Login
or
Sign Up

ROBERTO M. PROFESSIONISTA D.P.O.

attestato corso dpo

Il nostro C.E.O. ing. Roberto Montelatici ha ottenuto il riconoscimento di D.P.O. (Data Protection Officier) avendo superato l’esame finale di un corso certificato di almeno 84 ore, come mostrato da documentazione allegata. Il D.P.O. dovrebbe essere l’agente del Garante della Privacy pagato dalle Aziende, questo ha portato a ostacoli e incomprensioni. Inoltre si sono buttati a certificarso D.P.O. avvocati che sono attenti ai dettagli della normativa G.D.P.R. sulla Privacy senza comprenderne lo spirito e senza le conoscenze tecnice ESSENZIALI per interpretare la normativa.

Sticky

Migliaia di password compromesse che la gente usa

Quelle migliaia di password compromesse che la gente usa

Centinaia di migliaia di visitatori di siti web continuano a utilizzare password che sono state già compromesse. Peggio ancora, stanno riutilizzando le credenziali violate per alcuni dei loro account finanziari, governativi ed e-mail più sensibili.
Questo è secondo un nuovo studio di Google pubblicato la scorsa settimana, basato sui dati raccolti dall’estensione Google per il controllo della password. Lo studio ha rilevato che l’1,5%, ovvero 316.000 utenti del servizio di add-on usano password violate e conosciute agli hacker e cracker.
«La protezione degli account dagli attacchi rimane complessa a causa di un’asimmetria informativa: gli aggressori hanno accesso a miliardi di nomi utente e password rubati, mentre gli user e i provider non sanno quali richiedono una sorta di fix» hanno detto i ricercatori.
Nel documento di ricerca intitolato “Proteggere gli account con avvisi di violazione della password“, pubblicato su USENIX, si legge di come l’estensione Password Checkup, lanciata a febbraio 2019, abbia proprio lo scopo di difendere gli account.

In che modo? Mostrando una casella rossa di “avviso” agli utenti quando accedono a un sito utilizzando una delle 4 miliardi di combinazioni tra user id e password che Google sa di essere state violate.
La telemetria anonima segnalata dall’estensione ha rivelato che gli utenti stavano riutilizzando credenziali violate su oltre 746.000 domini distinti. Il rischio era il più alto per lo streaming video e i siti porno, dove fino al 6,3% accedeva utilizzando credenziali compromesse.
Google ha affermato che un semplice aggiornamento delle password è un modo semplice per evitare gli hacker: secondo lo studio, il 60% delle nuove password è sicuro, il che significa che occorrerebbero a un aggressore oltre 100 milioni di ipotesi prima di identificare la nuova stringa.

Foto e testo sono ripresi da:
https://www.tomshw.it/business/

Sticky

SCACCO AL PHISHING

SCACCO AL PHISHING

La possibilità che qualcuno cada in errore e clicchi su un link malevolo è infinita. Nonostante tutti i tentativi di formare i dipendenti delle aziende è troppo semplice cliccare, e anche le migliori scuole hanno sempre avuto i somari, che magari giocherellavano durante la lezione.
La soluzione si ha parametrizzando i nostri computer. Per quanto riguarda la possibilità che ci sia del malware dentro gli allegati, basta dirottare l’apertura automatica di un allegato in base alla estensione del file. Attualmente un pdf può essere aperto in automatico da Adobe Reader, mentre un docx da Word di Microsoft. Se impostiamo un file di testo vuoto come applicazione di default per i documenti che più hanno il rischio di ospitare il malware, viene in automatico presentata una finestra in cui vi è una lista di applicazioni compatibili con il documento, finestra in cui si può scegliere. Il tempo di scelta permette di eventualmente capire che deve essere fatto un controllo, magari fare analizzare il documento dall’antivirus installato sul proprio computer.
Ma il caso più complicato è impedire l’apertura di un link internet. In questo caso bisogna procedere come segue:

1) Attivare un sito “sicuro” in cui viene proposto il link dei principali browser di ricerca internet, quali Google. Nel cms WordPress è semplicissimo impostare un link per accedere a un altro sito Sia tale sito www.MioSito.eu
2) Impostare sul browser ii parametri di accesso internet secondo l’impostazione Controllo Genitori, ma invece di impostare una black list di siti impostare come “nessuno” il proxy di riferimento e impostare MioSito.eu come sito a cui accedere indipendentemente dal proxy, quindi a MioSito.eu si accede.
3) In queste condizioni quando su MioSito.eu clicco sul link Google.it arriva la risposta i”impossibile accedere a internet “
4) Per ovviare al suddetto problema sul sito MioSito.eu si pone del codice script lato server in PHP che imposta un opportuno proxy, in modo che, quando clicco sul link “Google.it” si attiva il collegamento internet e si accede a tutti i siti
5) Vantaggiosamente può essere aggiunta una cblack list di siti comunque da evitare.

