Attacco al sito delle Poste: i retroscena

“Un attacco solo superficiale che non ha intaccato minimamente i server con i dati personali degli utenti”.

Così inizia il comunicato stampa che rassicura gli utenti del portale di Poste Italiane dopo il defacement subito sabato scorso.
La sicurezza di un sito o una applicazione Web è una faccenda complessa. Sono tante le variabili da tenere presenti, in un ambiente (Internet) aperto a tutti 24 ore su 24: possibili bug dei vari componenti del sistema, possibili falle della loro combinazione, possibili errori umani. Insomma, non è mai possibile garantire una sicurezza al 100%. La parola d’ordine è monitorare e stare all’erta per intercettare qualsiasi segnale anomalo.

Leggi il seguito di questo post »

Il fattore U

Come più volte ho sostenuto, puoi adottare tutte le più sofisticate tecnologie di sicurezza, ma l’anello debole del sistema è l’essere umano. Mi riferisco a password semplici da indovinare o scritte su un post-it ed esposte in bella vista sul monitor, a reti wireless accessibili a chiunque si trovi nei paraggi, alla facilità con cui vengono forniti i propri dati personali a siti contraffatti.

Anche l’odioso UAC di Windows Vista serve a poco quando l’utente da l’OK senza aver compreso cosa viene chiesto o addirittura senza aver letto il messaggio del sistema.

Leggi il seguito di questo post »

Navigazione e certificati digitali

Dopo una pausa non proprio breve ho ripreso a scrivere per HTML.it.
Oggi esce la prima parte di “Certificati digitali: come navigare sicuri“, una piccola guida per gli utenti alla scoperta dei certificati digitali come tecnologia a garanzia di una navigazione sicura.

Leggi il seguito di questo post »

Siamo in mani sicure?

Prendo spunto da un commento ad un recente post di Edit, Quando la sicurezza è un optional, per segnalare un curioso e preoccupante link ad una pagina della Marina militare italiana, quella ai bandi di gara.

Chi ha qualche dimestichezza con la programmazione Web avrà già notato la parte preoccupante del link (strsql=select+%2A+from+bandigara++order+by+data%5Fgara+DESC%2C+id+%3B).
Per chi non si occupa di programmazione, basta sapere che nel link vengono rese note informazioni interne del database del sistema, nello specifico il nome della tabella che contiene i bandi pubblicati e i nomi di due campi della suddetta tabella.

Di per sè potrebbe sembrare un’informazione di poco conto, ma andrebbe in realtà presa in seria considerazione per almeno un paio di motivi:

1. Non è necessaria una grande competenza per fare dei potenziali danni al database del sistema. Immaginate se qualche birbantello inserisce un delete al posto del select…
2. Chi ha avuto la brillante idea di inserire il codice SQL nel link non può vantarsi di essere un buon programmatore e questo preoccupa per la leggerezza con la quale vengono affidati certi incarichi da parte di un organismo preposto alla nostra sicurezza

Purtroppo il caso della Marina militare italiana non è isolato.
Se provate a fare una ricerca su Google vedrete che ci sono in giro diversi siti che utilizzano questa tecnica suicida per pubblicare dati prelevati da un database.
Ma mentre per un sito amatoriale la cosa è (parzialmente) perdonabile, per un sito istituzionale come quello della Difesa reputo la cosa molto grave!

Psicopatologia della password quotidiana

Come molti dovrebbero sapere, il codice sulla privacy fornisce alcune indicazioni sui requisiti minimi che una password deve avere per essere considerata sufficientemente sicura. I criteri descritti sono abbastanza ragionevoli, ma dubito che siano molti quelli che effettivamente li applicano.

Non ho fatto studi approfonditi, ma nella mia piccola esperienza ho avuto modo di vedere che i criteri con cui l’utente medio genera la propria password sono sempre gli stessi. Questi criteri sono grosso modo riconducibili ad alcuni… tipi psicologici:

Leggi il seguito di questo post »