Anti-Phishing Italia: il portale contro le truffe on-line » IBM

Rapporto IBM, attenti ai PDF

Luca — Mon, 07 Sep 2009 21:40:49 +0000

pdf_cut

Brutte notizie. Nel continuo altalenare di segnali positivi e negativi riguardo il mondo dell’internet, frutto dei vari studi e delle periodiche ricerche che vengono commissionate e pubblicate da diversi (più o meno disinteressati) operatori del settore, questa volta le novelle comunicate ai naviganti non sono certo lusinghiere. Secondo quanto emerge dall rapporto “X – Force 2009 Mid-Year Trend and Risk Report”,il reportage semestrale confezionato dal centro studi della IBM, nuove minacce intorbidano le acque della rete, e insidie sempre maggiori incombono sugli utenti.

Il dato più significativo (da tenere senz’altro a mente quando ci verranno propinati studi di segno opposto) è che i codici maligni utilizzati per sottrarre informazioni personali sarebbero in netto aumento, così come, link a pagine web pericolose e documenti in PDF contenenti software pericolosi per la privacy degli interessati Nell’ultimo anno, questo è il dato maggiormente significati, vi sarebbe stato un aumento del 508% nel numero di siti potenzialmente pericolosi collegati e resi accessibile in rete tramite collegamenti ipertestuali (link) ingannevoli. Collegamenti di tale natura sono stati riscontrati all’interno di siti innocui, come blog, portali informativi ed altro.

L’altro dato allarmante riguarda il fatto che sarebbero quasi raddoppiati i documenti in PDF con cui vengono camuffati contenuti pericolosi. Tale tipologia di attacco si rivela particolarmente molesta, tenuto conto che il PDF è il formato con cui solitamente viaggiano i contenuti prettamente testuali, come e-book o riviste, o documenti cartacei digitalizzati. Per questo l’attenzione degli utenti verso un file .pdf pervenuto in allegato ad un messaggio di posta elettronica, rispetto ad un allegato .exe (con cui usualmente vengono trasmessi i software propriamente detti), tende ad essere minore.

A quanto pare, invece, occorre prestare massima attenzione anche a questi, visto che, come ricorda lo studio della IBM, si tratta del formato con cui malintenzionati spesso, sempre più spesso, fanno circolare i loro software spioni.

Il commento rilasciato dal direttore di IBM X-Force, Kris Lamb, non è certo dei più lusinghieri: “i trend che abbiamo rilevato” si può leggere in una sua dichiarazione ripresa dal quotidiano Repubblica “sembrano rivelare una fondamentale debolezza della sicurezza nell’ecosistema web, in cui l’interoperabilità tra browser, plugin, contenuti e applicazioni aumenta enormemente la complessità e il rischio”.

Ed ancora “il web sembra sempre più simile ad una riproduzione digitale del Far West, dove non c’è nessuno di cui fidarsi pienamente, una sorta di tempesta perfetta digitale sotto cui nascondere le attività criminali. Nessun sito è completamente sicuro, nessun utente è completamente al riparo dalle minacce”.

Fonte: Anti-Phishing Italia – www.anti-phishing.it

Legge sul phishing, spunti a margine della proposta dell’On.le Cassinelli

Luca — Tue, 24 Feb 2009 19:26:28 +0000

phishing

L’Italia ha fatto una pessima figura con l’ultimo report sulla criminalità informatica della IBM, e subito alcuni politici hanno cercato di correre ai ripari proponendo una nuova legge. È il caso dell’on.le Roberto Cassinelli (Pdl), già autore di un disegno di legge denominato “salva blog”, che ha lanciato l’idea di realizzare una legge italiana per favorire la repressione del phishing. Cassinelli si era reso protagonista di un’iniziativa paralegislativa con il contributo degli internauti italiani, ora vorrebbe coinvolgerli nell’idea di realizzare una legge per colpire le più comuni truffe telematiche e per dare ai cittadini la possibilità di raccogliere on-line le firme necessarie per le proposte di legge di iniziativa popolare e per le richieste di referendum.

Il post di Cassinelli, antecedente di alcuni giorni alla pubblicazione del dossier IBM ha annunciato on line le sue prossime iniziative: un disegno di legge “antiphishing” ed una proposta di legge-delega al Governo per offrire ai cittadini la possibilità di sottoscrivere on-line petizioni e proposte di legge. L’idea del deputato ha riscosso, come comprensibile, ampi consensi.

«La mia idea è quella di non intendere il phishing soltanto come l’illecita raccolta di dati realizzata attraverso l’uso di e-mail che riportino, ad esempio, la contraffazione del logo di una banca. Ma di punire anche il cosiddetto “furto di identità” compiuto da chi accede ad un portale bancario spacciandosi per un’altra persona», ha precisato Cassinelli il quale ha preannunciato che continuerà a mettere a conoscenza tutti i suggerimenti dei blogger fino alla definizione di un testo definitivo che raccoglierà tutti gli spunti arrivati on-line. «In questi primi sette giorni dalla pubblicazione del post – afferma il deputato azzurro – ho ricevuto moltissime e-mail e diversi commenti sul mio blog. Tutti i suggerimenti si sono rivelati molto intelligenti ed interessanti, e saranno le fondamenta per il testo definitivo delle due proposte che, come ho più volte sottolineato, voglio scrivere insieme al popolo della rete».

