A volte ci sono ancora sistemi per farsi del male da soli che mi lasciano stupito, e che francamente non mi sarei mai aspettato. Questo mi ha colpito così tanto che voglio condividerlo con voi:
Allora, vediamo come una serie di operazioni, di per se totalmente corrette e “banali” possano portare a conseguenze inaspettate.
Supponiamo che voi abbiate una email sul vostro dominio “lavorativo”, che so, azendapercuilavoro.it, che sarà quindi del tipo nome.cognome@azendapercuilavoro.it. Oltre a ciò diciamo che avete una bellissima email personale su un servizio gratuito, persempio ilmiosoprannome@gimailla.pif.
Siete stanchi di consultare le email separatamente, quindi cosa fare?
Entrate dentro le impostazioni della vostra mail lavorativa, trovate due impostazioni che SEMBRANO identiche, Redirect e Forward, e decidete per fare un bel forward di tutte le vostre email da nome.cognome@azendapercuilavoro.it a ilmiosoprannome@gimailla.pif.
Poi , felici come delle pasque, vi vedete le mail da ilmiosoprannome@gimailla.pif , e le vostre email lavorative sono regolarmente li’ presenti, e pure tutte belle incolonnate e marcate come mail “lavorative”.
Tutto funziona bene.
Oltretutto le vostre mail “originali” restano dentro alla casella nome.cognome@azendapercuilavoro.it permettendovi di archiviarle proprio come volete voi. Fantastico!
Putroppo, quei fastidiosi degli spammer vi continuano a mandare spam e voi, presi dall’ira del giusto, sapendo che gimailla.com ha un fantastico filtro antispam che basta addestrare, iniziate a segnare come spam tutte le mail “cattive” che vi passano sottomano.
Stranamente, dopo qualche tempo succede però una cosa antipatica:
Il vostro server di posta azendapercuilavoro.it viene segnalato da gmailla.pif come fonte di spam.
Questo genera le vostre furibonde ire verso gimailla che non capisce che voi non siete spammer e verso il vostro provider che non vi tutela abbastanza e verso il mondo che e’ cattivo e… aggiungete pure quel che volete.
Ho una brutta notizia per voi: sapete chi ha segnalato come spammer il vostro server di email azendapercuilavoro.it?
VOI!!!!
si proprio VOI!!
come e’ possibile? semplice!!!
Basta capire la differenza tra redirect e forward.
Quando fate un redirect, state dicendo al vostro server che è “solo un tramite” e quindi la vostra email viene girata all’indirizzo finale ANCHE con le intestazioni originali, mentre se fate un forward vi state rispedendo la posta a un altro indirizzo, e quindi le intestazioni della vostra mail vengono sovrascritte, il che significa che quella mail l’avete inviata VOI. dal vostro server azendapercuilavoro.it.
quindi, secondo voi, CHI verrà marcato come spammer da gimailla.pif ?
ESATTO, PROPRIO VOI STESSI!!!
Insomma, a volte “gli incastri” tra questi sistemi richiedono un minimo di attenzione. Se ci sono 2 differenti tipi di scelte che vi offre il vostro sistema, una differenza sotto sotto ci sarà, no ? Se non siete sicuri di quale sia la scelta più giusta per voi, rivolgetevi ad un esperto! ( se poi vi rivolgete a noi usando il form in fondo a questa pagina siamo ancora più contenti! ^__^)
Ultimamente il problema dello spam sta passando dalla fase “incredibile rottura di scatole” a quello di “piaga biblica”, e purtroppo proteggere noi stessi e gli altri da questo fenomeno è diventata una guerra difficilissima da vincere. Oltretutto è cosa risaputa che le email sono il vettore primario di infezione di qualunque attacco alla nostra sicurezza.
Basta aprire la mail e rendersi conto che e’ estremamente difficile che la nonna ci abbia mandato il link a un sito di cortesi donzelle russe che cercano l’amore della loro vita in Italia, o chiedersi quando e’ stato che ci siamo mandati da soli una mail con la pubblicità del Viagra pre renderci conto che c’e’ qualcosa che non va nella posta elettronica.
