Link all'Articolo: http://www.businessmagazine.it/articoli/3621/la-catastrofe-e-dietro-l-angolo-ma-non-importa-a-nessuno_index.html

Parliamo di sicurezza informatica: la situazione attuale mostra un quadro potenziale pericolosissimo, ma istituzioni, opinione pubblica e singoli cittadini sembrano non curarsene

Click sul link per visualizzare l'articolo.

l'ignoranza persiste, e le aziende/enti pubblici ritengono che la sicurezza informatica venga in terzo piano e quindi in periodo di crisi è la primo settore che preferiscono "tagliare". Purtroppo è così...... preferiscono non tagliare sulle mercedes e sui ipad e iphone con sim aziendale, però preferiscono farsi fregare soldi indirettamente da qualche attacco.

bel titolo di merda.

titolo orribile sempra novella 2000

No fuck were given.

Se uno è disposto a rinunciare ad un pò di privacy passa a Chrome OS (magari dentro una VirtualBox) e passa la paura...

Sbaglio o questo articolo è quasi completamente copiato dal giornale WIRED?

bel titolo di merda.

Non trovo parole migliori.

che noia

bel titolo di merda.

titolo orribile sempra novella 2000

Non trovo parole migliori.

che noia

Ma argomenti? Io l'ho trovato invece molto interessante, tra l'altro affronta un tema molto sottovalutato, spero almeno all'apparenza, dalle istituzioni

il titolo sarà anche da novella 2000, ma intanto il powa user si sente al sicuro coll'antivirus e il firewall, mentre non sa quanto siano inutili...
in sostanza è tutto vero, antivirus e firewall non servono (nè in realtà sono mai realmente serviti ad onor del vero), i vari protocolli con cui ci connettiamo ai server sono buggati e sensibili ad una miriade di attacchi...

Il problema della sicurezza è che il 90% del settore sicurezza informatica in Italia è da catalogare come "dilettanti allo sbaraglio".

Inoltre ci sono vari problemi devastanti:

- costi... molti di questi pseudo specialisti che spesso sono meno compententi di molti appassionati non specializzati chiedono cifre devastanti che le aziende oggi non possono permettersi e sì... molti quantificano in minor danno l'attacco informatico rispetto al costo.

- In molte aziende c'è la necessità di non aggiornare per applicativi non compatibili con OS moderni per cui capita di trovare ancora win98/win2k/winXP con tutti i problemi di sicurezza che si può avere su OS così anziani.

Purtroppo essendo un campo molto tecnico è difficilissimo stabilire la qualità di chi assumi per proteggerti e devi basarti sulla fiducia cosa che in Italia sicuramente non funziona e quindi il problema passa nel disinteresse valutando la probabilità di attacco informatico e il costo dello stesso abbastanza bassi da correre il rischio.

bel titolo di merda.

titolo orribile sempra novella 2000

Quoto.

In ogni caso per arginare il problema io partirei con l'educare la gente. Tutti, gente comune e soprattutto aziende.

Gente comune come una persona che conosco, che nonostante per l'home banking aveva, come me, codice utente, pin e codice della token key (che cambia ogni 10 secondi), e' riuscito a farsi fregare dei soldi (non molti per fortuna) perche' ha installato un software arrivatogli via mail dalla banca per migliorare la sicurezza.... MA TI PARE??? Tra l'altro complimenti agli hacker, credevo che la token fosse quasi inviolabile...

Bisogna far imparare prima di tutto che tenersi aggiornati e' una spesa ma e' anche una sicurezza. Avere XP SP1 (o SP 0, liscio) con IE6 senza antivirus e firewall e' come andare a giocare con la palla in tangenziale di notte mentre piove... Magari ancora coi vecchi modem USB...


Uno magari non ha voglia di spendere per cambiare PC o anche solo OS e nel caso delle aziende il costo aumenta in misura ai pc che ha, ma perlomeno far capire loro i danni che potrebbero avere, senza ovviamente andare a dire cose assurde o catastrofiche...

Il problema della sicurezza è che il 90% del settore sicurezza informatica in Italia è da catalogare come "dilettanti allo sbaraglio".

Inoltre ci sono vari problemi devastanti:

- costi... molti di questi pseudo specialisti che spesso sono meno compententi di molti appassionati non specializzati chiedono cifre devastanti che le aziende oggi non possono permettersi e sì... molti quantificano in minor danno l'attacco informatico rispetto al costo.

