David Emm, Principal Security Researcher di Kaspersky Lab, ha commentato la recente vicenda che ha coinvolto il sito MyHeritage e la sua violazione, un attacco che potrebbe aver compromesso i dati, e in alcuni casi i dettagli sul DNA, di 92 milioni di utenti.
“Le notizie relative alla violazione dei dati sono all’ordine del giorno. È più raro, invece, sentire notizie di una violazione in seguito alla quale l’azienda in questione si mette in prima linea e condivide in modo proattivo le informazioni con il proprio pubblico, un atteggiamento che alla fine porterà alla riduzione di eventuali danni collaterali.
Ieri si è diffusa la notizia della violazione del sito MyHeritage, dedicato alla scoperta e alla condivisione della propria storia familiare, un attacco che potrebbe rendere vulnerabili i dati di 92 milioni di utenti in tutto il mondo.
La risposta del CISO dell’azienda, però, è stata davvero confortante. Nel giro di poche ore dalla scoperta della violazione, si è preso in carico il sito dell’azienda e ha spiegato agli utenti quello che avevano scoperto, quali misure stavano adottando per risolvere il problema e come proteggevano i dati delle persone in generale.
Spesso, quando si verifica una violazione, uno delle principali carenze riguarda l’onestà e la divulgazione della notizia da parte della vittima, che alla fine lascia i propri clienti ancora più vulnerabili perché non sono consapevoli di dover agire.
Certo, i dati sono ancora a rischio, ed è particolarmente preoccupante quando si pensa al tipo di dati (i DNA, ad esempio) contenuti in questo sito. Nonostante questo, agendo rapidamente e in modo risoluto, MyHeritage ha permesso agli utenti di riprendere il controllo dei propri dati personali attraverso il cambio delle password, il controllo di possibili attività sospette sui propri account e l’invito ad essere cauti; tutte azioni che, se fossero state tenute segrete mentre la società investigava o si dava il tempo di gestire la propria reazione pubblica, avrebbero lasciato gli utenti ancora più esposti a possibili truffatori.
È bello vedere che, andando avanti, MyHeritage sta valutando l’implementazione dell’autenticazione a due fattori per una maggiore sicurezza in questo tipo di scenario.
In questi giorni quando si parla di una violazione all’interno di una società non si parla di “se”, ma di “quando”; la protezione dei dati nel caso si verifichi un evento simile è davvero la soluzione.
Il consiglio che diamo agli utenti è lo stesso che deve essere messo in atto in caso di una qualunque violazione:
Modificare la propria password dell’account MyHeritage e le password associate utilizzando una password complessa
Monitorare i propri account per individuare eventuali attività sospette e non fare clic su alcun collegamento nelle e-mail che sembrano arrivare dal sito, ma accedere al proprio account online per controllare la presenza di eventuali comunicazioni.
La campagna itinerante “Una vita da social”, ideata dalla Polizia in partnership con Kaspersky Lab, si è conclusa il 22 maggio nella Capitale. Il progetto, nato per sensibilizzare e informare i giovani sui potenziali rischi della rete, quest’anno ha raggiunto più di 50 tra le più importanti città italiane, coinvolgendo oltre 220.000 studenti solo in quest’ultima edizione.
Si è da poco conclusa la quinta edizione di “Una vita da social” con ottimi risultati e tante presenze: oltre 220.000 studenti coinvolti nell’ultima edizione e un milione e 300mila in totale nelle precedenti. Il progetto si è svolto tra le scuole e un’aula didattica multimediale allestita in un truck che ha attraversato l’Italia, da Milano a Palermo. Le lezioni, tenute dalla Polizia Postale e dai partner del progetto, hanno mostrato le potenzialità della rete, se usata in maniera consapevole. Tra i temi trattatati il cyberbullismo, la pirateria informatica e la pedopornografia. L’obiettivo è incentivare un’educazione al mondo digitale, fondamentale in particolare per i più piccoli, perché possano conoscerne le “regole” e trarne tutti i possibili benefici.
I dati raccolti da Kaspersky Lab dimostrano, infatti, come il 37% dei bambini tra gli 8 e i 10 anni non riesca ad immaginare cosa significhi vivere senza PC o senza smartphone (33%). Il dato più allarmante è, però, il tempo trascorso in rete: in Italia il 58% dei bambini dagli 8 ai 16 anni è costantemente online e il 9% dei genitori ritiene che il proprio bambino stia diventando dipendente da Internet. Sono, inoltre, in aumento anche i dati relativi al fatto che i più piccoli abbiano piena fiducia dell’utilizzo di Internet come fonte d’informazione (69%). Per quanto la maggior parte dei genitori (75%) cerchi di trascorrere del tempo con i propri figli quando navigano, tutto questo non è sufficiente per tenere i piccoli utenti al sicuro dalle minacce della rete.
Questa campagna è nata proprio dall’esigenza di informare e offrire delle soluzioni preventive alla luce di questi dati, informando e facendo riflettere i più piccoli, i loro genitori e i loro insegnanti sull’uso responsabile e consapevole della rete.
