Negli scorsi articoli abbiamo iniziato ad addentrarci un passo per volta nel mondo della web security parlando del protocollo HTTP e della sua “versione sicura” HTTPS.
HTTP tuttavia è un protocollo stateless, ossia che non è in grado di memorizzare informazioni riguardo le varie richieste.
Ogni connessione viene chiusa dopo che la risposta è stata fornita, e pertanto due richieste anche consecutive sono completamente indipendenti. Questo chiaramente costituisce di per sè una grave inefficienza.
Per riparare a questa carenza, ancora nel lontano 1994, fu introdotto il concetto di cookie, letteralmente in italiano “biscottino”.

Il cookie, nella pratica, non è altro che un piccolo insieme di informazioni (qualche kilobyte) che viene salvato sul computer dell’utente, e che riguarda l’utente stesso. Insomma, consente di memorizzare a lato client lo stato di una sessione.
Esso viene trasmesso tramite gli Header HTTP delle Request e Response tra server e client, e viene creato tramite il campo set-cookie la prima volta che un utente si connette ad un server che ne richiede la presenza.
E’ solitamente composto da una coppia nome-valore e al momento del settaggio possono essere impostati attributi diversi quali il dominio di provenienza, il percorso, la scadenza, o alcuni flag (Secure e HTTPOnly) di cui parleremo più avanti. In alcuni casi, quando le informazioni da memorizzare sono molte, nel cookie è indicato soltanto l’indice di un database che poi risiede sul server.

Il sistema dei cookie fa in modo che ogni volta che il client si riconnette allo stesso server, inserendo nell’header dell’HTTP Request il cookie, permetterà di riutilizzare le informazioni memorizzate. Come anticipato, con l’attributo expires è  possibile determinare anche una scadenza.
Essi infatti si suddividono sostanzialmente tra cookie di sessione, che vengono eliminati alla chiusura del browser, e cookie persistenti, che invece possono rimanere anche per sempre nel disco rigido dell’utente. Sebbene siano passati quasi 20 anni dalla loro prima implementazione, essi hanno tutt’ora un ruolo centrale nella gestione delle informazioni in HTTP, e ricoprono molteplici funzioni quali la memorizzazione delle credenziali d’accesso, di informazioni sugli shopping cart nei siti di e-commerce oppure le preferenze di personalizzazione di pagine web.

Tuttavia fin da quando sono stati presentati i cookie hanno sempre suscitato grandi dibattiti e polemiche sul loro uso smodato, e sull’intrinseca  mancanza di sicurezza. Innanzitutto, uno dei grandi problemi che li riguarda è la presenza di “third-party cookie” cioè cookie di terze parti che non sono impostati dal sito visitato bensì da altri elementi della pagina web quali i banner pubblicitari, e hanno lo scopo di “spiare” l’utente raccogliendo informazioni sulle sue abitudini a fini economici. Questi cookie secondo lo stesso IETF, il team che si occupa dell’evoluzione di Internet, non dovrebbero essere permessi; infatti, nella maggior parte dei browser esiste l’opzione per disabilitarli.

Ma a parte queste questioni, più correlate a violazioni di privacy piuttosto che di security, i cookie sono stati spesso sfruttati per portare attacchi violando la sicurezza di HTTP.
Proprio a questo argomento sarà dedicato interamente il prossimo articolo.

Come già delineato dalle versioni in fase di sviluppo dei prossimi sistemi operativi, il futuro ci riserva dispositivi mobili e fissi sempre più simili tra loro e, molto probabilmente, prima o poi indistinguibili. Di conseguenza il mercato delle app (applicazioni) risulterà sempre più fondamentale, probabilmente diventando il principale discriminante per la scelta di un device. Difficilmente può essere colmanta la mancanza di certe app, poichè non tutte sono disponibili in tutti i market virtuali. Essendo poi i tablet difficilmente “aperti” a (scomode) soluzioni quali il multiboot e la virtualizzazione tradizionale, l’idea che ha avuto il team di BlueStacks sembra davvero geniale.

La creatura in questione è App Player, un runtime in grado di eseguire senza alcun problema applicazioni Android… potenzialmente in qualunque sistema sistema operativo. Il progetto, nonostante sia ancora nella sua fase beta-1 disponibile solo per Windows, risulta ben ottimizzato e utilizzabile senza troppi problemi.
Basta richiedere la versione di prova, fornendo un indirizzo email in qualità di beta tester e dopo l’installazione ci si trova davanti ad un sistema operativo Android ridotto abbastanza all’osso, ma con quasi tutto ciò che serve. Infatti abbiamo a disposizione 3 diversi App Stores (1 Mobile Market, GetJar e quello “alternativo” di Amazon), riuniti da una semplice barra di ricerca nella finestra principale, che comunque, eseguendo ricerche anche su siti “esterni”, mette a disposizione tutto l’intero panorama Android.

