Chiedendomi come fosse possibile che gli spambot fossero entrati nel sistema, mi è venuto il dubbio che gli utenti avessero usato come password quella più ovvia: il nickname. Ed infatti, la mia ipotesi si è rivelata corretta in tutti e 15 i casi di furto dell’account.
Non scegliete mai password banali, anche se vi registrate ad un servizio del quale non avete troppo interesse. Se il vostro account viene utilizzato per generare SPAM potrebbe capitarvi qualcosa di peggio che un semplice ban dell’account.

Se avete problemi a ricordare le password, potete ricorrere ad un password manager come 1password (per MacOSX) o Roboform (per Windows).

Prossimamente credo che pubblicherò qualche consiglio per gli amministratori di forum vBulletin su come limitare fenomeni di SPAM.

Related posts:

1. Quanto è sicuro salvare le password nel browser?
2. Clipperz, un password manager online di produzione italiana
3. Simone è meno sicuro di Weppos

• ottimizzazione degli algoritmi di criptazione ha reso Clipperz molto più veloce
• l’interfaccia e’ ora disponibile in 6 lingue (inglese, cinese, giapponese, portoghese, italiano e, pochi giorni fa, spagnolo)
• un generatore di password random è stato incluso
  - la versione offline è stata semplificata ed ora è costituita da un unico file html da scaricare
• abbiamo introdotto la versione Compact per la sidebar di Firefox che consente di tenere a portata di mano i propri login diretti ( read more)

Non abbiamo invece apportato modifiche ai login diretti ovvero alla possibilità di loggarti sui tuoi servizi senza digitare username e password.
Il motivo è semplice: funzionano già benissimo e offrono la massima sicurezza e riservatezza.

Abbiamo inoltre definito con maggiore dettaglio gli ingredienti necessari a fare di Clipperz la prima applicazione web “zero-knowledge” ovvero che non sa nulla dei suoi utenti e dei loro dati (“Anatomy of a zero-knowledge web application“).

Se siete alla ricerca di un gestore di password manager online, curiosare tra le pagine di Clipperz potrebbe catturare la vostra attenzione.

Related posts:

1. Clipperz, un password manager online di produzione italiana
2. Angolo delle Segnalazioni: aNobii
3. Angolo delle segnalazioni: Pagety

Troppi! allinurl:sql select from where

E giusto per non farci mancare nulla, Demetrio fa notare nei commenti che anche il sito del nostro ministero della difesa è stato sviluppato in questo modo geniale: allinurl:strSQL=SELECT marina.difesa

E poi parlano di spionaggio e sicurezza… qualcuno spieghi loro che se ora qualcuno in un URL cambiasse SELECT con DROP potrebbe tranquillamente rimuovergli una tabella, un database o chissà quale altro danno fare! Qualcuno sa come contattarli?

Mmm, trattasi forse di web 2.0 … o 3.0?

Related posts:

1. Google indicizza il robots.txt
2. Sviluppare in PHP con sicurezza
3. Libro Webbot e spider – I ragni della rete

Gentile Simone Carletti,
desideravo segnalarti un servizio che abbiamo lanciato di recente:
Clipperz, un gestore online di password e informazioni confidenziali
(PIN, codici, numeri di conti e carte di credito, …)

Clipperz costituisce il primo esempio di applicazione web
“zero-knowledge”, ovvero un’applicazione che non sa nulla dei dati
immessi dagli utenti (nemmeno username e password!).

L’epoca delle password sui foglietti attaccati al monitor è finita da tempo (anche se confesso di aver visto un paio di casi recentemente), da oggi esistono browser che memorizzano le password, applicazioni portabili ma la vera rivoluzione continua ad essere il web.

Clipperz è una piattaforma che si presenta sul web con l’obiettivo di offrirvi un’area protetta dove salvare le vostre password ed i vostri dati personali.

Devo dire che l’interazione è eccellente, veramente veramente eccellente.
Ho letto un po’ di documentazione sul sito ed ho scoperto che, Marco correggimi se sbaglio, i dati vengono crittati in locale dal browser via JavaScript per poi essere spediti già crittografati al server.

