Sicurezza

Come proteggersi dai problemi derivanti da falle di sicurezza in Java

Scritto da Enrico alle 06:27 del 29/01/2013 Nessuna risposta »

gen 292013

In molti siti web si fa uso di applicazioni Java per offrire contenuti interattivi.

Java non ha mai brillato dal punto di vista della sicurezza e pochi giorni fa è stata scoperta una nuova, grave falla di sicurezza che permetterebbe l’esecuzione di comandi arbitrari sui computer vulnerabili tramite il browser; la falla potrebbe essere sfruttata da qualche malintenzionato per commettere reati informatici (furto di identità o di dati sensibili, cancellazione di dati personali, ecc.).

Ad essere affetta da questa temibile falla di sicurezza è la versione 7 della piattaforma Java.

Oracle ha prontamente rilasciato un aggiornamento di Java (Java 7 Update 11) che modifica le impostazioni di sicurezza di default, impostandole su un livello più alto (High), in modo che l’utente venga avvisato della presenza di un’applet Java e possa consentire o meno la sua esecuzione.

Il fatto che Java 7 Update 11 chieda agli utenti una conferma prima di procedere con l’esecuzione di un’applet all’interno del browser, non è una soluzione al problema, pur rappresentando un passo avanti.

Gli utenti che fanno uso di applicazioni Java per desktop (si pensi ai tanti applicativi che consentono un’interazione con l’Amministrazione Pubblica, ad esempio) possono invece stare tranquilli e continuare ad utilizzare le loro applicazioni Java.

Al momento in cui scrivo, l’unico modo per mettere al sicuro il proprio browser dai rischi derivanti dai bug in Java è quello di disattivare il plugin installato nel browser e che consente l’esecuzione delle applets.

Oracle spiega come disattivare, in uno colpo solo, Java per tutti browser installati nel proprio PC.
Abilitare Java

Di seguito, invece, è spiegata la procedura per disabilitare i plugin Java in ciascuno dei browser più diffusi.

Leggi il seguito »

Apple al BlackHat 2012

Scritto da Enrico alle 06:27 del 26/07/2012 1 Risposta »

lug 262012

Questa per me è una grande notizia: Apple parteciperà alla conferenza sulla sicurezza BlackHat 2012.

Il keynote della conferenza non lascia dubbi al riguardo: oggi sarà la volta di Dallas De Atley, Stefan Esser, Justin Engler, Seth Law, Joshua Dubik, David Vo ad illustrare, in diversi interventi quanto Apple sta facendo per la sicurezza di IOS, il sistema operativo che fa funzionare i device mobili by Cupertino.

E’ per me una grande notizia in quanto, finalmente, Apple sembra abbandonare, almeno per quanto riguarda IOS, la politica negazionista relativa ai problemi di sicurezza dei propri sistemi e partecipa attivamente ad una conferenza sulla sicurezza.

Di OSX sembra che Apple non voglia parlare, nonostante i recenti malware saliti alla ribalta delle cronache e nonostante Charlie Miller ed altri abbiano dimostrato, nei vari Pwn2Own degli scorsi anni, quanto vulnerabile possa essere il sistema operativo Apple.

Speriamo perciò non si tratti della solita manovra a scopo di marketing per gettare un po’ di fumo negli occhi, ma del segnale di una mutata attenzione alle tematiche della sicurezza, da sempre snobbate da quelle parti.

iLarità

Scritto da Enrico alle 10:38 del 26/06/2012 Nessuna risposta »

giu 262012

Piccola parentesi di ilarità tratta da cervellilavati.it

E tutto questo accadeva dopo un anno dal clamoroso voltafaccia di Apple stessa.

Oggi, finalmente, il risveglio stile back to reality:

Apple decides that Macs aren’t immune to viruses (Apple decide che i Mac non sono immuni da virus)

Godiamoci quello che ora assomiglia tanto a uno spassoso pezzo da cabaret.

MAC, PC e i virus

PDFCreator, NOD32 e OpenCandy

Scritto da Enrico alle 18:26 del 27/03/2012 Nessuna risposta »

mar 272012

Chiunque utilizzi NOD32 come antivirus e tenti di scaricare PDFCreator, l’utility gratuita per generare PDF con un semplice comando di stampa, si sarà imbattuto nell’avviso mostrato nell’immagine soprastante.

OpenCandy viene identificata come applicazione potenzialmente pericolosa.

Ma cos’è OpenCandy?

OpenCandy è una piattaforma adottata da un network di sviluppatori di software per promuovere l’utilizzo di altri programmi sviluppati da chi appartiene al network stesso.

La promozione avviene sotto forma di proposta di installazione di un altro programma durante l’installazione del programma di cui si sta eseguendo la procedura di setup.

Installando PDFCreator, ad esempio, può venir consigliata l’installazione di RealPlayer

In questo caso è sufficiente non accettare i termini del contratto di licenza togliendo il segno di spunta (che viene inserito di default) dall’apposito campo per evitare che Real Player venga installato.

Come funziona?