BlueStacks App Player: App Stores

BlueStacks App Player: installazione

L’installazione non necessita di alcuna configurazione e, nel momento in cui si scarica da GetJar o 1 Mobile Market, non occorre nemmeno alcuna registrazione. Come “assaggio” in questa beta sono già preinstallate alcune applicazioni, tra cui Angry Brids Space, probabilmente per dimostrare la fluidità di esecuzione del gioco, senza dubbio impeccabile.

BlueStacks App Player: Angry Birds

Come oramai sembra d’obbligo, non può certo mancare un servizio cloud che permetta di sincronizzare le app magari già presenti sul nostro smartphone: CloudApp, dopo una breve configurazione e l’installazione di un client sullo smartphone, permette di tenere sincronizzate le app tra Windows e Android.

Non manca poi il pannello per le configurazioni, nel quale risulta degna di nota la voce Change App Size, che permette all’utente di decidere la modalità di esecuzione delle app (modalità smartphone o tablet, ad esempio).

BlueStacks App Player: configurazione

Una piccola mancanza risulta essere il collegamento con il proprio account Google, che permetterebbe di accedere senza problemi a tutte i servizi di BigG configurando l’account solo una volta, ma del resto si tratta pur sempre di una versione beta.
Il progetto contiene già le ottimizzazioni necessarie per girare in ambiente Windows 8, diventando di fatto già una “killer app” per i futuri tablet, nonostante questi siano ancora inesistenti.

Il futuro di questo runtime sembra molto promettente, anche perchè il team sembra stia già pensando a versioni per altri “base OS”, che possono essere potenzialmente tutti: Windows, Linux (tutte le varianti), Chrome OS o lo stesso Android. Ma non solo, la struttura alla base sembra pronta anche alla funzione “inversa”: si parla già di “Windows in Android” (quindi di emulazione x86 su un ARM).
Non resta che aspettare ulteriori versioni e vedere come realmente se la caverà sui tablet: ha le carte in regola per fare davvero la differenza.

Le suite per ufficio offrono sempre un programma per la videoscrittura, che spesso viene utilizzato per creare pagine da stampare.
Quando si vuole un risultato preciso e professionale, però, l’utente si scontra con alcune impostazioni complesse da personalizzare, o anche solo che richiedono molto tempo, in particolare per quanto riguarda immagini, tabelle e formule matematiche.

Chi ha frequentato ambienti scientifici sa che scrivere una formula matematica in Microsoft Word o OpenOffice.org/LibreOffice Writer richiede un tempo notevole, e se si volesse addirittura modificarne la formattazione l’impresa si fa quasi ardua.
Sempre chi ha frequentato ambienti scientifici è a conoscenza di un linguaggio di markup dalle elevatissime potenzialità e infinite personalizzazioni, ben supportato da forum e gruppi di utilizzo nazionali, e tutto sommato semplice da utilizzare: LaTeX.

Cos’è LaTeX

Secondo la definizione del GUIT, (La)TeX è “un sistema di tipografia digitale basato su un linguaggio testuale”: un sistema, perché oltre alla formattazione comprende una meravigliosa collezione di software ad esempio per la gestione della bibliografia o delle immagini; di tipografia digitale, perché crea testi e file “ready-to-print”; basato su un linguaggio testuale perché un file LaTeX non è altro che un file di testo.

Storia

LaTeX, o per meglio dire TeX, nasce nel 1978 dalla genialità di Donald Knuth, che lo utilizza per redigere “The Art Of Computer Programming”: si tratta di un programma di composizione tipografica con un formattatore matematico automatico.
Tuttavia, la versione di Knuth risulta poco pubblicizzata (ancorché libera) e rimane un programma di nicchia, finché Leslie Lamport, nel 1985, non lo rende più user-friendly, elevando il livello del markup e rendendolo così molto più semplice da utilizzare.

Immagini e tabelle

Come già accennato, la grande potenza di LaTeX risiede nella possibilità di ottenere file correttamente impaginati, e nella flessibilità: attraverso un elevatissimo numero di opzioni, è possibile effettuare tutte le operazioni previste da un editor di testo classico (font, dimensione, evidenziazione e decorazione), ma anche inserire immagini e tabelle lasciando “scegliere” al software la posizione più adatta, senza preoccuparsi della gestione delle cosiddette righe orfane (l’ultima riga di un paragrafo che finisce nella pagina successiva).
Infatti, LaTeX si occupa da sé del posizionamento di immagini, tabelle, disegni, formule e quant’altro, adattando adeguatamente la spaziatura e la posizione dei paragrafi. In caso di necessità, ovviamente, l’utente può forzare tali impostazioni.

Riferimenti e bibliografia

LaTeX è in grado, quasi del tutto autonomamente, di gestire i riferimenti (ad immagini, tabelle, formule, ma anche paragrafi, capitoli e sezioni) e i riferimenti bibliografici (grazie al software BibTeX), chiedendo all’utente di inserire solamente le etichette (label) nel punto desiderato.
In modo invece completamente automatico LaTeX è in grado di generare un indice per il documento, compreso ovviamente un riferimento (corretto) alle pagine.