Dunque, le premesse per un’applicazione sicura ci sono, mi resta solo un dubbio… quanti sono disposti a salvare online su un server esterno i numeri del proprio conto bancario?
In un periodo dove ogni giorno arrivano decine di email di phishing, come reagiranno gli utenti?

Confesso che io per primo resto del desiderio di tenere in locale i miei dati più privati, e mi considero un utente altamente spinto verso l’online.
E voi? Usereste un password manager online?

Senz’altro mi piacerebbe ricevere da Marco qualche feedback sul numero di utenti che hanno aderito al servizio e sul riscontro che sta avendo dagli user.
Marco, puoi condividere qualche dato?

Related posts:

1. Angolo delle Segnalazioni: Clipperz
2. Non scegliete mai password stupide
3. Quanto è sicuro salvare le password nel browser?

I risultati del test?

1. Non salvate le vostre password su Internet Explorer
2. Se salvate su Opera e Firefox, utilizzate un master password per proteggerle
3. Scegliete una master password difficile da individuare e diminuirete la possibilità che i vostri dati d’accesso vengano individuati.

Related posts:

1. Email poste italiane: come segnalare il phishing ai browser!
2. Non scegliete mai password stupide
3. Simone è meno sicuro di Weppos

La situazione non accenna a diminuire con un numero di email che si aggira a diverse decine al giorno.
Certo che buona parte dei lettori di questo blog ha le competenze adeguate per “fare la sua parte”, vorrei invitarvi a considerare di inviare la segnalazione dei siti di phishing che individuate ai produttori dei browser.

Tutti i browser più diffusi, ovvero Internet Explorer dalla versione 7, Firefox dalla versione 2.x e Opera dalla versione 9.x integrano un controllo sull’URL che si sta visitando notificando all’utente se si tratta di una pagina riconosciuta come pericolosa.
Ma chi fornisce queste informazioni? Per la maggior parte, gli utenti!

Vediamo allora come possiamo inviare segnalazioni di phishing ai browser.

Firefox 2 e Google

Grazie alla partnership con Google, Firefox dispone di un eccellente sistema di controllo sui siti sospetti che si basa su due blacklist: una locale sincronizzata periodicamente ed una remota.
E’ possibile cambiare il comportamento dal pannello di configurazione Preferenze > Sicurezza.

Nel momento in cui viene aperto un sito riconosciuto come phishing, Firefox mostra un avviso che invita l’utente a prestare attenzione al contenuto della pagina.

E’ possibile inviare a Google e Firefox la segnalazione di URL non identificate tramite il veloce collegamento Help > Report Web Forgery, in italiano Menù “?” > Segnala una contraffazione web.

Si aprirà un modulo di segnalazione precompilato con l’URL, pronto per un commento.

Inviato il report non resterà che attendere una verifica di Google e Firefox.
Il vostro compito finisce qui.

Opera 9 e PhishTank

Anche Opera, meno recentemente, ha introdotto un sistema anti phishing in collaborazione con PhishTank.
Ogni qual volta si accede ad un sito, a fianco della barra degli indirizzi compare un punto interrogativo o una “i” a seconda che il sito non sia ancora stato verificato o sia attendibile.

Premendo l’icona appare la finestra di notifica sullo status del sito, attraverso la quale è possibile segnalare la pagina come Phishing.
Sul sito di Opera è disponibile un video con un tutorial sulla sicurezza.

Internet Explorer 7

Con l’arrivo di Internet Explorer 7, Microsoft ha integrato all’interno del browser un sistema di controllo antiphising che si preoccupa di verificare ogni URL aperto alla ricerca di indirizzi pericolosi.
L’avviso in caso di phishing è decisamente invasivo e si preoccupa di censurare l’intero contenuto della pagina lasciando poco spazio ad azioni involontarie.

Durante il caricamento di ogni pagina, un’icona segnala il controllo antiphishing in corso. In qualsiasi momento è possibile cliccare l’icona e selezionare il comando Report This Website per segnalare il sito come phishing.

