Pagine

Visualizzazioni totali

Google Scholar
Visualizzazione post con etichetta Sicurezza. Mostra tutti i post
Visualizzazione post con etichetta Sicurezza. Mostra tutti i post

venerdì 20 ottobre 2017

Orologi Gps per bambini? Un disastro per privacy e sicurezza



Molti smartwatch usati dai genitori per controllare i figli possono essere abusati da estranei per spiare sugli stessi. E fanno quello che vogliono dei dati. L'analisi di un gruppo a tutela dei consumatori.

Molti smartwatch per bambini sono un colabrodo dal punto di vista della sicurezza e della privacy. Inefficienti, inaffidabili, privi di elementari protezioni, irrispettosi dei dati degli utenti e per di più pure a rischio di essere facilmente violati da un attaccante. È la demoralizzante fotografia scattata dal rapporto di una organizzazione no-profit norvegese per i diritti dei consumatori, il Norwegian Consumer Council, da tempo in prima fila nell’analizzare le falle informatiche e legali dei dispositivi connessi, come avevamo raccontato nel caso della bambola interattiva Cayla

Orologi Gps o smartwatch per bambini  
Gli ultimi a entrare nel mirino del gruppo sono stati dunque gli smartwatch per bambini, ovvero quegli orologi da polso che funzionano anche come un telefono semplificato - permettendo di ricevere o fare chiamate a numeri specifici – e da geolocalizzatore. Dotati di scheda SIM e Gps, permettono di fare (o ricevere) telefonate solo ai genitori, che a loro volta, attraverso una app combinata sul proprio smartphone, possono tracciare in tempo reale i movimenti dei bambini. In alcuni casi, possono anche attivare l’audio e ascoltare quanto accade intorno allo smartwatch. O addirittura, in alcuni dispositivi con fotocamera, scattare fotografie. I modelli sono diversi, veicolati da un mercato ancora di nicchia, ma in crescita - secondo la società di ricerca Gartner nel 2021 questi apparecchi, nella versione per bambini, conquisteranno il 30 per cento del segmento smartwatch. 
Soprattutto, è un settore caotico e privo di controlli. Dove molti dispositivi sono realizzati in Cina, importati in Europa da diverse aziende e venduti soprattutto su siti specializzati, con nomi diversi nei vari Paesi, anche se spesso il prodotto di base è lo stesso. Apparecchi che trasmettono le informazioni raccolte a server ed aziende che stanno fuori dall’Europa, senza rispettare le norme sulla privacy. Le informazioni sulla geolocalizzazione, specie se raccolte in modo continuo e abbinate ad altri identificativi, sono infatti considerati dati personali e come tali godono di particolare protezione in Europa. 

Il rapporto su 4 modelli  
L’analisi del Norwegian Consumer Council si è concentrata su quattro smartwatch: Gator 2, Tinitell, Viksfjord (collegato alla app SeTracker) ed Xplora. Almeno uno o due di questi si trovano anche in molti Paesi europei; in Italia - secondo i dati che l’organizzazione norvegese ha girato a La Stampa - sarebbe presente almeno il Viksfjord, o meglio, modelli simili che usano la stessa app/marca SeTracker. Anche se la ricognizione di questi dispositivi è resa difficile dal fatto che spesso gli utenti li acquistano su negozi online locali e internazionali. E che, come abbiamo detto, a volte hanno nomi diversi. 
Ad ogni modo, secondo l’analisi del Norwegian Consumer Council, due dei dispositivi considerati (Gator 2 e Viksfjord) avrebbero vulnerabilità che permettono a un attaccante di prendere il controllo dell’account utente e/o di associare al proprio il dispositivo di un altro, e quindi di accedere ai dati sulla geolocalizzazione, anche quelli storici, e ad altri dettagli personali. Ma potrebbero anche, attraverso lo smartwatch, stabilire un contatto diretto coi bambini, all’insaputa dei genitori. O sfruttare la funzione di ascolto ambientale per carpire conversazioni. Inoltre, i dati sono trasmessi a server che si trovano in Nord-America o in Asia, in alcuni casi senza alcuna cifratura. Per di più, se gli utenti vogliono lasciare il servizio, non possono semplicemente cancellare la app dal telefono. Perché finché esiste un account utente nel sistema, le informazioni relative saranno conservate nel cloud dell’azienda. Dati che possono includere tutta la storia della geolocalizzazione, le eventuali foto del bambino, le zone delimitate dai genitori come sicure nella configurazione della app (il cosiddetto geofencing), e altri identificatori. Eppure nessuno dei quattro servizi esaminati permette la cancellazione dell’account. Ciò significa che quei dati rimarranno in mano alle aziende per un tempo indefinito, anche quando non si usa più il servizio. E ancora: una azienda riutilizza i dati personali dei bambini per scopi di marketing, le altre non danno informazioni al riguardo (che in genere non è un buon segno). Siamo di fronte a palesi violazioni del Regolamento privacy Ue e delle leggi a difesa dei consumatori, scrive in conclusione il dettagliato rapporto norvegese.  

Il parere delle associazioni  
“Prima abbiamo trovato problemi in bambole e giocattoli connessi, ora negli smartwatch per bambini, che è un settore più piccolo ma in crescita, dove le aziende cercano di avvantaggiarsi dell’interesse e della curiosità dei consumatori verso la tecnologia”, commenta per telefono a La Stampa Finn Myrstad, direttore dei servizi digitali del Norwegian Consumer Council. “Anche in questo caso abbiamo scoperto problemi grossi. E abbiamo avuto la riconferma che le aziende dietro a questi prodotti non si preoccupano né della privacy né della sicurezza. Pensiamo che dovrebbero esserci regole più stringenti su questo mercato rivolto ai bambini, regole che salvaguardino la sicurezza digitale, così come ci sono norme che vietano l’uso di materiali tossici o pericolosi nei giocattoli. Una volta anche sulle auto non erano obbligatorie le cinture di sicurezza. Dobbiamo introdurre l’obbligo di cinture di sicurezza anche per i prodotti connessi”.  
Già, perché l’analisi mirata del Norvwegian Consumer Council mostra solo la punta di un iceberg, a fronte di un numero crescente di dispositivi collegati a internet.  

“Il panorama desolante delineato dalla ricerca suggerisce che il mercato non sia ancora maturo per questo genere di prodotti e proietta inoltre delle ombre su tutto il mondo dell’Internet of Things (l’internet delle cose, ovvero gli oggetti connessi, ndr)”, commenta l’associazione italiana Altroconsumo, che ha già denunciato in passato una situazione poco chiara in merito al trattamento dei dati personali da parte di vari servizi cloud. “Fra vulnerabilità informatiche capaci di trasformare un oggetto utile in un subdolo nemico che opera indisturbato dentro le mura domestiche e comportamenti poco etici da parte dei produttori, i consumatori hanno moltissime ragioni per stare in allerta e informarsi il più possibile”. 


venerdì 29 gennaio 2016

Come è facile hackerare le videocamere di sicurezza


Sodan è un motore di ricerca un pò particolare, che va a caccia di gadget connessi alla cosidetta "Internet delle Cose": un frigo per invitarti via email l'elenco di ciò che manca, o un sistema di videosorveglianza connesso al web, per controllare casa mentre sei in vacanza, sono ottimi esempi. Se avete tempo, registratevi e vedete cosa succede.

