3 modi in cui i Social Media possono mettere a rischio le aziende

Mentre i rischi di base dei social media sono ben noti alla maggior parte dei responsabili della sicurezza delle aziende, ci sono molte zone d’ombra dei social media che possono essere altrettanto se non ancora più pericolose. Qui sono riportate tre modalità con cui i social media possono introdurre malware ed exploit attraverso i vostri firewall aziendali, modalità a cui si può prestare attenzione e di cui, auspicabilmente, si può prevenire l’uso improprio. Il problema maggiore è che molti dirigenti d’azienda non sanno cosa stia succedendo davvero nelle loro reti, e non hanno alcuna visibilità sui pattern di traffico e sui potenziali attacchi.

IL PROTOCOLLO HTTPS NON È PER FORZA SICURO COME CREDETE SSL/TLS è di gran lunga il protocollo di encryption più comunemente utilizzato in applicazioni Web di nuova generazione- dai siti di social media (come Twitter o Facebook), alle webmail (come Gmail) o ai servizi di sincronizzazione cloud (come Dropbox). Nella maggior parte dei casi questo protocollo fornisce un buon livello di protezione della privacy degli utenti. Tuttavia, se vi trovate già in una rete aziendale o siete collegati tramite una VPN, queste connessioni crittografate possono anche esporvi (insieme alla vostra azienda) ad un rischio più grande.  La ragione principale di ciò è che il tunnel criptato tra voi e il server nasconde il traffico di rete, ma non vi protegge dalle minacce presenti sul sito al quale siete già collegati. In questo modo, anche se non sono in grado di visualizzare il traffico web che state inviando ai server di social network, gli hacker possono ancora attaccarvi con clickjacking e altri exploit comunemente impiegati in attacchi di social network sul sito stesso. Per l’IT, il punto è che se non si riesce a vedere il traffico criptato, non si possono proteggere completamente gli utenti online. Fortunatamente le aziende di sicurezza di rete conoscono il problema e prevedo che in futuro ci saranno due tipi di società di sicurezza: quelle che possono decodificare il traffico SSL e quelle che stanno implementando questa caratteristica fondamentale.


I DISPOSITIVI MOBILI POSSONO ESSERE L’ANELLO PIÙ DEBOLE
Qualche anno fa, persino una parte di malware mobile in the wild riferito come diceria poteva conquistare le prime pagine in tutto il mondo. Ma il 2011 è stato l’anno in cui malware mobile è passato dal ruolo di “prototipo sperimentale” a quello di “minaccia reale” - e il 2012 sarà probabilmente anche peggiore, con malvertising e botnet su dispositivi mobili destinati ad aumentare. Ma la più grande minaccia potrebbe arrivare dalle stesse applicazioni mobile, poche delle quali proteggono adeguatamente le credenziali di accesso. Dal punto di vista della sicurezza, un’applicazione mobile compromessa non è “meno grave” di un client desktop o di una rete compromessi. Se username e password di un’applicazione Web sono compromessi sul vostro dispositivo mobile, gli aggressori possono utilizzare i vostri account per fini illeciti. Questo comprende gli account che utilizzate sul posto di lavoro. Inoltre, ricordate che se il vostro dispositivo mobile è connesso in Wi-Fi alla rete, tutte le applicazioni su quel dispositivo gireranno anche sulla rete
aziendale. Anche senza una policy bring-your-own-device (BYOD) ufficiale, chiunque in azienda in possesso
di una copia della password per la connessione Wi-Fi è potenzialmente in grado di collegare il proprio dispositivo personale sulla rete.

ESTENSIONI BROWSER E APPLICAZIONI DI TERZE PARTI SOSPETTE
Quello che è stato detto circa le applicazioni mobile vale doppiamente per applicazioni di terze parti, browser plug-ins e script per siti come Facebook, Google+ ed altre piattaforme che si integrano con applicazioni Web affidabili. Tutto ciò che abbiamo precedentemente descritto su come proteggersi da minacce di applicazioni Web - ottenere maggiore visibilità nel vostro traffico di rete, assicurarsi che la propria security sia in grado di identificare attività sospette, anche quando sono criptate e stabilire per gli utenti finali
la prassi migliore da seguire - si deve applicare anche alle estensioni browser e alle applicazioni di terze parti.

