Solid

Per celebrare l’anniversario della “Congiura delle polveri” il collettivo di Anonymous ha pubblicato, il 5 novembre scorso, i dati sensibili di ministeri, enti pubblici e partiti, proprio come annunciato all’inizio di questa “Black Week”

 “C’è qualcosa di terribilmente marcio in questo paese, crudeltà e ingiustizia, intolleranza e oppressione […] Se cercate il colpevole non c’è che da guardarsi allo specchio”, questo è l’annuncio con cui, lo scorso 29 ottobre, il collettivo di hacker Anonymous Italia ha comunicato che avrebbe reso pubblici, per una settimana – la cosiddetta Black Week -, dati rubati da vari siti di Enti pubblici, partiti e ministeri. 

Il giorno finale degli attacchi doveva essere – ed è stato - il 5 novembre, una data simbolica che commemora la Congiura delle Polveri, l’attacco del 1605 progettato dal famoso dissidente britannico Guy Fawkes (la maschera a cui si ispira il protagonista del film V per Vendetta), che aveva l’intento di uccidere re Giacomo I d’Inghilterra.

L’attacco è stato pianificato da più collettivi di hacktivisti (un neologismo che deriva dall’unione delle parole e hacker etici + attivisti), LulzSec Ita e Antisec di Anonymous Italia, che hanno deciso di collaborare per colpire l’attuale governo, attaccando direttamente “chi non fa crescere il Paese e si prende lo stipendio”, e divulga “paura e caos”.

Un attacco diffuso alla politica quindi, reso palese dall’annuncio diretto contro il partito della Lega: “Ricordate quella "piccola" somma rubata dalla Lega? Una parte di quei ‘miseri’, 49 milioni di euro, che si dice vengano restituiti ad un tasso molto più basso del mutuo per una persona che compra casa, magari sarebbero potuti servire alle Università, come molti altri fondi sparsi per l'Italia senza uno scopo preciso, intascati dai Ladri seduti sulle loro poltrone”.

Dalle parole ai fatti e, come promesso, lunedì 5 novembre migliaia di dati sensibili di dirigenti, funzionari e impiegati di enti pubblici e ministeri, completi di numero di cellulare, email e password, sono stati diffusi in rete.

I database violati sono stati quelli del Ministero dello Sviluppo Economico, del CNR, degli Archivi di Stato e di Equitalia, oltra ai dati sensibili di alcuni tesserati dei partiti Fratelli d’Italia (il cui sito è stato addirittura oscurato), Lega Nord Trentino Alto Adige e PD di Siena. Altri portali colpiti dall’attacco sono stati quello di Ferrovie.it (che non è collegato al sito delle Ferrovie dello Stato) e quello dell’Associazione della polizia di Stato.

Tutti i dati, in chiaro, sono ora consultabili direttamente sul blog di Anonymous Italia, come dichiarato da LulzSec Ita su Twitter.

Ancora una volta la sicurezza dei sistemi e delle infrastrutture informatiche della nostra Pubblica Amministrazione si rivela debole e assolutamente impreparata ad attacchi mirati.

Solid

PagoPA, il sistema di pagamenti verso la pubblica amministrazione, cambia volto al bollettino di Poste Italiane integrando un nuovo avviso di pagamento analogico

PagoPA è un sistema che consente, a cittadini e imprese, di effettuare i pagamenti verso la pubblica amministrazione in modalità elettronica sulla base di regole, standard e strumenti definiti da AgID e accettati dalla PA, dalle Banche, Poste ed altri istituti di pagamento (Prestatori di servizi di pagamento - PSP) aderenti.

Attualmente le PA che hanno concluso la procedura di attivazione e sono operative su PagoPA sono 13.654, con un numero totale di transazioni (conteggiate da ottobre 2015) pari a 13.864.737 e un totale incassato di 1.990.702.007€.

Questi pagamenti, grazie alla piattaforma, sono sicuri, trasparenti e semplici per i cittadini. La multicanalità offerta dal sistema infatti, rende possibile effettuare le transazioni online ma anche in maniera fisica, come ad esempio presso gli sportelli ATM della banca, gli Uffici Postali e i punti vendita SISAL e Lottomatica.

L'apparato PagoPA è in continuo aggiornamento e proprio in questi giorni è stato lanciato il nuovo bollettino, operativo dal 1 dicembre, che presenta una grafica più semplice, un’integrazione all’Avviso di Pagamento e un formato più piccolo. Sarà inoltre possibile pagarlo direttamente in ufficio postale o sul sito poste.it e postepay.it.