In sostanza, LaTeX permette di automatizzare gran parte delle operazioni più complesse per i comuni editor di testo; il prezzo da pagare è l’installazione di un software gratuito e imparare un nuovo linguaggio di markup.
Per maggiori informazioni su LaTeX, guide, esempi ed un forum, è a disposizione il sito del GUIT.

Martedì 28 febbraio è stata rilasciata la prima beta utilizzabile del futuro sistema operativo made in Redmond, denominata per l’occasione Consumer Preview.
Si tratta di un assaggio di ciò che il futuro ci aspetta, ricco di sorprese piacevoli e alcune delusioni.

Microsoft (come spiega chiaramente nel blog Building Windows 8 ) si è soffermata su ogni singolo aspetto del sistema operativo, argomentando le scelte più importanti.
Per analizzare un sistema operativo non c’è forse miglior punto di partenza del… boot. Il Secure Boot, un protocollo UEFI (quindi relativamente poco collegato a Microsoft) che permette per la prima volta una vera e propria sicurezza “alla radice” del sistema operativo, ha destato molto scalpore: questa policy si occupa della verifica dell’ambiente “pre-OS”, validando l’autenticità dei componenti di avvio, estirpando del tutto i malware situati nel bootloader. Risultato? Sicurezza in più per Windows… ma, a prima vista, impossibilità di multiboot con sistemi che non supportino tale funzionalità (essendo il firmware del computer a gestire il boot). Sembrava la fine del software open (infatti difficilmente tecnologie del genere potranno essere implementati in distro Linux “full” open-source), ma fortunatamente Microsoft vuole che “sia l’acquirente ad avere il pieno controllo del PC”, semplicemente permettendo il boot di Windows 8 anche a policy disattivata.

Il boot risulta da subito molto veloce, addirittura 5 o 6 secondi nei casi migliori. E ciò che apparirà sarà un’interfaccia del tutto familiare agli utilizzatori di Windows Phone 7, del tutto nuova per chi è abituato ai cari vecchi Windows. La Metro UI è minimale, piatta e dinamica, abbastanza funzionale e senza dubbio molto originale. Alla base si trovano i tiles, i quadrilateri che vanno a sostituire le icone che ci hanno sempre accompagnato per mostrare non solo l’icona del software, ma aggiornamenti live direttamente dall’applicazione stessa. Lo sviluppo del sistema (e delle applicazioni ottimizzate in Metro UI) è orizzontale: senza dubbio una novità non strabiliante ma un po’ diversa dal solito, a cui è facile abituarsi.
Ma qui vengono le prime note dolenti: la Metro UI risulta principalmente Touch-friendly, un bene per i Windows Tablet, assolutamente un male per i Mouse lover. Si spera che Microsoft permetta la disattivazione o, meglio, riesca ad ottimizzare l’interfaccia per i PC desktop che possono sì essere equipaggiati da moderni display touchscreen, ma forse non risulterebbero campioni di ergonomia nell’uso quotidiano su scrivania.

Windows 8: l'interfaccia Metro UI

Microsoft ha fortunatamente strizzato l’occhio anche alla retrocompatibilità, lasciando quasi intatta la ben riuscita (e conservatrice) interfaccia Aero. Le due interfacce convivono, forse a fatica, attivandosi nel momento in cui l’applicazione lo richiedesse. Un altro “colpo al cuore” per gli utilizzatori più conservatori sta nella totale assenza, per la prima volta, del pulsante Start, rimpiazzato da SuperBar (già vista in Windows 7) e Menu in stile Metro. Molto difficile abituarsi, anche perchè (soprattutto nel testing) il menu start era capace di mostrare tutto il contenuto del sistema, i cambiamenti alla applicazioni di sistema ma soprattutto ha da sempre caratterizzato Windows.

Windows 8: l'interfaccia Aero

Le novità comunque sono molte, assolutamente uno dei salti più ampi che abbia mai fatto Windows: in primis il Marketplace, nato sull’onda dei vari Store digitali e oramai indispensabile. Per la prima volta un antivirus (in questo caso Microsoft Security Essentials) risulta già installato e funzionante.

Windows 8: il Marketplace

Novità essenziale, per concludere, è la disponibilità di versioni x86/x64 e ARM, con applicazioni in comune (le Metro) e pronte a equipaggiare quasi tutte le categorie di dispositivi esistenti; tuttavia, le applicazioni x86/x64 non saranno compatibili con ARM, e il Secure Boot è obbligatorio sui tablet.

Non resta che attendere le future versioni, Beta 2 o Release Candidate che siano e scrutare in futuro il nuovo crescente mercato dei tablet, che sembra essere l’unico futuro.

Al giorno d’oggi moltissime persone sono in grado di navigare in internet, ma quanti sanno quel che avviene realmente nel momento in cui ci si connette ad un sito web? Quando accediamo ad un sito non facciamo altro che inoltrare una richiesta tramite il nostro programma client (il browser) ad un server che contiene la pagina web che desideriamo visualizzare. Il server interpreta la richiesta e risponde mostrandoci la pagina domandata. Questo tipo di comunicazione è stata pensata e standardizzata in un protocollo noto come HyperText Transfer Protocol, o più semplicemente HTTP.

