Il Certificato SSL tutela i visitatori e protegge i siti web dalle frodi

Autore: Redazione Argonavis – 18/11/2020

Quale certificato SSL scegliere?

Questa e’ la domanda che i nostri clienti ci pongono spesso quando decidono di proteggere i visitatori del proprio sito.

Tutti i certificati SSL proteggono la navigazione dell’utente finale mediante cifratura del traffico, indipendentemente dal tipo di certificato.

Esistono tre tipi di convalida, ovvero il procedimento con cui la Certification Authority ( CA ) convalida l’autenticità del richiedente il certificato.

In base al tipo di convalida, al certificato vengono aggiunte delle informazioni estese per identificare meglio il proprietario del certificato e, quindi, del sito.

DV (Domain Validation): con questo tipo di certificato viene validato il solo dominio, ovvero si convalida che il richiedente del certificato SSL sia effettivamente l’assegnatario del dominio e ne abbia il completo controllo.

Pro: protezione del traffico, certifica il dominio, basso costo, tempi brevi di emissione (pochi minuti).

Contro: il certificato non riporta nessuna informazione estesa, come il nome del proprietario del dominio.

OV (Organization Validation)

Con questo tipo di certificato, l’ente certificatorio ( la CA ) effettua una verifica societaria sul richiedente per garantirne l’esistenza. Le informazioni del richiedente sono contenute all’interno del certificato stesso. Chi effettua acquisti su un sito che fornisce questa tipologia di protezione ha la garanzia di acquistare da una società verificata.

Pro: protezione del traffico , costo medio, certifica il dominio e l’azienda (che viene inserita nel certificato stesso).

Contro: i tempi di emissione si allungano a 2/3 giorni, necessari per le verifiche.

EV (Extended Validation)

Si tratta di una validazione legata all’azienda richiedente che viene sottoposta a un processo di analisi molto accurato a seguito del quale il nome dell’azienda sarà sinonimo di attendibilità. All’interno di una barra verde nel browser viene mostrato il nome stesso dell’azienda, il che garantisce al visitatore la massima attendibilità dello store dal quale sta effettuando i propri acquisti.
Pro: protezione del traffico, costo medio/alto, certifica il dominio e l’azienda (che viene inserita nel certificato stesso) e attiva la barra verde del browser.

Contro: i tempi di emissione si allungano a 2/3 giorni, necessari per le verifiche.

I certificati possono anche essere emessi con le seguenti opzioni:

l’opzione Wildcard, che permette alle aziende di proteggere, con un solo certificato SSL, tutti i sottodomini del sito principale, ad esempio, www.dominio.it, ma anche b2b.dominio.it, e anche cloud.dominio.it, ecc…

l’opzione SAN (Subject Alternative Name), che permette alle aziende di inserire, all’interno dello stesso certificato, fino ad un massimo di 250 domini legati alla stessa società ma con “common name” differenti (esempio: shop.primodominio.it, www.secondodominio.com).

I certificati gratuiti

I certificati SSL, come quelli di “Let’s Encrypt”, possono essere gratuiti, ovvero forniti da una CA (Certificate Authority) no-profit, creati per proteggere quei siti web che non possono permettersi di acquistarne uno. Essi però non sono considerati ottimali per portali di carattere commerciale, dove sono previste transazioni di denaro o dove al suo interno sono custoditi dati sensibili.

Let’s Encrypt, infatti, non è in grado di fornire una protezione completa, ma tutela solo il MIM (Man In the Middle), crittografando le comunicazioni. Non prevede alcun tipo di validazione, ma fa apparire semplicemente il lucchetto verde vicino all’url del sito sui browser.

Non è previsto un controllo dell’effettiva proprietà del dominio da parte di chi attiva il certificato. Apparentemente però non c’è alcuna differenza tra un Certificato SSL a pagamento e uno gratuito.

Le versioni gratuite non permettono di certificare i domini di terzo livello, hanno una validità di 90 giorni , ma la cosa più importante è che non offrono nessuna tutela dal rischio di phishing, né garanzia o supporto.

