Ottawa – I rappresentanti della Camera Bassa del parlamento canadese gettano un’ombra sul destino di molti motori di ricerca: la House of Commons ha approvato in prima lettura un controverso emendamento alla legge sul diritto d’autore. L’approvazione definitiva e senza modifiche di questa aggiunta vieta potenzialmente a Google e soci di operare in maniera legittima.
Il pomo della discordia ha nome C-60 : la sua interpretazione lascia spazio a dubbi laceranti che hanno alimentato molte polemiche. L’emendamento parte infatti dall’assunto che persino l’ indicizzazione di materiale protetto possa costituire una violazione della proprietà intellettuale.
Se la legge verrà approvata senza ulteriori modifiche e passerà il vaglio del Senato, i legittimi proprietari di informazioni indicizzate da “strumenti di localizzazione” potranno direttamente accusare i fornitori di questi servizi. Il testo del C-60 sottolinea che i suddetti “strumenti” sono infatti i programmi informatici che “permettono la localizzazione di informazioni attraverso Internet o qualsiasi altro network digitale” – una definizione che calza a pennello per tutti i motori di ricerca, dal più triviale al più complesso.
La semplice archiviazione di materiale coperto da copyright, fonte di dolorosi grattacapi anche per Archive.org , diverrebbe così perseguibile penalmente. Secondo Howard Knopf, esperto avvocato intervistato dal quotidiano The Globe and Mail , l’attuale emendamento C-60 “colpisce l’architettura di tutti i Google di questo mondo”. “Per colpire davvero chi viola il copyright non serve sparare a zero contro i motori di ricerca”, conclude Knopf.
La radice del problema sarebbe la struttura stessa di Internet, comunemente riconosciuto come medium di informazione. Riaffiora così un’antica ed annosa questione: colpire il messaggio oppure il messaggero ? Nel regno digitale, dove i messaggi sono costituiti da interminabili catene di dati binari, il discorso si fa ancora più complesso.
Tommaso Lombardi
-
Effettivamente basterebbe la seconda...
...parte del nuovo processo di sicurezza: le domande !Il phishing si basa sul fatto che l'utente p...a gli comunichi i dati della carta di credito, ma nel caso delle domande (che andrebbero stabilite in banca e non via online) non potrebbe rivolgere il quesito: "Sappiamo che ha stabilito delle domande e delle risposte, le spiacerebbe comunicarcele entrambe ??"Un utente non dovrebbe essere solo pir.. per cascarci ma proprio da interdizione :|Re: Effettivamente basterebbe la seconda
E' vulnerabile all'attacco MAN IN THE MIDDLE come gia' spiegato in un post di questo thread.Inoltre piu' cose uno deve digitare piu' e' facile che sbagli/dimentichi e questo genera costi alla banca che deve gestire un sistema di ripristino per gli smemorati.Ma la chiave dispositiva?
BancoPostaOnline richiede username e password per entrare e guardare il saldo e la lista movimenti. Per operazioni dispositive, però, è necessario un secondo codice. In questo modo, se mi beccano la password di login, al massimo possono sapere quanti soldi ho sul conto (e farsi quattro risate :'( )Le banche non usano questo sistema?Re: Ma la chiave dispositiva?
- Scritto da: Anonimo> BancoPostaOnline richiede username e password per> entrare e guardare il saldo e la lista movimenti.> Per operazioni dispositive, però, è necessario un> secondo codice. In questo modo, se mi beccano la> password di login, al massimo possono sapere> quanti soldi ho sul conto (e farsi quattro risate> :'( )> > Le banche non usano questo sistema?Veramente veniva richiesta anchela pwd dispositiva ed in molti l'hanno fornita...Re: Ma la chiave dispositiva?
Ma hanno "pisciato" anche il sito Bancoposte? :DRe: Ma la chiave dispositiva?
Che io sappia noRe: Ma la chiave dispositiva?
Cioè se gli chiedevano di mandargli un rene per fare il test del DNA quelli glielo mandavano! Ho capito...Re: Ma la chiave dispositiva?
- Scritto da: Anonimo> Cioè se gli chiedevano di mandargli un rene per> fare il test del DNA quelli glielo mandavano! Ho> capito...Mai porre limiti all'utontaggine :DRemote bankink BNL, PERFETTO e sicuro..
Mah, secondo me hanno avuto l'idea migliore...Un token che ad ogni pressione di apposito tastino ti fornice una password.La devi mettere per entrare e "rimettere" per "eseguire" le operazioni...Negli anni ho provato diversi homebanking, da quelli acrocchiati a quelli che ti installano proxi SSL malati e non funzionanti, i di file di password, i foglietti con le password a perdere, etc etc...Questa e' la soluzione FINALE.Solo che presuppone un MICRO investimento da parte della banca, cioe' "fornirti" il cippolo che ti da le password in modo sincronizzato col server....Personalmente non cambierò banca fino a che potro utilizzare questa soluzione.E tutto il resto mi paiono "blinde" che non risolvono nulla ma rimandano il problema...http://www.e-familybnl.it/efamilymain/index.jhtmlRe: Remote bankink BNL, PERFETTO e sicuro..
Ottimo sforzo ma se funziona producendo id tutti validi in qualsiasi momento (fino a quando non vengono utilizzati) basta trovare l'algoritmo generatore, se fa password una dietro l'altra secondo uno schema si può analizzare il circuito, mi sembra che ci siano di sistemi che utilizzano la fisica quantistica, o forse sono solo allo stadio di teoria...Re: Remote bankink BNL, PERFETTO e sicur
seee nnaaaamo....Re: Remote bankink BNL, PERFETTO e sicur
http://www.rsasecurity.com/node.asp?id=1157Re: Remote bankink BNL, PERFETTO e sicur
Beh si potrebbe analizzare il chip no? Sicuramente meglio di protezione "via pop-up", comunque... :DQual'e' la differenza...
