Tag: sicurezza informatica

Funzionalità di cui non avete mai sentito parlare (versione 2018): KFP

Quando devo scegliere un capo di abbigliamento, la caratteristica più importante per me è la praticità. Un bel packaging, la marca, lo status economico che rappresenta etc,non mi interessano. Vale lo stesso con le automobili: se una macchina è in grado di portarmi dal punto A al punto B in poco tempo, in modo sicuro e comodo (meglio con aria condizionata), allora per me va benissimo.

Lo stesso principio di “ignorare gli aspetti meno importanti”, dovrebbe essere applicato anche alla scelta di un prodotto per la sicurezza informatica. Anche se ciò spesso non accade, bisognerebbe essere sicuri di non essere tentati dal “resto” (tema marketing), che non ha nulla a che fare con la protezione in senso stretto. Da test indipendenti è emerso che i prodotti “antivirus di nuova generazione” in realtà adottano falsa intelligenza artificiale e protezione antivirus in realtà piena di falle. Sono prodotti che hanno solo un effetto placebo, mettiamola così. Per non essere vittime del marketing e di un basso livello di sicurezza, dovete rimboccarvi le maniche e capire come funzionano veramente le cose. Ovviamente non tutti hanno il tempo, la pazienza e le conoscenze tecniche per leggere attentamente la documentazione di un prodotto per la sicurezza informatica, e capirla. Ma anche se dovesse essere questo il caso, può essere anche che lo sviluppatore del prodotto infarcisca il documento di farraginoso gergo informatico. Continua a leggere:Funzionalità di cui non avete mai sentito parlare (versione 2018): KFP

I “paladini dei consumatori” vi stanno alle calcagna? Ribellatevi!

Studi legali. Normalmente in tutto il mondo vengono considerati un alleato importante nella lotta tra il bene e il male. Aiutano a far rispettare le regole nel business, fanno in modo che la legge sia sempre più forte e che si ottenga giustizia. Questo è ciò che io e molte persone abbiamo pensato fino ad ora. Ma la situazione è cambiata.

Tutto questo mi ricorda il libro “La fattoria degli animali“, o per meglio dire il settimo comandamento: “Tutti gli animali sono uguali”.

Sappiamo come finisce il comandamento: “Tutti gli animali sono uguali, ma alcuni sono più uguali degli altri”. La frase per intero mi fa pensare agli studi legali di oggi. Alcuni sono corretti, molto utili e seguono le regole alla lettera. Altri sono “più uguali degli altri”, ovvero scorretti, inutili e che se ne infischiano delle regole, lavorano al di fuori e al di sopra della legge, nonostante il loro compito sia seguire le norme! Signore e signori, sto parlando degli studi legali senza scrupoli che manipolano la legge per racimolare un bel gruzzolo dalla aziende (piccole e grandi) che non hanno fatto nulla di male!

Su questo blog ho parlato molte volte dei patent troll (e della nostra decisione di non cedere mai ai loro ricatti). Oggi voglio parlarvi di un fenomeno simile in cui ci siamo imbattuti recentemente.

A cosa mi riferisco?

Riassunto della mise-en-scène:

Prendete un’azienda che produce un bene di consumo. Uno studio legale decide di trovare dei piccoli difetti nel prodotto (un difetto si può trovare in qualsiasi prodotto, queste persone sono come maghi, sanno far comparire difetti dappertutto) e quando hanno trovato il miglior difetto, iniziano a cercare un eventuale consumatore che abbia subìto delle conseguenze negative in seguito al difetto in questione e che sia disposto ad avviare una causa contro la casa produttrice. Ciò non riguarda solo il singolo consumatore, ma sono anche disposti a organizzare una class action chiedendo il risarcimento per la violazione dei diritti di un gran numero di consumatori. Sono state anche create un sito Internet e una campagna pubblicitaria (non sto scherzando), dove si chiede ai consumatori di unire le forze per contrastare “gli eccessi, le scorrettezze e l’incompetenza” delle aziende presunte colpevoli.