In effetti il problema è ben conosciuto e di vecchia data:
il protocollo che permette l’invio delle email (per i tecnici l’SMTP, Simple Mail Transfer Protocol) è datato e non richiede nessuna autenticazione, per cui se al server di posta “medio” io dico di essere il presidente degli stati uniti che vuole mandare una mail a tizio lui se la beve senza mezzo problema. Se il sistema è ben configurato potrà fare qualche controllo, per esempio controllare se la casella di email che sta dichiarando di inviare il messaggio esiste, se esiste il dominio relativo ecc.
Ma comunque difficilmente si possono fare i miracoli, e qualunque sistema metteremo in piedi potrà mitigare il fenomeno ma difficilmente risolverlo.
Però ci sono delle cose che comunque possiamo fare e che “aiutano tanto”:
Una di queste è la messa in opera del protocollo SPF, o Sender Policy Framework per chi odia le sigle.
Questo sistema si basa su un assunto:
io che sono il titolare del mio dominio (quella parte dell’email che viene dopo il simbolo @ , per esempio adigitali.it) posso rendere noto al mondo quali sono i server da cui invio la posta, e dire a tutti cosa fare di una email che, pur essendo marcata come proveniente da me ( cioè che termina con @adigitali.it ) non proviene in realtà dal mio server.
In questo modo, a fronte di una piccola limitazione, cioè accettare di spedire email solo dai miei server, posso permettere a tutti gli altri di sapere se una mail che è stata spedita da me è effettivamente “vera” o spam.
Ovviamente l’impiego di questo sistema proteggerà anche me “al contrario”, permettendomi di marcare come spam qualunque mail che mi sia stata inviata è “buona o no” utilizzando lo stesso sistema… e visto che è pratica comune per gli spammer inviare molte mail di spam dallo stesso indirizzo del ricevente, se si collega questo sistema al più antico “vuoi inviare una mail da me? dimmi la password…” si inizia a cestinare un bel quantitativo di spam in più.
Ovviamente rendere più difficile allo spammer di turno spacciarsi per me aumenta notevolmente il mio livello di sicurezza, rendendo più difficile impersonarmi, e se pensate a quante cose si basano su una email capirete che questo piccolo “sacrificio”, cioè non usare per spedire le mie email un server altrui, è cosa buona e giusta.
Peraltro c’è sempre da chiedersi anche un’altra cosa: Se sto usando il server SMTP di un altro mio account di posta, e quindi sono comunque “protetto” da una accoppiata username/password per spedire la posta, ancora va tutto bene, ma un server che accetti in invio le mail di chiunque tecnicamente si chiama “open relay” ed e’ MOLTO, ma MOLTO male…
perche’ oltre alle mie email spedirà quelle di chiunque altro, ivi compreso quelle di chi si spaccia per il presidente degli stati uniti.
Siamo sicuri di volere che la nostra posta giri insieme a quella di questo personaggio?
Se volete qualche info in più potete contattarci utilizzando il form nella pagina contatti o magari venendoci a trovare…il caffè lo offriamo noi!
È in giro nuovamente un’altra ondata di ransomware, quei fantastici “virus”, che provvedono a criptare tutto il contenuto dei vostri computer e a pretendere il pagamento di un riscatto per “liberare” i vostri dati. Quelli che i più conoscono con il nome del più famoso, Cryptolocker per intenderci.
Cryptolocker: perché pagare il riscatto non è una buona idea.
In primo luogo perchè stiamo segnalando al ricattatore che siamo disponibili a pagare, e quindi la prossima sarà molto peggio… E la prossima potrebbe essere quella del vostro server. In secondo luogo perchè state dando soldi ad una organizzazione criminale, e queste ultime non sono proprio famose per rispettare i patti o per non trarre ulteriori vantaggi da voi. Per noi esiste anche un terzo problema, etico, che non troviamo piacevole finanziare la criminalità organizzata, ma ci rendiamo conto che magari questo per alcuni può essere pragmaticamente un problema secondario.
