Eccoci arrivati dunque nel 2017, che cosa ci riserverà questonuovo anno in campo informatico?La tecnologia ha sicuramente fatto passi da gigante, ma la sicurezzainformatica tende a non mantenere lo stesso passo... ;-))Gli amici che non hanno visto la pubblicazione di nessun postnel mese di gennaio, hanno subito pensato ad una fuga dal blogma vi posso assicurare che non sono fuggito, ma me la sto solo prendendo molto comoda, anche in vista di impegni abbastanza importanti che richiedono e hanno richiesto la mia personale presenza, soprattutto a livello informatico.In questo primo post del 2017 intendo offrire una semplice maaltrettanto attuale verità informatica sulla sicurezza in unambiente molto usato ai giorni nostri, quello che tutti (spero)conoscete come E-Banking, ovvero la gestione del proprio contoe delle proprie carte di credito attraverso la rete internetsenza dover fare la fila per ogni operazione richiesta agli sportelli bancari... ;-))Nonostante le ripetute attenzioni da parte degli organi preposti di controllo, gli utenti tendono a sminuire o addirittura apensare che a loro non possa mai succedere una cosa di questo tipo, ma in realtà queste cose succedono ogni giorno qui inItalia e all'estero, infatti, sono sempre di più le truffe chevengono eseguite in rete per trovare i codici di accesso aiconti E-Banking degli utenti.Analizziamo la situazione in modo adeguato e logico:Un utente deve operare il proprio conto corrente attraverso la reteinternet, ma non pensa minimamente alla sicurezza della transazioneperché la propria banca ha fornito la SUPER-SICURA chiavetta perla generazione di password OneTime, ovvero password che scadonodopo 15-20 secondi, dopodiché si è costretti a reinserire unanuova password, se sbagliate l'inserimento per tre(3) volte, ilsistema bancario blocca l'account utente per 24 ore e poi vi permetterà di riaccedere di nuovo.Un criminale informatico a questo punto, ha due possibilità, unaè quella di inserire un ramsomware nel computer dell'utente cheil quel periodo di tempo ha ottenuto l'accesso al proprio sistemabancario per effettuare le operazioni richieste, l'altra possibilitàè quella che il suddetto criminale informatico abbia ottenuto unaccesso privilegiato allo stesso sistema bancario, quindi accettandoe validando l'accesso dell'utente sul servizio compromesso, puòin seguito operare trasferimenti di denaro all'insaputa degliutenti. Ora, come può fare un comune utente per difendersi da questi tipiparticolari di attacchi informatici?Riferisco qui un antico versetto tratto dall'Arte della Guerra:Sun Tzu"Conosci il nemico, conosci te stesso, mai sarà in dubbio il risultato di 100 battaglie".Devo dire che dopo migliaia di anni, questo trattato si applica molto bene anche al moderno scenario informatico del nostro tempo.Infatti quella che stiamo combattendo, è una vera guerra, fattadi bit, i quali vogliono essere conquistati dai moderni criminaliinformatici, e vengono difesi dagli utenti legittimi in opposizioneal dominio informatico del male... ;-))Quindi iniziamo a conoscere da vicino "il Nemico", questo nemicoè oggi noto come "cybercrime", ovvero attività svolte allo scopodi ottenere principalmente denaro, in quanto i sistemi bancarisono al primo posto negli interessi dei criminali informatici, poici sono naturalmente la raccolta informativa e il dossieraggioche possono servire a ricattare gli utenti interessati da questiattacchi e quindi ottenere sempre un pagamento in denaro.Esistono programmatori che creano software specifici per leintrusioni informatiche, questi gruppi di programmatori vengonousati da sempre sia da organizzazioni governative che da varigruppi del crimine cosiddetto "organizzato".Gli obiettivi sono sempre gli stessi, denaro, informazioni ericatti, servono sempre ai loro scopi principali... ;-))Detto questo, valutiamo ora una possibile difesa che possa almenogarantire una sicurezza minima all'utente che vuole usare il contoE-Banking in modo corretto e possibilmente sicuro:L'utente deve "conoscere se stesso", in pratica quando usate laconnessione E-Banking, dovete usare solo quella, e non dovete andare in giro sulla rete a scaricare documenti, video o altromateriale che può contenere(sicuramente...) potenziali strumentidi attacco nei vostri confronti. ;-)Una delle prime linee di difesa per l'utente è quella di creareun computer preparato SOLO per questa operazione bancaria, esistonodistribuzioni GNU/Linux che possono essere preparate per fare molto bene questo tipo di lavoro, mi ricordo che molti anni faalcune banche del Lussemburgo davano ai loro dipendenti un PCportatile considerato "sicuro" per le proprie transazioni bancarie.In Italia invece gli utenti si devono arrangiare con quello che hanno a loro disposizione, compresi i PC da