Ebook
Visite: 13181

Per semplificare la user experience dei suoi utenti, dall’iPhone X in poi la Apple ha rimosso il pulsante della schermata home e ha messo a punto una tecnologia di riconoscimento facciale per sbloccare l’iPhone (oltre al classico codice numerico a sei cifre).

Il nuovo Face ID biometrico utilizza una scansione 3D del viso come meccanismo per sbloccare il dispositivo (non una semplice foto dunque, come molti telefoni della concorrenza). Alcuni esperti, tuttavia, affermano a riguardo che Apple potrebbe esporre i propri utenti a gravi rischi per la sicurezza, con questo sistema. 

Face ID richiede che la persona guardi semplicemente il proprio telefono e riconosce automaticamente il viso dell’utente in pochissimo tempo, sbloccando tutte le funzioni del dispositivo. Sostituisce anche Touch ID per Apple Pay, data la sparizione del tasto dedicato alle impronte digitali.

Ciò significa che, anche per le transazioni, tutto ciò che un utente deve fare è guardare iPhone X per autorizzarle. 

«Con i nuovi melafonini, il tuo iPhone è bloccato fino a quando non lo guardi e ti riconosce. Niente è mai stato più semplice, naturale e senza sforzo»,

ha affermato il dirigente Apple, Phil Schiller, nel discorso di presentazione dell’iPhone X (primo di questa tipologia), aggiungendo che

«questo è il futuro: sbloccare i nostri smartphone e proteggere le nostre informazioni sensibili non è mai stato così semplice». 

Apple afferma che sbloccare un telefono tramite Face ID sarà molto più comodo rispetto allo sbloccarlo con le impronte digitali: ora gli utenti non dovranno preoccuparsi di mani bagnate e simili.  

Apple sta lavorando duramente per rendere i propri telefoni sempre più usabili per i suoi utenti. Tuttavia, l’utilizzo di Face ID sembra essere semplice al punto di sollevare molte questioni di sicurezza, almeno secondo affermato in questi anni da diversi esperti di sicurezza informatica. In passato, ci sono stati casi in cui una tecnologia di riconoscimento facciale è stata facilmente falsificata utilizzando semplici trucchi.

Nel 2009 i ricercatori di cyber security hanno dimostrato di poter falsificare il sistema di accesso basato sul riconoscimento facciale di alcuni laptop semplicemente usando una foto stampata posta davanti alla telecamera. Non solo: nel 2011, Android aveva una funzione di sblocco facciale che richiedeva alla persona di sbattere le palpebre davanti alla fotocamera prima che il telefono si sbloccasse da solo.

I ricercatori sono riusciti a bypassare la sicurezza di questo strumento con un piccolo effetto di Photoshop. 

«Non importa quanto sia comodo, Face ID può essere un meccanismo molto rischioso. Mentre le password sono private e, se necessario, possono essere protette con vari meccanismi, le tue impronte digitali e i dati biometrici, di contro, possono potenzialmente essere raccolte da qualsiasi luogo in quanto non puoi pretendere di indossare i guanti ovunque. Ora, con FaceID, il tuo unico mezzo di autenticazione è “sempre” disponibile»,

ha dichiarato Ankush Johar, direttore di BugsBounty.com, una piattaforma online di sicurezza per hacker etici e imprese. Johar ritiene che se un telefono può utilizzare una scansione a infrarossi per tracciare ogni centimetro del viso di un utente, potrebbe farlo in potenza anche qualsiasi altro hardware.

«Sarà sufficiente che qualcuno trovi un modo per riprodurre tale meccanismo per sabotare tutti i dispositivi»,

ha aggiunto a riguardo.  

«Gli scanner di impronte digitali possono essere violati in diversi modi, incluso l’uso di un pollice di plastica o di impronte digitali stampate in 3D. Anche Face Lock è stato facilmente bucato utilizzando una semplice foto ad alta risoluzione di un viso. Face ID afferma di utilizzare una scansione 3D ma, con l’avvento della stampa 3D, potrebbe essere possibile stampare un modello tridimensionale del tuo viso per sbloccare il dispositivo senza consenso»,

ha dichiarato a riguardo David Maciejak, direttore del team di ricerca sulla sicurezza di Fortinet, aggiungendo che «i telefoni Android hanno il riconoscimento facciale incorporato da molto tempo e la storia dimostra che tale sistema non è infallibile: può infatti essere aggirato facilmente». Analogamente a quanto sostenuto da Maciejak, Pradipto Chakrabarty della Computing Technology Industry Association (CompTIA) ha affermato che «in questa era di scansione iper-accurata, photoshopping, stampa a tre dimensioni e straordinaria manipolazione grafica, non sarebbe molto difficile per qualcuno trovare un modo per fabbricare e falsificare un volto». Ha però anche aggiunto che Apple fa un ottimo lavoro, in generale, con la sicurezza dei propri dispositivi e come questi siano solitamente migliori della maggior parte dei propri competitor.

