gennaio, 2010:

Frode online bancoposta: poste italiane risponde

Un saldo drasticamente basso, il controllo della lista dei movimenti e scatta il panico: le frodi online sono dolorose, fanno male e si ha la sensazione di combattere un nemico invisibile.

Non riconoscendo gli addebiti si punta immediatamente a denunciare l’accaduto alle autorità e ad interpellare la propria banca sull’accaduto.

Vale la pena, a mio avviso, soffermarsi sulla risposta che è stata fornita dall’ufficio reclami di BancoPosta ad un amico, vittima della frode. Impeccabile, trasparente e corretta anche da un punto di vista tecnico. Riassumo e stralcio.

Gentile Cliente,

con riferimento alla sua richiesta d’informazioni riguardante le operazioni online diposte dal conto corrente a Lei intestato, Le facciamo presente che dalle verifiche effettuate dette transazioni risultano eseguite con il corretto inserimento dei codici di accesso segreti per il riconoscimento del titolare.

Leggi “non ci sono errori tecnici o contabili a noi imputabili: le transazioni sono avvenute nel rispetto delle modalità previste“.

Possiamo perciò supporre che i fatti da Lei segnalati siano riconducibili ad un caso di frode informatica. Come Le sarà certamente noto, le modalità mediante le quali può essere realizzato in furto d’identità online può essere vario.

Leggi “Sei in buona fede e credo perfettamente alla tua versione dei fatti. E ti aiuto anche a capire come può essere successo tanto…“.

Può ad esempio accadere che sia lo stesso cliente a digitare inconsapevolmente i propri codici d’accesso in un sito che solo apparentemente risulta essere quello del proprio istituto di credito al quale si è collegato direttamente da un link ricevuto via posta elettronica.

Leggi “Lo sai che non devi MAI accedere alla banca tramite link ricevuti in posta? Lo sai quante mail di phishing del nostro istituto girano giornalmente?“

Può anche verificarsi che sul personal computer non adeguatamente protetto vengano installati all’insaputa dell’utente “programmi spia”, in grado cioè di raccogliere informazioni dal computer e di trasmetterle via rete.

Leggi “Il personal computer è un problema tuo, non della tua banca: dovevi “proteggerti adeguatamente” “

Una volta carpiti i dati personali sono utilizzati fraudolentemente a danno degli ignari utenti. Deve, perciò, essere cura di chi utilizza strumenti informatici adottare tutte le cautele necessarie per garantire la riservatezza dei propri dati.

Chiusura con applauso: in altre parole, è colpa tua quindi Poste non può fare nulla a riguardo.

Per la massima correttezza e trasparenza, nel caso in questione gli ammanchi erano riconducibili a transazioni online che prevedevano, oltre ad utente e password anche l’inserimento di un pin dispositivo. Anche la comunicazione agli utenti è stata chiara e costante, come segnalato anche nella lettera stessa al cliente.

Nella fattispecie, le probabili cause sono entrambe altamente verosimili.

Volendo escludere che sia stato carpito qualche dato di troppo nell’ultimo attacco ai server di posteitaliane, così come ci piace sperare che non sia andato a buon fine uno dei tanti tentativi di phishing ai danni di Poste Italiane e dei suoi clienti, resta altamente probabile la presenza sul personal computer dell’utente di qualche malware e/o rootkit e/o keylogger.

Per una volta mi voglio togliere dai panni di chi i sistemi di sicurezza li disegna e governa e voglio mettermi nei panni dell’utente che si avvicina timidamente al cosiddetto home banking.

Oggettivamente gli interrogativi esistono.
Siamo sicuri che in questo scenario l’istituto di credito abbia messo in campo tutte le possibili accortezze per eliminare, abbattere o semplicemente mitigare a sufficienza il rischio che una frode possa andare a buon fine?
A questo punto, l’ignaro utente truffato come può essere tutelato?
Le associazioni di consumatori possono essere d’aiuto in questi casi?
Non è pensabile dotarsi di una copertura assicurativa per il trasferimento del rischio residuo (come mi risulta succeda in altri istituti di credito)?
Perchè non adottare una notifica diretta dell’imminente transazione (telefono, mail, sms)?
Perchè non dotare i propri clienti di un certificato digitale per il riconoscimento?
Perchè non verificare la presenza a bordo del dispositivo client di un antivirus/malware aggiornato prima di garantire l’accesso alle operazioni online?