dedicare esclusivamentea trattare questo tipo di connessione, e a parte le procedure dilogin sui siti di E-Banking, la sicurezza non è certo un fattoredeterminante, in quanto facendo riferimento agli ultimi fattidi cronaca in rete, ormai i criminali informatici prediligonodi gran lunga questo settore molto remunerativo per loro... ;-))Ricapitolando il succo del presente post, ogni utente che vogliaavere una piccola sicurezza di base del proprio E-banking deveprima fare i conti con se stesso, ed evitare di scaricare mail odocumenti in formato .PDF anche se realmente provenienti dalproprio istituto di credito, vi ricordo che il formato PDF cometanti altri formati di documenti elettronici, può essere usatoper inserire codice malevolo e forzare il sistema dell'utentea fornire i codici di accesso al suo conto elettronico senza chequest' ultimo se ne possa accorgere, tali dati saranno validi siaper l'utente legittimato che per il criminale informatico cheha lanciato questo assalto in rete.Per quanto riguarda gli assalti alle reti bancarie, un utente disolito non può fare molto, ma una veloce tecnica di base consistenel verificare l'indirizzo IP del server bancario, anche se questo sistema è ormai superato in quanto le tecniche di assaltovengono perfezionate ogni giorno dai criminali informatici, peresempio, il server bancario continua a funzionare, ma i servizisono compromessi dall'interno e questo un comune utente non puòsaperlo perché il servizio funziona lo stesso per lui benchèil criminale informatico non sia intenzionato solo alla raccoltainformativa dei soli dati di accesso... :-)Altre cause di un assalto bancario interno, possono essere larelativa infedeltà aziendale da parte di personale autorizzatointerno appunto ai sistemi di controllo E-banking, cattiva gestione a livello informatico di sistemi critici per la retebancaria.Personalmente, se devo raccontare tutto quello che ho visto incampo di sicurezza E-banking, potrei scrivere benissimo un librosu questo argomento...:-))Fate quindi molta attenzione alle vostre transazioni bancariema soprattutto considerate il fatto di usare un computer preparatoper effettuare solo questo tipo di lavoro, inoltre salvate sempretutti i log di sistema, questi vi potranno servire benissimo perdimostrare la vostra estraneità alle connessioni bancarie abusiveche potrebbero essere fatte a vostro danno dai criminali informatici.Ricordate che la sicurezza primaria parte sempre dal singoloutente, non pensate che se la vostra banca vi fornisce i codicidi accesso voi possiate essere sempre al sicuro, e in effetti, nonè così...;-))Tutti i computer possono essere violati, anche quelli preparatiper questo particolare caso, ma mantenendo i log aggiornati inseparata sede, potete dimostrare in moltissimi casi, che quella connessione non era la vostra, e tentare magari il recupero dellesomme sottratte secondo gli accordi contrattuali con il vostroistituto di credito.Moltissimi assalti di questo tipo vanno a segno proprio perchéè l'utente stesso che nega la possibilità di un furto ai suoi danni, ma quando succede, sono dolori...;-))Il comportamento di rete è diverso da persona a persona, quindibisognerebbe trattare ogni utente bancario in modo diverso daglialtri, cercando di insegnare all'utente un comportamento di reteadeguato alla sua vita virtuale, creando un filo personale direttotra la banca e l'utente.Molte volte questo non succede, e la banca in molti casi puònegare il risarcimento delle somme perse se il computer dell'utentenon rispondeva a particolari configurazioni o a comportamentiscorretti, infatti, molti assalti bancari partono proprio dalcomputer dell'utente, con i suoi codici di accesso, ed in realtàsi tratta sempre al 90% di criminali informatici che hanno resoil computer dell'utente uno Zombie, pronto a risvegliarsi al lorocomando. :-))Quindi fate sempre molta attenzione al vostro modo di lavorarein rete, pensate sempre prima di effettuare un acquisto su internetvalutate il grado di sicurezza che il vostro istituto di creditopuò offrirvi, verificate sempre gli indirizzi assegnati ai serverbancari, ma soprattutto cercate di usare sempre dei sistemi chehanno una buona sicurezza primaria, costruite la vostra vitavirtuale partendo dalla sicurezza di base del comportamento chedovrete tenere in rete.Controllate sempre il vostro conto, e se non ritenete sufficientequesta sicurezza di base, stampate i log di sistema dopo ognisessione bancaria, raccogliendoli in fascicoli annuali, vi sarannomolto utili nel caso possiate subire una frode di tipo elettronico.Bene, penso che come primo post del 2017 possa andare, allora visto che non sono stato presente lo scorso mese, ne approfittoper augurare a tutti voi un buon 2017 :-) Mandi mandi :-)