«Per far funzionare Face ID, iPhone utilizza una funzione chiamata Secure Enclave. Ma cosa succederebbe se avvenisse qualcosa come la recente violazione simile a Equifax in cui una vulnerabilità in un software web ha portato al furto di un numero enorme di dati degli utenti? Se una cosa del genere accadesse con Face ID, i malintenzionati avranno molto più della tua password: avranno le informazioni biometriche»,

ha concluso.

La risposta di Cupertino...

Ebook
Visite: 4027

La III Conferenza Nazionale sulla "Cybersecurity nelle infrastrutture critiche: tipologie di rischio e risposte di sistema", organizzato dal Partenariato cybersecurity privacy Tor Vergata ha avuto luogo il 20 gennaio 2020 presso l’Università degli Studi di Roma "Tor Vergata".

La Conferenza, introdotta dal prof. Orazio Schillaci, Rettore dell'Ateneo, è stata preceduta dal messaggio augurale del Ministro dell’Università e della Ricerca, prof. Gaetano Manfredi, seguita dal saluto istituzionale del Comandante delle Unità Speciali, Guardia di Finanza, Salvatore Tatta e dalla partecipazione del Sottosegretario di Stato alla Difesa, On. Angelo Tofalo.

L'evento era connesso alla presentazione della terza edizione del Master di II livello in "Competenze digitali per la protezione dei dati, la cybersecurity e la privacy" attivato dal 2017 dal Partenariato PP Tor Vergata.

Come ricordato nel mio intervento introduttivo, l’intento della Conferenza era quello di aprire un dibattito specifico sulle nozioni di rischio, impatto e danno conseguenti ad attacchi cibernetici nell'ambito delle 'infrastrutture critiche' e alla luce delle normative stringenti più recenti.

Le due Tavole rotonde della sessione del mattino e il seminario pomeridiano di cui diamo parzialmente conto nella documentazione che segue, hanno consentito di dialogare con l’ambito finanziario ed energetico (Banca d’Italia, ABI, Banca Intesa, Eni) e di sentire le proposte e le visioni di aziende impegnate a livello nazionale e internazionale nell'offerta di sicurezza.

Insieme, le proiezioni internazionali delle 'associazioni' di aziende Ecso, Confindustria digitale e Assonime, si sono arricchite delle visioni istituzionali del Ministero della Difesa (CIOC e CASD), della Polizia postale, dell’Autorità garante per la protezione dei dati personali, del MISE.

Per completare il quadro, gli ordini professionali implicati.

Buona lettura.

Elisabetta Zuanelli

Presidente CReSEC/Università degli Studi di Roma "Tor Vergata", Coordinatore del Partenariato per il Piano nazionale di formazione in Cybersecurity, Cyberthreat e Privacy, Direttore scientifico del Master "Competenze digitali per la protezione dei dati, la cybersecurity e la privacy".

Il programma

Il saluto del Ministro dell'Università e della Ricerca

 

Introduzione di Elisabetta Zuanelli

1a Tavola rotonda

"La gestione del rischio nelle Infrastrutture critiche: tra norme e compliance"

Presentazioni in pdf:

  1. intervento di Claudio Impenna, Capo del Servizio Supervisione sui Mercati e il Sistema dei Pagamenti, Banca d’Italia
  2. intervento di Fabio Martinelli, ECSO Vice Chairs e Senior Researcher presso il CNR
  3. intervento di Romano Stasi, Segretario Generale Consorzio ABI Lab

2a Tavola rotonda

"Danno e impatto nella cybersecurity: risposte di sistema"

Presentazioni in pdf:

  1. intervento di Salvatore Carrino, Senior Vice President e ICT Global Cyber Security, ENI
  2. intervento di Domenico De Angelis, Head of Group Guidance and Strategic Intelligence, Intesa Sanpaolo

Seminario aziendale

Presentazioni in pdf:

  1. introduzione di Ginevra Bruzzone, Assonime e LUISS School of European Political Economy
  2. intervento di Lorenzo Russo, Director Cyber Risk Services, Deloitte
  3. intervento di Antonio Capobianco, Chief Executive Officer, Fata Informatica
  4. intervento di Marco Conflitti, Head of Cybersecurity Central e Eastern Europe, Atos
  5. intervento di Aldo Di Mattia, Security Engineering Team Leader C/South, Fortinet
  6. intervento di Salvatore Marcis, Technical Director - Italy, Trend Micro
  7. intervento di Federico Santi, Security Practice Leader, DXC

Il seminario: rapporto di sintesi
Salvatore Gagliano e contributi di Massimo Boschi, Giuseppe Gualandris, Silano Mazzantini

Sessione plenaria: interventi programmati e presentazione dei risultati del Seminario

Intervento di Matteo Colombo, Presidente ASSO DPO

Ebook
Visite: 4119

Proteggere il sistema informatico di un’azienda è un dovere di chiunque vi lavori, anche del personale non direttamente implicato nel processo di “messa in sicurezza” dell’infrastruttura.

