Visualizza versione completa:
Occhio a Facebook
Pagine: 1 [2]
Ok, se questo forum usa il "sale" significa che la mia password è al sicuro? Certo che no...!
Tutto il "traffico" di informazioni tra il pc e uno specifico server che non utilizza un sistema di cifratura (quindi il classico http, il classico ftp, le classiche email) vengono trasmesse in chiaro...
quindi oltre all'attacco a dizionario su una password di un utente specifico, chi ha accesso, autorizzato o non autorizzato ai file che reggono in piedi valentano.net (ricordatevi che il discorso è generale, non specifico a questo sito) può, per esempio, modificare il codice (modifica banale) per far in modo che ogni volta che vi collegate venga salvata da qualche parte o addirittura inviata ad una email la vostra password in chiaro.
Ok, dando per scontato che nessuno faccia questa modifica (mai dare per scontato qualcosa...) la mia password è al sicuro? Certo che no...!
Come detto prima il traffico tra un pc e un server che non usa un sistema di cifratura viaggia in chiaro, quindi chiunque si trovi tra voi e il server può leggere quello che inviate (password comprese)... questo tipo di attacco si chiama "man in the middle".
Un classico esempio (non informatico) lo potete trovare nel film "Killer per caso", dove Greggio si trova posizionato tra un finto bancomat e quello vero... in pratica aspetta che qualcuno inserisca il bancomat e il pin nel finto sportello, li prende e li usa nello sportello vero, prelevando più denaro di quanto richiesto dall'ignaro utente e restituendo carta e soldi (quanti richiesti effettivamente) attraverso il finto bancomat, trattenendosi la differenza.
Tornando al MITM (man in the middle) informatico... chiunque si trovi lungo il percorso tra un pc ed un server può catturare tutto quello che passa e se vuole può modificare anche il traffico, tutto ovviamente in modo trasparente per l'ignaro pc e l'ignaro server.
Questo è uno dei motivi per cui non è consigliabile usare wireless "aperte"... (ok, è anche illegale, ma lasciamo perdere le leggi ora) un wireless aperto può significare che il proprietario non sa neanche che è possibile proteggerlo, lo sa ma non gli interessa, lo sa ma lo ha lasciato aperto perché magari vuol catturare (faccio un esempio) l'username e la password utilizzata per leggere le email dal "fortunato" scopritore di una rete wireless aperta, per poi riutilizzarla in futuro per farsi un po' di cazzi degli altri o altre cosette...
ci sono vari modi per "trovarsi nel mezzo"... specialmente nelle reti locali (ma non solo), quindi no... la password, le email e il resto delle informazioni (non cifrate) non sono al sicuro...
Ok, ma almeno la comunicazione cifrata tra pc e server (come per es. quella effettuata con il protocollo https) è sicura? Ni...!
Qualche volta vi sarà capitato che il browser vi avvertisse che la connessione sicura è fallita perché il certificato non è valido o cose simili, questo può dipendere da vari fattori... certificato autofirmato, certificato firmato da una "Certification Authority" (CA) non riconosciuta dal vostro browser, da un certificato scaduto, etc... nella maggioranza dei casi questo può essere una cosa normale e "poco preoccupante", ma in altri casi potrebbe essere un tentativo di MITM (man in the middle).
Se una cosa del genere vi capita in un sito dove prima non capitava, o se vi capita in un sito dove sapete che dovrete inserire password, numeri di carta di credito o cose comunque importanti... evitare di cliccare istintivamente su si, accetto, continua, aggiungi tra i sicuri etc... perdete un po' di tempo e leggete quello che vi viene detto, informatevi e poi casomai procedete... non siate precipitosi! Potreste iniziare una comunicazione "sicura" con qualcuno che non è chi vi aspettate.
Ok, sono sicuro al 100% che sto comunicando con la mia banca (tanto per fare un esempio), il certificato è valido etc etc... la mia password è al sicuro? Certo che no...!