- In molte aziende c'è la necessità di non aggiornare per applicativi non compatibili con OS moderni per cui capita di trovare ancora win98/win2k/winXP con tutti i problemi di sicurezza che si può avere su OS così anziani.

Purtroppo essendo un campo molto tecnico è difficilissimo stabilire la qualità di chi assumi per proteggerti e devi basarti sulla fiducia cosa che in Italia sicuramente non funziona e quindi il problema passa nel disinteresse valutando la probabilità di attacco informatico e il costo dello stesso abbastanza bassi da correre il rischio.

Io 6 anni fa mi sono ritrovato una signora (lavoravo per una piccola azienda che faceva assistenza tecnica) con un pc dove dovevo far riconoscere una stampante multifunzione su un programma DOS (si', hai letto bene) perche' sta demente non aveva mai aggiornato il programma (un gestionale del ca**o) a quella nuova.

Il bello e' che quando chiamo l'assistenza di quel programma, il tizio mi fa "Ah si', la signora XYZ. Guardi, noi abbiamo cercato di fare di tutto per farla migrare alla versione in Excel, ma non c'e' stato nulla da fare. Noi quel programma non lo supportiamo piu' da 10 anni. Le avevamo proposto anche di fare la migrazione noi e a spiegarle le nuove funzioni, ma non ha voluto sentire ragioni"...

Cioe' con gente cosi', cosa credono di fare... Per non parlare di un'altra aziendina dove il capo aveva un portatile con Windows 98 che usava al lavoro (mentre tutti avevano pc con XP), fortuna che su 95 e 98 mi ci ero fatto le ossa per 7 anni e sapevo dove mettere le mani...

Almeno qui da me attualmente stiamo a dietro alle novita' (cosi' come l'azienda che ci fornisce il software di programmazione) e ora stiamo facendo la migrazione diretta da XP a Windows 8 (che sto gestendo io, che gioia :asd: pero' almeno e' una cosa che mi piace fare) per i computer con il software che vendiamo ai clienti nel pacchetto completo. Giustamente la frase e' stata "visto che tra 1 anno XP non verra' piu' supportato, facciamo la migrazione e tantovale farla direttamente con l'ultimo OS"...


Aggiornarsi e' vero che costa, ma spesso e' piu' per sicurezza che altro. E' pero' anche vero che nel nostro caso lavoriamo nel campo della sanita' e un errore puo' essere non dico fatale ma quasi, per molte persone...

Come sottolineato nell'articolo, e come detto da altri utenti, il problema è anche culturale. Da una parte l'utilizzo di sistemi software obsoleti, dall'atro la scelta delle passwords. Ancora succede in qualche università che un pc viene violato (e da lì l'accesso ad altri pc può diventare molto più facile) perché il nome utente e la password erano uguali e precisamente era un nome di persona! Questo attacco è in grado di farlo anche mia nonna!
In un centro francese molto grande (~ 16 000 dipendenti) dove sono stato un periodo a lavorare, ricevevano attacchi di ogni tipo tutti i giorni. Se ben ricordo, solo di spam ne ricevevano circa 1 milione al giorno!
Eppure il centro è molto sicuro. Solo per la scelta delle passwords ricordo che ne avevo in totale 4, da cambiare ogni 6 mesi (con cambiamenti abbastanza radicali, senza aggiungere o togliere un carattare et similia) e con dei criteri specifici per la scelta.

Il titolo sara pure di merda come dite ma 3/4 dei commenti lo sono altrettanto! :rolleyes:

Per una volta che non si parla di overclock e schede grafiche ma si affrontano argomenti interessanti... se non vi interessa tornate a giocare con la vostra Geforce...

Tornando in topic. Sarà un caso ma nell'ultimo mese i miei account Facebook e Skype sono stati violati (tra l'altro su Skype hanno provato a fregarmi 100 cucuzze!). E dire che uso comunque password alfanumeriche di una decina di caratteri...

non basterà mail tutta la sicurezza del mondo se non si educano le persone a come utilizzare il pc.
il pensiero comune (anche il mio :sofico: ) cmq è 'ma tanto cosa vuoi che hanno da rubarmi!!' ed è il pensiero più sbagliato.
dall' utente casalingo alla piccola azienda a quella grande il problema è comunque la mentalità degli utenti.
se non si educano a non scaricare e non fidarsi di determinate email, comportamenti sul web (criteri delle password), luoghi dove accedere ad internet e come (wifi pubbliche con smartphone e le oro app..), il rischio di farsi fregare una password è dietro l'angolo.
Ora anche l'utente 'casalingo' che comunque lavora nella media impresa, ha uno smartphone aziendale, che utilizza in wifi a destra e a manca, con dentro contatti, email aziendali etc... è ad alto rischio. anche solo banalmente farsi rubare un notebook, un cellulare.. anche questi sono rischi da tenere in conto. altro che sicurezza informatica, siamo ad un livello ben più basso ed elementare.

