L’informatica, ma in particolare il Web 2.0, hanno aumentato notevolmente le possibilità creative e di comunicazione degli utenti. Eppure, tutta questa fantasia non sembra essere stata messa in atto dagli utenti al momento di scegliere la propria password per accedere a servizi come l’account di posta, l’account sui vari social network nonché al proprio conto corrente online, ad esempio.

Secondo un’analisi di Imperva, dagli anni ‘90 ad oggi le abitudini degli utenti in fatto di password non sembrano affatto cambiate, anzi, se prima la password più usata era “12345″, adesso è “123456“, ovvero la stessa password con l’aggiunta del numero successivo: non certo il massimo dell’inventiva e della creatività insomma.

Continua »

Gli attacchi a “forza bruta” per individuare username e password di amministrazione, di un sistema o di una normale applicazione Web, non sono ancora passati di moda.

Questa volta ad essere interessate dal problema sono potenzialmente le tante installazioni di WordPress sparse in giro per il Web.

Nella giornata di lunedì 30 novembre infatti sul blog del SANS Internet Storm Center è comparsa una notizia alquanto allarmante dal titolo “Distributed Wordpress admin account cracking“.

La scoperta di uno dei lettori del sito è che all’interno di un virtual private server (VPS) ha individuato uno script PHP che esegue un attacco di tipo brute-force ai danni degli account di amministrazione WordPress.

Continua »

Lo scorso giovedì, sulle pagine di PasteBin.com hanno fatto la loro comparsa i dati di accesso a circa 10.000 account di Windows Live Hotmail.

Si tratta della più imponente violazione registrata nei quasi 15 anni di attività del servizio. A riportarlo è Neowin.net, che conferma di aver verificato in prima persona come le credenziali fossero autentiche, prima che venissero rimosse dal sito.

Continua »

Sophos, che si occupa di ricerche e soluzioni per il mercato della sicurezza informatica, ha effettuato un’indagine prendendo in considerazione circa 700 operatori che utilizzano sistemi informatici all’interno di diverse aziende.

La ricerca mirava ad individuare il comportamento degli utenti relativo alla scelta e alla conservazione delle password che utilizzano per accedere a servizi online e offline, personali o di lavoro.

Continua »

“L’anello debole nella catena della sicurezza è l’uomo”: su questo punto si basa gran parte dell’ingegneria sociale. Proprio la scelta della password è uno degli aspetti più importanti nella protezione dell’accesso ai propri dati personali.

Spesso infatti si sottovaluta questa scelta: così, preoccupati più dal ricordarsi la password piuttosto che sceglierne una difficile da scoprire, si opta per una semplice.

A dimostrazione di questo, c’è una recente analisi, frutto di un attacco subito da un sito Web tempo fa, da cui si sono carpite ben 28.000 password.

Continua »

Qualche giorno fa (il 28 gennaio 2009) si è “festeggiato” il Data Privacy Day, una giornata per promuovere e sensibilizzare gli utenti sul tema della protezione dei dati personali sul proprio personal computer e durante la navigazione in Rete.

In passato, anche noi di oneITSecurity abbiamo proposto articoli in cui presentavamo software per la protezione dei dati tramite crittografia o altri per la gestione delle password.

In questo articolo invece, a seguito del Data Privacy Day, presento una raccolta di quelli che ritengo essere i migliori software per la protezione dei dati su Windows, Mac e Linux.

Continua »

Iniziamo con questo articolo una serie di 10 recensioni sui software più famosi e utilizzati in ambito di sicurezza, per l’analisi, il monitoraggio dei propri sistemi e della rete.

Naturalmente, consigliamo l’uso a fini didattici per i meno esperti e per usi di “difesa” per chi invece voglia attrezzarsi adeguatamente contro possibili attacchi.

Iniziamo questa serie con John The Ripper.

Continua »

Nella prima parte dell’articolo vi ho parlato di alcuni software freeware e scaricabili da Internet per la protezione dei nostri file personali che vogliamo lasciare lontani da occhi indiscreti quando non siamo davanti al monitor del nostro PC.

I software descritti prevedono tutti la possibilità di proteggere file, documenti e qualsiasi tipo di cartella attraverso l’utilizzo di password, a volte molto complesse perché integrate da varie estensioni che le rendono maggiormente sicure e attraverso i metodi della crittografia, molto utili per nascondere il contenuto dei documenti rendendoli comunque immediatamente accessibili a chi possiede le credenziali esatte per disattivare la protezione.

Continua »

Spesso utilizzare un software antivirus, qualche antimalware e un firewall per monitorare lo stato di sicurezza del nostro sistema operativo può non essere sufficiente se il nostro stesso computer è utilizzato anche da altre persone, colleghi di lavoro o familiari, ai quali vorremmo non far leggere i nostri documenti o vorremmo evitare di far vedere loro il contenuto delle cartelle che abbiamo salvato nel nostro disco fisso.

Se utilizzare diversi account utente del sistema operativo ci sembra una soluzione non molto conveniente da adottare in termini di praticità, possiamo far ricorso a diversi software completamente gratuiti e scaricabili da Internet per criptare o proteggere file, documenti e cartelle con delle password.

Continua »

Qualche tempo fa, facendo una piccola recensione del libro di Kevin Mitnick “L’arte dell’inganno”, sottolineavo come spesso sia il fattore umano l’anello debole della sicurezza. Pensiamo ad esempio alla questione “password”: troppo spesso e troppe persone utilizzano password semplici da scoprire, anche senza l’utilizzo di programmi o tecniche ad-hoc.

Così, per la paura di dimenticarsele, si sceglie il nome della ragazza, una data di nascita, il nome del cane: quasi mai invece si opta per passphrase, per frasi corte, magari con qualche simbolo di punteggiatura a dividere le parole.

In Rete, si possono trovare parecchi software che generano password casuali, ma per gli utenti meno pratici e poco avvezzi a queste tecniche, la strada non è molto gradita. Oggi però è possibile sfruttare un nuovo tool, sia online che offline.

Continua »