 sho1 

A questo punto, ci sono due notizie buone e una cattiva. La prima buona è che l’Internet delle Cose migliorerà davvero la nostra vita. La seconda è che non sarà un fenomeno passeggero se, come racconta uno studio di BI Intelligence, per il 2019 ci ritroveremo 6,7 miliardi di aggeggi di questo tipo, capaci di generare un mercato da 1700 miliardi di dollari. Adesso arriva la cattiva notizia: l’Internet of Things è così spinta dai produttori, che nella loro corsa affannata a conquistare per primi il mercato si son scordati della sicurezza. Per farla breve: i dispositivi dell’Internet of Things rischiano di essere dei colabrodo.
 Il problema delle webcam
Non ci credete? E qui torniamo a Shodan, non si scappa. Iscrivendosi al motore con la formula a pagamento, si ha accesso, per esempio, a una moltitudine di webcam. Alcune consapevolmente pubbliche, altre decisamente no. Parliamo, per dire, di webcam puntate su culle per tenere d’occhio i figli dall’altra parte della casa. Oppure di webcam puntate su coltivazioni di marijuana, di modo che il produttore abbia sempre sotto controllo come procede la crescita delle piantina. Perfino webcam di videosorveglianza privata, e sia mai che alcune non puntino su sportelli ATM dando modo di risalire ai codici PIN. A quel punto, basta rubare la carta e si procede al prelievo… abusivo.
Ecco, quello delle webcam è un tema molto sentito tra gli esperti di sicurezza informatica, anche da prima dell’avvento dell’IoT, ma il nuovo trend ha amplificato il problema. In particolare, viene messo sul banco degli impuntati il famigerato protocollo Real Time Streaming Protocol, anche detto RTSP 554, cioè una tecnologia che consente in effetti di pubblicare riprese da webcam sulla Rete, ma senza alcun tipo di autenticazione. Così uno pensa di utilizzare la webcam per i suoi affari privati, e invece il flusso d’immagini è visibile da chiunque lo desideri. Se volete un assaggio, gratuito, dopo esservi iscritti alla versione base di Shodan, andate a questo link e godetevi lo spettacolo.
Nel momento in cui scrivo ce n’è per tutti i gusti: strade pubbliche (e fin qui), uffici (e va bè), case private, stanze di bambini e palestre. Quello delle webcam è uno dei tanti problemi di sicurezza che rischiano, sempre più, di palesarsi con la diffusione dell’Internet delle Cose. E mentre l’International Standards Organization cerca di adattare le norme ISO 27000 all’ambito della IoT, e la IEEE lavora a tecnologie che garantiscano la sicurezza di questo dispositivi, si allunga la lista di vulnerabilità e criticità che, a oggi, dovrebbero far tirare un po’ il freno a mano al settore. Oltre alle webcam, il riferimento primario sono le automobili, dove non si contano gli “hack” che consentono di accedere a un veicolo da remoto, arrivando perfino a prenderne il controllo.

Anche le bambole
È dello scorso dicembre la notizia secondo cui perfino una bambola sviluppata sul modello dell’IoT era hackerabile.

In pratica, Hello Barbie consente a un bambino di conversare col giocattolo, sfruttando un sistema cloud del tutto simile a Siri e a Cortana, chiamato ToyTalk. Il ricercatore Andrew Hay, tuttavia, ha scoperto in questa Barbie una serie di vulnerabilità che portano addirittura all’intercettazione delle comunicazioni del bambino. Il bambino parla con la bambola, ma è possibile ascoltarlo anche da remoto, sfruttando un ben noto bug che colpisce la crittografia SSL. Un banale errore, che però porta a una considerazione importante: di fatto, l’Internet of Things non aggiunge niente di nuovo dal punto di vista tecnologico, ma sfrutta per buona parte tecnologie già esistenti. È dunque necessario pensare a come queste tecnologie si comportano in questo settore, così diverso da quelli abituali dove sono utilizzate. E i rischi che ne possono derivare.
Protocolli (webcam) e bug noti da risolvere (SSL), sono due degli esempi dei problemi endemici dell’attuale generazione di dispositivi IoT, ma l’elenco non si esaurisce qui, ovviamente.
 Problemi per tutti
Il problema degli aggiornamenti è quanto mai stringente anche in questo campo, come se già non lo fosse abbastanza nel ramo di computer, smartphone e tablet. Il concetto è molto semplice: se il dispositivo dell’Internet delle Cose poggia su un router per interfacciarsi al web, il router diventa l’apparecchio da tutelare a tutti i costi. Quello dove erigere la barriera più efficace. E invece la scarsa disponibilità di aggiornamenti rilasciati dai produttori rischia di moltiplicare spiacevoli situazioni, come la vulnerabilità che l’anno scorso ha attanagliato D-Link e che consentiva di prenderne il controllo, gestendo i dati che fluttuavano verso i dispositivi wireless. Pensate alle conseguenze, in una casa controllata da dispositivi connessi alla Rete. Ma i problemi non si limitano al solo software.
La corsa all’Internet delle Cose non ammette pause nemmeno tra i progettisti hardware, che spesso e volentieri privilegiano il design e le caratteristiche di grido alla sicurezza. Ne è un esempio la così detta vulnerabilità Rowhammer. In breve: il Project Zero Team, il team di Google dedito alla ricerca sulla sicurezza, ha scoperto che scrivendo dei dati, ripetutamente, in alcuni moduli di RAM, era possibile scavalcare le protezioni del sistema operativo di un apparecchio. Per quante protezioni si possano infilare nel sistema operativo, insomma, se un apparecchio usa quelle RAM è possibile bypassare i controlli e prendere il controllo del dispositivo. E il brutto è che sistemare un bug hardware non è così semplice, e spesso e volentieri è necessario sostituire proprio il componente fisico.
C’è chi ha risolto il problema in modo brillante, anche se ovviamente si tratta di mettere una pezza su una questione più complessa. Tra questi Bitdefender con la sua BOX, un apparecchio che si interpone tra router e dispositivi IoT, controllando il traffico dati, rivelando operazioni sospette e, nel caso, bloccandole. Un firewall smart, in pratica, ma un po’ più raffinato di quelli abitualmente integrati nei router domestici.
Infine, occhio alle interfacce. Quelle pagine web che utilizziamo per accedere, a distanza, ai nostri favolosi aggeggi IoT, non si prendono ancora abbastanza cura della sicurezza. Si deve pensare all’IoT, e i dati di mercato menzionati all’inizio lo confermano, come a un fenomeno di massa. Che, quindi, raggiungerà anche persone che faticano a utilizzare password diverse da “password” o “123456”. Occorre forzare il meccanismo e obbligarle a pensare a password migliori, mentre le interfacce IoT attuali ne accettano anche di cinque o sei lettere, e cioè crackabili in qualche giorno al massimo. Non ci credete? E allora ditemi: vi siete mai preoccupati di verificare che la password del vostro router non sia ancora “admin”, cioè quella di fabbrica?

Fonte: Wired - Autore: Riccardo Meggiato


 

sabato 26 settembre 2015

Dieci cose da dire ai figli prima di dare loro uno smartphone


Prima o poi viene il momento in cui i figli chiedono ai genitori uno smartphone.
Spesso i genitori non hanno la più pallida idea di cosa si possa fare con uno smartphone, per cui la società di sicurezza informatica Intego ha pubblicato una lista molto condivisibile di dieci raccomandazioni per genitori, da dare ai figli in questa tappa importante della loro comunicazione sociale. Questa è la mia versione leggermente reinterpretata.Naturalmente non c'è nessuna garanzia che le raccomandazioni vengano rispettate, ma perlomeno avrete definito chiaramente dei paletti che indicano cosa è accettabile e cosa non lo è.