Il problema dell’attacco hacker viene quindi spostato dalla difesa interna alla Azienda alla difesa di MioSito.eu. Io ho fatto dei test su miei siti scritti in WordPress ma il processo deve essere industrializzato, in quanto lo stesso WordPress è fonte di vulnerabilità e quindi MioSito.eu potrebbe a sua volta diventare una porta di accesso al malware, porta di accesso sempre più infida a seconda di quanti utenti ritengano opportuno seguire queste indicazioni.

QUINDI:
A) Creare un sito MioSito.okay in linguaggio HTML5 puro, senza utilizzare strumenti cms come WordPress o altri. iL sito è abbastanza semplice e quindi potrebbe costare dai 3.000 ai 5.000 euro.
B) Verificare che la ditta che costruisce il sito abbia la necessaria sensibilità alla sicurezza informatica, sia come gestione delle password e degli utenti che nella costruzione del software.
C) Utilizzare il nostro prodotto VULNER per verificare la correttezza da parte dello sviluppatore di non mettere vulnerabilità note o potenziali nel sito MioSito.okay.
D) Verificare che la ditta che costruisce il sito MioSito.okay sia certificata come produttore di CyberSecurity.
E) Scegliere un provider che abbia un proxy che abbia le caratteristiche tali da rispettare il punto D
F) Non permettere che altri possano fare aggiornamenti su MioSito.okay, tranne la ditta certificata di cui al punto D
G) Far inserire alla suddetta ditta il codice PHP lato server che imposta il proxy come descritto nei punti 4 e D.
H) Utilizzare il nostro prodotto KEY-PSW-LOCK per modificare in modo più sicuro le password di accesso a MioSito.okay, tutte le password devono essere crittografate.
I) Verificare con opportuni software di analisi del traffico di rete il corretto uso del sito MioSito.okay,
identificando possibili accessi fraudolenti.

CONCLUSIONI:
Non è possibile fare sicurezza senza spendere un euro, ma si riesce a spendere poche migliaia di euro invece di milioni di euro e ci si rende indipendenti dal fattore umano, che molti identificano come il punto debole della catena di difesa contro i cyber attacchi. Se i MioSito.okay sono alcune centinaia si possono creare dei “fortini” di difesa contro il PHISHING, come nel nostro software RAMSES si creano dei fortini di difesa contro il RANSOMWARE che possono addirittura portare a tutelare l’intero territorio nazionale.

NOTA : NON SCARICARE QUESTO DOCUMENTO, eventualmente fai una serie di PRINT SCREEN che puoi comporre in un tuo documento, in modo che non vi sia possibilità di infezione. E’ meglio non fidarsi di nessuno. ZERO TRUST. Il diavolo il mattino fa il bagno in una piscina di acqua santa….

A QUESTO PUNTO: agli amici delle grandi aziende che si occupano di cyber security, come potete vedere siamo riusciti a scalare la montagna su sentieri che altri ritenevano impraticabili; a questo punto bisogna portare le truppe in cima alla montagna, la fatica è portare gli elefanti come Annibale sulle Alpi, elefanti che possono essere centinaia di vendors che finora si sono occupati di vendere i frutti del loro orticello ignorando la necessità di fare sinergie che superino anche i vantaggi del proprio business. Certo , sono stati investiti milioni di euro in soluzioni che sembravano buone ma che mostrano i loro difetti di egocentrismo, fa fatica ammettere che tanti soldi sono stati spesi in modo sbagliato, ma anch’io in questi ultimi 10 anni ho buttato alle ortiche tonnellate di Kbyte di software scritto, perché non mi ritenevo soddisfatto del risultato raggiunto. A questo punto ignorare queste soluzioni potrebbe far sospettare a una connivenza con “nemico”, ci sono sempre opportuni articoli del Codice Penale Italiano che sanzionano pesantemente chi furbescamente non si rende conto di come sia la guerra cibernetica.

Sticky
  • About US

    ROBIONICA S.R.L.S.
    VIA NAZIONALE 185
    SESTRI LEVANTE (GE)
    alfa@robionica.net
    beta@robionica.net
    robionica@pec.it