Home » Controllo accessi » Articoli recenti:

Difendere le aziende dal furto sistematico di informazioni. Una priorità assoluta

La nostra esperienza nel settore ci dice che è ormai prassi consolidata che grandi multinazionali dedichino parte del loro budget all’acquisizione illegale di informazioni e segreti aziendali a danno di piccole aziende a carattere locale. Cercano di acquisire informazioni su offerte economiche/tecniche di gare d’appalto, si impossessano di database faticosamente costruiti nel tempo, progetti, idee e brevetti nascenti.

Piccole ma dinamiche realtà aziendali, non immaginano minimamente che i grandi concorrenti usino team di hacker professionisti, lavorando costantemente, attraverso tecniche finalizzate al furto sistematico di informazioni. Attacchi informatici che hanno lo scopo di destabilizzare e indebolire le difese informatiche aziendali, usando vulnerabilità e acquisendo il controllo remoto dei computer. Le tecniche utilizzate sono svariate e con molteplici scopi: Virus, Virus Macro, Trojan, Backdoor, worm, DoS, Rootkit, Dialer, Spyware, Keylogger, Hijacker, e chi più ne ha, più ne metta.

E’ la legge del più forte contro il più debole.

Molto spesso, Aziende locali, essendo profondamente radicate sul territorio, riescono a espandersi, creando una rete intricata di relazioni sociali, conoscenze strategiche e scambi di favori. A causa di questo, i grandi competitor, non riescono a prevalere sui piccoli diretti concorrenti, e, conoscendo molto bene questa realtà, potrebbero attivarsi per mettere in atto sofisticate tecniche di spionaggio e di sabotaggio, che minano alla base la credibilità e la reputazione dei diretti concorrenti, favorendone il crollo nel medio e lungo periodo.

Per questa gente il mercato delle vacche è sempre aperto.

Loschi individui avvicinano dipendenti malpagati, allettati dal miraggio di denaro facile, promettendo loro soldi, assunzioni e carriere già avviate. Una volta ‘acquistato’, il dipendente lavorerà nell’ombra per conto del nuovo padrone con incarichi su misura, sabotando macchinari, processi produttivi, alterando la qualità dei prodotti. Passerà informazioni delicate riguardanti gare d’appalto, favorirà, a seconda della mansione svolta la fuga di informazioni e decisioni aziendali strategiche.

Purtroppo, le proprietà aziendali si accorgono di quel che sta avvenendo, quando è ormai troppo tardi e il danno è ormai irreparabile. Ed è solo in questo momento che si attivano ricorrendo a un esperto di sicurezza aziendale.

Interveniamo cercando di ripristinare l’impermeabilità dell’involucro aziendale.

Un’analisi attenta e precisa ci farà capire dove operare con urgenza.

Volendo fare un esempio, un sistema professionale di videosorveglianza con telecamere ad alta definizione, permetterà subito di verificare l’accesso del personale nelle diverse aree dell’azienda, scoraggiando eventuali operazioni di sabotaggio dirette su macchinari e attrezzature più importanti, fondamentali del processo produttivo. Le certificazioni di qualità descrivono il processo produttivo logistico e amministrativo nei minimi particolari, questo ci permetterà di capire dov’è l’anello debole della catena, permettendoci di porvi immediato rimedio.

La messa in sicurezza degli ambienti, dove le informazioni più delicate vengono discusse, è una priorità assoluta!

Test di penetrazione per verificare la resistenza ad attacchi informatici, controllo ed eventuale bonifica degli ambienti e dei server, messa in opera di apparecchiature per inibire i microfoni dei telefoni cellulari etc.. Questi sono solo alcuni degli strumenti che l’imprenditore ha a sua disposizione per difendere la propria azienda. Ad esempio, le apparecchiature per il controllo accessi del personale indicheranno con precisione spaziale e temporale i movimenti del personale. Ogni porta di accesso dovrebbe essere dotata di apertura con badge o a impronte digitali.

In aggiunta, l’utilizzo di microspie GSM, di micro videoregistratori digitali, di micro registratori digitali, di tracker GPS professionali, cellulari spia, potranno essere un valido ausilio per controllare temporaneamente alcune realtà a rischio. Pensate, esistono sofisticate apparecchiature come i microfoni laser, in grado di intercettare conversazioni ambientali all’interno di stanze distanti anche un chilometro! In questi casi è molto utile installare sistemi vibranti sulle finestre in grado di eludere tali sistemi. Infine c’è la possibilità di costruire stanze intere con pareti a schermate modulari. Si tratta di vere e proprie camere realizzate in varie dimensioni, con pannelli a frequenza di attenuazione molto elevata (sino a 100 dB in un range da 10 Khz a 18 Ghz). Le stanze, che posseggono requisiti molto particolari e vengono normalmente utilizzate per certificare o qualificare prodotti elettronici, sono realizzati con pannelli in metallo a guarnizioni schermanti interposte.

