Torna indietro   Hardware Upgrade Forum > Hardware Upgrade > Articoli

Apple MacBook Air M3: chi deve davvero comprarlo? La recensione
Apple MacBook Air M3: chi deve davvero comprarlo? La recensione
A distanza di circa 8 mesi arriva l’importante aggiornamento dei MacBook Air: nessun cambiamento estetico, ma una revisione hardware interna con l’upgrade al processore M3. Le prestazioni migliorano rispetto alle generazioni precedenti, e questo fa sorgere una domanda spontanea: a chi è rivolto oggi questo laptop? Cerchiamo di capirlo nella nostra recensione 
ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono
ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono
Da ASUS un monitor particolare ma molto completo: principalmente indirizzato al videogiocatore, può essere sfruttato con efficacia anche per attività creative e di produzione multimediale
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza
Il nuovo robot aspirapolvere domestico di Dreame abbina funzionalità complete a un moccio flottante che raggiunge al meglio gli angoli delle pareti. Un prodotto tutto in uno semplice da utilizzare ma molto efficace, in grado di rispondere al meglio alle necessità di pulizia della casa
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 22-12-2010, 15:05   #1
Redazione di Hardware Upg
www.hwupgrade.it
 
Iscritto dal: Jul 2001
Messaggi: 75175
Link all'Articolo: http://www.businessmagazine.it/artic...ome_index.html

L'esplosione del commercio elettronico porta ancor più alla ribalta il tema della sicurezza informatica, soprattutto nel contesto delle transazioni elettroniche. Partendo da un caso specifico proviamo a spiegare un aspetto spesso trascurato nella sicurezza informatica: il fattore umano

Click sul link per visualizzare l'articolo.
Redazione di Hardware Upg è offline   Rispondi citando il messaggio o parte di esso
Old 22-12-2010, 16:26   #2
piererentolo
Senior Member
 
L'Avatar di piererentolo
 
Iscritto dal: Sep 2007
Città: Laives
Messaggi: 1545
Ormai tante banche utilizzano il metodo di OTP, a me è sempre sembrato sicuro (anche se è un po' una rottura ripetere la pass dopo ogni operazione).
Però se avessi letto meglio l'articolo mi sarei reso conto che mi fregherebbero anche con la OTP ahahah scusate

Ultima modifica di piererentolo : 22-12-2010 alle 16:32.
piererentolo è offline   Rispondi citando il messaggio o parte di esso
Old 22-12-2010, 17:08   #3
$padino
Senior Member
 
L'Avatar di $padino
 
Iscritto dal: Jan 2006
Città: Taranto
Messaggi: 1751
a quanto ho capito una soluzione semplice potrebbe essere quella di usare un browser dedicato solo per operazioni bancarie..che dite?
$padino è offline   Rispondi citando il messaggio o parte di esso
Old 22-12-2010, 17:10   #4
D1o
Senior Member
 
L'Avatar di D1o
 
Iscritto dal: Dec 2005
Messaggi: 1119
Quote:
Originariamente inviato da piererentolo Guarda i messaggi
Ormai tante banche utilizzano il metodo di OTP, a me è sempre sembrato sicuro (anche se è un po' una rottura ripetere la pass dopo ogni operazione).
Però se avessi letto meglio l'articolo mi sarei reso conto che mi fregherebbero anche con la OTP ahahah scusate
l'ho letto due volte ma non ho capito come è possibile fregare un sistema otp.
__________________
Tant'è bella giovinezza / che si sfugge tuttavia! / Chi vuol esser lieto, sia: / di doman non c'è certezza.
D1o è offline   Rispondi citando il messaggio o parte di esso
Old 22-12-2010, 17:40   #5
piererentolo
Senior Member
 
