Aggiornamenti e Formazione Professionale continua sulla Sicurezza Informatica di E-Commerce, Siti e Portali, Applicazioni WEB, Reti e Sistemi esposti ad Internet. Il tutto in un linguaggio semplice e formato tascabile, per chi deve ottenere il massimo nel minor tempo possibile!

powered by ISGroup: Information Security Group

La blacklist Google: oltre il danno, anche la beffa

Posted by on 3:33 pm in Formazione | Comments Off on La blacklist Google: oltre il danno, anche la beffa

La blacklist Google: oltre il danno, anche la beffa

Quando il sito web di un’azienda viene violato, Google lo inserisce in una lista nera che contiene tutti i siti ritenuti pericolosi per gli utenti di Internet. Come dice il detto, “oltre il danno, anche la beffa”: non solo il sito web è danneggiato ma, proprio per questo, viene inserito nella blacklist di Google, rendendosi inaccessibile agli utenti. Conseguenza: l’immagine e i profitti dell’azienda sono fortemente penalizzati. Google scansiona costantemente circa 60 trilioni di URL (ma anche ricerche, pubblicità e indirizzi sospetti scritti nei browser) per cercare malware e eventuali tentativi di Phishing. Si stima che 10000 siti web vengano “messi in quarantena” ogni giorno. Anche se le aziende possono ritenersi non responsabili per l’accaduto, e non vorrebbero essere penalizzate, Google deve tener presente anche la sicurezza dei suoi utenti. Infatti, un sito hackerato ed infetto può diventare fonte di pericolo per chi ci naviga. Il portavoce di Google Jason Freidenfelds, sottolinea proprio questo importante punto: “Circa un miliardo di persone ricevono ogni giorno protezione contro Phishing e Malware, grazie agli avvisi che mostriamo loro sui siti web non sicuri”. In realtà, la “beffa” che i proprietari delle aziende attaccate sono costretti a subire è un ottimo modo per proteggere gli utenti del web, i primi utilizzatori di internet da tutelare. Purtroppo questo comporta un calo notevole del traffico del sito vittima, quindi dei profitti per l’azienda. Evitare ciò vuol dire investire nella sicurezza informatica, disilludendosi che il proprio business sia immune dall’essere violato. Un esempio è dato dalla storia di Eric Erickson, un commerciante di prodotti biologici contro alcune malattie. Il suo sito fu attaccato nel 2009, ed il suo business fu paralizzato. Solo dopo 60 giorni il suo sito tornò online, dopo aver speso diversi migliaia di dollari in perdita di profitti. A marzo la sua azienda viene attaccata di nuovo, ma lui era preparato: ha investito nella sicurezza dei suoi sistemi informatici e l’attacco è stato subito sventato. La blacklist, ovviamente, non ha visto il suo nome. Una volta nella blacklist, Google permetterà di sbloccare il sito solo dopo aver rimosso la minaccia e averlo reso sicuro per gli utenti. Questo comporta diversi step: identificare il malware ed il modo per rimuoverlo, determinare dove l’attacco è stato originato, cambiare la password e rilanciare infine il web site pulito. Come si usa dire nel campo medico, è meglio prevenire che curare, quindi è bene non essere “risparmiatori” sulla sicurezza dei sistemi informatici ed investire per garantire l’immagine ed i profitti dela propria attività. Ci sono aziende specializzate nella protezione dei sistemi informatici, che possono aiutarvi a valutare i rischi e le vulnerabilità degli stessi. In Italia c’è EasyAudit, il servizio professionale per la sicurezza informatica dei vostri portali, aree riservate, siti web o applicazioni. Scegliere EasyAudit vuol dire affidarsi a degli esperti del settore ed offrire una garanzia ai vostri clienti, grazie al Trustmark EasyAudit...

read more

Gestione del rischio informatico per tutti

Posted by on 8:00 am in Formazione | Comments Off on Gestione del rischio informatico per tutti

Gestione del rischio informatico per tutti

Che cosa è il rischio informatico? Si definisce rischio informatico qualsiasi rischio associato all’utilizzo della tecnologia informatica, il quale possa avere potenzialmente un impatto negativo sul business aziendale. In altre parole, riguarda la vulnerabilità del nostro sistema informatico ad eventi interni o esterni in guado di causare l’alterazione, il furto o l’indisponibilità di dati e di funzioni. La gestione del rischio informatico Data la natura incerta e l’evoluzione continua della tecnologia, la gestione del rischio IT rappresenta una sfida strategica in qualsiasi azienda. Si possono individuare quattro fasi che devono essere attuate in maniera ciclica: Analisi del rischio; Implementazione di procedure; Monitoraggio, revisione e verifica delle stesse; Correzione delle procedure applicate. Dieci regole fondamentali per la gestione del rischio informatico Il Risk Management è una materia complessa, che non può essere affrontata in un semplice articolo. Possiamo comunque fornire dieci spunti di riflessione che non possono mancare nella vostra strategia di analisi, individuazione e gestione del rischio informatico. Ogni processo informatico comporta dei rischi. Per una valutazione dei pro e contro, rispetto ad ogni agente di rischio individuato, è necessario tenere conto dell’impatto di: Costi di ripristino; Costi di down-time; Danni di immagine; Ritardi nei processi. Il piano di Disaster Recovery. Per le piccole e medie aziende si traduce in avere sempre a disposizione una o più unità di backup, aggiornate con regolarità e il cui funzionamento sia stato verificato. Chi vuole investire risorse in backup che non funziona? La gestione automatica degli aggiornamenti. Gli aggiornamenti dei sistemi non sono una scocciatura, servono a risolvere ben specifiche problematiche di sicurezza e funzionalità. Una protezione base contro malware ed attacchi. L’antivirus non è sufficiente per contrastare moderni attacchi informatici. Bisogna anche dotarsi di firewall evoluti, antivirus per il traffico web e la posta elettronica in grado di bloccare gli attacchi prima che raggiungano i PC aziendali. No alle troppe uova nel paniere. Troppi dati, applicazioni e funzioni affidate allo stesso sistema rappresentano un azzardo. Meglio frazionare il rischio, Se mancano le risorse affidarsi alle soluzioni Cloud. È molto più sicuro usare servizi online di posta elettronica e archiviazione documentale che improvvisate soluzioni “locali”. Posta elettronica e rete sono porte aperte per intrusioni esterne nel nostro sistema informatico, i dati memorizzati localmente sono un onere da gestire. Se mancano le risorse per implementare anche le salvaguardie più elementari è meglio affidarsi completamente a servizi esterni e utilizzare un semplice antivirus su ogni macchina. La configurazione e la manutenzione degli apparati non è secondaria alla loro presenza. In molti credono che basti comprare qualche appliance o servizio per risolvere ogni problema. Affidarsi a veri esperti per la configurazione e non a tecnici improvvisati. Il personale deve essere vincolato da una policy chiara e precisa per l’utilizzo della rete informatica. Nessuno escluso, dal manager alla segretaria. Non subire la “sicurezza di carta”. Compliance, leggi e standard ISO sono pensati per essere qualcosa di buono e positivo, è l’atteggiamento col quale vengono spesso implementati che li tramuta in qualcosa di costoso, noioso ed inutile. Qualsiasi standard internazionale di sicurezza va compreso ed applicato in maniera intelligente alla propria realtà. Avere un piano. La sicurezza informatica è prima di tutto un fatto culturale. Una figura manageriale si deve prendere l’onere di pensare e gestire la sicurezza ad alto livello nella sua azienda. E di spiegare a tutti gli altri il perché e che ruolo...

read more

Piccole aziende vs Hacker: sicure di non essere attaccate?

