Category Archives: Sicurezza

  • 0
password, day

Password Day, i consigli degli esperti

Category : Sicurezza

Oggi è “la giornata mondiale della password” o World Password Day. Secondo il National Day Calendar, il ricercatore della sicurezza Mark Burnett fu il primo a incoraggiare i lettori, nel suo libro Perfect Passwords (nel 2005), ad avere un “giorno della password”, un giorno in cui aggiornare tutte le proprie password più importanti. Ispirandosi alla sua idea, nasce appunto il World Password Day: è dal 2013 che un consorzio di aziende del settore (capitanata da Intel Security, l’ex McAfee) “festeggia” il primo giovedì del mese di Maggio come World Password Day. Lo scopo è quello di creare consapevolezza, nell’utente, rispetto alla necessità di avere password davvero “sicure”. Basta una disattenzione o una leggerezza per mettere a rischio tutta la propria vita digitale. Sul sito dedicato trovate alcuni video, che pur con ironia, pongono l’accento sulle varie criticità e vi forniscono alcuni consigli su come creare la password “perfetta”.

È dal 2013 che, il primo giovedì di Maggio è il World Password Day.
Ma questa occasione ci sembrava anche la più propizia per raccogliere i diversi consigli e raccomandazioni degli esperti di sicurezza di Intel Security, Kaspersky, Sophos e TeamViewer . Ovviamente su molti punti coincidono (e non potrebbe essere diversamente), con consigli che a volte potrebbero sembrare banali, ma, a guardare i dati del sondaggio, evidentemente tanto banali non sono.

Sondaggio, dati preoccupanti

Dal sondaggio, realizzato da Intel Security su un campione di 2.000 utenti, traspaiono dati molto preoccupanti. In media ognuno di noi ha più di 27 account diversi (tra vita privata e lavoro), che richiedono una password. E quasi 4 utenti su 10 (il 37%) dimenticano almeno una password una volta la settimana.

Nel tentativo di ricordarle tutte, il 33% degli intervistati ha ammesso di scrivere, da qualche parte, le proprie password, mentre un 15% ha affermato di usare la stessa password per più account. Praticamente metà degli intervistati ha una pessima gestione delle sue password: nel primo caso basta accedere al file (o anche al post it attaccato sul monitor) per “bucare” la sua vita digitale; nel secondo caso, invece, anche se la password potrebbe essere “forte”, basta una falla in uno degli account per comprometterli tutti.

Quanto è sicura la mia password?

Prima di passare ai consigli degli esperti, vi invitiamo a provare quanto sono “sicure” le password che usate. Online ci sono diversi tool che vi indicano in quanto tempo sarebbe possibile craccare le vostre password. Tra i diversi tool online ve ne indichiamo due: How Secure Is My Password e Kaspersky Secure Password Check.

Anche se si tratta di tool online sicuri vi invitiamo a non usare le vostre “vere” password, ma password similari. Per esempio, invece di Eugenio71 potreste provare con Michele75. E vedreste che nonostante la maiuscola e i caratteri numerici è tutt’altro che una password sicura. Si cracca in un tempo misurato in minuti.

Visto che entrambi i tool sono in inglese (e quindi si appoggiano a dizionari inglesi) non pensate che la vostra cioccolatofondente (facile da ricordare e apparentemente sicura, secondo i tool, visto che servirebbero 98 anni per il Tianhe-2, il supercomputer più potente al mondo) sia in realtà così sicura.

Basta sapere la vostra nazionalità (e quindi cambiare il dizionario alla base degli attacchi) e la vostra apparente sicurezza va a farsi benedire. Provate con darkchocolate e vi accorgerete che unire più parole, in una frase di senso compiuto, non è una buona strategia. A un normale computer bastano 5 ore.