L'Avatar di piererentolo
 
Iscritto dal: Sep 2007
Città: Laives
Messaggi: 1545
Quote:
Originariamente inviato da D1o Guarda i messaggi
l'ho letto due volte ma non ho capito come è possibile fregare un sistema otp.
beh se ti do' 2 OT password valide e le utilizzi 4 secondi dopo penso che funzionino.
piererentolo è offline   Rispondi citando il messaggio o parte di esso
Old 22-12-2010, 21:20   #6
brudicchio
Member
 
L'Avatar di brudicchio
 
Iscritto dal: Jun 2005
Città: Chieti-Pescara
Messaggi: 126
io dubito che un browser su una chiavetta in sola lettura possa non essere compromesso una volta caricato nella ram... sto pensando ad un sistema sicuro senza l'uso degli sms... mmm è difficile
__________________
il mio sito: http://brudicchio.funpic.de
MSI 770-C45, AMD Phenom II X4 965 3,4Ghz, 2+2 Gb DDR3-1333 Mhz, ATI HD 4650 1Gb-DDR2 PCI-E, 1x HDD-SATA 500 Gb Seagate, 2x HDD-EIDE 320 Gb Maxtor, 2x DVD-RW Lite-On iHAS, 1x HDD-Ext 1,5 Tb Verbatim, Router 3g Wi-Fi N WAN-ADSL TP-Link TL-MR3420, UPS Trust 800va, Acer AL1912.
brudicchio è offline   Rispondi citando il messaggio o parte di esso
Old 22-12-2010, 22:52   #7
paul_91
Member
 
L'Avatar di paul_91
 
Iscritto dal: Jul 2009
Città: Torino
Messaggi: 127
ottimo articolo. molto utile anche perchè sto portando alla maturità questi argomenti. per altro sono un fan di kevin, letti 2 suoi libri questo mese sull'ingegneria sociale.

Ha veramente ragione quando dice che l'anello più debole della sicurezza informatica è proprio l'uomo. Molto piu facile "chiedere" una password che "rubarla". dai, magari a gente esperta non funzionano metodi phishing ma scometto che tutti i vostri parenti-conoscenti non sanno neanche che cos'è.

mi è piaciuto anche il libro Password Perfetta! l'ho letto ieri ve lo consiglio. Come creare una password sicura e come scoprirle.
insomma dai, gente esperta con le sole informazioni del profilo facebook vi ruba la password in meno di mezzora.
__________________
Intel Core i5 750 °° 4GB DDR3/1333 °° GeForce GTX 660 Ti 2GB °° Asus P7P55D LE °° Razer Lycosa °° Logitech x-530 °° Acer H5360
[/color]
paul_91 è offline   Rispondi citando il messaggio o parte di esso
Old 23-12-2010, 09:30   #8
banryu79
Senior Member
 
L'Avatar di banryu79
 
Iscritto dal: Oct 2007
Città: Padova
Messaggi: 4131
Articolo interessante.
La morale della favola è che, come sempre, l'ignoranza è una brutta bestia.
E visto che l'ingegneria sociale non è intrinsecamente legata alla tecnologia, oltre che con soluzioni tecnologiche, il "problema della sicurezza" andrebbe combattuto sullo stesso piano: con l'informazione (e questa c'è già) ma ancor di più con l'educazione (questa invece manca).
__________________

As long as you are basically literate in programming, you should be able to express any logical relationship you understand.
If you don’t understand a logical relationship, you can use the attempt to program it as a means to learn about it.
(Chris Crawford)
banryu79 è offline   Rispondi citando il messaggio o parte di esso
Old 23-12-2010, 10:05   #9
fdg1
Senior Member
 