Posted by on 5:01 am in Formazione | Comments Off on Piccole aziende vs Hacker: sicure di non essere attaccate?

Piccole aziende vs Hacker: sicure di non essere attaccate?

Il mondo della internet security è colmo di miti, false credenze e… pericolose convinzioni. Ad esempio, una buona percentuale di piccole aziende crede ingenuamente di essere immune dalla malattia chiamata “attacco informatico”. Gli hacker preferirebbero vittime come grandi aziende, grandi rivenditori e governi. Ma quanto c’è di vero in questo? Risultati di statistiche recenti parlano chiaro: il 73% delle aziende attaccate ha meno di 1000 impiegati, e di queste, il 93% ne ha meno di 100. Ancora sicuri di essere immuni? Per gli hacker questo è un paradiso in Terra. Le piccole aziende non si proteggono, e questo vuol dire facilità di accesso ai sistemi. Nasce quindi la necessità di prendere precauzioni, onde evitare danni finanziari ed economici per le piccole aziende. Addestrare gli impiegati Gli hacker non utilizzano solo sofisticati algoritmi per compiere le loro imprese, ma sono abili nel conquistarsi la fiducia delle persone. Questa può essere una buona strategia d’attacco: fornendoci dati interessanti, nomi di colleghi o convegni a cui abbiamo partecipato, ad esempio, gli hacker potrebbero guadagnarsi la nostra fiducia. Per questo motivo, gli impiegati vanno addestrati al meglio per riconoscere i tentativi di ottenere informazioni riservate tramite e-mail, telefono o anche di persona. Gestione efficace dei sistemi informatici Addestrare gli impiegati non basta: bisogna anche tenere sotto controllo i sistemi informatici. Come? Ecco tre possibili (ed efficaci) strategie: Creare una lista di applicazioni consentite: questo permetterà di bloccare eventuali programmi malevoli. Come? Facile, le applicazioni che potranno essere eseguite sono solo quelle presenti nella lista. Aggiornare le applicazioni: i produttori di software risolvono periodicamente i problemi di sicurezza dei proprio programmi. È bene quindi installare le patch rilasciate dai produttori, così da rendere il sistema sicuro. Aggiornare il sistema operativo: come per le applicazioni, l’aggiornamento del S.O. è necessario per eliminare eventuali bug e falle nel codice, utilizzabili dagli hacker per entrare nel sistema. Accesso all’amministrazione: è bene che solo chi capisce le implicazioni di sicurezza abbia accesso all’amministrazione dei sistemi. Seguire questi consigli è un primo passo per rendere più sicura la vostra azienda. Se hai un portale, area riservata, sito web o applicazione da proteggere, richiedi una valutazione dei rischi a professionisti del settore. EasyAudit, ti aiuterà ad individuare le vulnerabilità del tuo sistema informatico. EasyAudit inoltre permette di ottenere il bollino Easy Audit Checked, una garanzia per i vostri...

read more

Gli errori più comuni nella IT Security

Posted by on 8:42 pm in Formazione | Comments Off on Gli errori più comuni nella IT Security

Una corretta gestione dei sistemi informatici di un’azienda deve considerare centinaia di variabili, ed è importante effettuare le giuste scelte per ognuna di esse. Qui di seguito c’è un elenco degli errori più comuni in materia di sicurezza informatica. Politiche di sicurezza e normative: Ignorare i requisiti di compliance normativa; Dare per scontato che dipendenti e manager leggeranno normative, policy e memo solo perché gli è si chiesto di farlo; Utilizzare modelli per la protezione senza personalizzarli; Adottare framework come ISO 27001/27002 senza essere pronti ai cambiamenti richiesti; Creare politiche di sicurezza che non è possibile far rispettare; Applicare politiche che non sono state ancora approvate; Realizzare politiche di sicurezza solo per spuntare una check-box tra “le cose da fare per l’azienda”; Ingaggiare qualcuno per realizzare le politiche di sicurezza, senza che questi conosca la propria attività o processi; In un ambiente multi-lingua può essere necessario tradurre le politiche di sicurezza nei diversi linguaggi. L’errore può essere la non coerenza tra le diverse traduzioni; Considerare ottime delle politiche di sicurezza solo perché hanno funzionato nell’anno precedente; Pensare che aver stabilito una politica di sicurezza voglia dire essere effettivamente sicuri; Pensare che le politiche non siano applicabili ai dirigenti; Nascondersi dagli auditor. Strumenti per la sicurezza: Distribuire un prodotto di sicurezza senza prima averlo messo a punto e testato; Impostare l’IDS (Intrusion Detection System) per essere troppo, o troppo poco, selettivo; Acquistare prodotti di sicurezza senza considerare la manutenzione ed i costi di implementazione; Acquistare prodotti di sicurezza pensando che questi non abbiamo ed introducano problematiche di sicurezza; Affidarsi unicamente ad Anti-virus e Firewall, senza effettuare ulteriori controlli; Installare prodotti di sicurezza senza configurarli; Esegui scansioni di vulnerabilità regolari, ma non tener conto dei risultati; Lasciare che i software/hardware per la sicurezza lavorino in automatico; Utilizzare diverse tecnologie senza comprenderne le implicazioni di sicurezza; Acquistare un prodotto costoso quando uno più economico avrebbe potuto risolvere il problema, solo perché venduto da “IBM”. Gestione dei rischi: Utilizzare una stessa politica di sicurezza per tutte le risorse IT e tutte le divisioni dell’azienda, senza tener conto dei profili di rischio di ognuna; Ingaggiare un responsabile alla sicurezza, senza fornirgli il potere di prendere decisioni; Pensare che la propria azienda è troppo piccola e insignificante per proteggerla; Non preoccuparsi perché non si è stati violati di recente; Essere paranoici senza considerare il valore del bene o il suo fattore di esposizione; Classificare tutti i dati come top secret. Pratiche di sicurezza: Non effettuare controlli periodici sui sistemi, appliances, apparati di rete, applicazioni e database; Bloccare le infrastrutture in modo così stretto a tal punto che ottenere il lavoro diventa difficile, o impossibile; Rispondere “no” ogni qual volta viene fatta una richiesta; Imporre condizioni di sicurezza senza fornire gli strumenti e la formazione necessari; Concentrarsi su i meccanismi di prevenzione, ignorando i controlli periodici; Non avere una DMZ (Demilitarized Zone) per i server accessibili da Internet; Dare per scontato che il vostro gestore delle patch stia lavorando, così da non controllarlo; Eliminare i file di log perché sono troppo grandi da leggere; Credere che SSL risolva tutti i problemi di sicurezza delle applicazioni web; Vietare l’uso di unità USB, senza limitare l’accesso ad Internet; Prevaricare con le proprie decisioni i responsabili della rete, dei sistemi e dei team di sviluppo; Non tenersi aggiornati sulle nuove tecnologie e...

read more

Attacchi informatici dall’interno: gli 8 che hanno fatto la storia

Posted by on 9:13 am in Formazione | Comments Off on Attacchi informatici dall’interno: gli 8 che hanno fatto la storia