1. Procurati una custodia protettiva. A differenza dei telefonini normali, gli smartphone sono dannatamente fragili per via delle loro ampie superfici in vetro.

2. Quando sei in aula, concentrati sull'insegnante, non sul telefonino. Spegnilo o mettilo in modalità silenziosa in modo che non squilli durante la lezione.

3. Se ti chiamo e non mi rispondi o non mi richiami ci saranno delle conseguenze. Lo smartphone ti è stato comprato per permetterci di restare in contatto con te, non per giocare ad Angry Birds e chattare solo con gli amici. Rassegnati.

4. Non usare lo smartphone quando cammini o vai in bici o guidi la moto o l'auto. Specialmente per mandare messaggi o ascoltare musica in cuffia a tutto volume. Se ti devo spiegare perché, abbiamo un problema.

5. Non usare lo smartphone per scrivere online cose che non vorresti che leggesse la nonna, e ricordati che le cose messe in Rete ci restano per sempre.
6. Proteggi il tuo smartphone con una passwordContiene tutti i tuoi dati personali e le tue foto, per cui se qualcuno te lo prenderà per curiosare se la spasserà se non l'hai bloccato.

7. Non condividere le password. Specialmente con gli amici; le amicizie passano, le password restano. Scrivile da qualche parte: non nel telefonino, ma su un foglio di carta, magari in una busta chiusa, da tenere in un cassetto a casa.

8. Non fare foto che non faresti vedere ai tuoi genitori. Se qualcuno te le ruba, o se le mandi a qualcuno, rischiano di girare per sempre in Rete e causarti imbarazzi per anni.

9. Non collegarti ai Wi-Fi aperti. Possono intercettare quello che fai. Usa la trasmissione dati cellulare.

10. Abbiamo attivato i filtri e i controlli parentali. Servono per ridurre il rischio di brutti incontri, per proteggerci da bollette salate per l'acquisto di app e di accessori nei giochi e per non farti passare tutta la giornata incollato al telefonino.

Infine una raccomandazione per genitori: date il buon esempio e seguite anche voi queste regole. Scoprirete che rispettarle è difficile tanto quanto imporle. Buona fortuna.

Fonte: (C) by Paolo Attivissimo - www.attivissimo.net

mercoledì 16 settembre 2015

ECSM, anzi European Cyber Security Month: ottobre, mese della sicurezza informatica

L'European Cyber Security Month è una campagna promossa dall'Unione Europea che coinvolge tutti i Paesi membri e prevede un fitto programma di eventi e manifestazioni consacrate al tema della sicurezza.
Obiettivo? Educare e condividere le best pratice, esercitazioni per i più esperti, formazione su più livelli, dagli sviluppatori ai dipendenti aziendali. Ci sarà persino una competizione tra i migliori esperti europei di sicurezza.
Promosso dall’Enisa (European Union Agency for Network and Information Security), il mese della sicurezza informatica farà di ottobre un momento topico della formazione e dell'informazione.

La road map dell'ECSM italiano

In Italia, l'iniziativa è promossa dal Clusit, l'Associazione Italiana per la sicurezza informatica. L'agenda dell'ECSM, dunque, prevede una fitta serie di appuntamenti distribuiti per il Bel Paese: si parte subito con il 1° ottobre, a Verona, con il Security Summit, e sarà l'occasione di conoscere tutti gli aggiornamenti relativi agli attacchi e agli eventi malevoli che hanno inciso di più sulla business continuity aziendale, dal 2013 al primo semestre del 2015 incluso.
La sessione plenaria, intitolata “La sicurezza delle informazioni: un elemento imprescindibile per il business delle aziende del Nord-Est e per le Pubbliche Amministrazioni Locali”, si focalizzerà su diversi aspetti associati alla protezione delle informazioni e dei sistemi relativamente a più comparti industriali. L'obbiettivo? Illustrare non solo le tipologie di minacce e le loro modalità di infiltrazione ma anche spiegare quali sono le contromisure che si possono attuare nel breve, nel medio e nel lungo termine. Dalla cyber-intelligence allo spionaggio industriale, dallo spam agli ATP, dalle chiavette USB infette al phishing, infatti, ci sono diversi approcci di tipo predittivo e proattivo che diversificano i livelli di protezione e di difesa. La schedulazione del calendario?
  • La prima settimana di ottobre inizia con sessioni dedicate agli esperti della sicurezza: CISO, CSO e, in generale, professionisti InfoSec saranno coinvolti in una serie di esercitazioni dedicate a vari argomenti. 
  • La seconda settimana coinvolge il pubblico più vasto degli utenti mobili, in quanto l'obiettivo è approfondire, appunto, il tema della protezione e degli aggiornamenti per pc e dispositivi mobili.
  • La terza settimana è invece indirizzata agli sviluppatori, in erba e professionali.  L'argomento chiave? Lo sviluppo di codice (per gli studenti) ma anche la formazione dei dipendenti (per aziende pubbliche e private).
  • La quarta settimana si chiude sul tema della e-Privacy, dalla salvaguardia dei dati personali alle normative associate all'uso e alla conservazione dei dati sensibili. 

Sicurezza, non è un gioco (tranne in un caso)

La filosofia di tutta la manifestazione è che non c'è buona sicurezza se non c'è buona informazione. Da anni il tema della protezione come elemento fondamentale della continuità operativa e della salvaguardia dei dati viene ribadito ma c'è ancora poca cultura da parte degli utenti e delle organizzazioni su quanto sia fondamentale attenersi a certi comportamenti e a certi accorgimenti.
Per aumentare l'ingaggio, l'ECSM lancia l'Hacking Film Festival, manifestazione durante la quale saranno proiettati cortometraggi e filmati indipendenti sul tema, con una prospettiva volta a far capire anche cosa pensa il mondo degli hacker della sicurezza informatica.
La European Cyber Security Challenge, invece, è una chiamata alle armi per tutti i migliori professionisti della security, che potranno incontrarsi per fare networking e collaborare insieme. È prevista anche una competizione a squadre: i concorrenti dovranno risolvere compiti di sicurezza relativi a settori quali la sicurezza Web, la sicurezza mobile, vari enigmi crittografici ma anche casi di reverse engineering e forensic engineering. 

Fonte: Digital4biz

domenica 23 novembre 2014

Sicurezza d’autunno, 10 brividi


Hacker in azione

Abbiamo raccolto 10 tra minacce, vulnerabilità, segnalazioni (con qualche consiglio) cui prestare attenzione, selezionate dal nostro team di esperti in relazione alla loro diffusione negli ultimi giorni. In alcuni casi, si tratta semplicemente di curiosità raccolte nel cyberspazio, in grado di far riflettere su come il problema del crimine informatico non riguardi oramai solo privati  e aziende, ma sia un sistema utilizzato dai governi per mettere in difficoltà i Paesi nemici, oppure ancora, come basti poco per “suggestionare” la società e sfruttare le sue debolezze. Tra l’altro, quando alle vulnerabilità si rimedia con patch non del tutto adeguate, il cybercrime è talmente evoluto da essere in grado di sfruttare ulteriormente queste lacune per sferrare altri attacchi. Pensate poi nell’era di Internet of Things  e delle tecnologie M2M come potrebbero risultare esposti anche gli oggetti che utilizziamo tutti i giorni. Avete già i brividi? Ecco quindi le novità più importanti selezionate per voi.

