|
|
|
|
Strumenti |
22-12-2010, 15:05 | #1 |
www.hwupgrade.it
Iscritto dal: Jul 2001
Messaggi: 75175
|
Link all'Articolo: http://www.businessmagazine.it/artic...ome_index.html
L'esplosione del commercio elettronico porta ancor più alla ribalta il tema della sicurezza informatica, soprattutto nel contesto delle transazioni elettroniche. Partendo da un caso specifico proviamo a spiegare un aspetto spesso trascurato nella sicurezza informatica: il fattore umano Click sul link per visualizzare l'articolo. |
22-12-2010, 16:26 | #2 |
Senior Member
Iscritto dal: Sep 2007
Città: Laives
Messaggi: 1545
|
Ormai tante banche utilizzano il metodo di OTP, a me è sempre sembrato sicuro (anche se è un po' una rottura ripetere la pass dopo ogni operazione).
Però se avessi letto meglio l'articolo mi sarei reso conto che mi fregherebbero anche con la OTP ahahah scusate Ultima modifica di piererentolo : 22-12-2010 alle 16:32. |
22-12-2010, 17:08 | #3 |
Senior Member
Iscritto dal: Jan 2006
Città: Taranto
Messaggi: 1751
|
a quanto ho capito una soluzione semplice potrebbe essere quella di usare un browser dedicato solo per operazioni bancarie..che dite?
|
22-12-2010, 17:10 | #4 | |
Senior Member
Iscritto dal: Dec 2005
Messaggi: 1119
|
Quote:
__________________
Tant'è bella giovinezza / che si sfugge tuttavia! / Chi vuol esser lieto, sia: / di doman non c'è certezza. |
|
22-12-2010, 17:40 | #5 |
Senior Member
Iscritto dal: Sep 2007
Città: Laives
Messaggi: 1545
|
|
22-12-2010, 21:20 | #6 |
Member
Iscritto dal: Jun 2005
Città: Chieti-Pescara
Messaggi: 126
|
io dubito che un browser su una chiavetta in sola lettura possa non essere compromesso una volta caricato nella ram... sto pensando ad un sistema sicuro senza l'uso degli sms... mmm è difficile
__________________
il mio sito: http://brudicchio.funpic.de MSI 770-C45, AMD Phenom II X4 965 3,4Ghz, 2+2 Gb DDR3-1333 Mhz, ATI HD 4650 1Gb-DDR2 PCI-E, 1x HDD-SATA 500 Gb Seagate, 2x HDD-EIDE 320 Gb Maxtor, 2x DVD-RW Lite-On iHAS, 1x HDD-Ext 1,5 Tb Verbatim, Router 3g Wi-Fi N WAN-ADSL TP-Link TL-MR3420, UPS Trust 800va, Acer AL1912. |
22-12-2010, 22:52 | #7 |
Member
Iscritto dal: Jul 2009
Città: Torino
Messaggi: 127
|
ottimo articolo. molto utile anche perchè sto portando alla maturità questi argomenti. per altro sono un fan di kevin, letti 2 suoi libri questo mese sull'ingegneria sociale.
Ha veramente ragione quando dice che l'anello più debole della sicurezza informatica è proprio l'uomo. Molto piu facile "chiedere" una password che "rubarla". dai, magari a gente esperta non funzionano metodi phishing ma scometto che tutti i vostri parenti-conoscenti non sanno neanche che cos'è. mi è piaciuto anche il libro Password Perfetta! l'ho letto ieri ve lo consiglio. Come creare una password sicura e come scoprirle. insomma dai, gente esperta con le sole informazioni del profilo facebook vi ruba la password in meno di mezzora.
__________________
Intel Core i5 750 °° 4GB DDR3/1333 °° GeForce GTX 660 Ti 2GB °° Asus P7P55D LE °° Razer Lycosa °° Logitech x-530 °° Acer H5360 [/color] |
23-12-2010, 09:30 | #8 |
Senior Member
Iscritto dal: Oct 2007
Città: Padova
Messaggi: 4131
|
Articolo interessante.