... però a leggere dai commenti il quoziente intellettivo degli utenti qui non deve essere molto alto...

I problemi per l'utente casalingo:
- sistemi obsoleti come XP SP3 (scritto e pensato nel 2000/2001!!!!!)
- IE pre-9/10
- JAVA plugin per il browser attivato a default (!!!)
- flash player non aggiornato
- fidarsi ciecamente degli antivirus e magari utilizzare spesso crack per giochi/programmi
- password debolissime composte da parole/nomi reali e spesso una sola ed unica password per accedere alla banca, alle email e a facebook (!!!)
- stupidità a cliccare su tutti i link che postano anche i nostri "amici" sui vari social-network
- cadere nel Phishing per email/social network di finti messaggi da finti YouTube con link su cui cliccare etc. etc.

Soluzioni per contrastare il problema:
- Windows 7/8 con UAC attivato ma impostato non a default ma al massimo livello (http://windows.microsoft.com/it-it/windows7/what-are-user-account-control-settings) (richiesta conferma per ogni operazione da amministratore)
- IE9/10+ o Chrome. No FFox o altri non ancora dotati di sandbox preventiva
- JAVA plugin per il browser disattivato: come fare (http://java.com/it/download/help/disable_browser.xml)
- aggiornare flash player, sempre: http://www.adobe.com/software/flash/about/ o semplicemente evitare di usarlo. È anche possibile disattivarlo a default chiedendo per ogni sito conferma da IE9/10: in Gestione componenti aggiuntivi > Barre degli strumenti ed estensioni > Shockwave Flash Object. Cliccare su 'Ulteriori informazioni' in basso e poi il bottone 'Rimuovi tutti i siti'.
- fidarsi relativemente degli antivirus e puntare piuttosto su protezioni implementate a livello di kernel (vedi UAC impostato al massimo), e fare attenzione quando si chiede conferma per far partire l'install o un exe da amministratori
- usare password di fantasia e forti. Usarne una diversa per ogni servizio. Possono essere utili siti come https://identitysafe.norton.com/password-generator# e programmi come KeePass (http://keepass.info/), gratuito e multi-piattaforma (inclusi Windows, Linux, Mac, iOS, Android, WP)
- diffidare al 100% dei link e ...ate postate sui social-network, in cui NON vanno inserite tutte le info personali
- NON cliccare mai su un link in email/social-network prima di visualizzare e verificare l'URL di destinazione e verificare la fonte

Mi sembra un vademecum ragionevole per iniziare...

E aggiungerei che ormai molti aziende e privati dovrebbero decidersi ad aggiornare agli ultimi OS, troppo spesso si vedono in giro ancora pc con windows XP per esempio. Poi come sempre i primi colpevoli sono sempre gli utenti, che con comportamenti sbagliati favoriscono la diffusione di questi malware.

Scusate ma sinceramente ho visto troppa gente definirsi "professionista" oggigiorno e credo che la competenza dei tecnici assunti da pubbliche istituzioni sia troppo spesso troppo scarsa.
Non dico tutti ma troppi tecnici con cui ho avuto a che fare dimostravano paurose lacune e' ovvio che poi cio' si traduce in software colabrodo ...
Vedo gente che gestisce servizi importantissimi che non esegue politiche di controllo o "sanitizing" dei dati passati dagli utenti.
Oppure ancora peggio fa solo controllo lato client con js e NON lato server...
Pertanto basta aggirare il js con un form custom e sei apposto ...
No sinceramente abbiamo servizi importanti gestiti da cialtroni e' ovvio che alla fine i risultati siano questi.