Dipendenti e dirigenti che diventano pericolosi ladri di informazioni o sabotatori di sistemi informatici. Queste sono le 8 storie più famose di attacchi informatici dall’interno, dove i protagonisti passano alla storia e nei peggiori dei casi rimangono a vita dietro le sbarre di una prigione. Terry Child – Password? Quali password? 2008, l’amministratore di rete Terry Child cambia le password di router e switch del network di FibreWAN rifiutandosi successivamente di riferirle ai suoi supervisori. Questo gesto blocca le reti e da’ filo da torcere al Dipartimento delle Telecomunicazioni e Servizi Informatici di San Francisco. Child viene arrestato e condannato. Jerome Kerviel – L’uomo da 7,2 miliardi di dollari Kerviel è l’artefice di un exploit da 7,2 miliardi di dollari ai danni della Societe Generale, una delle più grandi banche francesi. Kerviel diventa l’uomo francese più odiato, e la sua foto segnaletica, il simbolo delle disgrazie del settore finanziario e dell’economia globale. Uscito di prigione, Kerviel inzia a lavorare con un’azienda di sicurezza informatica e sviluppo di sistemi. Shawn Carpenter – Investigatore privato improvvisato 2004, i Sandia Nation Laboratories subiscono una serie di attacchi hacker. Shawn Carpenter, all’epoca analista della sicurezza informatica per Sandia, decide di intraprendere un’investigazione privata. Ciò che scopre è che un gruppo di cinesi ha rubato dei documenti del governo U.S.A. dai server della società. Carpenter condivide l’informazione con l’esercito americano e l’FBI: di risposta, Sandia lo licenzia nel 2005 per “utilizzo inappropriato di informazioni confidenziali”. Nel 2007 però, una giuria riconosce i suoi meriti e gli assegna 4,7 milioni di dollari, diventando eroe nazionale. Bruce Gabbard – Intercettazioni telefoniche non autorizzate 2007, l’azienda Wal-Mart dichiara che per 4 mesi del 2006 uno dei suoi tecnici, Gabbard, ha monitorato e registrato le conversazioni telefoniche tra un addetto alle pubbliche relazioni di Wal-Mart e un report del New York Time. Gabbard viene licenziato e sanzionato dai suoi superiori, i quali riportano che le registrazioni non sono mai state autorizzate dalla compagnia. Attualmente Gabbard è il proprietario del Forensic Survey, un’azienda di investigazione informatica. Sergey Aleynikov – Ladro di Golden Code Sergey Aleynikov, un ex programmatore di alto livello della Goldman Sachs, tenta di rubare un codice che consentirebbe di attuare transazioni veloci e su grandi volumi di materie prime e mercati azionari. Aleynikov viene arrestato, ma esce di galera su cauzione dichiarandosi innocente. Robert Hanssen – Il traditore Una storia da film quella di Robert Hanssen, agente FBI che ha lavorato come spia per l’Unione Sovietica ed anche per l’attuale Russia. A tradirlo il suo palmare PDA, dove nascondeva le informazioni rubate. Adesso è in prigione con ergastolo senza condizionale per alto tradimento. Rajendrasinh Makwana – Un attacco premeditato Rajendrasinh Makwana viene incriminato dai federali per aver piantato un programma-bomba su i server della Fannie Mae. Il 31 gennaio 2009 il codice avrebbe disabilitato gli avvisi di monitoraggio e tutti i log-in, cancellato le password di root per circa 400 server, rimosso tutti i dati e sovrascritto i dati di backup con degli zeri. Un attacco da milioni di dollari di danni, che per sua sfortuna è stato bloccato da un dipendente che l’ha scoperto per caso. Makwana è stato arrestato e dopo rilasciato su cauzione per 100.000$ ed è attualmente in attesa del processo. Arthur Riel – “È per una buona causa” 2003, un dirigente IT...

read more

Sondaggio Tripwire: il 64% dei professionisti IT non comunica i rischi per la sicurezza informatica

Posted by on 3:08 pm in Formazione | Comments Off on Sondaggio Tripwire: il 64% dei professionisti IT non comunica i rischi per la sicurezza informatica

Tripwire, uno dei maggiori fornitori di soluzioni per la gestione della sicurezza informatica, ha rilasciato recentemente i risultati di un nuovo sondaggio fatto con il Ponemon Institute. Lo studio ha esaminato il divario esistente tra l’impegno delle organizzazioni per la gestione della sicurezza informatica e la capacità di sviluppare la collaborazione, gli strumenti di comunicazione e la cultura necessari per la protezione dell’azienda. Sono stati intervistati 749 professionisti U.S.A e 571 del Regno Unito in diversi settori, come: sicurezza IT, operazioni IT, gestione del rischio IT, operazioni di business e gestione del rischio d’impresa. La gestione dei rischi legati alla sicurezza informatica è un problema complesso, nel quale la prevedibilità ed i risultati sono in costante cambiamento” afferma Larry Ponemon, fondatore dell’istituto Ponemon. “Questo significa che anche le più sicure organizzazioni sono a rischio, vista la grande quantità di variabili in gioco. All’interno di un’azienda è quindi fondamentale una buona comunicazione e collaborazione.” I risultati del sondaggio Il 64% degli intervistati ha dichiarato che non comunica i rischi per la sicurezza con i dirigenti, o li comunica solo in presenza di un serio problema. Il 47% ha affermato che la collaborazione tra il management della sicurezza e i dirigenti è insufficiente, non esistente o contraddittoria. Il 51% ha definito la comunicazione dei rischi rilevanti, come non efficiente. Perché la comunicazione non è efficiente? Il 68% degli intervistati ha affermato che le comunicazioni sono troppo isolate. Per il 61% le informazioni comunicate sono troppo tecniche per essere comprese dal management non tecnico. Il 59% ha dichiarato che le informazioni vengono filtrate prima di essere divulgate ai dirigenti o al CEO. Dwayne Melancon, CTO di Tripwire ha osservato: Da questo rapporto è chiaro che la maggior parte delle aziende non considera i rischi della sicurezza informatica nelle decisioni di business quotidiane. Cambiare questa mentalità, richiede ai professionisti IT di sviluppare nuove competenze di comunicazione, così da poter parlare dei rischi della sicurezza in termini rilevanti per gli obiettivi aziendali.” Comunicare i rischi della sicurezza informatica è importante per l’attività di una azienda. Le organizzazioni quindi, dovrebbero prendere coscienza delle loro reali carenze in questo campo ed attuare politiche che permettano una comunicazione più efficace tra il management della sicurezza informatica e i dirigenti. Se hai un portale, area riservata, sito web o applicazione da proteggere, richiedi una valutazione dei rischi a professionisti del settore. In Italia EasyAudit, vi aiuterà ad individuare le vulnerabilità del vostro sistema informatico. EasyAudit inoltre permette di ottenere il trustmark Easy Audit Checked, una garanzia per i vostri...

read more

SQL Injection: la vulnerabilità più diffusa negli ultimi 10 anni

Posted by on 3:31 pm in Formazione | Comments Off on SQL Injection: la vulnerabilità più diffusa negli ultimi 10 anni

