Condividi:        

Se possibile chiedo un Vs. cortese commento a questa rispost

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Se possibile chiedo un Vs. cortese commento a questa rispost

Postdi federico » 20/02/03 12:56

Domanda. Ma come posso usare il servizio di home banking con Internet Explorer se, come si dice, non è sicuro?

Risposta. Microsoft si è adeguata allo standard SSL a 128bit, minimo requisito per una transazione sicura sul web, ma con gravi problemi. L’ultimo della serie ha colpito Internet Explorer nella sua ultima versione. A metà agosto 2002 la società di Seattle ha dovuto chinare il capo e ammettere suo malgrado ciò che Verisign continuava a sostenere da mesi: di fatto IE 6 (in alcuni casi e sempre nelle versioni precedenti) non contralla la fonte del certificato rilasciato. Qualsiasi tipo di certificato valido è preso per buono dal browser della Microsoft. Ciò significa che se un utente si collega a un sito clone della sua banca e non controlla (cosa che di solito non si fa mai ma andrebbe al contrario fatto ogni volta) che il certificato sia proprio quello della sua Banca di fatto affuida tutti suoi dati, le sue transazioni in una parola i suoi soldi al craccatore. Ma com’ è possibile che possa esserci un sito clone della Banca? Non è così difficile da creare e comunque è facile farlo per pochissimo tempo catturando anche solo pochi utenti. Il problema è che se un cracker crea diversi cloni di banche online anche per pochi secondi e poi sparisce di fatto ha catturato in una giornata abbastanza password da creare un bel gruzzolo di svariati milioni di Euro in banche off shore irragiungibili. Microsoft è corsa ai ripari rilasciando numerose patch. E invitando gli utenti a installarle “con urgenza” nei propri computer. Perchè intanto aveva scoperto un altro buco. Questa volta il problema riguarda Java. Ma non la versione di “Java machine” della Sun (JVM), ma quello sviluppato da Microsoft, il Microsoft Virtual Machine. Questi programmi che attivano i file sviluppati con questo linguaggio. In breve se un utente riceve via Outlook Express una pubblicità in HTML che lo invita ad andare in un sito e questo sito ha un codice Java “malizioso” di fatto l’utente può aprire la porta al craccatore, che non solo ruba i suoi dati ma può anche collegarsi ai data base degli Intranet aziendali. O comunque a data base di ogni tipo, compresi quelli della banche online. E pare che nessuna banca abbia crittografato i data base (per motivi di vario genere non ultimo che i backup crittografati sono molto onerosi e difficili da manutenere). Di fatto basterebbe disinstallare la Java Machine della Microsoft e installare quello della SUN per risolvere il problema, solo che nessuno lo fa e non è così semplice. Comunque anche per questo problema c’è una patch appena rilasciata. Manca invece ancora una patch per gli utenti Mac, che devono attendere (oppure utilizzare Netscape).

l'ho copiato dal sito:

http://www.osservatoriofinanziario.com
federico
Utente Senior
 
Post: 113
Iscritto il: 25/03/02 06:47
Località: Bari

Sponsor
 

Postdi zello » 20/02/03 13:44

Il man-in-the-middle è l'unico attacco sensato, quando la transazione è crittata. Non penso che se anche apparissero 34 finestre che ti avvertono "il certificato non è rilasciato da un'autorità riconosciuta, vuoi accettarlo ugualmente?" l'utente ci penserebbe un attimo a cliccare su "sì".
Certe truffe, semplicemente, non possono fare a meno di funzionare. Avete mai visto qualcuno fare physhing? Si manda un po' di spam in giro, dicendo "salve, sono l'American Express, il nostro database aziendale è appena esploso, potrebbe cortesemente replicare alla presente inviando il suo numero di carta di credito?". E' fesso, ma se solo su 2 mln di email mi tornano 100 risposte, ho comunque un buon risultato.
Il bug nella JVM dovrebbe essere chiuso da un pezzo.
I problemi di m$ sono altri:
- punto primo: i suoi prodotti sono i più utilizzati, e quindi è più facile che siano bersagli di attacchi massivi (vedi worms, ad esempio)
- punto secondo: m$ ha scoperto internet - e il relativo problema di sicurezza - piuttosto tardi: OE nasce come client di posta interno, poi adattato a internet. Morale: la sicurezza *non* è mai stata una priorità nei prodotti microsoft, c'è poco da fare. Le impostazioni di default (come l'attivazione di script e activeX in mail in html) non tengono semplicemente conto del problema. Se si vuole più sicurezza, o ci si sporca le mani con patch e configurazioni manuali (il ché, comunque, è sempre consigliabile), oppure si passa a prodotti più sicuri (a volte anche migliori, ma non necessariamente).

Just my 2 cents.
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi piercing » 21/02/03 01:30

zello ha scritto:Just my 2 cents.