Allora come difendersi da queste minacce?
La prima difesa, chiariamo, è non prenderselo, impresa non impossibile. Questi software non si diffondono con tecniche particolarmente eclatanti: Mandano una email con un allegato, normalmente con una doppia estensione (documento.doc.exe) che conta sul fatto che il vostro windows sarà impostato per “nascondere le estensioni conosciute” e quindi non farvi vedere il nome intero. voi cliccate sull’allegato, e lo state lanciando. e il vostro pc vi chiede “ma sei sicuro?” . Se voi cliccerete “si”, bypassate il primo controllo. normalmente stessa cosa sull’ultima barriera, sempre che ci sia e sia effettivamente funzionante, costituita dall’antivirus.
Il terzo controllo sarebbe fornito dal sistema UAC di windows, quello che vi chiede conferma millemila volte prima di farvi installare qualcosa e che spesso vi obbliga a dare le credenziali di amministratore del PC (se non siete un utente amministratore). Purtroppo anche in questo caso il sistema viene visto come una scocciatura, gli utenti windows vengono pertanto fin troppo spesso resi amministratori della macchina e l’UAC disattivato. Peccato, perchè in alcuni casi avrebbe “salvato” dal guaio il malcapitato.
Insomma, la prima vera difesa da cryptolocker è stare attenti a quello che si fa:
I client di posta se posti il mouse sull’indirizzo del mittente te lo fanno vedere “per intero” : difficilmente Apple vi segnalerà un problema sul vostro ID Apple mandando una mail che si identifica da “Apple Inc” ma che proviene da info@peppagroup.com, se non avete un conto corrente alle cayman difficilmente la forst national bank of cayman avrà la necessità di farvi resettare le vostre password, la lotteria nazionale brasiliana non vi scriverà per mail che avete vinto mezzo milione, e il pensiero che una procace signorina estone frema dal desiderio di mandarvi foto erotiche mi risulta leggermente poco credibile.
E’ vero che ultimamente la qualità delle email di questo genere è cresciuta notevolmente:
l’italiano non è più particolarmente sgrammaticato, sembrano proprio quelle delle bollette ecc. ecc. Purtroppo questa è una indicazione di quanto sia fiorente il mercato italiano per questo tipo di criminalità, cioè più che a sufficienza per investire tempo e soldi per fare mail apposite, credibili e spesso probabilmente scritte da madrelingua, ma alcuni “indicatori” come l’indirizzo email spesso non corrispondente al mittente dichiarato, o l’uso di un allegato compresso invece di un PDF, di solito permangono. Si tratta di aumentare la soglia di attenzione, che è un pò anche il motivo di queste note.
Purtroppo il momento di disattenzione può capitare a tutti, e in questo caso bisogna essere in grado di fare entrare in gioco la “seconda linea di difesa”.
La seconda vera difesa sono i backup, ma anche qui… sempre che non solo li facciate, ma li facciate bene.
Se il vostro modo di fare i backup sono una cartella condivisa sul server X che è PERENNEMENTE collegata al vostro PC tramite connessione di rete windows, il nostro “amico” cryptolocker non ha NESSUN PROBLEMA a individuarla e criptare anche lei usando le VOSTRE credenziali, rendendo il suddetto “backup” totalmente inutile. Stessa cosa ovviamente se si tratta di un disco esterno, o una chiavetta usb, perennemente attaccata al PC : Vi troverete criptati anche loro , e tanti saluti.