Una società che investe nei mezzi tecnologici più sofisticati in termini di cyber-security potrebbe infatti essere compromessa dalla noncuranza di un impiegato che, per andare al bagno, lascia incustodita la propria scrivania – su cui magari sono adagiati fogli e documenti di importanza vitale per l’azienda: a volte basta un secondo di disattenzione o un click su un link sbagliato per pregiudicare l’intera rete informatica di una società.

Ebook
Visite: 5254

Nel mondo della cybersecurity esistono una serie di convinzioni di vecchia data la cui veridicità, sebbene indiscutibile all’epoca della loro formulazione, è oggi fortemente opinabile. Si tratta di pareri ormai obsoleti, incapaci di riflettere la complessità dell’età contemporanea e che quindi rischiano di provocare effetti diametralmente opposti rispetto a quelli sperati (e che pure un tempo riuscivano effettivamente a sortire). D’altronde è ormai pacifico che Internet sia un luogo in continua e veloce evoluzione, che richiede agli utenti lo sforzo costante di rimanere aggiornati su pratiche e abitudini in perenne mutamento: accettare oggi l’attendibilità di policy e misure ritenute attendibili diversi anni fa non è necessariamente positivo e, anzi, a volte può comportare più danni che benefici. 

Un caso su tutti è quello delle password: molti esperti di sicurezza informatica tendono con una certa facilità ad affermare ancora oggi che una buona pratica in materia di cybersecurity è quella di cambiare periodicamente le proprie password, di norma ogni sei mesi. L’obiettivo dovrebbe essere quello di rendere quanto più impermeabile possibile il proprio dispositivo elettronico ad attacchi provenienti dalla rete, ma spesso il risultato può essere molto diverso. Si tratta di una di quelle convinzioni talmente radicate e tenaci da risultare quasi impossibile mettere in discussione senza sollevare un polverone nel già complesso mondo cyber. Eppure sono già dieci anni che alcuni esperti hanno iniziato a ripensare le pratiche di messa in sicurezza delle infrastrutture informatiche (IT) e dei dispositivi elettronici, un ripensamento però che ha difficoltà a prendere piede su larga scala proprio in virtù di quelle convinzioni di vecchia data, considerate valide ad aeternum.


Procedere a una modifica della password senza alcun valido motivo (senza cioè che il dispositivo sia stato compromesso o la password scoperta) potrebbe risultare più nocivo di quanto si possa pensare e, a dir la verità, anche qualora il sistema sia stato danneggiato, la modifica della password potrebbe non essere sufficiente a risolvere la vulnerabilità, se essa non viene corredata da ulteriori iniziative di messa in sicurezza. Uno dei problemi principali associati alla modifica periodica delle credenziali semplici – quindi deboli – e a modificarle poi in modo prevedibile, di facile intuizione per i potenziali truffatori del Web. Ma vediamo ora due case study che affrontano proprio la tematica, così da poter capire una volta per tutte in che modo possiamo garantire la sicurezza delle nostre password.

 

Case study 1: “The Security of Modern Password Expiration: An Algorithmic Framework and Empirical Analysis”


Il primo case study che andremo ad analizzare riguarda un interessante studio condotto da alcuni ricercatori dell’Università della North Carolina nel 2009-2010, avente a oggetto la storia delle password di alcuni account disattivati, i cui risultati sono stati descritti all’interno del documento intitolato “The Security of Modern Password Expiration: An Algorithmic Framework and Empirical Analysis”. Il campione era costituito dalle password di oltre 10.000 account disattivati di vecchi studenti, professori e impiegati, cui era stato chiesto di cambiare le proprie credenziali d’accesso ogni tre mesi. Ai ricercatori è stata assegnata, per ogni account, una sequenza da 4 a 15 degli hash delle password precedentemente utilizzate dagli utenti: in totale, si trattava di 51.141 password. I ricercatori hanno dunque tentato di hackerare quante più password possibili partendo dal loro “hash”. I ricercatori dell’Università del North Carolina sono riusciti a impossessarsi di ben il 60% delle password: su 7.752 account, essi hanno identificato almeno una password che non era l’ultima creata dall’utente e da quella password hanno poi potuto portare avanti la propria analisi.

