Linkedin: trafugate 6.5 milioni di password

Riportiamo integralmente da webnews, in quanto importante.

L'articolo originale lo trovate qui.

Un utente ha pubblicato su un forum russo una forte minaccia per la credibilità di LinkedIn: il file portato online conterrebbe infatti 6,5 milioni di password estrapolate direttamente dai server del social network professionale, facendo così teoricamente propri 6,5 milioni di account attivi.

La veridicità del documento è ancora tutta da confermare, ma l’ipotesi appare verosimile sulla base di alcuni indizi raccolti tra le password elencate. LinkedIn al momento non ha ancora fornito spiegazioni né conferme, ma ha comunicato di aver preso visione del problema e di voler diramare aggiornamenti sulla situazione non appena possibile e non appena in possesso di informazioni certe su quanto accaduto.
Click here to find out more!

Le password sarebbero protette da crittografia con algoritmo SHA-1, il che dovrebbe mettere la maggior parte degli account al sicuro. Non per tutti sarà però così, il che determina una situazione di rischio potenziale che ha spinto Graham Cluley, esperto di sicurezza Sophos, a consigliare a tutti, indiscriminatamente, il cambio della propria password sul social network.

Per effettuare tale operazione è sufficiente un login sul proprio account, un click su “impostazioni” sotto il proprio nome in alto a destra e quindi un ultimo click su “cambia” in relazione al campo “password”.

Il problema di sicurezza in casa LinkedIn giunge a distanza di poche ore dalla scoperta di alcune informazioni in chiaro che il social network recupera dall’utenza utilizzante l’applicazione dedicata per iOS: la comunione delle due situazioni costringerà il gruppo ad una chiara presa di posizione per spiegare sia l’una che l’altra falla. Problemi di questo tipo rischiano infatti di mettere in discussione l’immagine e la credibilità dell’intero social network, il che impedisce di temporeggiare ed impone reazioni immediate a garanzia della sicurezza e della bontà del sistema messo al servizio degli utenti.

Articoli Correlati

Sicurezza Informatica e PA / pt 1

In un precedente articolo avevamo proposto un'analisi sull'evoluzione delle normative inerenti ai temi di privacy e sicurezza dei dati nell'ultimo periodo. Da una visione completa dell'insieme si nota con evidenza che dopo alcuni anni di 'costruzione' e 'definizione' delle problematiche, dei ruoli e degli obblighi in materia, le ultime indicazioni arrivate dal legislatore tendono pian piano a semplificare e razionalizzare il complesso giuridico.
Tuttavia per quanto riguarda l'ambito Pubblica Amministrazione si sta andando in controtendenza. Le ultime indicazioni di DigitPA infatti stanno definendo obblighi sempre più precisi, stabilendo con chiarezza ambiti di applicazioni ed indicando suggerimenti e best-practice per permettere soprattutto agli enti locali di riconoscere le proprie mancanze e giungere nel tempo ad un livello di stabilità relativo alla parte informatica che garantisca la piena sicurezza dei dati ed il rapido ripristino delle attività in caso di incidente informatico.
Ad oggi infatti la sensazione (soggettiva) che molte PA locali debbano ancora fare molti passi in avanti per garantire un grado di sicurezza ICT accettabile è ancora diffusa, nonostante il piano normativo anche se un poco farraginoso e complesso già da anni si sia sufficientemente espresso.
In questo primo articolo analizzeremo il contesto storico (moderno) Italiano esclusivamente riguardo le correlazioni tra ICT e sicurezza ( tralasciando perciò il vasto complesso generale della Digital Governance e delle sue varie evoluzioni nel tempo), per poi proporre più avanti un secondo articolo contenente le ultime evoluzioni approfondendo in particolare il ruolo di DigitPa.