SE PROPRIO PROPRIO siete arrivati a non sapere dove sbattere la testa, potreste avere ancora un meccanismo di salvataggio, fornito dal sistema delle “shadow copy” di windows, chiamate anche Volume Snapshot Service o VSS, che è quel meccanismo che DOVREBBE permettere di avere i famosi “punti di ripristino” a cui potere “ritornare”. Insomma quello che spesso viene chiamato “il backup di windows”. Purtroppo anche qui fin troppo spesso il servizio non è mai stato attivato, o è stato stoppato perchè “fa perdere tempo, occupa spazio e mi rallenta tutto”, o molto semplicemente non è “sopravvissuto” a sufficienza da permettere di “tornare indietro” .
Insomma, anche qui non perdere i propri dati è questione di attenzione e di buonsenso.
Un disco criptato è spesso difficile da decriptare ed è certamente sempre costoso farlo:
Se dovete chiamare il professionista, se possibile, fatelo PRIMA, per mettervi in sicurezza.
PrivacyLab, una nuova soluzione distribuita da Alchimie Digitali
PrivacyLab, di Metis LAb srl, è il portale web che consente alle aziende di gestire, produrre, stampare e conservare tutti i documenti necessari per rimanere in linea con le richieste della legge.
Tutti i documenti che vengono creati possono essere personalizzati direttamente dai responsabili aziendali anche in assenza di specifiche competenze informatiche.
PrivacyLab è strutturato con uno schema a Wizard, che accompagna l’utilizzatore lungo tutto il percorso imposto dalla normativa sulla privacy, al fine di dare all’azienda uno schedario virtuale dove accedere, attraverso qualunque dispositivo, ai documenti che ogni volta possono essere necessari, e che verranno trovati sempre aggiornati rispetto alle modifiche della normativa.
Tutta la documentazione prodotta è già pronta per la stampa e per essere in regola con il TUP:
Informativa
Nomina dei Responsabili
Organigramma Aziendale
Nomina dell’Amministratore
Manuale Organizzativo della Privacy
Fac-Simili e altri documenti utili
Consente inoltre la verifica delle misure minime di sicurezza. La predisposizione dell’analisi dei rischi è derivata dalla metodologia CRAMM.
Alchimie Digitali è distributore e consulente di PrivacyLab. Evita le multe, chiamaci per una consulenza!
Hai bisogno di portare delle nuove competenze all’interno del tuo contesto aziendale?
Sei interessato a trovare nuove opportunità per la propria professione?
Hai la necessità di valutare e selezionare fornitori?
Sei stato selezionato dalla tua realtà aziendale come DPO ( o vuoi farlo)?
Obiettivi del corso
Una formazione completa in semplici moduli autocontenuti che portino a
Consapevolezza
Know How
Collaborazione
Verificare i fornitori
Il corso, composto di quattro moduli, ha lo scopo di portare ad un livello comune di competenza, i professionisti, amministratori o incaricati aziendali, sia che provengano dal mondo dell’IT, che dal mondo legale o dall’amministrazione.
oppure prosegui la lettura e scopri di cosa stiamo parlando!
Di che cosa stiamo parlando?
16 ore di Auto-formazione guidata da un team di professionisti per essere attori responsabili e consapevoli del trattamento dei dati che ci vengono affidati.
Perché auto-formazione e non consulenza?
Perché nell’ambito del trattamento dei dati personali la nuova normativa ribalta i parametri di applicazione rendendo inefficace un approccio basato su di una check list più o meno uguale per tutti.
Perché la parola Counseling?
L’obiettivo del corso è quello di orientare sostenere e sviluppare le competenze del cliente e dei suoi addetti al fine di stimolare la capacità di scelta dell’imprenditore e dei suoi addetti in un momento di grande confusione.
Per attuare adeguate misure organizzative nella formazione degli addetti al trattamento ai sensi dell’articolo 32 e del comma 10 dell’articolo 4 abbiamo scelto di creare gruppi di lavoro formati da un numero massimo di 15 imprenditori e/o addetti.
oppure prosegui la lettura del programma del corso!