L'Avatar di fdg1
 
Iscritto dal: Feb 2001
Città: Palermo (SUD ITALIA - NORD AFRICA)
Messaggi: 273
Quote:
Originariamente inviato da D1o Guarda i messaggi
l'ho letto due volte ma non ho capito come è possibile fregare un sistema otp.
Con l'attacco MITB, il sistema è infettato a livello browser, in particolare vengono modificati i dati immessi (e visualizzati) per effettuare il bonifico: tu pensi di fare il bonifico di 5,00 € a Marco, in realtà il software intercetta queste informazioni, le modifica con 5.000 € e Pinko Pallino (siamo sempre all'interno del browser) e le spedisce modificate alla banca (all'interno della sessione autenticata che tu hai creato). Quando la banca ti visualizza il riepilogo (5.000 € a Pinko Pallino), ecco che il software reintercetta i dati, li cambia nuovamente con quelli che avevi immesso tu, e te li visualizza correttamente. Tu, quindi, ovviamente confermi la transizione ed inserisci la OTP. L'operazione viene quindi interpretata dalla banca come lecita.
La OTP impedisce ad altri, dai loro sistemi, di utilizzare il tuo account, ottenute le credenziali, per operazioni non autorizzate.
__________________
Fidarsi è bene... non fidarsi... meglio é!!!!
fdg1 è offline   Rispondi citando il messaggio o parte di esso
Old 23-12-2010, 11:28   #10
furbo
Member
 
L'Avatar di furbo
 
Iscritto dal: Jun 2007
Città: Rimini
Messaggi: 294
Ma se all'interno del messaggio contenente la OTP vi è riepilogato il reale contenuto della transazione che si sta confermando (5000 euro) ecco scoperto l'inghippo con relativo annullo dell'operazione da parte dell'utente colpito.
furbo è offline   Rispondi citando il messaggio o parte di esso
Old 23-12-2010, 11:53   #11
fdg1
Senior Member
 
L'Avatar di fdg1
 
Iscritto dal: Feb 2001
Città: Palermo (SUD ITALIA - NORD AFRICA)
Messaggi: 273
Quote:
Originariamente inviato da furbo Guarda i messaggi
Ma se all'interno del messaggio contenente la OTP vi è riepilogato il reale contenuto della transazione che si sta confermando (5000 euro) ecco scoperto l'inghippo con relativo annullo dell'operazione da parte dell'utente colpito.
Qui ti sbagli: quando ti compare la finestra dove immettere la OTP, con il riepilogo della transizione richiesta, i dati visualizzati sullo schermo del cliente SONO GIA' STATI MODIFICATI DAL SOFTWARE, che non fa altro, per esempio, mi mettersi in mezzo tra i componenti comunicazione e i componenti rendering del browser stesso, cambiando i caratteri che il browser visualizzerà. Quindi, la banca ti risponde "5.000 € a Pinko Pallino" per la conferma, i dati arrivano al browser, il malware intercetta (per lui i dati sono in chiaro, in quanto agisce DENTRO il canale cifrato), cambia i dati in quelli originariamente immessi dall'utente "5,00 € a Marco", ed invia i dati al renderer del browser, che visualizza queste ultime info. Il cliente, quindi, verifica i dati immessi, immette la OTP e conferma. Rientra quindi in gioco il malware che riconverte i dati in spedizione alla banca, ovviamente mantenendo intatta la OTP... e per la banca l'operazione è lecita. Il problema è che, tecnicamente, i dati vengono modificati all'esterno del canale cifrato, quando sono in fase di visualizzazione (e quindi in chiaro).
__________________
Fidarsi è bene... non fidarsi... meglio é!!!!
fdg1 è offline   Rispondi citando il messaggio o parte di esso
Old 23-12-2010, 11:56   #12
leddlazarus
Senior Member
 
L'Avatar di leddlazarus
 
Iscritto dal: Nov 1999
Città: Tortona (AL)
Messaggi: 3285
detto cosi' mi sembra un po' troppo facile.

e anche troppo facile introdursi all'interno dei browser degli utenti.

allora il protocollo https a cosa serve? a una cippa?

non è che i programmatori MS o mozilla per arrotondare .....
__________________
PC ryzen 5 1600x 16GB DDR4 - gtx 970 4GB VRAM 256GB NVME + ssd 128GB + HDD 2x1TB raid 0 **
leddlazarus è offline   Rispondi citando il messaggio o parte di esso
Old 23-12-2010, 12:00   #13
leddlazarus
Senior Member
 