All’interno di queste stanze sarà possibile discutere di progetti importanti nel più assoluto isolamento. Un vero è proprio bunker elettronico!

E voi, avete pensato a mettere al riparo la vostra azienda?

Telefonini Android a rischio: gli hacker potrebbero sottrarre le impronte digitali di milioni di utenti

fingerprint-impronte-digitali

Ecco una notizia che gli utilizzatori di dispositivi Android provvisti di sensori per la lettura di impronte digitali, soprattutto Samsung, HTC e Huawei, avrebbero fatto a meno di sentire in questi giorni di caldo e di vacanza: una falla di sicurezza del sistema permetterebbe a qualunque malintenzionato di impossessarsi, su larga scala, delle impronte digitali degli utenti per utilizzarle a fini illeciti. Ad esempio, per fare acquisti all’insaputa del malcapitato, o chissà che altro.

A scoprire la falla lo scorso luglio, sono stati due ricercatori della FireEye, azienda statunitense conosciuta in tutto il mondo per l’efficienza in ambito di ciber-sicurezza e prevenzione dei rischi informatici. Tao Wei e Zhang Yulong, questi i nomi dei due ricercatori, hanno affermato che la vulnerabilità di questi dispositivi è dovuta al mancato blocco di protezione dei sensori da parte dei produttori degli applicativi in questione. Ciò consentirebbe agli hacker di entrare  in possesso delle immagini delle impronte digitali degli utenti, senza colpo ferire. Per di più, il problema interesserebbe non solo i telefoni cellulari, ma anche altri dispositivi mobili quali tablet e notebook. Secondo Zhang, i più a rischio sarebbero gli utenti che hanno effettuato il rooting del proprio smartphone, in quanto la falla sfrutta proprio i privilegi di amministratore per acquisire le immagini delle impronte salvate sul dispositivo. Sempre secondo  quest’ultimo, allo stato attuale si salverebbero soltanto i dispositivi iPhone, in quanto corredati di un sistema di crittografia dei dati acquisiti. Gli utenti interessati da questa possibile e infausta sottrazione di dati ammonterebbero a circa 950milioni.

Intanto, le aziende produttrici dei software di lettura in questione si sarebbero attivate per fornire patch di sicurezza deputate a risolvere il problema una volta per tutte. Lo stesso Google si sarebbe mosso per aggiornare e rafforzare la sicurezza del suo sistema operativo, seguendo le direttive lanciate nel giugno scorso, che vedeva il coinvolgimento di ricercatori impegnati a trovare falle di sicurezza del sistema dietro pagamento di migliaia di dollari. In attesa di una soluzione definitiva, il consiglio più saggio a questo punto resta quello di aggiornare il proprio dispositivo Android, verificando di volta in volta i permessi di accesso al sistema di ogni singola applicazione.

Sebbene la rilevazione di impronte digitali rientri a pieno titolo nei metodi più utilizzati nella prevenzione degli accessi non autorizzati, la biometria in senso largo, ovvero quell’insieme di tecnologie che studia e utilizza le grandezze per applicarle al settore dell’identificazione umana, continua a fare passi da gigante. Ne avevamo già parlato qui qualche tempo fa, ma l’interesse di aziende produttrici nei confronti di tali sistemi di riconoscimento biometrico sembra essere in crescita. Visti gli ultimi avvenimenti, si spera soltanto che la sicurezza continui ad andare di pari passo con l’evoluzione e l’utilità di questi moderni sistemi tecnologici.

Come si combatte l’assenteismo

Uno dei mali della nostra società in ambito lavorativo ed in particolare della pubblica amministrazione è l’assenteismo. Con questo termine si fa riferimento al fenomeno della sistematica assenza di un impiegato o dipendente dal suo posto di lavoro durante l’orario lavorativo. Molto spesso c’è da aggiungere che l’assenza non è dichiarata, cioè il dipendente non è sul posto di lavoro nonostante risulti esserlo.