...quindi tra un fogliettino di carta e il generatore di chiavi?? E' da un po' che uso SiteKey sul mio conto, ma sinceramente non aspetto altro di usare il mio lettore di impronte digitali dell'IBM. Naturalmente anche quello potrebbe essere falsato. La soluzione BNL e' come quella di Telecom per alcuni dipendenti che offre un generatore di chiavi random RSA ogni 10sec. Quando lo frego a mio padre ho accesso alla loro intranet. Tanta tecnologia, poco effetto.Re: Qual'e' la differenza...
- Scritto da: DomFel> Quando lo frego a mio padre ho accesso alla loro> intranet. Tanta tecnologia, poco effetto.Se tuo padre si è fatto fregare da te il PIN, c'è poco da inventarsi... Se mi rubano il libretto degli assegni, o denuncio la loro scomparsa, oppure mi tengo il conto svuotato!Il punto è che con questo sistema se anche fregano il PIN non possono operare senza avere anche il "marchingegno": Something you have and something you know.Re: Remote bankink BNL, PERFETTO e sicuro..
- Scritto da: Anonimo> Mah, secondo me hanno avuto l'idea migliore...Ti ringrazio. E' stata una mia personale vittoria, dato che fin da quando sono entrato, nel lontano 2001, non ho fatto altro che cercare di fargli abbandonare il mondo dei certificati digitali a favore di questa soluzione.Fra l'altro non è la prima banca che ho "securizzato" in questa maniera. La prima banca italiana a far uso di questo sistema è staa Bankyou (www.bankyou.it) del gruppo Popolare Bergamo/BPU nel 2000.> Questa e' la soluzione FINALE.No, non lo è. E' un passo verso un sistema di sicurezza integrato. Vi posso assicurare che nel campo dell'"Auditing" si stanno facendo grandissimi passi avanti nei controlli in real-time.> Solo che presuppone un MICRO investimento da> parte della bancaFidati, ho visto i costi, il micro investimento è molto più micro di quello che si possa pensare. E' di dominio pubblico che in BNL stiamo risparmiando un fracasso di soldi con questo sistema.> Personalmente non cambierò banca fino a che potro> utilizzare questa soluzione.Grazie della fiducia accordataci. :DRe: Remote bankink BNL, PERFETTO e sicur
- Scritto da: Anonimo> > - Scritto da: Anonimo> > Mah, secondo me hanno avuto l'idea migliore...> > Ti ringrazio. E' stata una mia personale> vittoria, dato che fin da quando sono entrato,> nel lontano 2001, non ho fatto altro che cercare> di fargli abbandonare il mondo dei certificati> digitali a favore di questa soluzione.> > Fra l'altro non è la prima banca che ho> "securizzato" in questa maniera. La prima banca> italiana a far uso di questo sistema è staa> Bankyou (www.bankyou.it) del gruppo Popolare> Bergamo/BPU nel 2000.> > > Questa e' la soluzione FINALE.> > No, non lo è. E' un passo verso un sistema di> sicurezza integrato. Vi posso assicurare che nel> campo dell'"Auditing" si stanno facendo> grandissimi passi avanti nei controlli in> real-time.> > > Solo che presuppone un MICRO investimento da> > parte della banca> > Fidati, ho visto i costi, il micro investimento è> molto più micro di quello che si possa pensare.> E' di dominio pubblico che in BNL stiamo> risparmiando un fracasso di soldi con questo> sistema.> > > Personalmente non cambierò banca fino a che> potro> > utilizzare questa soluzione.> > Grazie della fiducia accordataci. :DTi confermo che il sistema è davvero comodo e semplice da usare.Occorre stare attenti a non perdere il portachiavi dove è attaccato il generatore di chiavi !Prima abbiamo dovuto sorbirci il securproxy e il multicertify (non mi ricordo esattamente ...) ed era scomodissimo. Poi questo PASS BNL ha sostituito anche la carta di telebanca.Adesso è davvero comodo e secondo me più sicuro dei sistemi di login con password che chiedono due cifre a caso della pwd.Re: Remote bankink BNL, PERFETTO e sicuro..
- Scritto da: Anonimo> Mah, secondo me hanno avuto l'idea migliore...> Un token che ad ogni pressione di apposito> tastino ti fornice una password.> La devi mettere per entrare e "rimettere" per> "eseguire" le operazioni...Mi fai un esempio pratico di una sessione dal login all'operazione dispositiva ?Re: Remote bankink BNL, PERFETTO e sicur
- Scritto da: Anonimo> Mi fai un esempio pratico di una sessione dal> login all'operazione dispositiva ?Nulla di più semplice.E-familyEntri mettendo il tuo identificativo, pin e passcode (generato automaticamente ogni 60 secondi)Poi il dispositivo lo fai re-inserendo il pin e il nuovo passcodeTelebancaEntry mettendo il tuo identificativo 2 numeri a caso del pin e il passcodeLa disposizione, che fai tramite un operatore di sportello e con comunicazione registrata comprensiva del telefono da cui chiami, semplicemente dando di nuovo il passcode.Re: Remote bankink BNL, PERFETTO e sicur
Dimenticavo, quando usi un codice, viene bruciato, quindi se anche venisse intercettato, non può essere ri-usatoAltra possibile soluzione, più semplice
Ma perchè le banche non distribuiscono insieme ai dati per l'accesso web, un cd con una distribuzione linux su misura con il certificato della banca (ed eventualmente del cliente) e il link con l'IP, invece del nome di dominio con anche qualche controllo in più come può essere fornito da qualche estensione di firefox?Oppure con un DNS fisso di cui si fidano.Il cd, poi, potrebbe anche contenere dei browser preconfigurati (per più sistemi operativi) sempre con il link con l'IP della banca, da fare partire direttamente dal sistema operativo preferito. In questa modalità rimane il rischio di trojan già presenti sul sistema, ma si eliminerebbe buona parte dei problemi.Re: Altra possibile soluzione, più semplice
Potrebbero anche sviluppare dei sistemi proprietari ma se vedi che le banche attuali non sono neanche capaci di realizzare normali siti web decentemente...Re: Altra possibile soluzione, più sempl
