Sicurezza informatica: il decalogo sotto le feste

Prevenire truffe online, malware, jackpotting e furti di identità anche quando si effettuano acquisti sul web: ecco il decalogo delle regole da seguire per proteggere email, carte di credito e dati personali.

Il periodo delle festività è un vero banchetto per i cyber criminali e mette seriamente a rischio la sicurezza informatica di utenti privati, imprese e professionisti. Complice la fretta con cui si effettuano acquisti online cercando l’occasione dell’ultimo minuto, spesso ci si ritrova al centro di una truffa o di un furto di dati personali foriero di un danno a proprio nome. Per evitare spiacevoli sorprese sotto le feste o contare i danni all’anno nuovo, è necessario conoscere le minacce più comuni che arrivano dalla rete e seguire alcune semplici regole.

Rischi

L’Italia figura al terzo posto a livello mondiale per quantità di indirizzi IP che inviano spam, circa 856.500.000 (report trimestrale 2014 di Trend Micro).

Gli spammer raramente si accontentano di inondare le vittime di pubblicità o messaggi indesiderati, ma più spesso veicolano malware o puntano a danni da sovraccarico che comportano interruzioni di servizio. Essere vittima di spam non significa solo dover ripulire la casella di posta elettronica, ma anche inconsapevolmente diventare spammer o peggio (qualora il proprio pc infettato diventi parte di una BOTNET).

POS malware

L’Italia si conferma terza anche nella top ten dei paesi con il più alto numero di visite a siti maligni, mentre è seconda al mondo per infezioni malware ai POS che consentono i pagamenti elettronici. È anche uno dei paesi maggiormente colpiti dal crypto-ransomware: un codice maligno con cui spesso i criminali attuano il “cyber-pizzo” criptando i dati personali e chiedendo il pagamento di un “riscatto” per effettuarne lo sblocco (che non sempre avviene anche a fronte del pagamento).

Jackpotting

Fortinet evidenzia invece come sotto le feste incrementino le truffe “jackpotting”, cioè l’hackeraggio dello sportello attraverso la rete con successiva installazione di malware, alla lettura dei dati delle carte e la registrazione del PIN. Ma si verifica anche un picco di finti siti web per vendere prodotti, anch’essi inesistenti. Entrando in queste pagine, si potrebbe finire nella trappola del malware progettato per sottrarre informazioni delle carte di credito.

Truffe online

MCcafee ha anche stilato una lista delle 12 truffe online più frequenti (sebbene il 13% degli utenti Internet non creda ai cyber attacchi, come sottolineano Kaspersky lab eB2B international): si va dalle email di phishing camuffate da notifiche di acquisti effettuati alle pubblicità ingannevoli che sconfinano nella beneficienza fasulla, fino ai siti di e-card di auguri zeppi di malware o delle chiavette usb ricevute in omaggio che potrebbero essere infette, come anche le App fasulle acquisite da siti mirror-malevoli rispetto a quelli veri.  E ancora skimming dei bancomat, finte telefonate da parte di sedicenti responsabili della sicurezza della banca che chiede dati personali e di accesso, o truffe legate ai viaggi di fine anno.

Decalogo

Per contrastare o prevenire la maggior parte delle minacce, frodi e truffe si consiglia di:

  1. Non cliccare sui link contenuti nelle email, verificando mittente, linguaggio utilizzato (spesso mal tradotto e quindi ingannevole), indirizzo del link (che a volte rende evidente il redirect a un sito malevolo) e diffidando di email che annunciano vincite e affari a buon mercato.
  2. Non fornire mai le proprie credenziali di accesso via email o telefono, per qualsiasi servizio sia personale sia aziendale.
  3. Controllare il proprio conto in banca frequentemente in occasione di molteplici acquisti effettuati, per prevenire eventuali doppi addebiti nello stesso punto vendita o altri addebiti a sorpresa che si possono bloccare per tempo dal sito della banca o fisicamente dagli sportelli.
  4. Prelevare soldi da bancomat inseriti all’interno della banca e utilizzare meno possibile quelli esposti su strada (almeno per ridurre il rischio che siano stati manomessi).
  5. Se possibile utilizzare carte di credito ricaricabili oppure carte emesse da un istituto finanziario che offre numeri delle carte di credito ad uso singolo, limitati nel tempo o virtuali.
  6. Installare e tenere aggiornato un antivirus, non solo sul pc di casa, ma su qualsiasi dispositivo (anche smartphone) collegato in rete. Per dispositivi IOS in particolare si possono utilizzare App che rafforzano ulteriormente iphone e ipad, più sicuri  ma non privi di pericoli (ovvero esposti a virus che passano impuniti attraverso Dropbox, malware che utilizzano il jailbreak per infettare il telefono e App ingannevoli che possono danneggiare la privacy).
  7. Effettuare acquisti facendo attenzione che la connessione sia in SSL.
  8. Effettuare acquisti attraverso un browser dedicato che garantisca ricerche anonime, per non lasciare tracce dei propri acquisti e gusti, utilizzabili da eventuali spammers.
  9. Scaricare solo quelle applicazioni per lo shopping che provengono da un App store ufficiale.
  10. Per gli acquisti online e per verificare la veridicità e il livello del servizio si può utilizzare la piattaforma ShoppingVerify, un raccoglitore di giudizi critici e opinioni dei clienti che hanno acquistato da portali di e-commerce di tutto il mondo.

Per approfondimenti: Trend Micro, MCcafee.

fonte: http://www.pmi.it/tecnologia/software-e-web/approfondimenti/91203/sicurezza-informatica-decalogo-feste.html

Protocollo USB: sicurezza addio, c’è una falla enorme

Un gruppo di ricercatori ha scoperto una falla gravissima nel protocollo USB. BadUSB può trasformare qualsiasi prodotto in un veicolo per sottrarre informazioni confidenziali. La cosa peggiore? Non sembrano esistere contromisure valide.

Protocollo USB, sicurezza fantasma. Un film? No, un gravissimo problema. A lanciare l’allarme sono i Security Research Labs di Berlino, e a quanto pare il problema è serio, serissimo. La falla, ribattezzata BadUSB, riguarda infatti i miliardi di dispositivi USB e permette di prendere controllo del computer tramite il versatile connettore che negli anni ci ha reso la vita un po’ più facile.

Ed è proprio la versatilità ad aver compromesso la sicurezza. L’USB Implementers Forum, che si occupa di delineare le specifiche degli standard, ha infatti dovuto compiere delle scelte per rendere l’USB uno standard tanto flessibile da trovare rapidamente casa in moltissimi prodotti, praticamente ovunque. Lo stesso USB IF afferma che l’unica difesa contro la vulnerabilità è quella di usare dispositivi di cui siete al 100% sicuri, ma anche così non è detto che la protezione sia assicurata.

La vulnerabilità conta sul fatto che ogni dispositivo USB ha un chip di controllo al suo interno. Secondo gli SR Labs questi controller hanno un firmware – cioè il software fondamentale che li fa funzionare – che può essere interamente riprogrammato senza soluzioni hardware ad hoc per fare cose spiacevoli. Il problema? La riprogrammazione è quasi impossibile da rilevare, a meno che non si sappia dove guardare – ergo, è una cosa complicatissima.

Poiché un prodotto USB può essere connesso praticamente a qualsiasi sistema grazie alla versatilità offerta da quelle che sono definite “classificazioni”, riprogrammando il firmware è possibile presentare un prodotto sotto una classificazione differente. L’esempio pratico è presto fatto. Un malintenzionato potrebbe riprogrammare una chiavetta USB in modo che si mascheri come un controller di rete, facendo sì che tutte le comunicazioni – siti web visitati, password, eccetera – vengano reindirizzate al dispositivo.

O, peggio ancora, è possibile riprogrammare una chiavetta in modo che venga vista come una periferica HID (Human interface device), in modo da poter impartire comandi al computer come se vi fossero una tastiera e mouse. Tali comandi potrebbero consentire l’installazione di malware o altre operazioni. Al momento non esiste un fix di sicurezza, non ci sono strumenti per bloccare l’attacco, per cui qualcuno potrebbe progettare un virus ad hoc, infettare migliaia di chiavette e sottrarre informazioni importanti. E formattare potrebbe non servire a niente, assicurano i ricercatori.