La politica italiana incomincia ad interessarsi concretamente di sicurezza informatica e del rapporto di quest'ultima con gli obblighi di privacy nel gennaio 2002 quando la Presidenza del Consiglio dei Ministri emana una direttiva sulla sicurezza ICT con la quale invita le PA ad ad effettuare una propria autovalutazione in merito e ad allinearsi ad una base minima di sicurezza tecnicamente definita negli nallegati alla direttiva. Al contempo il Dipartimento per l'Innovazione per le Tecnologie della Presidenza del Consiglio dei Ministri ed il Ministero delle comunicazioni si sarebbero impegnati a “[…] Promuovere la creazione e la successiva attivazione di un modello organizzativo nazionale di sicurezza ICT […] Costituire un comitato nazionale della sicurezza ICT […] Definire uno schema nazionale di riferimento […] Formulare il piano nazionale della sicurezza ICT della PA […] Realizzare la certificazione di sicurezza ICT nella PA […]”.
Ad aprile dello stesso anno sempre la Presidenza del Consiglio emana la direttiva denominata “Schema nazionale per la valutazione e la certificazione della sicurezza delle tecnologie dell'informazione” con il quali si pongono le basi giuridiche “… per la valutazione e la certificazione della sicurezza nel settore delle tecnologie dell'informazione per la tutela delle informazioni classificate disciplina le linee essenziali per la definizione dei criteri e delle procedure da osservare per il funzionamento degli organismi di certificazione e per la valutazione dei prodotti e dei sistemi che gestiscono informazioni classificate.” In particolare viene appositamente definita un nuovo tipo di soggetto denominato Centro di Valutazione che dovrà rispondere ad alcune caratteristiche tecniche e sarà regolamentato nei rapporti con il cliente o "valutato".
Pochi mesi dopo a luglio viene istituito con termine al 31/12/2004 il Comitato Tecnico Nazionale sulla Sicurezza ICT con il compito di coordinare i lavori per il raggiungimento degli obiettivi prefissati con la direttiva di gennaio 2002.

Si passa quindi ad ottobre 2003 quando sempre con un decreto della presidenza del consiglio viene adottato il nuovo Schema Nazionale per la certificazione di sicurezza di prodotti e sistemi ICT, che si basa sugli standard ISO ITSEC e Common Criteria.
La sensazione è comunque che ci sia ancora molta strada da percorrere, ed infatti a dicembre dello stesso anno però in un ulteriore decreto viene precisato:
"Gli impegni indicati nella direttiva del marzo 2002 (autovalutazione del livello di sicurezza,
adeguamento alla «base minima» di sicurezza), al momento, non sono ancora compiutamente
realizzati. Le amministrazioni dovranno, pertanto, al più presto, adeguare le propria struttura,
almeno, ai livelli di sicurezza minimi richiesti, rivolgendo l'attenzione sia all'ambito organizzativo
che alla realizzazione di attività operative.
"
A Marzo 2004 il Comitato sulla Sicurezza ICT predispone un fondamentale documento chiamato Proposte concernenti le strategie in materia di Sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione dove viene riassunta tutta l'attività del Comitato. Ampia imprtanza viene data agli interventi di formazioni presso gli enti locali, alla sensibilizzazione sui temi di continuità operativa e analisi dei rischi, al favorire il ricorso a standard di sicurezza, e sopratutto ad una nuova struttura denominata GOVCERT.IT (poi CERT-SPC) con lo scopo di diventare punto di riferimento per le P.A in tema di attacchi informatici, tecniche di intrusione, vulnerabilità, minacce e patch.

Finalmente a Marzo 2006 il CNIPA pubblica il Piano Nazionale della sicurezza delle tecnologie dell’informazione e comunicazione della pubblica amministrazione che stabilisce le azioni necessarie per l' attuazione della sicurezza informatica e contiene al suo interno anche il Modello Organizzativo Nazionale di sicurezza ICT per la PA che invece definisce i processi e le strutture con cui attuare le azioni del Piano Nazionale.
A partire dal 2005 però importanti indicazioni arrivano anche dal Sistema Pubblico di Connettività definito dal Codice dell'Amministrazione Digitale dove sebbene in via generale vengono definite regole, metodi e best-practice (come la nomina di un Computer Emergency Response Team, CERT) per l'ambito di sicurezza nella PA, prestando attenzione a tutti gli aspetti logici, infrastrutturali, dei servizi, e dell’organizzazione.
Infine si ricorda anche nell'aprile 2008 il decreto denominato "Individuazione delle infrastrutture critiche informatiche di interesse nazionale" che sottolinea la sensibilità delle informazioni trattate da alcuni organismi della PA istituendo tra l'altro il C.N.A.I.P.I.C. Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche sotto il controllo della Polizia Postale e delle Comunicazioni.

Nei prossimi giorni come già spiegato proporremmo un ulteriore articolo con le evoluzioni avute negli ultimi 3 anni circa illustrando le specifiche indicazioni e richieste pervenute dal legislatore e da DigitPA nei confronti degli Enti Locali, fornendo anche alcune nostre considerazioni e proposte tecniche per lo sviluppo dei nuovi Sistemi Informatici nelle PA in previsione dell'adeguamento alle novità.