Un fenomeno purtroppo dilagante che mette e a repentaglio non solo la salute delle aziende compromesse, ma anche il futuro, peraltro poco florido, del lavoro in Italia. L’originalità e la creatività tipicamente italiane sono applicate anche nelle numerose attività assenteiste.
Ne è un esempio l’accaduto a Reggio Calabria. Ben 17 impiegati assenteisti del Comune di Reggio Calabria sono finiti in manette con l’accusa di truffa. Altri 78 sono stati sono stati denunciati dalla Guardia di Finanza. Altri 42, invece, saranno ascoltati dal Gip che deciderà se applicare nei loro confronti l’interdittiva dai pubblici uffici. I primi avrebbero truffato il Comune di Reggio Calabria “con artifizi e raggiri, consistiti nell’attestare la propria presenza sul luogo di lavoro tramite la timbratura del proprio cartellino marcatempo, poi allontanandosi senza giustificato motivo”. In ogni caso hanno percepito “un ingiusto profitto, consistito nella retribuzione ricevuta nelle giornate di assenza ingiustificata, con pari danno per l’ente locale”. Il misfatto, perpetrato nel tempo, è stato attestato dalle microcamere piazzate dalla Guardia di Finanza che avrebbero ripreso i dipendenti del Comune che la mattina timbravano il badge e poi si allontanavano dall’ufficio. Ma anche altri dipendenti che avrebbero timbrato per conto di colleghi assenteisti come dimostra il video.

Come dimostra questa vicenda è necessario, sia per la pubblica amministrazione che per le aziende, già colpite dalla feroce crisi, prendere delle valide precauzioni contro i dipendenti truffatori. Innanzi tutto perché i danni recati alle imprese potrebbero divenire irreparabili e inoltre perché l’integrità di una azienda o di un ufficio pubblico si misura anche dai propri impiegati. Sempre più spesso le microcamere sono utilizzare per sorvegliare ingressi ed uscite, orari e comportamenti durante il lavoro. Ciò che altrettanto spesso accade è che ci si riduce all’ultimo momento, adottando questo genere di precauzioni solo quando si hanno dei forti dubbi e quindi una volta che il danno sia stato già arrecato.

Governi e social network: continue richieste di dati personali

I nostri profili online dicono molto di noi: chi siamo, dove abitiamo, cosa facciamo, chi sono i nostri amici, quali sono i nostri gusti e le nostre preferenze. Social network, chat, indirizzi mail, blog e siti internet sono ogni giorno destinatari di un’immensa quantità di informazioni personali che messe insieme forniscono spesso un quadro completo di un individuo. Su questo tipo di dati sensibili è spesso puntata l’attenzione delle forze dell’ordine e dei governi che, sempre più spesso, chiedono di poter usufruire di queste informazioni in cerca di soggetti pericolosi e attività nascoste.

Dall’altra parte non ci sono sempre risposte positive. Mentre Google e Twitter hanno deciso di pubblicare report periodici sulla trasparenza, Skype e Facebook sembrano non voler ascoltare al momento questo tipo di richieste.
Nel dettaglio Google pubblica dal 2010 il “Trasparency Report” distinguendosi da sempre sul fronte della sicurezza. Secondo i suoi dati aggiornati, le richieste di utilizzo dei dati da parte di forze pubbliche sono aumentate in maniera esponenziale (in Italia sono passate da 550 nel 2009 a 850 nel 2012). Di queste richieste però Google ne ha approvato solo 1/3 richiedendo maggiore privacy.

Dati sicuramente più esigui, ma allo stesso modo significativi per quanto concerne Twitter. Il blog invia costantemente i suoi report sulla sicurezza e ha dato seguito a oltre la metà dei casi nonostante nel 2012 nessuna autorità italiana abbia mai ottenuto i dati richiesti.

Come già accennato, mancano all’appello due big: Facebook e Skype che contano circa 2 miliardi di utenti totali. Nessun report emesso dalle due aziende, Zuckerberg si è limitato ad informare la presenza di un form attraverso il quale gli utenti possono chiedere informazioni. Nessuna risposta da Skype, strumento di chiamate voip e chat utilizzato in tutto il mondo e, a quanto pare, anche da numerosi attivisti che evitano così di essere intercettati dalle autorità.

La crescente preoccupazione per la privacy e la continua fuga di dati ha messo in allarme anche numerose aziende private. L’utilizzo di chiavette per carpire dati dai pc o per registrare i caratteri che vengono digitati sulla tastiera (password comprese) è ormai molto diffuso. Dipendenti, persone di passaggio o rivali possono accedere ai pc e inserire strumenti di controllo che possono portare l’azienda sull’orlo del fallimento, apportando vantaggi ai concorrenti o facendo fuoriuscire notizie riservate. È consigliabile oggigiorno l’utilizzo di prodotti per la bonifica ambientale almeno ogni quindici giorni, in modo da verificare velocemente e in maniera sicura l’assenza di strumenti per lo spionaggio.

