Come lavora un Cracker, ovvero come difendersi

-
Di video sul cracking in giro ce ne sono tanti, però lo stile è sempre lo stesso: capellone 15enne che fa la SQL Injection....un po' di binario ed ecco fatto. Questi video non servono a nessuno.

Riprendo invece da Paolo Attivissimo questo video, fatto davvero molto bene, e che vi consiglio di guardare fino in fondo: http://www.rsi.ch/pattichiari/node/2891

Il video fa capire che ognuno di noi è potenzialmente vulnerabile a degli attacchi. E' evidente che la potenza dell'attacco è data dalla varietà degli approcci che si usano: social engineering, mail alternative, facebook, intercettazioni ambientali, trojan costruiti su misura.

La VERA regola d'oro è: non usare Internet, possibilmente stare staccati dalla rete, e magari con il computer in fondo al mare dentro una scatola di piombo! Ovviamente scherzo, di regole ce ne sono molte e purtroppo per l'utente medio (ma non solo) non sono sempre così semplici da implementare. Però alcune regole mi sento di darle:

  • usare un antivirus SERIO: quelli free non hanno molte misure "al contorno" come protezione del Browser, etc; contrariamente a quello che sostiene il tizio nel video, non è vero che quelli free sono equivalenti...
  • aggiornare SEMPRE il software: il sistema operativo, e le applicazioni (come Acrobat o Java) vanno aggiornate sempre alle ultime versioni;
  • controllare sempre che nella barra dell'indirizzo Web (URL) nel Browser, soprattutto nel caso di connessioni bancarie, vi sia una connessione sicura: per intenderci lucchetto e indicazione del certificato (in verde); quindi HTTPS e certification con "Extended Validation"
  • una gestione delle password ragionevole:
    • complessità adeguata: 10 caratteri con qualche numero e maiuscola
    • usate diverse password con diversa complessità per tipologie diverse di servizi: per intenderci non usate la stessa password per un forum free su Internet e l'accesso alla vostra macchina!
  • WEP? dimenticatelo: usate WPA2 e soprattutto cambiate quella benedetta chiave impostata da Fastweb o Telecom perché ci sono migliaia di software in grado di decifrarla; poi mettete un router vostro...
  • non mettete la vostra VITA su Internet: attenti a Facebook, Twitter e l'indicizzazione di Google; purtroppo non è molto facile mantenere la propria privacy volendo utilizzare i Social Network, però potete raggiungere un buon compromesso di sicurezza facendo attenzione a quello che postate;
  • utilizzate un servizio mail DECENTE con filtri ANTISPAM adeguati: Gmail è ottimo per esempio...

Queste quelle più immediate, ma se ne avete altre, sarò lieto di aggiornare la lista.



Commenti

  1. andrealazzarotto.com4 aprile 2012 alle ore 04:51

    Sinceramente non mi trovi d'accordo, mentre concordo con il video, riguardo all'antivirus. Vero anche che da tempo evito i sistemi proprietari, e di conseguenza le preoccupazioni si riducono drasticamente, ma avendo genitori che usano (anche) Windows conosco un po' la situazione. Gli antivirus gratuiti fanno il lavoro che devono fare: trovare e debellare i virus. Le altre faccende vere o presunte tipo firewall, protezione dei contenuti o anti-phishing non serve siano direttamente integrate in una suite mastodontica, quando si trovano ottime soluzioni (a volte migliori!).