Tra le altre novità del bollettino abbiamo il QR-Code che andrà a sostituire il BareCode e il fatto che non sarà più l’operatore a selezionare la modalità di pagamento che sarà invece letta direttamente dal Data Matrix, riducendo quindi la quota di fuori nodo. I pagamenti che potranno continuare a transitare fuori nodo saranno quelli di bollettini eseguiti come 896 normali tramite Poste.it e quelli eseguiti presso “reti terze” (canali convenzionati con Poste per questa transazioni).

Come cambia il bollettino:

bollettino1

Il numero a 3 cifre riportato in basso a destra indica la tipologia del bollettino: 896 o 674 è un precompilato, 123 o 451 si tratta di un bianco, mentre il 247 è un MAV. 

bollettino2

In basso a sinistra troviamo il codice identificativo a 18 cifre del bollettino. 

bollettino3

In alto a sinistra è indicato il numero del conto corrente del beneficiario. 

bollettino4

In alto a destra l’importo da pagare.

Gli Ordini Professionali sono obbligati ad aderire a pagoPA?

Per rispondere a questa domanda è necessario innanzitutto precisare che gli Ordini sono riconosciuti dal legislatore come veri e propri enti pubblici non economici, in quanto idonei ad adottare atti incidenti sulla sfera giuridica altrui ma continuano ad essere conformati come enti esponenziali di ciascuna delle categorie professionali interessate e quindi come organizzazioni proprie di determinati appartenenti all’ordinamento giuridico generale.

Nel caso specifico dell’applicazione dell’articolo 5 del CAD e dell’adesione al Sistema pagoPA, ricordiamo che tale obbligo, ai sensi dell’art. 2, comma 2, del CAD riguarda anche gli enti pubblici non economici e, addirittura, i gestori di pubblici servizi e le società a controllo pubblico non quotate.

Per questo motivo gli ordini professionali sono quindi obbligati ad aderire al Sistema pagoPA per consentire ai loro pagatori di beneficiare delle funzionalità di pagamento elettronico offerte dal sistema.

Tags: ,
Solid

Dopo 16 anni arriva la revisione del dominio europeo .eu da parte dell’Europarlamento. Il cambiamento alla luce del regolamento sulla protezione dei dati, prevedrà la registrazione anche per i residenti fuori dall’Unione

Sono passati 16 dall’istituzione del dominio internet .eu e ora l’Europarlamento prevede un cambiamento all’insegna della trasparenza. Grazie all’istituzione di un gruppo multipartecipativo che farà da consulente alla Commissione, le nuove regole proposte dal Consiglio dell’Unione Europea saranno applicate non solo negli stati membri, come previsto dal GDPR, ma anche in tutta l’UE.

Tra le novità più importanti, oltre alla già citata compliance del dominio al Regolamento UE sulla protezione dei dati (GDPR), ci sarà anche il diritto di registrare siti internet con questo dominio per i cittadini residenti in tutto il mondo.

Il dominio, nato il 7 febbraio 2006, inizialmente era attivabile solo per i possessori di marchi registrati e per le istituzioni, venne poi esteso a tutti i cittadini europei il 7 aprile 2006.

Questi cambiamenti fanno parte di una nota della revisione delle norme che disciplinano il dominio Internet, in una proposta che rispecchia le significative modifiche che si sono verificate nell’ambiente online da quando il primo regolamento .eu è stato adottato, 16 anni fa, tra cui quella della concorrenza più agguerrita nello spazio dei nomi di dominio e il maggiore ruolo della comunità multipartecipativa nella governance di Internet.

Il comunicato del Consiglio dell’Unione Europe spiega come la proposta in esame specifichi che l’Europarlamento non ha ancora preso posizione in merito alla questione: “fa parte della strategia per il mercato unico digitale e del controllo dell’adeguatezza della regolamentazione (Refit) effettuato dalla Commissione”. 

Il dominio .eu è un dominio di primo livello nazionale dell’Unione Europea, delle imprese e dei cittadini degli stati membri, gestito dall'EURid, un consorzio dei amministratori dei TLD nazionali di Belgio, Repubblica Ceca, Svezia e Italia.

Ad oggi conta 4 milioni di registrazioni.

Tags:
Solid

Nasce Solid una piattaforma open-source e decentralizzata ideata da Tim Berners-Lee. Sviluppata grazie al MIT di Boston, permette all’utente un pieno controllo dei propri dati personali

Solid, acronimo di Social linked data, è una nuova piattaforma, decentralizzata e open-source, ideata dal papà del World Wide Web Tim Berners-Lee, che ha deciso così di re-inventare la sua creatura.

L’obiettivo di Solid è quello di aumentare la consapevolezza degli utenti al controllo dei propri dati, utilizzando la tecnologia.

Il progetto è stato sviluppato in collaborazione col MIT di Boston.

La piattaforma è stata pensata per gestire tutti i dati degli utenti (anagrafici, sanitari, immagini, commenti, da dispositivi IoT ecc.), come fosse una chiavetta USB personalizzata. 