L'Avatar di leddlazarus
 
Iscritto dal: Nov 1999
Città: Tortona (AL)
Messaggi: 3285
Quote:
Originariamente inviato da leddlazarus Guarda i messaggi
detto cosi' mi sembra un po' troppo facile.

e anche troppo facile introdursi all'interno dei browser degli utenti.

allora il protocollo https a cosa serve? a una cippa?

non è che i programmatori MS o mozilla per arrotondare .....
mi rispondo da solo.

https scongiura attacchi man-in-the-middle.

qui si parla di altro.

cmq io uso la notifica SMS del bonifico e li c'è scritto anche importo e beneficiario.
a questo punto uno si accorge che l'importo e il beneficiario sono diversi da quelli digitati.
__________________
PC ryzen 5 1600x 16GB DDR4 - gtx 970 4GB VRAM 256GB NVME + ssd 128GB + HDD 2x1TB raid 0 **

Ultima modifica di leddlazarus : 23-12-2010 alle 12:04.
leddlazarus è offline   Rispondi citando il messaggio o parte di esso
Old 23-12-2010, 12:23   #14
furbo
Member
 
L'Avatar di furbo
 
Iscritto dal: Jun 2007
Città: Rimini
Messaggi: 294
Quote:
Originariamente inviato da fdg1 Guarda i messaggi
Qui ti sbagli: quando ti compare la finestra dove immettere la OTP, con il riepilogo della transizione richiesta, i dati visualizzati sullo schermo del cliente SONO GIA' STATI MODIFICATI DAL SOFTWARE, che non fa altro, per esempio, mi mettersi in mezzo tra i componenti comunicazione e i componenti rendering del browser stesso, cambiando i caratteri che il browser visualizzerà. Quindi, la banca ti risponde "5.000 € a Pinko Pallino" per la conferma, i dati arrivano al browser, il malware intercetta (per lui i dati sono in chiaro, in quanto agisce DENTRO il canale cifrato), cambia i dati in quelli originariamente immessi dall'utente "5,00 € a Marco", ed invia i dati al renderer del browser, che visualizza queste ultime info. Il cliente, quindi, verifica i dati immessi, immette la OTP e conferma. Rientra quindi in gioco il malware che riconverte i dati in spedizione alla banca, ovviamente mantenendo intatta la OTP... e per la banca l'operazione è lecita. Il problema è che, tecnicamente, i dati vengono modificati all'esterno del canale cifrato, quando sono in fase di visualizzazione (e quindi in chiaro).
Non è cattiveria, ma sei tu che sbagli , in quanto io ho scritto, come del resto già spiegato nella news, che l'importo viene riportato DENTRO il messaggio sms contenente la OTP, e quindi sarà questo che, eventualmente, differisce da quanto visualizzato da browser infettato...

Se la banca recepisce 5000 dal malware, sms conterrà 5000, se predisposto a riepilogare i dettagli della transazione, ovviamente!
furbo è offline   Rispondi citando il messaggio o parte di esso
Old 23-12-2010, 12:42   #15
fdg1
Senior Member
 
L'Avatar di fdg1
 
Iscritto dal: Feb 2001
Città: Palermo (SUD ITALIA - NORD AFRICA)
Messaggi: 273
Quote:
Originariamente inviato da furbo Guarda i messaggi
Non è cattiveria, ma sei tu che sbagli , in quanto io ho scritto, come del resto già spiegato nella news, che l'importo viene riportato DENTRO il messaggio sms contenente la OTP, e quindi sarà questo che, eventualmente, differisce da quanto visualizzato da browser infettato...

