Crimine Informatico

“Buono A Sapersi”, Google E Polizia Di Stato Uniti Per La Sicurezza Online

Buono A Sapersi” è l’iniziativa di Google e Polizia Di Stato avente come obiettivo la piena tutela di dati e comunicazioni che attraversano il web, anche attraverso il famoso motore di ricerca californiano.

Google ha dedicato un’intera pagina del proprio sito a fornire ai propri utenti consigli utili per rendere le loro sessioni di navigazione le più sicure possibili. Ampio spazio è dedicato a come proteggere password, reti di accesso e dati di carta di credito.

"Buono A Sapersi" E' L'Iniziativa Di Google E Polizia Di Stato Per La Sicurezza Online

“Buono A Sapersi” E’ L’Iniziativa Di Google E Polizia Di Stato Per La Sicurezza Online

La scelta di Google di descrivere con precisione l’utilizzo fatto dei dati personali comunicati dai propri visitatori e utenti. Le regole di accesso al sito, e ad altri servizi ad esso paralleli (es. YouTube) hanno subito importanti modifiche nei mesi scorsi, e nonostante questi cambiamenti siano stati riportati ampiamente al primo accesso dopo la loro approvazione, il colosso di Mountain View ha calcolato quanto molti degli utenti avrebbero prestato poca attenzione alla questione in causa. Meglio ribadire, quindi!

In maniera estremamente chiara e semplice Google fornisce informazioni utili per proteggersi da attacchi di phishing e malware. La maggior parte delle avvertenze di Google e Polizia Di Stato possono essere riassunte con una maggiore attenzione di quanto mostrato online. Molto spesso l’inganno è facilmente visibile ad occhio nudo, e i maggiori danni sono causati dalla leggerezza con la quale si affrontano ricerche e transazioni sul web.

Altro punto dolente preso in considerazione da “Buono A Sapersi” è l’utilizzo di cookie, le preferenze espresse in maniera più o meno visibile da parte di ciascuno di noi su moltissimi siti internet. La nuova normativa sui web cookies ha avuto importanti ripercussioni su come le aziende e i singoli utenti “vivono la Rete”. Diversi Paesi dell’Unione Europea, Italia compresa, hanno costretto i titolari dei domini informatici che raccolgono “preferenze” di navigazione sul web a informare visivamente i propri visitatori circa la “registrazione” di queste informazioni, dando la concreta possibilità a ciascuno di essi di opporsi al trattamento.

Google si conferma, quindi, un esempio di corretto uso dei dati personali sul web, confermando con i fatti la scelta della stragrande maggioranza di navigatori virtuali che giornalmente si servono dei suoi innumerevoli servizi per cercare, informarsi, divertirsi e interagire a livello virtuale.

Lascia un commento

Archiviato in Eventi, Phishing & Malware, Sicurezza Connessioni

Tutela Dei Dati Personali, L’Approccio Dei 18 Principali Siti Web Al Mondo

Electronic Frontier Foundation, ente di studio fondato agli “albori” della moderna era digitale nel 1990, ha recentemente pubblicato un’importante indagine relativa a come le 18 principali pagine internet al mondo si occupino, più o meno attivamente, della sicurezza dei dati personali e della tutela della privacy.

Ecco, schematicamente, quando rilevato nel corso della ricerca:

Livello di protezione dei dati personali sui principali siti mondiali

Livello di protezione dei dati personali sui principali siti mondiali

Le 4 Categorie Di Studio

EFF ha valutato le imprese sopra elencate utilizzando 4 principali parametri:

  • la presenza, o meno, di esplicite indicazioni relative alla richiesta dei dati protetti da privacy;
  • l’indicazione delle richieste governative in merito al trattamento dei dati personali;
  • l’interesse relativo alla tutela legale delle informazioni in questione presso sedi giuridiche (tribunali, ecc. ecc.);
  • la rappresentazione, presso il Congresso degli Stati Uniti d’America, degli interessi relativi alla protezione della privacy.