La morale della favola è che, come sempre, l'ignoranza è una brutta bestia. E visto che l'ingegneria sociale non è intrinsecamente legata alla tecnologia, oltre che con soluzioni tecnologiche, il "problema della sicurezza" andrebbe combattuto sullo stesso piano: con l'informazione (e questa c'è già) ma ancor di più con l'educazione (questa invece manca).
__________________
As long as you are basically literate in programming, you should be able to express any logical relationship you understand. If you don’t understand a logical relationship, you can use the attempt to program it as a means to learn about it. (Chris Crawford) |
23-12-2010, 10:05 | #9 | |
Senior Member
Iscritto dal: Feb 2001
Città: Palermo (SUD ITALIA - NORD AFRICA)
Messaggi: 273
|
Quote:
La OTP impedisce ad altri, dai loro sistemi, di utilizzare il tuo account, ottenute le credenziali, per operazioni non autorizzate.
__________________
Fidarsi è bene... non fidarsi... meglio é!!!! |
|
23-12-2010, 11:28 | #10 |
Member
Iscritto dal: Jun 2007
Città: Rimini
Messaggi: 294
|
Ma se all'interno del messaggio contenente la OTP vi è riepilogato il reale contenuto della transazione che si sta confermando (5000 euro) ecco scoperto l'inghippo con relativo annullo dell'operazione da parte dell'utente colpito.
|
23-12-2010, 11:53 | #11 |
Senior Member
Iscritto dal: Feb 2001
Città: Palermo (SUD ITALIA - NORD AFRICA)
Messaggi: 273
|
Qui ti sbagli: quando ti compare la finestra dove immettere la OTP, con il riepilogo della transizione richiesta, i dati visualizzati sullo schermo del cliente SONO GIA' STATI MODIFICATI DAL SOFTWARE, che non fa altro, per esempio, mi mettersi in mezzo tra i componenti comunicazione e i componenti rendering del browser stesso, cambiando i caratteri che il browser visualizzerà. Quindi, la banca ti risponde "5.000 € a Pinko Pallino" per la conferma, i dati arrivano al browser, il malware intercetta (per lui i dati sono in chiaro, in quanto agisce DENTRO il canale cifrato), cambia i dati in quelli originariamente immessi dall'utente "5,00 € a Marco", ed invia i dati al renderer del browser, che visualizza queste ultime info. Il cliente, quindi, verifica i dati immessi, immette la OTP e conferma. Rientra quindi in gioco il malware che riconverte i dati in spedizione alla banca, ovviamente mantenendo intatta la OTP... e per la banca l'operazione è lecita. Il problema è che, tecnicamente, i dati vengono modificati all'esterno del canale cifrato, quando sono in fase di visualizzazione (e quindi in chiaro).
__________________
Fidarsi è bene... non fidarsi... meglio é!!!! |
23-12-2010, 11:56 | #12 |
Senior Member
Iscritto dal: Nov 1999
Città: Tortona (AL)
Messaggi: 3285
|
detto cosi' mi sembra un po' troppo facile.
e anche troppo facile introdursi all'interno dei browser degli utenti. allora il protocollo https a cosa serve? a una cippa? non è che i programmatori MS o mozilla per arrotondare .....
__________________
PC ryzen 5 1600x 16GB DDR4 - gtx 970 4GB VRAM 256GB NVME + ssd 128GB + HDD 2x1TB raid 0 ** |
23-12-2010, 12:00 | #13 | |
Senior Member
Iscritto dal: Nov 1999
Città: Tortona (AL)
Messaggi: 3285
|
Quote:
https scongiura attacchi man-in-the-middle. qui si parla di altro. cmq io uso la notifica SMS del bonifico e li c'è scritto anche importo e beneficiario. a questo punto uno si accorge che l'importo e il beneficiario sono diversi da quelli digitati.