Se la banca recepisce 5000 dal malware, sms conterrà 5000, se predisposto a riepilogare i dettagli della transazione, ovviamente!
Niente cattiveria, ho capito solo adesso cosa intendevi : ti riferivi al caso in cui la banca fornisca la OTP su richiesta dell'operazione (personalizzando quindi il messaggio che la contiene con i dettagli dell'operazione), io invece facevo riferimento alla soluzione con OTP fornita tramite dispositivo token (RSA o schedina contenente le OTP), soluzione molto diffusa (basti pensare che il gruppo bancario più grande d'Europa usa questo approccio) meno costosa per la banca e, quindi, per l'utente. Nel caso che tu riporti, ovviamente, il problema non si pone, in quanto si sta utilizzando un canale di verifica parallelo su media differente
__________________
Fidarsi è bene... non fidarsi... meglio é!!!!
fdg1 è offline   Rispondi citando il messaggio o parte di esso
Old 23-12-2010, 13:14   #16
:: Marco ::
Senior Member
 
L'Avatar di :: Marco ::
 
Iscritto dal: Apr 2006
Messaggi: 2494
Quote:
Originariamente inviato da paul_91 Guarda i messaggi
ottimo articolo. molto utile anche perchè sto portando alla maturità questi argomenti. per altro sono un fan di kevin, letti 2 suoi libri questo mese sull'ingegneria sociale.

Ha veramente ragione quando dice che l'anello più debole della sicurezza informatica è proprio l'uomo. Molto piu facile "chiedere" una password che "rubarla". dai, magari a gente esperta non funzionano metodi phishing ma scometto che tutti i vostri parenti-conoscenti non sanno neanche che cos'è.

mi è piaciuto anche il libro Password Perfetta! l'ho letto ieri ve lo consiglio. Come creare una password sicura e come scoprirle.
insomma dai, gente esperta con le sole informazioni del profilo facebook vi ruba la password in meno di mezzora.
io per generare le password uso questo sito http://www.pctools.com/guides/password/

il problema poi è ricordarsele
:: Marco :: è offline   Rispondi citando il messaggio o parte di esso
Old 23-12-2010, 13:14   #17
TheThane
Member
 
Iscritto dal: Jun 2005
Messaggi: 131
Io non ho il sistema OTP ma mi arriva un codice via sms con il riepilogo e codice per confermare la trasazione online, e per modificare il numero di cellulare abilitato arriva un sms con il codice sul vecchio cellulare .. insomma non possono fare una cippa solo bucare la banca!
Se proprio vogliamo dirla tutta, no non siamo sicuri. Qui il discorso però è che l'hacker deve conoscere esattamente la tua banca e il tuo sistema operativo e avere creato un programma che faccia il tutto, insomma un po' da 007! Tanto per dire è stata risolta pochissimo tempo fa una falla 0day di IE che risaliva ancora a win98 che permetteva di prendere il controllo totale del sistema ... quindi ....
TheThane è offline   Rispondi citando il messaggio o parte di esso
Old 23-12-2010, 13:20   #18
brudicchio
Member
 
L'Avatar di brudicchio
 
Iscritto dal: Jun 2005
Città: Chieti-Pescara
Messaggi: 126
Infatti un browser su una chiavetta non la ritengo sicura ma il fatto che ogni OTP arrivato via sms (con importo e beneficiario) è abbinato esclusivamente ai dati inseriti o alterati e non quelli confermati è li che diventa determinante l'accettazione o l'annullamento dell'operazione.
In questo modo i malviventi non hanno futuro.
__________________
il mio sito: http://brudicchio.funpic.de
MSI 770-C45, AMD Phenom II X4 965 3,4Ghz, 2+2 Gb DDR3-1333 Mhz, ATI HD 4650 1Gb-DDR2 PCI-E, 1x HDD-SATA 500 Gb Seagate, 2x HDD-EIDE 320 Gb Maxtor, 2x DVD-RW Lite-On iHAS, 1x HDD-Ext 1,5 Tb Verbatim, Router 3g Wi-Fi N WAN-ADSL TP-Link TL-MR3420, UPS Trust 800va, Acer AL1912.
brudicchio è offline   Rispondi citando il messaggio o parte di esso
Old 23-12-2010, 13:26   #19
Franz83
Senior Member
 
L'Avatar di Franz83
 
Iscritto dal: Oct 1999
Città: Brianza
Messaggi: 374
Quote:
Originariamente inviato da :: Marco :: Guarda i messaggi
io per generare le password uso questo sito http://www.pctools.com/guides/password/

il problema poi è ricordarsele

Pessima scelta affidarsi a un qualsiasi algoritmo elettronico, a maggior ragione se segreto, per generare una password.