Oltre 36milioni di euro sottratti alle banche europee dagli hacker

In questi anni numerosi cittadini di tutto il mondo hanno fatto ricorso a cellulari anti intercettazioni sentendosi sempre più controllati sotto la lente di ingrandimento di enti non autorizzati al controllo. Non hanno ben pensato alla tutela della propria privacy invece numerose banche europee che si sono viste sottrarre oltre 36 milioni di euro da un gruppo di hacker.
Il Financial Times ha riportato che si tratterebbe del primo caso di furto che ha preso specificatamente di mira le procedure di sicurezza sui servizi bancari via internet che sfruttano i cellulari. Alla base della frode ci sarebbe un trojan a due stati, un virus inizialmente dormiente sui PC degli utenti che si trasferiva sui loro smartphone. A questo punto il trojan, avendo infettato entrambi i dispositivi, poteva registrare i codici di verifica inviati sui cellulari e utilizzarli per creare una sessione di online banking in parallelo effettuando trasferimenti su altri conti. La truffa avrebbe riguardato 30 mila utenti bancari online di Germania, Italia, Spagna e Olanda, dice il Financial Times. Nello specifico, sono stati presi di mira dispositivi mobili Android e Blackberry.

Diverse società che si occupano di sicurezza online, hanno pubblicato report in cui spiegano la dinamica dell’attacco in maniera più specifica. Il sistema è stato creato su misura per superare i sistemi di sicurezza online delle banche costituiti generalmente da due livelli: il primo è sviluppato quando un cliente che deve effettuare un’operazione online, riceve un numero di autenticazione per la specifica transazione (Transaction Authentication Number, Tan) via sms sul cellulare. Successivamente numero Tan viene inserito sul sito per confermare l’operazione e dunque procedere. Potrebbe accadere che il cliente clikki sul link sbagliato, scaricando un trojan che al primo ingresso sul sito di online banking, richiederà di inserire il numero di cellulare, al quale verrà inviata una richiesta di aggiornamento “delle procedure di sicurezza”. Accettando l’aggiornamento, l’utente scarica una variante mobile del trojan (Zitmo), progettata per intercettare gli sms della banca contenenti il numero Tan. Quindi alla prima operazione utile, il trojan intercetta il numero segreto e lo usa per trasferire soldi. L’utilizzatore può rendersi conto della truffa solo quando scopre un ammanco sul suo conto. Le transazioni effettuate in Europa hanno avuto valore compreso tra 500 e 250.000 Euro.

Gli attacchi informatici sono all’ordine del giorno ed in continuo aggiornamento. Sta agli utenti grandi o piccoli che siano dotarsi di validi sistemi di sicurezza su pc e cellulari.

Definitivo: I nostri messaggi controllati anche su Facebook e Twitter

fbi contro facebook e twitter

Dopo la chiusura forzata di Megaupload e Megavideo, l’FBI ha iniziato le sue indagini verso i più grandi colossi del web Facebook e Twitter. I due social network, attualmente, sembra abbiano attirato le attenzioni dell’Intelligence americana che da mesi ormai ha attivato un protocollo antipirateria sul web.

L’obiettivo principale è la difesa dei diritti di copyright che sembra i Guru stiano infrangendo, ma sembra ovvio pensare che la chiusura sarà pressochè impossibile rispetto a dei controlli più rigidi e restrizioni più severe.

Sembra una storia del noto indiano Eric Arthur Blair, ma l’FBI è seriamente intenzionata ad ottenere il controllo diretto dei due social network: Twitter e Facebook.
Con un bando del 19 gennaio intatti, il Federal Bureau americano è alla ricerca di un appaltatore in grado di sviluppare un software che monitorizzi i messaggi rilasciati sui due social network, una sorta di software spia in grado di scandagliare tutti i post, messaggi e tweet, alla ricerca di keywords specifiche al fine di tutelare i cittadini da eventuali atti illeciti, crimini,  atti di terrorismo e molto altro. Tali messaggi saranno poi incrociati con le intercettazioni ambientali.

Secondo l’FBI questo sarà un metodo infallibile per sventare eventuali attacchi terroristici e crimini di ogni altro genere.
Questa nuova tecnica di controlli ebbe realmente inizio nel lontano 11 settembre 2001, la data che noi tutti ricordiamo per l’attentato alle Torri Gemelli, ma pian piano si è estesa a macchia d’olio ed oggi sta coinvolgendo i principali social network mondiali. Tra la legge SOPA e la chiusura di Megavideo e Megaupload l’FBI sarà occupata a monitorare le comunicazioni interne agli USA, per cui il monitoraggio in tutto il resto del mondo sarà affidato alla DARPA ed alla CIA.