LA MIGLIOR DIFESA?
Come abbiamo visto, ci sono varie minacce differenti tra loro che mettono a rischio sia l’azienda sia i singoli dipendenti. Anche se non esiste una soluzione unica e definitiva in grado di eliminare tutte le minacce per l’azienda, educare gli utenti e mettere in atto le migliori procedure possibili può fortemente ridurle. E’ anche importante notare che autorizzare queste applicazioni social web sulla rete è tuttora un vantaggio per l’impresa nel suo complesso, offrendo benefici derivati da un aumento della produttività e da una maggiore collaborazione, oltre ad aumentare il morale complessivo dei dipendenti. L’IT deve interagirecon i dipendenti che si trovano sul social web in modo che essi possano tenersi al passo con le esigenze di cambiamento e di sicurezza.

Fonte: Rivista Cyber Crime (Tecna Editrice) - Autore:  Nir Zuk (Palo Alto)

VACANZE: I CONSIGLI PER EVITARE LE TRUFFE ON LINE

Sono sempre di piu' gli italiani che prenotano le loro vacanze online. Ma per chi, armato di mouse, si avventura a caccia dell'offerta buona, magari last minute, il rischio di ritrovarsi "bidonati" e' sempre piu' alto. A lanciare l'allarme e' la Polizia postale e delle comunicazioni che, in collaborazione con PayPal (societa' del gruppo eBay), ha realizzato una guida ricca di consigli pratici e suggerimenti per acquistare in rete in tutta sicurezza. "Nei primi 5 mesi di quest'anno, rispetto allo stesso periodo dell'anno scorso - spiega Marco Valerio Cervellini, responsabile dei progetti educativi della Polizia postale - le denunce di truffe nel settore dell'e-commerce sono quasi raddoppiate, passando da 5mila ad oltre 9mila". E l'avvicinarsi della stagione estiva offre ai professionisti della truffa una irresistibile occasione: "molti - spiega Cervellini - pianificano le ferie in extremis, spesso nel tentativo di far quadrare la voglia di un periodo di relax per tutta la famiglia con un 'budget' reso sempre piu' magro dalla crisi. Il rischio, concreto, per chi si lascia sedurre dall'offerta a prezzi stracciati e ignora le piu' elementari norme di sicurezza e' pero' quello di ritrovarsi con il portafogli ancora piu' leggero e... senza vacanza". Quello messo a punto dagli esperti della polizia e di PayPal e' un vero e proprio "decalogo". Un mix di conoscenze tecniche, esperienza pratica e buonsenso:
- "informarsi sul venditore prima di comprare online": cercare il nome della societa' sui motori di ricerca, nei siti, nei social network o chiedere ad amici e conoscenti che hanno gia' fatto acquisti su quel sito. Preziosi i commenti e le valutazioni (feedback) lasciati da precedenti acquirenti.
- "leggete bene le condizioni di vendita e le caratteristiche del prodotto": le condizioni di vendita variano da Paese a Paese e vanno verificati con attenzione diritto di recesso, modalita' e tempi di restituzione o ritiro della merce. Non fidarsi di prezzi eccessivamente bassi rispetto alla media del mercato, possibile spia di raggiro;
- "acquistate su siti protetti": oggi molti siti adottano il sistema Ssl (Secure socket layer) per criptare le informazioni finanziarie e rendere piu' affidabili le procedure di pagamento. I siti sicuri si riconoscono dalla "s" che appare dopo "http" nell'indirizzo e dall'icona del lucchetto chiuso, in basso a destra o sulla barra di navigazione;
- "fate attenzione ai dati che vi vengono chiesti: mai condividere pin e password"; - "assicurate i vostri acquisti": scegliere sempre una spedizione tracciabile e garantita, il costo e' di poco superiore;
- "non fatevi pescare dalle email di phishing": si tratta di email false che, pur avendo la grafica e i loghi ufficiali di aziende, banche o altre istituzioni, provengono in realta' da utenti che mirano a carpire informazioni personali quali password e numeri di carte di credito;
- "utilizzate software e browser aggiornati";
- "fate sempre il log out", abitudine fondamentale specie se il pc e' usato da altri o e' pubblico; - "controllate regolarmente lo storico dei movimenti per rilevare eventuali attivita' sospette";
- "scegliete password sicure": meglio quelle univoche e difficili da individuare, con combinazioni di lettere maiuscole e minuscole, numeri e simboli.