Il protocollo HTTP definisce le regole per il trasferimento di informazioni sulla rete, da server a client. Tale protocollo è situato al Livello Applicazione dello stack ISO/OSI che standardizza la comunicazione tra calcolatori. In pratica, quando vogliamo visitare un sito internet, creiamo una connessione TCP con il server che contiene la pagina desiderata sulla porta nota 80. Qualora il server accetti la connessione, saremo in grado di inviargli dei messaggi di richiesta noti come HTTP request a cui egli risponderà con un HTTP response. Una tipica HTTP request contiene diversi elementi tra cui il metodo utilizzato, l’oggetto richiesto, la versione di HTTP, l’Header del messaggio (informazioni e parametri utili per la comunicazione) e il Body (il corpo del messaggio in cui, ad esempio, viene inserito il codice HTML della pagina).

Per quanto questo protocollo sia utilizzato fin dagli albori della storia del Web, esso soffre di una totale carenza di sicurezza concretizzata nell’assenza di autenticazione delle parti, confidenzialità e integrità dei dati. Le informazioni trasmesse tramite HTTP, ad esempio nel campo Authorization dell’header, possono essere facilmente intercettate o modificate. E’ per questo motivo che è stato introdotto HTTP Secure, noto come HTTPS, ma conosciuto anche come “HTTP over SSL/TLS” proprio perché non si tratta di un nuovo protocollo, ma di HTTP a cui è stato applicato il protocollo SSL/TLS (Secure Socket Layer/Transport Layer Security). Il funzionamento è semplice: gli HTTP request e response non sono più spediti in chiaro, ma vengono trasmessi cifrati, garantendo la confidenzialità dei messaggi. Inoltre viene anche applicato un algoritmo di hashing, ossia una funzione one-way che certifica che il messaggio non è stato modificato e che quindi è integro. Non solo, per evitare ulteriori minacce, come per esempio la frapposizione di un attacker nella comunicazione, SSL/TLS consente anche di identificare il server ed (opzionalmente) anche il client mediante un certificato. L’uso di HTTPS avviene in automatico per tutte le URL di tipo https:// e la comunicazione non utilizza più la porta 80 ma la 443. Ci si può accorgere che la comunicazione viene cifrata anche dalla comparsa di un lucchetto nella barra degli indirizzi del proprio browser. Solitamente i portali di e-commerce, home banking, ma anche i social network, o altri siti al momento del login, fanno uso di questo protocollo affinché le informazioni siano trasferite in sicurezza.

Ma quindi utilizzando HTTPS siamo in grado di comunicare in modo totalmente sicuro? In realtà la sicurezza si ottiene in modo congiunto a livelli differenti. Ma non solo, negli ultimi anni in HTTPS sono state scoperte differenti falle. In particolare nel 2009 è stata scoperta una vulnerabilità di tipo Plaintext Injection in SSL 3.0 e in tutte le versioni di TLS che ha portato ad un attacco noto come TLS Renegotiation Attack. Tale attacco consente ad un utente qualsiasi di decifrare la comunicazione tra client e server, rendendo così inutile l’uso di HTTPS. Ma di questo e altri problemi, parleremo in nei prossimi articoli.

Nell’ultimo periodo mi è capitato, sempre più spesso, di vedere persone navigare tranquillamente su Internet con il proprio netbook, smartphone o tablet mentre, come me, si recano al lavoro in treno.
Una discreta parte di esse si limita a leggere l’edizione online del quotidiano preferito, o rimanere aggiornata in merito alle ultime notizie. Ma c’è anche un’altra parte, probabilmente composta dalle fasce meno “digitalizzate”, che controlla anche le mail o i propri acquisti online.

Questo comportamento può pericolosamente offrire il fianco a ladri di identità, o semplicemente diffondere informazioni potenzialmente sensibili, specie se – come capita nei miei viaggi – ci sono altre persone che possono “spiare”, più o meno volontariamente, lo schermo del dispositivo.
Chiaramente, l’impatto e la possibilità di shoulder surfing (cioè, cercare di individuare una password osservando i caratteri digitati) è in stretta correlazione con le dimensioni del dispositivo stesso: più lo schermo e la tastiera sono grandi, maggiore è la possibilità che qualcuno possa leggere quanto visualizzato e digitato.
Da questo punto di vista, il tablet è forse il device più a rischio: l’utilizzo di una tastiera a schermo, con i tasti che cambiano dimensione quando premuti, sommato magari ad una certa lentezza nella digitazione, può causare una più semplice lettura di password, mentre lo schermo ampio aumenta la leggibilità dei dati.