“Non possiamo restare indifferenti al condizionamento che la rete e i social hanno nelle nostre vite e soprattutto in quelle dei nostri figli”, ha commentato Morten Lehn, General Manager Italy di Kaspersky Lab. “Non è giusto limitare o demonizzare l’uso di Intenet, è invece importante pensare ad un programma di educazione e protezione dedicato ai piccoli utenti, affinché possano farne un uso consapevole. La campagna della Polizia “Una vita da Social”, ha rappresentato per noi una risposta concreta, in linea con i nostri principi aziendali; per questo abbiamo deciso di supportarli in questa importante iniziativa formativa”.
I genitori che vogliono garantire un’ulteriore protezione ai propri figli mentre sono connessi possono utilizzare prodotti come Kaspersky Safe Kids, una soluzione in grado di aiutare ad insegnare ai bambini i corretti tempi d’uso dei dispositivi e a guidarli in tutta sicurezza, in modo che possano accedere solo a siti Web, contenuti e app che il genitore ritiene appropriati. Per ulteriori informazioni è possibile consultare il sito web di Kaspersky Lab.
·Quasi la metà degli adulti italiani (49%) è stata infettata da un virus informatico dopo aver visualizzato contenuti per adulti online
·In media, i nostri connazionali guardano contenuti per adulti cinque volte alla settimana e uno su cinque (21%) usa il proprio dispositivo di lavoro per accedere ai contenuti pornografici
·Tre italiani su dieci (28%) hanno incolpato parenti o amici dell’infezione contratta dal proprio computer
·Quattro italiani su dieci (39%) credono di rimanere al sicuro dai virus semplicemente usando la modalità di navigazione in incognito per guardare contenuti per adulti
·Un nuovo video svela le dieci “malattie sessualmente trasmissibili (MST) digitali” più comuni e i loro sintomi
Secondo una nuova indagine condotta da Kaspersky Lab, quasi la metà degli adulti italiani (49%) ha contratto un virus sul proprio notebook, PC o dispositivo mobile dopo aver guardato contenuti per adulti online. I risultati della ricerca rivelano quanto gli utenti siano a rischio di contrarre una “malattia sessualmente trasmissibile (MST) digitale” non proteggendo adeguatamente i propri device.
L’indagine condotta da Kaspersky Lab, che ha coinvolto 1.000 adulti italiani, ha inoltre svelato che la vergogna di essere stato infettato ha spinto tre utenti su dieci (28%) a incolpare parenti o amici dell’infezione contratta dopo aver visitato siti per adulti.
In media, gli intervistati hanno dichiarato di guardare contenuti pornografici sul proprio computer o qualsiasi altro dispositivo in media cinque volte alla settimana e più della metà (55%) ha ammesso di guardare contenuti per adulti almeno una volta al giorno, trascorrendo ogni volta in media 23 minuti su questi siti. Di conseguenza, gli italiani trascorrono più di 4 giorni all’anno visitando siti con contenuti a luci rosse. Quasi un quinto degli intervistati (17%) ha ammesso di guardare siti per adulti durante l’orario lavorativo usando il PC, il tablet o lo smartphone dell’ufficio.
Quasi una persona su dieci (8%) ha dichiarato di navigare in modo non sicuro, non avendo installato alcuna soluzione di sicurezza internet sui propri dispositivi. La stessa percentuale crede erroneamente di essere al sicuro navigando su siti per adulti via tablet o smartphone, pensando che questi device non possano essere infettati.
Una recente indagine globale di Kaspersky Lab ha rivelato che i malware mobile spesso si nascondono dietro ai contenuti per adulti per attirare gli utenti: i ricercatori hanno scoperto 23 famiglie di malware per Android che sfruttano contenuti pornografici per nascondere le proprie reali funzionalità.
“Nel 2017 abbiamo identificato almeno 27 varianti di malware per PC specificatamente pensati per cercare le credenziali dei siti a pagamento di contenuti per adulti. Questo genere di siti è interessante per i cyber criminali perché hanno un elevato numero di utenti che possono essere presi di mira e che saranno meno disposti a riferire l’infezione per non dover spiegare come l’hanno contratta”, ha commentato Morten Lehn, General Manager Italy di Kaspersky Lab. “Con 323.000 bug malware progettati per il furto d’identità, la corruzione dei file e il ricatto scoperti da Kaspersky Lab ogni giorno, è sempre più importante che gli utenti adottino comportamenti sicuri online e prendano le giuste precauzioni”.
Il 39% degli italiani pensa di essere al sicuro usando la modalità di navigazione in incognito, mentre un intervistato su quattro (40%) crede di proteggere il proprio computer dai virus cancellando la cronologia del browser.
Inoltre, il 26% ha ammesso di aver mentito su un’infezione da virus informatico perché temeva di averlo preso navigando su un sito per adulti, mentre il 18% è stato colto in flagrante da un amico, un familiare o il partner.
Di seguito i dettagli sulle dieci MST digitali che possono colpire i dispositivi degli utenti mentre guardano contenuti per adulti:
1.Trojan: potrebbero mascherarsi da programmi innocui ma contengono un payload nocivo.