Io ho esperienza di tre banche.La prima solo online con cui mi sono trovato benissimo, ha cambiato le condizioni contrattuali e me ne sono andato...La seconda sempre solo online di cui sono correntista ora e mi trovo benissimo. Il sito mi pare strutturato bene, oltre ad essere leggero e veloce.La terza è una banca non solo online di cui è correntista mio padre che ogni volta ha bisogno d'aiuto perchè hanno un sito molto poco user friendly.Comunque il concetto è che qualche buona implementazione di web banking c'è, a mio parere.Re: Altra possibile soluzione, più sempl
- Scritto da: koby> Ma perchè le banche non distribuiscono insieme ai> dati per l'accesso web, un cd con una> distribuzione linux su misura con il certificato> della banca (ed eventualmente del cliente) Costerebbe troppo fare un cd personalizzato per ogni cliente, alle banche interessa acchiapparli gli spicci, mica scucirli e cmq non sarebbe neppure questa una soluzione sicura. Se una cosa simile funzionasse e prendesse piede sarebbe sufficiente che qualche cracker realizzasse un programma in grado di rippare il cd, farne un'img e poi spedirla via rete (il che con le linee attuali sarebbe possibilissimo) e dato che sarebbero ben pochi coloro che utilizzerebbero quel cd dal boot (mentre invece tutti si affiderebbero al "buon" vecchio windoz) x la vers. linux sarebbe come passare la carta di credito al negoziante che la clona sotto il bancone.Re: Altra possibile soluzione, più sempl
Gia' certo, e magari all'utonto gli chiedi di aggiornare il bios della mobo perche' non supporta il boot da cd... Ma che soluzione e'??? Poi alla nonna di 60 anni gli dici di aprire Konqueror e installare il tarball di Flash Player perche' non e' messo di default... Oppure mi copio un backup del cd (con i miei dati gia' schiaffati dentro secondo la tua geniale idea), e lo lascio a lavoro/uni. Dopo circa 24ore scopro che un pirla a 1000km di distanza legge a quanti siti porno mi sono abbonato, e magari si copia pure i dettagli dell'account.MavaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaRe: Altra possibile soluzione, più semplice
- Scritto da: koby> Ma perchè le banche non distribuiscono insieme ai> dati per l'accesso web, un cd con una> distribuzione linux su misura con il certificato> della banca (ed eventualmente del cliente) e il> link con l'IP, invece del nome di dominio con> anche qualche controllo in più come può essere> fornito da qualche estensione di firefox?> Oppure con un DNS fisso di cui si fidano.> Il cd, poi, potrebbe anche contenere dei browser> preconfigurati (per più sistemi operativi) sempre> con il link con l'IP della banca, da fare partire> direttamente dal sistema operativo preferito. In> questa modalità rimane il rischio di trojan già> presenti sul sistema, ma si eliminerebbe buona> parte dei problemi.Ma che c'entra?????Si sta parlando dei problemi di phishing se non sbaglio...cioe' di quelle tentate truffe che avvengono via email, dove ti convincono a cliccare sul loro link ( che in apparenza porta alla banca ) e da li in poi e' tutto un problema web.Quindi Windows non c'entra nulla, gli antivirus possono far ben poco e il firewall altrettanto.Mi sa che te invece di osannare tanto Linux ( che e' un ottimo sistema...per carità!! ), dovresti toglierti un attimo quel vangelo dalla bocca e cominciare a postare commenti utili e non solo sponsorizzazioni al tuo sistema operativo preferito.Senza rancoreRe: Altra possibile soluzione, più sempl
E tu, magari leggere meglio prima di rispondere. Chiaramente Linux è la prima soluzione che mi è venuta in mente perchè a costo zero, facilmente configurabile e può stare su un minicd. L'ultima che mi potrebbe venire in mente e windows che non ha i suddetti vantaggi. Nonostante questo non ho proposto alcun sistema operativo perchè non era quello il punto. Ma evidentemente questo ti era sfuggito...Re: Altra possibile soluzione, più sempl
Ok errore. Ho pensato e detto distribuzione Linux :). Comunque il concetto espresso prima non cambia. Non è importante che sistema operativo, ma dare la possibilità al cliente inesperto di collegarsi in sicurezza. Questo non significa che debba essere l'unica soluzione per collegarsi, ma una in più per il cliente che non sta col computer sempre acceso, ma lo accende per un uso specifico. Quando deve collegarsi alla banca pernde il cd lo ficca nel pc e va tranquillo. I problemi dell'impossibilità di avviarlo perchè il bios della scheda madre non lo permette... bhe, mi sembra che diventi sempre più remota. Entro 5 anni, credo che la percentuale di pc che non partono al volo da cd, possa essere considerata una minoranza.Re: Altra possibile soluzione, più semplice
Sì, e così quando devi andare sul sito della tua banca devi riavviare il computer... ma dai! :-DSono un utente convinto di GNU/Linux, ma qui non è problema di sistema operativo, è problema di cascare in trucchetti come il phishing! Basta usare un qualsiasi browser e scrivere manualmente l'URL, oppure meglio salvarlo nei preferiti.P.S.: Non è che sei un winaro pagato apposta per far finta di essere un estremista linuxaro? (rotfl)Re: Altra possibile soluzione, più semplice
- Scritto da: koby> Ma perchè le banche non distribuiscono insieme ai> dati per l'accesso web, un cd con una> distribuzione linux su misura con il certificato> della banca (ed eventualmente del cliente) e il> link con l'IP, invece del nome di dominio con> anche qualche controllo in più come può essere> fornito da qualche estensione di firefox?> Oppure con un DNS fisso di cui si fidano.> Il cd, poi, potrebbe anche contenere dei browser> preconfigurati (per più sistemi operativi) sempre> con il link con l'IP della banca, da fare partire> direttamente dal sistema operativo preferito. In> questa modalità rimane il rischio di trojan già> presenti sul sistema, ma si eliminerebbe buona> parte dei problemi.Tranne quelli che ci sono tra la tastiera e lo schermo.NESSUN Browser e NESSUN SISTEMA OPERATIVO può impedire che un utente vada su un sito farlocco, specialmente se è uno dei primi che lo fa e il sito non è encora entrato nei rating di Phishingman in the middle?