Ti consiglio DICEWARE.


Per quanto riguarda la sicurezza rispetto a questo tipo di attacco, senza usare un mezzo di comunicazione alternativo, si potrebbe firmare la transazione (es. bonifico).
Dovrei pensarci un po' su per capire se ci posso essere "workaround", ma sicuramente si introduce complessità lato utente.
__________________
Trattato: Rinos, tulnio, toca1979, T0mcat, woofer, Nero81, ArvMau, civas85, hacker@70, 3l3v3n, Bobosassa, AMD_GO, Xfree, Buby84, bronzodiriace, DrossBelly.
Franz83 è offline   Rispondi citando il messaggio o parte di esso
Old 23-12-2010, 13:28   #20
brudicchio
Member
 
L'Avatar di brudicchio
 
Iscritto dal: Jun 2005
Città: Chieti-Pescara
Messaggi: 126
O cavolo ragazzi!!! Ma c'è in gioco anche le transazioni con CARTE di CREDITO!!! PostePay invia l'sms? NOOOOOOOOOOOOOOOOOOO
__________________
il mio sito: http://brudicchio.funpic.de
MSI 770-C45, AMD Phenom II X4 965 3,4Ghz, 2+2 Gb DDR3-1333 Mhz, ATI HD 4650 1Gb-DDR2 PCI-E, 1x HDD-SATA 500 Gb Seagate, 2x HDD-EIDE 320 Gb Maxtor, 2x DVD-RW Lite-On iHAS, 1x HDD-Ext 1,5 Tb Verbatim, Router 3g Wi-Fi N WAN-ADSL TP-Link TL-MR3420, UPS Trust 800va, Acer AL1912.
brudicchio è offline   Rispondi citando il messaggio o parte di esso
 Rispondi


Apple MacBook Air M3: chi deve davvero comprarlo? La recensione Apple MacBook Air M3: chi deve davvero comprarlo...
ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ul...
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza Dreame L10s Pro Ultra Heat: la pulizia di casa t...
HONOR Magic6 Pro: come funziona Magic Portal, il modo ''intelligente'' di condividere HONOR Magic6 Pro: come funziona Magic Portal, il...
L'innovazione richiede fiducia: Workday si propone come guida nell'era dell'IA L'innovazione richiede fiducia: Workday si propo...
Google Pixel 8 Pro a prezzi imperdibili:...
Xiaomi spacca il mercato: l'elettrica SU...
CPU Intel, un futuro tra The Big Bang Th...
Game Pass ed Epic Games Store: il suppor...
NIO inizia la produzione del sistema a 9...
Microsoft Edge consentirà di limi...
I driver NVIDIA crashano al torneo milio...
Rinviato l'ultimo lancio del razzo spazi...
CMF Buds by Nothing: gli auricolari econ...
Accordo di intesa firmato, saranno di SK...
iPhone, il supporto alla messaggistica R...
Una GeForce RTX 3080 a meno di 800 euro ...
Ecco le migliori offerte sui processori ...
Polestar presenta Polestar Charge, il se...
PyPI bersagli di un attacco malware: reg...
Chromium
GPU-Z
OCCT
LibreOffice Portable
Opera One Portable
Opera One 106
CCleaner Portable
CCleaner Standard
Cpu-Z
Driver NVIDIA GeForce 546.65 WHQL
SmartFTP
Trillian
Google Chrome Portable
Google Chrome 120
VirtualBox
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi

Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 15:16.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Served by www2v
1