A Foursquare, Myspace, Skype E Verizon La “Maglia Nera” Della Sicurezza Digitale

Come non notare i deludenti risultati di alcuni dei siti più importanti segnalati nel prospetto ed oggetto di studio. Foursquare, Myspace, Skype e Verizon  rappresentano in assoluto i fanalini di coda per quanto concerne la tutela dei dati personali comunicati online dai propri utenti e clienti. Nessuna di queste pagine web ha assolto alcuno dei 4 punti sopraindicati e relativi alla ricerca in questione.

Google, Twitter e Sonic.net, Perché Grande Può Anche Voler Dire Sicuro

All’opposto, sulla scala relativa alla sicurezza delle comunicazioni informatiche e al trattamento dei dati “sensibili”, troviamo 3 siti che nonostante raccolgano (almeno i primi 2) moltissimi utenti, non hanno rinunciato ad offrire certezza ed affidabilità e per questo si configurano come credibili agli occhi di utenti finali e, chiaramente, inserzionisti: Google, Twitter e Sonic.net. Per questi l’investimento in pratiche e politiche incentrate sull’affidabilità e la tutela attiva dei propri partner e clienti è vissuto come qualcosa di necessario e performante, oltre quindi il livello di costo che tutto ciò potrebbe far raggiungere.

Passi Avanti Nei Confronti Della Trasparenza Virtuale

L’analisi annuale, arrivata alla seconda edizione, ha visto l’aggiunta di diverse nuove società analizzate negli aspetti sopracitati. Electronic Founder Foundation ravvisa come sempre più società, in generale, non si “tirano indietro” quando i propri utenti e clienti sono chiamati, dalle autorità locali (in questo caso statunitensi), a indicare i loro dati riservati. L’ente americano ha rilevato quanto la tematica della protezione dei visitatori sia vissuta con maggiore serietà, eccetto alcuni esempi che abbiamo citato sopra.

Un Piccolo Dubbio, Targato Sicurezza Digitale

Dando una rapida scorsa a quanto riscontrato ci permettiamo di essere un pò dubbiosi e critici sullo studio in questione. Linkedinla famosa rete sociale per il mondo del lavoro, raccoglie un buon risultato complessivo, raggiungendo un ragguardevole risultato di 3 requisiti positivi sui 4 totali. La tematica di studio è sicuramente diversa, ma secondo la nostra opinione potrebbe essere interessante  aggiungere, tra le categorie d’inchiesta, anche una concernente l’adozione di strumenti atti a tutelare la sicurezza delle connessioni (ad esempio, la presenza di un certificato SSL valido) e degli accessi, considerando che nel caso specifico di LinkedIn l’accesso con password dell’utenza è stato reso privo di sicurezza attraverso un attacco hacker di recente attuazione.

Lascia un commento

Archiviato in Privacy, Sicurezza Connessioni

OVH, Stop Alla Vendita Di Certificati SSL

OVH, la compagnia di web hosting francese operante a livello europeo, ha recentemente comunicato sulla Rete la dismissione del proprio servizio di sicurezza riservato ai clienti dell’area di hosting.

Conseguentemente a questa decisione OVH ha cessato immediatamente la vendita di nuovi certificati SSL, permettendo l’usufruizione di questo tipo di supporto per siti web solo a favore dei Clienti che in passato ne abbiano fatto esplicita richiesta. Non sarà, quindi, più possibile rinnovare i certificati SSL in scadenza dopo la fine di giugno 2012.

La scelta ha colto di sorpresa i numerosi clienti della sopracitata Società, che in passato avevano scelto il servizio OVH per consentire alla propria attività di e-commerce di sbarcare sulla Rete in condizioni di sicurezza credibilità per sé ed i propri Clienti.