Puntualizzo che c'e' anche gente molto brava ma sono pochi e rari.

hexaae => non consiglierei IE nemmeno al mio peggior nemico. Sinceramente Chrome o FF+plugin "no script" sono 300000 mila volte migliori e ppiu' sicuri di IE ... anche il 10 ..
Odio i prodotti MS e li trovo pieni di falle anche molto gravi. Unitamente al fatto che sono lenti, pesanti e brutti e non compatibili con std w3c etc...

hexaae => non consiglierei IE nemmeno al mio peggior nemico. Sinceramente Chrome o FF+plugin "no script" sono 300000 mila volte migliori e ppiu' sicuri di IE ... anche il 10 ..
Sei rimasto a IE6 forse.
IE 9-10 con Modalità protetta attivata, e se vuoi disabiliti script, metti il flash "on-demand" come ho già spiegato, sono molto sicuri. Tanto da essere consigliati, insieme a Chrome persino da esperti del settore come il pluri-vincitore dei Pwn2Own che si tengono ogni anno.
Non consiglierei oggigiorno al mio peggior nemico FFox in quanto mancante totalmente di una minima sandbox preventiva (tutto è affidato solo alla speranza di avere il software più aggiornato degli exploit in circlazione) implementata invece da anni da IE e poi da Chrome:
http://www.mozilla.org/security/known-vulnerabilities/firefox.html
https://wiki.mozilla.org/Mozilla_2/Protected_mode
https://wiki.mozilla.org/Firefox/Feature_Brainstorming:Security

Sei rimasto a IE6 forse.
IE 9-10 con Modalità protetta attivata, e se vuoi disabiliti script, metti il flash "on-demand" come ho già spiegato, sono molto sicuri. Tanto da essere consigliati, insieme a Chrome persino da esperti del settore come il pluri-vincitore dei Pwn2Own che si tengono ogni anno.
Non consiglierei oggigiorno al mio peggior nemico FFox in quanto mancante totalmente di una minima sandbox preventiva (tutto è affidato solo alla speranza di avere il software più aggiornato degli exploit in circlazione) implementata invece da anni da IE e poi da Chrome: http://www.mozilla.org/security/known-vulnerabilities/firefox.html , https://wiki.mozilla.org/Mozilla_2/Protected_mode , https://wiki.mozilla.org/Firefox/Feature_Brainstorming:Security

Infatti io parlavo di FF + plugin no script. e SI senza sandbox ff pecca un poco. Ma alla fine anche le sandbox vengono bucate.... e sinceramente sono solamente in attesa di leggere la prossima falla di IE...
Unitamente al fatto che e' un browser pessimo! Io lo odio dal profondo visto tutto il lavoro aggiuntivo che mi richiede ogni volta per le compatibilità visto che non e' compatibile quasi con nulla. Unitamente al fatto che' e' un prodotto MS ... azienda che odio profondamente. (soprattutto perche' sono costretto ad usarne i software che cestinerei tempo 0).

Ad ora chrome lo vedo come unico browser da usare, forse forse opera potrebbe essere una alternativa che ne pensi ?

Sinceramente a parte beghe sui browser e sicurezza di java(dannata oracle sii tu maledetta e costretta a chiudere per aver distrutto mysql e java) i problemi piu' grandi sono su chi gestisce i sistemi dagli admin agli sviluppatori.

Infatti io parlavo di FF + plugin no script. e SI senza sandbox ff pecca un poco.
Pecca parecchio: un browser scardinato ma in Low-Integrity (Chrome o IE con UAC e Modalità protetta attivi) può fare ben pochi danni e rendere impossibile una privilege escalation da gran parte del malware presente sui siti... e notare che funziona sempre perché è preventiva la protezione e la sandbox, anche con malware codato 2 ore fa...
Sottovalutare l'importanza di browser ben protetti è uno dei motivi della diffusione di infezioni in aumento, dato che ormai il 90% degli attacchi non viene più dalle email o da virus-file eseguiti in locale incautamente come 10 anni fa (oggi anche i giochi si comprano in digital-download sicuro, scontati)...

Non sono sorpreso del dato dell'articolo quando leggo di gente che ancora non se ne rende conto e magari gira con XP SP3, Antivirus e FFox credendosi furbo e al sicuro...


Ma alla fine anche le sandbox vengono bucate....
Tipo? Quanti casi l'anno per IE o Chrome? 0, 1? Prova a girare senza invece...
La sandbox di IE non è mai stata bucata in realtà malgrado quello che leggi nei soliti annunci sensazionalistici (in cui poi a ben vedere si è sfruttata o una falla di plugin e/o in modalità protetta l'exploit da remoto non aveva successo non riuscendo a compiere la privelege escalation necessaria. Di solito questo genere di exploit dai bollettini MS vengono giustamente riportati come critici, ma se li leggi nel dettaglio c'è sempre la noticina del "mitigated by low privileges"... I bug poi esistono sempre in tutti i browser e tutti avranno sempre falle critiche), e nemmeno quella di Chrome. IE10 (e 11 in uscita con Win8.1) ha portato a un ulteriore hardening anche di IE (MP avanzata e isolamento http://blogs.msdn.com/b/ieinternals/archive/2012/03/23/understanding-ie10-enhanced-protected-mode-network-security-addons-cookies-metro-desktop.aspx).

e sinceramente sono solamente in attesa di leggere la prossima falla di IE...