Si immagini per un attimo di controllare la propria casella mail privata su un tablet, in treno. Cosa può leggere o dedurre un osservatore, a partire da quanto visualizzato a schermo e/o digitato?
1. Nome e cognome, che spesso costituiscono l’indirizzo mail.
2. Eventualmente età, se i primi due elementi sono piuttosto comuni.
3. Eventualmente la provincia di residenza.
4. Password dell’account.
Ora stiamo entrando nella nostra casella mail privata; già 4 potenziali informazioni personali sono disponibili ad uno “spione” sufficientemente attento.
A questo punto è possibile visualizzare o inferire altre informazioni sulla base delle ultime mail ricevute.

Si supponga di essere iscritti ad un sito di compravendite online; la maggior parte di essi fornisce un servizio di informazioni personalizzate riguardo i propri “acquisti preferiti”. In base a quanto acquistato in passato, quindi, il nostro “shoulder surfer” può inferire altre informazioni:
5. Disponibilità economica, sulla base del valore degli oggetti acquistati.
6. Abitudini di acquisto (frequenza, numero di oggetti, tipologia di oggetti).
Sulla base delle altre e-mail ricevute, è potenzialmente possibile inferire anche informazioni ben più private, sino a quelle sensibili, che ricordiamo essere inerenti a politica, religione, sesso e salute.

Sono molte le informazioni deducibili da un’attenta occhiata alla “posta in arrivo” visualizzata su un dispositivo in un luogo affollato. E’ quindi opportuno porre attenzione a come utilizzare la connettività a disposizione, evitando sia la paranoia che un potenziale flusso incontrollato di informazioni.

I sistemi biometrici sono basati su caratteristiche fisiche o comportamentali distintive per ogni individuo (i tratti biometrici).
Per essere utilizzato, un tratto biometrico deve soddisfare 7 proprietà.
- Universalità: ogni persona deve possedere il tratto biometrico;
- Unicità: due persone non devono avere lo stesso tratto biometrico;
- Permanenza: il tratto deve essere permanente nel tempo;
- Misurabilità: deve essere possibile misurare il tratto quantitativamente;
- Performabilità: deve garantire accuratezza nell’identificazione;
- Accettabilità: la percentuale di persone disposta ad accettare l’uso del sistema deve essere sufficientemente elevata;
- Circonvezione: difficoltà nell’ingannare il sistema con tecniche fraudolente.

L’impronta digitale è il tratto biometrico più antico e diffuso del mondo. Si tratta di un pattern che non varia nel tempo, composto da creste e valli che si sviluppa da una configurazione apparentemente casuale già presente nell’embrione. Per l’acquisizione dell’impronta digitale vengono utilizzati diversi sensori (ad esempio sensori termici, ottici o semplici scanner), mentre per il riconoscimento esistono tre approcci:
- il confronto “pixel-by-pixel” delle due immagini (correlation-based);
- la ricerca delle creste nelle due immagini (ridge feature-based);
- la ricerca ed il confronto delle minuzie presenti nelle due immagini (minutia-based).

L’iride è una membrana di piccole dimensioni, coperta da palpebre e ciglia, bagnata dalle lacrime ed in continuo movimento; una corretta acquisizione di immagini iridee è quindi estremamente complessa, a causa della presenza di possibili riflessi, occlusioni e scostamento dello sguardo (che può impedire un’adeguata stima della regione di interesse).
I sistemi di riconoscimento biometrico basati sulle caratteristiche dell’iride sono attualmente considerati come i sistemi in grado di fornire maggiore accuratezza. Per questo motivo sono utilizzati in numerose applicazioni critiche, come in aeroporti e dogane.

Il volto è uno dei tratti la cui acquisizione è meno invasiva. Per acquisire le immagini possono essere utilizzati dei sensori, webcam o macchine fotografiche digitali.
Per il riconoscimento del volto invece vengono utilizzati due diversi approcci:
- trasformazione;
- attributi.
Nell’approccio denominato “trasformazione” viene creata una “base di immagini” ed il volto viene riconosciuto attraverso la somma di immagini contenute nella base.
Nel caso invece dell’approccio tramite “attributi” viene localizzato il volto e vengono misurate delle caratteristiche fisiche, come ad esempio la distanza fra gli occhi,la lunghezza del naso,la larghezza della bocca.

Un altro tratto poco invasivo (e quindi molto ben accetto dagli utenti) è la mano. La mano offre un discreto livello di sicurezza e può essere utilizzato in un sistema multimodale, cioè un sistema dove vengono controllati più tratti biometrici contemporaneamente.
L’acquisizione delle immagini avviene attraverso uno scanner ed esistono tre approcci per il riconoscimento:
- misura delle lunghezze caratteristiche (dita, palmo);
- confronto diretto singole immagini (palmo, ciascun dito);
- studio linee sul palmo.

La firma e la voce sono due tratti biometrici poco utilizzati dai sistemi in quanto hanno una bassa accuratezza e sono facili da frodare.

Per aumantare l’accuratezza e la robustezza dei sistemi (e quindi garantire un’elevata sicurezza) in certi casi vengono utilizzati i cosddetti sistemi multimodali, sistemi in cui vengono valutati più tratti biometrici contemporaneamente.