10 anni fa è stata pubblicata la prima ricerca sulle SQL Injection. Un decennio dopo questa vulnerabilità è ancora una delle più diffuse: un pericolo per le aziende ed i network. Che cos’è una SQL Injection? SQL Injection è la vulnerabilità più sfruttata nelle applicazioni web che utilizzano database relazionali. Un hacker può inviare al database comandi SQL arbitrari che verranno eseguiti dal server, esponendolo i dati a rischi che possiamo ben immaginare (accesso non autorizzato, la perdita di tutti i dati, etc). Un attacco SQL Injection può verificarsi quando un’applicazione web utilizza i dati forniti dall’utente senza un’adeguata convalida o codifica. Gli aggressori forniscono dati di input appositi per ingannare l’interprete SQL ed eseguire comandi non presenti nel codice originale dell’applicazione. L’interprete non sarà in grado di distinguere il codice malevolo dal codice buono, e li eseguirà senza problemi. Se l’attacco va a buon fine, il malintenzionato potrà creare, leggere, aggiornare o modificare i dati memorizzati nel database. La SQL Injection permetterebbe di accedere ad informazioni sensibili come password, numeri di previdenza sociale, anagrafiche dei clienti e dati di produzione, carte di credito o altri dati finanziari. Quando nasce la SQL Injection? L’inventore delle SQL Injection è probabilmente Rain Forest Puppy, un esperto di sicurezza informatica che per primo descrisse la tecnica di attacco in un articolo su Phrack, nel 1998: NT Web Technology Vulnerabilities (nota: l’articolo è molto tecnico). Attacchi basati sulle SQL Injection hanno violato i più svariati sistemi informatici di aziende e compagnie di tutto il mondo. Ecco cosa è successo in 10 anni: Febbraio 1998: Rain Forest Puppy rilascia i primi documenti sulle SQL Injection; Marzo 2002: L’azienda di moda Guess viene violata e 200.000 carte di credito sono a rischio; Luglio 2005: il sistema informatico dell’University of Southern California presenta applicazioni vulnerabili; Dicembre 2006: hacker hanno accesso a 800.000 record di studenti dell’UCLA (University of California, Los Angeles); Giugno 2007: il sito di Microsoft UK viene modificato e cancellato tramite SQL Injection; Aprile 2008: sono 500.000 i siti web infetti da Malware grazie a vulnerabilità di SQL Injection; Anno 2008: viene violato l’Heartland Payment System. Rubati 130 milioni di carte di credito; Agosto 2010: mezzo milione di siti web sono colpiti da SQL Injection automatizzate; Novembre 2010: viene attaccato il sito web della Royal Navy; Marzo 2011: viene rubata la lista delle email dei clienti Expedia; Marzo 2011: Oracle acquisisce MySQL, oracle.com viene compromesso tramite SQL Injection; Aprile 2011: centinaia di migliaia di web site vengono attaccati in massa; Aprile 2011: violato il produttore di firewall applicativi Barracuda Network; Maggio 2011: viene violata la Certification Authority Comodo (in grado di emettere certificati SSL per qualsiasi sito su Internet) attraverso un suo partner in Brasile; Maggio 2011: vengono violati sei siti di Sony: Sony BGM Greece, Sony Music Japan, Sony Canada, Sony Pictures France, Sony Pictures Russia, Sony Music Portugal. Giugno 2011: violati: PBS, il CanadianConservative Party, il sito web della CNN l’azienda di videogiochi Sega. Un hacker malevolo ha tutti gli strumenti per sfruttare le vulnerabilità della vostra applicazione web con attacchi di tipo SQL Injection, per questo bisogna sviluppare le applicazioni in modo sicuro ed effettuare verifiche della sicurezza con una periodicità certa. Se ritenete che il vostro sistema possa essere a rischio, fate valutare i sistemi informatici della vostra azienda a professionisti della IT security: Easy Audit vi aiuterà a individuare le vulnerabilità dei vostri sistemi. Il tutto...

read more

Succederà ad altri, non alla mia azienda!

Posted by on 6:48 pm in Formazione | Comments Off on Succederà ad altri, non alla mia azienda!

In che modo le scelte che compiamo possono influenzare la nostra vita? Dipende. Esistono scelte giuste e scelte sbagliate. A volte, inoltre, queste scelte si incontrano con quelle di altri, portando così ai più svariati risultati. Qualsiasi sia il punto di arrivo, esso non è casuale, perché influenzato dal modo in cui abbiamo deciso di operare. Così un’azienda può scegliere di proteggere i propri dati sensibili… o no. Affrontare il problema della sicurezza informatica affermando “Succederà ad altri, non alla mia azienda!”, conduce sulla strada di un imminente disastro. Se un hacker decidesse di attaccare proprio l’organizzazione non protetta, i danni finanziari e alla reputazione sarebbero inevitabili. Se la scelta di non proteggere il proprio sistema, incontra la scelta di un hacker malintenzionato a manometterlo. Il risultato è facilmente immaginabile. Gli attaccanti d’altronde preferiscono obiettivi poco protetti e che espongono vulnerabilità facilmente identificabili e sfruttabili. Questo è stato l’argomento principale del Black Hat USA 2013, la più grande e famosa conferenza sulla sicurezza informatica tenuta a Las Vegas, Nevada. Tripwire ha realizzato un sondaggio su un campione di partecipanti, scoprendo che metà di loro si aspetta che nei prossimi sei mesi la propria attività venga attaccata. Secondo il 2013 Verizon Data Breach Investigation Report, gli attacchi che sfruttano vulnerabilità sono i più comuni contro le organizzazioni e sono la causa del 52% delle 621 violazioni e dei 47.000 incidenti indicati nel report. Nonostante i dati dimostrino come sia imprudente non proteggere i sistemi informatici, circa il 50% degli intervistati crede di non essere a rischio, rimanendo ottimista per quanto riguarda la sicurezza informatica della propria azienda. “Succederà ad altri, non alla mia azienda!”. Una frase che inibisce i reali progressi nella sicurezza informatica e consente agli hacker di persistere indiscreti nelle organizzazioni, incrementando così la pericolosità d’impatto delle violazioni. E voi cosa avete scelto? Sperare di non essere mai attaccati, o cercare di attuare delle politiche di protezione adeguate alla salvaguardia delle informazioni sensibili? Un consiglio: fate valutare i sistemi informatici della vostra azienda a professionisti della IT security, Easy Audit vi aiuterà a individuare le vulnerabilità dei vostri sistemi. Il tutto garantito dal bollino Easy Audit Checked, una garanzia per i vostri...

read more

Investire nella sicurezza informatica: le false credenze delle aziende

Posted by on 8:00 am in Formazione | Comments Off on Investire nella sicurezza informatica: le false credenze delle aziende

Studi, sondaggi e statistiche confermano come il problema della sicurezza informatica sia sottovalutato dalle aziende, nonostante l’argomento sia da tempo sdoganato. Dati allarmanti pervengono dal sondaggio realizzato da Kapersky Lab: ne risulta che la maggior parte delle aziende è inconsapevole dei reali rischi di una mancata protezione dei propri sistemi, e tende a non investire nella sicurezza informatica. I risultati del sondaggio parlano chiaro: il 60% delle aziende intervistate non ha tempo e denaro da investire nello sviluppo di politiche e misure per la sicurezza informatica. Il dato che lascia maggiormente perplessi, è che solo il 34% dei governi e delle organizzazioni mondiali per la difesa presenta degli adeguati sistemi di protezione. Proprio dove investire nella sicurezza informatica dovrebbe essere la priorità assoluta, per proteggere una grande mole di dati confidenziali. Chi invece ha deciso di realizzare politiche di protezione, non ha a disposizione risorse adeguate, e per circa la metà degli intervistati il budget è insufficiente. C’è anche chi non ha fondi extra da investire nella sicurezza informatica, e si tratta del 16%. L’inconsapevolezza dei reali rischi dovuti ad una mancata protezione potrebbe avere importanti conseguenze dal punto di vista finanziario e della reputazione. Il 91% delle organizzazioni ha ricevuto almeno un attacco informatico dall’esterno, mentre l’85% ha ammesso di aver ricevuto un attacco dall’interno negli ultimi 12 mesi. “Un quarto delle aziende considera ancora i problemi di sicurezza come cose che accadono ad altri – anche se sempre più stanno iniziando a capire che sono un problema reale per qualsiasi azienda.” ha riferito David Emm, ricercatore per la sicurezza al Kapersky Lab. Sempre secondo Emm, il 28% delle organizzazioni pensa ingenuamente che il costo per la protezione dagli attacchi informatici sia superiore alle potenziali perdite a cui si può andare incontro. Le aziende dovrebbero quindi prendere coscienza delle loro reali carenze nella sicurezza informatica ed attuare delle politiche di protezione adeguate alla salvaguardia delle informazioni sensibili. Se hai un portale, area riservata, sito web o applicazione da proteggere, richiedi una valutazione dei rischi a professionisti del settore. In Italia EasyAudit, vi aiuterà ad individuare le vulnerabilità del vostro sistema informatico: investire nella sicurezza informatica sarà economico grazie ai costi contenuti di EasyAudit! EasyAudit inoltre permette di ottenere il bollino Easy Audit Checked, una garanzia per i vostri...