Il team di Sicurezza Digitale ha contattato direttamente il Servizio Clienti di OVH (prima via e-mail, senza risposta, ed in seguito telefonicamente con ben altri risultati 🙂 ) per scoprire qualcosa di più su ciò che sta accadendo, e su quali possono essere le contromisure che gli utenti di OVH possono adottare per garantirsi un servizio elevato e di qualità.

L’operatore che ha risposto alle nostre domande ci ha confermato che la Società per la quale lavora non vende più questo tipo di prodotto; per quanto riguarda la sicurezza l’unico certificato sul quale l’utenza potrà contare sarà quello attualmente presente sul dominio ovh.it. Dato che, come affermato dal servizio di customer service, il certificato in questione non è una certificazione SSL Wildcard ma un semplice certificato digitale per la protezione della società, non è sinceramente molto chiaro quanto lo stesso possa essere utile per l’utenza di OVH…

Per diretta ammissione del medesimo operatore la Società è conscia del fatto che l’assenza di certificati SSL, all’interno del servizio in offerta, avrà ripercussioni su tutti coloro che necessitano di un servizio di hosting per l’e-commerce. Mi si consenta, questo è poco ma sicuro. La Rete è giornalmente presa di mira da attacchi hacker di ogni valenza e peso specifico, quindi sarebbe sinceramente da folli non optare per una sicurezza informatica minima per il dominio in questione (specialmente considerando i costi irrisori di alcune soluzioni in vendita sul web).

Una buona notizia: tutti coloro hanno scelto, e sceglieranno, OVH come partner del servizio di hosting, potranno comunque installare un certificato SSL a protezione delle comunicazioni e delle transazioni svolte sulla propria pagina online.

Permettetemi un’opinione personale, dettata da una non completa conoscenza della situazione particolare: la scelta di OVH di fare a meno di questo importante servizio di sicurezza denota un problema tipico di, purtroppo, molte Compagnie che vendono certificazioni SSL online. Chi non ha, come core business, la vendita di certificazioni digitali per la sicurezza di siti web spesso vede questa tipologia di servizio come dispendioso sia in termini di costi economici sia di tempo materiale per amministrare il tutto.

Non so, sinceramente, se queste siano le motivazioni del dietro-front di OVH su questa materia, ma quello che Sicurezza Digitale si sente di consigliare è di optare per l’acquisto di un certificato SSL da una Società dedita al 100% alla vendita di certificazioni SSL.

Lascia un commento

Archiviato in Certificati SSL, HTTPS, Recensioni, Sicurezza Connessioni

HTTPS E SSL, Il Tutorial Di Google – Video

Lascia un commento

Archiviato in Certificati SSL, HTTPS

2048 Bit La Chiave Di Crittografia Più Diffusa Tra I Certificati SSL

Proseguiamo l’analisi delle indicazioni relative alla sicurezza online ottenute dallo studio SSL Pulse soffermandoci, con questo post, sul valore delle encryption keys presenti tra i certificati dei quasi 200.000 siti web analizzati.

Dopo molte indicazioni preoccupanti finalmente qualcosa di positivo: la chiave di criptazione più diffusa, con un importante 81,3%, risulta essere quella a 2048 bit, universalmente considerata quella più sicura tra le Autorità di Certificazione sul web.

Chiave Di Criptazione Certificati SSL (Fonte, SSL Pulse 2012)

Chiave Di Criptazione Certificati SSL (Fonte, SSL Pulse 2012)

Con il termine chiave di criptazione si intende il meccanismo tecnico-informatico in grado di schermare i dati (informazioni personali, dettagli di pagamento, ecc.) trasmessi durante una sessione Internet tra un client ed un server.

Controllare questa tipologia di valore è quanto mai importante in quanto definisce in maniera inequivocabile quanto l’interazione con una pagina web è più o meno sicura. Al giorno d’oggi le certificazioni che “vantano” chiavi a valore minore di 2048 bit (1024, 512, ecc.) sono considerate non sicure, quindi è altamente sconsigliato rivolgersi ai siti web che hanno una chiave talmente debole in quanto, nel loro caso, la presenza di un certificato SSL è solo “di facciata”.