2.Drive-by download: un metodo comune di diffusione dei malware. I cyber criminali cercano siti non sicuri e impiantano uno script dannoso nel codice delle pagine: sfruttano ogni applicazione vulnerabile sui computer, infettando automaticamente gli utenti quando visitano il sito.
3.Click-jacking: gli utenti vengono indotti a cliccare su un oggetto di una pagina web convinti di cliccare su un altro. Il click-jacking può essere usato per installare malware, ottenere l’accesso agli account o per attivare la webcam di una vittima.
4.Bot di Tinder: programmi automatici progettati per fingersi persone reali su un sito di appuntamenti e indurre gli utenti a cliccare sui loro profili e svelare informazioni confidenziali.
5.Cat-Phishing: i criminali informatici si mettono in mostra sui siti di appuntamento o nelle chat room, invitando gli utenti a cliccare su link per accedere a chat erotiche live o immagini per adulti.
6.Ransomware: i cyber criminali usano dei “blocker” per impedire alle vittime di accedere al proprio dispositivo, spesso informandole che il blocco è dovuto a “contenuti pornografici illegali” scoperti sul device, affinché chi ha visualizzato contenuti pornografici online sia reticente a riferire l’accaduto alle forze dell’ordine.
7.Worm: un programma chesi replica ma non scrive il proprio codice in altri file. Dopo essersi installato sul dispositivo della vittima cerca un modo per diffondersi su altri device.
8.Pornware: potrebbe trattarsi di un programma legittimo ma potrebbe contenere un adware installato da un altro programma nocivo, progettato per inviare contenuti inappropriati al dispositivo della vittima.
9.Spyware: software che consente a un criminale di ottenere di nascosto informazioni sulle attività online della vittima e trasmetterle all’esterno del dispositivo.
10. Falsi anti-virus: programmi che fingono di essere anti-virus sfruttando la paura degli utenti di aver installato software nocivi guardando contenuti pornografici.
Secondo una recente indagine di Kaspersky Lab, il 25,4% degli utenti mobile (almeno 1,2 milioni di persone) hanno subito un attacco malware almeno una volta nel 2017 e 199 milioni di URL sono stati identificati come nocivi. Nel 2017 sono stati registrati 1 miliardo di attacchi online.
In occasione del Mobile World Congress i ricercatori di Kaspersky Lab hanno annunciato la scoperta di alcune vulnerabilità in uno smart hub utilizzato per gestire tutti i dispositivi e i sensori connessi installati in casa. L’analisi rivela come per un cyber criminale sia possibile accedere da remoto al server del prodotto e scaricare un archivio contenente i dati personali di utenti casuali, necessari per accedere ai loro account, per poi ottenere il controllo dei loro sistemi domestici.
La popolarità dei dispositivi connessi continua ad aumentare, insieme alla richiesta degli smart home hub poiché rendono molto più semplice la gestione della casa, unendo tutte le impostazioni dei dispositivi in un’unica piattaforma e consentendo agli utenti di configurarle e controllarle tramite interfacce web o applicazioni mobile. Inoltre, alcune di queste soluzioni servono anche come sistema di sicurezza. Allo stesso tempo, essere degli “unificatori” rende questi dispositivi un obiettivo attraente per i criminali informatici che potrebbero utilizzarli come punto d’accesso per gli attacchi remoti. All’inizio dell’anno scorso, Kaspersky Lab ha scoperto un dispositivo per la smart home che offriva una vasta superficie di attacco agli intrusi, basata su algoritmi di generazione di password deboli e porte aperte. Durante la nuova indagine, i ricercatori hanno scoperto che una progettazione non sicura e diverse vulnerabilità nell’architettura del dispositivo smart potevano fornire ai criminali l’accesso alla casa degli utenti.
In primis, i ricercatori hanno scoperto che l’hub invia i dati dell’utente quando comunica con un server, incluse le credenziali necessarie ad accedere all’interfaccia web dello smart hub − l’ID utente e la password – oltre ad altre informazioni personali come il numero di telefono dell’utente utilizzato per gli alert. Gli autori di attacchi remoti possono scaricare l’archivio con queste informazioni inviando una richiesta legittima al server che include il numero di serie del dispositivo. L’analisi, inoltre, mostra che il numero di serie può facilmente essere scoperto dai criminali grazie ai metodi semplicistici della sua generazione.
Secondo gli esperti, i numeri seriali possono essere scoperti con metodi di forza-bruta usando la logic analysis e poi confermati attraverso una richiesta al server: se un dispositivo con quel numero seriale è registrato in un sistema cloud, i criminali riceveranno informazioni affermative. Di conseguenza, potranno accedere all’account web dell’utente e gestire le impostazioni dei sensori e dei controller collegati all’hub.
Tutte le informazioni sulle vulnerabilità rilevate sono state segnalate al fornitore e successivamente corrette.