Ma per la soluzione dell'immagine o frase fornita dalla banca al cliente, non è a rischio di attacco "man in the middle"? Esempio:io (A) mi connetto a unicreditsbanca.com (B), il sito truffa.B si connette a unicretbanca.it (C), il sito "onesto", e fa la stessa richiesta che gli è stata fatta da A.C risponde a B che inoltra a A.B in questo modo può loggare tutti i dati, e allo stesso tempo si comporterebbe nello stesso modo di C.O sbaglio qualcosa?Re: man in the middle?
Non sbagli, è possibilissimo, ma realizzarlo è molto più complesso che scrivere un paio di pagine simili alle originali.Comunque si può fare.Re: man in the middle?
Quindi, anche questa idea non funziona.Forza banche, avanti con la prossima :DRe: man in the middle?
- Scritto da: koby> O sbaglio qualcosa?No, non sbagli. Però io banca posso non accettare connessioni provenienti da "unicreditsbanca"... ed è molto più semplice centralizzare i controlli piuttosto che spalmarli su tutti i clienti. :pRe: man in the middle?
- Scritto da: Anonimo> > - Scritto da: koby> > O sbaglio qualcosa?> > No, non sbagli. Però io banca posso non accettare> connessioni provenienti da "unicreditsbanca"...> ed è molto più semplice centralizzare i controlli> piuttosto che spalmarli su tutti i clienti. :pE qui entra in gioco l'IP spoofing......morale della favola: bisogna conoscere più di una tecnica di exploit per attaccare il sistema, ma si può fare @^Re: man in the middle?
- Scritto da: Anonimo> ma si può fare @^Naaaa più diventa complesso e meno verranno a rompere i coglioni alla gente comunque. Il vantaggio è nel basso costo dell'impresa. Se diventa una cosa troppo complessa allora meglio tornare alla sana e vecchia rapina allo sportello ;)identikit utente medio
osserviamo ancora che la miglior soluzionesarebbe suggerire agli utenti di impararequalcosina su come ci si comporta con unoschermo e una tastiera, anzichè liquidarlicon un prodotto e il messaggio che tutti possonousarlo senza avere la benché minima cognizione.esisterà sempre un modo per fregare utenti delgenere, se non altro perchè usando xp sprotettocon un'adsl flat come fanno al 99% qualsiasi ragazzo un po esperto può entrare e sbirciarema per vendere raccontano la stronzata che sipuò usare il computer da perfetti ignorantiRe: identikit utente medio
> osserviamo ancora che la miglior soluzione> sarebbe suggerire agli utenti di imparare> qualcosina su come ci si comporta con uno> schermo e una tastiera, anzichè liquidarli> con un prodotto e il messaggio che tutti possono> usarlo senza avere la benché minima cognizione.> esisterà sempre un modo per fregare utenti del> genere, se non altro perchè usando xp sprotetto> con un'adsl flat come fanno al 99% qualsiasi> ragazzo un po esperto può entrare e sbirciare> > ma per vendere raccontano la stronzata che si> può usare il computer da perfetti ignorantiE' giustissimo, ma ora ti diranno che il PC è uno strumento e che è fatto per renderti la più semplice e non il contrario.Il problema di tutti questi individui è che non si rendono che qualsiasi strumento richiede del tempo per apprenderne l'uso e più sono le funzionalità dello strumento più tempo è richiesto per l'apprendimento.Prendi un'auto per esempio, i comandi sono semplicissimi da imparare ed il codice della strada non richiede molto di più eppure esistono le scuole guida e i 3/4 della gente guida da idiota.Re: identikit utente medio
>Il problema verocon l'aggiunta del problema di fondo che certeaziende ti vendono i loro prodotti con il messaggioimplicito ed esplicito che sono ultra-facili, nonbisogna sbattersi, si spinge il bottone poi si premelo start, poi "puoi fare ciò che vuoi"se mettessero sulla scatola:devi acquistare l'abbonamento a un antiviruse a un antispyware e installare gli stessi o farlofare a un tecnico, ma poi sta a te tenerli aggiornatilo stesso vale per il firewall che va settato a secondadell'uso che fai del computer, lo stesso per gliaggiornamenti del sistema che vanno abilitati,così come bisogna fare attenzione ai dialoghi diavvertimento che compaiono quando si installaqualcosa, etc. ATTENZIONE: se non fai questocorri il pericolo di farti compromettere lamacchina che poi verà usata in rete da terziper SCOPI ILLECITI di cui TU SARAI RESPONSABILE a meno che non dimostri il contrario.Queste verità, col cavolo che te le fanno sentire:poi nascono casini immensi per aver truffato gliutenti con promesse di facilità d'uso fuori dalmondo reale, per vendere la loro robaciaoLa cultura della sicurezza
Banca MPS:Vado allo sportello a fare un operazione e mi trovo accanto sul bancone una bella pila di fogli con le autorizzazioni per l'home banking con dati personali conditi di username e password in bella vista.Finche' succedono queste cose puoi inventarti tutti i sistemi di sicurezza che ti pare...Re: La cultura della sicurezza
> pila di fogli con le autorizzazioniè veramente pazzescod'altra parte in certe filiali vedo ancora win9xe la cosa mi sembra meno sicura del miomaterassoRe: La cultura della sicurezza
- Scritto da: Anonimo> > pila di fogli con le autorizzazioni> è veramente pazzesco> d'altra parte in certe filiali vedo ancora win9x> e la cosa mi sembra meno sicura del mio> materassoLe banche non usano il pc come macchina ma solo come terminale, si collegano via terminal remoto con il server e lavorano sul server. Il pc su cui digitano le paroline può avere anche windows 95 essere infetto e caricato cosa vuoi, tanto tutto il lavoro avviene sempre su un server remoto.La sicurezza a questo punto è solo quella del server.Re: La cultura della sicurezza