Fortunatamente gli SR Labs non sembra siano intenzionati a condividere i dettagli di quanto scoperto con il primo venuto, ma alla BlackHat 2014 del 7 agosto rilasceranno ulteriori informazioni e daranno una dimostrazione. Una possibile soluzione, ma attuabile in futuro, potrebbe essere quella di realizzare una firma univoca digitale per ogni dispositivo, in modo che i computer a cui si collegano le periferiche la verifichino continuamente. Questo però richiedere uno sforzo enorme a tutta l’industria.

fonte: http://www.tomshw.it/cont/news/protocollo-usb-sicurezza-addio-c-e-una-falla-enorme/58277/1.html

Heartbleed, una delle più grandi falle nella sicurezza della Rete.

Heartbleed è il nome assegnato a una vulnerabilità “zero day” che riguarda OpenSSL, il sistema per criptare le comunicazioni in Internet usato da oltre due terzi dei siti web mondiali, e permette il furto di password e dati sensibili; fino ad oggi considerato uno dei sistemi più sicuri. Ecco tutto quello che c’è da sapere…

Aggiornamento alla mattina del 10 aprile: si consiglia di cambiare password, anche solo a titolo precauzionale, agli account sui siti di Google, Facebook, Yahoo, Tumblr, Dropbox, che hanno già riparato la falla. Su Mashable una lista con spiegazione dettagliata di dove e perché cambiare password, PayPal invece sostiene di non essere stata affetta e che gli utenti non dovrebbero neppure cambiare password (operazione che comunque è sempre consigliabile, ma assicuratevi prima che il servizio in questione abbia chiuso la falla).

Vanno anche aggiornati i software dei wallet e cambiate le password di molti servizi Bitcoin. LocalBitcoins, Blockchain.info, Bitfinex hanno chiuso la falla. Bitstamp aveva sospeso le operazioni, e ora le ha riaperte.

Più che un cuore sanguinante è una carneficina. Heartbleed, una gravissima vulnerabilità che compromette buona parte dei sistemi e dei servizi usati per crittografare il traffico internet, è già stata ribattezzata l’epic falla (dall’espressione epic fail). Da lunedì sera, quando è stata rivelata al mondo, amministratori di sistema e IT manager si sono trovati a gestire una situazione di emergenza, i cui potenziali effetti catastrofici (e del resto, bug catastrofico è stato definito dall’esperto di crittografia Bruce Schneier) sono ancora tutti da capire. Ma vediamo punto per punto di che si tratta e cosa sta succedendo.

La “falla” (oppure “bug”)
Heartbleed è il nome assegnato a una vulnerabilità zero day (CVE-2014-0160) che riguarda OpenSSL, il sistema usato per criptare le comunicazioni internet usato da due terzi dei server e fino ad oggi considerato uno dei sistemi più sicuri. La falla – e questa è una pessima notizia – esiste da due anni, dal dicembre 2011, ed è stata messa a posto in questi giorni nella versione OpenSSL 1.0.1g.  Le versioni vulnerabili di OpenSSL vanno dalla 1.0.1 alla 1.0.1f, mentre non lo sono OpenSSL 1.0.0 e 0.9.8.

Aspetta: cosa sarebbe OpenSSL?
Una implementazione open source di SSL e TSL, i due protocolli che garantiscono la sicurezza delle comunicazioni e transazioni di gran parte di ciò che sta sul web. Avete presente https nel browser, insomma il lucchetto che compare con l’online banking, Gmail e molti altri servizi che devono proteggere (leggi: cifrare) le loro comunicazioni? Ecco è un esempio.

Chi ha scoperto la falla?
La falla è stata individuata da un ingegnere di Google, Neel Mehta, e da alcuni ricercatori di Codenomicon, che hanno poi creato un sito ad hoc, appunto Heartbleed. Non senza qualche polemica riguardo a come la falla è stata comunicata.