E’ auspicabile, infine, che i maggiori browser di navigazione web e i principali produttori di certificazioni SSL si uniscano per innalzare ulteriormente questo valore di sicurezza; alcuni di questi l’hanno già fatto introducendo sul mercato soluzioni a 4096 o più bit, assolutamente perfette e praticamente inespugnabili ad attacchi esterni.

1 Commento

Archiviato in Certificati SSL, Sicurezza Connessioni, SSL Pulse

Se Hai Terminato Di Usare Il PC Fai Log Out E Spegnilo! – Video

Lascia un commento

Archiviato in Informazioni Generali, Privacy, Sicurezza Connessioni

SSL Pulse, La Sicurezza Del Web Ai Raggi X

Il tema della sicurezza digitale è quanto mai attuale, e sempre maggiore attenzione al trattamento sicuro dei dati personali e bancari è negli ultimi tempi generato dalla discussione relativa all’agenda digitale, discussa sia a livello italiano sia europeo nel corso delle ultime settimane.

 

L’adozione di strumenti per la sicurezza delle transazioni, in merito alla quale vi sono opinioni contrastanti (c’è chi ribadisce l’importanza di installare certificati SSL riconosciuti all’interno dei server, altri che ne ribadiscono la non necessarietà, o al massimo la possibilità di optare per un certificato SSL autofirmato), si concentra sulla presenza o meno di certificazioni SSL.

 

Trustworthy Internet Movement (TIM), associazione no-profit creata in occasione del RSA Conference 2012 con lo scopo di promuovere un’atteggiamento maggiormente proattivo nei confronti della sicurezza online risolvendo a livello di comunità di esperti molti dei problemi del settore, ha inaugurato a fine Aprile 2012 uno studio dedicato all’implementazione del protocollo SSL all’interno dei principali siti web al mondo: SSL Pulse.

 

Il progetto di punta del TIM si propone di monitorare regolarmente, sulla propria pagina web, l’adozione di certificati SSL tra le principali 200.000 pagine aziendali su internet.

 

Il team di Sicurezza Digitale analizzerà, nel corso dei prossimi giorni, ciascuno degli elementi resi noti attraverso questa ricerca, approfondendo il significato di ogni dato e l’impatto sulla sicurezza in Rete.

 

Grafici relativi alla diffusione, e alla categoria, di certificati SSL DV/OV/EV presso i 200.000 principali siti web al mondo (fonte: SSL Pulse, 2012)

Grafici relativi alla diffusione, e alla categoria, di certificati SSL DV/OV/EV presso i 200.000 principali siti web al mondo (fonte: SSL Pulse, 2012)

 

Secondo SSL Pulse solo il 10% dei siti internet sottoposti a ricerca presentano, all’interno del proprio server, un certificato SSL valido e correttamente installato, quindi in grado di mettere in sicurezza ogni informazione in entrata e in uscita da server stesso.

 

Il dato è preoccupante, soprattutto se si pensa al notevole aumento dei casi di crimine informatico che hanno come oggetto, in special modo, i siti che processano virtualmente ordini, pagamenti, ecc. Proteggere il proprio sito web è importante, così come comunicare ai propri visitatori e/o clienti la maggiore attenzione posta dal gestore della pagina online relativamente a questo aspetto.

 

Trustworthy Internet Movement ha analizzato ciascun caso, esaminando 3 aspetti che rendono un sito in Rete più o meno sicuro; ecco quali sono:

 

  • verifica relative alla valida e alla riconoscibilità del certificato SSL installato: nel caso in cui un certificato SSL non fosse riconosciuto il sistema potrebbe essere soggetto ad attacchi informatici man in the middle (MITM) che finirebbero per rendere il certificato SSL inutilizzabile.