read more

Segnalare una violazione: tempi più stretti nell’Ue

Posted by on 6:24 pm in Comunicazioni | Comments Off on Segnalare una violazione: tempi più stretti nell’Ue

Disponibile online il nuovo White Paper Segnalare una violazione: tempi più stretti nell’Ue  sulle nuove normative che prevedono tempi più brevi e ben definiti entro cui segnalare eventuali violazioni della propria sicurezza informatica e dei dati dei clienti Ogni giorno le compagnie di servizi informatici segnalano alle autorità competenti la violazione di dati sensibili. Dalla violazione all’effettiva segnalazione però può trascorrere parecchio tempo, rallentando quindi la reazione delle persone coinvolte nell’attacco. Già registrato? Accedi al White Paper e scarica il PDF! Voglio iscrivermi gratuitamente per ricevere i contenuti! Da tempo il tema era oggetto di dibattito: in Europa infatti non esisteva alcun limite temporale entro il quale i provider erano tassativamente tenuti a segnalare l’attacco, suscitando le lamentele di numerosi clienti. Non è semplice però stabilire quale sia il termine corretto per far presente alle autorità giudiziarie un’avvenuta violazione: negli Stati Uniti, dove si sono posti il problema in anticipo rispetto a noi, ogni stato fa storia a sé. Il risultato è una notevole varietà di norme: in certi stati per esempio è sufficiente notificare “prima o poi” l’avvenuto attacco, in altri vi è invece una scadenza intorno ai 45 giorni. Nei ventotto stati dell’Unione si è quindi deciso di affrontare con forza il problema, imponendo una deadline molto stretta per le compagnie di servizi informatici: non più di un giorno tra la violazione e la segnalazione all’autorità. La risposta dei provider a chi ne critica la lentezza nelle notifiche non si è però fatta attendere: operare in tempi troppo stretti è impossibile, dicono, e a farne le spese sarebbe proprio il consumatore. La ragione è la difficoltà nel riconoscere rapidamente un attacco informatico, individuando chi ne sia stato effettivamente vittima. Imporre un limite così stretto, soltanto ventiquattro ore, rischia di rendere impossibile un’autentica comprensione del tipo di minaccia, generando inevitabilmente una serie di falsi allarmi. Sarebbe poi impossibile fornire delle segnalazioni che siano precise e complete. Todd Hinnen, un partner di Perkins Coie intervistato da SCMagazine, si dice favorevole a un limite temporale massimo per le notifiche, ma a patto che questo non impedisca un lavoro di investigazione congruo. Il tempo giusto della notifica può variare, sostiene, “ma non dovrebbe avvenire comunque oltre le 72...

read more

Password: la lunghezza non basta

Posted by on 6:11 pm in Comunicazioni | Comments Off on Password: la lunghezza non basta

Disponibile online il nuovo White Paper Password: la lunghezza non basta . Le passphrase, ovvero le password composte da più parole di uso comune non sono più così sicure È convinzione diffusa che, quando si parla di password, a maggiore lunghezza corrisponda maggiore sicurezza. Perché allora non usare una serie di caratteri lunghissima ma allo stesso tempo facile da ricordare? Ci si potrebbe sbizzarrire, passando dai primi versi di 'Fratelli d'Italia' alla formazione della Grande Inter, a seconda dei gusti. Già registrato? Accedi al White Paper e scarica il PDF! Voglio iscrivermi gratuitamente per ricevere i contenuti! Purtroppo un nuovo cracker di password completamente gratuito, ocl-Hashcat-plus, complicherà non poco la vita a chi si era affidato troppo a combinazioni molto lunghe ma prevedibili. La vecchia versione del software aggrediva con efficacia password da 15 caratteri, senza però spingersi oltre. Quello attuale arriva fino a 55, decriptando anche password un tempo considerate inavvicinabili. Il cambiamento non è di poco conto: quello di usare una frase invece di una semplice parola, infatti, è uno dei più classici suggerimenti per chi vuole mettere in sicurezza il proprio account senza correre il rischio di dimenticare la combinazione utilizzata. Capire come ragiona questa nuova versione potrà servire a chi vuole proteggersi con più efficacia: il software infatti si crea un database di possibili parole battendo in lungo e in largo vocabolari, enciclopedie o addirittura forum, alla ricerca delle combinazioni di lettere più comuni. Il segreto quindi non è tanto quello di cercare serie alfanumeriche molto lunghe, quanto di concentrarsi su qualcosa che è impossibile trovare sul web. Un’intera terzina della Divina Commedia, lunga ma ben presente in rete, non ci metterà affatto al sicuro (al massimo una volta scoperta ci farà fare bella figura con il programma di cracking). Una parola storpiata che dicevamo da bambini invece sarà molto più difficile da individuare per il software, senza che questo la renda più complicata da ricordare. Le nostre singole vite sono probabilmente il bagaglio di parole più inavvicinabile per un motore di ricerca (per valutarne rapidamente la rintracciabilità sul web provate a cercare il termine prescelto su Google, osservando il numero di risultati a cui rinvia). Lasciate perdere quindi eroici sforzo di memoria, per essere al sicuro è molto più utile un po’ di...

read more

Stretta sulla privacy: vita dura per le truffe on-line

Posted by on 5:29 pm in Comunicazioni | Comments Off on Stretta sulla privacy: vita dura per le truffe on-line

Disponibile online il nuovo White Paper Stretta sulla privacy: vita dura per le truffe on-line sulle novità introdotte dal Decreto Legislativo 93 del 14 Agosto 2013 Sono entrati recentemente in vigore una serie di interventi legislativi volti a migliorare la tutela della privacy. Le novità sono sicuramente significative e riguardano potenzialmente ogni società impegnata in un’attività commerciale. Vediamo nel dettaglio cosa prevede la nuova normativa. Già registrato? Accedi al White Paper e scarica il PDF! Voglio iscrivermi gratuitamente per ricevere i contenuti! Cambia la normativa, infatti, per i reati che contemplano la frode informatica con sostituzione di identità digitale, la falsificazione di carte di credito e i delitti sulla privacy. Per queste violazioni infatti può configurarsi la responsabilità delle società a norma del D. L. 231/2001: non ci sarà quindi soltanto una sanzione penale diretta per il manager o il dipendente che si è reso in prima persona colpevole della condotta criminosa, ma scatterà anche una sanzione amministrativa per la società di cui fa parte (a cui si contesta una sorta di “responsabilità oggettiva”). Per i primi due reati, la frode informatica con sostituzione d’identità digitale e la falsificazione di carte di credito, non ci sono conseguenze rilevanti a livello operativo. Diverso il discorso per quanto concerne i delitti riguardanti la privacy: la società infatti andrà incontro a sanzioni anche se un suo dipendente dovesse trattare in modo illecito i dati dei clienti. Risulta chiaro come questa eventualità possa riguardare qualsiasi attività, modificando in modo permanente il comportamento di chi opera online. Per prevenire la sanzione infatti per le società non sarà più sufficiente adottare i modelli 231 previsti nel Dlgs del 2001: ad essi dovranno essere affiancati i nuovi modelli organizzativi, necessari proprio per contrastare i reati di nuova introduzione. L’intento della norma è quello di accrescere nei consumatori la fiducia nell’utilizzo dei servizi online, limitando le frodi che oggi comprimono un settore senza dubbio in rapida espansione. La sanzione infatti può raggiungere proporzioni notevoli: il giudice può comminare una multa compresa tra le cento e le cinquecento quote (la quota può avere un valore compreso tra i 258 e i 1.549 euro), con una sanzione che può quindi oscillare tra i 25.800 e i 774.500...