- Scritto da: Anonimo> Le banche non usano il pc come macchina ma solo> come terminale, si collegano via terminal remoto> con il server e lavorano sul server. Il pc su cui> digitano le paroline può avere anche windows 95> essere infetto e caricato cosa vuoi, tanto tutto> il lavoro avviene sempre su un server remoto.> La sicurezza a questo punto è solo quella del> server.Purché tali PC non siano collegati ad Internet, altrimenti il trojan di turno passa al malintenzionato tutte le password e user che l'impiegato bancario ha digitato...Re: La cultura della sicurezza
- Scritto da: Anonimo> Banca MPS:hai gia' detto tutto...Re: La cultura della sicurezza
hai colto nel segno manca proprio la cultura della sicurezza...pensa che da correntista fineco un giorno li ho chiamati e ho detto loro che e' decisamente imprudente mandare mail ai clienti con link per loggarsi al sito e loro mi hanno risposto:il nostro sito e' sicuro con crittografia ssl 128 bit etc etc...Ma INCOMPETENTI che non siete altro il punto e' che vi mandano su un altro sito non sul vostro!!! non hanno ancora afferrato il concetto, mi chiedo quanto ci metteranno i rumeni a capire che Fineco e' una miniera d'oro visto che usa solo passwords (no RSA et similia)ed e' (ahime') diffusissimo?Saluticristianx :@Soluzione alternativa
L'avevano proposta in un commento ad un'altra notizia qualche giorno fa. La ripropongo perchè mi sembrava una buona idea:"...si puo' sfruttare questo fatto fornendo ai truffatori dati "tracciati" che poi il server Unicredit, una volta riconosciuto il tentativo di login con questi dati tracciati tratterebbe la richiesta di bonifico in maniera virtuale, con un honeypot, illudendo i ladri che la transiziaone sia andata a buon fine, e catturando cosi' il numero di conto bancario dei ladri.A questo punto bisognerebbe bloccare quel conto e, a livello di server Unicredit bloccare ogni ulteriore richiesta di bonifico verso quel conto, anche se richiesto con dati (user e PIN) validi...."http://punto-informatico.it/forum/pol.asp?mid=1066031&tid=1065878&p=1&r=PI#1066031Oltre a questo si potrebbe aggiungere il codice dispositivo in modo da ridurre al minimo anche il possibile man in the middle commentato qualche post sotto. Convincerti a loggarti e a fare anche più operazioni* diventa dura...* se i codici dispositivi funzionano tutti come quelli di Bancoposta, non ti viene mai chiesto tutto ma sempre solo una parte casuale, quindi per averlo tutto i furbacchioni dovrebbero farti fare più operazioni.Soluzione molto piu' semplice...
Ma non sarebbe piu' semplice e piu' economico inviare a tutti i correntisti una lettera postale ( o meglio una telefonata ), dove li si informa che la banca non invierà MAI email per richiesta di - reattivazione del sistema- cambio password e username- informazioni sul conto e falsi allarmiIn questo modo, si dice chiaro e tondo : "Noi abbiamo gia' tutti i tuoi dati, anche se li perdiamo (1/1milione), ti chiamiamo e non ti scriviamo per email se non per informarti di novità e offerte promosse dalla banca"Detto questo, hai installato l'antivirus nella mente dell'uomo che sapra' di non dover cliccare su messaggi da parte della banca.Invece mi sa che questa cosa non la fanno per :- Far perdere qualche soldo ai loro clienti ( magari 1 ci casca e invece di perdere 1000 ne fanno perdere 10000)- Far sparire qualche soldo per l'acquisto di questa nuova ed entusiasmante "feature" ( SiteKey )- non ammettere che attualmente la colpa e' loro se non hanno avvisato gli utenti-utonti dei possibili rischi di un internet banking.Re: Soluzione molto piu' semplice...
Potrebbe essere una buona idea, ma resterebbero sempre quelli che sbagliano l'URL magari per una lettera.IMHO il problema non si può risolvere con password, frasi ed immagini, perchè un sito malevolo può anche mettersi semplicemente in mezzo in modo trasparente tra il cliente ed il sito originale (quindi in effetti l'utente vedrebbe il sito originale vero e proprio, a parte l'URL).La mia soluzione è quella FireFox: Io sono la banca: vuoi aprire un conto presso di me? Installi il Firefox e la MIA toolbar (tutti e due scaricabili nel mio sito). Tu sai che quando ti vuoi collegare con me devi usare il bottoncino del panda rosso e fare clic sul pulsante della banca. Quindi è inutile che tu faccia clic dall'indirizzo e-mail. Devi sempre e comunque fare clic sul panda rosso e poi sul pulsante della banca altrimenti nisba.Re: Soluzione molto piu' semplice...
- Scritto da: Anonimo> Installi il Firefox e la MIA toolbarIn che sistema operativo?E se sono in un internet caffe?E dove finisce la mia (banca) responsabilità ed inizia la tua (utente)Le tue idee non sono da scartare a priori, ma sono anche di "complessa" realizzazione.Re: Soluzione molto piu' semplice...
...aggiungo che ovviamente se il firefox o la toolbar non sono quelle aggiornati il sito della banca ti invita a scaricarteli nuovamente (con i link interno al sito). O così oppure vieni allo sportello di persona e fine della storia.Re: Soluzione molto piu' semplice...
> > E se sono in un internet caffe?> Ma tu usi veramente delle password importanti da un internet cafe???!!Brrrrrrrrrrrrrrrrrrrr non avrei mai il coraggio di fare una cosa del genere:|Re: Soluzione molto piu' semplice...
> La mia soluzione è quella FireFox: > Io sono la banca: vuoi aprire un conto presso di> me? Installi il Firefox e la MIA toolbar (tutti e> due scaricabili nel mio sito). Davvero? si potrebbe far girare un virus che se trova MIA toolbar installata la disinstalla e si sostituisce, oppure intercetta tutto il traffico dal momento che si utilizza MIA toolbarRe: Soluzione molto piu' semplice...