Per ulteriori informazioni: dircom@argonavis.it

Ragnar Locker e Egregor: il ransomware 2.0

Tratto da: BitMAT

Autore: Redazione BitMAT – 12/11/2020

I criminali ampliano il raggio d’azione dall’encryption dati alla pubblicazione di informazioni riservate

I comuni attacchi ransomware sono stati sostituiti, negli ultimi due anni, da attacchi mirati contro aziende e settori specifici: gli attaccanti non solo minacciano di criptare i dati ma pubblicano online le informazioni riservate. I ricercatori di Kaspersky hanno osservato questo trend nella recente analisi su Ragnar Locker ed Egregor, due importanti famiglie di ransomware.

In generale, gli attacchi ransomware sono considerati una delle minacce più gravi per le imprese. Non solo possono interrompere le operazioni aziendali critiche, ma possono anche causare ingenti perdite finanziarie. In alcuni casi, le multe e le cause legali sostenute in seguito alla violazione di leggi e regolamenti possono persino portare un’azienda al fallimento. Ad esempio, si stima che gli attacchi di WannaCry abbiano causato più di 4 miliardi di dollari di perdite finanziarie. Tuttavia, le nuove campagne ransomware stanno modificando il loro modus operandi, minacciando di rendere pubbliche le informazioni aziendali rubate.

Ragnar Locker e Egregor sono due note famiglie di ransomware che impiegano questo nuovo metodo di estorsione.

Ragnar Locker è stato scoperto per la prima volta nel 2019, ma è diventato noto solo nella prima metà del 2020, quando ha rivolto la propria attenzione a grandi organizzazioni. Gli attacchi sono estremamente mirati con ogni campione specificatamente adattato alla vittima designata. I dati riservati di chi si rifiuta di pagare il riscatto, così come le conversazioni intercorse con gli attaccanti, vengono pubblicati nella sezione “Wall of Shame” del loro sito dedicato informazioni rubate. I principali obiettivi di Ragnar Locker sono aziende situate negli Stati Uniti che operano in diversi settori industriali. Lo scorso luglio, Ragnar Locker ha dichiarato di aver aderito al cartello del ransomware Maze, una delle più note famiglie ransomware del 2020, e questo sta a indicare che i due collaboreranno e si scambieranno le informazioni rubate.

Egregor, osservato per la prima volta a settembre, è un ransomware più recente rispetto a Ragnar Locker. Utilizza però molte tattiche simili a quelle usate da Maze oltre a presentare delle somiglianze nel codice. Il malware viene in genere rilasciato violando la rete e, una volta che i dati dell’obiettivo sono stati esfiltrati, concede alla vittima 72 ore di tempo per pagare il riscatto prima che le informazioni rubate diventino di dominio pubblico. Nel caso in cui le vittime si rifiutassero di pagare il riscatto, i loro nomi e i collegamenti per scaricare i dati aziendali riservati verrebbero pubblicati sul sito preposto alla fuga di notizie creato dagli attaccanti.

La superficie d’attacco di Egregor è molto più estesa di quello di Ragnar Locker. Sono state registrate vittime in Nord America, Europa e in alcune zone della regione APAC (Asia Pacific).

“Il trend che stiamo osservando in questo momento è l’ascesa dei ransomware 2.0. Rileviamo attacchi sempre più mirati che utilizzano un processo di estorsione che non si basa più solo sulla crittografia, ma implica anche la pubblicazione online di dati riservati. La reputazione aziendale non è la sola a essere messa a repentaglio. Nel caso in cui i dati pubblicati violino norme come l’HIPAA o il GDPR, è possibile che vengano intraprese anche azioni legali, con delle conseguenze che vanno oltre le perdite finanziarie”, ha dichiarato Dmitry Bestuzhev, Head del Latin American Global Research and Analysis Team (GReAT).

“Nello scenario attuale, le organizzazioni devono considerare i ransomware come una minaccia più pericolosa di un semplice malware. Il ransomware è spesso solo la fase finale di una violazione della rete. Nel momento in cui il ransomware viene implementato, l’attaccante ha già eseguito una ricognizione della rete, identificato i dati confidenziali e provveduto all’esfiltrazione. È importante, quindi, che le organizzazioni implementino tutte le buone pratiche in materia di sicurezza informatica. Identificare l’attacco in una fase iniziale, prima che gli attaccanti raggiungano il loro obiettivo finale, permette un notevole risparmio economico”, ha aggiunto Fedor Sinitsyn, security expert di Kaspersky.