read more

La protezione dei dati sensibili sottovalutata dalle aziende

Posted by on 8:00 am in Formazione | Comments Off on La protezione dei dati sensibili sottovalutata dalle aziende

Shred-it, una compagnia per la distruzione di documenti confidenziali, ha condotto uno studio che svelerebbe come le piccole aziende americane affrontano il problema della protezione dei dati sensibili. I risultati sono allarmanti: circa il 69% dei proprietari non crede, o non è consapevole, che sia possibile perdere dati o addirittura esserne derubati. Questo atteggiamento passivo rende le aziende vulnerabili e soggette a potenziali danni economici e di conseguenza, alla credibilità del brand. Questo falso senso di sicurezza è confermato dai dati statistici pervenuti dagli studi Shred-it: Il 40% delle aziende non ha protocolli che regolino la protezione dei dati sensibili. Più di 1/3 delle aziende non addestra lo staff sulle procedure per la sicurezza informatica. Il 48% delle aziende non possiede un management della sicurezza dei dati. Solo il 18% vorrebbe che vengano varate nuove leggi a garanzia della privacy dei dati, infliggendo pesanti sanzioni a chi minaccia la sicurezza di un’azienda, così da scoraggiare i malintenzionati. Mike Skidmore, funzionario per la Privacy e Sicurezza di Shred-it ha dichiarato: “Abbiamo visto un consistente aumento di piccole aziende sprovviste di protocolli per la protezione dei dati sensibili. Un primo step sarà quello di consapevolizzare sulle politiche e procedure per la stessa. Le organizzazioni affrontano tanti rischi, ma salvaguardare i dati sensibili può evitare potenziali danni finanziari e alla reputazione.” Attualmente, le aziende operano in filiere sempre più grandi, fornendo servizi a venditori e condividendo informazioni per facilitare le transazioni. Questo è causa di un inevitabile aumento dei rischi legati alla sicurezza dei dati, che dovrebbe essere compensato da aumento degli standard di sicurezza informatica. Le aziende devono rivalutare i rischi connessi a queste pratiche: chi garantisce che i partner implementino un’ adeguata protezione dei dati sensibili? Quello di cui si necessita è una politica di vasta portata, che riguarda fornitori e partner, così che i dati degli utenti siano protetti. Le aziende stanno cercando di attivare politiche e processi per migliorare la protezione dei dati sensibili. Professionisti nel settore possono aiutare le aziende nella tutela delle reti aziendali e applicazioni web. In Italia, Easy Audit è la scelta migliore per valutare le vulnerabilità del vostro portale, area riservata, sito web o applicazione. Il tutto a costi contenuti e con una garanzia per i vostri clienti, grazie alla certificazione Easy Audit...

read more

OWASP Top 10 2013: Le maggiori minacce per i sistemi informatici!

Posted by on 12:51 pm in Formazione | Comments Off on OWASP Top 10 2013: Le maggiori minacce per i sistemi informatici!

OWASP è l’ente mondiale che produce risorse, articoli e materiali per il miglioramento della sicurezza dei software web e quest’anno ha stilato una nuova Top 10 delle principali minacce alla sicurezza dei sistemi informatici. Negli ultimi dieci anni i problemi di sicurezza si sono complicati ed è diventato sempre più difficile rendere le applicazioni sicure da parte delle organizzazioni. Così OWASP cerca di diffondere la consapevolezza delle minacce informatiche e favorirne una buona gestione. Vediamo in breve quali sono le voci di questa classificazione: Injection – Meglio conosciuta come SQL Injection, si verifica quando un hacker riesce ad inviare una query arbitraria al database. Riguarda principalmente database di tipo DBMS utilizzati per memorizzare e gestire i dati di un’applicazione web. Se le query non sono oppurtunamente filtrate, l’hacker potrà ottenere e modificare le informazioni salvate o aggiungerne di nuove. Conseguenze: accesso a dati sensibili e password, pagine web dinamiche che genereranno codice malevolo per attaccare gli utenti, furto di carte di credito, accesso non autorizzato ad aree amministrative. Broken Authentication and Session Management – Viene a verificarsi quando non c’è una corretta gestione delle sessioni, come la la mancata protezione delle credenziali e dei token o cookie di sessione. Cross Site Scripting (XSS) – Se i dati in input non vengono controllati, il malintenzionato hacker potrà inviare script pericolosi al browser dell’utente. Così potrà rubare credenziali, dati sensibili e forzare il la vittima ad effettuare download di malware. Insecure Direct Object Reference – Uno sviluppatore può utilizzare riferimenti diretti a file, directory, record di database ed altre risorse. Se non ci sono controlli sui riferimenti, un hacker potrebbe manipolare o accedere senza controllo alle risorse dell’applicazione web. Security Misconfiguration – Questa vulnerabilità riguarda il lato server ed i sofwtware installati su di esso. Ogni applicazione dovrà essere sempre aggiornata e configurata nel modo corretto. Sensitive date exposure – Chi progetta un’applicazione web deve evitare la mancata protezione sui dati sensibili degli utenti, come codici di carte di credito. Missing Function Level Access Control – Quando utilizziamo l’account di un sito a cui siamo registrati, abbiamo la possibilità di utilizzare determinate funzionalità. È molto importante che vengano effettuati controlli sui permessi di utilizzo di ogni singola funzione implementata nell’applicazione web. Questo per fare si che un utente possa accedere solo alle funzionalità per cui è autorizzato. Cross Site Request Forgery – È un’attacco che forza un utente ad eseguire operazioni indesiderate su un sito web sul quale è loggato, a sua insaputa. Per fare questo, l’aggressore sfrutta l’ingegneria sociale, come e-mail o chat. Using Components with Known Vulnerabilities – Una scelta di pericolosità ovvia. Usare componenti con delle vulnerabilità è molto pericoloso, perché potrebbero essere sfruttate per manomettere il sistema. Unvalidated Redirects and Forwards – Avviene quando l’applicazione permette di redirigere il browser dell’utente verso altri siti web. Se questa pratica non è controllata un malintenzionato potrebbe indirizzare l’utente verso pagine con malware o ideate per campagne di phishing, anche con grafica molto simile all’applicazione o al sito originale. OWASP ha certamente aiutato a creare informazione tra sviluppatori, professionisti dell’IT, utenti e dirigenti con la Top 10 delle minacce ai sistemi informatici web. Oggi, per verificare se il vostro portale, area riservata, sito web o applicazione sono affetti da queste problematiche potete affidarvi a professionisti ad un costo contenuto. EasyAudit è...

read more

Italiano lingua difficile? Non per gli hacker!

Posted by on 7:25 pm in Comunicazioni | Comments Off on Italiano lingua difficile? Non per gli hacker!