Sfruttando buchi del sistema operativo, dei programmi installati (specialmente se piratati) o comunque sfruttando le più disparate vulnerabilità, un attaccante esterno (ripeto che si può trovare anche all'altro capo del mondo) può installare sul vostro pc un keylogger, che non è altro che un software che registra tutto quello che scrivete sulla tastiera e che può, ogni tot di tempo, inviare queste informazioni all'esterno. La comunicazione tra un pc e un server può essere sicura quanto volete, ma un keylogger registra quello che scrivete in chiaro... quindi anche le password, le email, etc...
Ok, sono sicuro di non avere nessun malware (programma maligno) installato sul mio pc, la mia password è al sicuro? Certo che no...!
Esistono anche keylogger hardware... è vero che serve l'accesso fisico al pc per installarli, ma si installano in mezzo secondo e non c'è bisogno di nessuna conoscenza tecnica. In pratica si tratta di un "dispositivo" di misure ridotte (un paio di cm) che si mettono tra il filo della tastiera e il pc, esistono sia versioni usb che ps2, costano meno di un "nintendo ds" (tanto per fare un esempio) e hanno una memoria variabile, tenendo in considerazione che registrano soltanto testo... anche la più scarsa riesce a registrare giornate di sedute al pc.
Una volta tolto dal vostro pc, l'attaccante (può essere anche la domestica... niente contro le domestiche eh.. è soltanto un esempio) collega la "speciale chiavetta usb" al suo pc, digita una sequenza di tasti predefinita e vedrà il keylogger hardware come una normale pennetta usb, dove all'interno ci saranno dei semplici file di testo con tutto quello che è stato digitato da voi sulla tastiera, password comprese.
Ok, io controllo sempre il retro del mio pc per vedere se c'è qualcosa di sospetto... le mie password sono al sicuro? AHAHAHAH, non ci credo neanche se vi vedo... comunque se fosse vero, complimenti per la costanza! Per tornare al discorso delle password, certo che non sono al sicuro...!
Esistono keylogger hardware che si montano anche all'interno della tastiera... certo, invece di mezzo secondo serve il tempo di togliere quelle poche viti che ci sono... esageriamo... 5 minuti?
Oltre a controllare sempre il dietro del pc, avete messo anche un "sigillo" alla tastiera per vedere se qualcuno la apre?
Ah... che le tastiere wireless non sono sicure non ve l'ho detto, ma ve lo immaginavate vero?
Si, c'ho messo anche il sigillo e non ho una tastiera wireless... le mie password sono al sicuro? Certo che no...!
Innanzitutto, nonostante il post lunghissimo, questa è solo un'introduzione ai problemi di sicurezza... e poi c'è sempre la "Legge universale del Colombo": "Nel Software esiste sempre almeno un Bug, generalmente è localizzabile tra la tastiera e la sedia".
Sabato scorso lo hanno scoperto anche quelli di Google (mica pizza e fichi), per una quarantina di minuti, qualsiasi ricerca facevi sul loro motore di ricerca, in tutto il mondo, in qualsiasi lingua, i risultati riportavano sotto qualsiasi sito la frase "questo sito potrebbe arrecare danni al tuo computer"... la causa? ...un banale errore umano, un semplice "/" di troppo (e un controllo approssimativo di quello che può essere dato in pasto a quello script o a quel che è).
Cosa possiamo fare?
Utilizzare sempre sul proprio pc un account con permessi limitati e non utilizzare quello da amministratore,
tenere aggiornato il sistema operativo e il browser
leggere sempre quello che viene scritto sul pc, senza premere istintivamente su si, avanti, continua, accetto...
fare attenzione alle email che si ricevono, cercando di non cadere nel phishing,
utilizzare password robuste
non utilizzare mai le stesse password su siti diversi, o perlomeno non utilizzare le password per sevizi "importanti" su altri siti...
fare un minimo di attenzione a quello che si sta facendo
queste piccole precauzioni sono già un buon inizio.
Va da se che farsi rubare la password di valentano.net, se utilizzata soltanto su valentano.net, comporterà la possibilità per qualcuno di vedere il vostro indirizzo email (quindi possibile phishing, spam e invio malware), i vostri PM, mandare PM magari poco opportuni ad altri utenti, scrivere qualche post facendosi passare per voi, etc (dipende dai permessi che ha l'utente a cui viene rubata la password... quella di noi amministratori aggiungerebbe altri problemi)... ma alla fine sono "sciocchezze" in confronto a quello che può fare chi vi ruba la password di facebook (tanto per fare un esempio).
