Alberto Bartoli - Blog

Ho ricevuto questo mail da uno studente: Mi sono imbattuto in una notizia che mi ha fatto riflettere (anzi, preoccupare..). “Una serie di errori in alcune applicazioni di Facebook ha causato l' accesso alle password degli utenti a circa 20.000 dipendenti . Si ritiene che le password da 200 milioni a 600 milioni di utenti di Facebook siano state esposte... Facebook ha confermato questa omissione nel suo blog ufficiale...è stata rilevata nel mese di Gennaio. ... almeno 2.000 dipendenti di Facebook hanno cercato i file con le password , ma non era chiara l'intenzione di tali ricerche. Presumibilmente la memorizzazione delle password in “chiaro” è iniziata nel 2012 ". Io non riesco a capire se il fatto di memorizzare le password in “chiaro” sia stato effettivamente un errore del sistema/software oppure hanno deciso di farlo “apposta”.. Se siamo nel secondo caso allora la cosa mi preoccupa, perché una organizzazione mondiale come Facebook, dovrebbe garantire delle misure ...

Da qualche tempo la nostra pubblica amministrazione sta promuovendo l'uso di " SPID ", il "sistema pubblico di identità digitale": il cittadino si fa rilasciare delle credenziali da un "gestore di identità" abilitato e poi potrà accedere a tutti i servizi web della pubblica amministrazione (magari...) usando quelle credenziali. In altre parole, il cittadino avrà una unica "identità digitale" grazie alla quale potrà accedere a tutti i servizi web pubblici (ripeto: magari...). Il terzo livello SPID  è quello che dovrebbe offrire il grado di sicurezza più elevato. Ci sono solo due gestori di identità che offrono SPID di livello 3: Aruba (pare) tramite  smart card  e PosteID (pare) tramite una  app per smartphone . Ho cercato di capire come funziona esattamente questo livello. Il sito SPID su questo punto infatti è molto generico : " Il terzo livello, oltre al nome utente e la password, richiede un supporto fisico (es. smart card) per l’...

Da qualche tempo l'applicativo che usiamo in Università per la verbalizzazione degli esami mostra un avviso in cui consiglia di "cambiare frequentemente la password per sicurezza": Questo suggerimento è in conflitto con i suggerimenti  che ho dato più e più volte nei mesi scorsi, a centinaia di persone diverse, in vari contesti diversi (compreso un corso di formazione che ho fatto per tutto il personale tecnico-amministrativo del nostro ateneo). Mi sento quindi obbligato a ribadire che si tratta di un consiglio da non seguire . Il National Cyber Security Center del Regno Unito (organo che fornisce linee guida di cyber security alla pubblica amministrazione del Regno Unito ed il cui sito web è semplicemente fantastico), dice a proposito delle password che: " Regular password changing harms rather than improves security, so avoid placing this burden on users ", cioè "cambiare la password regolarmente danneggia la sicurezza invece di migliorarla: ev...

Ho ricevuto una domanda sui certificati, in vista della provetta di fine corso "Reti di Calcolatori". Domanda che coinvolge alcuni dei molti (molti, molti...) aspetti e problemi che purtroppo non è stato possibile approfondire nel corso e quindi non fanno parte del programma di esame. Aspetti e problemi che comunque sono, secondo me, interessanti...pertanto ho deciso di discuterli qui. Sono proprietaria di un sito il cui nome è stato realizzato con il non custom domain, mi faccio certificare da una Certification Authority la quale mi da una chiave pubblica, una privata e il certificato in cui associa il mio DNS name a tale chiave pubblica. Dopo qualche tempo decido di passare alla versione di webhosting che mi consente di scegliere il nome che desidero per il mio sito. Se faccio ciò vuol dire che dovrò tornare dalla CA per farmi dare un nuovo certificato, cambierà anche la chiave pubblica associata a questo nuovo nome? Oppure posso comunque tenere quella precedente? L...

Nel post precedente avevo descritto una " Esperienza (poco consolante) con la PEC ". Concludevo in questo modo: Vedo due possibili spiegazioni per questa vicenda: Non è un tentativo di attacco. Al contrario di quanto mi è stato detto dall'assistenza, il rinnovo del mio abbonamento PEC ha provocato l'invio automatico di un allegato PDF (magari a causa dell'adeguamento di Aruba alla GDPR) e questo invio è stato catalogato erroneamente come mia richiesta di assistenza. E' un tentativo di attacco. Non ho elementi sufficienti per affermare con ragionevole certezza se siamo nel caso 1 o nel caso 2. Posso però affermare con certezza che se siamo nel caso 1 allora l'assistenza clienti ed il processo di gestione di queste tematiche da parte di Aruba lascia molto a desiderare (eufemismo). Successivamente alla pubblicazione del mio post ci sono state varie interazioni che hanno chiarito la vicenda. In breve: eravamo nel caso 1: il mail sospetto non era...

Il 20 Novembre ricevo un email da Aruba, il provider della mia PEC personale. Caso da manuale di email da trattare con attenzione, perché: Non avevo inviato nessuna richiesta ad Aruba. Mi invitava ad aprire un allegato PDF. Ovviamente mi sono comportato come dico sempre di fare nei corsi di sensibilizzazione sulla sicurezza informatica : non ho scaricato l'allegato e mi sono collegato alla mia area personale Aruba (senza seguire nessun link nell'email). Se il messaggio fosse stato autentico, infatti, nella mia area personale ci sarebbe stata una copia della richiesta. Come mi aspettavo, nella mia area personale non c'era nessuna richiesta da parte mia.  Visto che neanche 24 ore prima era stata resa pubblica una intrusione molto grave in un provider PEC , invece di archiviare l'email e segnalarlo come spam ho speso qualche minuto per approfondire. Ho analizzato gli header del messaggio email per verificare il cammino seguito dal messaggio (informazioni ...

" Un grande attacco hacker ha colpito nei giorni scorsi circa 3mila soggetti, sia pubblici che privati, in Italia. Sono oltre 30mila i domini violati , e circa 500mila le caselle postali coinvolte : di queste, 98mila delle quali di persone appartenenti alla Pubblica amministrazione . L'azione ha mandato in tilt i tribunali, con la sottrazione di dati personali delle Pec di magistrati ed il conseguente blocco dei servizi delle Corti d'appello di tutto il Paese , ma sono stati interessati anche i ministeri di Esteri, Interno, Difesa, Economia, Sviluppo economico. " https://tg24.sky.it/cronaca/2018/11/20/attacco-hacker-tribunali-password-pec.html " " CAMBIATE subito la password ". Roberto Baldoni, il responsabile della cybersicurezza italiana presso la Presidenza del Consiglio dei Ministri, è categorico. L'invito, rivolto a tutto il paese, è la conseguenza di un gravissimo attacco informatico che ha esposto 500.000 caselle di posta elettronica cer...