Che fossimo tutti spiati sul web era noto ormai da tempo, di certo la situazione risulta destare maggiori preoccupazioni proprio grazie agli avvenimenti legati a Facebook e Twitter, che hanno  creato la base per permetterci ci prendere coscienza di quanto il concetto di privacy sia relativo, soprattutto su internet.

Controlli IT sui dipendenti: prevenire per non eccedere

maggio 18, 2011 Controllo accessi No Comments

Recentemente abbiamo affrontato il tema dei controlli informatici sui dipendenti da parte dei datori di lavoro.
Molti sono stati i commenti di imprenditori che reputano lecito il controllo continuato e puntuale delle attività dei loro dipendenti, anche se apertamente in contrasto con la normativa vigente.

La posizione dei datori di lavoro sembra essere riassumibile in “io fornisco gli strumenti di lavoro, pretendo che siano usati solo per le mie attività aziendali e voglio poterlo controllare puntualmente”. Questa assunzione presuppone una sfiducia preventiva verso il lavoratore, una forma di preconcetto che, a priori, dovrebbe essere giustificato.

D’altronde è purtroppo diffuso, da parte dei lavoratori, un certo malcostume relativo alla “perdita di tempo” perpetrato mediante navigazione su siti web estranei all’attività lavorativa o attraverso l’utilizzo di social network per comunicare con i propri amici.
Ovviamente, non stamo parlando di azioni dolose di furto o diffusione di dati aziendali riconducibili allo spionaggio industriale, che sono ovviamente illecite!

Come può, quindi, un datore di lavoro difendersi senza ledere i diritti dei lavoratori? La risposta è nei mezzi preventivi, ossia nell’istituzione di una serie di regole, processi e strumenti che aiutino a limitare l’uso del Web, della posta elettronica o di altri strumenti ritenuti di lavoro, senza la necessità di dover controllare costantemente l’operato del dipendente.

Inizialmente devono essere istituite delle regole, una sorta di “codice etico” interno che stabilisce le modalità di lavoro e identifica i comportamenti incongrui, inadatti o illeciti per lo svolgimento della mansione.
L’istituzione di questa sorta di decalogo costituisce una modalità di avviso per i dipendenti a cui può seguire una verifica periodica di controllo. Tuttavia il controllo non può e non deve essere continuato nel tempo, altrimenti lede la dignità del lavoratore e come tale è vietato per legge. A tal fine infatti i video controlli e quelli effettuati mediante memorizzazione continuata dei log dei sistemi informatici che supportano il lavoro dei dipendenti sono espressamente vietati. Licenziamenti su tali basi sono stati giudicati illeciti e annullati con reintegro immediato del dipendente.

È necessario, quindi, istituire delle forme di prevenzione. In ambito navigazione web è possibile limitare l’accesso ad alcuni siti raggruppati nella medesima categoria (porno, social networks) o mediante parole chiave (facebook, sex, chat.
Le regole devono essere inserite a livello di proxy server o di firewall, in modo che qualsiasi sito web che rientri in queste categorie sia bloccato.

Continua a leggere su PMI Blog

“L’Occidente deve prepararsi alla prima cyberguerra”

aprile 12, 2011 Controllo accessi No Comments

Generale Usa: potrà essere tra un anno, il nostro punto debole è la rete elettrica

Fra i prossimi 12 e 36 mesi il Pentagono si aspetta un massiccio attacco informatico contro una nazione sovrana: a rivelarlo è il generale Keith Alexander, direttore della «National Security Agency» nonché a capo del «Cyber Command» delle forze armate americane, creato su ordine del presidente Barack Obama per proteggere l’America dal pericolo degli hacker.

Atteggiamento spigliato, minuzioso nelle spiegazioni di informatica e attento a ribadire sempre la subalternità alle leggi del Congresso, Alexander parla nella cornice della sessione sulla sicurezza cybernetica dei lavori della Commissione trilaterale, che riunisce esponenti politici ed economici di Stati Uniti, Europa e Asia. «Internet garantisce alle nostre società opportunità straordinarie di crescita e sviluppo, ma le espone anche a rischi molto seri», esordisce il generale al comando di alcune delle unità più segrete dell’apparato militare. E per dimostrare quanto afferma ricostruisce quanto avvenuto in una recente riunione in ambito Nato: «Ci siamo trovati a discutere l’ipotesi di ricorrere all’articolo 5 della Carta atlantica sull’autodifesa collettiva in caso di attacco cybernetico e c’era chi sollevava dubbi in merito. Ma quando è stato fatto lo scenario di un totale black-out elettrico e finanziario della durata di 60 giorni in un singolo Paese, tutte le obiezioni sono cadute».