I nostri moduli tra cui scegliere per un corso di GDPR Counseling
GDPR “Half Day” Corso intensivo di formazione sugli aspetti tecnici del GDPR. 4 ore
GDPR “Full Day” Corso intensivo di formazione sugli aspetti tecnici del GDPR 8 ore
LAVORARE IN SICUREZZA ED IN CONFORMITA’ AL GDPR. Corso pratico per istruire i propri dipendenti e funzionari a lavorare in sicurezza
ALCUNI TRA GLI ARGOMENTI AFFRONTATI
Cosa cambia per le imprese italiane col GDPR
Principali novità introdotte dall’autorità garante per la protezione dei dati personali
Ricadute per aziende, enti e consulenti privacy
Responsabilità e doveri per i responsabili aziendali
Il concetto di Accountability
Privacy by Design
Privacy by Default
Il dato: cosa è un dato personale e i suoi elementi fondamentali
Gli Archivi: cosa sono, come censirli e quando non farlo
La Valutazione degli impatti o DPIA
Il data protection officer
Il titolare dei Dati
Il responsabile esterno
Aspetti tecnici
L’informatica e il GDPR
La gestione della carta con il GDPR
La formazione dei dipendenti con il GDPR
Gestire il data Breach e le emergenze Privacy
Su richiesta è possibile effettuare anche sessioni di Lavoro di Gruppo dedicate all’esame di casi di studio sulla privacy
Si potranno vedere alcuni case study concreti dal punto di vista Privacy, organizzativi e legali insieme ai docenti, quindi si passerà all’autovalutazione dello stato dei sistemi da parte dei partecipanti al corso tramite un tool web fornito appositamente da PrivacyLab
Ma se non sei ancora convinto prosegui la lettura e scopri chi sono i docenti !
I Docenti
Andrea Chiozzi
Presidente di Metis Lab, membro di Federprivacy ed esperto riconosciuto a livello europeo di privacy. Docente ed esaminatore per lo schema TÜV Italia “Privacy Officer e Consulente Privacy“, si occupa di privacy e della sua evoluzione fin dai suoi primi passi italiani nel 1996.
Pietro Suffritti
Perito iscritto al Collegio di Modena, titolare di Alchimie Digitali Srl. Membro del GdL “Informatica e Telecomunicazioni” del CNPI, dei Gruppi di Lavoro UNI/UNINFO “Attività professionali non regolamentate”, UNI/CT 510 “Sicurezza – Security”ed “SC27 – Sicurezza” . Esperto certificato nel mondo della virtualizzazione e del cloud, VCP, JNCIA, ACWA, CTU del tribunale di Modena, membro della Information Systems Security Association (ISSA) e di AIPSI (Associazione Italiana Professionisti Sicurezza Informatica), si occupa di sicurezza informatica, di reti geografiche e di Internet fin dagli anni 80 con particolare attenzione agli aspetti giuridici e di informatica forense.
Barbara Sabellico
Civilista esercitante in Modena, esperto del diritto del lavoro e societario, nella gestione delle risorse umane, del lavoro subordinato, a quella inerente alla parasubordinazione e al lavoro autonomo (contratti di consulenza, amministratori di società). Vista la crescente importanza che stanno assumendo le tematiche inerenti alla privacy e la conseguente necessità di tutela della stessa, la consulenza su tali delicate tematiche da lungo tempo assorbe buona parte delle risorse del suo studio.
Dove si tiene e quanto costa
Il corso si tiene nella sede di Alchimie Digitali, sito in via Elia Rainusso 110 a Modena o presso la sede della tua azienda: OPERIAMO SU TUTTO IL TERRITORIO NAZIONALE!.
Il costo verrà calcolato sulla base del numero degli iscritti dell’azienda/ente/consorzio/rete di imprese che ne farà richiesta!
Ed il sistema utilizzato effettivamente è indipendente dalle password utilizzate, dai sistemi crittografici impiegati…, ma prima di mettervi a scappare urlando lasciateci fare un paio di considerazioni :
Il vero bersaglio non sono le infrastrutture Wi-Fi ma i client
Ebbene si, i punti deboli della catena in questo caso non sono gli access point o le infrastrutture, ma i cosidetti “supplicant”, cioè coloro che chiedono di essere autorizzati a collegarsi alla rete Wi-Fi.