> Davvero? si potrebbe far girare un virus che se> trova MIA toolbar installata la disinstalla e si> sostituisce, oppure intercetta tutto il traffico> dal momento che si utilizza MIA toolbarstavamo parlando di soluzioni anti-phishing.E' chiaro che se il PC e' infetto non hai scampo, basta un keylogger e non c'e' santo che tenga.Per essere sicuro al 1000% di non avere virus, keylogger o chissachecazzo devi fare il reboot con una distro live customizzata dalla banca che contiene un browser e poso altro.Questo porta pero' 2 problemi:1 - Alcuni modem possono non essere riconosciuti da una distro live.2 - In alcuni BIOS il boot da CD puo' non essere la prima scelta (e allora partirebbe da HD)Il punto 2 ha soluzione, e' un attimo, basta qualche skill o un amico.Il punto 1 non sempre ha soluzione.Re: Soluzione molto piu' semplice...
> La mia soluzione è quella FireFox: > Io sono la banca: vuoi aprire un conto presso di> me? Installi il Firefox e la MIA toolbar (tutti ecaro utente c'e' la nuova versione delle toolbar, scaricala da www.bancas.com.........ciaoRe: Soluzione molto piu' semplice...
- Scritto da: pippo75> > > La mia soluzione è quella FireFox: > > Io sono la banca: vuoi aprire un conto presso di> > me? Installi il Firefox e la MIA toolbar (tutti> e> > > caro utente c'e' la nuova versione delle toolbar,> scaricala da www.bancas.com.........> > ciaoColpito, affondato e dimenticato.Non se ne parli piu'.Re: Soluzione molto piu' semplice...
sono d'accordo con te in effetti questo dovrebbe essere un 'basic' contro il phishing tuttavia ho notato negli us che i phisher tendono a fare esattamente le stesse cose delle banche (siti di altro genere) e inviano snail mail con messaggi diversi. Inoltre la ragione per cui il phishing funziona e' legata al fatto che vengono inviati milioni di messaggi e poche centinaia di utenti ci cascano...a rigor di logica poco efficace ma se consideriamo quanto facile e' spammare milioni di persone beh in questo caso e' un sistema molto efficace....sono i male informati che vengono vittimizzati, quelli che cestinano la lettera come l'email....quelli che non leggono la stampa o che sono nel panico perche 'credit card on file is expired'.Cio' non toglie che le banche dovrebbero fare un po di campagna offline, mentre fineco CONTINUA a spedire messaggi in HTML invitando i clienti a loggarsi da li!!! ASSURDO qualcuno ha parlato con quelli di FINECO? Lo sanno cosa succedera' presto non appena le bande li fuori se ne accorgono?Poi il problema rimane tale per i grandi providers email e eBay, difficile per loro spostare la comunicazione offline, tuttavia con sistemi vari sia eBay che i providers email hanno fatto passi da gigante (vedi toolbar e nuovi standard antispam proposti da gmail e Y!)cristianxRe: Soluzione molto piu' semplice...
e un sistema di login basato su cellulare?se vuoi fare operazioni o accedere all'estratto conto devi fare una chiamata (gratuita) al gateway della banca, che riconoscendo il tuo numero ti abilità l'operazione (+ il normale sistema di password).Alla banca viene registrato il tuo numero e l'id della sim così che quando telfoni lo puoi fare solo ed esclusivamente tu (a meno che l'hacker non possa intercettarci il telefono, clonare la sim e farsi gli affari tuoi sul tuo conto).Se cambi numero o sim, ovviamente devi comunicarlo alla banca.La Banca Sella lo ha già da mesi!
La Banca Sella adotta già il sistema descritto da svariati mesi.In pratica il login avviene così:1a fase: inserimento numero conto e pin segreto2a fase: la frase segreta introdotta dall'utente (e solo a lui nota) viene visualizzata. L'utente può non procedere all'inserimento se non è corretta! Nella stessa pagina sono richiesti i dati della fase 33a fase: inserimento data di nascita e due caratteri della password (es il primo e il quinto oppure il secondo e quarto oppure ...).L'accesso è completato.Anche in caso di intercettazione della comunicazione (o keylogging...), allo spione non sarebbero disponibili abbastanza informazioni per l'accesso.Ovviamente con 3 errori e l'accesso viene bloccato.Non ho esperienza di tanti altri banking on line (2), ma questo mi sembra un ottimo livello!PS: non sono un dipendente della Sella, solo un cliente soddisfatto del servizio! :) A volte capita :))Re: La Banca Sella lo ha già da mesi!
In effetti è già un buon livello.Secondo me è superiore come sicurezza quello della BNL che prevede l'uso di una password, di una seconda password data da un generatore di codici ONE-TIME da portare come un portachiavi e di un codice pin fisso.Re: La Banca Sella lo ha già da mesi!
> PS: non sono un dipendente della Sella, solo un> cliente soddisfatto del servizio! :) A volte> capita :))Tu sei soddisfatto, ma immagini quanti dicono: "e che palle sta' cosa ti fa tremila domande io ho un conto in un'altra banca che con un id e password entro subito, sono proprio scarsi questi della sella" :D :D :DEH, l'informatica e' proprio una rottura a volte :DRe: La Banca Sella lo ha già da mesi!
> > 1a fase: inserimento numero conto e pin segretoil sito fasullo ti fa la stessa domanda ed invia i dati alla banca sella> 2a fase: la frase segreta introdotta dall'utentela banca sella invia la frase al sito fasullo (credendolo il loro cliente), il sito fasullo rimanda la frase a te.> (e solo a lui nota) viene visualizzata. L'utente> può non procedere all'inserimento se non è> corretta!Tu rispondi alla frase dicendo se e' corretta oppure no, il sito fasullo rinvia la risposta alla banca sella.> 3a fase: inserimento data di nascita e due> caratteri della password (es il primo e il quinto> oppure il secondo e quarto oppure ...).vedi primasecondo ma la soluzione puo' essere: la banca ti da il suo programma e ti connetti direttamente con quello, magari per maggiore sicurezza fa in modo che ogni programma debba essere abilitato in qualche modo per evitare contraffazioni.Si blocca ogni tentativo di collegarsi con altri programmi o con programmi non abilitati.ciaoRe: La Banca Sella lo ha già da mesi!