A una prima occhiata, le intenzioni di queste campagne e i rispettivi slogan sembrano buoni e convincenti. Anzi, sembrano che siano proprio lì per difendere i diritti della gente comune e, dal punto di vista legale, sembra che le loro azioni siano dettate da buoni propositi. Tuttavia, scavando più a fondo, il quadro che ne emerge è totalmente differente: bugie e sotterfugi (se vogliamo dirlo con un tono più “polite”) o delle vere e proprie truffe (se vogliamo dirla tutta).

Questo particolare modello di business è nato negli Stati Uniti molto tempo fa, da qualche parte durante il secolo appena trascorso. Al giorno d’oggi, in USA le class action dei consumatori sono diventate un vero e proprio business. Ci sono siti Internet dedicati che controllano l’andamento di queste cause, inviano email dove si aggiorna della nascita di nuove class action o accordi e spiegano come entrare a far parte di queste cause in un paio di click. Dieci dollari qui, altri dieci dollari là… e riescono a racimolare un bel gruzzoletto.

Allora, le multinazionali con guadagni da milioni e milioni di dollari neanche notano gli effetti di queste class action. Per le aziende non dalle dimensioni spropositate, come ad esempio le piccole compagnie di software, il denaro da dedicare alle risoluzioni di queste class action viene preso dai fondi dedicati allo sviluppo di nuove tecnologie; spesso, è più facile dichiarare bancarotta e ricominciare tutto daccapo.

Io non so quante decine di migliaia di avvocati si guadagnino la pagnotta in questo modo o quali siano i profitti effettivi (si è calcolato circa 6-8 miliardi di dollari); quello che so è che si tratta di un fenomeno piuttosto diffuso. E so anche per certo (lo hanno ammesso loro stessi) che il motivo principale per cui questi avvocati intraprendono class action è per guadagno e soddisfazione (passare direttamente al minuto 2:11 del video).

Non c’è da stupirsi. I costi sono minimi (non hanno bisogno neanche di comprare i brevetti!) e i tribunali tendono a prendere le parti dei consumatori -“vittime”, nel tentativo di proteggerli dagli “eccessi del capitalismo”. È normale anche che la controparte (le aziende obiettivo dell’estorsione) preferiscano trovare un accordo prima di arrivare in tribunale: molti non possono permettersi una causa (i cui costi non sono pochi), oppure risulta più facile e più economico pagare il riscatto invece di impelagarsi in inconvenienti legali e burocratici. Il risultato finale è la crescita esponenziale del numero di avvocati che si occupano di cause di questo tipo per far soldi.

Siete ancora convinti che questi avvocati stiano cercando giustizia e non soldi facili?

Vi faccio un altro esempio…

Uno dei nostri concorrenti (si tratta di una notizia di pubblico dominio ma preferisco comunque non fare nomi) ha chiuso un accordo per risolvere una class action pagando 700 mila dollari agli avvocati della controparte, 1,25 milioni di dollari a organizzazioni di terze parti e 9 dollari più tre mesi di abbonamento gratuito al prodotto per ogni consumatore che ha partecipato alla class action! Per farvi capire quanto si preoccupino di salvaguardare gli interessi del consumatore. 🙂

Proprio un anno fa abbiamo scoperto di essere obiettivo di questi “paladini dei consumatori”. Ma non avrebbero dovuto perdere tempo con noi…

Abbiamo una politica molto rigida nel caso di comportamenti senza scrupoli come questi: nessun tipo di accordo o compromesso. Lottiamo fino alla fine. Questa scelta comporta delle difficoltà, ne siamo coscienti, e soprattutto dei costi ma ne vale la pena, soprattutto quando scappano con la coda tra le gambe e non si fanno più vedere.

Come dicevo, esattamente un anno fa siamo stati oggetto d’interesse per una di queste cause ignobili, avviata da una certa Barbara Machowicz (e il suo rappresentante legale, lo studio Edelson). Riguardava il nostro prodotto gratuito Kaspersky Security Scan (KSS). Hanno dichiarato che, attraverso KSS, si cercava di indurre in maniera fraudolenta ad acquistare il software a pagamento. Kaspersky Security Scan sarebbe stato creato a proposito per individuare malware indesiderati, vulnerabilità dei software e altri problemi di sicurezza e per “spaventare” l’utente circa minacce alla sicurezza totalmente inesistenti.