“Sebbene i dispositivi IoT siano stati il focus dei ricercatori della cyber sicurezza negli ultimi anni, si stanno dimostrando ancora insicuri. Abbiamo scelto in modo casuale uno smart home hub e il fatto che l’abbiamo trovato vulnerabile non è un’eccezione ma un’ulteriore conferma dei continui problemi di sicurezza nel mondo IoT. Sembra che, letteralmente, ogni dispositivo IoT − anche il più semplice − contenga almeno un problema di sicurezza. Ad esempio, abbiamo recentemente analizzato una lampadina intelligente. Potreste chiedervi cosa potrebbe andare storto con una lampadina che permette di cambiare solo il colore della luce e alcuni altri parametri di illuminazione tramite lo smartphone. Bene, abbiamo scoperto che tutte le credenziali delle reti wi-fi, cioè i nomi e le password, a cui la lampadina si era precedentemente collegata venivano archiviate nella sua memoria senza crittografia. In altre parole, la situazione attuale nella sfera della sicurezza IoT è che anche la vostra lampadina potrebbe mettervi in pericolo”, ha affermato Vladimir Dashchenko, Head of Vulnerabilities Research Group dell’ICS CERTdi Kaspersky Lab.
“È molto importante per i produttori garantire un’adeguata protezione ai propri utenti e prestare molta attenzione ai requisiti di sicurezza durante lo sviluppo e il rilascio dei prodotti, perché anche piccoli dettagli di un design non sicuro possono portare a conseguenze pericolose” ha concluso Dashchenko.
Per rimanere al sicuro, Kaspersky Lab consiglia agli utenti di fare quanto segue:
• Usare sempre una password complessa e non dimenticare di cambiarla regolarmente;
• Aumentare la propria consapevolezza dei pericoli per la sicurezza controllando le ultime informazioni, di solito disponibili online, sulle vulnerabilità scoperte e corrette dei dispositivi smart.
Per garantire la sicurezza della casa “intelligente” e dell’Internet of Things, Kaspersky Lab offre la propria applicazione gratuita per la piattaforma Android, Kaspersky IoT Scanner. La soluzione esegue una scansione della rete wi-fi domestica, informando l’utente dei dispositivi ad essa collegati e del loro livello di sicurezza.
Per limitare i rischi di sicurezza informatica, Kaspersky Lab consiglia a produttori e sviluppatori di condurre sempre test di sicurezza prima che i prodotti vengano rilasciati e di seguire gli standard di sicurezza informatica dell’IoT. Recentemente Kaspersky Lab ha contribuito alla Raccomandazione ITU-T Y.4806 (International Telecommunication Union – Settore delle telecomunicazioni), creata per aiutare a mantenere un’adeguata protezione dei sistemi IoT, comprese le città smart, i dispositivi medicali indossabili e stand-alone e molti altri.
Ulteriori informazioni su questa ricerca sono disponibili su Securelist.com.
Nella Giornata Internazionale della navigazione sicura, l’Internet Safer Day, Morten Lehn, General Manager Italy di Kaspersky Lab, ha partecipato all’evento organizzato a Roma da Telefono Azzurro per creare un momento di confronto sul tema della sicurezza in Rete in difesa dei diritti dei bambini e dei ragazzi.
Kaspersky Lab, partner di Telefono Azzurro, è da anni impegnata a far crescere anche in bambini e ragazzi la consapevolezza dei rischi che la rete può nascondere. Sempre più persone condividono, infatti, informazioni o foto su social media come Facebook e Instagram rendendo accessibili agli estranei un’elevata quantità di informazioni private. Una recente indagine di Kaspersky Lab ha indagato quante informazioni personali siano diventate di dominio pubblico: la ricerca ha rivelato che la maggior parte delle persone intervistate (93%) condivide le proprie informazioni online e di queste il 70% condivide foto e video dei propri figli.
In modo preoccupante, quasi la metà (44%) degli utenti non prende in considerazione il fatto che le informazioni personali condivise su internet, una volta diventate di dominio pubblico, possono sfuggire al controllo dei loro proprietari. Una persona su cinque ammette di condividere dati sensibili con persone che non conosce bene e con estranei, limitando così la possibilità di controllare il loro uso futuro.
Inoltre, sempre secondo una ricerca di Kaspersky Lab, i social media, nati come modo per rimanere in contatto con gli amici e condividere ricordi piacevoli, diventano spesso fonte di frustrazione. La caccia ai “like” gioca un ruolo centrale in questo processo, poiché la maggior parte delle persone si sente abbattuta o arrabbiata quando non riceve tutti i “mi piace” che si aspettava per un post e il 42% afferma di essere geloso quando i propri amici ne ricevono di più. Inoltre, l’indagine evidenzia che le persone provano invidia quando vedono, sui social, che la vita degli amici appare migliore della propria.
In un sondaggio su un campione di 16.750 utenti in tutto il mondo, Kaspersky Lab ha rilevato la frustrazione nei confronti dei social media. Le persone, spesso, dopo aver passato del tempo sulle diverse piattaforme, provano sentimenti negativi, che superano gli effetti positivi che i social dovrebbero generare.
Ad esempio, il 59% si è sentito triste dopo aver visto i post di amici a una festa a cui non era stato invitato e il 45% ha rivelato che le foto delle vacanze degli amici hanno avuto conseguenze negative sul proprio umore. Inoltre, il 37% ha anche ammesso che riguardare vecchi post e ricordare momenti felici li ha lasciati con la sensazione che il passato fosse meglio del presente.