1. Il virus Ebola riesce a far vittime non solo reali, ma anche nel mondo dei cibernauti. Dovevamo aspettarcelo. Più fonti sul Web segnalano l’ondata di spam (per ora non endemica) con finti suggerimenti per la sicurezza sanitaria che sarebbero  inviati dall’OMS (e ovviamente non lo sono). Le email contengono il trojan DarkComet Rat (questo sì per nulla nuovo). Una volta installato, il vostro computer diventa vulnerabile esponendo i dati in transito per esempio attraverso webcam e microfoni. Il buon senso vi sia sempre di aiuto, l’OMS non invia i consigli sanitari via email!

2. Solo questo martedì, il patch day di Microsoft prevedeva per i suoi sistemi la patch MS114-060, che riguardava il sistema a oggetti OLE. Questa patch non si è rivelata abbastanza robusta tanto che a distanza di poche ore la vulnerabilità è stata sfruttata ancora e sono stati segnalati attacchi contro Taiwan da parte di hacker cinesi. Ancora prima una vulnerabilità simile era già stata sfruttata dalla criminalità informatica russa –  che fa riferimento al Sandworm Team – per attaccare, tra gli altri, anche alcuni organismi della UE.

3. Android con la sua diffusione ha meritato tutta l’attenzione possibile e immaginabile degli hacker. Pochi giorni fa è emersa una vulnerabilità che permette di inserire malware nelle immagini. La vulnerabilità riguarda Android 4.4.2. L’attacco dimostrativo, AngeCryption, ha evidenziato come sia possibile nascondere un APK (Android Package) infetto dietro un’immagine sfruttando la crittografia AES, procedura per cui identificare l’immagine infetta diventa decisamente laborioso. Il consiglio di Google, è sempre il medesimo: utilizzare esclusivamente app da Play store. Non è detto tra l’altro che la patch, quando sarà individuata quella definitiva, sia disponibile anche per tutte le versioni precedenti di Android.

4. Ottobre è stato il mese europeo della sicurezza informatica (ECSM). In Italia se ne sono occupati ClusitEnisa (Agenzia europea per la sicurezza delle reti e dell’informazione), ma anche il nostro Ministero dello sviluppo economico. Perché questa attenzione? Perché la sicurezza informatica non è un problema solo dei privati cittadini, e delle grandi aziende ma è un problema per tutto il tessuto economico nazionale. Sotto attacco oggi ci sono anche le PMI italiane. Si stima che il costo medio di un singolo attacco a una nostra azienda sia passato dai 50mila agli 80mila euro. Nel 2014 sono aumentati i cyberattacchi contro le istituzioni governativi, i politici e i servizi aziendali. Ma sono aumentati anche gli attacchi contro cloud, social network e servizi in mobilità. Clusit denuncia che il 60% degli attacchi in Rete concerne il cybercrime a differenza del 60% degli attacchi in Rete concerne il cybercrime a differenza del 36% preso in esame nel 2011
  
5. Virtualizzare che passione. Malware, virus, attacchi informatici, con la virtualizzazione generalmente hanno vita più difficile, perché questo? Perché lavorare su un desktop virtualizzato significa spesso avere maggiori possibilità di isolare sia in entrata che in uscita malware e infezioni. Il problema però è spesso dati dai dispositivi mobile. In questo ambito la cultura della virtualizzazione è solo agli inizi, sono pochissime le nostre PMI aziende che dispongono di sistemi di sicurezza ad hoc per i dispositivi mobile. Gli attacchi più pericolosi arrivano, e arriveranno presto ancora di più da questo fronte.

6. Ricorderemo questi giorni perché con l’arrivo dei nuovi smartphone di Apple mezzo mondo ha preso coscienza dei passi in avanti nei sistemi di pagamento mobile. Non li ha inventati Apple i sistemi di pagamento mobile, ma come spesso accade Cupertino, con il suo Apple Pay ha contribuito a rendere popolare le nuove possibilità di pagamento ed è servito ad affinare e a rendere semplice un concetto importante. Le transazioni monetarie effettuate contactless tramite smartphone (qualsiasi OS) saranno sempre più al centro dell’attenzione degli hacker, vedremo cosa succederà, intanto tutti si muovono sull’argomento con i piedi di piombo.

7. Sportelli bancomat svuotati anche senza la scheda. Intanto, per rimanere con i piedi per terra, in questi giorni, ricordiamo che chi con il malware ci sa davvero fare è riuscito a svuotare sportelli bancomat, anche senza la scheda. In questo caso è stato sfruttato un trojan Tyupkin, il trojan è da innestare nel computer che gestisce lo sportello bancomat ed è questa la parte più complessa del piano criminale. Al primo riavvio, l’attaccante ne ha potuto prendere il pieno controllo e praticamente far fare allo sportello quello che voleva, senza che il sistema bancario registrasse alcunché. Ovviamente roba per esperti, che si esercitavano – guarda un po’ – proprio nel week end. Se ne è occupata l’Interpol.

8. Per un Android che certo in termini di sicurezza lascia a desiderare, con le buone trimestrali, anche Apple colleziona però un’attenzione maggiore da parte degli hacker. E’ un dato di fatto che alcune botnet estremamente attive possano contare tra i computer ‘zoombie’ anche MacOs. In america ne hanno individuati 17mila con Mac.BackDoor.iWorm a bordo. Sembra che il sistema di controllo sfrutti Reddit come applicazione dove postare le istruzioni. E per non farsi mancare nulla ecco anche gli attacchi ad iCloud, l’ultimo è di pochissimi giorni fa. Ne parliamo su ITespresso.it.

9. Poodle. Non ci sono bastati Heartbleed ShellShock, anzi, non li avevamo ancora digeriti ed ecco il nuovo terribile bug. In italiano il nome suona quasi amichevole, perché significa barboncino. Purtroppo si tratta di un brutto affare e il nome è un acronimo: Padding Oracle On Downgraded Legaxy Encryption, il baco riguarda la versione 3 del protocollo SSL, ancora implementato da praticamente tutti i browser, come sistema ‘di scorta’. Poodle consente un attacco di tipo man in the middle, per cui si riescono a decifrare i cookie e magari ottenere informazioni sensibili dell’utente. L’attaccante deve essere nella stessa rete dell’attaccato perché tutto sia più semplice. WiFi pubblico? Ve la siete cercata.

10. Brividi di sicurezza? Fate bene! Il primo passo per non rimanere vittime è la consapevolezza. Quindi come primo punto usare il buonsenso, password complesse, e non fare mai clic in modo affrettato. Con questi consigli già sareste a metà dell’opera. Poi, certo, la protezione di un buon antivirus, e ancora meglio,iniziate a informarvi sull’autenticazione a due fattori che, almeno per gli ambiti più delicati nel financial e sulle comunicazioni personali è già disponibile e può tutelare buona parte delle vostre operazioni. Quando navigate però occhi sempre ben aperti. E non credete mai a chi vi dice con un banner che il vostro computer è infetto. Lasciatelo stabilire al vostro antivirus.

mercoledì 25 dicembre 2013

Quanto è sicura WhatsApp per bambini e teenager?