Per proteggersi dagli attacchi ransomware, gli esperti di Kaspersky raccomandano alle aziende di:

Non esporre i servizi di desktop remoto (come l’RDP, il Remote Desktop Protocol) a reti pubbliche se non strettamente necessario e utilizzare sempre password complesse.
Aggiornare sempre il software su tutti i dispositivi utilizzati. Per impedire al ransomware di sfruttare le vulnerabilità, servirsi di strumenti in grado di rilevarle in modo automatico e scaricare e installare le patch
Installare tempestivamente le patch disponibili per le soluzioni VPN commerciali che forniscono l’accesso ai dipendenti da remoto e agiscono come gateway all’interno della rete.
Non aprire allegati sospetti ricevuti via mail da mittenti sconosciuti.
Utilizzare soluzioni come Kaspersky Endpoint Detection and Response e Kaspersky Managed Detection and Response per identificare e bloccare l’attacco nella sua fase iniziale, prima che gli attaccanti raggiungano l’obiettivo.
Focalizzare la propria strategia di difesa nel rilevare tattiche di movimento laterale e esfiltrazione di dati su internet. Prestare particolare attenzione al traffico in uscita in modo da rilevare connessioni da parte dei cybercriminali, eseguire regolarmente il backup dei dati e assicurarsi di potervi accedere rapidamente in caso di emergenza quando necessario.
Formare i dipendenti per proteggere le risorse aziendali. I corsi di formazione dedicati, come quelli forniti da Kaspersky Automated Security Awareness Platform, possono offrire un valido aiuto.
Utilizzare una soluzione di sicurezza affidabile per i dispositivi personali come Kaspersky Security Cloud, che protegga dagli encryption malware e ripristini le modifiche apportate dalle applicazioni dannose.
Migliorare la protezione aziendale con Anti-Ransomware Tool for Business, uno strumento gratuito offerto da Kaspersky. La versione recentemente aggiornata integra una funzionalità di prevenzione degli exploit per evitare che il ransomware e altre minacce sfruttino le vulnerabilità di software e applicazioni. È utile anche per i clienti che utilizzano Windows 7, poiché al termine del supporto per questo sistema operativo lo sviluppatore non rilascerà più patch per le nuove vulnerabilità
Per una protezione completa, utilizzare una soluzione di sicurezza degli endpoint, come Integrated Endpoint Security, che si basa sulla prevenzione degli exploit, sulle tecnologie di behavior detection e su un motore di remediation in grado di annullare le operazioni dannose.

Per ulteriori informazioni: dircom@argonavis.it

Nella vita falla semplice. Ma non con le password!

Tratto da: Blog Kaspersky

Autore: Daniela Incerti – 09/11/2020

Semplici o complesse? Con caratteri speciali o senza? Ecco quanto ci mettono gli hacker a trovare le vostre password!

Vi siete mai chiesti quanto tempo può metterci un hacker o un cybercriminale a decifrare le vostre password?

I vostri account social, di gioco o di lavoro vi sembrano essere al sicuro?
E se invece scopriste che la vostra password potrebbe essere decifrata in pochi secondi?

È sempre meglio usare password variegate, fantasiose, non solo nei caratteri ma anche nei simboli, numeri, caratteri speciali, e chi più ne ha più ne metta. Sembra un assunto semplice, intuitivo e diretto, ma non è così.

Al primo posto troviamo “123456″. Questa password è hackerabile in meno di 1 secondo. Al secondo e terzo posto l’intramontabile “123456789” e subito dopo “qwerty“. Al quarto posto troviamo “password“, hackerabile in 1 secondo, e non ci son maiuscole che tengano: “PaSsWoRD” la troverebbero in 4 secondi.

Attenzione però: la sicurezza online non è un gioco!

Proprio per questo Kaspersky mette a disposizione Password Checker, uno strumento che permette di verificare quanto sia “sicura” la propria password e offre tutta una serie di utili consigli su come crearla a prova di cybercriminale.

