Quanto è robusta la tua password?

18 maggio 2011 § Lascia un commento

Fonte: Flickr

Ormai la nostra vista digitale è regolata dalle password: qualsiasi servizio online di una qualche rilevanza richiede di inventarci una nuova password. Ciascuno di noi ha il suo approccio nella creazione delle password, come ho avuto modo di illustrare scherzosamente qualche tempo fa, ma la seccatura di dovere inventare ogni volta una nuova password e poi di doversela ricordare quando serve alimenta la tentazione di utilizzare sempre la stessa e/o di sceglierne una troppo semplice.

« Leggi il seguito di questo articolo »

Annunci

Che fine hanno fatto i virus (quelli veri)?

4 aprile 2011 § Lascia un commento

Fonte: commons.wikimedia.org

Qualcuno si ricorda ancora dei virus di una volta? Quelli che ti azzannavano il boot sector e ti costringevano a riformattare tutto per essere sicuro di essertene liberato? Parlo di roba del tipo Flip o Monkey: piccoli pezzi di codice che si attaccavano agli eseguibili e ti infettavano mezzo mondo.

Oggi sembra siano scomparsi. Al loro posto ci sono worm, trojan, spyware e roba simile, anche se impropriamente continuiamo a chiamarli virus. Basta dare un’occhiata alla classifica dei virus più diffusi per rendersene conto.
Non che questi non siano fastidiosi, ma hanno effetti un po’ diversi rispetto ai virus di altri tempi.

« Leggi il seguito di questo articolo »

Attacco al sito delle Poste: i retroscena

12 ottobre 2009 § Lascia un commento

“Un attacco solo superficiale che non ha intaccato minimamente i server con i dati personali degli utenti”.

Così inizia il comunicato stampa che rassicura gli utenti del portale di Poste Italiane dopo il defacement subito sabato scorso.
La sicurezza di un sito o una applicazione Web è una faccenda complessa. Sono tante le variabili da tenere presenti, in un ambiente (Internet) aperto a tutti 24 ore su 24: possibili bug dei vari componenti del sistema, possibili falle della loro combinazione, possibili errori umani. Insomma, non è mai possibile garantire una sicurezza al 100%. La parola d’ordine è monitorare e stare all’erta per intercettare qualsiasi segnale anomalo.

« Leggi il seguito di questo articolo »

Il fattore U

1 settembre 2009 § Lascia un commento

Come più volte ho sostenuto, puoi adottare tutte le più sofisticate tecnologie di sicurezza, ma l’anello debole del sistema è l’essere umano. Mi riferisco a password semplici da indovinare o scritte su un post-it ed esposte in bella vista sul monitor, a reti wireless accessibili a chiunque si trovi nei paraggi, alla facilità con cui vengono forniti i propri dati personali a siti contraffatti.

Anche l’odioso UAC di Windows Vista serve a poco quando l’utente da l’OK senza aver compreso cosa viene chiesto o addirittura senza aver letto il messaggio del sistema.

« Leggi il seguito di questo articolo »

Navigazione e certificati digitali

1 aprile 2009 § Lascia un commento

Dopo una pausa non proprio breve ho ripreso a scrivere per HTML.it.
Oggi esce la prima parte di “Certificati digitali: come navigare sicuri“, una piccola guida per gli utenti alla scoperta dei certificati digitali come tecnologia a garanzia di una navigazione sicura.

« Leggi il seguito di questo articolo »

Siamo in mani sicure?

23 luglio 2007 § Lascia un commento

Prendo spunto da un commento ad un recente post di Edit, Quando la sicurezza è un optional, per segnalare un curioso e preoccupante link ad una pagina della Marina militare italiana, quella ai bandi di gara.

Chi ha qualche dimestichezza con la programmazione Web avrà già notato la parte preoccupante del link (strsql=select+%2A+from+bandigara++order+by+data%5Fgara+DESC%2C+id+%3B).
Per chi non si occupa di programmazione, basta sapere che nel link vengono rese note informazioni interne del database del sistema, nello specifico il nome della tabella che contiene i bandi pubblicati e i nomi di due campi della suddetta tabella.

Di per sè potrebbe sembrare un’informazione di poco conto, ma andrebbe in realtà presa in seria considerazione per almeno un paio di motivi:

  1. Non è necessaria una grande competenza per fare dei potenziali danni al database del sistema. Immaginate se qualche birbantello inserisce un delete al posto del select
  2. Chi ha avuto la brillante idea di inserire il codice SQL nel link non può vantarsi di essere un buon programmatore e questo preoccupa per la leggerezza con la quale vengono affidati certi incarichi da parte di un organismo preposto alla nostra sicurezza

Purtroppo il caso della Marina militare italiana non è isolato.
Se provate a fare una ricerca su Google vedrete che ci sono in giro diversi siti che utilizzano questa tecnica suicida per pubblicare dati prelevati da un database.
Ma mentre per un sito amatoriale la cosa è (parzialmente) perdonabile, per un sito istituzionale come quello della Difesa reputo la cosa molto grave!

Psicopatologia della password quotidiana

18 settembre 2006 § 3 commenti

Come molti dovrebbero sapere, il codice sulla privacy fornisce alcune indicazioni sui requisiti minimi che una password deve avere per essere considerata sufficientemente sicura. I criteri descritti sono abbastanza ragionevoli, ma dubito che siano molti quelli che effettivamente li applicano.

Non ho fatto studi approfonditi, ma nella mia piccola esperienza ho avuto modo di vedere che i criteri con cui l’utente medio genera la propria password sono sempre gli stessi. Questi criteri sono grosso modo riconducibili ad alcuni… tipi psicologici:

« Leggi il seguito di questo articolo »

Dove sono?

Stai esplorando le voci con il tag Sicurezza su Andrea Chiarelli.