L’unico motivo per cui gli utenti non decidono di abbandonare i social media è la paura di perdere i contatti coi propri amici e i propri ricordi online, come le foto e, se il primo problema potrebbe essere più difficile da risolvere, Kaspersky Lab sta lavorando a una soluzione per aiutare gli utenti a salvare i propri ricordi digitali.
Game Over: la scarsa protezione delle password espone i gamer ai cyber attacchi
Il gaming online è rapidamente diventato un settore estremamente remunerativo e il numero di account è in costante crescita. Secondo una ricerca condotta da Kaspersky Lab, più della metà delle persone (53%) in tutto il mondo gioca regolarmente online, un dato che sale al 64% per le persone di età compresa tra i 25 e i 34 anni e al 67% per la fascia d’età 16-24. Si tratta di un settore potenzialmente remunerativo anche per i cyber criminali, che possono rubare gli account di gaming e venderli nel mercato nero. Nonostante i rischi, spesso i gamer non proteggono i propri account online dai cyber attacchi, rischiando di perdere non solo i propri progressi ma anche i dati personali e, potenzialmente, il proprio denaro.
L’audience globale del settore gaming – guidato da piattaforme online come Steam, PlayStation Network e Xbox Live – viene stimato tra i 2,2 e i 2,6 miliardi di utenti ed è tuttora in crescita, fattore che rende questo settore un obiettivo interessante per i cyber criminali, che desiderano bloccare le attività online o ottenere l’accesso a dati come password e dettagli delle carte di credito. L’interesse dei criminali informatici è chiaramente dimostrato dai recenti attacchi alle piattaforme Xbox e PlayStation.
Considerato l’elevato numero di persone che giocano regolarmente online, i cyber criminali hanno a disposizione moltissimi utenti tra i quali scegliere le future vittime. Inoltre, il gaming è diventato una parte importante della vita di molte persone, che si affidano ai videogiochi quando si sentono sole, annoiate o desiderano socializzare. I cyber attacchi possono quindi risultare molto fastidiosi per le vittime: oltre a vedersi rubati i propri dati, possono subire conseguenze emotive, perdendo l’accesso ai propri giochi preferiti (sia temporaneamente, sia definitivamente) e vedendo vanificati i risultati raggiunti e sprecato il denaro speso.
Tra chi è stato vittima di un tentativo di attacco o di un attacco andato a buon fine ai danni di un proprio account online, il 16% ha visto presi di mira i propri profili gaming, percentuale che sale al 21% tra gli uomini. Inoltre, considerato che il 55% delle persone non sarebbe in grado di ripristinare in breve tempo i dettagli del proprio account in caso di perdita, il fastidio causato da un cyber attacco è ulteriormente amplificato.
Non più relegato all’ambiente domestico, il gaming fa sempre più parte della vita quotidiana di molte persone, come dimostrato dal fatto che quasi un intervistato su tre (27%) gioca regolarmente via smartphone. Quasi una persona su quattro (23%) usa connessioni wi-fi pubbliche per effettuare il login ai propri account gaming e il 56% dichiara di non adottare alcuna precauzione aggiuntiva quando usa network pubblici, sebbene i dispositivi non siano di per sé sicuri, esponendosi quindi a seri rischi. Questo pericolo viene ulteriormente aggravato dal fatto che solo il 5% delle persone indica il proprio account gaming tra i tre che richiedono le password più forti.
Inoltre, considerando che al giorno d’oggi molti profili online sono connessi tra loro, le vittime possono facilmente perdere l’accesso a diversi account, come quelli di email e social network. Mentre questo potrebbe causare gravi conseguenze emotive per gli utenti comuni, i giocatori professionisti possono subire conseguenze ancora più serie, arrivando a perdere denaro.
“Un vero e proprio tesoro di informazioni personali è disponibile online, offrendo ai cyber criminali sempre più opportunità di entrare in possesso dei dati più preziosi degli utenti, che possono essere venduti sul mercato nero digitale”, ha commentato Morten Lehn, General Manager Italy di Kaspersky Lab. “I gamer – sia amatori che professionisti – sono comprensibilmente preoccupati dalla possibilità di subire attacchi ai propri account ma anche dal pericolo di dimenticare la password e non riuscire ad accedervi. Si tratta di un dilemma che gli utenti affrontano tutti i giorni e molti scelgono l’opzione meno sicura: usare la stessa password per tutti i propri account o password semplici che gli hacker possono indovinare facilmente. Tuttavia, solo prendendo le giuste precauzioni e usando password uniche e forti gli utenti potranno essere sicuri che i propri account siano protetti e che il loro impegno non vada sprecato”.
Per proteggere gli account online dei gamer, molti prodotti Kaspersky Lab includono una funzionalità per la gestione delle password che aiuta gli utenti a tenere al sicuro le proprie informazioni, come Kaspersky Password Manager incluso in Kaspersky Total Security. Questo tool conserva tutte le password degli utenti in un archivio sicuro e semplifica l’accesso ai propri account da PC, Mac e smartphone. Un generatore automatico di password crea password forti, mentre gli utenti devono ricordare solamente la master password per accedere a tutti i propri account online.