  • analisi della configurazione del server: verifica relativa alla presenza di supporto al protocollo SSL, allo scambio della Chiave Privata e al meccanismo di cifratura.

  • combinazione dei risultati ottenuti nelle categorie individuali: totalizzare uno “0” in una qualsiasi delle categorie precedenti porterà il sito in questione ad ottenere un valore generale pari a “0”.

 

Il risultato numerico ottenuto complessivamente in queste 3 categorie posiziona i siti analizzati in 6 gradazioni di valore, dalla “A” alla “F”. I siti con valutazione pari ad “A” hanno ottenuto valori più elevati (uguali o maggiori di 80), quelli con valutazione “B” da 65 a 79, “C” da 50 a 64, “D” da 35 a 49, “E” da 20 a 34, “F” da 0 a 19.

 

In generale, il 10% dei siti web dei quali si parlava sopra, sui quali è quindi attivo un certificato SSL, sono stati valutati con una “A” nel 50,4% dei casi (99.903 pagine uniche), “B” nel 13,4% (26.565), “C” nel 28,3% (56.095), “D” nel 6,7% (13.219) e “F” nell’1,2% (2.434).

 

In definitiva, di certificati SSL e sicurezza digitale si parla molto, ma le informazioni trasmesse dagli “addetti ai lavori” non sembrano sensibilizzare più di tanto chi deve prodigarsi in prima persona per rendere la propria pagina online più sicura e protetta.

 

Sicurezza Digitale tornerà su SSL Pulse nei prossimi giorni con nuovi approfondimenti e analisi condotte sul protocollo SSL; restate sintonizzati!

1 Commento

Archiviato in Certificati SSL, Informazioni Generali, SSL Pulse

Phish Or No Phish?, Scoprire Contraffazioni Online E’ Un Gioco Da Ragazzi!

VeriSign, su un proprio sito parallelo, ha sfidato i navigatori del web a scoprire qual’è, tra 2 pagine web apparentemente identiche e sicure, quella contraffatta e ingannevole.

Il gioco si intitola “Phish Or No Phish?” ed attraverso 10 quesiti testa la preparazione e l’attenzione del partecipante chiamato, di volta in volta, a individuare la pagina creata ad arte per rubare dati personali e bancari a chi, sfortunatamente, casca nel tranello.

phish-or-no-phish

"Phish, Or No Phish?"; Scopri Il Pericolo Phishing Con VeriSign

In alcuni casi l’inganno è facilmente smascherabile; come nel web reale anche in “Phish Or No Phish?” troviamo siti web con contenuti viziati da errori di battitura o di sintassi, altri che chiedono un’immediata azione pena la chiusura di un conto bancario o un’ammenda da pagare, fino ad alcuni che all’interno della propria barra d’indirizzo conducono lo sfortunato visitatore a pagine in Rete contraddistinte da IP numerici.

Dopo ogni risposta il team tecnico di VeriSign, indipendentemente dall’eventualità che la risposta fornita sia stata o meno corretta, spiega in maniera approfondita, attraverso un “fumetto”, dov’è l’inganno.

All’interno del “gioco” grande spazio è dedicato ai certificati SSL EV (Extended Validation, con la famosa “barra verde” o “blu” mostrata all’interno dei principali browser di navigazione web), descritti come la soluzione più valida per garantire il giusto grado di sicurezza online.

I certificati SSL Extended Validation rappresentano, in assoluto, l’evoluzione tecnica più completa degli ultimi anni, per quanto concerne la sicurezza digitale. I siti internet sui quali vengono installati i certificati SSL EV verranno mostrati, all’interno dei principali motori di ricerca, con una barra verde o blu evidenziante il dominio di riferimento.

L’acquisto di un certificato SSL EV è consigliato apertamente da parte delle più quotate autorità di certificazione presenti al mondo, e sono emesse da colossi della sicurezza online quali GeoTrust e VeriSign/Symantec.

1 Commento

Archiviato in Certificati SSL, Phishing & Malware