Download - Servizi online: possiamo fidarci?
1
Servizi online: possiamo fidarci?
Ing. Salvatore Capolupo
Consulente informatico
Una breve introduzione alle tematiche di sicurezza sul web
3
● 50% entra su Facebook 1 volta al giorno● 20% link portano virus (dati del 2012, fonteZDNET, http://goo.gl/TT8kff)
4
● 1,7 miliardi di cercatori● 187 milioni di visite mensili● 21,5 milioni di richieste rimozione risultati
(fonte: expandedramblings.com)
5
● Nel settembre 2014 sono state pubblicati oltre 5milioni di credenziali (indirizzi Gmail +password)● Rubati da vari siti ed aggregati● Non coincidevano con le credenziali di accessoall'account Google (fonte: http://goo.gl/EMFumz)
6
● 409 milioni di utenti / mese● oltre 19 miliardi di pagine visualizzate al mese● Nazionalità: English: 71%, Spanish: 5.1%,Indonesian: 2.5%, Portuguese: 2.5%, French:1.5%, German: 1.3%, Italian: 1%
(fonte: wordpress.com/activity)
WordPress
7
● 7% dei full disclosure riguarda falle diWordPress (dati Google)● In media tra core, theme e plugin ne vengonoscoperte circa 3 al mese
(fonte: seclists.org)
WordPress
8
● Significa che le falle di sicurezza informaticavengono monitorate e rese pubbliche periodicamente
● „...idea maledettamente buona. Un'analisipubblica è l'unico modo attendibile permigliorare la sicurezza, la segretezza cirenderebbe solo meno sicuri“ (Bruce Schneier)
Full Disclosure
9
● Molte aziende sono contrarie
● Apple, Microsoft sono più favorevoli al„responsable disclosure“ (del tipo diciamolo solodopo aver risolto la falla)
Buona idea?
10
● Software → serratura + chiave di casa
● Falla di sicurezza software → „difetto“ nellachiave / serratura
● Vorresti sapere se la chiave di casa tua èdifettosa?
Nota
11
● Sopravvalutazione di servizi essenzialmentegratuiti (basati sulla pubblicità)
● Serratura + chiave le paghiamo, molti di questiservizi sono free
● ...
Altra nota
12
● La frenesia di condividere foto e dettagli privatisui social fa dimenticare l'importanza dellaprivacy
● La maggioranza dei virus / malware è concepitaper violare la nostra privacy
E poi...
13
● Molti mantengono su Facebook, Google Driveo Youtube l'unica copia di proprie foto, video odocumenti
● → Rischio enorme
Nota
15
● Scoperto da: Kamil Hismatullin● Problema: Qualsiasi video caricato suYoutube era a rischio eliminazione arbitraria● Problema risolto il 1 aprile 2015
● Fonte: http://goo.gl/4WuHnu
Qualsiasi video di Youtube era eliminabile
16
● Scoperto da: Laxman Muthiyah● Problema: Qualsiasi foto caricata suFacebook era a rischio eliminazione arbitraria● Problema risolto il 10 febbraio 2015
● Fonte: http://goo.gl/gZVKCf
Qualsiasi foto caricata su Facebook eraeliminabile
17
● I ricercatori hanno applicato entrambi una„disclosure responsabile“
● … e se non l'avessero fatto?
Note
18
● Fappening: un utente ha diffuso su 4chan /Reddit foto intime di vari attori / attrici ●„se mi pagate vi mando le altre che ho rubate“● Disclosure irresponsabile + leaking (pubblicazioni dati privati)
Infatti...
19
● Apparentemente il problema è derivato da unafalla informatica su iCloud (http://goo.gl/wLoMAq)● Tutti gli utenti che salvavano foto private sucloud erano a rischio
Fappening
20
● Scoperti da: vari ricercatori● Problema: usando app malevole è possibileprendere il controllo del telefono, del PC, delMac o del tablet● Problema aperto / risolto solo in parte
● Fonte: http://goo.gl/46bBHC
Altri casi: Remote Administration Tools (RAT)
21
● Scoperti da: vari ricercatori● Problema: malware in grado di rubare dalconto corrente della vittima usando virus +ingegneria sociale● Problema aperto / risolto solo in parte
● Fonte: http://goo.gl/32utCx
Dyre Wolf: malware per app banking
22
● Scoperti da: vari ricercatori● Problema: malware in grado di trasmettere almalintenzionato dati sulla macchina e/oriservati dell'utente● Problema aperto / risolto solo in parte
● Fonte: http://goo.gl/46bBHC
Exfiltration
23
● La maggioranza delle app offre gli strumentiper proteggersi da furti di dati:
● 2-factor authentication● password robuste● ...● buonsenso
Conclusioni
24
● Queste tematiche saranno approfondite nel mioebook in uscita prossimamente su Amazon
● Info: http://salvatorecapolupo.it/ebook
Approfondimenti
25
A questo indirizzo:
http://migliorhosting.biz/category/sicurezza-web-it/
Sono pubblicati periodicamente bollettini, informazioni disicurezza informatica e suggerimenti per tutti
Grazie!