Ci sentiamo francamente di sottolineare positivamente l’iniziativa e lo spirito di Cassinelli riguardo questa tematica e soprattutto il percorso altamente democratico seguito; per dirla anche noi in politichese, apprezziamo molto “il metodo ed il merito” del suo intervento. Tuttavia, non facciamo finta di vivere sulla luna e pertanto verremmo meno al nostro dovere di cronisti se evitassimo di ricordare a Cassinelli che esistono già normative, anche severe e per certi versi anche tecnicamente dettagliate in materia di illeciti informatici e di protezione dei dati personali.

Eppure spesso le norme che già esistono vengono dimenticate proprio da coloro che dovrebbero farle applicare. Il riferimento è, ovviamente, a quei politici che lungi dal ricordare che esiste un allegato B) al testo unico in materia di protezione del dati personali (D.Lgs. n. 196/2003) che è un testo normativo estremamente puntuale in materia di password, prevenzione informatica e recupero dati ma che, purtroppo, non viene quasi mai applicato in ambito pubblico e spesso privato.

Forse è più semplice annunciare nuove leggi rispetto a far applicare le leggi esistenti.
Un piccolo esempio: che senso emanare una legge che dica “trattare dati è un’attività pericolosa” (un po’ come condurre un’automobile, v. sempre il t.u. privacy sopra citato), se poi vengono attivati servizi di home banking senza che nessuno si preoccupi di spiegare ai cittadini i rischi che corrono, e senza che nessuno imponga loro di avere alcuna alfabetizzazione informatica?

A nostro avviso una nuova legge non guasterebbe, ma quelle esistenti sarebbero già sufficienti, se solo si desse maggiore visibilità al fenomeno che coinvolge milioni di concittadini e che procura figuracce mondiali (Vespa, dove sei?).

Piuttosto, una legge chiara ed efficace sarebbe auspicabile per rendere meno tortuose e più trasparenti le procedure per i rimborsi ai cittadini che sono doppiamente vittime: della criminalità informatica, da un lato, e dall’approssimazione culturale-informatica di banche e politici dall’altro.

Fonte: Anti-Phishing Italia – www.anti-phishing.it

IBM, Italia seconda nella Hit Parade del phishing

admin — Tue, 03 Feb 2009 19:42:52 +0000

internet-cafe

Un recente studio commissionato dalla IBM e pubblicato nel corso del mese di febbraio ha messo in luce l’andamento della presenza di software maligni in rete relativamente al 2008. L’indagine ha avuto come oggetto la diffusione di virus, spam e quant’altro di indesiderabile e nocivo sia presente in rete. Il poco lusinghiero medagliere dei paesi d’origine delle mail di phishing vede la Spagna come capofila con il 15,1%, seguita a breve distanza dall’Italia con il 14,0% e, a seguire, anche se con ampio margine di distacco dalla Francia con il 6,4%, poi Germania con il 4,4% e Usa con il 2,8%.

Dalla ricerca si evince che i cyber criminali ambiscono a colpire soprattutto i siti delle aziende al fine di appropriarsi di dati personali dei rispettivi consumatori. Questi stessi siti risultano essere più vulnerabili del 13,5% rispetto a quanto non lo fossero nel 2007. Il volume complessivo di spam-phishing è in leggero calo (0,2 %) rispetto al secondo trimestre del 2008 e rappresentava lo 0,5% del totale, mentre nella seconda metà dello scorso anno è nuovamente cresciuto fino a diventare lo 0,8%.

I laboratori di ricerca X-Force di Ibm raccomandano l’aggiornamento dei sistemi di rilevazione delle vulnerabilità affinchè questi ultimi non valutino soltanto le caratteristiche tecniche, ma anche del loro impatto economico.

Il rapporto mostra come esempio di questa situazione la vulnerabilità del controllo Active X Snapshot Viewer di Microsoft, che aveva ricevuto uno score CVSS di 7,5. L’imperfezione, sfruttata a larga scala, permetteva agli hackers di generare facilmente profitti “La base di vittime potenziali era praticamente infinita poiché gli hackers potevano inviare il controllo Active X firmato Microsoft verso tutti i computer che ne accettavano l’installazione”, si legge nel rapporto. L’idea di cambiare il sistema della valutazione delle vulnerabilità non è nuova.

L’autunno scorso Microsoft aveva modificato il suo processo di messa a disposizione dei correttivi di sicurezza includendo un nuovo indice di sfruttamento e delle informazioni sugli errori corretti.
L’anno 2008 è stato comunque un annus horribilis per i ricercatori in sicurezza:il numero di bugs scoperti è aumentato del 13,5% rispetto all’anno 2007, ma il vero problema è che ben il 53% delle vulnerabilità non è stato corretto.

Peraltro, il 44% delle vulnerabilità che datano 2007 è tutt’ora presente, così come lo è il 46% di quelle che risalgono al 2006. Si tratta di dati molto preoccupanti perché i criminali virtuali possono ora continuare a battere le vulnerabilità già individuate piuttosto che avventurarsi alla ricerca di nuove insidie.

Peraltro, il rapporto mette in luce come sul 13,5% di maggiori errori individuati nel 2008 sui software monitorati, quelli cosiddetti critici sono in netta progressione essendo aumentati del 15%. Ma il dato potrebbe essere letto in modo ancor più preoccupante: da un lato, infatti, il numero degli errori può essere conseguenza della crescita del mercato e dell’aumento esponenziale dei sistemi operativi sviluppati; dall’altro può anche voler dire un maggior lavoro di indagine dei laboratori specializzati in sicurezza. E in questo secondo caso, sarebbe una buona notizia.

Fonte: Anti-Phishing Italia – www.anti-phishing.it