Possibile che bastino informative, disclaimer e bacheche per demandare completamente all’utente la verifica della auspicata “adeguata protezione” ?

Forse qualche attenzione in più sull’offerta ai clienti è lecito ipotizzarla.
Riflettere e condividere come sempre mi sembra la strada maestra.

_____
Clusit

Aggregatori di contenuti, news aggregator, aggregatori di notizie: contenuti e consapevolezza

gen 23rd, 2010

by ArMyZ.

11 comments

Molte delle persone che hanno avuto modo e voglia di leggere il mio post si possono suddividere in tre grandi gruppi: chi era padrone dell’argomento (tra cui sicuramente chi ha lasciato il proprio contributo al post), chi conosceva l’argomento ma non approfonditamente e chi invece ha sgranato gli occhi.

I primi hanno letto attentamente seguendo gli spunti di discussione sia sul blog che sui vari streamline. I secondi, che spesso vengono chiamati lurker, cioè chi legge, comprende ed approfondisce cercando di colmare quello che non conosceva dell’argomento. Gli ultimi, che hanno capito poco e non pensano minimamente di intervenire nella discussione per evitare banalità o semplicemente perchè non si sentono affatto coinvolti direttamente.

Gli spunti, le discussioni, i contributi e le osservazioni ricevute da chi si è dedicato alla lettura del mio post mi hanno spinto a spiegare, aldilà specificatamente dell’evento fortuito trattato, cosa siano gli aggregatori e, soprattutto, perchè ci siano dei casi in cui è bene verificare il loro funzionamento.

E’ evidente che un aggregatore di notizie possa essere un business o una fonte più o meno diretta di guadagno.

L’idea nasce dal voler monetizzare le caratteristiche spiccate di aggregazione e di modularità offerte dai “generatori di contenuto” siano essi streamline di social network, blog, riviste, CMS o quant’altro produca un feed da poter gestire correttamente.
Monetizzare e gestire correttamente: due aspetti diversi dello stesso argomento.
Da un punto di vista di marketing essere proprietario di un sito/servizio che riceve n-mila accessi alla settimana, X visitatori unici e chi più ne ha più ne metta significa avere una grande leva pubblicitaria e conseguente potenziale valore economico.
Come rendere appetibile questo servizio per raggiungere i livelli di frequentazione descritti e utili al business?
La parola chiave è contenuti, ovviamente. E perchè non prenderli già pronti?

L’aggregatore di notizie svolge difatto un ruolo di rassegna stampa per quel dato argomento avvalendosi di una cernita a monte sulle sorgenti d’informazione e al tempo stesso sulla qualità dei contenuti selezionati. Il tutto viene gestito tramite feed RSS.
Pertanto, se io volessi essere informato, ad esempio, delle ultime notizie dal mondo Apple posso importare un feed del servizio ipotetico importaquestoipoteticofeed.it/Apple ed avere comodamente tutte le notizie (originariamente sparse per la rete) concentrate e strutturate sul mio lettore di news preferito o direttamente sul sito web del servizio d’aggregazione.

Quindi il sistema è semplice: importo dei buoni contenuti, appetibili e li rendo disponibili tramite il sito web del servizio. Quest’ultimo, forte dei dati di accesso e della qualità dei contenuti, lo farcisco di pubblicità (i cui proventi andranno al titolare del servizio, non all’autore del contributo, ndr).

E’ un accordo tra le parti, è business. Si perchè le fonti autorevoli che fanno da volano del servizio forniscono solitamente espressa autorizzazione alla pubblicazione/aggregazione dei loro contenuti e spesso sono loro stessi a chiedere di aderire. In cambio hanno una visibilità maggiore, una sorta di vetrina in più su cui essere presenti.

Fin qui è un meccanismo strano ma abbastanza lineare visti gli accordi diretti tra la fonte e chi la utilizza.

Il problema nasce quando vi sono degli aggregatori che non richiedono l’autorizzazione alla pubblicazione dei contenuti altrui o quando ci si imbatte in una catena d’aggregazione.