 

RIFERIMENTI:
http://www.interlex.it/pa/d_bruschi.htm
http://www.isticom.it/documenti/evidenza/intervento_guida.pdf
http://archivio.cnipa.gov.it/site/it-IT/Normativa/Raccolta_normativa_ICT/Sicurezza_informatica/
http://www.clusit.it/

Articoli Correlati

Rapporto Clusit sulla Sicurezza ICT

 

Il Clusit, l'Associazione Italiana per la Sicurezza Informatica, ha pubblicato un encomiabile Rapporto sulla Sicurezza ICT in Italia. Il testo che elenca con precisione fonti e metodologie di ricerca, presenta una panoramica generale sull'argomento, proponendo di seguito una serie di Case Study legati ai principali eventi di Cyber Crime ed incidenti informatici nel 2011, per poi analizzare la specifica situazione Italiana e le tendenze per il 2012. Vengono anche approfonditi i temi dell'operato delle autorità sul contrasto alla criminalità informatica ed al rapporto tra mercato e sicurezza ICT, per poi passare all'analisi di alcuni argomenti caldi inerenti alla materia.

Dal rapporto si posso estrapolare una serie di interessanti dati che ci permettono di effettuare alcune considerazioni.
Ad oggi i ricavi di un ipotetico mercato del crimine informatico si possono stimare tra i 7 ed i 12 miliardi di dollari l'anno, con bersagli e modalità di attacco che diventano sempre più importanti, pensando ad esempio che nel 2011 il Ddos più significativo, scagliato contro Telecom Ucraina, Yandex ed Evoswitch ha raggiunto picchi di 100 Gb/s, mentre la somma più alta rubata con un singolo attacco ad un conto corrente bancario è stato di 14,8 milioni di dollari. In pratica si deduce che gli obbiettivi non sono più soltanto ignari e poco poco preparati utenti così detti “casalinghi”, ma diventano sopratutto grandi organizzazioni e compagnie, da cui recuperare ingenti quantità economiche o trafugare preziose banche dati contenenti informazioni sensibili di un numero largo di clienti, assumendo l'aspetto di una moderna Cyber-War. E' evidente però che questi così detti “pesci grossi” non siano di certo impreparati di fronte ad attacchi di questo genere, ma ciò nonostante le intrusioni illegali hanno talvolta avuto buon fine, dimostrando che ad oggi il livello di sicurezza informatica applicato in qualsiasi campo non potrà mai garantire una completa inibizione dagli attacchi, ma potrà soltanto minimizzare la possibilità di successo di quest'ultimi.
Durante l'ultimo anno si è parlato di una serie di attacchi a grandi organizzazioni da parte di “hacker-attivisti” che operano senza scopo di lucro (per quel che si conosce) che avevano come unico scopo quello di creare ingenti danni d'immagine ai primi. Tuttavia l'attenzione mediatica su questi eventi ha distratto l'attenzione da i pericoli creati dalla reale cyber-criminalità, molto spesso organizzata ed addirittura strutturata per lavorare su commissione.
In generale si è riassunto che il 2011 è stato probabilmente l'anno peggiore di sempre nella storia per la sicurezza informatica, lasciando previsioni non migliori per il 2012, dove le crescenti tecnologie mobili, i social network e i cloud saranno i nuovi obiettivi.
A questo vanno però aggiunti i problemi relativi agli incidenti informatici, alcuni dei quali dovuti alla troppa superficialità nella gestione dei sistemi e dei dati, ma anche alla ormai sconfinata complessità della gestione informatica che sta raggiungendo livelli avanzatissimi rendendo complicato seguire con efficienza e regolarità tutti gli elementi che compongono il complesso informativo.
Per quanto riguarda il caso specifico Italiano, si ricava che soltanto il 2% degli utilizzatori di internet ha piena e completa consapevolezza dei rischi e dei mezzi per proteggersi, mentre il 71% sebbene abbia una protezione di base è ancora impreparato per affrontare attacchi diretti e situazioni d'emergenza, evidenziando una pericolosa difficoltà culturale a riguardo, oltre che una incomprensibile arrendevolezza al denunciare le attività illegali di cui cade vittima. Si stima infatti che i danni economici che ricadono sui cittadini italiani a causa della cyber-criminalità siano in totale circa 6,7 miliardi di euro all'anno!

In questo blog verranno più avanti presentate ulteriori analisi sul tema con nuove informazioni ed analisi su argomenti specifici.
Nel frattempo per chi volesse consultare il documento del Clusit può trovarlo qui: www.securitysummit.it/page/rapporto_clusit

Articoli Correlati