Disponibile online il nuovo White Paper Italiano lingua difficile? Non per gli hacker! , è stato dimostrato che, usate come password, le parole da dizionario italiane sono violabili praticamente al pari di quelle inglesi: Recentemente un ricercatore dell’università di Cambridge, Joseph Bonneau, si è chiesto quali siano le lingue più adatte per creare password a prova di hacker. Per farlo ha analizzato un campione di 70 milioni di account forniti da Yahoo (rigorosamente anonimi), utilizzando un programma che si basa su dizionari diversi a seconda della lingua di riferimento dell’utente. Già registrato? Accedi al White Paper e scarica il PDF! Voglio iscrivermi gratuitamente per ricevere i contenuti! Il ricercatore ha così calcolato quante password venivano scoperte dopo mille tentativi: l’italiano si trova al secondo posto delle lingue più facili da violare, con ben il 7,2% di password decriptate, preceduto solo dall’indonesiano. “Incredibile”, penserà qualcuno, “per una volta l’Italia in cima a una classifica!”. Al di là del poco invidiabile primato però, occorre fare una riflessione: la password è spesso l’unica barriera a protezione della nostra identità informatica, e troppe volte in nome della comodità (“uso sempre la stessa parolina se no me la dimentico”) rinunciamo alla sicurezza. Un recente articolo dell’Economist ha rivelato come moltissime persone utilizzino ancora password che sarebbe in grado di crackare anche un bambino, come “123456” o “password”. L’intento della ricerca infatti non è tanto quello di farci adottare parole chiave in cinese o coreano, a quanto pare le lingue più sicure, ma quello di individuare gli utenti mediamente più prudenti. Potrebbero esistere infatti alcune ragioni che rendono l’italiano un po’ più decriptabile rispetto ad altre lingue: ad esempio il fatto che si utilizzino solo 21 lettere e non 25, oppure che praticamente ogni parola italiana termini in vocale, limitando il numero di varianti possibili. Queste caratteristiche della nostra lingua però non sono certo degli ostacoli insormontabili per chi vuole una password sicura. Posto infatti che “mamma” o “pizza” siano statisticamente leggermente più facili da indovinare di “mother” o “wurstel”, si potrebbe facilmente rendere la vita più difficile all’hacker di turno senza dover ricorrere a parole esotiche, inserendo dei numeri o dei segni di punteggiatura abbinati all’alternanza tra maiuscolo e minuscolo. Provate un bel “ARC!P£L$G=” , e vedrete che nessuno riuscirà a violare il vostro account! (Es: “arcipelago” in maiuscolo con numeri al posto delle...

read more

Easyaudit: la ricetta vincente per la sicurezza informatica

Posted by on 7:17 pm in Comunicazioni | Comments Off on Easyaudit: la ricetta vincente per la sicurezza informatica

Disponibile online il nuovo White Paper Easyaudit: la ricetta vincente per la sicurezza informatica , per chi vuole essere sicuro senza spendere un capitale: Easyaudit ti permette di risparmiare senza rinunciare a un servizio personalizzato: il nostro segreto è sfruttare l’automatismo delle tecnologie più avanzate, intervenendo quando è necessario in modo manuale. Il risultato finale è una qualità migliore, con costi e tempi ridotti al minimo! Già registrato? Accedi al White Paper e scarica il PDF! Voglio iscrivermi gratuitamente per ricevere i contenuti! EasyAudit WEB Verifichiamo la sicurezza del tuo dominio, di un’applicazione o di un CMS; Valutiamo con un punteggio da 1 a 10 la vulnerabilità del vostro sito seguendo i principali standard di valutazione del rischio; Mettiamo alla prova la sicurezza di applicazioni personalizzate e non, come ad esempio WordPress, Joomla, Magento, SilverStripe, ZenCart, OpenCart; EasyAudit NET Verifichiamo la rete esterna fino a otto IP o più; Controlliamo la sicurezza di servizi, server e apparati di rete; Verifichiamo la corretta applicazione delle regole di Firewalling e VPN; Redigiamo entro una settimana un report preciso del nostro lavoro, attenti a renderlo comprensibile anche ai non addetti ai lavori. Chi siamo e come lavoriamo? Siamo un’“intelligenza collettiva” composta da professionisti con più di 10 anni di esperienza; Utilizziamo le migliori metodologie: OWASP, OSSTMM e PTES; Ci serviamo di un aggregato di oltre 10.000 euro di licenze, unito a verifiche applicative come SQL Injection e XSS e a strumenti di attacco Open Source; Uniamo in un modello ibrido l’automatismo delle tecnologie più avanzate alla flessibilità che solo l’apporto umano può offrire. Perché costiamo meno degli altri? Sai quanto costa una consulenza completa che ti garantisca la sicurezza informatica? Te lo diciamo noi: troppo! Easyaudit ti permette di risparmiare senza rinunciare a un servizio personalizzato: il nostro segreto è sfruttare l’automatismo delle tecnologie più avanzate, intervenendo quando è necessario in modo manuale. Il risultato finale è una qualità migliore, con costi e tempi ridotti al...

read more

La sicurezza informatica e l’importanza di capire

Posted by on 7:11 pm in Comunicazioni | Comments Off on La sicurezza informatica e l’importanza di capire

Disponibile online il nuovo White Paper La sicurezza informatica e l’importanza di capire , per aiutarci a non cadere trappola dei luoghi comuni e dell'accumulo compulsivo di appliance e software di sicurezza: Usare un sistema di sicurezza non ci fa comprendere meglio cos’è a rendere possibile un attacco informatico. Solo scoprire e riconoscere i nostri punti deboli ci permette di difenderci in modo ottimale. Già registrato? Accedi al White Paper e scarica il PDF! Voglio iscrivermi gratuitamente per ricevere i contenuti! Cominciamo con un esempio concreto: una pratica standard di sicurezza informatica suggerisce di installare un firewall a protezione di una server farm. Il firewall però serve solo a nascondere determinati servizi, ad attacco avvenuto non aiuta a trattenere i dati sensibili. Immagina quindi di avere solo server Linux aggiornati, che rispondono solo a richieste SSH e HTTPS. Non solo un firewall non aggiungerà nulla alla tua difesa, ma ti farà sprecare risorse economiche che potresti impiegare meglio altrove. Il più potente sistema di sicurezza presente sul mercato in certi casi può essere completamente inutile. Per scegliere quello giusto è necessario tenere in considerazione alcuni aspetti: Più ci sentiamo protetti meno ci sforziamo di capire: troppi si affidano passivamente ai sistemi di sicurezza informatica, senza pensare che per difendersi bisogna prima comprendere quale sia la minaccia e chi sia il nemico. Altrimenti il rischio è quello di costruire una trincea per difendersi da un attacco aereo! Non sopravvalutare la tua difesa: i tempi di reazione di chi progetta prodotti di sicurezza informatica sono piú lenti del cambiamento delle strategie di attacco usate dai cracker. Del resto la lotta è impari: per sviluppare un singolo prodotto efficace occorrono milioni di dollari, mentre per sferrare un  attacco di alto profilo basta qualche mese di lavoro. L’evoluzione degli attacchi è rapidissima: la tendenza attuale è quella di stratificare diversi livelli di protezione. Questi sistemi però tendono a concentrarsi troppo sul network e non sulla protezione delle applicazioni e dei dati sensibili, quasi sempre il vero obiettivo degli attacchi. Ricordati quindi di effettuare un’analisi preliminare delle minacce e delle vulnerabilità prima di un acquisto: comprerai lo stesso qualcosa, ma non è detto sia ciò che avevi inizialmente...

read more

La sicurezza informatica non è più un lusso

Posted by on 7:02 pm in Comunicazioni | Comments Off on La sicurezza informatica non è più un lusso

