sicurezza

  • Blackberry.... o black death

    Il Blackberry  è certamente il gioiello tecnologico del 2009.Non c'è dirigente che non lo abbia e sopratutto non c'è azienda che non lo conceda ai propri direttori.

    Con blackberry vai su internet, scarichi la posta, ti guardi l'ultimo report excell sulle vendite o ti leggi il report word delle linee di produzione, tieni aggiornato facebook e navighi tranquillamente su tutta internet... da uno strumento che è molto simile ad un cellulare ma che è qualcosa di più complesso.

    Se il trend dei furti aziendali fino a qualche anno fa' indicava i portatili come un obiettivo strategico, oggi sicuramente diventa più appetibile un blackberry.

    La somiglianza troppo stretta ad un celluare crea un falso senso di sicurezza; ognuno lo ha sempre con se, non lo abbandona mai da qualche parte e comunque c'è sempre un pin per accedere.... Putroppo questo falso senso di sicurezza fa si che all'interno di questi gioielli ci siano tanti dati importanti.

    Rubare un blackberry è molto più facile di rubare un portatile, è come rubare un portafoglio e ci sono generazioni di ladri specializzati....

    credo che questo sarà uno delle evoluzioni del furto di dati che ci aspetta per questo 2010.

  • La Bufala del Microchip sicuro.

    Tutte le banche ci hanno più o meno gentilmente sostituito il bancomat vecchio e malandato che aveva solo la banda magnetica con quello nuovo e raggiante con il microchip.

    Il motivo addotto dalle banche è che la carta col microchip è più sicura del vecchio bancomat con la banda magnetica

    Questa rappresenta l'ennesima bufala raccontata dalle banche i propri clienti e spiego il perchè.

    1. L'utilizzo della banda magnetica del vostro bancomat o del chip dipende essenzialmente dal software dell'ATM o del POS che può preferire il microchip ma accettare anche la banda magnetica. A chi non è successo di veder strisciare sul pos il nuovo bancomat come con il vecchio?
    2. I bancomat o le carte di credito con microchip hanno ancora la banda magnetica, banda che che la banca continua ad utilizzare inserendovi il il PAN della carta e altri dati come era  sul vostro vecchio bancomat.

    Queste scelte garantiscono alla bancai che, anche nel caso in cui il microchip non fosse utilizzabile, (problemii dei lettori pos, microchip schiacciato etc.. ) l'utente possa utilizzare comunque lo strumento di pagamento che ha in mano; e lo può fare dal momento che sulla banda magnetica ci sono tutti i dati necessari per poter effettuare una transazione

    Sarà possibile clonare un bancomat di nuova generazione  almeno fino a quando:
    - le banche non smetteranno di utilizzare la banda magnetica
    - i software di pos e atm non accetteranno transazioni con banda magnetica

  • linkedin e il captcha che non funziona

    Qualche mese fa linkedin con grande stupore dei più e anche un pizzico di fastido introdusse i controlli captcha dopo l'autenticazione degli utenti. La misura, credo presa per contrastare i bots che spazzolano i social network, non è però così affidabile. Un captcha, anche se breve, se sbagliato non dovrebbe darvi accesso a nessuna sezione;  a maggior ragione i captcha di linkedin, fra i più lunghi che io abbia trovato,  che sono costituiti da due parole.

    Se provate a sbagliare l'inserimento del testo del captcha.... sorpresa: vi fa accedere!!!

    Quindi dovremmo inserire il captcha "lined rerall" ma se inseriamo qualcosa di diverso:

    otteniamo comunque l'accesso

    E meno male che linkedin nella pagina del captcha riporta:  "Questi controlli di sicurezza aiutano a prevenire accessi non autorizzati al tuo account".

    Se queste sono le misure di sicurezza messe in atto da linkedin è meglio non domandarsi dove vanno i nostri dati.

  • OTP: ma sono così sicuri?

    Gli OTP ovvero i token one time password  hanno sostituito da qualche anno la classica username e password nell'accesso all'home banking. Questi strumentio sono sempre stati definiti estremamente sicuri, o ancora peggio strumenti di strong authentication.  Purtroppo non sono così sicuri e il processo di autenticazione non è così strong come dicono. Infatti quado tutti i dati di una chiave forte di autenticazione vengon passati attraverso lo stesso canale, il web, è facile studiare soluzioni per catturare quell'informazione e usarla al posto del reale proprietario. E' quello che è stato fatto da malware come Zeus e le sue varianti.

    circa un mese fa c'è stato poi un attacco a RSA che "sembra" abbia permesso ad ignoti di entrare in possesso degli algoritmi utilizzati per i token SecureID (http://blog.ironkey.com/?p=1165, http://blogs.gartner.com/avivah-litan/2011/03/19/rsa-securid-incident-should-serve-as-a-wake-up-call-on-strong-otp-user-authentication/). Naturalmente RSA ha tenuto il massimo riserbo sull'accaduto.  A distanza di un mese non sono stato chiarito cosa realmente è stato rubato e le le circaostanze che hanno portato a questa compromissione. Tutto questo con buona pace dei mezzi di informazione  delle centinai di banche che si affindano a questi token. Nel frattempo decine di milioni di utenti ingari dell'accaduto continuano ad usare i propri token SecureID, certi di avere lo strumento più sicuro. E' questione di aspettare dai 3 ai 6 mesi per vedere i primi veri attacchi basati sui dati rubati.

     

     

Questo sito utilizza i cookie per offrire una migliore esperienza di navigazione. Cliccando OK puoi continuare la navigazione e questo messaggio non ti verrà più mostrato. Se invece vuoi disabilitare i cookie puoi farlo dal tuo browser. Per maggiori informazioni puoi accedere alla nostra cookie policy.