A caricamento della pagina ultimato il bottone scompare ma lo stesso comando è disponibile dal menu Tool > Phishing Philter.

In conclusione

Tutti i browser più recenti, fortunatamente, integrano un sistema di controllo anti frode basato sull’indirizzo della pagina aperta.
Nel caso in cui si individui un URL non ancora identificato, prima di chiudere la finestra del browser dedichiamo qualche per segnalare l’indirizzo.

Il nostro contributo potrebbe aiutare altri utenti meno esperti evitando loro di cadere nella trappola del phishing.

Related posts:

1. Email poste italiane: attenzione alla sicurezza del vostro conto!
2. Quanto è sicuro salvare le password nel browser?
3. L’evoluzione dei browser

Avevo già avuto modo di parlare del fenomeno del phishing l’anno scorso dove pubblicai una serie di quattro interventi dimostrando come alcune email inviate a nome di società bancarie si rivelavano in realtà frodi allo scopo di entrare in possesso dei vostri numeri di carta di credito.

A distanza di oltre un anno, segno che il phishing è realmente lo spam del futuro, torno a parlare di phishing e poste italiane, inclusi i servizi banco posta e postepay.

Da un paio di settimane a questa parte le mie caselle email sono letteralmente prese d’assalto da email fasulle che comunicano la chiusura del conto piuttosto che la disponibilità di nuovi servizi.

E’ importante ricordare che in nessun caso bisogna dare seguito a queste email, rispondere o fornire i propri dati attraverso i moduli segnalati nel corpo del messaggio!

Ecco alcuni prototipi di queste email

Caro cliente Poste.it,
Una nuova gamma completa di servizi online и adesso disponibile !
Per poter usufruire dei nuovi servizi online di Poste.it occorre prima diventare UTENTE VERIFICATO.

Accedi a Poste.it » Accedi ai servizi online di Poste.it e diventa UTENTE VERIFICATO »
L’Assistenza Clienti, dopo aver ricevuto la documentazione e averne verificato la completezza e la veridicitа, provvederа immediatamente ad attivare il suo ” Nome Utente Verificato “. Verrai informato telefonicamente di tale attivazione.

TELEFONO TELEFONO
Numero gratuito 803.160 (dal lunedм al sabato dalle ore 8 alle ore 20).
© Poste Italiane

Oppure

Caro cliente Poste.it,

Una nuova gamma completa di servizi online � adesso disponibile !

Per poter usufruire dei nuovi servizi online di Poste.it occorre prima diventare UTENTE VERIFICATO.

Accedi ai servizi online di Poste.it e diventa UTENTE VERIFICATO �

L’Assistenza Clienti, dopo aver ricevuto la documentazione e averne verificato la completezza e la veridicit�, provveder� immediatamente ad attivare il suo ” Nome Utente Verificato “. Verrai informato telefonicamente di tale attivazione.

TELEFONO
Numero gratuito 803.160 (dal luned� al sabato dalle ore 8 alle ore 20).

| � Poste Italiane 2007 | contattaci | privacy | mappa del sito | personalizza visualizzazione | Partita IVA 01114601006 |

Ribadisco, non fornite dati personali, numeri di carte di credito o conti correnti!

Related posts:

1. Email poste italiane: come segnalare il phishing ai browser!
2. Segnalazione delle specifiche italiane sul sito dell’RSS Advisory Board
3. Sviluppare in PHP con sicurezza

Gmail, Google Desktop, Google Search, Google Analytics, Google Reader e chi più ne ha più ne metta. Ognuno di questi servizi raccoglie un po’ delle nostre abidudini ed è in grado di creare un nostro profilo: quali sono le nostre abitudini nell’uso di internet? E nella vita quotidiana?

Uno degli strumenti che da sempre è guardato con diffidenza è la Google Toolbar. Le caratteristiche del prodotto lo hanno da sempre reso una spia ideale per fornire a Google

• elenco dei siti visitati
• permanenza su ogni sito
• percorsi di navigazione
• abitudini dell’utente
• varie ed eventuali

Fino ad oggi si è sempre trattato di supposizioni, nonostante fosse chiaro che Google avrebbe potuto essere in possesso di questi dati in qualsiasi momento.
Leggo invece che Google ha appena rinominato il servizio Google Search History in Google Web history offrendo agli utenti la possibilità di accettare l’invio a Google della cronologia dei siti visitati.