Disponibile online il nuovo White Paper La sicurezza informatica non è più un lusso , parla dell'aumenti degli attacchi informatici e di come questi possano essere mitigati da un'attenta attività di verifica: Gli attacchi informatici diventano sempre più numerosi (+42% nel solo 2012), tanto che già da tempo le imprese di maggiori dimensioni sono state costrette a dotarsi di sistemi di sicurezza. Anche se a nessuno sfugge quanto sia importante proteggere le proprie pagine web, però, non tutte le imprese sono ancora in grado di sostenere i costi necessari. Già registrato? Accedi al White Paper e scarica il PDF! Voglio iscrivermi gratuitamente per ricevere i contenuti! Finalmente grazie a Easyaudit tutto ciò sta cambiando: quest’innovativa start-up infatti è riuscita a ridurre il costo per una protezione di qualità così tanto da rendere la sicurezza informatica alla portata di tutti, accessibile anche per quelle attività un tempo considerate “troppo piccole”. Qual è il segreto della “sicurezza per tutti”? Easyaudit riesce a garantire qualità e prezzi bassi con una ricetta molto semplice: l’interazione “uomo-macchina”. La start-up è in grado infatti di sfruttare fin dove possibile l’automatismo dei software più avanzati senza rinunciare all’apporto umano, garantito dal proprio team di esperti, attivi da più di dieci anni nel settore. In questo modo Easyaudit può intervenire anche in quei casi in cui l’intelligenza artificiale da sola non sarebbe sufficiente. Sarà così possibile individuare tutti i punti di debolezza di un sito in anticipo, conoscendone per tempo le vulnerabilità. Il risultato finale è una protezione di altissimo livello, al prezzo più basso disponibile sul mercato per servizi di questo tipo. Easyaudit offre infatti pacchetti a partire da 900 euro, a seconda del tipo di intervento, un prezzo imbattibile per ogni “tradizionale” servizio di consulenza in...

read more

Hacker White Hat VS Black Hat VS Grey Hat

Posted by on 2:18 am in Formazione | Comments Off on Hacker White Hat VS Black Hat VS Grey Hat

Gli hacker sono ormai figure mitologiche della nostra epoca. Li abbiamo visti smanettare davanti ad un PC nei film di spionaggio, intenti a rubare informazioni segrete e dati sensibili. Ne sentiamo parlare ai telegiornali, basti ricordare i casi Wikileaks e Anonymous. Nella maggior parte dei casi vengono presentati come fuori legge. Ma sappiamo davvero chi sono e cosa fanno gli hacker? Esistono principalmente tre figure di hacker, che chiamate nel gergo dell’Information Security sono rispettivamente: White Hat (cappelli bianchi), Black Hat (cappelli neri) e Grey Hat (cappelli grigi). Insomma, i buoni, i cattivi e la via di mezzo tra i precedenti. Oggi si parla anche di hacker etico: un professionista nella penetrazione dei sistemi informatici che utilizza gli stessi strumenti e tecniche degli hacker “cattivi”, ma in modo controllato ed all’interno di un insieme di servizi professionali ben codificati (ci sono quasi quindici anni di letteratura sull’argomento, per quanto ci sia sempre qualcuno che si improvvisa esperto). Gli hacker non sono tutti uguali: White Hat – Sono gli hacker che vengono ingaggiati dalle aziende ed utilizzati sulle stesse, così da scoprire vulnerabilità che vengono comunicate al fine di implementare i controlli adeguati; Black Hat – Sono i cattivi della situazione, coloro che attaccano i sistemi informatici con l’intento di rubare informazioni, creare problemi e guadagnare in modo illegale. In poche parole, tutto ciò da cui un’ azienda deve proteggersi. Grey Hat – Sono la via di mezzo tra White e Black. Attaccano i sistemi informatici senza preavviso e comunicano alle aziende le loro vulnerabilità. Alcune volte richiedono di essere pagati per il lavoro svolto. I White Hat inoltre dovranno essere degli ottimi relatori, al fine di riportare i dettagli tecnici di ciò che hanno scoperto testando il sistema. Queste tre categorie di hacker vengono accomunati dagli stessi obbiettivi: la curiosità di sapere, la sfida di infiltrarsi in un sistema informatico e la soddisfazione personale che deriva da tutto ciò. Gli hacker provengono da una sottocultura molto complessa, e per comprenderla appieno bisogna leggere molti documenti, alcuni dei quali datati fine anni ’80, sull’etica, sulla libertà dell’informazione e molti altri principi. Gli attaccanti di oggi invece non vanno per il sottile, spesso non sanno, per disinteresse o ignoranza, l’origine della sottocultura a cui dicono di appartenere ma non si fanno scrupoli ad utilizzare ogni tecnica e strumento per violare sistemi e perseguire profitti. Per questo è una mossa strategica avvalersi di veri professionisti, attivi nel campo della ricerca e non semplici “lavoratori” di un’industria a cui, che lo si voglia o no, ci si deve sempre più spesso affidare. EasyAudit è erogato da un’organizzazione specializzata nei test di penetrazione, che si avvale di esperti di provata abilità, in grado di aiutare realmente le aziende nella protezione delle reti aziendali e dei sistemi web. Il tutto certificato con il bollino EasyAudit Checked, una garanzia per i vostri...

read more

Sistemi informatici vulnerabili? La risposta è nei test di penetrazione

Posted by on 9:52 am in Formazione | Comments Off on Sistemi informatici vulnerabili? La risposta è nei test di penetrazione

È scienza: un sistema immunitario debole, un batterio malevolo o un virus possono scatenare malattie che debilitano il corpo umano. Così cerchiamo di sostenere una corretta alimentazione e facciamo analisi periodiche per controllare che tutto sia nella norma. Un sistema informatico non è molto diverso da tutto ciò. Test delle vulnerabilità Gli attacchi informatici sono sempre più frequenti, quindi è bene effettuare periodicamente test delle vulnerabilità e test di penetrazione. Per quale motivo? Le risposte sono varie: Trovare debolezze nelle infrastrutture, nelle applicazioni e tra le persone al fine di sviluppare adeguati controlli. Assicurarsi che siano state implementate misure di sicurezza che funzionino correttamente. Questo fornisce una garanzia al senior management. Testare le applicazioni più a rischio. Bisogna tener conto che chi sviluppa i software può commettere errori e creare programmi insicuri. Scoprire nuovi bug nei software esistenti e creare patch e aggiornamenti per correggerli. E’ bene sapere che anche questi ultimi possono essere causa di nuovi bug. Il test di penetrazione cerca le vulnerabilità, le testa e le sfrutta per accedere al sistema. Molte volte il test viene bloccato quando viene raggiunto questo obbiettivo. Un gesto pericoloso, visto che ci potrebbero essere altre vulnerabilità non testate. I test di vulnerabilità potrebbero anche far risultare falsi positivi, sintomo che qualche controllo esistente non funziona correttamente. Non sempre l’attacco proviene dall’esterno Non bisogna dimenticare che gli attacchi potrebbero avvenire in maniera differente, non coinvolgendo le protezioni esterne. Con l’ingegneria sociale si potrebbe avere accesso direttamente alle strutture interne. Quindi l’azienda dovrebbe anche proteggersi dalle violazioni, dalle intrusioni e dalle minacce da dentro, come ad esempio personale non correttamente formato e dipendenti infedeli. Inoltre, sarebbe bene effettuare i test in zone differenti (l’ufficio, la rete wifi per i consulenti, la DMZ, etc.) così da creare giuste configurazioni di sicurezza in ogni ambito e scenario. Ogni qual volta venga installata una nuova infrastruttura o applicazione, o venga aggiornata, i test di vulnerabilità e penetrazione devono essere subito effettuati per assicurarsi che il sistema sia protetto e che la modifica non abbia introdotto una falla. E tu hai un e-commerce o un sito aziendale? Una rete aziendale da proteggere da attacchi esterni? Con EasyAudit puoi identificare le vulnerabilità a cui sei esposto ed esporre ai tuoi clienti il bollino EasyAudit...

read more