raccolta TRUFFE & PHISHING (Vol. II)

[Bibe]

I cinesi si sà che sono batteria di loro,io se posso li evito...

I nas domestici spesso vengono attaccati con sistemi specifici studiati da hacker,sia qnap che synology hanno avuto bei fastidi.

Su un sistema server fatto su misura,che presuppone come sistema un base linux,
le policy di accesso e di sicurezza sono di solito già integrate ad esempio con ubuntu server oppure anche proxmox.

Chiaro che poi la vulnerabilità di un sistema è sempre l'accesso web,quindi occorre credenziale di accesso forte magari utilizzare vpn
e molto altro che dovrebbe essere sempre una best practice per chi vuole accedere da ovunque
alla propria rete.
I controlli in questo campo non bastano mai.

 

[Jack_1]

@Bibe ma ti occupi di sicurezza informatica per lavoro?

 

[Bibe]

Mi occupo di manutenzione industriale e anche di IT e per forza di cosa ho dovuto farmi una cultura in generale e poi approfondire,
anche per diversificare il tipo di attività quando fosse necessario.

 

[Depositato]

Mi vengono in mente documenti di identità di clienti, fatture... etc!
E' oggettivamente complicato spostarli su dispositivi esterni e poi recuperarli magari il giorno dopo...
Come proteggerli?
cartelle crittografate?, tenere sempre i dati su hd esterno da collegare all'occorrenza?... cos'altro?

Un modo pratico è tenere un volume VeraCrypt nel PC, così da poterlo montare, inserire la password, usare i file e poi smontarlo lasciandolo cifrato (sempre tenendo ben presente il "mantra del backup": 3-2-1-1-0.

Ma poi, come proteggere i dati quando sono in allegato alle mail?

I dati in transito, se viaggiano su connessione cifrata (HTTPS o comunque SSL, TLS, etc.) e partono da una rete non compromessa, raramente vengono attaccati con successo; restano attaccabili, ma per l'utente comune è un caso straordinario (da non confondere con phishing, session hijacking o attacchi simili, che non sono propriamente un attacco ai dati in transito).
Comunque, per proteggere gli allegati credo non resti che cifrarli, con password condivisa con il destinatario, oppure usando cifratura asimmetrica (ma bisogna trovare un destinatario "consenziente" e un po' competente).

 

[undertherain]

Mi occupo di manutenzione industriale e anche di IT e per forza di cosa ho dovuto farmi una cultura in generale e poi approfondire,
anche per diversificare il tipo di attività quando fosse necessario.

Io negli anni ho imparato che la cultura non è mai abbastanza e che non bisogna mai essere sicuri di sapere tutto...

 

[1nd10]

Ciao a tutti...A me l'app non memorizza contatto e IBAN in rubrica quando invio un bonifico (nonostante spunto di aggiungerlo). Qualcuno ha riscontrato questo bug?

 

[Cranio]

io penso a tutte le copie della nostra carta d'identità che mandiamo in giro, e con quella ci fai tante cose volendo.
e veramente a pirci e cani, e te la chiedono tutti, anche le pompe funebri, per dire.
l'ultima volta che l'ho rinnovata ed ho dovuto spedirla in giro mi sono presa la briga su ognuna di mettere un timbretto: copia ad uso esclusivo di banca taldeitali ecc, adesso non ricordo chi, ma qualcuno me l'ha rifiutata, la volevano bella pulita.
idem le firme che ti fanno fare nelle banche fisiche sul loro tablet... mah!

Molte truffe infatti partono da lì, specie dagli hotel che lasciano le copie in giro e poi chiunque può usarle.

Ad un amico avvocato è successo, l'hanno convocato i caramba, lui ha chiarito e tra l'altro è riuscito a risalire alla probabile falla perché in via eccezionale e unica aveva usato la patente in un hotel e i truffatori avevano usato quella per aprire dei conti su siti di scommesse.

 

[Cranio]

ho dovuto googlare per capirci qualcosa...
comunque il problema che mi ponevo era di sicurezza più che di necessità di bak. Per quello provvedo "artigianalmente" .