Quando si avvia l’installazione di un software appartenente al network, viene richiesta ai server OpenCandy una lista di applicazioni che lo sviluppatore del programma che si sta installando ha deciso di proporre sulla base della lingua, del sistema operativo e del Paese.
Il plugin OCSetupHlp.dll seleziona la prima delle raccomandazioni valide nell’elenco.
La selezione viene effettuata in base ad alcuni criteri quali la presenza o meno sul PC del software nell’elenco delle raccomandazioni, o la presenza di tutti i file necessari alla sua installazione.
Per effettuare la raccomandazione opportuna, OpenCandy invia ai server i seguenti dati:

L’installer in esecuzione (quello di PDFCreator nel mio caso);
La versione del sistema operativo;
La lingua dell’installer e del sistema;
L’ora locale;
La versione del client OpenCandy.

La scelta effettuata dall’utente di installare o meno il programma proposto, viene memorizzata in forma anonima per fini statistici; questo è quanto emerge dalla lettura delle condizioni di privacy pubblicate sul sito OpenCandy.

I più maliziosi considerano OpenCandy un adware per il fatto che veicola pubblicità non richiesta, ed uno spyware (per il fatto che invia in rete dei dati relativi al computer su cui viene effettuata la procedura di installazione di un programma appartenente al network).
Altre critiche vengono mosse per il fatto che i dati relative alla scelta effettuata dall’utente vengano memorizzati senza l’esplicito consenso dell’utente stesso.

C’è chi invece lo considera un innocuo metodo promozionale che rispetta la privacy dell’utente e gli fornisce un servizio potenzialmente utile.

Uso regolarmente PDFCreator e, dopo essermi informato, ho deciso di ignorare l’avviso di NOD32 anche rinfrancato dal fatto che una scansione antivirus successiva all’installazione non ha segnalato nulla di anomalo.

Devo ammettere però il fastidio per questo sistema di “proposte” e “raccomandazioni” che fa leva più che altro sulla distrazione dell’utente, portato a premere su Avanti con troppa fretta e senza accorgersi di accettare le condizioni di licenza di un programma diverso da quello che sta installando.
Avrei preferito che di default fosse necessaria un’azione dell’utente per acconsentire all’installazione piuttosto che una per evitarla.

Per il resto ritengo che OpenCandy operi in una sorta i zona grigia in cui il comportamento adottato si presta a diverse interpretazioni favorevoli e sfavorevoli.

Amazon Kindle Fire e walled garden

Scritto da Enrico alle 07:27 del 14/11/2011 2 Risposte »

nov 142011

La fidelizzazione dei clienti è quell’insieme di pratiche messe in atto dalle aziende con lo scopo di mantenere la propria clientela.
Di solito si tratta di azioni tese ad incentivare acquisti dei propri prodotti rendendo meno appetibile l’acquisto di prodotti concorrenti.
Raccolte punti, buoni sconto su acquisti attuali da sfruttare per acquisti futuri sono solo alcuni esempi, tra i tanti che sono a noi ben noti.

Nel campo delle tecnologie IT e delle telecomunicazioni (e non solo) questa pratica, che può essere considerata in un certo senso positiva per il consumatore, si è estesa, ed è stata integrata da altri metodi un po’ meno “piacevoli” per il consumatore.

Le aziende, infatti, hanno iniziato ad inserire limiti “artificiali” per scoraggiare lo switch verso altri prodotti.
Esempi potrebbero essere l’impossibilità (salvo contromisure) di scaricare la posta elettronica da caselle email gestite da providers diversi da quello utilizzato per l’accesso ad Internet; oppure i limiti che Apple inserisce nei propri device mobili per scoraggiarne utilizzi diversi da quelli che convengono all’azienda (vedi limiti sull’utilizzo del bluetooth, o quelli relative all’utilizzo di Siri, ad esempio), o il soffocante abbraccio a cui sottopone i propri clienti con iTunes (reso in certi casi obbligatorio).

Questo tipo di pratiche sono negative per i consumatori perché, in pratica, hanno l’obiettivo di costringere, più che di indurre, i propri clienti a restare nel “walled garden” costruito dall’azienda.
Non sempre è possibile aggirare queste limitazioni e spesso è possibile farlo solo a patto di perdere la garanzia sul prodotto.

Amazon, che fino ad ora ha brillato per il rispetto degli utenti ed è riuscita a trasformare in moneta sonante l’alto livello di fiducia che è riuscita meritatamente ad ispirare, pare non abbia resistito alla tentazione di costruire il suo recinto virtuale in cui tentare di confinare per i propri clienti e, anzi, con il Kindle Fire da $199,00, sembra andata addirittura oltre.

Per come viene presentato, il Kindle Fire è un normalissimo tablet basato su Android, su cui gira il “rivoluzionario” [sic!] browser Silk.
In realtà, a causa della personalizzazione effettuata da Amazon, sembra più uno strumento prettamente orientato alla fruizione dei contenuti venduti dall’azienda di Seattle. E questo è il male minore.

Il Kindle Fire con Silk si collega ad Internet attraverso il servizio cloud di Amazon (Amazon Elastic Compute Cloud, aka EC2) con cui costituisce una sorta di recinto teso ad impedire usi alternativi.