Quanto è sicura WhatsApp per bambini e teenager? Il numero di ragazzi tra 10 e 15 anni che utilizzano WhatsApp e applicazioni sui loro dispositivi mobili è in continua ascesa. Lo fanno sui dispositivi in loro possesso o su quello dei genitori. Difficile che essi conoscano cosa l'applicazione possa fare con i loro dati personali. Probabile che non lo sappiano neppure i genitori.
In Italia l’81% di possessori di un iPhone ha scaricato sul dispositivo WhatsApp e la percentuale non è molto diversa su piattaforma Android. Gli utenti a livello mondiale hanno ormai supretao i 300 milioni ed usano l’applicazione per condividere messaggi, fotografie, video, testi e messaggi vocali una o più volte al giorno. I messaggi spediti e condivisi con l’applicazione sono miliardi al giorno e la maggior parte degli utilizzatori di WhatsApp controllano se ci sono novità in arrivo almeno 150 volte al giorno. Lo rilevano varie indagni di mercato con poche differenze nei vari mercati geografici presi in considerazione.
WhatsApp è diventata oggetto del desiderio e strumento di comunicazione per molti ragazzi e teenager che usano l’applicazione anche per sfuggire alla presenza e al potenziale controllo degli adulti che ormai presenziano in massa e in pianta stabile Facebook per curiosare e monitorare le attività, i pensieri e gli stati d’animo dei loro figli.
WhatasApp è diventata per i teenager ( usano l’applicazione quesi il 75% di loro) molto più di un sistema di messaging. Viene usato come social network, per creare gruppi e viverli comunitariamente, per aggiungere nuovi amici e creare nuove connessioni. Il fatto che i teenager usino questa applicazione non è negativo di per sé ma deve generare alcuni interrogativi, non tanto legati ad eventuali abusi che se ne possono fare ma soprattutto per come possono essere usati i contenuti e i messaggi che vengono fatti circolare. E’ utile che gli adulti si interroghino dove vadano a finire, come vengano archiviati e usati i dati privati, personali e  sensibili che l’applicazione gestisce.
La risposta è che non esiste una risposta!
Con WhatsApp l’utente, di qualsiasi età esso sia, non sa se i suoi dati, oggetto delle conversazioni e comunicazioni, vengono copiati e/o archiviati e non sa quali protezioni siano ad essi applicate e/o se sia possibile accedervi per eventuali modifiche, cancellazioni, ecc. Potrebbe essere infatti utile rimuovere delle foto inconvenienti e spedite in un momento di euforia più o meno alcolica. L’assenza di informazioni certe sui livelli di sicurezza e sul tipo di protezione dei dati è tanto più grave se analizzata nell’ottica di un teenager o di uno dei suoi genitori. L’unico modo per prevenire eventuali abusi e utilizzi non appropriati dei dati personali è di leggere con attenzione le condizioni/informazioni di utilizzo dell’APP e intervenire nel modo più adeguato nella configurazione del proprio account. Nel farlo bisogna tenere conto del fatto che l’applicazione può modificare in autonomia le configurazioni di sistema del dispositivo, può raccogliere informazioni sulle funzionalità e programmi/servizi usati, può ricevere ed elaborare messaggi SMS,  può modificare i dettagli personali presenti sul profilo dell’utente, può leggere questi dettagli e quelli realtivi ai contatti con cui si è collegati, può modificare e /o cancellare dati presenti su un dispositivo di storage SD, può accedere ad informazioni legate alla registrazione audio e a quelle collegate alle telefonate ( numero di telefono, numero che si sta chiamando, se la chiamata è attiva, ecc.) e può anche fare chiamate all’insaputa dell’utente.Le capacità proprie della applicazione nella gestione dei nostri dati e delle nostre attività è tale da suscitare molti dubbi, soprattutto in paesi che come l’Italia fa parte della comunità europea. In Europa raccogliere senza autorizzazione dati personali su persone minorenni è vietato e potrebbe essere reso possibile solo dai loro genitori. Il divieto europeo e la pratica che invece WhatsApp fa nell’uso delle informazioni degli utenti, mette la società nella condizione di essere penalmente perseguibile per violazione delle leggi vigenti.Il problema è che, dopo aver scaricato l’applicazione, i teenager sembrano preoccuparsi molto delle sue funzionalità e potenzialità e meno o per nulla delle sue violazioni della privacy. Non potendo impedirne l’utilizzo, a genitori e adulti non rimane altro approccio che quello di spiegare con cura caratteristiche e funzionalità di WhatsApp mettendo in guardia i ragazzi dai potenziali rischi e invitandoli a proteggere meglio le loro identità e attività digitali mobile. L’approccio da suggerire è di usare l’applicazione come se tutto ciò che viene condiviso possa essere di pubblico dominio e di agire di conseguenza evitando testi, messaggi ma soprattutto foto compromettenti o che si potrebbero prestare ad usi impropri futuri. Molto utile anche un intervento periodico finalizzato alla rimozione dal proprio dispsotivo di conversazioni, messaggi e contenuti WhatsApp. Un modo per evitare che informazioni private finiscano nella mani sbagliate in caso di furto o di perdita del dispositivo.

lunedì 14 ottobre 2013

Presentazione del libro "Sicuri in Rete" a Gallarate

Mercoledì 16 ottobre 2013 alle ore 21.00 presso le Ex Scuderie Martignoni, si terrà la presentazione del percorso tecnico-pedagogico per genitori a cura dell'associazione PerCorsi Senz Età nell'ambito del progetto Skipper Navig@ndo. Durante la serata presenterò il libro "Sicuri in Rete" ediz. Hoepli scritto con Laura Bissolotti.

giovedì 30 maggio 2013

A Roma il workshop su sicurezza e privacy. Francesco Pizzetti: ‘La libertà della rete si difende con le regole’

All’evento internazionale, realizzato in collaborazione con Google Italia, è emersa la necessità di una maggiore cooperazione globale tra Autorità regolatorie, Istituzioni e magistratura.

