FAQs - cloud

Le FAQ di GARR CERT


Quale grado di riservatezza è garantito dai sistemi di storage online attualmente più diffusi?
Tratto dalla rubrica Risponde Cecchini - GARR News 6 - Maggio 2012

I sistemi di storage online possono aggiungere ulteriori rischi di sicurezza e privacy. Se trasferisco i miei dati in un sito esterno, su cui non ho nessun controllo e senza sapere con sicurezza come siano protetti, compio sostanzialmente un "atto di fede" nei confronti del fornitore del servizio.

Non è necessariamente una cosa negativa, basta essere ben consci dei pro e dei contro. E in questo non siamo purtroppo aiutati dalle controparti, che hanno ogni interesse a tenerci all'oscuro dei rischi. Una recente indagine su circa 400 persone ha, infatti, rilevato che i documenti sulle policy di

Facebook e Google sono molto meno comprensibili di quelli di banche e agenzie governative [v.gd/WQvXLp]. Il World Privacy Forum ha individuato una serie di suggerimenti da tenere presenti nella scelta di un fornitore di servizi Cloud [v.gd/ePK41z].

Sono regole tutto sommato ovvie, ma non fa male elencarle esplicitamente: le condizioni del servizio devono essere chiare; il fornitore del servizio deve dichiarare quali diritti avanza sull'utilizzo o la diffusione dei vostri dati; deve essere espresso cosa succede ai vostri dati se decidete di terminare il contratto; le variazioni alle condizioni di fornitura devono essere opportunamente pubblicizzate.

E comunque, la regola d'oro finale è: non trasferite mai niente che non volete venga a conoscenza di terze parti. Per un elenco più esaustivo dei rischi, consiglio il rapporto del WPF [v.gd/OGbs7T] e il wiki di OWASP [v.gd/6VBg8R].

Tanto per essere più concreti, vediamo qualche caso tra i moltissimi esistenti che forniscono anche un piano gratuito: Amazon Cloud Drive, Dropbox, SpiderOak e Wuala.

Il primo è scelto come cattivo esempio, gli altri perché, oltre al classico backup, consentono la sincronizzazione su più computer (molto comoda!) e hanno dei client Linux.

Amazon Cloud Drive si riserva il diritto di accedere, mantenere, utilizzare e rivelare informazioni sul vostro account e sui vostri file. In compenso non garantisce nulla sulla loro sicurezza. Per quanto riguarda le variazioni alle condizioni di fornitura, saranno pubblicate da qualche parte su Amazon.com, con effetto immediato, e l'accesso al servizio dopo la pubblicazione è da intendersi come loro implicita accettazione.

Gli altri tre servizi sono migliori. I dati sono conservati cifrati, ma con una differenza importante: Dropbox ha accesso ai dati in chiaro, anche se giura che lo farà solo in casi estremi; con Spider Oak e Wuala, invece, i dati sono cifrati sul computer dell'utente e quindi senza che nessun altro possa utilizzarli [v.gd/T4Kfn3], a meno che la NSA non abbia qualche asso nella manica...[ v.gd/PHlWdj].

È interessante notare che Dropbox ha spiegato meglio la propria policy dopo un incidente di sicurezza durante il quale tutti potevano vedere i file di tutti [v.gd/8XOzwv].
In ogni caso, se volete salvare su Dropbox dati riservati, vi consiglio di cifrarli preventivamente con TrueCrypt [v.gd/he3Caz]. Per un confronto più dettagliato su questi e altri servizi analoghi posso consigliarvi questa lettura: v.gd/0Wm4My.

In conclusione, la protezione della vostra privacy non è certo la preoccupazione principale dei fornitori di storage online. In fin dei conti, molti fanno soldi proprio utilizzando le informazioni su di voi che riescono a recuperare.

Se la comodità di tenere sincronizzati i dati sui vostri PC giustifica qualche rischio in più, le due soluzioni di sopra potrebbero fare al caso vostro.


