Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati

Tratto da www.garanteprivacy.it – News del 17/06/2024

Il Garante Privacy ha pubblicato sul suo sito Internet il Provvedimento del 6 giugno 2024 – Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati.

ll provvedimento è consultabile al seguente link.

18 Luglio 2024

Password: la compromissione è un gioco da ragazzi per i cybercriminali

Tratto da: www.lineaedp.it

Redazione: Redazione LineaEDP – 21/06/2024

Gli algoritmi di smart guessing aiutano i cybercriminali a compromettere le password deboli

Attraverso un nuovo studio, a giugno 2024 Kaspersky ha analizzato 193 milioni di password, che sono state trovate nel dominio pubblico su varie risorse darknet. I risultati dimostrano che la maggior parte delle chiavi d’accesso analizzate non erano sufficientemente forti e potevano essere facilmente compromesse utilizzando algoritmi di smart guessing. Ecco come capire la velocità con cui ciò può accadere:

  • 45% (87 milioni) in meno di 1 minuto.
  • 14% (27 milioni) – da 1 minuto a 1 ora.
  • 8% (15 milioni) – da 1 ora a 1 giorno.
  • 6% (12 milioni) – da 1 giorno a 1 mese.
  • 4% (8 milioni) – da 1 mese a 1 anno.

Gli esperti hanno ritenuto resistenti solo il 23% (44 milioni) delle chiavi d’accesso e per comprometterle ci vorrebbe più di un anno.

Inoltre, la maggior parte delle chiavi d’accesso esaminate (57%) contiene una parola del dizionario, il che ne riduce significativamente la forza. Tra le sequenze di vocaboli più popolari, si possono distinguere diversi gruppi:

  • Nomi: “ahmed”, “nguyen”, “kumar”, “kevin”, “daniel”.
  • Parole ricorrenti: “per sempre”, “amore”, “google”, “hacker”, “gamer”.
  • Password standard: “password”, “qwerty12345”, “admin”, “12345”, “team”.

L’analisi ha mostrato che solo il 19% di tutte le password contiene gli elementi di una combinazione forte e difficile da decifrare: lettere minuscole e maiuscole, numeri e simboli e non contiene parole standard del dizionario. Allo stesso tempo, lo studio ha rivelato che il 39% di queste chiavi d’accesso potrebbe essere indovinato con algoritmi intelligenti in meno di un’ora.

L’aspetto più preoccupante è che gli aggressori non hanno bisogno di conoscenze approfondite o di attrezzature costose per decifrare le chiavi d’accesso. Ad esempio, un potente processore di un computer portatile è in grado di trovare la combinazione corretta per una password di 8 lettere minuscole o cifre utilizzando la forza bruta in soli 7 minuti. Inoltre, le moderne schede video sono in grado di svolgere lo stesso compito in 17 secondi. Inoltre, gli algoritmi intelligenti per indovinare le password considerano le sostituzioni di caratteri (“e” con “3”, “1” con “!” o “a” con “@”) e le sequenze più diffuse (“qwerty”, “12345”, “asdfg”).

Alcuni consigli da Kaspersky

Per migliorare la policy in materia di password, gli utenti possono utilizzare i seguenti semplici consigli:

  • È quasi impossibile memorizzare chiavi d’accesso lunghe e uniche per tutti i servizi utilizzati, ma con un password manager è possibile memorizzare una sola password principale.
  • Utilizzare una password diversa per ogni servizio, in questo modo, anche se uno dei propri account venisse rubato, gli altri non sarebbero coinvolti.
  • Le passphrase possono essere più sicure quando si usano parole inaspettate. Anche se si utilizzano parole comuni, è possibile disporle in un ordine insolito e assicurarsi che non siano correlate. Esistono anche servizi online che aiuteranno a verificare se una password è abbastanza forte.
  • È meglio non utilizzare chiavi d’accesso che possano essere facilmente indovinate a partire da informazioni personali, come date di nascita, nomi di familiari, animali domestici o il proprio nome. Questi sono spesso i primi tentativi che compie un aggressore per indovinare la password.
  • Attivare l’autenticazione a due fattori (2FA). Nonostante non sia direttamente correlata alla forza delle password, l’attivazione della 2FA aggiunge un ulteriore livello di sicurezza. Anche se qualcuno scoprisse la password, avrebbe comunque bisogno di una seconda forma di verifica per accedere all’ account. I moderni gestori di password memorizzano le chiavi 2FA e le proteggono con i più recenti algoritmi di crittografia.
  • L’utilizzo di una soluzione di sicurezza affidabile aumenta il livello di protezione. Monitora Internet e il Dark Web e avvisa se le password devono essere modificate.