Francesco Pizzetti
INTERNET - Si è tenuto a Roma il workshop internazionale "sicurezza su Internet”, promosso da Alleanza per Internet, con l’obiettivo di dar vita a nuove forme di collaborazione tra le grandi aziende della rete, le autorità regolatorie, le Istituzioni e i cittadini per sviluppare forme efficaci di tutela dei dati personali, aziendali e delle pubbliche amministrazioni.
 Tutti devono e possono concorrere a un web più sicuro e più accessibile.
L’evento,svoltosi presso la Sala Capranichetta di Piazza Montecitorio, ha consentito a rappresentanti delle internet company, delle Authority, delle Istituzioni, della magistratura e della Polizia, di confrontarsi sul tema della sicurezza online, con particolare riferimento alla tutela della sicurezza e dei diritti degli utenti internet.  
Un incontro che è caduto proprio in un momento particolare per il Paese e l’Europa, con il Governo Letta appena formato e la crisi economica che non ammette distrazioni. Realizzato in collaborazione con Google Italia, che ha portato un punto di vista globale sull’argomento, l’appuntamento non ha tradito le attese e la sala gremita e attenta allo svolgimento del dibattito ha lasciato subito intendere che la sicurezza online è un tema centrale non solo per aziende e regolatori, ma anche e soprattutto per gli utenti. La partecipazione di Google ha consentito agli speaker, moderati da Raffaele Barberio direttore di Key4biz, di misurarsi sulla questione della tutela dei dati personali, della privacy, del controllo dei dati e della loro vulnerabilità agli attacchi informatici, su un orizzonte non solo italiano, ma internazionale. Come ha spiegato Francesco Pizzetti, presidente di Alleanza per Internet, “è su questo terreno che si misura la rilevanza della tutela dei dati personali, avviando una riflessione profonda sul rapporto tra il diritto alla riservatezza degli utenti e la richiesta di deroga da parte dei Governi che chiedono di accedere ai dati per motivi di sicurezza e giustizia di carattere straordinario”.  
Basta un provvedimento dell'autorità di sicurezza nazionale e giudiziaria per derogare alle norme che regolano la riservatezza delle nostre comunicazioni e del traffico dati che generiamo?
Il tema è cruciale, sia da un punto di vista giuridico, sia sociale. Le grandi aziende che lavorano su internet tendono a preferire sempre un mercato libero da vincoli troppo stringenti, ma quando s’incontrano con le Istituzioni devono accettare il confronto con i sistemi legislativi che le caratterizzano. “La legge è sempre garanzia di libertà per i cittadini e per le aziende stesse – ha aggiunto Pizzetti - perché regola il rapporto tra imprese e consumatori, tutelando gli scambi da qualsiasi ingerenza esterna”. A differenza delle telecomunicazioni, il web è ancora uno spazio senza regole. Ecco perché “serve maggiore collaborazione tra le autorità nazionali e le forze di polizia, tra aziende e utenti”. In virtù di tali rapporti e scambi, è il Paese di origine a chiedere all’azienda il permesso di accedere ai dati da parte delle autorità giudiziarie di altre nazioni. Un accordo che però non basta più nell'universo del world wide web. Serve una massa critica maggiore “per richiedere nuove regole nel settore delle comunicazioni elettroniche, finalizzate a favorire indagini e controlli, a tutela delle aziende, degli utenti e dei cittadini, in nome di un sistema di valori condivisi e regole certe e chiare per tutti”.
Gli stessi obiettivi, sulla carta, sono stati indicati dalla Digital Due Process – DDP coalition, coalizione di società che stanno cercando di ottenere dal Congresso americano una modifica riguardante le leggi alla base dell’Electronic Communications Privacy Act (ECPA), con il fine di attuare un modello che tuteli maggiormente la privacy dell’utente finale.
Un percorso difficile, ha ricordato Pizzetti, perché “si fa riferimento al IV emendamento della Costituzione americana, che consente alle autorità di polizia e giustizia di conoscere i dati personali di un utente solo a condizione che la motivazione sia proporzionata alla legge e alla necessità/urgenza delle indagini”. Se non c'è una motivazione valida non si può procedere a perquisizioni, arresti e confische irragionevoli, sia materiali, sia immateriali. “Non si parla più della sola tutela della libertà di informazione – ha sottolineato il presidente di Alleanza per Internet - ma si invoca la libertà di comunicazione assistita dalla liberà di corrispondenza e di domicilio. La libertà della rete si difende con le regole”.

Rapporto sulla Trasparenza, il ruolo di Google.
Google è il più grande motore di ricerca di internet. Miliardi di dati ogni mese passano per le sue piattaforme e ogni ricerca che effettuiamo in rete offre una serie di informazioni sulla nostra vita, i nostri affetti, i nostri divertimenti, i nostri viaggi, le nostre preferenze culinarie, sportive, sessuali, culturali, politiche. In che modo possiamo difenderci da occhi indiscreti? Come navigare la rete in libertà e sicurezza? Per dare risposta a queste e altre domande, Google ha realizzato negli ultimi anni il “Rapporto sulla trasparenzaBrian Fitzpatrick, Responsabile Transparency Engineering Team di Google, ha spiegato in che modo la rete colleziona dati generati dagli utenti e come questi sono conservati e protetti in base alle leggi vigenti, anche considerando la possibilità sempre più frequente che Governi di tutto il mondo inviino continuamente richieste di accesso alle informazioni per ragioni di sicurezza (invocando il pericolo della criminalità organizzata e del terrorismo). “Due volte l'anno diamo seguito alle richieste di accesso alle informazioni provenienti da tutti i Paesi del mondo (nome utente, indirizzo, provider servizi, tipo di navigazione, contenuti scaricati, contenuti mail). La stessa cosa fanno Twitter e Microsoft , ad esempio, proponendo i loro rapporti sulla trasparenza”. “se riceviamo domanda dalle autorità italiane di rimuovere un contenuto che non viola le linee guida o le leggi americane, noi eseguiamo la richiesta solo per il territorio italiano. Stessa cosa sul motore di ricerca Google – ha evidenziato Fitzpatrick - spesso i documenti non compaiono proprio perchè le informazioni sono state rimosse su richiesta delle autorità giudiziarie locali. In Italia le richieste sono sempre legate ad argomenti quali privacy, copyright, diffamazione, sicurezza, contenuti per adulti”.

Si può controllare internet e in che modo?
Le richieste non arrivano solamente da autorità pubbliche e istituzionali, ma ance da privati e aziende. Quotidianamente molte pagine o contenuti sono eliminati su richiesta delle autorità locali, come ad esempio la violazione del diritto d'autore e della legge sul copyright digitale (DMCA). “Uno strumento valido per difendere i proprietari di diritti sulle opere diffuse in rete, ma anche un fenomeno che limita il diritto di espressione e la libertà di informazione degli utenti. Per questo motivo – ha concluso il responsabile Google - bisogna muoversi con molta attenzione. Nell'ultimo mese tali richieste sono salite a oltre 15 mln”. Ci sono certamente gli strumenti extra giuridici, che possono aver un effetto molto ampio e creare danni collaterali rilevanti, con la limitazione dell'accesso a internet. Pensiamo a quanto accaduto in Egitto, Libia, Iran, Siria e Cina, “qui oltre il 90% del traffico passa per una sola centralina telefonica. È semplice controllare la rete. Altre volte il traffico è lasciato libero, ma le autorità locali controllano e spiano i propri cittadini. Questo perché le infrastrutture di rete sono in questi paesi troppo limitate e fragili”.
La cooperazione internazionale, tra paesi e aziende, è fondamentale per il buon funzionamento della rete e per la sicurezza dei cittadini. Come ha spiegato Antonio Apruzzese, direttore della Polizia Postale e delle Comunicazioni, “i diritti degli utenti devono essere tutelati, ma è altrettanto importante garantire alle autorità di polizia e giudiziarie il potere di intervenire in difesa della legge, contro condotte devianti e minacce alla sicurezza nazionale”. Tutti gli interventi in tale campo devono essere valutati in maniera approfondita, perché ogni azione può avere delle conseguenze durature sulla rete e sulla sua libertà degli utenti. “Le Authority servono proprio a tale scopo, a cui si affianca sempre l'azione legislativa – ha specificato Apruzzese - grazie alla definizione di policy efficaci, assieme alle aziende e altri organismi regolatori, per le autorità è più semplice operare e agire per reprimere comportamenti illeciti. Ovviamente il dato deve essere sempre tutelato e registrato, elemento fondamentale quest’ultimo per l'attività d’indagine”.
C’è da ricordare sempre che l'accesso ai dati e la loro conservazione è una forma specifica di potere economico, politico e culturale. L’argomento è spinoso e molto delicato. Tutti i crimini mirano all'accaparramento dei dati, così come tutte le operazioni di spionaggio e dei servizi segreti. Un fenomeno che sta minacciando seriamente il sistema e i suoi data centre, motivo per cui la sicurezza della rete è fondamentale, soprattutto per le risorse finanziarie di nazioni, imprese e cittadini.