Password: consigli per l'uso
Tratto dalla rubrica Risponde Cecchini - GARR News 11 - Dicembre 2014

Purtroppo la famigerata coppia utente/ password sembra sia destinata a dominare ancora per molti anni il reame dell'autenticazione. È persino ancora utilizzata in molte realizzazioni di sofisticati sistemi globali (ad es. Kerberos). Un po' come avere una porta blindata con serratura a toppa, vista anche la qualità delle scelte degli utenti.

Ad esempio, le tre password più comuni del 2013, ricavate dai milioni di account compromessi che si trovano in rete, sono "123456", "password" e "12345678" (le stesse del 2012) [v.gd/xofofi] - [v.gd/bojuba]

Se a questo aggiungiamo il serio rischio dovuto ai frequenti attacchi di phishing o social engineering, si arriva a un quadro non particolarmente confortante. Per cercare di minimizzare i rischi, eccovi alcuni consigli.

Usate un buon algoritmo di generazione

caratteri, di cui almeno 1 minuscolo, 1 maiuscolo, un numero e un carattere speciale. Evitate le parole di qualsiasi lingua, anche con un numero prima o dopo, e le sostituzioni banali: ”pa$$w0rd“ non è una buona password. Se avete speranza di ricordarle potete partire dalle iniziali delle parole dei vostri versi preferiti, altrimenti utilizzate un generatore casuale (tutti i password manager citati sotto ne hanno uno) o SuperGen- Pass, un bookmarklet che genera sempre la stessa password per ogni combinazione Master Password / indirizzo web.

Non usate mai lo stesso utente/password in posti diversi

Ricordate che se un vostro account viene compromesso, magari uno aperto anni fa e di cui non vi ricordate nemmeno più, o se cadete in un phishing (capita!), la stessa combinazione utente/password verrà provata dovunque, anche sul vostro nuovo gmail. Ogni anno gli account compromessi si contano a centinaia di milioni.

Utilizzate un gestore di password

A meno che non siate Pico della Mirandola, se seguite le norme di sopra avete bisogno di un buon strumento di memorizzazione. Sconsiglio i browser perché spesso poco sicuri e di non sempre facile sincronizzazione tra sistemi diversi. Qui trovate una rassegna dei migliori password manager in circolazione: [v.gd/93TdF7]. I miei preferiti sono LastPass e KeePass quest'ultimo magari insieme ad un meccanismo di sincronizzazione come Dropbox, entrambi multipiattaforma.

Utilizzate l'autenticazione a due fattori

L'autenticazione a due fattori al momento è il meglio che potete fare per proteggere i vostri account. Il funzionamento è semplice. Dopo aver scritto nome utente e password, viene richiesta l'immissione di un codice identificativo ogni volta diverso: da dispositivo hardware, come per i conti bancari, o spedito via sms o calcolato da un'applicazione, ad es. SAASPASS sul vostro smartphone. Ormai è disponibile quasi ovunque con modalità più o meno simili. Chiaramente la facilità d'uso diminuisce, ma sono fermamente convinto che ne valga la pena. Concludo con due suggerimenti: per sapere se uno dei vostri account è stato compromesso potete usare questo sito [v.gd/itomen] e seguite @GARR_CERT su twitter !

 

 

Questo sito utilizza i cookie per migliorare servizi ed esperienza dei lettori. Se decidi di continuare la navigazione consideriamo che accetti il loro uso. Per maggiori informazioni sull'uso dei cookies e su come eliminarli leggi l'informativa estesa

Abbiamo modificato alcune delle nostre politiche per rispondere ai requisiti del nuovo Regolamento Europeo per la Protezione dei Dati Personali (GDPR). In particolare abbiamo aggiornato la Privacy Policy e la Cookie Policy per renderle più chiare e trasparenti e per introdurre i nuovi diritti che il Regolamento ti garantisce. Ti invitiamo a prenderne visione.

Informativa sulla privacy