    Cito alcuni esempi per capirci, ma ce ne sono veramente molti:
    - firewall: ZoneAlarm Free credo sia il più famoso, ma chiunque abbia un router di 'sti tempi è già discretamente schermato di suo
    - protezione dei contenuti: caspita, OpenDNS :P non lo dico perché ci collaboro come moderatore (mica mi pagano) ma perché è vero, ha ottimi sistemi di parental control
    - anti-phishing e altre nefandezze del web: già i controlli di Google integrati in Firefox e Chrome sono ottimi, se aggiungiamo qualcosa tipo WOT poi non c'è limite al meglio ;)

    Questo per restare in ambiente Windows, chiaro che se uno usa Linux e qualche simpatica robetta tipo la GUI di Squid dentro a distro come Mandriva o altre cose simili, il discorso cambia drasticamente. Tra l'altro mi fa propendere molto per questa cosa anche il fatto che quello che è determinante ormai è (quasi) solo il fattore umano, e per quello non c'è antivirus che tenga, neanche costi 1 milione di dollari. :)

    RispondiElimina

Posta un commento

Post popolari in questo blog

Exploit: icsploit o espluà?

-
Immagine
Non ce la faccio più! Continuo a sentir pronunciare " exploit ", nel senso di " sfruttamento di una vulnerabilità informatica ", in francese: espluà ! E' quasi un pugno nello stomaco! Sebbene il termine inglese derivi dal francese, quando si usa nel contesto della sicurezza informatica, la pronuncia è in inglese, ovvero " ecsploit "o " icsploit " (a seconda che sia un sostantivo o un verbo). E poi visto che la consuetudine è quella di usare termini inglesi nel contesto informatico, e per amore di un unico e non ambiguo vocabolario, usiamo i termini inglesi quando ci riferiamo a cose ben specifiche  e relative all'informatica. Per essere estremamente chiari, se dobbiamo parlare di "SQL Injection" non è che possiamo tradurla come "inoculazione di sequenze maliziose in una istruzione del linguaggio SQL". Non si capisce nulla! Altrimenti torniamo al caro professore che insisteva nel tradurre "Computer" in "...
Continua a leggere

TrueCrypt 5.0: nuova release

-
E' uscita la nuova versione di TrueCrypt 5.0 (ricordo che è Free e Open Source). Importanti le novità: Features : permette di cifrare una intera partizione del disco con un'autenticazione pre-boot; inserita una pipeline per le operazioni di read/write che migliorano le prestazioni fino al 100% su Windows; nuova versione per Mac OS X; GUI per TrueCrypt su Linux; utilizzo di XTS - approvato recentemente come standard IEEE 1619 - per la protezione crittografica di device per lo storage a blocchi; sostituzione dello SHA1 con il più sicuro SHA-512. Bug fix : versione su Linux completamente ridisegnata per sopperire ai problemi dovuti all'aggiornamento del kernel; correzioni di bug e falle di sicurezza. Ho provato la nuova versione sia su Windows XP che su Vista Home Premium. Su XP Professional o Home nessun problema. Potete addirittura non disinstallare la vecchia versione, reinstallando tutto sopra. In Vista consiglio di disinstallare la vecchia versione, riavviare e poi ins...
Continua a leggere

ING Direct: ancora con il PAD numerico rotante!

-
Immagine
Quanti anni saranno che ING Direct ci propina il suo sistema di autenticazione? Avete presente il PAD numerico in cui ogni volta che si accede vengono cambiate le posizioni dei numeri sul tastierino? Negli anni avranno sicuramente cambiato la tecnologia sottostante e le tecniche di sicurezza, tanto è vero che alcuni script client-side inclusi nella pagina, con un breve giro con Firebug, sono generati server-side con URL randomiche (solo nell'ultima parte) e Firebug non riesce a mostrarli. Ma a parte la loro bravura nell'offuscare il codice, perché di offuscamento si tratta, quando si decideranno ad utilizzare un meccanismo di autenticazione a 2 fattori? Una cosa che tu sai + Una cosa che tu hai Potrei suggerire uno degli innumerevoli Token OTP che ormai molte banche danno ai loro correntisti e che li tranquillizzano non poco nell'accesso ai propri conti on-line. Provate a chiedere ad un utente se è più o meno tranquillo con un Token fisico che solo lui detiene e che ogni 30...
Continua a leggere