Il concept nasce dal fatto che le applicazioni non sono legate ai dati generati e l’utente può quindi concedere i permessi di lettura/scrittura alle app, accedendo senza nessuna sincronizzazione. Un vero e proprio servizio “permiossionless”, che potrebbe riscrivere i nuovi modelli di business online basati sulla monetizzazione del dato, spesso richiesto per mero utilizzo commerciale.

La finalità del progetto è "True data ownership", cioè il vero controllo dei propri dati, attorno al quale si sta costituendo una community.

L’elemento principale della piattaforma è il Solid POD. Attraverso questo mezzo non ci sarà più la necessità di un login per Facebook, uno per Google e così via, ma ci sarà un unico login con Solid POD. Attualmente sono solo due i provider che offrono questa opportunità ma è possibile installare autonomamente un Solid Server.

"Solid cambia il modello attuale nel quale gli utenti devono consegnare dati personali ai giganti digitali in cambio di un valore percepito - dice Berners Lee - Ho sempre creduto che il web sia per tutti. Questo è il motivo per cui io e altri lottiamo fieramente per proteggerlo. I cambiamenti che siamo riusciti ad apportare hanno creato un mondo migliore e più connesso".

Rimane quindi solo da convincere i grossi attori del Web a convertirsi, ben sapendo che l’unico reale guadagno che ne avrebbero sarebbe quello di regalare maggiore trasparenza ai propri naviganti.

Bug GooglePlus

A causa di una falla nella sicurezza del social, rimasta irrisolta per anni, Google ha deciso di chiudere Google+ per gli utenti consumer

Google+ è nato nel 2011 ed è stato da subito uno dei più grandi fallimenti di Google.

Il social network inizialmente ideato per contrastare la nascente potenza di Facebook non ha infatti mai preso piede tra gli utenti, anche se chiunque abbia un account Gmail si è ritrovato ci si è trovato iscritto.

Oggi, dopo 7 anni, BigG annuncia la chiusura di G+, chiusura che arriva in conseguenza alla scoperta di una vulnerabilità all’interno della piattaforma che ha esposto potenzialmente 500mila utenti a furti di dati.

A comunicare al grande pubblico l’esistenza di questa falla è stato il Wall Street Journal, che sostiene che a Mountain View conoscessero già da mesi il problema. Pare infatti che questa criticità sia venuta fuori in marzo, durante lo scandalo Cambridge Analytica che ha coinvolto Facebook e che, forse per evitare la stessa sorte di Zukerberg, Sundar Pichai abbia deciso, assieme al suo Privacy & Data Protection Office, che non ci fossero le condizioni per informare nè le autorità né i diretti interessati (come invece previsto da GDPR – che però è valido solo in caso di danni ai cittadini UE).  

Per quanto riguarda la falla non ci sono particolari dettagliati: sappiamo che si tratta di un bug nella API di Google+ che avrebbe consentito a sviluppatori di terze parti di accedere ai dati degli utenti; più precisamente al nome, alla professione, al genere, all’indirizzo mail e all’età di circa 500mila profili privati.

Dopo la pubblicazione della notizia Google ha fatto sapere che interromperà l’accesso a G+ nella versione consumer (cioè agli utenti, rimane invece la possibilità di pubblicazione per le aziende) e che migliorerà la gestione della privacy per le applicazioni di terze parti.

In apparenza Google non ha la possibilità di verificare se gli account siano stati realmente violati poiché conserva i registri dell’utilizzo delle API solo per due settimane ma fa sapere che i suoi ingegneri non hanno trovato nessuna prova che qualcuno fosse a conoscenza del bug e che lo abbia sfruttato.

Quello che è certo è che le aziende che vivono di big data devono investire molto di più in sicurezza per salvaguardare al meglio i loro utenti.

Sono circa 5 milioni gli account compromessi dalla falla di Facebook, riconducibili ad utenti europei. I dati inoltre sembrano essere già in vendita sul DarkWeb a un prezzo che va dai 3 ai 12 dollari

Abbiamo i primi riscontri dal data breach di Facebook di cui avevamo parlato a inizio settimana.

Nonostante non si sappia ancora chi siano i responsabili è stato accertato che circa il 5% dei 50.000 milioni di account violati, siano riconducibili a ad utenti europei.

Non si è fatta attendere la risposta della commissaria UE alla Giustizia Věra Jourová, che ha sottolineato come probabilmente per Facebook sia troppo difficile gestire l’enorme quantità di dati di cui è in possesso e di come il GDPR abbia finalmente regolamentato questo business: stando al Regolamento Europeo sulla privacy infatti le aziende colpite hanno 72 ore di tempo per denunciare i data breach, in modo da rendere consapevoli gli utenti dei rischi che corrono fornendo i loro dati online.