E-banking 2017: note sulla sicurezza per utenti distratti.
Eccoci arrivati dunque nel 2017, che cosa ci riserverà questonuovo anno in campo informatico?La tecnologia ha sicuramente fatto passi da gigante, ma la sicurezzainformatica tende a non mantenere lo stesso passo... ;-))Gli amici che non hanno visto la pubblicazione di nessun postnel mese di gennaio, hanno subito pensato ad una fuga dal blogma vi posso assicurare che non sono fuggito, ma me la sto solo prendendo molto comoda, anche in vista di impegni abbastanza importanti che richiedono e hanno richiesto la mia personale presenza, soprattutto a livello informatico.In questo primo post del 2017 intendo offrire una semplice maaltrettanto attuale verità informatica sulla sicurezza in unambiente molto usato ai giorni nostri, quello che tutti (spero)conoscete come E-Banking, ovvero la gestione del proprio contoe delle proprie carte di credito attraverso la rete internetsenza dover fare la fila per ogni operazione richiesta agli sportelli bancari... ;-))Nonostante le ripetute attenzioni da parte degli organi preposti di controllo, gli utenti tendono a sminuire o addirittura apensare che a loro non possa mai succedere una cosa di questo tipo, ma in realtà queste cose succedono ogni giorno qui inItalia e all'estero, infatti, sono sempre di più le truffe chevengono eseguite in rete per trovare i codici di accesso aiconti E-Banking degli utenti.Analizziamo la situazione in modo adeguato e logico:Un utente deve operare il proprio conto corrente attraverso la reteinternet, ma non pensa minimamente alla sicurezza della transazioneperché la propria banca ha fornito la SUPER-SICURA chiavetta perla generazione di password OneTime, ovvero password che scadonodopo 15-20 secondi, dopodiché si è costretti a reinserire unanuova password, se sbagliate l'inserimento per tre(3) volte, ilsistema bancario blocca l'account utente per 24 ore e poi vi permetterà di riaccedere di nuovo.Un criminale informatico a questo punto, ha due possibilità, unaè quella di inserire un ramsomware nel computer dell'utente cheil quel periodo di tempo ha ottenuto l'accesso al proprio sistemabancario per effettuare le operazioni richieste, l'altra possibilitàè quella che il suddetto criminale informatico abbia ottenuto unaccesso privilegiato allo stesso sistema bancario, quindi accettandoe validando l'accesso dell'utente sul servizio compromesso, puòin seguito operare trasferimenti di denaro all'insaputa degliutenti. Ora, come può fare un comune utente per difendersi da questi tipiparticolari di attacchi informatici?Riferisco qui un antico versetto tratto dall'Arte della Guerra:Sun Tzu"Conosci il nemico, conosci te stesso, mai sarà in dubbio il risultato di 100 battaglie".Devo dire che dopo migliaia di anni, questo trattato si applica molto bene anche al moderno scenario informatico del nostro tempo.Infatti quella che stiamo combattendo, è una vera guerra, fattadi bit, i quali vogliono essere conquistati dai moderni criminaliinformatici, e vengono difesi dagli utenti legittimi in opposizioneal dominio informatico del male... ;-))Quindi iniziamo a conoscere da vicino "il Nemico", questo nemicoè oggi noto come "cybercrime", ovvero attività svolte allo scopodi ottenere principalmente denaro, in quanto i sistemi bancarisono al primo posto negli interessi dei criminali informatici, poici sono naturalmente la raccolta informativa e il dossieraggioche possono servire a ricattare gli utenti interessati da questiattacchi e quindi ottenere sempre un pagamento in denaro.Esistono programmatori che creano software specifici per leintrusioni informatiche, questi gruppi di programmatori vengonousati da sempre sia da organizzazioni governative che da varigruppi del crimine cosiddetto "organizzato".Gli obiettivi sono sempre gli stessi, denaro, informazioni ericatti, servono sempre ai loro scopi principali... ;-))Detto questo, valutiamo ora una possibile difesa che possa almenogarantire una sicurezza minima all'utente che vuole usare il contoE-Banking in modo corretto e possibilmente sicuro:L'utente deve "conoscere se stesso", in pratica quando usate laconnessione E-Banking, dovete usare solo quella, e non dovete andare in giro sulla rete a scaricare documenti, video o altromateriale che può contenere(sicuramente...) potenziali strumentidi attacco nei vostri confronti. ;-)Una delle prime linee di difesa per l'utente è quella di creareun computer preparato SOLO per questa operazione bancaria, esistonodistribuzioni GNU/Linux che possono essere preparate per fare molto bene questo tipo di lavoro, mi ricordo che molti anni faalcune banche del Lussemburgo davano ai loro dipendenti un PCportatile considerato "sicuro" per le proprie transazioni bancarie.In Italia invece gli utenti si devono arrangiare con quello che hanno a loro