Per la cronaca (sicuramente è una coincidenza), Edelson è lo stesso studio di avvocati che si è occupato della causa che ha interessato il nostro concorrente e che abbiamo menzionato qualche riga fa. Analizzando ancora più in dettaglio (è dai dettagli che si scopre il marcio), ci siamo resi conto che con noi hanno usato praticamente gli stessi metodi impiegati nella causa portata avanti contro il nostro concorrente: in sostanza, la nostra citazione era stata copiata dall’altra parola per parola. È come se utilizzassero un template di MS Word con alcuni spazi in bianco che compilavano di volta in volta. 🙂

Non sto a dire quanto siano state diffamanti le loro accuse prive di fondamento… non voglio aggiungere nulla in merito, sarebbe inopportuno. Comunque non abbiamo ignorato le loro dichiarazioni, né le abbiamo prese alla leggera. Dopo aver ricevuto la citazione in tribunale (nonostante le accuse fossero totalmente senza senso), abbiamo analizzato ciò che avevamo d’avanti e, in quattro e quattr’otto, tutto è diventato più chiaro.

Kaspersky Security Scan analizza il computer alla ricerca di programmi dannosi e sospetti, vulnerabilità nelle applicazioni, impostazioni non corrette e altri particolari che potrebbero compromettere la sicurezza del dispositivo. La signora Machowicz ha analizzato il suo computer con KSS e, nonostante non siano stati trovati virus, il programma ha segnalato alcune vulnerabilità, tra cui impostazioni rischiose di Windows e Internet Explorer, avvio automatico di USB e CD, cookies salvati e memoria cache di dati ricevuti via https. KSS ha giustamente decretato il seguente verdetto: “Il tuo computer potrebbe essere a rischio. Problemi rilevati!”

Continua a leggere:I “paladini dei consumatori” vi stanno alle calcagna? Ribellatevi!

Crittografia e sicurezza nel mondo reale: alla ricerca di un equilibrio

La proposta di David Cameron di vietare le comunicazioni personali criptate nel Regno Unito ha scatenato numerosi dibatti e ha sollevato diverse questioni importanti.

La proposta includerebbe vietare nel Regno Unito servizi quali Whatsapp, iMessage o Snapchat. Tecnicamente è possibile farlo, ma non è così facile promuovere l’idea anche perché riguarderebbe ogni canale di comunicazione che utilizzi la criptografia.

Personalmente dubito che tale misura apporti un aumento significativo della sicurezza offline in Gran Bretagna.

Il compito dei servizi di sicurezza e delle forze dell’ordine è quello di proteggere l’utenza dai criminali, dai terroristi e da ogni sorta di minaccia. La proposta di Cameron si muove dunque in questa direzione: i servizi di sicurezza vorrebbero poter accedere alle nostre comunicazioni per poter bloccare e prevenire le attività illegali e proteggere così le persone.

Allo stesso tempo, però, la criptografia è vitale per la cybersicurezza. Viene usata soprattutto per mantenere le comunicazioni al sicuro dagli hacker e dai cybercriminali.

Dobbiamo smettere di proteggere i nostri dati e le nostre comunicazioni online all’insegna di una maggiore sicurezza nel mondo reale? Dubito seriamente che dovremmo farlo.

Penso che anche se la proposta passasse, il divieto di usare la crittografia nelle comunicazioni online non aumenterebbe la sicurezza del mondo offline. Secondo me, non farà altro che danneggiare lo stato della cybersicurezza ed esporrà gli utenti privati, così come le aziende, a ogni sorta di cyber-attacco, hackeraggio e spionaggio.

I governi hanno tentato diverse volte di compromettere la cyber sicurezza per ottenere dati riservati. Per esempio, ci siamo imbattuti in malware disegnati con la collaborazione del governo (come Flame) capaci di sfruttare software legittimi, quali Microsoft Update, per nominarne uno.

Non so che tipo di informazioni di valore riescano ad ottenere durante queste operazioni, ma l’esistenza di certi malware non contribuisce di certo alla sicurezza cibernetica globale.

Forse il vero problema sta nel fatto che i leader mondiali e i servizi di sicurezza trovino che la sicurezza e la cyber sicurezza siano in contraddizione tra loro, mentre, in realtà, l’ultima dovrebbe essere parte integrante della prima.