Però il sito posto in mezzo che descrivi deve convincere l'utente a fare attraverso di lui il login un numero di volte elevato, fino a conoscere tutte le lettere della seconda password.Il che è piuttosto improbabile...Comunque all'imperizia di un utente non c'è un margine assoluto... (pensate a chi scrive il pin nel foglietto insieme al bancomat).La soluzione del programma dedicato ha dimostrato di esser poco pratica (bisogna averlo sempre con se, funzionano solo su Win e mal si adattano tra versioni diverse). Inoltre se si pensa alla relativa facilità di installare backdoors, un pc controllato con l'aggiunta di un keylogger regala un accesso all'home banking completo e per di più dal pc dell'utente stesso! Cosa voler di più?(Le connessioni ADSL permanenti sono una pacchia per simili attacchi....)Toolbar antiphishing per IE e Firefox
Esistono delle toolbar che aiutano a bloccare i siti di phishing, come ad esempio la Netcraft Toolbar.Il problema fondamentale è sempre quello della informazione e formazione degli utenti.Per questo è interessante quanto fatto dall'Associazione dei consumatori della svizzera italiana per sensibilizzare il grande pubblico sui problemi di sicurezza informatica. Vedi www.acsi.ch/sicurezzaRe: Toolbar antiphishing per IE e Firefox
- Scritto da: santommaso> Esistono delle toolbar che aiutano a bloccare i> siti di phishing, come ad esempio la Netcraft> Toolbar.> Il problema fondamentale è sempre quello della> informazione e formazione degli utenti.> Per questo è interessante quanto fatto> dall'Associazione dei consumatori della svizzera> italiana per sensibilizzare il grande pubblico> sui problemi di sicurezza informatica. Vedi> www.acsi.ch/sicurezzaPurtroppo queste barre hanno una finestra temporale tra quando il sito di Phishing viene creato, a quando è segnalato come tale. Se tu, per sfiga, ricadi in quella finestra, le barre non bastano (anche se aiutano)Re: Toolbar antiphishing per IE e Firefo
Però se proprio hai bisogno di accedere ai siti MS devi disattivarla :DRe: Toolbar antiphishing per IE e Firefo
Scusa ma non capisco il perché.Io la utilizzo correntemente e non ho bisogno di fare nessuna distinzione a dipendenza del tipo di sitoMa una bella SmartCard no eh ?!
Con dentro una password simmetrica e la sua gemelladepositata sui sistemi della banca, in modo tale chela connessione sia sicura al 99,99%(0,1 e' d'obbligoquando si parla di sicurezza in qualsiasi campo).Via il Pishing, via "l'uomo nel mezzo", via i keylogger,via tutti i pensieri ;-)Re: Ma una bella SmartCard no eh ?!
- Scritto da: Anonimo> Con dentro una password simmetrica e la sua> gemella> depositata sui sistemi della banca, in modo tale> che> la connessione sia sicura al 99,99%(0,1 e'> d'obbligo> quando si parla di sicurezza in qualsiasi campo).> Via il Pishing, via "l'uomo nel mezzo", via i> keylogger,> via tutti i pensieri ;-)> Anch'io sarei per una SMART CARD con cui gestire un sistema di chiavi asimmetriche.Re: Ma una bella SmartCard no eh ?!
E se il sito di phishing è organizzato in maniera tale da copiare la chiave sulla smart-card?Il punto è che già oggi esistono e vengono usati dalle banche sistemi adeguatamente sicuri e proprio per questo è nato il phishing: non essendo possibile abbattere quei sistemi bisogna in qualche modo aggirarli.Re: Ma una bella SmartCard no eh ?!
- Scritto da: abbasso> E se il sito di phishing è organizzato in maniera> tale da copiare la chiave sulla smart-card?Non puoi perche' la chiave e' interna alla smartcarde i flusso di dati in imput viene decrittato e poirestituito all'esterno.> Il punto è che già oggi esistono e vengono usati> dalle banche sistemi adeguatamente sicuri e> proprio per questo è nato il phishing: non> essendo possibile abbattere quei sistemi bisogna> in qualche modo aggirarli.Difatti basta utilizzare tecnologie non eludibili o, meglio, difficilmente eludibiliglRe: Ma una bella SmartCard no eh ?!
- Scritto da: Anonimo> Non puoi perche' la chiave e' interna alla> smartcardLa chiave, e solo la chiave è in un sistema "blindato". E il resto? E la memoria del tuo PC?> e i flusso di dati in imput viene decrittato e poi> restituito all'esterno.Viene restituito all'esterno cio che entra. Essendo la memoria dei PC non sicura (lo sarebbe con Palladium, per inciso) basta che ti scrivo un bel virus che ti cambia i dati in memoria ma non quelli a schermo ed ecco che hai spedito i soldi in kenya, invece che al tuo condominio...> Difatti basta utilizzare tecnologie non eludibili> o, meglio, difficilmente eludibiliMa non impossibili da eludere. Anzi sono eludibili molto semplicemente.Re: Ma una bella SmartCard no eh ?!
- Scritto da: Anonimo> Con dentro una password simmetrica....Questo richiede che ogni PC abbia un lettore di smart card.Attualmente sono mooolto pochi.Re: Ma una bella SmartCard no eh ?!
- Scritto da: Anonimo> > - Scritto da: Anonimo> > Con dentro una password simmetrica....> > Questo richiede che ogni PC abbia un lettore di> smart card.> Attualmente sono mooolto pochi.LolDifatti basta installarlo e vedrai che il loro numerocrescera' di molto ;-)Re: Ma una bella SmartCard no eh ?!