disposizione, compresi i PC da dedicare esclusivamentea trattare questo tipo di connessione, e a parte le procedure dilogin sui siti di E-Banking, la sicurezza non è certo un fattoredeterminante, in quanto facendo riferimento agli ultimi fattidi cronaca in rete, ormai i criminali informatici prediligonodi gran lunga questo settore molto remunerativo per loro... ;-))Ricapitolando il succo del presente post, ogni utente che vogliaavere una piccola sicurezza di base del proprio E-banking deveprima fare i conti con se stesso, ed evitare di scaricare mail odocumenti in formato .PDF anche se realmente provenienti dalproprio istituto di credito, vi ricordo che il formato PDF cometanti altri formati di documenti elettronici, può essere usatoper inserire codice malevolo e forzare il sistema dell'utentea fornire i codici di accesso al suo conto elettronico senza chequest' ultimo se ne possa accorgere, tali dati saranno validi siaper l'utente legittimato che per il criminale informatico cheha lanciato questo assalto in rete.Per quanto riguarda gli assalti alle reti bancarie, un utente disolito non può fare molto, ma una veloce tecnica di base consistenel verificare l'indirizzo IP del server bancario, anche se questo sistema è ormai superato in quanto le tecniche di assaltovengono perfezionate ogni giorno dai criminali informatici, peresempio, il server bancario continua a funzionare, ma i servizisono compromessi dall'interno e questo un comune utente non puòsaperlo perché il servizio funziona lo stesso per lui benchèil criminale informatico non sia intenzionato solo alla raccoltainformativa dei soli dati di accesso... :-)Altre cause di un assalto bancario interno, possono essere larelativa infedeltà aziendale da parte di personale autorizzatointerno appunto ai sistemi di controllo E-banking, cattiva gestione a livello informatico di sistemi critici per la retebancaria.Personalmente, se devo raccontare tutto quello che ho visto incampo di sicurezza E-banking, potrei scrivere benissimo un librosu questo argomento...:-))Fate quindi molta attenzione alle vostre transazioni bancariema soprattutto considerate il fatto di usare un computer preparatoper effettuare solo questo tipo di lavoro, inoltre salvate sempretutti i log di sistema, questi vi potranno servire benissimo perdimostrare la vostra estraneità alle connessioni bancarie abusiveche potrebbero essere fatte a vostro danno dai criminali informatici.Ricordate che la sicurezza primaria parte sempre dal singoloutente, non pensate che se la vostra banca vi fornisce i codicidi accesso voi possiate essere sempre al sicuro, e in effetti, nonè così...;-))Tutti i computer possono essere violati, anche quelli preparatiper questo particolare caso, ma mantenendo i log aggiornati inseparata sede, potete dimostrare in moltissimi casi, che quella connessione non era la vostra, e tentare magari il recupero dellesomme sottratte secondo gli accordi contrattuali con il vostroistituto di credito.Moltissimi assalti di questo tipo vanno a segno proprio perchéè l'utente stesso che nega la possibilità di un furto ai suoi danni, ma quando succede, sono dolori...;-))Il comportamento di rete è diverso da persona a persona, quindibisognerebbe trattare ogni utente bancario in modo diverso daglialtri, cercando di insegnare all'utente un comportamento di reteadeguato alla sua vita virtuale, creando un filo personale direttotra la banca e l'utente.Molte volte questo non succede, e la banca in molti casi puònegare il risarcimento delle somme perse se il computer dell'utentenon rispondeva a particolari configurazioni o a comportamentiscorretti, infatti, molti assalti bancari partono proprio dalcomputer dell'utente, con i suoi codici di accesso, ed in realtàsi tratta sempre al 90% di criminali informatici che hanno resoil computer dell'utente uno Zombie, pronto a risvegliarsi al lorocomando. :-))Quindi fate sempre molta attenzione al vostro modo di lavorarein rete, pensate sempre prima di effettuare un acquisto su internetvalutate il grado di sicurezza che il vostro istituto di creditopuò offrirvi, verificate sempre gli indirizzi assegnati ai serverbancari, ma soprattutto cercate di usare sempre dei sistemi chehanno una buona sicurezza primaria, costruite la vostra vitavirtuale partendo dalla sicurezza di base del comportamento chedovrete tenere in rete.Controllate sempre il vostro conto, e se non ritenete sufficientequesta sicurezza di base, stampate i log di sistema dopo ognisessione bancaria, raccogliendoli in fascicoli annuali, vi sarannomolto utili nel caso possiate subire una frode di tipo elettronico.Bene, penso che come primo post del 2017 possa andare, allora visto che non sono stato presente lo scorso mese, ne approfittoper augurare a tutti voi un buon 2017 :-) Mandi mandi :-)