Il che vuol dire che dovremo aggiornare i nostri pc e i nostri cellulari (linux e android per primi stavolta) per provvedere almeno a “tappare il buco” molto più che gli Access Point
Ma da questo punto di vista la comunità informatica, tutta, sta reagendo con una notevole prontezza:
Microsoft ha già annunciato la patch e l’unico dubbio è se verrà intergrata nella megapatch già annunciata per oggi per Windows 10 o se sarà a parte;
WPA-Supplicant, il software linux che si occupa di gestire la parte incriminata, ha già rilasciato la patch e stamattina era già dentro gli aggiornamenti almeno di tutte le distribuzioni debian-based come Ubuntu, Mint ecc, ma anche Arch Linux, RedHat e tutti gli altri se non hanno già rilasaciato rilascieranno entro poche ore;
Google è già al lavoro per una patch per android, non ha fissato una data ma l’ha definita “imminente” e comunque “sicuramente inserita all’interno delle patch di sicurezza di novembre 2017”;
Unica vera “grande sorpresa” è stata Apple che al momento attuale sembra avere bellamente ignorato il problema nella sua interezza, sia per i suoi Access Point, che per i suoi pc che per i suoi smarphone, ma pensiamo che anche loro non potranno ignorare il problema più a lungo di tanto.
Quindi il vero problema dove sta?
Il problema vero sta in tutti quei pc ed apparati che non verranno aggiornati o non possono venire patchati perchè fuori dalla linea di aggiornamento.
Quindi, come non ci stancheremo mai di dire, se avete ancora per esempio dei pc con XP, dei cellulari con una versione di iOS precedente la 11, o di android precedente a un nexus 5/android 6 (diciamo del 2013), o di Mac OS precedenti alla 10.11 è giunta l’ora di valutare attentamente che cosa farci.
Per essere attaccati l’attaccante deve potersi connettere fisicamente alla rete wireless
No, questo attacco non può essere portato da remoto via internet, non è un “proiettile d’argento” che uccide qualunque cosa perchè è magico.
Per funzionare l’attaccante deve essere sufficientemente vicino a voi da potersi connettere alla vostra rete Wi-Fi, non dall’altra parte del globo. E come potete capire questo permette di entrare in gioco a sistemi di sicurezza molto più “fisici” come videocamere e sistemi di allarme.
Questo rende la cosa meno pericolosa?
No, ma sicuramente differente da altre minacce, e va tenuto in considerazione
Ergo questa è una minaccia che non ha a che vedere col “vostro firewall” ma molto di più con i “vostri confini”
Esistono modi per mitigare comunque fin da subito l’impatto del problema
Ebbene si, anche questa volta c’è differenza tra chi ha fatto le cose spostando l’ago della bilancia verso la sicurezza rispetto a chi l’ha spostato verso la comodità.
Chi, come i nostri clienti, ha le reti tutte impostate con cifratura AES – CCMP subisce effetti molto inferiori rispetto a chi usa TKIP.
Poi è vero che nessuno può prendere sottogamba il problema, ma passare da “mi loggano qualunque password anche se navigo in https e mi cambiano pure quel che vedo e che dico” a “riescono a vedere il mio traffico di rete e potrebbero vedere cose se non uso altri protocolli di sicurezza e cifratura” ammetterete che qualche sostanziale differenza c’è
Insomma, il problema c’è ed è inutile tentare di ignorarlo; ma non fa altro che confermare la filosofia che “nulla è sicuro in eterno” e che quello della sicurezza è un mondo in cui chi china la guardia è rapidamente sorpassato dalla realtà dei fatti
A volte ci sono ancora sistemi per farsi del male da soli che mi lasciano stupito, e che francamente non mi sarei mai aspettato.
