Quando si gestisce un sistema informativo, bisogna fare in modo che questo sia protetto da attacchi più o meno subdoli. Una delle precauzioni principali da prendere riguarda la gestione delle credenziali d’accesso al sistema, che devono rispondere a specifici criteri di sicurezza che prevengano accessi non autorizzati, in ottemperanza alle elementari regole di sicurezza informatica ed al D. Lgs. 196 del 2003 conosciuto anche come “Testo Unico sulla Privacy“. Pur esistendo dispositivi che permettono di fornire le proprie credenziali in modo sicuro, come ad esempio smart card e dispositivi biometrici, in realtà il metodo più usato consiste ancora nel fornire un’accoppiata Nome Utente – Password come credenziali d’accesso al sistema informativo.

In particolare, è centrale il problema di come gestire le password associate ad ogni account, che rappresentano il punto debole e maggiormente attaccabile da parte di un malintenzionato, per cui è necessario prendere alcuni accorgimenti nella scelta e gestione delle password:

• segretezza della password: la password deve essere segreta, e nota solamente al legittimo utilizzatore di quelle determinate credenziali d’accesso ed al responsabile delle password, inoltre, l’utente non deve lasciare in giro appunti o post-it con in bella mostra la propria password, come troppo spesso succede;
• lunghezza della password: se un ipotetico “attaccante” cerca di scoprire la password di un utente tramite “tentativi” automatizzati (il cosidetto attacco a forza bruta), l’attacco avrà maggior successo se la password attaccata è breve, a differenza di una password lunga che, ovviamente, per essere indovinata necessita di un maggior numero di tentativi;
• complessità della password: l’utente, scegliendo una password, dovrà fare in modo che questa non contenga riferimenti a sé stesso o all’ambito familiare, infatti un malintenzionato, utilizzando eventualmente tecniche di ingegneria sociale, potrà scoprire riferimenti della vita privata dell’utente che riutilizzerà immediatamente come tentativo di accesso non autorizzato, se poi l’attaccante è un nostro collega di lavoro (cosa possibile anche se non frequente) non dovrà sforzarsi molto per conoscere particolari che ci riguardano; altro accorgimento in questo senso può essere quello di utilizzare caratteri non standard (come segni di interpunzione o spazi) nella composizione della password, misura utile anche nei casi di attacchi “brute force”;
• durata della password: una password, per essere considerata sicura, dev’essere cambiata entro un periodo di tempo ragionevole, ciò rende la vita più difficile ad un malintenzionato che intende “rubare” la password, inoltre consente di “richiudere fuori” un attaccante venuto in possesso delle nostre credenziali, anche se in questo caso probabilmente il danno è già stato fatto

Continue Reading »

Segnalo 2 interessanti articoli che  trattano delle nuove disposizioni che il Garante della privacy  chiede agli amministreatori di sistema  più trasparenza e controllo sul loro operato, e fissa in quattro mesi il tempo massimo per metterli in regola.

Ecco quanto dice il garante:

Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema

alcune considerazioni:

Garante Privacy: misure e accorgimenti per amministratore di sistema

Voi siete pronti ad adeguarvi a tutto??……

Continuo a vedere sempre più spesso che la gente quando usa la posta elettronica non pensa alla privacy altrui e non tiene in considerazione le leggi della Netiquette .
Questa secondo me è una grave mancanza di disciplina degli internauti e dovrebbe essere insegnata nei corsi di base di computer. Perchè molta gente risponde ancora alle catene di Sant’Antonio ? Nessuno segue le regole RCF 1855, ecco il problema principale.
Se tutti tenessereo presente che si possono inoltrare email anche in bcc o ccn (con gli indirizzi altrui nascosti) si risolverebbero tante fastidiose email innutili che continuano a girare imperterrite nella rete scambiando miglialia di indirizi email. Prima o poi questi messaggi tornano a passare tra le mani dei fatidici spammers che ci riempiono di messaggi inutili con pubblicità e altre cose fastidiose o ingannevoli.
Mi ricordo che una persona un giorno mi disse che alla Microsoft sono stati denunciati un bel pò di dipendenti solo per aver fatto inoltra di una mail lasciando quindi anche altri indirizzi nel corpo del messaggio (violazione della privacy).
Se si inizia a pensarla in questa maniera possiamo combattere lo spam ed avere un certo uso consapevole di questo strumento potentissimo quale è internet e la mail.

In fondo si tratta solo di seguire delle norme per il rispetto degli altri, infatti la Netiquette è una norma di comportamento specifica per internet e che se rispettata permette di avere un servizio migliore di quello che conosciamo al giorno d’oggi.

Se abbiamo il timore che qualcuno spii i messaggi che scambiamo con i nostri contatti su Windows Live Messenger, possiamo criptarli per proteggere la nostra privacy.
Nel percorso che va dal nostro computer a quello del contatto di Windows Live Messenger a cui li abbiamo inviati, i nostri messaggi potrebbero essere intercettati da qualche malintenzionato. Per risolvere tutti i nostri problemi,  possiamo criptare i messaggi scambiati su Windows Live Messenger con il programma gratuito SimpLite.

Il funzionamento di SimpLite è molto semplice. I messaggi che scriviamo su Windows Live Messenger, prima di essere mandati su Internet per raggiungere il contatto di Windows Live Messenger a cui li abbiamo inviati, vengono criptati da SimpLite. In questo modo, se qualcuno devesse riuscire ad intercettarli durante il percorso che fanno su Internet non riuscirebbe a leggerli.

I messaggi criptati arrivano quindi al computer del contatto di Windows Live Messenger a cui li abbiamo inviati. Qui il programma SimpLite li decripta e li mostra video, come se nulla fosse accaduto. Come già intuito, questa soluzione, molto efficace, ha un unico limite: sia noi che il contatto di Windows Live Messenger con cui vogliamo scambiare dei messaggi in forma criptata devono avere installato SimpLite sui loro PC.

Continue Reading »

Aggiungere per tutti i client mail di una rete la firma automatica (Es. informativa privacy) diventa piuttosto lavorioso e noioso. A questo problema ci viene incontro Altermime che integrato con postfix ci permette di raggiungere il nostro scopo. Ecco alcune indicazioni su come procedere :

Continue Reading »

Il progetto Hacker High School é finalizzato a fornire materiali informativi su come difendersi in rete stimolando l’interesse dell’ Hacker che c’è in tutti noi.
L’obbiettivo é quello di sviluppare una conoscenza sull’ Hacking per identificare autonomamente i problemi di sicurezza e di privacy, imparando ad assumere decisioni responsabili in materia di sicurezza.

1. Essere un hacker
2. Windows e Linux
3. Porte e Protocolli
4. Servizi e Connessioni
5. Identificazione del Sistema
6. Malware (Virus, Trojan, etc.)
7. Analisi di un attacco
8. Digital Forensics “casalinga”
9. Sicurezza nell’E-mail e Privacy
10. Sicurezza Web e Privacy
11. Le Password
12. Internet: Legislazione ed Etica

Ovviamente Il progetto è orientato a chi si “affaccia” per la prima volta a questo mondo, cercando allo stesso modo di dare un’infarinatura generale sui concetti base in materia.  Potrebbe esser l’inizio di una nuova materia da inserire alle elementari e medie…..lezioni di hacking