Infatti, a differenza con quanto avviene con iTunes e GoogleApp, attraverso cui Apple e Google hanno la possibilità di effettuare un controllo dell’utente tramite le applicazioni che questi utilizza, con il suo tablet Amazon è in grado di controllare il modo in cui il device dialoga con la rete: le richieste di contenuti effettuate dal browser Silk vengono elaborate da EC2, adattate e confrontate con il profilo comportamentale associato all’utente e poi inviate al tablet.
In sostanza Silk e EC2 si comportano come una sorta di entità che si pone tra l’utente ed i contenuti richiesti con lo scopo di individuare una eventuale regolarità di comportamenti negli utenti, in modo da fornire i contenuti richiesti nel più breve tempo possibile.
Si realizza, in questo modo, una canalizzazione dell’attività dell’utente che consente ad Amazon la raccolta dei dati più disparati incrociabili nei modi più diversi. Roba da far impallidire Google.

Balzano immediatamente agli occhi i potenziali problemi legati alla privacy e pare evidente l’intenzione di Amazon di confinare la navigazione Internet degli utenti in un luogo virtuale in cui l’azienda è potenzialmente in grado di controllare tutte le attività degli utenti a cui associare i contenuti richiesti.

Questa struttura ha scopi prettamente commerciali e probabilmente i potenziali rischi su citati non si concretizzeranno.
Ma proprio perché assomiglia più ad una Intranet aziendale che alla fornitura di un accesso ad Internet, potrebbe venir meno il principio di neutralità, che pone il provider di servizi di comunicazione al riparo dalle responsabilità conseguenti l’utilizzo da parte dei propri clienti dei servizi forniti.
Come si comporterà l’azienda di Seattle a fronte di richieste di contenuti borderline, forse leciti, forse no, che potrebbero essere considerati critici o inopportuni?
Amazon, a causa della diversa responsabilità, potrebbe perciò vedersi costretta a controllare, filtrare, censurare.
In ogni caso, avrebbe comunque a disposizione una possibilità di controllo tali da far raggelare il sangue.

Pixmania-PRO, privacy e sicurezza dei dati

Scritto da Enrico alle 07:27 del 07/11/2011 Nessuna risposta »

nov 072011

Dopo mesi di inutilizzo, ho tentato di accedere al mio account in Pixmania-PRO.

La password non viene accettata così, pensando avessi scordato di averla cambiata, avvio la procedura per richiederne una nuova.
Pochi minuti dopo ricevo l’email con la nuova password.

Ma quando vado ad effettuare il login, non accade nulla.
Nel senso che non effettuo il login ne’ viene segnalata un’anomalia relativa alla password.
Semplicemente ritorno al punto di partenza senza alcun feedback.

Se invece tento di inserire la combinazione username/password (quella password che mi è stata inviata per email) in un’altra finestra del login presente nella pagina, mi viene segnalato che la password è errata Basito .

Provo nuovamente ad inserire userid/password nel box in alto a destra “sbagliando” appositamente la password e finalmente qualcosa di normale: vengo avvisato che

Ma allora c’è differenza tra inserire la password-giusta-che-viene-segnalata-come-errata e la password-sbagliata-di-sicuro!

Ma il bello deve ancora venire.
Se inserisco comunque un ordine, arrivo ad un punto in cui devo necessariamente autenticarmi come utente esistente oppure effettuare una nuova iscrizione.
Per errore ho premuto invio dopo aver inserito solo username e…incredibile…sono stato autenticato!
Calma…calma…autenticato è un parolone: diciamo che ho effettuato “un” accesso ma invece di vedere i dati del mio account, vedo i dati, sempre riferiti alla mia persona, ma di un account che utilizzavo per conto della società di cui facevo parte in precedenza!!!
In pratica, con la mia username e senza alcuna password ho potuto accedere all’account di qualcun’altro (o quantomeno visualizzarne i dati).

Questo account non dovrebbe più esistere; nel tentativo di uscire dall’empasse, provo a cambiare i dati che non sono più validi (società, indirizzo, email, numero di telefono).
Ma appena tento di memorizzare i dati, vengo scaraventato in una pagina che mi dice

L’indirizzo di fatturazione fornito non è valido. La preghiamo di verificare l’esattezza dei dati da lei forniti allo spazio “Il mio account”

Sarà per questi motivi che in nessuna parte del sito è possibile reperire dei riferimenti alla privacy ed alle modalità di trattamento dei dati? (ma non sono obbligatori?).

P.S.:
Il sito è infarcito di errori, anche grossolani, che segnalano un lavoro fatto coi piedi.
Ovviamente tutte le operazioni svolte, corredate dagli screenshot del caso sono stati inviati sia al servizio clienti che all’indirizzo email del webmaster.
Quasi due mesi fa…
Ad oggi, nessuna risposta e, ovviamente, non posso accedere al mio account; nemmeno per cancellarlo definitivamente.
Quando si dice la serietà…

Pagina 1 di 9 1 2 3 … 8 9 Voci più vecchie

L	M	M	G	V	S	D
« apr
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31

Ricerca in FOLBlog