Immaginate quali controlli dei contenuti possano essere effettuati quando si presentano dei casi come quello che è successo anche a me, in cui il servizio di aggregazione aggregava a sua volta un aggregatore di notizie.

E’ il caos. C’è il rischio di perdere completamente il controllo di dove i tuoi contributi sono pubblicati (senza autorizzazione) e con quale scopo. Nel mio caso, inoltre, essendo i contenuti rilasciati con licenza Creative Commons share-alike non-commercial, si prefigurava anche una violazione delle condizioni d’uso dettate dalla suddetta licenza.

Nel caso specifico pare si sia trattato di una sfortunata serie di eventi sfavorevoli ma posso affermare con certezza che analoghe o peggiori situazioni continuano a verificarsi in barba a qualsiasi tipo di netiquette, accordo o persino licenza.

Quanto emerge è un quadro in cui in molti stanno investendo quindi occorre sempre sgranare gli occhi e prestare la massima attenzione.

In questo contesto, al momento, significa: controllare sempre i link entranti, controllare la statistiche d’accesso, verificare anomalie, prendere dimestichezza con le query avanzate di google (e non solo) nonchè inserire svariati collegamenti ad altri propri post in modo da monitorare eventuali link entranti da risorse non conosciute o autorizzate.

Sì, al momento, visto che anche questo campo è quanto mai in continua evoluzione e reciproco adattamento.

____
Clusit

Le strane attività degli aggregatori di notizie – il caso di socialblog.it -

gen 22nd, 2010

by ArMyZ.

37 comments

Sono tanti i feed aggregator e ne nascono sempre di nuovi in continuazione. Sono estremamente comodi in quanto selezionano il contenuto tra i vari blog che aderiscono all’iniziativa, per categoria e per qualità.

In teoria, una redazione che predispone una sorta di rassegna stampa della blogosfera per argomenti.

In pratica, a volte, succedono cose strane.

Succede infatti di trovare contenuti propri aggregati altrove senza alcun tipo di autorizzazione.

Guardando i link in entrata sul mio blog, ho notato quanto segue:

La mia bacheca WP

Noto sulla bar l’indirizzo: non ricordo di aver autorizzato o richiesto alcun tipo di aggregazione/affiliazione a quel circuito denominato socialblog.it.

Clicco. Evidentemente un link rimosso. Strano. Condivido le mie perplessità su dei SN.

Google è un amico:

Ricerco i miei contenuti indebitamente aggregati da socialblog.it

Eccoli i link, regolarmente indicizzati ma cliccando non vedi l’articolo. Nessuno dei due che sono rispettivamente qui e qui.

In pratica oltre al web scraping (e l’appropriazione di contenuti non autorizzata) anche un problema di reputation visto che i titoli indicizzati e l’incipit dei contributi sono evidentemente riferiti a mie pubblicazioni che gli utenti alla fine NON trovano.

Nulla di grave ma visto che su quel sito la pubblicità abbonda e sfrutta anche il richiamo dei miei contributi, la situazione scoccia. Da notare la licenza creative commons, del tutto ignorata, col quale sono pubblicati i miei post.

Provo a contattare tramite il modulo contatti. Risultato: pagina bianca. Non saprò mai se la mia segnalazione e richiesta chiarimenti è andata a buon fine o meno. Non un bel biglietto da visita per i miei gusti.

Whois:

Whois del dominio socialblog.it

Due nomi: uno verosimilmente polacco ed uno italiano.

Google. Uno legato ad altre registrazioni per conto della società trevigiana Domains Income (vedi footer di socialblog.it) e l’altro legato al marketing su social network.

Socialblog.it venduto

Contattato l’italiano su friendfeed (il thread al momento è pubblico) dice di aver venduto ma il whois del nic non sembra essere d’accordo (o semplicemente non si son presi la briga di aggiornarlo, capita).

Ad ogni modo, non ho motivo o interesse a non credergli.

Morale della favola, controllate sempre i link in ingresso e sui vostri post fate un link sempre ad un altro vostro post: sembrerete megalomani ma non a tutti.

Non resta che aspettare la rimozione da parte di google dei link non più presenti.