Il contrasto al cybercrime da un punto di vista del legislatore, del consumatore e delle aziende.
Spesso il legislatore non conosce internet e il suo funzionamento. In Italia ancora non si è riusciti a dare un corpus normativo efficace contro i crimini informatici e le ultime proposte non hanno fatto altro che evidenziare un certo gap culturale con gli altri Paesi. “La rete non si regolamenta come un qualsiasi territorio, ma sempre tramite un costante confronto sovranazionale e un'azione collettiva per prevenire il crimine informatico e per reprimerlo”, ha detto Giuseppe Corasaniti, Sostituto Procuratore Generale della Procura generale della Repubblica, Corte Suprema di Cassazione. È sempre più in sede internazionale che si determina la legislazione contro il cybercrime, che è ormai globale. L'Italia propone delle leggi molto interessanti e allo stesso tempo avanzate, ma molto meno lo sono gli strumenti che sono individuati di volta in volta. Strumenti che appaiono subito poco efficaci. “Serve maggiore coordinamento tra polizia, istituzioni, aziende, istituti di credito, le banche e tante altre realtà economiche e giuridiche – ha specificato Corasanti, anche ricordando la Convenzione di Budapest del 2001 (Leggi Articolo Key4biz) – perché si tratta di definire quelli che sono considerati da tutti dei crimini e di fissare gli strumenti per contrastarli. Purtroppo, il diritto e il progresso tecnologico difficilmente hanno gli stessi tempi e le stesse velocità”.
Tra i consumatori si registra una forte polarizzazione tra appassionati di tecnologia e diffidenti estremi, poco o per niente integrati. Di fatto manca un'alfabetizzazione informatica di base, ha sottolineato Massimiliano Dona, Segretario Generale dell’Unione Nazionale Consumatori, una vulnerabilità enorme del sistema che i criminali informatici possono sfruttare in ogni momento del giorno. Elementi che tendono ad alimentare sempre una certa disinformazione, a sua volta finalizzata a creare panico ingiustificato. “Il diritto all'informazione è anche il dovere ad informarsi – ha affermato Dona – su come funziona la rete e su cosa possiamo o non possiamo fare. Per sicurezza si deve anche intendere il processo di profilazione a cui sono sottoposti gli utenti e le loro azioni in rete”. D’altronde, tutto ciò che facciamo è registrato e conservato, fonte di guadagno per aziende e di nuovi servizi per i consumatori, ma anche motivo di limitazione della nostra riservatezza. Serve un'azione mitigatrice da parte di tutti i soggetti coinvolti.
La conservazione dei dati è fondamentale per le indagini di polizia, è grazie a tali disposizioni legislative, favorevoli alle operazioni di polizia, che la giustizia può fare il suo corso e assicurare i criminali alla legge”. Questo il pensiero, invece, di Stefano Zireddu, director Global Security di American Express, con un lungo passato nella Polizia delle Comunicazioni, secondo cui un’efficacecyber investigation deve poter contare su dati freschi, libertà di manovra e collaborazioni attive con le autorità di altri paesi, facendoci nuovamente tornare sulla centralità della collaborazione intergovernativa. “Coinvolgendo le autorità nazionali, la polizia, la magistratura, le aziende, le agenzie governative, è possibile contrastare il crimine in maniera seria ed efficace. American Express si è dotata di policy molto chiare in termini di lotta al terrorismo informatico e alla criminalità organizzata. In 5 minuti si possono spostare grandi capitali in più banche senza lasciare traccia e il tempo gioca sempre a svantaggio di chi insegue i criminali. La sicurezza è un problema collettivo, come le sua soluzione”.
La condivisione di regole e strumenti è centrale per la sicurezza della rete anche per Luigi Gambardella, chairman Executive Board di ETNO, che insiste sulla condivisione dei dati e delle soluzioni trovate. “Internet può essere regolamentato solo in termini globali, con norme condivise, perché riguarda tutto il mondo e i suoi miliardi di utenti/consumatori”. Una dimensione mondiale, solo in parte nazionale, che comporta enormi risvolti politici, economici e culturali: il mercato dei dati europeo, nel 2020, varrà l'8% del PIL dell'Unione nel suo insieme. Nella strada verso una nuova regolamentazione europea relativa alla data protection, si deve dare vita ad una struttura di regole capace di agire ed essere invocata in qualunque posto l'utente si trovi. “La riforma in corso sul tema è fondamentale, perché extraterritoriale, applicabile a tutte le aziende che entrano in contatto con utenti di ogni parte d’Europa. La sicurezza delle reti, in ultimo luogo, va definita attraverso un set normativo minimo, garantito a tutti e in maniera armonizzata, estendendolo a player e internet enablers”.
Un workshop intenso e ricco di spunti, grazie anche gli interventi d’importanti rappresentanti delle Istituzioni e dell’Authority sulle comunicazioni, tra cui Vincenzo Vita, senatore del Partito Democratico, Alessandro Luciano, presidente della Fondazione Ugo Bordoni, e Nicola D’Angelo, ex commissario dell’Autorità per le garanzie nelle comunicazioni (Agcom). L’economia digitale e di internet rappresenta per tutti un’opportunità di crescita e di lavoro. Un fattore di sviluppo economico e culturale che deve essere centrale nell’attività di Governo e su cui aziende e Istituzioni devono dialogare per trovare assieme un’unità di intenti. Per arrivare a questo, però, internet deve essere uno spazio sicuro, aperto e regolato, affinché tutti abbiano lo stesso diritto di accesso e gli stessi doveri: cittadini, utenti, aziende, organizzazioni di varia natura, amministrazioni pubbliche. Tutta la nostra vita passerà sul web e necessità di tutele certe ed efficaci. Temi delicati, problematiche che non sono di facile soluzione e che nei prossimi mesi saranno al centro di importanti confronti istituzionali a livello europeo e globale.

giovedì 11 aprile 2013

Lo strano caso dell’indagato. WiFi condiviso, il titolare accusato di pedopornografia


Post image for Lo strano caso dell’indagato.  WiFi condiviso, il titolare accusato di pedopornografiaEra già successo a Buffalo, negli USA e questa volta è toccato a noi. Il consigliere regionale pugliese Aurelio Gianfreda è indagato con l’accusa di pedopornografia. Infatti dal collegamento a Internet WiFi a lui intestato sono stati scaricati alcuni file “civetta” messi in rete dalla polizia postale.  Ma la connessione ai siti incriminati è stata effettuata dal suo studio  professionale, nel quale lavorano diverse persone, anche se l’utenza è intestata a Gianfreda. Ciò significa che a connettersi potrebbe essere stato chiunque fosse presente nei locali, però fintanto che non si sarà “scoperto il colpevole” ne risponde inevitabilmente Gianfreda stesso. Ovviamente in uno studio professionale non si pensa alla rintracciabilità di chi si connette, e certamente la polizia e la procura troveranno presto il vero colpevole, ma se si “allarga” il caso a chi possiede un locale aperto al pubblico e vuole aprire completamente la propria rete Wi-Fi, ecco che allora questo caso può insegnarci qualcosa. Meglio non farlo.