Per maggiori informazioni sulle principali minacce informatiche per gli utenti, è possibile leggere il report “Consumer Security Risks Survey 2017: Not logging on, but living on” a questo link.
Password deboli e facili da ricordare vs password complesse e meno semplici da memorizzare
Gli utenti accedono quotidianamente ai propri account online per trasferire denaro dai propri conti bancari, fare shopping, consultare il meteo o prenotare un taxi. Purtroppo spesso succede di non riuscire ad effettuare l’accesso perché è stata dimenticata la password e in alcuni casi questo può creare diversi problemi. Da una ricerca di Kaspersky Lab è emerso il “dilemma” di fronte al quale si trovano gli utenti nel momento in cui devono decidere la password per proteggere i propri account online.
Oggi la dipendenza dagli account online è sempre più forte e dall’indagine di Kaspersky Lab è emerso che gli utenti, quando devono scegliere le password per proteggerli, si trovano sempre più frequentemente di fronte ad un dilemma. Alcuni utilizzano password forti e diverse per ciascun account per evitare che vengano hackerati, ma rischiano di dimenticarle quando servono. Altri scelgono invece password facili da ricordare che però rendono più semplici anche i tentativi di violazione degli account da parte dei criminali informatici.
Secondo la ricerca di Kaspersky Lab, sono molti gli utenti che comprendono la necessità di avere password sicure per i propri account. Infatti, quando è stato chiesto agli intervistati per quali account online utilizzassero password più efficaci, il 63% ha risposto per i conti bancari online, il 42% per le applicazioni di pagamento tra cui e-wallet mentre il 41% per gli acquisti online.
Tuttavia, non è semplice ricordare password complesse e diverse tra loro e questo rende molto più probabile la possibilità che gli utenti le dimentichino e non riescano più ad accedere ai propri account. Due utenti su cinque (38%) non riescono a ripristinare rapidamente le password dei propri account online personali dopo averle perse. Questo può suscitare frustrazione o stress perché non consente all’utente di svolgere le normali attività.
Quando si tratta di archiviare le password, la metà degli intervistati (51%) ha dichiarato di memorizzare le password in modo poco sicuro, il 23% le scrive addirittura su un blocco note per non doverle ricordare, il che mette a rischio anche la loro sicurezza.
Password deboli e facili da decifrare
Per evitare la frustrazione di dover ricordare password troppo lunghe, alcune persone stanno sviluppando abitudini poco sicure. Ad esempio, il 10% usa una sola password per tutti gli account perché è più semplice e non rischia di dimenticarla. Questo fino a quando un criminale informatico non riesce a identificare la password e a bloccare gli accessi ad ogni account in un colpo solo.
Infatti, negli ultimi 12 mesi, il 17% degli intervistati ha dovuto fronteggiare la violazione (o il tentativo di violazione) del proprio account. Gli account di posta elettronica sono quelli presi di mira più frequentemente (41%), seguiti da social media (37%), conti bancari (18%) e account per gli acquisti online (18%).
Per il “dilemma” relativo alle password esiste una terza opzione
Secondo Kaspersky Lab, gli utenti non devono necessariamente limitarsi a due sole opzioni per rispondere al “dilemma” della password. Non è necessario scendere a compromessi, come spiega Morten Lehn, General Manager Italy di Kaspersky Lab: “Se le persone potessero usufruire di password sicure e facili da ricordare, non solo sarebbero in grado di accedere a tutto ciò di cui hanno bisogno ogni volta che serve, ma potrebbero anche proteggere dai criminali informatici tutte le informazioni contenute all’interno degli account. Questo è importante per gli utenti che vogliono sentirsi sicuri senza troppe complicazioni e vivere la propria vita digitale senza rivelare le proprie informazioni a hacker o criminali.
Ma ricordare password sicure è difficile, il che significa che gli utenti si trovano quotidianamente in situazioni in cui dimenticano password complesse o creano password semplici da ricordare ma anche da hackerare. Esiste però una terza opzione che può aiutare gli utenti a risolvere questo dilemma: utilizzare una soluzione di gestione delle password che consenta di avere password complesse, senza la necessità di scriverle sui blocchi note o di ricordare complesse stringhe di parole e caratteri speciali”.
Per aiutare gli utenti a controllare la propria identità online, Kaspersky Password Manager memorizza tutte le password dell’utente in una “cassaforte” sicura. Sarà necessario ricordare solo una password principale che consente l’accesso a tutti gli account e non si dovrà più temere che l’accesso venga impedito da un motivo qualsiasi. Tramite l’account gratuito My Kaspersky, gli utenti possono accedere alle proprie password tramite diversi dispositivi, in qualsiasi momento o luogo, mantenendo gli account e le informazioni preziose al sicuro con un accesso disponibile solo all’utente. La funzione automatica del generatore di password aiuta anche a creare password sicure, eliminando il problema per gli utenti ma rendendo le cose più difficili ai criminali informatici.