Una particolare branca della sicurezza informatica, chiamata Web Security, è dedicata alla sicurezza delle applicazioni Web; essa si applica alla suite TCP/IP, un insieme di protocolli organizzati su quattro livelli (Collegamento, Networking, Trasporto, Applicazione), ognuno dei quali esegue una determinata funzione nel processo di comunicazione. La sicurezza Web per essere efficiente deve coprire l’intera struttura TCP/IP, e non solo. In questo articolo si cercherà di presentare una panoramica di alcune soluzioni esistenti.

In ordine logico, la protezione va assicurata partendo dai livelli più esterni per arrivare al cuore del TCP/IP: il livello Applicazione permette l’interfacciamento con la rete, la fornitura di servizi e la connessione tra processi.
Per la protezione di questo livello si utilizza il protocollo SSL (Secure Sockets Layer) o TLS (Transport Layer Security), conosciuto anche come SSL/TLS. Tale protocollo, posizionato a livello di Trasporto, è in grado di garantire comunicazioni sicure per protocolli a livello Applicazione basati su TCP, garantendo l’autenticazione del server, la segretezza e l’integrità dei dati trasmessi. L’utilizzo congiunto di SSL/TLS applicato a HTTP si concretizza nel “protocollo sicuro” HTTPS, utilizzato da moltissimi siti o piattaforme e-commerce per effettuare accessi e transazioni sicure.

Proteggere il livello di trasporto non è sufficiente: molti attacchi possono essere perpetrati a livelli differenti.
Il livello Network si occupa della creazione ed inoltro dei pacchetti di rete. Le minacce esistenti a questo layer non sono poche, e sostanzialmente ricalcano due problemi: l’impossibilità di determinare con certezza la provenienza della comunicazione, falsificabile modificando l’indirizzo IP (IP Spoofing), e il fatto che i pacchetti possono essere intercettati (Packet Sniffing). Per proteggersi da questi pericoli bisogna innanzitutto cifrare i pacchetti per evitarne la modifica e la lettura, e possibilmente non basare l’autenticazione sugli indirizzi IP.
A tale scopo è stato sviluppato IPSec, estensione del protocollo IPv4 e parte integrante di IPv6, che costituisce un’altra suite di protocolli volti a garantire l’autenticazione del pacchetto e quindi della sorgente, l’integrità, e la segretezza. Senza entrare nel dettaglio, IPSec è in grado di offrire una connessione sicura sia tra due host (cifrando solo il contenuto del pacchetto), sia tra due gateway (cifrando invece l’intero pacchetto, compreso l’header).

Esistono molte altre minacce ancor più note che colpiscono il Web ad un livello ancora più alto. L’avvento dei siti dinamici, che consentono una certa interazione con l’utente e con un database, ha portato grande innovazione ma tanti nuovi pericoli.
Gli attacchi più comuni riguardano infatti vulnerabilità di Code Injection, iniezione di codice eseguibile permessa da un controllo inefficiente: XSS (Cross Site Scripting) e SQL Injection ne costituiscono importanti esempi. In entrambi i casi, un stringa malevola inserita in un input scarsamente validato produce come effetto l’alterazione della pagina web (XSS) o di una query destinata al database (SQL Injection). Queste minacce sono provocate da errori di programmazione, rendendo necessarie tecniche o tool per la verifica e il controllo del codice e delle pagine web.

I pericoli (e, fortunatamente, le soluzioni) inerenti il Web non si limitano a questa esemplificazione; obiettivo di questo articolo è stato il suggerimento di alcune tematiche da approfondire. Si tenga comunque conto che la sicurezza informatica in senso assoluto NON esiste. “La sicurezza non è un prodotto ma un processo. E’ come una catena la cui resistenza è determinata dell’anello più debole”. (Bruce Schneier)

Una particolare branca della sicurezza informatica, chiamata Web Security, è dedicata alla sicurezza delle applicazioni Web; essa si applica alla suite TCP/IP, un insieme di protocolli organizzati su quattro livelli (Collegamento, Networking, Trasporto, Applicazione), ognuno dei quali esegue una determinata funzione nel processo di comunicazione. La sicurezza Web per essere efficiente deve coprire l'intera struttura TCP/IP, e non solo. In questo articolo si cercherà di presentare una panoramica di alcune soluzioni esistenti.

In ordine logico, la protezione va assicurata partendo dai livelli più esterni per arrivare al cuore del TCP/IP: il livello Applicazione permette l'interfacciamento con la rete, la fornitura di servizi e la connessione tra processi.
Per la protezione di questo livello si utilizza il protocollo SSL (Secure Sockets Layer) o TLS (Transport Layer Security), conosciuto anche come SSL/TLS. Tale protocollo, posizionato a livello di Trasporto, è in grado di garantire comunicazioni sicure per protocolli a livello Applicazione basati su TCP, garantendo l'autenticazione del server, la segretezza e l'integrità dei dati trasmessi. L'utilizzo congiunto di SSL/TLS applicato a HTTP si concretizza nel "protocollo sicuro" HTTPS, utilizzato da moltissimi siti o piattaforme e-commerce per effettuare accessi e transazioni sicure.