Sebbene la tempestiva denuncia dell’attacco e la garanzia da parte del colosso social di aver preso tutte le misure di sicurezza necessarie, Zuckerberg potrebbe essere la prima grande vittima del GDPR, calcolando che la multa prevista a suo carico da parte dell’Europa sarebbe di circa 1,5 miliardi di euro.

Come se non bastasse The Indipendent ha scoperto che i dati relativi agli account violati sono già in vendita sul dark web, a un prezzo che varia dai 3 ai 12 dollari, in bitcoin, per un valore complessivo che può arrivare fino a 600 milioni di dollari.

facebook data dark web price

Screenshot della vendita dei dati hackerati a 12$ - Fonte: The Indipendent.

Secondo la società britannica Money Guru le identità rubate verranno rivendute a compagnie che si occupano di pubblicità mirata, che potranno utilizzare tutte le informazioni private estraibili da Facebook, come età, sesso e religione degli utenti ma anche dati “comportamentali”, come la scuola frequentata dai figli o la palestra in cui ci si allena. Non è da escludere che siano a rischio anche i dati bancari, soprattutto se condivisi tramite massaggi.

In attesa di maggiori informazioni dalle autorità che stanno indagando ricordiamo che, anche se per il caso specifico cambiare la password non è sufficiente, è bene farlo spesso e con regolarità.

Il 25 settembre è stato scoperto il più grande attacco hacker mai subito da Facebook. Sfruttando una falla nell’opzione “Visualizza come” qualcuno ha potuto accedere ai profili di 50 milioni di utenti

I guai per Facebook sembrano non finire mai: il 25 settembre infatti gli ingegneri del social network hanno scoperto un attacco hacker che ha riguardato circa 50 milioni di utenti.

Sfruttando una falla nella sicurezza della funzione “Visualizza come”, i malintenzionati sono riusciti ad accedere ai profili privati dei contatti, anche se non è chiaro cosa sia stato realmente fatto e quali informazioni siano state rubate (se ne sono state rubate).

La funzionalità «Visualizza come» permette all’utente di avere un’anteprima di come vede il suo profilo una persona con cui non è in contatto. Le informazioni pubbliche insomma, accessibili a tutti. È molto utile se ad esempio vogliamo personalizzare la nostra privacy o renderci completamente invisibile a chiunque non sia un nostro amico.

Sfruttando questa vulnerabilità gli hacker sono riusciti a risalire ai token di accesso di alcuni utenti. I token sono delle stringhe di codice che permettono di rimanere collegati al proprio account senza bisogno di mettere le credenziali ogni volta. Praticamente il token è il motivo per cui ogni volta che ci colleghiamo al nostro profilo Facebook dal cellulare, non dobbiamo mettere nome utente e password.

Gli ingegneri della piattaforma hanno prontamente disattivato questa funzionalità, in modo da poter lavorare a una patch risolutiva e hanno resettato i token di oltre 50 milioni di account interessati nell’attacco e, come forma precauzionale, anche di altri 40 milioni. È possibile quindi che se avete dovuto rieffettuare l’accesso al vostro profilo durante la scorsa settimana, il vostro account sia uno di quelli interessati. Ad ogni modo dato che i token non contengono la password non è necessario correre a modificarla, anche se è buona norma cambiarla almeno una volta ogni sei mesi.

Non si sa ancora chi siano i responsabili dell’attacco nè per quanto tempo abbiano potuto agire indisturbati, in ogni caso Facebook fa sapere che le carte di credito sono al sicuro in quanto dati non visibili. L’FBI, contattata dalla stessa società, sta già indagando.

I guai per Mark Zuckerberg comunque non sono finiti: il 26 settembre Chang Chi-yuan, un noto debugger tailandese, ha pubblicato un aggiornamento dicendo che avrebbe cancellato in diretta streaming il profilo del fondatore di FB, sfruttando un altro bug della piattaforma. Lo scorso venerdì però, lo stesso Chi-yuang si è tirato indietro, e ha collaborato con Facebook segnalando loro la falla.

logo sito

Via Levorin, 1 - 35127 Padova

P. IVA/C.F. 03719260287
Registro Imprese di Padova
n. 03719260287
Numero R.E.A 331324

Tel. (+39) 049.8077145
Fax (+39) 049.7806159

 

Modifica il tuo consenso ai cookie

ASSISTENZA

Il servizio di supporto e assistenza è attivo dal lunedì al venerdì dalle:
09:00 - 13:00
14:00 - 16:00

Eventuali interventi presso il cliente vanno concordati.

CERCA NEL SITO

©2018 TECSIS S.r.l. All Rights Reserved.

Search