Fonte: AGI News

Supporto HTTPS per tutte le applicazioni Facebook entro ottobre

Facebook ha chiesto a tutti gli sviluppatori sulla sua piattaforma di ottenere i certificati SSL e rendere le loro applicazioni compatibili con HTTPS e OAuth 2.0 entro il 1° ottobre. La società ha presentato i propri piani in un post sul suo blog degli sviluppatori, dicendo che è nel migliore interesse di tutti attuare le due tecnologie al più presto possibile. Facebook ha attivato la connessione HTTPS per full-session da molto tempo, ma l’unico elemento che ha permesso l’utilizzo da un numero considerevole di persone è stato solo quando il sito ha aggiunto la possibilità per gli utenti di effettuare l’impostazione in modo persistente. Tuttavia, anche con questa opzione, l’appello per l’HTTPS è rimasto piuttosto basso, perché la maggior parte delle applicazioni di terze parti, e anche Facebook Chat, non lo supportano. Ogni volta che qualcuno ha tentato di utilizzare un’applicazione è stato richiesto loro di tornare alla connessione non protetta HTTP. L’implementazione di Facebook HTTPS non riesce ancora a soddisfare le esigenze di usabilità e di sicurezza e rimarrà così fino a quando le applicazioni saranno disponibili tramite connessioni non crittografate. ”[...] Stiamo lavorando con Symantec per problemi di identità nel nostro flusso di autenticazione per garantire che essi siano più sicuri. Questo ci ha portato a concludere che la migrazione a OAuth e HTTPS è ora nel migliore interesse dei nostri utenti e sviluppatori”, ha scritto di Facebook Naitik Shah sul blog degli sviluppatori. Facebook ha deciso di accelerare il processo di aggiornamento per la sua Developer roadmap e la collaborazione con Symantec, soprattutto in conseguenza del grave bug che ha colpito la piattaforma e segnalato dalla società di sicurezza. Secondo il timeline inviato dalla società, tutti gli sviluppatori dovranno migrare le loro applicazioni a OAuth 2.0 e l’accesso protetto da token il 1° settembre. Essi dovranno avviare anche la trasformazione del processo signed_request (fb_sig verrà rimoso) entro il 1° ottobre. Questo significa che agli sviluppatori sarà necessario ottenere un certificato SSL e compilare i campi “URL Secure Canvas” e “Secure Tab URL” della App Developer con le informazioni corrispondenti. Se attualmente si utilizza il vecchio flusso di autenticazione Facebook Connect (login.php), sarà necessario migrare a OAuth 2.0. Se si fà riferimento direttamente all’SDK JavaScript, questo cambiamento avverrà automaticamente. Facebook Platform supporta due differenti flussi di OAuth 2,0 per il login utente: lato server (noto come il codice di autenticazione di flusso nello specifico) e lato client (noto come il flusso implicito). Bisognerà attuare questi flussi leggendo le note aggiornate Authentication Guide di Facebook Developers. Facebook è consapevole che queste migrazioni sono significative e richiedono una buona quantità di lavoro. Ma avere un unico standard per l’autenticazione e applicazioni servite tramite HTTPS consente a Facebook di fornire una più semplice, più sicura e affidabile piattaforma.

Fonte: Protezione Account

Facebook, i tre passi della sicurezza

Lettera aperta da parte degli esperti di Sophos agli alti vertici del sito in blu. Che dovrebbero impegnarsi di più per la sicurezza di milioni di utenti. Estendendo le connessioni sicure in HTTPS e rivedendo le applicazioni in entrata

Una sintetica lettera aperta, indirizzata ai vertici di Facebook da parte degli esperti di Sophos, nota società specializzata in sicurezza informatica. Una missiva partita da una semplice domanda, posta ai responsabili di Sophos da numerosi utenti social: perché Facebook non si impegna di più per la protezione dei suoi milioni di iscritti? Sul blog Naked Security sono così stati tracciati tre semplici percorsi, che Facebook dovrebbe intraprendere al più presto per garantire una maggiore sicurezza tra le sue bacheche in blu. Per meglio tutelare più di 500 milioni di utenti dalle minacce rappresentate da attività fraudolente come il phishing e lo scam. Il primo percorso indicato da Sophos dovrebbe procedere verso un'impostazione di default della massima protezione in termini di privacy, cioè richiedendo l'esplicito consenso degli utenti ad ogni singola modifica delle opzioni di condivisione o del livello di accesso alle informazioni personali. Sul secondo percorso dovrebbe invece essere approvato un meccanismo globale che autorizzi le singole applicazioni ad entrare tra i meandri del sito in blu. Secondo Sophos sarebbero troppe le applicazioni attualmente presenti su Facebook, soprattutto se prive di una sorta di controllo ai confini. Molte di queste verrebbero infatti sviluppate per fini fraudolenti.Gli esperti di Sophos hanno infine sottolineato come le connessioni sicure in HTTPS rappresentino un giusto passo per la sicurezza degli utenti social. Facebook dovrebbe però impostarle in qualsiasi caso di default, non lasciando ai suoi iscritti il compito di attivarle e per giunta solo in alcuni casi.