Chi ne è colpito?
Molti sistemi operativi sono vulnerabili, tra cui Debian Wheezy, Ubuntu 12.04.4 LTS, CentOS 6.5, Fedora 18, OpenBSD 5.3, FreeBSD 8.4, NetBSD 5.0.2 and OpenSUSE 12.2. Ma al di là di questo, il punto è che OpenSSL gira su due dei web server più usati, Apache e nginx, così come server mail, servizi di chat, VPN e altri servizi. Ora immaginate che il lucchetto per blindare il traffico e le comunicazioni con tutti questi servizi sia potenzialmente apribile da chiunque conosca la falla e vi renderete conto della enormità del problema.

Quali aziende web sono interessate?
Fornitori di servizi, social media, webmail, online banking sono potenzialmente tutti interessati. In particolare: Apple, Microsoft, Twitter, Facebook e Google NON sembra siano state colpite dalla vulnerabilità, al contrario di Yahoo, che è stata esposta dal bug. Gli esperti di sicurezza hanno consigliato agli utenti di non entrare nei proprio account Yahoo in questo momento (il rischio era farsi rubare le credenziali da qualcuno che sfruttando la vulnerabilità sniffasse il traffico).
Tuttavia successivamente da Yahoo hanno fatto sapere che la vulnerabilità è stata messa a posto, quindi allo stato attuale i seguenti servizi sono tornati sicuri: Yahoo Homepage, Yahoo Search, Yahoo Mail, Yahoo Finance, Yahoo Sports, Yahoo Food, Yahoo Tech, Flickr e Tumblr. Il consiglio rimane comunque dicambiare la propria password una volta loggati.
Fortunati gli utenti Google: poiché Gmail usa un avanzato sistema di protezione chiamato Perfect Forward Secrecy, i suoi utenti dovrebbero essere al sicuro anche per quanto riguarda le passate comunicazioni. Con l’occasione la Electronic Frontier Foundation ha consigliato di implementare Perfect Forward Secrecy – che protegge i dati cifrati, anche nel caso siano stati intercettati e salvati da qualche “spione”, e la chiave del sito sia successivamente compromessa – su più servizi possibili.

Qui si trova una lista di possibili siti interessati dalla falla, ma molti potrebbero aver già messo la toppa.

Il problema riguarda anche Tor, il software per l’anonimato, che ieri ha rilasciato una dichiarazione poco rassicurante: “Se avete bisogno di un anonimato e una privacy forte su internet, forse dovreste starre sconnessi per i prossimi giorni finché la situazione non si sistema“.
Tails – il sistema operativo live super sicuro e pro-privacy, basato su Linux (Debian)  – sarebbe invece al riparo.

Che fare? Upgrade, upgrade and revoke
La versione più recente di OpenSSL, 1.0.1g, chiude la falla, quindi ogni sito che usi OpenSSL dovrebbe aggiornare all’ultima releaseimmediatamente. Se un attaccante avesse usato la falla per entrare in un server web, avrebbe potuto accedere ai suoi gioielli:le chiavi di cifratura. Con queste avrebbe potuto decriptare il traffico da e al server; o impersonarlo, cioè far credere a un utente che sta visitando un certo sito mentre in realtà è un altro; o decifrare i database dei server, inclusi username, password, indirizzi email, informazioni sui pagamenti ecc

Quindi oltre ad aggiornare, è anche necessario che siti e servizi rigenerino le chiavi, revochino i loro certificati di cifratura e ne emettano dei nuovi. Qui si può controllare se un sito ha aggiornato i suoi certificati.

E’ possibile calcolare i danni di questa falla? Ed è già stata usata?
Non possiamo sapere se un sito è stato attaccato attraverso la falla (se non a posteriori nel caso escano fuori leaks o altro), non lascia tracce, diciamo. Inoltre non sappiamo se il bug è stato sfruttato, quanto e da quando. La situazione è del tipo: aggiorna, revoca, e incrocia le dita per il passato.

Cosa deve fare un utente?
Cambiare le password dei servizi che usano OpenSSL dopo che sono stati aggiornati. Aggiornare il proprio sistema, le distribuzioni Linux stanno rilasciando update in questo momento. Tenere sotto controllo i propri account.

fonte: http://www.wired.it/attualita/tech/2014/04/09/come-funziona-falla-heartbleed