Ho trovato questa chicca sui mini PC cinesi:

Pare che te li mandino già con il backdoor spione pre-installato.
Poi, scorrendo i commenti (al solito non si capisce quanto attendibili), si sostiene che anche una ri-formattazione del dispositivo e ri-installazione del sistema operativo potrebbe essere non risolutiva, perchè ci potrebbero essere dei malware a livello di bios (firmware UEFI ?!?) oppure addirittura hardware.

vorrei vedere i log di wireshark prima di dire che lo spyware resiste ad una formattazione...

 

[Cranio]

@pclinux @Depositato e tutti...
Riflettevo sul fatto che senza estremizzare sulle credenziali bancarie, ci sono comunque dei file sui nostri PC che quotidianamente utilizziamo (anche per lavoro) e che contengono dati sensibili.
Mi vengono in mente documenti di identità di clienti, fatture... etc!
E' oggettivamente complicato spostarli su dispositivi esterni e poi recuperarli magari il giorno dopo...
Come proteggerli?
cartelle crittografate?, tenere sempre i dati su hd esterno da collegare all'occorrenza?... cos'altro?
Ma poi, come proteggere i dati quando sono in allegato alle mail?

Il problema c'è ma non ha soluzione. Il controllo dei dati ce l'hai nel momento in cui non li devi condividere, da quel momento in poi non hai più il controllo.
Puoi avere tutto criptato 7 volte, ma quando mandi il referto al dottore se lui ha il pc infettato oppure la password della sua email è 1234 tu non ci puoi fare nulla.

 

[mrm]

Ad un amico avvocato è successo, l'hanno convocato i caramba, lui ha chiarito e tra l'altro è riuscito a risalire alla probabile falla perché in via eccezionale e unica aveva usato la patente in un hotel e i truffatori avevano usato quella per aprire dei conti su siti di scommesse.

ecco, appunto

 

[undertherain]

Molte truffe infatti partono da lì, specie dagli hotel che lasciano le copie in giro e poi chiunque può usarle.

Ad un amico avvocato è successo, l'hanno convocato i caramba, lui ha chiarito e tra l'altro è riuscito a risalire alla probabile falla perché in via eccezionale e unica aveva usato la patente in un hotel e i truffatori avevano usato quella per aprire dei conti su siti di scommesse.

Il termine "caramba" non lo sentivo da 30 anni circa...

 

[orsomorso]

@pclinux @Depositato e tutti...
Riflettevo sul fatto che senza estremizzare sulle credenziali bancarie, ci sono comunque dei file sui nostri PC che quotidianamente utilizziamo (anche per lavoro) e che contengono dati sensibili.
Mi vengono in mente documenti di identità di clienti, fatture... etc!

se gestisci documenti di terzi, sei soggetto al GPDR a tutela dei tuoi clienti, non è che puoi tenere dati personali ad minchiam...

In primis raid,chiaramente utente domestico il classico nas a due dischi,

il raid con il furto di dati e credenziali c'entra meno di zero...

Comunque, per proteggere gli allegati credo non resti che cifrarli, con password condivisa con il destinatario, oppure usando cifratura asimmetrica (ma bisogna trovare un destinatario "consenziente" e un po' competente).

Mi stupisce sempre come enti, istituti, utility ecc ecc facciano mille pippe su privacy, cookies, autenticazione a 20 fattori ecc ecc e poi mandino in giro documenti e mail totalmente in chiaro.
La cifratura asimmetrica dovrebbe essere obbligatoria, o almeno loro dovrebbero fornire la loro chiave pubblica di cifratura. Sta poi all'utente fornire la propria (che è complicato, ok).

Molte truffe infatti partono da lì, specie dagli hotel che lasciano le copie in giro e poi chiunque può usarle.

Ad un amico avvocato è successo, l'hanno convocato i caramba, lui ha chiarito e tra l'altro è riuscito a risalire alla probabile falla perché in via eccezionale e unica aveva usato la patente in un hotel e i truffatori avevano usato quella per aprire dei conti su siti di scommesse.

Beh, l'albergo andrebbe sanzionato di brutto se gestisce a ca##o i documenti dei clienti. E se a causa di ciò uno subisce una truffa o un furto d'identità, dovrebbe risponderne l'hotel.

 

[Bibe]

Raid inteso che non usi solo un pc per tutti i dati quindi hai un nas casalingo o server più o meno avanzati.