In questo modo, gli studiosi hanno potuto creare dei meccanismi per “craccare” le password, grazie ai quali erano in grado di formulare delle ipotesi sulla base della password utilizzata precedentemente dall’utente. Così procedendo, essi hanno avuto modo di constatare che la maggior parte degli utenti tendeva a optare per password piuttosto prevedibili, le cosiddette “trasformazioni”: la password veniva modificata attraverso l’aggiunta di un numero, la sostituzione di una lettera con una simile (per esempio, “$” invece che “S”), l’inserimento o l’eliminazione di un carattere speciale o la modifica della sequenza dei caratteri (numeri prima e lettere dopo o viceversa).
Tra i risultati più sorprendenti e interessanti della ricerca vi è che dall’analisi perseguita sul 17% degli account a disposizione è emerso come la conoscenza della password precedentemente utilizzata dall’utente abbia permesso ai ricercatori di identificare quella successiva in meno di cinque ipotesi.

Da ciò emerge che se un hacker conosce la password utilizzata in passato da un individuo e ha a disposizione il file della password con “hash” è in grado di individuare anche la password attuale utilizzata per il 41% degli account in meno di tre secondi per account. Lo studio americano dunque evidenzia come la modifica periodica di una password non sia per forza un “salvavita”: un malintenzionato che conosce la vostra vecchia password può facilmente, a determinate condizioni, entrare in possesso anche di quella vigente.
La ricerca ha mostrato poi come gli utenti che avevano optato inizialmente per password semplici tendevano a utilizzare con maggiore frequenza il sistema delle “trasformazioni”, dando via libera agli hacker per il furto delle loro credenziali d’accesso; inoltre, dallo studio è emerso che quando un malintenzionato scopre che l’utente ha modificato la propria password tramite il meccanismo della “trasformazione”, tende ad avere ottime probabilità di riuscire a scoprire le successive password della vittima ogni volta che questa procede a una modifica delle proprie credenziali.

 

Per continuare a leggere scarica gratuitamente l'ebook.




cyberSecurity

Ebook
Visite: 6375

Per pattern si intende una sequenza di caratteri che segue la stessa logica, ad esempio: il pattern “Cccccccnn” indica una password composta dalla prima lettera maiuscola seguita da 6 lettere minuscole e terminante con 2 numeri. A questo pattern appartengono ad esempio le password “Mammami45” e “Kntsegx41”.
Sono stati fatti lungi studi sui pattern in base a database contenenti milioni di password.
I 5 più utilizzati sono:

 

Invece è da notare che tra i primi 100 pattern più utilizzati, si nota una elevata ricorrenza di utilizzo dei caratteri speciali come ultima lettera della password!
Qualsiasi password che segue questi schemi (o uno dei primi 100) è debole, anche se le lettere non formano una parola esistente!
Nello schema rappresentato dai top5 pattern appartengono il 48% delle password studiate, mentre il 99,9% appartiene ai top 100!

 

Perché utilizzare i pattern è pericoloso?

Per spiegare questo dobbiamo aiutarci con un po’ di matematica.
I caratteri della lingua anglosassone sono 26, considerando anche la differenza tra maiuscola e minuscola, diventano 52, aggiungendo i numeri arriviamo a 62 caratteri, ed inserendo i caratteri speciali arriviamo a 925 caratteri.
Se una password di 8 caratteri viene generata casualmente, le combinazioni possibili sono 92^8 ovvero circa 5 miliardi di milioni di combinazioni.
Se invece utilizziamo un pattern es. Ccccccccn le combinazioni possibili sono 26^8*10 ovvero circa 2000 miliardi.
Oggigiorno un processore moderno basato su GPU è in grado di “craccare” circa 100 miliardi di password al secondo otteniamo che per violare la prima ci vogliono circa 2 anni per la seconda invece circa 20 secondi!


Errori comuni sull’utilizzo delle password?


Errore n. 1 - Utilizzare una parola comune
Ci sono miliardi di password in circolazione e rese pubbliche su Internet. Frutto di illecite violazioni di dati e di interi archivi di codici di accesso.
L'analisi di circa 10 milioni di password di WordPress ha dimostrato che le persone usano spesso approcci comuni per crearle. Ecco alcune categorie comuni di password analizzate, in cui si evidenziano le prime 3 parole più frequentemente utilizzate.


Password più frequenti:

 


Continua a leggere l'articolo scaricandoti l'ebook gratuitamente...







cyberSecurity

Per rimanere aggiornato iscriviti alla nostra newsletter

Cyber pillole più lette

Articoli più letti

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Formazione specialistica
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:30 - 13:00
14:00 - 18:30

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2025 Fata Informatica. Tutti i diritti riservati.
We use cookies

Utilizziamo i cookie sul nostro sito Web. Alcuni di essi sono essenziali per il funzionamento del sito, mentre altri ci aiutano a migliorare questo sito e l'esperienza dell'utente (cookie di tracciamento). Puoi decidere tu stesso se consentire o meno i cookie. Ti preghiamo di notare che se li rifiuti, potresti non essere in grado di utilizzare tutte le funzionalità del sito.

Ok Rifiuta