Ulteriori informazioni su come i prodotti Kaspersky Lab possono aiutare gli utenti a mantenere il controllo dei propri account online, sono disponibili su https://www.kaspersky.com/home-security
“Sono state scoperte due gravi vulnerabilità nei chip Intel, che potrebbero consentire agli aggressori di sottrarre informazioni sensibili dalle app accedendo alla memoria principale. La prima vulnerabilità, Meltdown può efficacemente rimuovere la barriera tra le applicazioni utente e le parti sensibili del sistema operativo. La seconda vulnerabilità, Spectre, che si trova anche nei chip AMD e ARM, può indurre le applicazioni vulnerabili a perdere il contenuto della memoria.
Le applicazioni installate su un dispositivo funzionano generalmente in modalità utente, lontano dalle parti più sensibili del sistema operativo. Se un’applicazione ha bisogno di accedere a un’area sensibile, ad esempio il disco, la rete o l’unità di elaborazione sottostante, deve chiedere l’autorizzazione per utilizzare la “modalità protetta”. Nel caso di Meltdown, un aggressore potrebbe accedere alla modalità protetta e alla memoria principale senza bisogno di autorizzazione, eliminando in modo efficace la barriera e consentendogli di sottrarre potenzialmente i dati dalla memoria delle app in esecuzione, come ad esempio i dati provenienti da gestori di password, browser, e-mail, foto e documenti.
Poiché si tratta di bug hardware, trovare la patch è complesso. Per Linux, Windows e OS X sono state emesse patch contro Meltdown e si sta lavorando per rafforzare il software contro lo sfruttamento futuro di Spectre. Google ha pubblicato ulteriori informazioni qui. È fondamentale che gli utenti installino immediatamente le patch disponibili. Ci vorrà del tempo perché gli aggressori capiscano come sfruttare le vulnerabilità – fornendo una piccola ma importante “finestra” di protezione”, Ido Naor, Senior Security Researcher, GReAT di Kaspersky Lab.
DA YARIX, CYBER DIVISION DI VAR GROUP, 4 LEZIONI CHE POSSIAMO APPRENDERE DALLA VICENDA UBER
I DATI SONO L’OBIETTIVO PIÙ AMBITO DALLA CRIMINALITÀ CIBERNETICA:
CYBER INTELLIGENCE, SECURITY ASSESSMENT E CONSULENZA GDPR
SONO LE RISORSE FONDAMENTALI PER TUTELARSI
Uber è stata vittima di un attacco hacker, conclusosi con il furto dei dati dei 57 milioni di utenti in tutto il mondo. È solo l’ultimo degli episodi che, su scala globale, confermano come i dati siano il patrimonio più prezioso e ambito dai cybercriminali.
Le aziende e istituzioni italiane non sono immuni da questo rischio. Yarix – Cyber Division di Var Group e tra i player più accreditati nel campo della cybersecurity – desidera condividere le 4 lezioni che possiamo apprendere dalla vicenda Uber. Per mettere a fuoco i confini della vulnerabilità del sistema e le contromisure da adottare.
#1 Accordo con i cybercriminali di non divulgazione dei dati?
Meglio non scendere a compromessi con la cybercriminalità e non cedere a ricatti. Altrimenti si contribuisce ad incrementare il business della malavita e incentivare la rete del cybercrime. Nessun accordo stretto con chi commette crimini può essere considerato un accordo lecito, affidabile e proficuo.
#2 Sbagliato cercare di mettere tutto a tacere, per evitare danni di immagine e sanzioni governative
Trasparenza e condivisione tempestiva di informazioni sono la sola via percorribile per ridurre l’impatto dell’incidente e tutelare quanti sono coinvolti. In caso di data breach e data leak (diffusione di dati personali e sensibili), la nuova normativa sulla protezione dei dati personali (GDPR), a partire dal 25 maggio 2018, impone ad aziende e istituzioni colpite l’obbligo di notifica all’Autorità Garante Privacy e, in alcuni casi, anche agli interessati dalla violazione. In caso di mancato rispetto dell’obbligo di notifica, le aziende o le istituzioni potranno subire sanzioni amministrative pecuniarie fino a 10 milioni o, in caso di aziende, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
#3 Crittografia come scelta strategica
Secondo la normativa GDPR, i dati personali e sensibili nonché le informazioni strategiche per il business o per lo svolgimento della funzione istituzionale devono essere protetti con la crittografia. Non solo. La crittografia presenta il vantaggio ulteriore di consentire, in caso di data breach, di porsi al riparo da qualsiasi danno (i dati crittografati non sono utilizzabili).
#4 Proteggersi, proteggersi, proteggersi: i data leak sono e saranno sempre più frequenti
Con sempre maggiore frequenza vengono resi noti data leak che coinvolgono governi e aziende, compromettendo la privacy di utenti di servizi digitali, consumatori, e più in generale interessati che abbiano conferito i loro dati. Tra i trend emergenti e più preoccupanti c’è, in particolare, lo spear phishing, che comporta attacchi sempre più mirati verso aziende e il loro management.
La portata del danno potenziale è in grado di compromettere seriamente – come nel caso di Uber – reputazione e continuità del business aziendale. La scelta di attivare un servizio professionale di Penetration Test, Vulnerability Assessment e Insider Intelligence non rappresenta, dunque, solo una opzione, ma è un imperativo cui non è più possibile sottrarsi.