Informazioni sullo studio della vulnerabilità delle password

La ricerca è stata condotta sulla base di 193 milioni di password pubblicamente disponibili su varie risorse della darknet.

Nell’ambito del sondaggio, gli esperti Kaspersky hanno utilizzato i seguenti algoritmi per indovinare le chiavi d’accesso:

  • Bruteforce: è un metodo per indovinare una password che consiste nel provare sistematicamente tutte le possibili combinazioni di caratteri fino a trovare quella corretta.
  • Zxcvbn: è un algoritmo di punteggio avanzato disponibile su GitHub. Per una password esistente, l’algoritmo ne determina lo schema. Successivamente, l’algoritmo conta il numero di iterazioni di ricerca necessarie per ogni elemento dello schema. Quindi, se la chiave d’accesso contiene una parola, la sua ricerca richiederà un numero di iterazioni pari alla lunghezza del dizionario. Avendo a disposizione il tempo di ricerca per ogni elemento dello schema, possiamo contare la forza della password.
  • Algoritmo di smart guessing: è un algoritmo di apprendimento. Basandosi sul set di dati delle password degli utenti, può calcolare la frequenza delle varie combinazioni di caratteri. Quindi può generare prove a partire dalle varianti più frequenti e dalle loro combinazioni a quelle meno ricorrenti.

26 Giugno 2024

Bitdefender Scamio anche in Italia – Un potente servizio di rilevamento delle truffe basato sull’AI

 
 
 

Tratto da www.bitdefender.it/news – 26/03/2024

Bitdefender, leader mondiale della sicurezza informatica, annuncia oggi la disponibilità di Bitdefender Scamio anche in lingua italiana. Si tratta di un servizio gratuito che si occupa di rilevamento delle truffe e progettato per aiutare gli utenti a verificare le minacce fraudolente online distribuite via email, link incorporati, SMS e messaggistica istantanea attraverso l’uso di un chatbot alimentato dall’intelligenza artificiale (AI).

Le frodi online continuano ad aumentare ogni anno. Secondo un rapporto della Federal Trade Commission (FTC), nel 2022 gli utenti hanno subito perdite pari a 8,8 miliardi di dollari a causa delle frodi, un aumento del 30% rispetto all’anno precedente. Le truffe tramite SMS hanno rappresentato da sole 330 milioni di dollari di perdite, più che raddoppiate. La recente adozione da parte degli hacker dell’IA con modelli linguistici di grandi dimensioni (LLM), per creare contenuti dannosi estremamente difficili da individuare, è destinata a intensificare la sfida contro le frodi online.

Bitdefender Scamio è un chatbot personale per il rilevamento delle truffe che offre una seconda verifica sui potenziali tentativi di frode analizzando email, SMS, immagini, singoli link e persino codici QR. Gli utenti devono semplicemente inserire i contenuti dubbi in Scamio e descrivere in modo colloquiale le modalità con cui sono stati ricevuti. Scamio fornisce un verdetto in pochi secondi, insieme a raccomandazioni su ulteriori azioni (“eliminare” e/o “bloccare il contatto”, ad esempio) e misure preventive per proteggersi da quel tipo di truffa in caso di tentativi futuri.

Oltre all’avanzata intelligenza artificiale, Scamio si avvale delle tecnologie di protezione, prevenzione e rilevamento delle minacce di Bitdefender per massimizzare le percentuali di rilevamento delle scansioni, integrate da un’innovativa decodifica del contesto per fornire verdetti basati sulla comprensione di circostanze particolari. Questo è molto efficace per i tipi di frode complessi, come il social engineering, che possono eludere le normali forme di rilevamento.

Scamio è semplice da usare, supporta qualsiasi dispositivo o sistema operativo ed è consultabile tramite browser web o tramite Facebook Messenger dopo una rapida configurazione dell’account. Incorpora un’avanzata elaborazione del linguaggio naturale (NLP) per comprendere e interpretare accuratamente le conversazioni degli utenti (anche le sfumature linguistiche e sottigliezze tipicamente utilizzate nelle truffe). Scamio è completamente gratuito e non richiede alcun download o accesso precedente a un prodotto Bitdefender.
 