La risposta ancora non è finita... manca ancora questa parte della domanda:
C,è qualcuno che può contarci i p........ pardon, può approfittare della nostra innocente community.
dove per forza di cose rientrerà in gioco facebook e riapparirà google...
...comunque per ora vi grazio...
...
... niente da dire su tutto il tuo discorso... anche perchè...per la PROFONDA STIMA che nutro nel tuo sapere.... potrebbe essere oro colato, ma....
...visto e considerato che hai inviato il messaggio alle 00:40:59....la domanda sorge spontanea...HA CHE ORA HAI INIZIATO A SCRIVERLO? poi....spero che dalla tua "...genialità...." sia nata anche una tastiera in grado di scrivere DA SOLA tutto ciò che ti sente dire....altrimenti oggi... ti faranno un attimino male le manine......
visto e considerato che hai inviato il messaggio alle 00:40:59....la domanda sorge spontanea...HA CHE ORA HAI INIZIATO A SCRIVERLO?
Considerando che la domanda di tucano risale a più di tre settimane fa e che l'ho scritta un pezzetto al giorno...
direi che le mani stanno benone...
ora per il resto della risposta, vi toccherà aspettare almeno altre tre settimane
" HA CHE ORA....."
OPS....mi è fuggita per caso una H di troppo.....chiedo dinuovo scusa al prof. Scassalamii.... in attesa del terzo errore (non c'è due senza tre....) vi saluto
[/quote]
io invece voglio fare un complimento di cuore a 4rd4r1c0 che sarà pure lungo (non logorroico) ma è sicuramente didattico ed educativo. Per quanto uno si sforzi ad immaginare i pericoli che si nascondono in internet, si è sempre mille miglia lontano dalla realtà ed il post di 4rd4r1c0 lo dimostra. Capire i meccanismi della truffa fa prendere maggiore coscienza sullo strumento che si usa. Troppo spesso e con troppa facilità si rilasciano (io per primo) autorizzazioni all'uso di dati personali ed accettazioni contrattuali senza leggerne attentamente i termini. E' un'errore che faccio un po per pigrizia un po perché molto spesso comunque la non accettazione di certi termini equivale alla non iscrizione.
Per quanto riguarda invece facebook mi viene da fare una considerazione spontanea: stiamo sempre ad invocare il diritto alla privacy (certe volte anche a sproposito) salvo poi in maniera del tutto spontanea inserire tutti i dettagli della nostra vita in un libro aperto a tutti come puo essere un social network. Bah... misteri della psiche umana!
ciao a tutti
p.s. non sono contrario ai social network o chi li frequenta.
Se capitate in una libreria cercate "L'arte dell'inganno" di Kevin Mitnick, leggete una pagina a caso della prima parte del libro e se vi incuriosisce... compratelo.
Incuriosito da quanto hai scritto ho seguito il consiglio: ho comprato il libro e anche il suo seguito.
........." che te devo dì "Non pensavo di farti fare sta faticata
La risposta ancora non è finita... manca ancora questa parte della domanda:
dove per forza di cose rientrerà in gioco facebook e riapparirà google...
...comunque per ora vi grazio...
C,è qualcuno che può contarci i p........ pardon, può approfittare della nostra innocente community.
dove per forza di cose rientrerà in gioco facebook e riapparirà google...
...comunque per ora vi grazio...
Ci risentiamo quindi a fine mese, poi pubblicheremo il libro e con il ricavato ci finanzieremo il forum valentano. net 
Facebook intende vendere i nostri dati per finanziarsi.
Da il Disinformatico:
" Il Telegraph ha annunciato che Facebook intende sfruttare i dati personali dei suoi iscritti, ormai arrivati a quota 150 milioni, per creare uno dei più grandi sistemi del mondo per le ricerche di mercato. Facebook, nonostante la propria popolarità, fa infatti fatica a guadagnare dalla pubblicità che ospita attualmente."