Aaah, ho capito sei uno di quelli per cui MS e IE sono il male, anche se i tempi cambiano. Fortunatamente anche nel campo sicurezza l'azienda di Redmond ha fatto enormi passi avanti rispetto al passato, che gli utenti di "vecchia data" di solito non riconoscono abituati ormai a pensarla in un certo modo.
http://secunia.com/advisories/product/43073/?task=statistics
http://secunia.com/advisories/product/34591/?task=statistics
http://secunia.com/?action=fetch&filename=Secunia_Vulnerability_Review_2013.pdf
:read:
http://news.techworld.com/security/3435391/non-microsoft-security-flaws-the-ones-to-watch-secunia-analysis-finds/

In realtà e obiettivamente nessun browser è esente da falle critiche puntualmente presenti ad ogni update, anche se la stampa preferisce parlare quasi esclusivamente di IE:
Chrome http://googlechromereleases.blogspot.it/search/label/Stable%20updates
FFox http://www.mozilla.org/security/known-vulnerabilities/firefox.html

Unitamente al fatto che e' un browser pessimo! Io lo odio dal profondo visto tutto il lavoro aggiuntivo che mi richiede ogni volta per le compatibilità visto che non e' compatibile quasi con nulla.
Beh con IE9 e ancora di più IE10 molte cose sono migliorate, c'è persino l'opzione (con F12) per cambiare modalità "non standard", un po' più elastico su siti non scritti proprio benissimo (o almeno dovrebbe) ;)
A parte i suoi problemi spesso mi accorgo che dopo una breve analisi i siti di quelli che si lamentano spesso di compatibilità HTML e JS con IE li scrivono MALE, tanto che persino il veloce controllo online http://validator.w3.org/ rileva parecchie violazioni dalle specifiche, che magari Chorme o FFox ignorano e verso cui sono più elastici. Colpa di MS insomma a volte è essere scioccamente pignola su certe cose semmai, non perché interpreti male l'HTML o il JS. La colpa spesso non è, tecnicamente parlando, tanto del browser purtroppo...
Detto questo Chrome per esempio è sicuramente più aggiornato come specifiche, anche troppo implementando dei non-ancora standard...

Ad ora chrome lo vedo come unico browser da usare, forse forse opera potrebbe essere una alternativa che ne pensi ?
Neanche Opera lo consiglierei.
Sia chiaro, FFox e Opera sono eccellenti browser ma senza una feature di sandboxing e con tutti i siti/banner/link/form maliciuos sfornati quotidianamente sei sempre molto più a rischio che con IE in MP o Chrome dove hai un layer di protezione aggiuntivo realmente efficace per principio...

Sinceramente a parte beghe sui browser e sicurezza di java(dannata oracle sii tu maledetta e costretta a chiudere per aver distrutto mysql e java) i problemi piu' grandi sono su chi gestisce i sistemi dagli admin agli sviluppatori.
Sì e no: molti dei più recenti attacchi contro grossi nomi sono partiti dopo aver scardinato proprio i browser casalinghi mal configurati e non aggiornati di impiegati di queste grandi società ai quali era stata sottratta la password di accesso ai sistemi server ben corazzati... :)

Non sono sorpreso del dato dell'articolo quando leggo di gente che ancora non se ne rende conto e magari gira con XP SP3, Antivirus e FFox credendosi furbo e al sicuro...
E basta con tutti questi "so tutto io" che non hanno idea di quel che scrivono!
Tu posta un link ed io recupero un pc con XP SP3, FFox aggiornato senza plugin o add-on, scegli tu l'antivirus, e così vediamo di dare un senso alle parole...

Normalissimo che siano aumentati gli attacchi informatici, la gente è disoccupata o in cassa integrazione, non c'è niente da fare quindi hackerano :D.

Normalissimo che siano aumentati gli attacchi informatici, la gente è disoccupata o in cassa integrazione, non c'è niente da fare quindi hackerano :D.

Già, un nuovo lavoro "da casa"... ;)

Articolo interessantissimo ma bisognerebbe fare anche altri articoli per aiutare l'inesperto.

e il futuro dovrebbe essere in cloud? la vedo male!!!