- Scritto da: Anonimo> > - Scritto da: Anonimo> > Con dentro una password simmetrica....> > Questo richiede che ogni PC abbia un lettore di> smart card.> Attualmente sono mooolto pochi.per la banca avrebbe un costo irrisorio darlo in dotazione assieme alal smartcard.... per quello poi che ti spillano l'anno solo come costi di gestione se lo ripagano in 3 mesi....Certificazione del CLIENT ?
Anche senza smartcard, sarebbe sufficiente dare un CD all'utente della banca con una chiave psk autoinstallante nel browser.Funziona con tutti i browser e si autentica il client !Il certificato, contiene le informazioni del cliente criptato con chiave privata e quindi rende impossibile ad eventuali avventori di spacciarsi per lui.Per altro il certificato non può essere intercettato e rimandato (man in the middle) in quanto il tutto è protetto con la logica del SSL ...Ho già messo in piedi sistemi di sicurezza del genere in mezza giornata e dare un CD ai clienti non mi sembra una grande difficoltà ...Detto questo, informare il cliente con una EMAIL o nella pagina principale non è una cattiva idea , molte banche già lo fanno ed è la cosa più ovvia !Re: Certificazione del CLIENT ?
> Ho già messo in piedi sistemi di sicurezza del> genere in mezza giornata e dare un CD ai clienti> non mi sembra una grande difficoltà ...> > Detto questo, informare il cliente con una EMAIL> o nella pagina principale non è una cattiva idea> , molte banche già lo fanno ed è la cosa più> ovvia !Bella idea, ma poi l'assistenza?Eh, non mi si installa....Eh mi ha bloccato il computer....Eh non funziona ma io ho fatto tutto bene....Sai che calvario, magari ne vale la pena solo per i conti + danarosi :DRe: Certificazione del CLIENT ?
> > Bella idea, ma poi l'assistenza?> > Eh, non mi si installa....> > Eh mi ha bloccato il computer....> > Eh non funziona ma io ho fatto tutto bene....> > Sai che calvario, magari ne vale la pena solo per> i conti + danarosi :DSi vabbè .... però installare un certificato nel browser richiede proprio un minimo di esperienza, con explorer, basta un programmino che gira su tutte le versioni di windows, su MAC si va in un secondo, su Linux basta uno script.Secondo me è più complicato scrivere 22 password che cambiano ogni secondo e mezzo .... Del resto il meccanismo della smartcard è lo stesso di quello del certificato, solo che nel caso specifico si trova nella tesserina e devi pagare per comprare l'hardware (se non è già incluso nel PC).Bipop fa così
Nome utente e password, ma per operazioni che comportano la movimentazione di denaro (bonifici etc.) vengono date le coordinate di un'apposita card (tipo A5): l'utente prende la sua crad (spedita per posta), legge il codice all'incrocio delle coordinate e le inserisce.La card è spedita all'utente per posta.Re: Bipop fa così
Non e' l'unica che fa cosi'.E' una cosa analoga ad avere 100 password per le operazioni invece di una.Ma 1, 10 o 1000, sempre una password da inserire e'.Idea carina, ma...
...comunque a rischio.Un portachiavi con un generatore di codici basato su data, ora, e numero di conto.Un plugin scaricato al momento dell'entrata nella sezione "conto online" effettua la connessione al conto e cifra il tutto con i dati di username, password e codice del proprietario.Solo se i dati "fanno scopa" con quelli del server (il codice temporaneo cambia sempre) vengono decrittati correttamente, un numero di codice "generato a caso" non avra' alcuna possibilita' di funzionare.Funziona sempre (a patto di usare un browser recente) e non installa nulla. >GT<Re: Password che cambia OGNI MINUTO
Non è lo stesso di quello che fa BNL con il "PASS" che genera le pwds ?Re: Password che cambia OGNI MINUTO
- Scritto da: Sparrow> Non è lo stesso di quello che fa BNL con il> "PASS" che genera le pwds ?Esatto; il sistema sfrutta una eToken con funzionalità integrata OTP (On Time Password). Nel caso di BNL la password varia ogni 30 secondi.Re: Password che cambia OGNI MINUTO
magaria chiave segreta, conosciuta solo dalla banca e inserita all'interno della calcolatrice ma non a conoscenza dell'utente.a primo impatto dire che e' ottomo contro questi casi.ciaoRe: Password che cambia OGNI MINUTO
- Scritto da: Anonimo > la password di ogni utente cambia ogni minuto> seguendo un algoritmo differente per ogni utente.> Ad ogni utente viene data una specie di> "calcolatrice" che implementa quell'algoritmo e> che quindi è in grado di dire al possessore> qual'è la sua password, minuto per minuto.Che importanza ha la complessita' della password o la sua durata se il controllo della password e' bypassabile ? Ovvero se in qualche modo posso accedere alla risorsa che dovrebbe essere protetta da password senza conoscere la password ?E' il caso piu' frequente, che accade quotidianamente.Perche' un sistema come quello di cui parli sia efficacie, la possibilita' di accesso senza password deve essere nulla.Quando accade ?E quanto e' sicuro che la password (complessa e mutante) non sia recuperabile ?La sicurezza e' una sequenza dinamica di botte e risposte. Chi e' piu' veloce e preciso vince.La sicurezza statica, della serie: metto in piedi questo sistema e sono tranquillo, e' un'illusione.Re: Password che cambia OGNI MINUTO
E' una vita che accedo al mio conto UBS con un token che genera la password in questo modo...purtroppo non e' aplicabile per siti come eBay o servizi di email dove la facilita' di accesso deve essere garantita non trattandosi di una banca o servizio finanziario...cmq sitekey e' facilmente aggirabile, mi tengo distante dal dire come per ovvi motivi inoltre sto facendo alcuni test per capirne l'affidabilita'.Nel frattempo FINECO continua a mandare messaggi con inviti a loggarsi su un link HTML, avremo presto notizie di spoofing con oggetto FINECO cristian pGrazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoLeggi gli altri commenti14 07 2005
Link copiato negli appuntiTi potrebbe interessare
![Redazione]()
14 07 2005Link copiato negli appunti