Disponibilità

Bitdefender Scamio è ora disponibile in lingua italiana e può essere utilizzato gratuitamente da chiunque. Per maggiori informazioni o per provare Scamio, basta accedere al seguente link: https://www.bitdefender.it/solutions/scamio.html

14 Giugno 2024

Intelligenza artificiale: dal Garante privacy le indicazioni per difendere i dati personali dal web scraping

Tratto da www.garanteprivacy.it – Newsletter del 07/06/2024

Il Garante privacy ha pubblicato le indicazioni per difendere i dati personali pubblicati online da soggetti pubblici e privati in qualità di titolari del trattamento dal web scraping, la raccolta indiscriminata di dati personali su internet, effettuata, da terzi, con lo scopo di addestrare i modelli di Intelligenza artificiale generativa (IAG). Il documento tiene conto dei contributi ricevuti dall’Autorità nell’ambito dell’indagine conoscitiva, deliberata lo scorso dicembre.

In attesa di pronunciarsi, all’esito di alcune istruttorie già avviate tra le quali quella nei confronti di OpenAI, sulla liceità del web scraping di dati personali effettuato sulla base del legittimo interesse, l’Autorità ha ritenuto necessario fornire a quanti pubblicano online dati personali in qualità di titolari del trattamento talune prime indicazioni sull’esigenza di compiere alcune valutazioni in ordine all’esigenza di adottare accorgimenti idonei a impedire o, almeno, ostacolare il web scraping.

Nel documento l’Autorità suggerisce alcune tra le misure concrete da adottare: la creazione di aree riservate, accessibili solo previa registrazione, in modo da sottrarre i dati dalla pubblica disponibilità; l’inserimento di clausole anti-scraping nei termini di servizio dei siti; il monitoraggio del traffico verso le pagine web per individuare eventuali flussi anomali di dati in entrata e in uscita; interventi specifici sui bot utilizzando, tra le altre, le soluzioni tecnologiche rese disponibili dalle stesse società responsabili del web scraping (es: l’intervento sul file robots.txt.).

Si tratta di misure non obbligatorie che i titolari del trattamento dovranno valutare, sulla base del principio di accountability, se mettere in atto per prevenire o mitigare, in maniera selettiva, gli effetti del web scraping, in considerazione di una serie di elementi: lo stato dell’arte tecnologico; i costi di attuazione, in particolare per le PMI.

Il provvedimento, consultabile sul sito www.gpdp.it.

Videosorveglianza e rilevazione delle presenze: il Garante Privacy sanziona un Comune

Tratto da www.garanteprivacy.it – Newsletter del 21/05/2024

L’installazione degli “occhi elettronici” nei luoghi di lavoro deve rispettare gli obblighi previsti dallo Statuto dei lavoratori e le garanzie assicurate ai dipendenti dalla normativa privacy. Il principio è stato ribadito dal Garante Privacy che ha inflitto ad un Comune una sanzione di 3mila euro per trattamento illecito di dati personali.

L’Autorità è intervenuta a seguito della segnalazione di una dipendente che lamentava l’installazione di una telecamera nell’atrio del Comune, in prossimità dei dispositivi di rilevazione delle presenze dei lavoratori. Attraverso l’utilizzo delle immagini registrate, l’amministrazione aveva contestato alla dipendente alcune violazioni dei propri doveri d’ufficio, tra cui il mancato rispetto dell’orario di servizio. Alla richiesta di spiegazioni da parte dell’Autorità, il Comune ha risposto che la telecamera era stata installata per motivi di sicurezza, a seguito di alcune aggressioni ai danni di un assessore e di un’assistente sociale. 

Nel corso dell’istruttoria il Garante ha rilevato che il Comune non aveva, tuttavia, assicurato il rispetto delle procedure di garanzia previste dalla disciplina di settore in materia di controlli a distanza e aveva peraltro utilizzato le immagini di videosorveglianza per adottare un provvedimento disciplinare nei confronti della lavoratrice.

L’Autorità ha, pertanto, sanzionato l’Amministrazione ingiungendo, inoltre, alla stessa di fornire a tutti gli interessati (lavoratori e visitatori presso la sede comunale) un’idonea informativa sui dati personali trattati mediante l’utilizzo della telecamera in questione. Il Comune non aveva infatti reso tutti gli elementi informativi previsti dal Regolamento europeo, né potevano essere considerati idonei altri documenti redatti dal titolare per diversi fini.

22 Maggio 2024

Blog & News

Categorie