Giocandoci un po’ si potrà subito capire come l’utilizzo di caratteri speciali è utilissimo per rendere la propria password più sicura. Alcuni semplici esempi potrebbero essere “TuoNome”, decifrabile in 2 giorni, contro i 4 anni che ci vorrebbero per scoprire “TuoNome80!”
Quindi, meglio metterci un po’ più di tempo e generare una password sicura, che crearne una troppo semplice e vulnerabile, correndo il rischio di farsi rubare il proprio account con all’interno informazioni di pagamento, contatti e dati sensibili.

Ci teniamo a specificare che, sebbene Password Checker fornisca preziose indicazioni su come generare password “forti”, non può sostituire in toto l’intelligenza umana. Ad esempio, se la password del vostro account di incontri online è il vostro nome seguito dal vostro cognome e anno di nascita, magari un programma la troverà in 4 anni, ma il vostro fidanzato o la vostra fidanzata ci metterà molto, molto meno.

Sfruttando queste conoscenze, diventa imperativo avere password variegate nei caratteri, maiuscole, minuscole e simboli. Soprattutto è preferibile avere password diverse per account diversi, nell’evenienza in cui la nostra password dovesse essere hackerata o rivelata.

Quindi qual è la soluzione migliore?

Abbiamo capito quali password sarebbe meglio non utilizzare e anche quali potrebbero essere così deboli da essere scoperte in pochi secondi.

Purtroppo, la soluzione è anche la più complessa: una password per essere sufficientemente sicura dovrebbe contenere numeri, lettere minuscole, lettere maiuscole, punti esclamativi, interrogativi e simboli; dovrebbe essere lunga almeno 8 caratteri e dovresti renderla memorizzabile. La simpatica password 12345-humpty-dumpty-satonthe-firewall e la folle combinazione ?Y]G9gWJ48zYkFBc@{nKw!’q hanno più o meno la stessa forza, ma è difficile che tu possa ricordarti la seconda.

Come sarà mai possibile ricordarsi una password del genere, diversa per ogni account?
Lasciate perdere penna e taccuino (che comunque è un metodo per ricordarsi le password MOLTO PERICOLOSO).

Kaspersky corre in soccorso con lo strumento perfetto: il Password Manager incluso all’interno di Kaspersky Total Security che ti permette di sincronizzare le tue password ovunque esse siano: su PC, Mac, iOS e Android. Così da non perdertene più neanche una! È un programma sicuro in grado di gestire e memorizzare le password più complesse per accedere alla tua vita online, ed essere sicuri di non dimenticare mai più una password, rendendo l’esistenza di chiunque voglia accedere ai tuoi dati un autentico calvario.

Kaspersky Password manager: molto più di un gestore di Password

Quando esegui l’accesso a un sito, il Password Manager di Kaspersky ti proporrà l’inserimento automatico, così da rendere l’esperienza online più fluida, senza interruzioni.

Oltre a salvare le password, quando apri un nuovo account, il Password Manager grazie a un “motore genera password” te ne creerà una sicura e complessa. Come ricordartela? Nessun problema, te la ricorda il software.

Password Manager non solo crea, salva, memorizza e sincronizza le tue password: ma anche documenti sensibili come foto e PDF, i dati della tua carta di credito e gli indirizzi. Così, in caso di spese online, potrai concentrarti su ciò che ti piace davvero.

Per ulteriori informazioni: dircom@argonavis.it

Con il Fondo per la formazione, Kaspersky Automated Security Awareness & Kaspersky Adaptive Online Training

Redazione Argonavis

E’ stato pubblicato sul sito dell’ANPAL (Agenzia Nazionale Politiche Attive del Lavoro) il bando per il fondo di formazione dei dipendenti delle aziende private.

Sono risorse messe a disposizione entro il 31 Dicembre 2020 per progetti di formazione. Al link di seguito tutti i dettagli:https://www.anpal.gov.it

Vista la situazione sia economica che congiunturale, questa è certamente un’opportunità per far crescere la cultura e la consapevolezza dell’importanza della formazione in ambito Security all’interno di qualsiasi tipo di struttura ed attività.

Kaspersky propone al riguardo due soluzioni per la formazione:

KASAP (Kaspersky Automated Security Awareness)
KAOT (Kaspersky Adaptive Online Training).