Proteggere il livello di trasporto non è sufficiente: molti attacchi possono essere perpetrati a livelli differenti.
Il livello Network si occupa della creazione ed inoltro dei pacchetti di rete. Le minacce esistenti a questo layer non sono poche, e sostanzialmente ricalcano due problemi: l'impossibilità di determinare con certezza la provenienza della comunicazione, falsificabile modificando l'indirizzo IP (IP Spoofing), e il fatto che i pacchetti possono essere intercettati (Packet Sniffing). Per proteggersi da questi pericoli bisogna innanzitutto cifrare i pacchetti per evitarne la modifica e la lettura, e possibilmente non basare l'autenticazione sugli indirizzi IP.
A tale scopo è stato sviluppato IPSec, estensione del protocollo IPv4 e parte integrante di IPv6, che costituisce un'altra suite di protocolli volti a garantire l'autenticazione del pacchetto e quindi della sorgente, l'integrità, e la segretezza. Senza entrare nel dettaglio, IPSec è in grado di offrire una connessione sicura sia tra due host (cifrando solo il contenuto del pacchetto), sia tra due gateway (cifrando invece l'intero pacchetto, compreso l'header).

Esistono molte altre minacce ancor più note che colpiscono il Web ad un livello ancora più alto. L'avvento dei siti dinamici, che consentono una certa interazione con l'utente e con un database, ha portato grande innovazione ma tanti nuovi pericoli.
Gli attacchi più comuni riguardano infatti vulnerabilità di Code Injection, iniezione di codice eseguibile permessa da un controllo inefficiente: XSS (Cross Site Scripting) e SQL Injection ne costituiscono importanti esempi. In entrambi i casi, un stringa malevola inserita in un input scarsamente validato produce come effetto l'alterazione della pagina web (XSS) o di una query destinata al database (SQL Injection). Queste minacce sono provocate da errori di programmazione, rendendo necessarie tecniche o tool per la verifica e il controllo del codice e delle pagine web.

I pericoli (e, fortunatamente, le soluzioni) inerenti il Web non si limitano a questa esemplificazione; obiettivo di questo articolo è stato il suggerimento di alcune tematiche da approfondire. Si tenga comunque conto che la sicurezza informatica in senso assoluto NON esiste. "La sicurezza non è un prodotto ma un processo. E' come una catena la cui resistenza è determinata dell'anello più debole". (Bruce Schneier)

I tempi cambiano, ci si modernizza e cambiano i bisogni. Sono passati i tempi (sotto certi aspetti migliori) in cui il malware si divertiva ad infastidire l’utente, a diffondersi attraverso floppy, pendrive o hard disk esterni.

Il malware è come una comune attività criminale e, in quanto tale, deve “fruttare” sufficientemente.
La nuova frontiera, inutile ricordarlo, è il phishing, da sempre odiato e combattuto con filtri ormai adeguati e con un buon grado di precisione.
Ma c’è sempre il phisher più furbo in grado di eludere (bisogna ammetterlo: con stile) questi filtri.

Un esempio su tutti è questa recente mail, che a prima vista sembra proprio provenire dalle Poste Italiane. Nessun errore ortografico, nessuna imprecisione linguistica (come accedeva qualche tempo fa).
E un account email senza dubbio veritiero. Se non fosse che l’account a cui è arrivata non sia collegato in alcun modo a Poste Italiane!

Esempio di e-mail di phishing

Quello che preoccupa poi è anche il contenuto: non sono più gli avvisi di “vincite”, ma un aggiornamento della sicurezza del sito realmente in atto in questo periodo, quindi contenuti senza dubbio veritieri.
La curiosità spinge poi oltre: il sito linkato all’interno fa quasi impressione: perfettamente identico a http://postepay.it, se non fosse per l’url un po’ criptico, ma che per buona parte pare legittimo.
Ecco un confronto:

Sito di phishing

Sito originale

I consigli dunque sono pochi e semplici:
- Controllare sempre gli indirizzi email e prestare la massima attenzione nel cliccare i link in queste;
- Occhi fissi sulla barra degli indirizzi: generalmente i siti di online banking, pagamenti o simili utilizzano il protocollo HTTPS, che i browser evidenziano con lucchetti o icone verdi (ma che purtroppo Poste Italiane non sembra utilizzare);
- Nel momento in cui, come nell’esempio sopra citato, i dubbi siano forti e assolutamente legittimi esistono online numerosi siti in grado di fornire il whois, ovvero, attraverso il protocollo omonimo, informazioni sul reale intestatario del sito web.

Risultati della richiesta WHOIS

In questo caso non risulta in alcun modo affiliato con Poste Italiane, nonostante nel footer venga esposta la partita IVA…

In questo articolo vorrei trattare brevemente di indirizzi web o URL e di alcuni accorgimenti da adottare per essere al sicuro.
Su Internet è possibile imbattersi in cosiddetti siti web di phishing che imitano altri siti con l’intenzione di rubare i nostri dati personali e sensibili, come password o dettagli di carte di credito.