Certo che pure te superzello a forza di 2 cents hai messo su un bel gruzzoletto eh? :lol:

Ragà... i problemi cui accenna federico sono già "fuori moda", ma tanto ne escono talmente tanti ogni giorno che il discorso è e sarà sempre valido... almeno finchè M$ non cambierà testa (mi giungono buone notizie in questo senso dal nuovo sysop server... sarà vero?)
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi federico » 21/02/03 09:40

A questo punto-dopo aver letto i commenti dei moderatori- credo che l'unica "connessione" sicura sia quella di mettersi in coda ai vari sportelli bancari e/o postali con tanti saluti alla modernità
Ritornare all'antico!
federico
Utente Senior
 
Post: 113
Iscritto il: 25/03/02 06:47
Località: Bari

Postdi Frengo78 » 21/02/03 10:02

Ok, forse la certezza per questo genere di servizi come l'home banking non è ancora sicura al cento per cento ma Federico, molti siti ecommerce offrono anche la possibilità di pagare in contrassegno.
Quindi non credo che si debba rinunciare alle soluzioni moderne.
Knowledge is a weapon
Frengo78
Utente Senior
 
Post: 8985
Iscritto il: 16/07/02 08:41
Località: Torino

Postdi zello » 21/02/03 10:26

Il meccanismo è sicuro. I problemi sono:
- IE e il suo meccanismo di validazione dei certificati;
- le banche, che non ritengono al momento possibile che qualcuno abbia i mezzi e le capacità per un man-in-the-middle (che comunque è un attacco piuttosto complicato, dato che bisogna pur sempre reindirizzare a sé le richieste di connessione, e quindi prevede modifiche a livello di nameservers, o almeno di registrare domini "simili" a quelli della banca)
- l'utente - che si comporta da scimmia cliccante - e non controlla la validità del certificato.
Se il certificato è valido, e rilasciato da un'autorità valida, la connessione è *sicura.
Il problema è il solito: se scegli un'ottima password per il tuo utente administrator, e poi la scrivi su un postit e l'attacchi al monitor, non è che poi puoi incolpare il sottosistema di sicurezza del kernel perché qualcuno ti ha compromesso la macchina...
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi Nicola » 21/02/03 11:30

zello ha scritto:Il problema è il solito: se scegli un'ottima password per il tuo utente administrator, e poi la scrivi su un postit e l'attacchi al monitor, non è che poi puoi incolpare il sottosistema di sicurezza del kernel perché qualcuno ti ha compromesso la macchina...


Il problema è anche usare Win9x/Me, che non considerano gli utenti quasi per niente... come hai già detto però, anche un NT è insicurissimo con password blank o ultrafacile all'Administrator ;)

Ciao
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi Frengo78 » 21/02/03 11:34

Non vorrei dire fesserie nico ma per il problema specifico win9x e winNT sono assolutamente sullo stesso piano. No?
Knowledge is a weapon
Frengo78
Utente Senior
 
Post: 8985
Iscritto il: 16/07/02 08:41
Località: Torino

Postdi Nicola » 21/02/03 11:49

Frengo78 ha scritto:Non vorrei dire fesserie nico ma per il problema specifico win9x e winNT sono assolutamente sullo stesso piano. No?


per la sicurezza in rete per carte di credito ecc? credo che dipenda anche dalla versione di IE ecc.. intendevo circa la sicurezza di intrusioni (vabbè basterebbe un *vero* firewall), con una password da 200 caratteri a crackarti l'Admin ci metti secoli, mentre nei 9x la cancelli in 2 secondi la passwd. ;)
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi piercing » 21/02/03 12:00

scusate... ma quali sono i problemi di sicurezza?? non ho mai detto che è insicuro fare transazioni online... credo ci sia più rischio di una rapina in banca...

è molto diverso dire "Explorer ha dei bug" piuttosto che "le transazioni con Explorer sono insicure".

Utlizzo tutti i sistemi online possibili, pago con carta di credito da anni online, utilizzo 4 homebanking diversi (con cui muovo un cospicuo numero di migliaia di euro), faccio tradingonline...

e continuo a reputare che un utlizzo COSCIENTE di tali sistemi è molto molto molto [...] più sicuro di un sistema tradizionale.

La prima e più importante maniera di tutelare la sicurezza di tutto è solo quella di agire con coscienza...

Sembra strano... ma la statistica è una scienza esatta... credo sia altamente più improbabile un attacco online che una rapina in banca... e le statistiche me ne danno atto... oltre al fatto che ho guadagnato in vita e in salute...

Se non sono stato chiaro ditemelo... ;)
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi Frengo78 » 21/02/03 12:35

piercing ha scritto:ma la statistica è una scienza esatta...

Sono state le stesse parole che hanno usato i dirigenti dell'istat negli ultimi mesi :D :) :P

Scherzi a parte hai ragione. Sei stato chiarissimo
Knowledge is a weapon
Frengo78
Utente Senior
 
Post: 8985
Iscritto il: 16/07/02 08:41
Località: Torino

Postdi zello » 21/02/03 13:37

La prima e più importante maniera di tutelare la sicurezza di tutto è solo quella di agire con coscienza...

Siamo sostanzialmente d'accordo - una volta che sei certo dell'identità della controparte, e una volta che sei certo che non ci sono bugs nell'implementazione del protocollo, il sistema ha un grado di sicurezza eccellente. Se passi il tuo numero di carta di credito al primo sfigato che ti propone una formella html, beh, sei un pirla, ma probabilmente avresti anche comprato un videoregistratore di cartone all'autogrill.
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44


Torna a Sicurezza e Privacy


Topic correlati a "Se possibile chiedo un Vs. cortese commento a questa rispost":


Chi c’è in linea

Visitano il forum: Nessuno e 60 ospiti