Se l’ultimo summit della Nato, tenutosi a Lisbona, ha inserito nel concetto strategico la difesa cybernetica, è «perché subire attacchi massicci è diventata una possibilità reale», sottolinea Alexander, spingendosi fino a prevedere che «potrebbe avvenire in un periodo compreso fra i prossimi 12 e 36 mesi». Da qui l’interrogativo su quali settori della vita civile siano più vulnerabili, e la risposta è puntuale: «C’è una scala di vulnerabilità, il settore più protetto è quello delle Borse finanziarie, mentre ad essere più esposta è la rete elettrica», per il semplice fatto che, in America come in Europa o in Giappone, è stata creata senza avere all’origine sistemi di protezione da questo tipo di attacchi.

A concordare sui «pericoli per la rete elettrica» sono l’ammiraglio Dennis Blair, che è stato direttore nazionale dell’intelligence nei primi due anni dell’amministrazione Obama, e David DeWalt, ceo di McAfee, ovvero l’azienda informatica di Santa Clara, in California, roccaforte della produzione di antivirus. «Per avere un’idea delle minacce con cui ci troviamo a combattere – spiega DeWalt – bisogna guardare ai numeri, ogni anno vengono creati 48 milioni di infezioni informatiche, ad un ritmo di circa 55 mila al giorno, e ogni mese vengono messi online 2 milioni di siti per diffondere tali infezioni». Ciò significa «avere a che fare con attacchi continui e sempre differenti», con in aggiunta una complicazione che DeWalt e Alexander indicano all’unisono: l’assenza di coordinamento normativo fra Stati, organizzazioni internazionali e singole aziende consente agli hacker di trovare spazi sul web per creare siti, sviluppare virus e lanciare cyberattacchi. Né il generale né il ceo fanno i nomi degli Stati più sospettati di originare cyberaggressioni, ma i sospetti si indirizzano in primo luogo verso Cina e Russia. In attesa che «le politica e le istituzioni facciano le loro parte», come Alexander auspica, la migliore difesa resta quella dei singoli, perché il 65 per cento delle vittime dei virus sono computer non protetti da firewall o dove i firewall non sono stati aggiornati.

Fonte: La Stampa

Vulnerabilità, il 30% dei siti è a rischio hacker

Lo studio di un ricercatore italiano alla conferenza «Black hat» di Barcellona

I siti Web negli ultimi anni si sono fatti sempre più interattivi, tramutandosi forma, da semplici pagine statiche, in delle applicazioni complesse e dinamiche. Questo ha portato dei grandi vantaggi agli utenti, in termini di piacevolezza e completezza dell’esperienza di navigazione, ma ha anche reso i siti stessi molto più vulnerabili sotto il profilo della sicurezza.

Alcune delle principali falle di sicurezza sono ben note e studiate, altre non hanno finora ricevuto la stessa attenzione. Un giovane studioso italiano che lavora in Francia, all’istituto di ricerca Eurecom, Marco Balduzzi, ha presentato settimana scorsa alla conferenza «Black hat» di Barcellona (uno degli eventi più prestigiosi per chi si occupa di sicurezza informatica), assieme a tre colleghi un rapporto che analizza appunto una delle vulnerabilità meno considerate, la «Http Parameter Pollution (Hpp)» che, come Balduzzi ha dimostrato analizzando qualcosa come 5.000 domini Internet grazie a un sistema di scanning automatizzato creato ad hoc, è presente nel 30 % dei siti.

In altre parole, quasi un sito su tre, tramite dei link creati ad hoc, che vanno a rimpiazzare una delle variabili gestita dalle pagine, può essere indotto a comportarsi in maniera anomala. Le conseguenze possono andare da semplici fastidi, come l’invio di un post sulla propria pagina Facebook cliccando su un link che in teoria doveva servire ad altro, alla modifica fraudolenta della scelta di un utente in un sondaggio online, alla completa compromissione delle funzionalità di un sito di e-commerce, cambiando il prezzo di una merce in vendita. «Se controlli i parametri – ha spiegato Balduzzi a Forbes – puoi fare qualsiasi cosa».