N.B: le informazioni di cui sopra sono, al momento, pubbliche ed interamente disponibili a chiunque.

****Aggiornamento 1****

Cache di google in data 22/01/2010

“Fonte: BloggerItaliani.com via Merlinox in Google Reader“?

****Aggiornamento 2 ****

La società Domains Income S.rl., nella persona di Angelo Di Sotto, si è resa disponibile a chiarire il disguido tecnico alla base dell’erronea pubblicazione di due miei post non autorizzati. Qui trovate il commento e le giustificazioni addotte. Si ringrazia Angelo Di Sotto per la celere disponibilità.

****Aggiornamento 3 ****

Con qualche accortezza si riesce a tracciare quanto viene copiato dal tuo blog.
Appena verificato su allblogs.it (nota: allblogs.it è autorizzato ad usare i mie contributi *se li prende da me*, non da terzi)

Allblogs.it importa via socialblog.it che importa da bloggeritaliani.com che importa da me

Insomma, siamo arrivati ad aggregatore di aggregatore di aggregatore di contenuti.

Microsoft e sicurezza: ossimoro?

gen 20th, 2010

by ArMyZ.

5 comments

Senso di sicurezza avvertito dagli utenti Microsoft

Ancora non si fermano le polemiche sulle vulnerabilità di IE, sul ruolo che sembra aver ricoperto nel braccio di ferro Google Vs Cina.

Dapprima era confermata solo per IE6, poi è stato reso noto un Proof of Concept per IE7 tanto da spingere Microsoft ad ipotizzare un rilascio straordinario (out of band).

Mentre in Italia fonti ufficiali (SPC CERT) e auterevoli confermano che al momento IE8 è immune da questa vulnerabilità, Francia (CERTA) e Germania (BSI) consigliano di utilizzare un browser alternativo.

A questo scenario già abbastanza confuso e critico, si aggiunge il full disclosure di Tavis Ormandy, security engineer presso Google.

Per mantenere il supporto legacy per le applicazioni 16-bit, dal 1993 tutti i sistemi Microsoft si portano dietro questa vulnerabilità.

La cosa interessante è che la stessa Microsoft, a detta dello scopritore della vulnerabilità, fu informata il 12 giugno 2009 la quale confermò la ricezione 10 giorni dopo.

Nessuna patch o workaround ufficiale. Un silenzio che ha portato l’autore alla pubblicazione della vulnerabilità.

Curioso tempismo o meno resta un momentaccio per gli utenti microsoft.

_____
Clusit

RSA a 768 bit fattorizzato. Avanti il prossimo

gen 17th, 2010

by ArMyZ.

2 comments

RSA-768: è di questi giorni la notizia della fattorizzazione del numero di 768 bit, 232 cifre decimali su cui si basa il modulo 768-bit dell’RSA.

Un successo, visto che era nella Challenge list dell’RSA.

L’approccio utilizzato è il Morrison-Brillhart.

Alcune considerazioni.
Il modulo a 768-bit, ovviamente, non è più raccomandato specie per le implementazioni prossime.

Dando uno sguardo alle velocità con cui siamo passati dalla fattorizzazione del modulo a 512-bit (1999) a quello a 768-bit si ritiene che in una decade si possa arrivare a fattorizzare anche il numero (chiave) a 512-bit (number field sieve factoring method).

Per gli addetti ai lavori, è possibile approfondire scaricando il paper.
La sola attività di identificazione degli interi (number field sieve) appropriati ha comportato uno sforzo computazionale equivalente a 1500 anni di elaborazione con un core di un opteron a 2.2 GHz ed ha prodotto oltre 5 TB di dati.

Nessuno sconvolgimento quindi, ma solo un gran bel risultato che aiuta il phasing out del modulo con chiave a 1024-bit previsto proprio nel 2010.

____
Clusit

gennaio, 2010:

Frode online bancoposta: poste italiane risponde

Microsoft e sicurezza: ossimoro?

RSA a 768 bit fattorizzato. Avanti il prossimo

Gli ultimi post

Gli ultimi commenti

Cerca

Categorie

Archivi

Meta

SETI@Home Stats

Io in rete

gennaio: 2010
L	M	M	G	V	S	D
« dic				feb »
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	31