Ti bloccano il disco del tuo pc di uso quotidiano ma si presuppone che i dati sensibili non siano tutti lì
ma in altro sistema,con copie duplicate su diversi dischi in parallelo e backup offline,
come avevo scritto nel resto dell'intervento.

Siccome tali sistemi orami sono ampiamente utilizzati e ad esempio con un disco usb e rsync anche parecchio automaizzati,
anche fosse che hai un blocco totale dovuto a cause esterne o guasto con poco lavoro e con poca perdita dati,
si riesce a recuperare tutto.

 

[orsomorso]

Raid inteso che non usi solo un pc per tutti i dati quindi hai un nas casalingo o server più o meno avanzati.

Ti bloccano il disco del tuo pc di uso quotidiano ma si presuppone che i dati sensibili non siano tutti lì
ma in altro sistema,con copie duplicate su diversi dischi in parallelo e backup offline,
come avevo scritto nel resto dell'intervento.

Siccome tali sistemi orami sono ampiamente utilizzati e ad esempio con un disco usb e rsync anche parecchio automaizzati,
anche fosse che hai un blocco totale dovuto a cause esterne o guasto con poco lavoro e con poca perdita dati,
si riesce a recuperare tutto.

e io ribadisco che in merito al discorso sicurezza dal furto di dati tutto questo è perfettamente inutile

 

[Bibe]

Non è inutile,perchè se ti rubano i dati o peggio te li criptano li hai persi.
Se ne hai una copia no.
Perchè basta che cambi le password compromesse ma i dati li recuperi.

 

[pclinux]

Raid inteso che non usi solo un pc per tutti i dati quindi hai un nas casalingo o server più o meno avanzati.

Ti bloccano il disco del tuo pc di uso quotidiano ma si presuppone che i dati sensibili non siano tutti lì
ma in altro sistema,con copie duplicate su diversi dischi in parallelo e backup offline,
come avevo scritto nel resto dell'intervento.

Siccome tali sistemi orami sono ampiamente utilizzati e ad esempio con un disco usb e rsync anche parecchio automaizzati,
anche fosse che hai un blocco totale dovuto a cause esterne o guasto con poco lavoro e con poca perdita dati,
si riesce a recuperare tutto.

Dimentichi un piccolo particolare, molta gente non è neanche in grado di installare un programma, non ce li vedo a fare backup offline di NAS

 

[pclinux]

e io ribadisco che in merito al discorso sicurezza dal furto di dati tutto questo è perfettamente inutile

Non è inutile, è che il 99% non è in grado di mettere in sicurezza i dati.
Io sullo smartphone ho un firewall che blocca le connessioni in uscita ma quanti ce l'hanno?
I dati di chi non ha un firewall potrebbero già essere quanto meno su server google se non pure altrove
Telefono Casa!

 

[pclinux]

e io ribadisco che in merito al discorso sicurezza dal furto di dati tutto questo è perfettamente inutile

Non è inutile, è che il 99% non è in grado di mettere in sicurezza i dati.
Io sullo smartphone ho un firewall che blocca le connessioni in uscita ma quanti ce l'hanno?
I dati di chi non ha un firewall potrebbero già essere quanto meno su server google se non pure altrove
Telefono Casa!

 

[orsomorso]

Dimentichi un piccolo particolare, molta gente non è neanche in grado di installare un programma, non ce li vedo a fare backup offline di NAS

E poi per quale oscura ragione "magica" se ti bucano il pc, il nas in raid dovrebbe rimanere al sicuro?
Comunque si stava parlando di sicurezza contro il furto dei dati, non contro la perdita, che è un tema diverso e non necessariamente correlato.

 

[orsomorso]

Non è inutile, è che il 99% non è in grado di mettere in sicurezza i dati.
Io sullo smartphone ho un firewall che blocca le connessioni in uscita ma quanti ce l'hanno?
I dati di chi non ha un firewall potrebbero già essere quanto meno su server google se non pure altrove
Telefono Casa!

Senza root non credo che abbia una vera efficacia. E il root è operazione complessa. Piuttosto è assurdo che uno non sia padrone del proprio smartphone, ma questo è un altro disc-orso.