Francesco LaricchiaNegli ultimi mesi sono diventate sempre più numerose le crepe scoperte da ricercatori e hacker nella fortezza delle transazioni online cosiddette “sicure”. Lo sono ancora?
L’incubo di chiunque progetti un sistema di sicurezza: per quanto sofisticata possa essere la serratura esiste sempre la possibilità che qualcuno riesca ad aprirla senza nemmeno doversi scomodare a fare il calco della chiave, ma ricorrendo ad un ingegnoso stratagemma. Perché tentare di scassinare una cassaforte, se a ben guardare non è stata nemmeno chiusa? Sembra essere questo il caso del protocollo SSL, usato da una quindicina di anni in una varietà di applicazioni online nelle quali è richiesta la massima protezione dei dati dell’utente: 
dalle webmail ai sistemi di pagamento fino ai conti correnti online, da ebay a paypal passando per google. Il sistema, che poggia su fondamenta fatte di robusti algoritmi crittografici, finora ha subito attacchi più teorici che altro, la cui complessità lascia sperare che in pochi siano riusciti in passato a “metterli in pratica” nel mondo reale. Nessun rischio dunque? Non esattamente.
Se ti piace quello che scriviamo,
O_O gasp
Io, nel conto corrente, ci ho messo un sacco di debiti. Se mi beccano le passwors, al limite possono solo riempirlo
Se vanno sul mio, si fanno due risate e ci mettono pure qualche Euro
anche sul mio Fabio:)
(ottima anche la selezione dell’immagine dalle diapo)
comunque, grande Just
e noi altri:leggiamo per ben che interessa tutti la questione.
E installate Noscript:)
o mamma…
io sono totalmente privo di protezione….:-(
Peccato che non ho neppure un conto on line…
L’unico https che uso è la posta dell’ufficio…
E lì di trnsazioni ne passano davvero pochine!
Un sorriso Frank & Just, as usual…
^_^
@Mauro: i ladri son furbi, e sanno dove mettere le mani. Ad esempio ti dirò che negli ultimi mesi almeno un paio di volte dei topi d’appartamento sono saltati nottetempo nel mio giardino, l’hanno attraversato ignorando totalmente casa mia e quel che c’è dentro e hanno scavalcato il muretto per andare a derubare i vicini. Lo sanno che qui non si naviga certo nell’oro, mentre quelli lì son stracarichi di palanche.
@Comic: “io sono totalmente privo di protezione…”
Diamogli tanti fratellini all’Angioletto!
@Ghisabrain: IE andrebbe sconsigliato a prescindere da chiunque per qualunque motivo, e ce ne sono mille! Poi mi spieghi la tecnica del dito…
@Donato: quella vale una volta e poi più nulla. Non è male come idea (alcune banche usano solo quella, forniscono la chiavetta che genera una pass casuale) però lo stesso non è un bel navigare in compagnia di un mariuolo mentre stai trafficando col tuo conto corrente (o la posta, magari con mail molto riservate). Teoricamente – ma non ho trovato info a riguardo, et ego hacker non sum – il tizio dovrebbe poter riuscire a tenere aperta la sessione e usare quella pass dinamica anche quando l’utente s’è scollegato. Del resto la banca non vede in nessun momento direttamente il cliente, in queste situazioni, ma solo l’intermediario ‘cattivo’, quindi non dovrebbe notare nulla. Anche se la questione si complica un pochino, con quel software si possono gestire anche sessioni e cookies. Figata!
Però se può servire un conto online lo apro.. magari ci trovo depositato qualche euro… ^_^
Bell’articolo Just ^_^
Lisa
Ecco fatto…
ora ho un nuovo eroe…
Aggiungiamo anche che:
-qualche settimana fa, difronte a un nuovo bug scoperto in IE, i produttori di antivirus ne hanno caldamente scoraggiato l’uso.
-In alcuni attacchi MITM, nel momento in cui si carica la pagina richiesta, compare un messaggio che informa l’incongruità tra il certificato atteso e quello ricevuti…. FARE ATTENZIONE!!!! EVITARE LA TECNICA DEL DITO DI OMER SIMPSON…
E la password dinamica?
Anche quella è vulnerabile?
@just
C’è una fantastica puntata dei Simpsons (in una delle prime serie credo…) in cui Homer era stanco di premere sempre il tasto “yes” sulla consolle e allora ha la geniale idea di mettere una specie di picchio oscillante a fare il suo lavoro… ovviamente alla domanda “disittavare il raffreddamento del nocciolo?” il picchio pigia yes….
Sulla password dinamica: ogni 30 secondi cambia e non la puoi usare più volte durante la sessione nel senso che anche se stai operando sul conto e sei già entrato ad ogni operazione devi digitare la nuova password.
Mi chiedevo invece dei sistemi tipo contoarancio che digiti i tuoi dati e poi la password su un tastierino dinamico…?
Un saluto, Eva
@ghisa: ah, me la ricordo… “Press any key” – “D’oh, where’s the ‘any’ key?”
@Eva: se cambia ogni 30 secondi è perché è generata in automatico da un hardware che ti dà la banca (chiavetta o smart card, funziona in modo simile alle paytv). Io ho la O-Key di SanPaolo che genera una chiave monouso: una volta entrati online è valida (non va più reinserita) finché si è dentro. Montepaschi permette di usare sia una chiave monouso sia una chiave statica, però ti costringe a cambiarla ogni 60 giorni. Contoarancio non ce l’ho e non ti saprei dire nel dettaglio… comunque ogni tipo di sistema a password dinamiche è consigliabilissimo, fermo restando che quella è l’ultima linea di difesa, probabilmente anche in banca vi avran raccomandato di effettuare le operazioni da computer “puliti”
E poi ci sono tutti quei servizi che non offrono funzionalità avanzate per le password, vedi google o ebay (che nella pagina di login infatti suggerisce “verifica che l’indirizzo Web nel browser inizi con https://signin.ebay.it/“)
conto arancio utilizza un sistema a doppia password semplice ma con metodo di input sicuro: una tastiera virtuale, create in javascript, dove i caratteri da selezionare per comporre il pin sono disposti in un keypad i cui tasti sono disposti casualmente.
in merito consiglierei la visione di uno dei film di futurama, dove gli alieni spammer rubano le password di tutti i terrestri tramite le solite email delle poste.. insomma, la prima fonte di insicurezza è l’utente stesso.
piccolo appunto: nel 2008 le tecniche più avanzate sono concentrate intorno a questo tipo di vulnerabilità (XSRF) http://en.wikipedia.org/wiki/Cross-site_request_forgery