Cyber-notizie dal lato oscuro: 30 giugno 2014

La Borsa hackerata grazie a un ritardo di microsecondi

I truffatori arrivano ovunque e si intrufolano persino in Borsa. Ma andiamo per gradi…

Un tempo quella del broker finanziario era una professione rispettata  e poi si lavorava duramente. Gli intermediari facevano orari assurdi, erano sempre a disposizione, di giorno e di notte, perché dovevano prendere decisioni importanti e sotto pressione. Compravano e vendevano titoli, azioni, obbligazioni, derivati (o in qualsiasi altro modo si chiamino) e dovevano farlo nel momento più opportuno per trarre i maggiori benefici, aspettando fino all’ultimo secondo utile. Da infarto. Prima, se le cose andavano male o facevano un errore colossale, si buttavano giù dalla finestra del proprio ufficio. Davvero un duro lavoro.

Erano altri tempi. Ormai non si tratta più di un lavoro manuale, è tutto automatizzato. Non c’è più bisogno di spremersi le meningi, stressarsi o faticare: la maggior parte delle operazioni vengono eseguite da dei “robot” (programmi specifici che determinano automaticamente il momento giusto per comprare o vendere). In altre parole, il compito dei broker è quello di programmare questi robot in modo tale che eseguano correttamente le varie operazioni.  I tempi di reazione di queste macchine (che si misurano in frazioni infinitesimali di secondo) rappresentano la chiave del successo per ottenere i massimi benefici da questo o quel mercato. E la velocità dipende dalla qualità della connessione Internet con la Borsa elettronica. In sostanza, quanto più vicino si trova fisicamente il robot alla Borsa, maggiori sono le probabilità di arrivare per primi a fare l’offerta più vantaggiosa. Di contro, i robot più in “periferia” rimarranno sempre esclusi e vale lo stesso anche per quelli che non utilizzano gli algoritmi più recenti.

Negli ultimi tempi, a mettere i bastoni tra le ruote ci si sono messi anche i cybercriminali. Ad esempio, un fondo d’investimento è stato infettato da un malware che ha ritardato le transazioni di alcune centinaia di microsecondi, il tempo sufficiente in Borsa per perdere un affare importantissimo.

bae-600x255 Continua a leggere:Cyber-notizie dal lato oscuro: 30 giugno 2014

Cyber-notizie dal lato oscuro: 26 maggio 2014

Ciao gente!

Sembra siano passati secoli dall’ultima volta che ho parlato su questo blog di “cyber-malignità”, delle ultime novità, tendenze e fatti che stanno succedendo in giro per il mondo. Magari c’è pure tra di voi chi ha pensato che Kaspersky Lab abbia dimenticato il suo vero obiettivo, la sua vera natura e abbia smesso di trattare tali argomenti…

Bene, prima di tutto permettetemi di rassicurarvi: siamo aggiornati su tutte le cose che stanno succedendo nella “cyber-giungla”. Tutto quello che sappiamo lo pubblichiamo sulle nostre pagine specializzate.

L’unico problema è che, molti non leggono quello che pubblichiamo in queste pagine. Forse è comprensibile perché i dettagli possono finire con l’annoiare, specialmente coloro che non sono molto “tecnologici”. Tuttavia, questo non deve essere una ragione per non pubblicare tali notizie. Comunque sia, qui, in questo blog, cerco di non annoiare il lettore con troppi tecnicismi. Cerco semplicemente di informare le persone circa le notizie IT più curiose, strane e divertenti che occupano le testate dei giornali mondiali.

Quindi, eccoci qua… Quali sono state le notizie più curiose, divertenti e stravaganti della settimana scorsa?

Mi ha picchiato! Ha iniziato lui!

La lotta tra USA e Cina circa lo cyber-spionaggio ha preso una nuova piega…

Questa volta, sono gli Stati Uniti ad aver beccato in fragrante la Cina, con tanto di foto e nomi: 5 specialisti delle forze armate cinesi sono finiti nell’ultimo poster “Wanted” dell’FBI, in pieno stile western. Sono accusati di essere penetrati in diverse network appartenenti ad aziende statunitensi e di aver rubato loro segreti.

Wanted cybercriminals

Continua a leggere:Cyber-notizie dal lato oscuro: 26 maggio 2014