fbpx

Vulnerability Assessment

  • Coffee cApp, Insecurity by default & by design?

    coffeecapp
    Coffee cApp, un'App............

    ...insecurity by default & by design

     

     

     

    Prendere il caffè con una App è chiaramente molto comodo: non hai bisogno di spiccioli, non hai il problema di perdere la chiavetta e se finisce il credito ricarichi rapidamente magari con Paypall Nell'usare una di queste App, Coffe cApp, salta subito agli occhi che, come qualche anno fa, bisogna registrarsi e non è possibile utilizzare la propria utenza Google o Facebook.
    Usare le api di autenticazione di Google, Facebook etc... può non piacere ad alcuni programmatori e agli integralisti della privacy ma certamente ci aspettiamo che queste API siano abbastanza sicure.
    Implementare un procedimento di registrazione non è complesso ma si rischia di scivolare su delle bucce di banana. Proprio riguardo a quest'App abbiamo trovato un articolo molto interessante.
    https://medium.com/@fs0c131y/nothing-is-safe-in-a-hacker-conference-not-even-the-coffee-machine-8501bf14f41a. Dall'articolo risulta chiaramente che username e password passano in chiaro, no hash di nessun tipo, che è possibile fare brute force e gussing sul PIN, insomma quanto di peggio si possa immaginare dal punto di vista della sicurezza. L'autore non lo ha scritto ma personalmente sono convinto che sia abbastanza agevole dire alla macchinetta del caffè che mi merito un caffè grautito....occhio la stessa App viene usata anche per i distributori di merendine, certamente più costose del caffè:-)

    il rischio non è solo per l'esercente che potrebbe vedere vuoti i distributori senza incassare un euro, e già questo sarebbe grave, ma c'è un rischio alto anche per l'utenza di questi distributori automatici, senza adeguati meccanismi di protezione e salvaguardia delle credenziali ignoti potrebbero consumare caffè e bibite a nostre spese... e questo per la reputation di quest'azienda sarebbe ben peggiore del primo rischio.

    A oltre un anno dall'entrata in vigore del GDPR siamo all'assurdo di dover constatare l'applicazione del principio Insecurity By Default & by Design, c'è ancora molta strada da fare, nel 2019 non si può vedere passare le password in chiaro, mancano le basi e la sensibilità ai temi della sicurezza dei dati.

    Bheè viene da domandarsi se è stato fatto almento effettuato un test di sicurezza, un vulnerability assessment o un penetratin test, prima di mettere in produzione una tale infrastruttura

     

    in ogni caso se state per portare in produzione un'App o un altra soluzione tecnogica consultatici per una verifica di sicurezza: verifica codice sicuro, web application test, IP Penetration test

     

  • Vulnerability Assesment & Pen Test & Cyber Espionage

    Test di sicurezza: Vulnerability Assesment & Pen Test & Cyber Espionage

    I nostri servizi di Vulnerability Assessment (VA) e di Penetration Test (PT) individuare le vulnerabilità del sistema informativo, nelle varie componenti: Firewall, dispositivi di rete, sistemi operativi, applicazioni.

    VA e PT sono parte del processo di Risk Assessment e risultano, in particolare il PT, un driver del Risk Management.


    Tipicamente sono oggetto di VA e/o PT:

    - Servizi su reti pubbliche

    - DNS e Mail server
    - Portale aziendale
    - VPN
    - Reti interne
    - Reti Extranet
    - Applicazioni Web e Mobile

     

    Alle attività di Vulnerability Assessment e Penetration Test generalmente affianchiamo una attività che noi amiamo chiamare cyber espionage. Con questa attività ci poniamo, a seconda della richiesta del cliente, come un dipendente infedele, un fornitore truffaldino, un ospite molesto, o un concorrente sleale. In questa veste cerchiamo d'individuare cosa un soggetto motivato potrebbe fare: accedere a informazioni riservate,  sottrarle, accedere con diritti amministrativi a server o a software complessi, etc...

    Il test di Cyber Espionage è un test che fornisce all'azienda una misura concreta del livello di riservatezza, confidenzialità e disponibilità  che l'azienda ha nei confronti dei terzi

    Le soluzioni di VA e PT sono richieste dall'analisi dei rischi DPIA del GDPR

    contattci      preventivio
Studio Fiorenzi P.IVA 06170660481 - Perizie Informatiche Forensi e Consulenze Tecniche a valore Legale e Giudiziario in Tribunale

Questo sito utilizza i cookie per offrire una migliore esperienza di navigazione. Cliccando OK puoi continuare la navigazione e questo messaggio non ti verrà più mostrato. Se invece vuoi disabilitare i cookie puoi farlo dal tuo browser. Per maggiori informazioni puoi accedere alla nostra cookie policy.