I consigli degli esperti

Abbiamo “mixato” i consigli di Intel Security, Kaspersky, Sophos e TeamViewer. Ecco le dieci regole d’oro, da seguire sempre, non solo nel “giorno della password”:

Siate impersonali: non utilizzate nomi (non solo di persone, ma anche dei vostri animali domestici) e date che hanno un significato personale. Con un po’ di social engineering i cyber criminali possono trovare queste informazioni sui vostri account dei social media e provare a indovinare le password.
Non usate “semplici” parole, sequenze o altre combinazioni: sembra banale, ma, a vedere le classifiche delle password più utilizzate, evidentemente non è così. Dimenticatevi perciò “password” “123456” “qwerty”, ma anche, come abbiamo visto prima “Eugenio71” o “cioccolatofondente”.
Usate tutta la tastiera: non basta creare password lunghe (minimo 8 caratteri) se usate le sole lettere minuscole. Usate anche lettere maiuscole, cifre e simboli speciali. E mixateli tra loro! Non basta sostituire la a con @ per avere una password robusta. Anche l’alternanza è importante: una password come “Ninja1!” non è sicura come sembra, visto che può essere craccata in soli 7 minuti!
Siate personali: sembra un controsenso dopo che avete letto il primo consiglio… In realtà potete creare password molto complesse ma facili (per voi) da ricordare. Come fare? Pensate a una frase che per voi abbia senso come “rosso colore preferito Valentina” e trasformatela, alternando maiuscole e minuscole e inserendo caratteri speciali ($ invece di S, 1 o ! invece di I, 3 invece di e, @ invece di a e così via). Avrete la password “R0$$c0L0r3Pr3F3r!T0v@L3nT!n@”. Non solo sarebbe necessario più di un miliardo di anni (anche al più potente supercomputer), ma ricorderete anche qual è il colore preferito della vostra fidanzata. Il difetto di questo metodo? Che anche se non la dimenticherete mai, potrebbe essere difficile ricordarsi l’alternanza corretta di maiuscole/minuscole. Per digitarla in maniera automatica (senza doverla scrivere su un foglietto di carta o un file txt!) Kaspersky consiglia di digitarla sulla tastiera qualche dozzina di volte, in modo che venga più naturale.

Potete creare password molto complesse ma facili (per voi) da ricordare. Pensate a una frase che per voi abbia senso come “rosso colore preferito Valentina” e trasformatela, alternando maiuscole e minuscole e inserendo caratteri speciali: avrete la password “R0$$c0L0r3Pr3F3r!T0v@L3nT!n@”. Al più potente supercomputer servirebbe un miliardo di anni!
Potete creare password molto complesse ma facili (per voi) da ricordare. Pensate a una frase che per voi abbia senso come “rosso colore preferito Valentina” e trasformatela, alternando maiuscole e minuscole e inserendo caratteri speciali ($ invece di S, 1 o ! invece di I, 3 invece di e, @ invece di a e così via): avrete la password “R0$$c0L0r3Pr3F3r!T0v@L3nT!n@”. Al più potente supercomputer servirebbe un miliardo di anni!
Non condividetele: per definizione una password è una parola o una frase segreta, non condividetela mai! Se a casa avete un desktop, un notebook o un tablet in condivisione, con vostra moglie/marito o i vostri figli, non dategli mai le vostre password. Non per mancanza di fiducia, ma perché – senza volerlo – potrebbero rivelarla. Se avete computer condivisi, meglio creare tot account separati.
Cambiatele spesso: visto che è sempre una questione di tempo (per craccare una password), è importante cambiarle regolarmente, anche se utilizzate password sicure. Potreste annotare la “scadenza” in agenda. Una simpatica definizione (che racchiude l’importanza del punto 5 e 6) è che “Le password sono come le mutande: vanno cambiate regolarmente e non si mostrano in pubblico!”
Non usatele più volte: avete una “super password”, ma usate solo quella. Per tutto. Dall’home banking all’email, dai diversi social network al sito di incontri. Anche se è una pratica abbastanza comune (come emerge dal sondaggio di Intel Security) usare una o due password affidabili per tutto è una pessima strategia. Forse i cyber criminali potrebbero avere qualche problema a sottrarre le credenziali d’accesso dai database della vostra banca, ma potrebbero farlo ben più facilmente da un sito di incontri mal protetto. E a questo punto scatterebbe l’effetto domino: tutti i vostri account potrebbero essere facilmente violati, uno dopo l’altro.
Usate un password manager: abbiamo visto che creare una password facile da ricordare e affidabile non è difficile, il difficile diventa creare (e ricordare) una trentina di password diverse, ricordandosi poi, per ognuna, a quale servizio corrisponde. È un punto su cui tutti gli esperti sono d’accordo: scegliete un password manager, che custodisca tutte le vostre password al sicuro. Create una password principale robusta (come quella di esempio del punto 4). E avrete una password sola, per quanto difficile, da ricordare!
Installate un software anti–malware: qual è la connessione tra sicurezza di una password e malware? La connessione è che vi serve ben poco la password più robusta del mondo, se sul vostro sistema è stato installato, ovviamente a vostra insaputa, un keylogger. Questo programma può catturare tutto quello che digitate, password incluse, e inviarlo a terzi (non certo ben intenzionati).
Attivate l’autenticazione a due fattori: oltre alla password, soprattutto sui servizi più importanti (come l’home banking o la carta di credito), attivate un’autenticazione a due fattori. Ovvero per l’autenticazione al servizio non basta la password, ma serve un secondo fattore; spesso è un codice di sicurezza che vi viene inviato come messaggio di testo su un dispositivo pre-registrato come affidabile (tipicamente il vostro smartphone). Nella malaugurata eventualità che la vostra password venisse violata, ci sarebbe un’ulteriore barriera da superare.