Anche se molte aziende stanno investendo in sicurezza informatica indipendentemente dal ROI (il 63% nel 2017 rispetto al 56% del 2016), un nuovo studio di Kaspersky Lab e B2B International ha rilevato che il costo medio di un incidente di sicurezza informatica è in crescita. Secondo il report “IT security: cost-centre or strategic investment?[1]”, le falle alla sicurezza informatica più costose per le aziende di qualsiasi dimensione derivano da errori di terze parti, il che significa che le aziende non dovrebbero soltanto investire nella propria sicurezza, ma anche prestare attenzione a quella dei loro partner.
Lo studio di quest’anno rivela una crescita promettente dell’importanza che le aziende danno alla sicurezza IT. Le aziende stanno, infatti, iniziando a vedere la sicurezza come un investimento strategico e la quota del budget IT che viene speso per la sicurezza informatica è in crescita, raggiungendo quasi un quarto (il 23%) del budget IT nelle grandi aziende. Questa tendenza è in realtà comune alle aziende di tutte le dimensioni, incluse quelle molto piccole dove le risorse economiche sono più ridotte. Tuttavia anche se la sicurezza sembra beneficiare di una grande parte del budget IT, il problema è che quest’ultimo si sta riducendo. Per esempio, il budget medio di sicurezza IT nelle grandi aziende in termini assoluti è calato da 25,5 milioni di dollari dell’anno scorso a 13,7 milioni di dollari nel 2017.
Questa è una grande preoccupazione per le aziende, visto che – a differenza dei budget in sicurezza IT – i costi per la ripresa dalle violazioni alla sicurezza sono in aumento. Quest’anno, le PMI hanno speso una media di (87,8 mila dollari per incidenti sulla sicurezza (rispetto agli 86,5 mila dollari del 2016), mentre le grandi aziende hanno affrontato un aumento ancora più grande di 992 mila dollari nel 2017, rispetto agli 861 mila dollari del 2016.
Riguardo all’Italia, lo studio ha evidenziato che nel nostro Paese per le PMI l’impatto totale medio di una violazione di dati è ammontata a 75.600 euro e per le grandi aziende dieci volte tanto, cioè 856.800 euro. Inoltre, le aziende enterprise hanno speso in media 69.720 euro per migliorare il software e l’infrastruttura a seguito di un problema alla sicurezza.
Tuttavia, aumentare i budget per la sicurezza IT è solo una parte della soluzione, visto che le perdite più gravi derivano da incidenti che riguardano terze parti e i loro errori informatici. Le PMI hanno dovuto pagare fino a 140 mila dollari per incidenti che hanno colpito infrastrutture ospitate da terze parti, mentre le grandi aziende hanno perso quasi due milioni di dollari (1,8 milioni di dollari) a causa di falle che hanno colpito fornitori con cui condividevano dati e 1,6 milioni di dollari a causa di un livello insufficiente di protezione degli laaS-provider.
Non appena un’azienda permette l’accesso ai suoi dati o infrastrutture a un’altra azienda, le debolezze di una delle due società intaccano entrambe. Questa questione sta diventando sempre più importante dal momento in cui i governi di tutto il mondo fremono per introdurre nuove legislazioni che richiedono che le organizzazioni forniscano informazioni su come condividono e proteggono i dati personali.
“Gli incidenti alla sicurezza informatica che riguardano terze parti sono dannosi per le aziende di tutte le grandezze e il loro impatto finanziario è ancora più grave. Questo perché le minacce si evolvono velocemente mentre le aziende e la legislazione cambiano lentamente. Quando norme come il GDPR diventeranno giuridicamente applicabili e prima che le aziende riescano ad aggiornare le loro policy, le società si ritroveranno a dover pagare anche le spese per la loro inadempienza”, afferma Alessio Aceti, Head of Enterprise Business Division di Kaspersky Lab.
Per aiutare le aziende nelle loro strategie di sicurezza IT, Kaspersky Lab presenta il Kaspersky IT Security Calculator, che si basa sul panorama delle minacce del mercato e contiene specifiche raccomandazioni di protezione. Questo strumento per le aziende è una guida aggiornata sui costi per la sicurezza IT in base ai budget medi spesi (suddivisi per area geografica, industria e dimensione dell’azienda), misure di sicurezza, principali vettori di minacce, perdite economiche e consigli su come evitare una compromissione. Si può trovare a questo link il Kaspersky IT Security Calculator e l’intero report “IT security: cost-centre or strategic investment?”.
Kaspersky Lab offre soluzioni che soddisfano le richieste delle piccole e medie imprese e delle grandi aziende in termini di endpoint protection, DDoS protection, cloud security, difesa da minacce avanzate e servizi di sicurezza informatica. Per ulteriori informazioni sulla nostra offerta di soluzioni enterprise di prossima generazione e sui nostri prodotti per le piccole e medie imprese, visitate il sito.
[1] Indagine globale condotta a partire dal 2011. L’ondata più recente dei dati sono stati raccolti da marzo ad aprile 2017, con un totale di 5274 interviste condotte in 30 Paesi, inclusa l’Italia.
Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. maggiori informazioni
Questo sito utilizza i cookie per fonire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o clicchi su "Accetta" permetti al loro utilizzo.