Per ulteriori informazioni: dircom@argonavis.it

I suggerimenti del Garante per tutelare la tua privacy quando usi delle app

Tratto da www.garanteprivacy.it

Le app sono strumenti presenti ormai su numerosi dispositivi e strumenti digitali che si utilizzano quotidianamente (smartphone, tablet, pc, dispositivi indossabili, smart car, smart TV, dispositivi domotici, console per videogiochi) e offrono una vasta gamma di servizi, dalla messaggistica agli acquisti online, dalle videochiamate all’home banking, dalla formazione alla misurazione di parametri sportivi e sanitari, dalla prenotazione di viaggi e alberghi ai giochi, dalla gestione da remoto di dispositivi domotici (aspirapolvere, antifurto, illuminazione, ecc.) ai giochi, dai servizi della pubblica amministrazione alla gestione delle diete alimentari. Sono strumenti utili, divertenti, a volte indispensabili.

Ma non sempre quando si utilizza una app ci si preoccupa anche di tutelare la propria privacy.

Per proteggere i nostri dati personali e la nostra vita privata occorre quindi conoscere alcune regole fondamentali e mettere in campo adeguate cautele. Vediamo quali.

Prima di installare una app, cerca di capire quanti e quali dati verranno raccolti e come verranno utilizzati, consultando l’informativa sul trattamento dei dati personali.

In particolare, verifica:

chi tratterà i tuoi dati personali e con quali finalità;
per quanto tempo verranno conservati i dati personali che ti riguardano;
se i tuoi dati potranno essere condivisi con terze parti per finalità commerciali o di altro tipo.

Se per il download dell’app o per la sua installazione è prevista una registrazione, limitati a fornire i dati personali strettamente necessari all’attivazione del servizio.

Verifica se alcune informazioni raccolte dall’app possono essere diffuse automaticamente online (ad esempio, se è possibile che l ’app produca post automatici sui social media) e – nel caso le impostazioni lo prevedano – valuta se disattivare questa funzionalità.

Potresti infatti rivelare involontariamente a tutti informazioni personali.

In generale, è bene evitare di memorizzare nella app i dati delle credenziali di accesso (username, password, PIN) di carte di credito e sistemi di pagamento. I malintenzionati sono sempre in agguato.

Una app può richiedere accesso alle immagini e ai file che conservi in memoria, ai contatti in rubrica, ai dati sulla geolocalizzazione (cioè dati che contengono informazioni sulla tua posizione in un dato momento e suoi tuoi spostamenti), al microfono e alla fotocamera dei tuoi dispositivi.

Valuta sempre con attenzione se consentire l’accesso a determinate informazioni e funzionalità. Se una app richiede obbligatoriamente accesso a dati e funzionalità non strettamente necessari rispetto ai servizi offerti, evita di installarla.

IMPORTANTE: Occorre fare particolare attenzione alle app che, grazie all’impiego dell’intelligenza artificiale, consentono di modificare foto e video (ad esempio, per invecchiare i volti), inserire la propria faccia sui corpi altrui (ad esempio, di personaggi famosi) oppure trasformare il genere sessuale (da uomo a donna e viceversa). Le immagini e le informazioni raccolte in questo modo potrebbero essere utilizzate anche da malintenzionati per fini dannosi per la dignità e la reputazione delle persone, come avviene nel fenomeno del deep fake (creazione di foto e video falsi a partire da immagini vere).

In ogni caso:

se la app chiede accesso alla fotocamera o all’archivio di immagini del tuo smartphone, pc o tablet, verifica che siano spiegati in modo chiaro dal fornitore della app tutti i possibili utilizzi delle tue immagini;
ricorda che dai volti si può risalire a informazioni di natura sensibile come i dati biometrici, che potrebbero anche essere utilizzati da malintenzionati per finalità illecite (basti pensare ai dati biometrici del volto, già oggi utilizzati, ad esempio, come password per l’accesso agli smartphone) o ceduti a terzi per finalità ignote.

