Perizie informatiche forensi, indagini e investigazioni informatiche forensi, cyber security, compliance aziendale e GDPR
Blog
OTP: ma sono così sicuri?
- Dettagli
- Scritto da Alessandro Fiorenzi
Gli OTP ovvero i token one time password hanno sostituito da qualche anno la classica username e password nell'accesso all'home banking. Questi strumentio sono sempre stati definiti estremamente sicuri, o ancora peggio strumenti di strong authentication. Purtroppo non sono così sicuri e il processo di autenticazione non è così strong come dicono. Infatti quado tutti i dati di una chiave forte di autenticazione vengon passati attraverso lo stesso canale, il web, è facile studiare soluzioni per catturare quell'informazione e usarla al posto del reale proprietario. E' quello che è stato fatto da malware come Zeus e le sue varianti.
circa un mese fa c'è stato poi un attacco a RSA che "sembra" abbia permesso ad ignoti di entrare in possesso degli algoritmi utilizzati per i token SecureID (http://blog.ironkey.com/?p=1165, http://blogs.gartner.com/avivah-litan/2011/03/19/rsa-securid-incident-should-serve-as-a-wake-up-call-on-strong-otp-user-authentication/). Naturalmente RSA ha tenuto il massimo riserbo sull'accaduto. A distanza di un mese non sono stato chiarito cosa realmente è stato rubato e le le circaostanze che hanno portato a questa compromissione. Tutto questo con buona pace dei mezzi di informazione delle centinai di banche che si affindano a questi token. Nel frattempo decine di milioni di utenti ingari dell'accaduto continuano ad usare i propri token SecureID, certi di avere lo strumento più sicuro. E' questione di aspettare dai 3 ai 6 mesi per vedere i primi veri attacchi basati sui dati rubati.
Security Summit
- Dettagli
- Scritto da Alessandro Fiorenzi
Con AIPSI siamo al Security Summit il giorno 14 marso 2011 alle ore 16.30 insieme all'Avv. Dott.ssa Claudia Del Re per affrontare il tema " Il marchio in rete: scenari di violazione della proprietà intellettuale e metodi di raccolta"
La crescente ed indispensabile presenza delle aziende in rete e dei rispettivi segni distintivi apre nuovi scenari e implicitamente le porte a nuove tipologie di rischi. La tutela dei marchi aziendali in rete, dell'azienda nel contesto internazionale di Internet, ingenerale del patrimonio aziendale ridefiniscono gli schemi tradizionali in un nuovo contesto digitale che richiedendo skill specialistici.
Verranno affrontati i temi:
- L'azienda in rete
- Tutela del marchio aziendale in rete
- Le possibili violazioni del marchio in rete
- I metodi di raccolta della prova digitale: la computer forensics
- Strumenti di Computer Forensics per la tutela dell'azienda in rete.
linkedin e il captcha che non funziona
- Dettagli
- Scritto da Alessandro Fiorenzi
Qualche mese fa linkedin con grande stupore dei più e anche un pizzico di fastido introdusse i controlli captcha dopo l'autenticazione degli utenti. La misura, credo presa per contrastare i bots che spazzolano i social network, non è però così affidabile. Un captcha, anche se breve, se sbagliato non dovrebbe darvi accesso a nessuna sezione; a maggior ragione i captcha di linkedin, fra i più lunghi che io abbia trovato, che sono costituiti da due parole.
Se provate a sbagliare l'inserimento del testo del captcha.... sorpresa: vi fa accedere!!!
Quindi dovremmo inserire il captcha "lined rerall" ma se inseriamo qualcosa di diverso:
otteniamo comunque l'accesso
E meno male che linkedin nella pagina del captcha riporta: "Questi controlli di sicurezza aiutano a prevenire accessi non autorizzati al tuo account".
Se queste sono le misure di sicurezza messe in atto da linkedin è meglio non domandarsi dove vanno i nostri dati.