In poche parole, accettando il contratto ed installando la Google Toolbar, nella propria Google Web History sarà presente l’elenco completo di qualsiasi pagina nel web che abbiamo visitato con la possibilità… di cercarla nel nostro archivio…

Che sia arrivata l’ora di rifare il test?

Al momento ho scelto di non attivare questa feature. Qualcuno di voi sa se una volta attiva è possibile disarrivarla?

A proposito, anche Froogle ha cambiato nome in Google Product Search così come accadde anche per altri prodotti sofferenti da crisi di identità… o popolarità?
Ah, dimenticavo… se ve le foste perse ecco le ricerche senza query che in base alla pagina in cui ti trovi di dicono cosa potresti volere.

Related posts:

1. Ogni occasione è quella giusta
2. AdSense paga $1 per ogni download di Firefox
3. Come reindirizzare una pagina rimuovendo il tracciamento di Google Analytics

Un parametro che confesso di non aver considerato, in quell’analisi, è il lato sicurezza. Molti di voi si chiederanno se Google Dekstop è sicuro o no, così come gli altri concorrenti. Bene, vale la pena spendere due parole su questo aspetto.

Dovete sapere che Google Desktop sfrutta il vostro browser per visualizzare i risultati ed impostare le preferenze. Una volta attivo, uno dei processi di Google Desktop si occupa di rimanere in ascolto sulla porta 4664 del vostro computer in attesa di input. Digitanto l’URL http://127.0.0.1:4664/ si aprirà infatti la homepage di Google Desktop poiché 127.0.0.1 è l’indirizzo che identifica per convenzione il computer locale e 4664 la porta sulla quale opera il servizio.

Ma cosa succede se un utente, ad esempio, mette un link sul proprio sito ad un indirizzo simile? La risposta è semplice: succede che di fatto quel link viene caricato nel vostro browser come un comunissimo altro indirizzo.

E che cosa succederebbe se qualcuno tentasse di caricare un file dal vostro computer locale su quella determinata porta e verificasse se la richiesta è andata a buon fine? Succederebbe quello che avviene esattamente in questa pagina dove con un semplicissimo JavaScript chiunque può capire se avete o meno installato Google Desktop. A quale scopo? Intanto “per conoscenza”, poi magari per lanciare qualche attacco XSS come afferma il blog SEO Black Hat.

Insomma, proprio a causa del fatto di non disporre di una propria interfaccia autonoma Google Desktop Search sembra potenzialmente più insicuro dei suoi concorrenti. Se questo aspetto non vi interessa ma preferite addentrarvi “deep inside the code” degli algoritmi di Google Desktop Search, forse Seo by The Sea può fornirvi materiale utile. Nel post A Peek into Google’s Desktop Search Indexing Algorithms Bill segnala come ben 3 brevetti siano stati applicati in questo software. Il loro scopo e le loro caratteristiche sono documentate nei link correlati.

Resta il dubbio: sicurezza o potenzialità?

Related posts:

1. Google, Yahoo! e Microsoft si sfidano… sul mio desktop!
2. Yahoo! vs Google vs Microsoft… sul Desktop
3. Usare Google Desktop come notifica di Google Reader

Mmm, considerando che sono quasi più conosciuto come weppos che con il mio vero nome, dovrò cominciare a rivedere le mie password! :D

Ah, per chi volesse qualche informazione in più, il servizio segnalato all’URL seguente misura la sicurezza di una password restituendo un numero da 1 a 4. Assomiglia ad un sistema API, ma non lo userei nella quotidianità. Così su due piedi, ho visto algoritmi più precisi.

URL: https://www.google.com/accounts/RatePassword?Passwd=QUI_INSERISCI_LA_PASSWORD

Related posts:

1. Quanto è sicuro salvare le password nel browser?
2. Google Desktop: veloce, ma è anche sicuro?
3. Non scegliete mai password stupide