Alcuni spunti di riflessione

Molte app, tra cui quelle social, possono individuare e condividere con terzi la tua posizione e i tuoi spostamenti nel tempo, ad esempio utilizzando alcune funzioni del tuo smartphone. Se preferisci mantenere riservate queste informazioni, puoi disattivare la raccolta dei dati di posizione da parte delle singole app, modificando le impostazioni del tuo dispositivo relative ai servizi di geolocalizzazione.

Se utilizzi una app che prevede funzioni per la condivisione di foto e video sui social o tramite messaggistica, accertati sempre che le persone riprese siano d’accordo a diffondere online la propria immagine ed eventuali informazioni sulla loro vita privata.

Se usi una app per il dating (appuntamenti online), ricorda di informarti su come verranno trattate e conservate le informazioni che ti riguardano, e a chi verranno eventualmente resi noti aspetti della tua vita privata che potresti voler mantenere riservati.

Le app che misurano le tue prestazioni sportive o monitorano e registrano il tuo stato fisico (esempio: battito cardiaco, pressione, ecc.) sono in grado di raccogliere dati sensibili che potrebbero essere trasmessi a terzi per finalità non sempre conosciute. Verifica quindi sempre quali informazioni possono essere rilevate e trattate dalla app, stabilisci tu con chi condividerle (ad esempio, scegliendo nelle impostazioni di renderle visibili a tutti, solo agli “amici” o a nessuno) e decidi eventualmente di disattivare la rilevazione e il trattamento dei dati non indispensabili per il servizio (ad esempio, si può scegliere di monitorare la durata e la distanza percorsa correndo o andando in bicicletta anche senza rilevare il battito cardiaco).

Ricorda che insieme alle app potresti scaricare inavvertitamente virus e malware pericolosi per la tua privacy

Per evitare rischi:

installa sul dispositivo che ospita le app anche un software antivirus in grado di proteggere i dati personali da eventuali violazioni;
imposta password di accesso sicure e aggiornale periodicamente;
aggiorna periodicamente la app: le nuove versioni contengono di solito anche miglioramenti sul fronte della sicurezza informatica;
non disattivare mai i controlli di sicurezza previsti dal tuo dispositivo, se non sei assolutamente consapevole di ciò che stai facendo;
fai sempre attenzione alla provenienza delle app. In particolare:
evita di scaricare app tramite siti web che non ti sembrano affidabili o cliccando link che ti vengono inviati tramite SMS o messaggistica. In generale, è meglio scaricare le app dai market ufficiali, che garantiscono la presenza di controlli da parte dei gestori del market sull’affidabilità dei prodotti e permettono di consultare le eventuali recensioni di altri utenti (sull’uso di una determinata app, sugli sviluppatori o sul market stesso) per verificare se sono, ad esempio, segnalati problemi riguardanti la sicurezza dei dati. Se il market prevede la creazione di un account, ricorda di informarti sempre su come tratterà i dati richiesti per la sua attivazione;
leggi con attenzione le descrizioni delle app che intendi installare (se, ad esempio, nei testi sono presenti errori e imprecisioni, c’è da sospettare).

Pensa ai rischi che possono correre i minori

Meglio evitare che i minori possano scaricare e utilizzare app da soli. I più giovani, infatti, sono meno consapevoli dei pericoli e più esposti al rischio di una raccolta e diffusione incontrollata di dati personali proprio dei familiari.

Inoltre, potrebbero diventare oggetto di attenzione di malintenzionati che cercano di contattarli, oppure fare involontariamente acquisti online o diffondere inconsapevolmente dati sensibili o informazioni sul conto bancario o la carta di credito dei genitori.

Se i minori utilizzano dispositivi quali PC, tablet, smartphone, smart TV, console per videogiochi, servizi di streaming online, usati anche da altri familiari, si può decidere di creare un profilo con impostazioni d’uso limitate, in modo che alcune delle app installate o alcuni contenuti non siano accessibili ai minori.

Nei casi in cui ci siano dubbi sull’effettivo rispetto delle norme o sul corretto uso dei propri dati personali, ci si può rivolgere al Garante per la protezione dei dati personali.

Per informazioni e tutela: www.garanteprivacy.it

Vi siete mai chiesti quanto tempo può metterci un hacker o un cybercriminale a decifrare le vostre password?

Kaspersky Password manager: molto più di un gestore di Password

Categorie