Dallo scanning automatizzato messo a punto dai quattro ricercatori, è risultato che anche domini appartenenti a grandi entità del Web come Google, Facebook, Microsoft e Symantec potrebbero soccombere a un attacco di «parameter pollution», il che, a giudizio degli studiosi conferma come il problema, malgrado sia stato scoperto e divulgato un paio di anni fa, sia stato finora sottostimato.

«Per ora non si conoscono casi in cui la vulnerabilità Hpp sia stata sfruttata – afferma il giovane scienziato italiano – ma è solo questione di tempo. Gli sviluppatori Web devono diventare consapevoli della sua esistenza e scrivere il codice in maniera sicura. Altrimenti, prima o poi, qualcuno ne approfitterà».

Balduzzi, classe 1982, è originario di Seriate e si è laureato all’Università di Bergamo. Dopo esperienze in Norvegia in Germania, e il lavoro come consulente di sicurezza informatica per aziende italiane e straniere, è approdato nel 2008 all’Eurecom, dove sta svolgendo il dottorato di ricerca.

Fonte: La Stampa

Difesa computer contro accessi non autorizzati

Autenticazione forte per la sicurezza degli accessi

Come funzionano i sistemi di autenticazione forte: le soluzioni RSA per migliorare l’accesso e il login alla propria rete

Con l’accrescere del numero e del tipo di minacce alla sicurezza delle informazioni aziendali primo fra tutti lo spionaggio industriale, le PMI devono attuare metodi diversi per garantire l’accesso alle risorse aziendali da parte della propria forza lavoro che ha la possibilità di collegarsi sia attraverso dispositivi aziendali sia mediante i nuovi supporti di tipo mobile.

La protezione di tipo debole basata solo su login e password potrebbe rivelarsi non sufficiente contro quei criminali informatici che, esperti e organizzati, sanno recuperare questo tipo di dati facilmente o con tecniche specifiche. Diventa quindi necessario dotarsi di sistemi di autenticazione forte come requisito imprescindibile del sistema di sicurezza.

L’autenticazione forte

Quando si parla di autenticazione forte si fa riferimento a quei sistemi di convalida dell’utente basati su più di un metodo di riscontro. In particolare l’utilizzo di username e password non sono più sufficienti a garantire l’accesso ad un sistema ma sarà necessario provare la propria identità con altri soluzioni. I metodi di autenticazione sono solitamente basati su tre direttrici:

1. cose conosciute dall’utente – quali ad esempio login e password o dati di riconoscimento di persone conosciute o che costituiscono situazioni particolari (date, luoghi ecc).
2. cose possedute dall’utente – in questo caso si utilizzano oggetti quali il telefono, la carta di credito o specifici token multi numero o basati su sistemi geometrici.
3. cose che costituiscono l’utente stesso – ovvero caratteristiche fisiche proprie dell’utente che vengono riconosciute da sistemi cosiddetti biometrici: impronte digitali, retina, suono della voce per citare i più noti.

I sistemi di autenticazione forte sono decisamente consigliati nei casi di:

1. Impiegati che accedono da remoto connettendosi a mezzo Gateway, VPN SSL,
2. Partner che accedono al web portal aziendale per business,
3. Fornitori che devono connettersi ad un sistema on line di order management o ad altre applicazioni operative.

Continua a leggere su PMI.it

 

Per un efficace controllo degli accessi

Guida al controspionaggio

Come capire se qualcuno ti spia (Parte 2)

LEGGI LA PRIMA PARTE… – La scatola di una presa elettrica sembra essere stata spostata. Le prese elettriche sono tra i punti dove più frequentemente vengono nascosti dispositivi di intercettazione, così come lo sono i rilevatori di fumo, le lampade o gli interruttori. Se notate della sporcizia (tipo segatura o …

Come capire se qualcuno ti spia (Parte 1)

A casa, in ufficio ed in qualsiasi posto vi troviate potreste essere spiati. Chiunque voi siate, e qualsiasi cosa facciate, vi può capitare di incontrare persone che, per interesse o per avidità di potere, desiderano di venire in possesso di vostre informazioni riservate, sia per danneggiarvi che per ottenere un …

Il fisco controllerà anche i telefoni

Tra le grandi manovre di controllo che si stanno operando per monitorare i contribuenti, pare che gli agenti 007 dell’Agenzia delle Entrate si stiano concentrando sulle intercettazioni del nostro cellulare. Iphone, Samsung o qualsiasi altra marca sia, il fisco non si pone limiti. Non si tratta di spiare il contenuto …