martedì 16 ottobre 2012

Internet: tutta la sicurezza in 10 passi

Zone Alarm stila un elenco delle più semplici precauzioni da seguire per evitare di essere vittima di attacchi quando si naviga in rete, si stringono amicizie o si fanno ricerche su Google. Il decalogo è pensato per i più giovani, ma i suggerimenti forniti hanno una valenza che prescinde dall’età. I giovani tra i 18 e i 25 anni (la cosiddetta generazione Y) sono spesso connessi a Internet per gran parte della giornata. Per loro tweettare, stringere amicizie e fare ricerche su Google sono ormai azioni di routine, ma le affrontano senza utilizzare alcuna protezione quando sono online.  La prova arriva da un recente sondaggio condotto da ZoneAlarm su un campione di 1.245 utenti, la maggior parte dei quali appartenente alla Y Gen. Dal sondaggio emerge che la sicurezza Internet riveste un ruolo di secondo piano. Solo il 31% degli intervistati la considera l’elemento da tenere maggiormente in considerazione quando si prendono decisioni circa il proprio computer. La generazione Y attribuisce una priorità maggiore all’intrattenimento e alle comunità piuttosto che alla sicurezza, nonostante la metà degli intervistati (50%) abbia dichiarato di aver riscontrato problemi di sicurezza informatica negli ultimi due anni. La ricerca mostra come questi giovani utenti stiano mettendo a repentaglio la propria sicurezza - e quella di tutti coloro con cui comunicano- restando vulnerabili agli attacchi online. Quindi, se si considera la crescita della criminalità informatica nell’ambito dell’attuale società, risulta opportuno essere all’avanguardia in termini di sicurezza. In tal senso Zone Alarm propone 10 consigli per proteggersi da eventuali attacchi e tenersi fuori dai guai:
  1. Tornate ai principi base. Effettuare regolarmente l’aggiornamento del sistema operativo del computer è uno dei più semplici ma efficaci metodi per proteggere il proprio computer. Le versioni più recenti del software contribuiscono a rendere il sistema più fluido e impediscono che diventi vulnerabile a causa dei “buchi” presenti nel vecchio sistema. Assicuratevi che il vostro sistema operativo sia configurato per ricevere gli aggiornamenti automatici delle ultime patch di sicurezza e accertatevi di aver applicato le impostazioni più recenti riavviando il computer dopo l’aggiornamento.
  2. Non esagerate con i clic. Oltre 9.500 siti Web dannosi vengono rilevati da Google quotidianamente. Questo dato comprende sia siti legittimi dirottati che siti costruiti “ad hoc” per diffondere malware. Per essere più al sicuro, siate quindi cauti nel cliccare i vari link. E ricordatevi di passare con il mouse sopra il link stesso in modo da visualizzare l’indirizzo completo prima di fare clic. E’ anche importante prendere in considerazione i messaggi di avviso da parte di Google e mantenere sempre aggiornati e attivi firewall e antivirus.
  3. Prestate attenzione ai più recenti cambiamenti social. Un esempio: Facebook ha recentemente modificato gli indirizzi di posta elettronica predefiniti trasformandoli tutti in @facebook.com. Ciò significa che un intero nuovo gruppo di operatori di marketing e spammer sarà in grado di contattare l’utente molto più facilmente di prima, che piaccia o no. E’ possibile comunque regolare le impostazioni di protezione della privacy e fare attenzione a spam e phishing ora che il sistema di messaggistica di Facebook è open.
  4. Password, password, password. Creare sempre password complesse per tutti gli account online includendo lettere, numeri e simboli. Le password più lunghe sono più sicure e più difficili da individuare. Scegliete password differenti e uniche per i siti importanti, come per esempio l’indirizzo email principale e il conto corrente. Possibilmente evitate di utilizzare la stessa password per più siti. Infatti, se una password viene trafugata da un sito, potrebbe consentire agli hacker di accedere agli altri account con le stesse credenziali.
  5. Se giocate online, mantenete attivo il software di protezione . Se giocate spesso online, non disattivate il software di sicurezza, nemmeno per giochi emozionanti come Diablo III. E’ vero, sperimentare una connessione ad alta velocità con interruzioni minime è importante, ma non a scapito della sicurezza. Cercate piuttosto una "modalità gioco" nel software di protezione. Questa impostazione farà si che non avvenga nessuna interruzione nel bel mezzo del gioco e - al tempo stesso - garantirà protezione.
  6. Proteggetevi da P2P e software pirata. La soluzione migliore è semplicemente quella di non utilizzare siti P2P per scaricare software pirata e di scaricare i file direttamente dallo sviluppatore originale. Tuttavia, se si sceglie di correre questo rischio sarebbe bene quantomeno adottare alcune precauzioni come leggere i commenti degli utenti prima di scaricare i file. Occorre inoltre tenere presente che molti dei siti P2P più popolari di oggi offrono un sistema di rating abbastanza preciso, in grado di offrire un’idea di come questi file scaricabili si siano comportati con gli altri utenti.
  7. Attenzione agli attacchi di social engineering. I criminali informatici ogni giorno “setacciano” letteralmente i vari siti di social media per cercare di carpire tutti i dati possibili su un determinato utente. Le informazioni raccolte verranno utilizzate per l’invio di e-mail mirate, facendole apparire come provenienti dal capo, dall’amico o da un membro della famiglia. Per esempio, pubblicare informazioni su Facebook circa il luogo di vacanza preferito e conseguentemente ricevere una mail da un collega di lavoro sulle migliori mete estive, con tanto di richiesta di collegarsi a un recente articolo, può essere rischioso. Occorre stare sempre in guardia e attenti a quello che si dice online: rivelare troppe informazioni - il proprio secondo nome, nomi di animali domestici e così via - potrebbe essere già sufficiente per farsi hackerare da un criminale informatico.
  8. Scegliete con attenzione i vostri “amici”. Non c’è niente di più rischioso che effettuare connessioni online via Facebook e altri social network. Tuttavia, è sicuramente più avventato non dedicare un po’ di tempo per selezionare meglio chi si accetta nella propria cerchia di amici. Se si riceve una richiesta di amicizia da qualcuno con cui non si parla da anni o che non si conosce, un social bot potrebbe utilizzare questa opportunità per entrare nella vostra rete e in seguito sfruttare la fiducia che avete costruito su Facebook e Twitter per inviare e-mail o notifiche ai vostri network utilizzando i vostri dati accesso, informazioni e profilo per richiedere ad esempio prodotti e diffondere malware ai computer altrui.
  9. Fate attenzione quando scaricate file video. I video online hanno riscosso un successo straordinario, soprattutto presso la generazione Y, che spesso trascorre più tempo a guardare video che qualsiasi altra cosa. Scaricare video è un’attività che potrebbe essere fonte di virus. Se non si possiede un lettore video più che aggiornato, è bene scaricare i file direttamente da una fonte affidabile. Non installate mai software da siti di condivisione quando desiderate visualizzare un video e ricordare che il download di per sé non dovrebbe richiedere l’esecuzione di file eseguibili (.exe).
  10. Siate cauti quando utilizzate hotspot Wi-Fi - La maggior parte delle persone si entusiasma quando han la possibilità di connettersi tramite un hotspot Wi-Fi. Ma prima di collegarsi, sarebbe bene verificare che il nome del network Wi-Fi (SSID) provenga da un servizio legittimo. E’ bene non connettersi a reti Wi-Fi casuali e non garantite che incrementano i rischi legati alla sicurezza ed è meglio utilizzare una rete privata virtuale. Una VPN infatti vi permette di instradare tutte le attività attraverso una rete separata e sicura anche se siete su una pubblica. Sono disponibili diversi servizi o in alternativa è possibile utilizzare anche con un’app come hotspot shield, che genera una VPN automaticamente.
Restare “vigili” è un buon inizio. Ma non basta. I criminali informatici stanno diventando sempre più furbi di giorno in giorno e gli attacchi online non hanno mai fine. Qualunque cosa si faccia, è importante prendere precauzioni di base, magari seguendo proprio i precedenti suggerimenti, e fare in modo di poter disporre almeno di un software antivirus e un firewall sul proprio computer. Indipendentemente dalla vostra età, non fatevi cullare da false illusioni di sicurezza, non solo eviterete di diventare un altro dato statistico, ma potrete offrire il vostro contributo per mantenere in sicurezza per la vostra comunità online.

*Skyler King, product leader di ZoneAlarm, Check Point Software Technologies consumer business, nonché ideatore di ZoneAlarm Free Antivirus + Firewall