Domanda. Ma come posso usare il servizio di home banking con Internet Explorer se, come si dice, non è sicuro?
Risposta. Microsoft si è adeguata allo standard SSL a 128bit, minimo requisito per una transazione sicura sul web, ma con gravi problemi. L’ultimo della serie ha colpito Internet Explorer nella sua ultima versione. A metà agosto 2002 la società di Seattle ha dovuto chinare il capo e ammettere suo malgrado ciò che Verisign continuava a sostenere da mesi: di fatto IE 6 (in alcuni casi e sempre nelle versioni precedenti) non contralla la fonte del certificato rilasciato. Qualsiasi tipo di certificato valido è preso per buono dal browser della Microsoft. Ciò significa che se un utente si collega a un sito clone della sua banca e non controlla (cosa che di solito non si fa mai ma andrebbe al contrario fatto ogni volta) che il certificato sia proprio quello della sua Banca di fatto affuida tutti suoi dati, le sue transazioni in una parola i suoi soldi al craccatore. Ma com’ è possibile che possa esserci un sito clone della Banca? Non è così difficile da creare e comunque è facile farlo per pochissimo tempo catturando anche solo pochi utenti. Il problema è che se un cracker crea diversi cloni di banche online anche per pochi secondi e poi sparisce di fatto ha catturato in una giornata abbastanza password da creare un bel gruzzolo di svariati milioni di Euro in banche off shore irragiungibili. Microsoft è corsa ai ripari rilasciando numerose patch. E invitando gli utenti a installarle “con urgenza” nei propri computer. Perchè intanto aveva scoperto un altro buco. Questa volta il problema riguarda Java. Ma non la versione di “Java machine” della Sun (JVM), ma quello sviluppato da Microsoft, il Microsoft Virtual Machine. Questi programmi che attivano i file sviluppati con questo linguaggio. In breve se un utente riceve via Outlook Express una pubblicità in HTML che lo invita ad andare in un sito e questo sito ha un codice Java “malizioso” di fatto l’utente può aprire la porta al craccatore, che non solo ruba i suoi dati ma può anche collegarsi ai data base degli Intranet aziendali. O comunque a data base di ogni tipo, compresi quelli della banche online. E pare che nessuna banca abbia crittografato i data base (per motivi di vario genere non ultimo che i backup crittografati sono molto onerosi e difficili da manutenere). Di fatto basterebbe disinstallare la Java Machine della Microsoft e installare quello della SUN per risolvere il problema, solo che nessuno lo fa e non è così semplice. Comunque anche per questo problema c’è una patch appena rilasciata. Manca invece ancora una patch per gli utenti Mac, che devono attendere (oppure utilizzare Netscape).
l'ho copiato dal sito:
http://www.osservatoriofinanziario.com
Registrazione