Basi di indirizzi web

Se dovessimo ricevere un’email contenente un link a www.forseti.it o www.facebook.com dobbiamo assicurarci che quelli siano rispettivamente gli indirizzi web di Forseti e Facebook. Dovremmo tuttavia prestare attenzione, dato che un indirizzo come www.facebook.com.profile.php.id.1234567.cn potrebbe, a prima vista, sembrare il sito di Facebook, ma non lo è. Se visitassimo questo sito, anche se vediamo la pagina di login di Facebook, vedremmo un sito di phishing.
Se avessimo un sito come http://www.forseti.it/blog/ il sito è quello tra i primi due slash e il seguente slash singolo (www.forseti.it). Il testo seguente è usato per specificare la risorsa o la pagina di quel sito Internet.
L’ultima parte del sito (prima dello slash singolo) solitamente indica la nazionalità del sito che stiamo per visitare, così se stiamo per visitare un sito italiano l’indirizzo dovrebbe terminare con “.it” o magari “.com”. Ogni paese ha il proprio codice, per esempio “.fr” per Francia, “.es” per Spagna, “.cn” per Cina eccetera. Il nostro finto indirizzo http://www.facebook.com.profile.php.id.1234567.cn finisce con “.cn”, quindi sappiamo che ha sede in Cina.

Il nome che appare vicino da destra è il nome del sito. Ci sono alcune eccezioni, ad esempio, le compagnie del Regno Unito usano “.co.uk” e un sito italiano potrebbe comprendere la provincia, infatti “.va.it” è un sito proveniente da Varese. Ma, in questo esempio, il nome del sito è “1234567″. Il testo precedente non è il nome del sito, ma specifica un sottodominio o mini sito in 1234567.cn.

Il creatore di questo sito sa che gli utenti di Facebook spesso visualizzano indirizzi come http://www.facebook.com/profile.php?id=1234567, così ha tentato di creare un URL che ci assomigli.

Forseti.lt

Ogni paese ha il proprio codice nazionale e alcuni di questi sono visivamente simili ad altri. Il codice nazionale per l’Italia è “.it” e quello per la Lituania è “.lt”, così che l’indirizzo www.forseti.lt possa assomigliare ad una “i” maiuscola, quando invece è una “l”. Una cosa importante da ricordare è che gli indirizzi non fanno distinzione tra maiuscole e minuscole.

Forseti@1.2.3.4

Allo stesso modo in cui un indirizzo email come info@forseti.it ci dice che stiamo mandando un’email ad un account del sito Forseti, allo stesso modo un indirizzo come http://Facebook.com@1.2.3.4/ ci dice che il sito fittizio è 1.2.3.4 e non Facebook.

http:// o https://

Se stiamo effettuando l’accesso ad un sito di una banca o uno che contiene informazioni private dobbiamo sempre prestare attenzione che l’indirizzo web cominci con https:// invece che con http://, in quando https significa che la connessione al sito è sicura e altre persone non potrebbero intercettare e catturare i nostri dati personali, come password o dettagli delle carte di credito ecc. Se la connessione non è sicura tutto quello che viene scritto e trasmesso ad un sito attraverso form può essere visto da altre persone sulla nostra rete locale.

Firefox.forseti.it

Quando una nuova versione di Flash o Firefox è disponibile, gli utenti visualizzano spesso un messaggio di notifica che consiglia di scaricare la nuova versione. Se un sito di phishing creato appositamente somigliante a questo messaggio di notifica finge di offrirci una nuova versione di Firefox (per esempio), rischiamo di scaricare del malware. Se dovessimo vedere un indirizzo come Firefox.ddns.pl dovrebbe essere chiaro che non è il sito ufficiale di Firefox ma uno finto.

Navigazione Sicura Google

Gli utenti di Firefox, Safari e Google Chrome saranno avvisati se tenteranno di visitare un sito che Google ha segnalato come pericoloso, ma solo se usano le versioni più recenti: è di vitale importanza tenere aggiornato il proprio browser. È inoltre possibile che un sito malevolo non sia ancora apparso nella lista di Google, così che bisogna sempre prestare attenzione.

Inoltre le persone che scrivono software malevolo sono al corrente delle protezioni che gli utenti usano, così che bisogna leggere sempre attentamente i messaggi di avvertimento che appaiono, così da non farci trarre in inganno scaricando finti software antivirus.

Conclusione

Una delle prime cose da fare visitando un sito è controllare se l’URL contiene qualcosa di sospetto. Gli errori ortografici (postapay, paypall, ecc.) o indirizzi non corretti (ebay@1.2.3.4) sono sufficientemente facili da scoprire, ma dovremmo sempre stare attenti.
Piuttosto che cliccare su link in email o messaggi dovremmo sempre scrivere l’indirizzo del sito che ci interessa direttamente nella barra e assicurarci che il sito cominci con https se stiamo digitando password o scrivendo i dettagli della carta di credito.