Fonte: Pc Professionale
Read more at http://www.pcprofessionale.it/sicurezza/password-day-consigli-degli-esperti/#EePZOyTXsh0lMBMD.99


  • 0

Hotel austriaco sotto attacco ransomware: nessuno può più entrare nelle camere

Il problema del software malevolo di tipo ransomware si arricchisce di un nuovo capitolo: un lussuoso hotel austriaco è finito sotto attacco di malintenzionati, causando il blocco dei PC e della strumentazione predisposta alla programmazione delle chiavi elettroniche delle camere. Chiesto un riscatto di circa 1500 Euro

Sembrano lontanissimi i tempi in cui un virus ci bloccava il PC costringendoci a formattare tutto, giusto per il capriccio di un programmatore sadico.

In origine si parlava di “virus” informatico – termine preso in prestito dalla biologia – per indicare semplicemente un programma elementare in grado di autoriprodursi e diffondersi. Sono in molti ad indicare ancora genericamente con virus un qualsiasi software malevolo in grado di arrecare una vasta gamma di problematiche, ma in tempi recenti nel linguaggio comune si sta diffondendo, anche fra i non addetti ai lavori, il termine ransomware, affiancato anche dai meno utilizzati cryptolocker e cryptovirus. Sembrano lontanissimi i tempi in cui un virus ci bloccava il PC costringendoci a formattare tutto, giusto per il capriccio di un programmatore sadico. Il tempo ci ha insegnato che molti programmi malevoli hanno poi preferito – e di gran lunga – infettare in modo silente i nostri PC, da utilizzare in botnet per attacchi mirati o per sottrarci dati da utilizzare o rivendere. Sempre rimanendo nell’ambito della biologia, potremmo definire questo tipo di infezione informatica come quella di un parassita simbionte, per il quale la salute del sistema infettato è condizione fondamentale per ottenere i propri scopi e per la stessa permanenza in vita e diffusione del malware stesso.

Il concetto è semplice quanto devastante: una volta attivato, il ransomware blocca diverse tipologie di file oppure l’intero sistema, eseguendo una cifratura dei dati che non saranno più accessibili per l’utente.

L’eterna lotta a guardie e ladri fra società antivirus e malintenzionati però non conosce soste, e non passa molto tempo fra l’antidoto e una minaccia tutta nuova. Oppure una minaccia del tutto nuova per concezione, ad opera di malintenzionati dotati di inventiva, non poche capacità e di quell’avidità che tutto muove. Ed è in questa fase che entrano in gioco i temuti ransomware, la cui radice ransom è il termine anglosassone per indicare il riscatto in un contesto di rapimento (lettura consigliata: Allarme Cryptovirus: prevenire per non pagare il riscatto). I ransomware sono infidi, si possono diffondere soprattutto con messaggi email decisamente meno rozzi e rudimentali rispetto al passato, facendo cadere nella trappola anche utenti che normalmente tengono la guardia alta. Il concetto è semplice quanto devastante: una volta attivato, il ransomware blocca diverse tipologie di file oppure l’intero sistema, eseguendo una cifratura dei dati che non saranno più accessibili per l’utente. A meno di non pagare un riscatto, solitamente in Bitcoin e attraverso la rete TOR, dove si riesce a tenere un profilo anonimo con maggiore facilità. La formula si è rivelata di successo, purtroppo, come dimostra la grande diffusione di questa tipologia di minaccia. Se non funzionasse economicamente non sarebbe così diffusa, è una semplice deduzione logica.