__________________
PC ryzen 5 1600x 16GB DDR4 - gtx 970 4GB VRAM 256GB NVME + ssd 128GB + HDD 2x1TB raid 0 ** Ultima modifica di leddlazarus : 23-12-2010 alle 12:04. |
|
23-12-2010, 12:23 | #14 | |
Member
Iscritto dal: Jun 2007
Città: Rimini
Messaggi: 294
|
Quote:
Se la banca recepisce 5000 dal malware, sms conterrà 5000, se predisposto a riepilogare i dettagli della transazione, ovviamente! |
|
23-12-2010, 12:42 | #15 | |
Senior Member
Iscritto dal: Feb 2001
Città: Palermo (SUD ITALIA - NORD AFRICA)
Messaggi: 273
|
Quote:
__________________
Fidarsi è bene... non fidarsi... meglio é!!!! |
|
23-12-2010, 13:14 | #16 | |
Senior Member
Iscritto dal: Apr 2006
Messaggi: 2494
|
Quote:
il problema poi è ricordarsele |
|
23-12-2010, 13:14 | #17 |
Member
Iscritto dal: Jun 2005
Messaggi: 131
|
Io non ho il sistema OTP ma mi arriva un codice via sms con il riepilogo e codice per confermare la trasazione online, e per modificare il numero di cellulare abilitato arriva un sms con il codice sul vecchio cellulare .. insomma non possono fare una cippa solo bucare la banca!
Se proprio vogliamo dirla tutta, no non siamo sicuri. Qui il discorso però è che l'hacker deve conoscere esattamente la tua banca e il tuo sistema operativo e avere creato un programma che faccia il tutto, insomma un po' da 007! Tanto per dire è stata risolta pochissimo tempo fa una falla 0day di IE che risaliva ancora a win98 che permetteva di prendere il controllo totale del sistema ... quindi .... |
23-12-2010, 13:20 | #18 |
Member
Iscritto dal: Jun 2005
Città: Chieti-Pescara
Messaggi: 126
|
Infatti un browser su una chiavetta non la ritengo sicura ma il fatto che ogni OTP arrivato via sms (con importo e beneficiario) è abbinato esclusivamente ai dati inseriti o alterati e non quelli confermati è li che diventa determinante l'accettazione o l'annullamento dell'operazione.
In questo modo i malviventi non hanno futuro.
__________________
il mio sito: http://brudicchio.funpic.de MSI 770-C45, AMD Phenom II X4 965 3,4Ghz, 2+2 Gb DDR3-1333 Mhz, ATI HD 4650 1Gb-DDR2 PCI-E, 1x HDD-SATA 500 Gb Seagate, 2x HDD-EIDE 320 Gb Maxtor, 2x DVD-RW Lite-On iHAS, 1x HDD-Ext 1,5 Tb Verbatim, Router 3g Wi-Fi N WAN-ADSL TP-Link TL-MR3420, UPS Trust 800va, Acer AL1912. |
23-12-2010, 13:26 | #19 | |
Senior Member
Iscritto dal: Oct 1999
Città: Brianza
Messaggi: 374
|
Quote:
Pessima scelta affidarsi a un qualsiasi algoritmo elettronico, a maggior ragione se segreto, per generare una password. Ti consiglio DICEWARE. Per quanto riguarda la sicurezza rispetto a questo tipo di attacco, senza usare un mezzo di comunicazione alternativo, si potrebbe firmare la transazione (es. bonifico). Dovrei pensarci un po' su per capire se ci posso essere "workaround", ma sicuramente si introduce complessità lato utente.
__________________
Trattato: Rinos, tulnio, toca1979, T0mcat, woofer, Nero81, ArvMau, civas85, hacker@70, 3l3v3n, Bobosassa, AMD_GO, Xfree, Buby84, bronzodiriace, DrossBelly. |
|
23-12-2010, 13:28 | #20 |
Member
Iscritto dal: Jun 2005
Città: Chieti-Pescara
Messaggi: 126
|
O cavolo ragazzi!!! Ma c'è in gioco anche le transazioni con CARTE di CREDITO!!! PostePay invia l'sms? NOOOOOOOOOOOOOOOOOOO
__________________
il mio sito: http://brudicchio.funpic.de MSI 770-C45, AMD Phenom II X4 965 3,4Ghz, 2+2 Gb DDR3-1333 Mhz, ATI HD 4650 1Gb-DDR2 PCI-E, 1x HDD-SATA 500 Gb Seagate, 2x HDD-EIDE 320 Gb Maxtor, 2x DVD-RW Lite-On iHAS, 1x HDD-Ext 1,5 Tb Verbatim, Router 3g Wi-Fi N WAN-ADSL TP-Link TL-MR3420, UPS Trust 800va, Acer AL1912. |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 15:16.