Fonte: Punto Informatico - Autore: Mauro Vecchio

Phishing, sbancati i database Epsilon: rubati i dati American Express, Visa, BestBuy e di molti altri

“Hanno rubato solo nomi e indirizzi email”: è questa la “difesa d’ufficio” che la Epsilon, importante azienda statunitense per la salvaguardia dei dati online, ha diffuso dopo il recente furto di dati sensibili dai suoi database. come se i clienti potessero per questo rasserenarsi!

Anche se il furto a riguardato solo il 2% dell’immenso patrimonio informativo, a scorgere l’elenco di alcune delle aziende clienti derubate si resta letteralmente basiti, quasi che i cracker sapessero bene quali dati prendere e quali lasciare: American Express, BestBuy, Borders, Capital One, Citibank, Disney, The Home Shopping Network, JP Morgan Chase, Marriott Rewards, Hilton Worldwide, Ritz Carlton, TiVo, US Bank, Verizon e Visa. Come ha fatto notare Rik Ferguson, Director Security Research & Communication EMEA, le stesse rassicurazioni di Epsilon sono altamente ingenue:

I criminali non solo conoscono il nome e la email degli utenti, ma sanno anche dove fanno acquisti, dove hanno il conto bancario, quali hotel prenotano e molto altro ancora. Se gli utenti sono stati così sfortunati da ricevere più messaggi di avviso, si può immaginare il tipo di profilo che gli hacker in questo momento hanno a disposizione su di loro

Infatti, gli “attaccanti” potranno d’ora in poi tempestare di email trabocchetto gli utenti, sapendo benissimo chi essi siano (e come ingannarli). Qui sotto potete leggere un elenco stilato dalla Trend Micro per difendersi da questa situazione. Inutile dire che il rischio di errore è davvero molto alto:

- Prestare la massima attenzione ai messaggi che si riceveranno nei prossimi mesi, se non addirittura anni.

- Non fornire mai informazioni personali a un sito Web senza aver usato un bookmark per arrivarci o senza aver digitato direttamente il link (ad esempio non seguite i link indicati nelle email).

- Prima di fornire dati personali, assicurarsi che la connessione sia cifrata con SSL. Ciò si capisce se l’indirizzo inizia con “https://”. Se non è crittografato, non fornire informazioni.

- Leggere attentamente la documentazione relativa alla privacy prima di comunicare un qualsiasi dato personale. Se ci sono elementi che non convincono, sospendere l’operazione.

- Per tutelarsi da simili inconvenienti optare per indirizzi diversi per ciascun servizio.

- Per tutte le società che si occupano di gestire, archiviare o trasmettere i dati personali dei loro utenti …ricorrere alla CRITTOGRAFIA. Le aziende hanno il dovere di tutelare i dati dei propri clienti!

Fonte: Oneitsecurity - Autore: Guido Grassadonio

Un software di protezione e tutela privacy (gratuito)

Hotspot Shield è un software che permette di inviare e ricevere dati in tutta sicurezza grazie alla codifica delle informazioni utilizzando il protocollo HTTPS. Grazie a questo programma è possibile effettuare acquisti online, accedere ad account bancari o ai servizi della carta di credito senza la paura che qualcuno possa rubare i dati. L'applicazione è anche in grado di nascondere l'indirizzo IP di connessione in modo che nessuno possa risalire a noi o memorizzare dati che ci riguardano. Hotspot Shield è in grado di baipassare i firewall e garantire l'accesso ai siti con restrizioni. Grazie a questo software è possibile connettersi in maniera sicura ad Wi-Fi hotspot pubblici o alle connessioni che si trovano in Hotel, aereoporti ed uffici in tutta sicurezza. L'applicazione è semplice da utilizzare e si presenta con un'interfaccia utente estremamente intuitiva. Tra le principali caratteristiche dell'applicazione:

• connessione sicura attraverso protocollo HTTPS;
• nessuna visualizzazione dell'indirizzo IP di connessione;
• semplice e veloce da utilizzare