L’ultimo caso balzato alla cronaca è proprio delle ultime ore e riguarda un hotel di lusso austriaco, il Romantik Seehotel Jägerwirt, attaccato in piena stagione invernale quando si registra il tutto esaurito. Un ransomware ha di fatto bloccato l’intero sistema per la programmazione delle chiavi elettroniche, lasciando letteralmente fuori dalle proprie camere ben 130 ospiti. Il sistema, insomma, non solo non è in grado di riprogrammare le chiavi, ma anche effettuare qualsiasi modifica nel sistema di riconoscimento elettronico delle singole serrature.

Il riscatto richiesto è tutto sommato modesto, considerando gli interessi in gioco: 1500 Euro (in Bitcoin), che probabilmente sono stati già pagati dai gestori, colti di sorpresa e con l’estremo bisogno di sbloccare la situazione il prima possibile. Non si tratta del primo attacco per questa struttura, poiché negli ultimi due anni era già successo qualcosa di simile ma solo sui terminali della reception. Stando a The Register la struttura si era già rivolta ad una società per la sicurezza informatica, proprio in seguito al primo attacco.

Ed è proprio Tyrone Erasmus, direttore dell’azienza MWR InfoSecurity, a commentare: “Si tratta di un attacco anomalo e per certi versi interessante, al fine di prepararsi alle contromisure. La tecnica è stata anomala e non prevedibile, nella quale inoltre emerge un chiaro attacco mirato proprio a questa struttura con finalità e tempistiche molto precise. Di solito i ransomware colpiscono PC e server di aziende, ma in questo caso si è scelto di contestualizzare molto di più l’attacco per aumentare drasticamente la probabilità che il soggetto colpito fosse messo nelle condizioni di pagare, subito”. Christoph Brandstaetter, direttore del’hotel, ha già comunicato l’intenzione di sostituire tutto il sistema tornando alle vecchie e care porte con le tradizionali chiavi, come quelle che si trovavano nella struttura 111 anni fa quando a condurla erano i suoi avi.

Tecnica da sequestro lampo: poche ore per decidere, cifra richiesta modesta, certezza della disponibilità economica necessaria.

Insomma, le tecniche si fanno più mirate e in questo caso siamo nel caso tipico del sequestro lampo: poche ore per decidere, cifra tutto sommato modesta (considerando la vittima) e che con grandissima probabilità è a disposizione sui conti della struttura. Potremmo quindi essere di fronte ad un passo ulteriore nella raffinatezza degli attacchi: se un privato colpito da ransomware solitamente valuta la situazione e sceglie di non pagare, molti malintenzionati hanno deciso di portare attacchi molto più mirati e con altissime probabilità di successo. Certo, nelle nostre orecchie risuonano chiari i consigli delle aziende attive nel settore sicurezza, come Kaspersky Labs: non pagate, perché non vi è certezza che i dati poi vengano sbloccati e soprattutto, in caso di pagamento, si manda il chiaro messaggio che la tecnica funziona. E gli attacchi continueranno. Questo caso però è diverso: l’imbarazzo di fronte a 130 clienti furiosi quanto vale? Sicuramente molto più di 1500 Euro, motivo per cui il pagare può essere visto come il male minore, anche perché ogni minuto che passa senza soluzione conta tantissimo.

Ecco perché, più che mai, prevenire è meglio che curare. Siamo di fronte a una minaccia forse sottovalutata e a malintenzionati sempre più precisi e mirati. Dietro l’angolo c’è anche il mondo IoT, Internet of Things, che porterà milioni di oggetti connessi in case e strutture di pubblico interesse. Occhi aperti, estrema attenzione alle mail che riceviamo e sistemi aggiornati, per non trovarsi in spiacevoli situazioni di questo tipo.

Fonte: Hwupgrade.it
http://www.hwupgrade.it/articoli/sicurezza-software/4828/hotel-austriaco-sotto-attacco-ransomware-nessuno-puo-piu-entrare-nelle-camere_index.html