Guide alla videosorveglianza

Come arrestare il key bumbing, il furto senza traccia

La nuova frontiera dei furti, per ladri in continuo aggiornamento, è il “key bumping”. Si tratta dell’arte di aprire le porte delle abitazioni senza lasciare segni di effrazione. A Roma, i Carabinieri hanno arrestato una banda di georgiani, ben 37 persone, specializzate in furti in appartamenti nella città e in provincia. L’organizzazione criminale è risultata responsabile di decine di colpi in appartamenti, e in particolare, è specializzata nella tecnica consente …

I consigli del ladro per una difesa ottimale contro i furti in estate.

furti in appartamento

Le vacanze, per molte famiglie italiane, sono già iniziate. Le città si svuotano e le case rimangono sempre più isolate, soprattutto se i vicini decidono di partire nello stesso periodo. Quella delle vacanze estive, quindi, diventa un’occasione per ladri, professionisti e no, per entrare in azione, in quanto hanno meno possibilità di essere visti e acciuffati e possono, così, agire con più calma. Il giornale napoletano “Il Mattino” proprio in …

Guida alla sorveglianza video: parte 4 – Visione filmati e integrazione

Passiamo alla quarta ed ultima parte della nostra guida, rispondendo a domande su come visualizzare i video di sorveglianza e come integrare le proprie apparecchiature di sorveglianza con altri sistemi video. 6. Visualizzare i video La maggior parte dei video di sorveglianza non viene mai vista da esseri umani, se non per indagini storiche. Alcuni sistemi a circuito chiuso consentono la visione in diretta, ad esempio come sistemi antitaccheggio in …

Guida alla sorveglianza video: parte 3 – Salvataggio filmati e analisi video

Proseguiamo con le nostre 7 domande, con la parte dedicata ai supporti di salvataggio dei filmati video, e all’analisi dei filmati registrati. 4. Salvataggio I video di sorveglianza sono quasi sempre salvati per recupero e revisione. La durata media dello stoccaggio è tra i 30 e i 90 giorni, anche se in alcuni casi il periodo può essere più breve, o durare anche per qualche anno. I due elementi più …

Contattaci


Endoacustica Europe srl

Via Umberto Terracini, 47
70029 Santeramo in Colle (BA)
P.IVA IT06836020724
ITALY
tel. 0039 080 30 26 530
tel. 0039 080 43 73 08 93
fax 0039 080 40 73 11 87
e-mail: info@endoacustica.com

CONTATTACI SU SKYPE

Disclaimer


Questo blog non rappresenta una testata giornalistica in quanto viene aggiornato senza alcuna periodicità. Non può pertanto considerarsi un prodotto editoriale ai sensi della legge n. 62 del 07.03.2001

Intercettazioni.eu

Un aggregatore di articoli e guide online, su argomenti legati allo spionaggio, contro spionaggio, controllo accessi, intercettazioni, Sicurezza personale, protezione dei propri beni e dei vostri affetti.

Ricerca intestatario numero di cellulare

Vuoi sapere il titolare di un numero di telefono cellulare? o viceversa vuoi conoscere il numero di telefono partendo dall'intestatario? I numeri esteri non sono un problema! Chiamaci: 0803026530

Fornitura di sim card anonime

In abbinamento con i nostri telefoni cellulari Stealth Phone, per aggiungere un ulteriore livello di sicurezza alle vostre conversazioni telefoniche, da oggi possiamo offrirvi anche una serie di schede SIM anonime, per ottenere le quali non c’è bisogno di alcuna registrazione.
Chiamaci per saperne di piu' allo 0803026530!

Recupero sms cancellati

Recuperiamo sms, dati cancellati da sim card e telefoni cellulari. Devi inviarci la sim card e/o il telefono cellulare. In meno di una settimana riceverai i dati estratti per e-mail o per posta. Chiamaci per ulteriori informazioni: 0803026530

Come localizzare un cellulare

Come si fà a localizzare un cellulare?. Tutti i telefoni cellulari una volta accesi e collegati alla rete dei provider telefonici mobili sono rintracciabili geograficamente. Chiamaci per saperne di piu': 0803026530

Sblocco codici autoradio

Il codice di un autoradio è unico, per ogni radio associata ad ogni telaio, in genere si trova scritto a penna in qualche libretto di garanzia o manutenzione dalla concessionaria. Se è impossibile ritrovarlo, chiamaci: 0803026530

Recupero password perse

Hai dimenticato la tua password per Excel, word, myspace, aol, facebook, yahoo, msn, hotmail, live, gmail, libero, aim, aol....etc? Possiamo aiutarti, chiamaci: 0803026530