Fonte: Html.it

Connessioni crittografate HTTPS per Hotmail

Buone notizie per i milioni di utenti che usano quotidianamente Hotmail, il servizio di posta elettronica di Microsoft, che da oggi potranno connettersi in maniera predefinita alla propria casella tramite una connessione crittografata su protocollo HTTPS. La crittografia dei dati avviene tramite protocollo di crittografia Secure Sockets Layer (SSL) e consente di aumentare notevolmente il livello di sicurezza della propria posta elettronica, mettendo gli utenti a riparo da furti di dati o da accessi non autorizzati ai messaggi, aspetto particolarmente utile, questo, per chi utilizza Hotmail per lavoro o comunque per la gestione di email importanti. Oltre ad Hotmail, a beneficiare della connessione protetta saranno anche altri servizi online di Microsoft, con la comodità di abilitare tutto tramite un’unica impostazione. Per chi desidera connettersi in modalità protetta sarà infatti sufficiente andare alla pagina di gestione del proprio account e apporre il segno di spunta all’opzione “Utilizza HTTPS automaticamente” e cliccando su “Salva”, esattamente come si può vedere nell’immagine in alto. Tuttavia, come ricordato nella schermata di abilitazione, attivando di default la connessione crittografata non sarà più possibile accedere a Hotmail tramite il client Windows Live Mail, Outlook Connector Hotmail e Windows Live per Windows Mobile e Symbian. Per quanti non vorranno rinunciare a queste funzionalità sarà possibile connettersi in maniera protetta di volta in volta ad ogni accesso anteponendo il prefisso “https” in luogo del classico “http” in fase di digitazione dell’indirizzo.

Fonte: Oneitsecurity.it - Autore: Giuseppe Cutrone

iPhone e attacchi SSL: occhio alla configurazione

Il recente rilascio della versione 3.1.3 di iPhone OS non ha portato con sé alcuna patch riguardante una errata gestione dei certificati SSL.
Il bug è stato individuato a fine gennaio e le informazioni a riguardo pubblicate sul blog Cryptopath. Nell’articolo viene mostrato sia possibile firmare un file di configurazione XML utilizzando un “certificato SSL fasullo”, registrato ad una società Apple Computer fittizia. L’iPhone è infatti in grado di accettare file di configurazione (”mobileconfig”) per alcune impostazioni o anche file di installazione con nuovi certificati. L’importante è che siano firmati da una CA (Certification Authority) valida, non importa quale. Lo scopo principale di questa funzionalità è un suo uso in ambito enterprise per distribuire in maniera veloce e semplice, grazie al meccanismo “Over the Air” (OTA), le impostazioni ad un numero elevato di dispositivi.
Tuttavia il fatto che l’attacco abbia successo richiede una buona dose di social engineering affinché gli utenti vittima accettino i file mobileconfig OTA. In ogni caso, qualora ciò avvenga, un malintenzionato mediante apposito file di configurazione, potrebbe essere in grado di monitorare qualsiasi tipo di traffico HTTP e addirittura SSL/HTTPS. Installando un maniera silente il proprio certificato tra la lista di quelli “consentiti” e impostando un proxy HTTP per la navigazione, il gioco è fatto: il traffico può quindi essere re-direzionato verso un server esterno e monitorato. Tuttavia la complessità dell’attacco è piuttosto elevata: lo stesso Charlie Miller di Independent Security Evaluators, ha confermato a The Register, che per quanto perfettamente possibile come scenario è difficilmente attuabile, e quindi piuttosto improbabile.

Fonte: Oneitsecurity - Autore: Massimo Rabbi

Accesso crittografato con HTTPS predefinito per Gmail

Finalmente Google decide di accontentare gli utenti più attenti alla sicurezza, cioè coloro che da tempo chiedevano di rendere predefinita l’impostazione che consente di connettersi alla propria casella di posta usando una connessione protetta HTTPS. In questo modo il vantaggio sarebbe quello di proteggere lo scambio di email e altri dati da eventuali “occhi indiscreti”, alzando il livello di protezione offerto dal servizio in maniera considerevole. Il team di Gmail giustifica questo ritardo nell’adozione predefinita della connessione protetta con la ragione che simili connessioni potrebbero rallentare l’accesso al sito, anche se alla fine, dopo attente valutazioni, si è deciso ugualmente per una simile scelta, ritenendo evidentemente preferibile una leggera latenza rispetto ai vantaggi ottenuti sul piano della sicurezza. Per quanto riguarda gli utenti che non usavano il protocollo HTTPS, saranno automaticamente convertiti a questa impostazione, anche se Google lascerà loro la possibilità di selezionare la voce che consente di accedere a Gmail secondo il meno sicuro protocollo HTTP, esattamente come fatto finora. Non cambierà assolutamente nulla per coloro che avevano invece già scelto la connessione crittografata per accedere al servizio, com’è ovvio che sia. Unico avvertimento che il team ha rilasciato è quello relativo all’utilizzo offline di Gmail da parte degli utenti che hanno finora tenuto settato il protocollo HTTP per l’accesso, per costoro Google avverte della possibilità di eventuali problemi al momento del passaggio online con il “nuovo” protocollo.

Fonte: Oneitsecurity - Autore: Giuseppe Cultrone