Messaggio del 01-06-2009 alle ore 23:09:59
Scusate, è vero che navigando su linux e facendo acquisti on line con carta di credito nn ci sono rischi di vedersi sottratta la propria password, in quanto quel sistema operativo nn lo consente?
Io sapevo k li nn ci sono virus, ma addirittura, può nn comportare rischi informatici di qs tipo?
Messaggio del 02-06-2009 alle ore 08:34:07
no e' falso. quando una carta di credito viene clonata avviene in uno dei seguenti modi:
1)phishing
2)sniffing
il primo consiste nel provvedere all'utente una pagina maligna che risulta del tutto identica a quella originale. ad esempio quella della login della banca di roma, che in realta' non sta sul server della banca, ma su uno maligno. quindi quando tu ti logghi, le informazioni vengono salvate sul server maligno e poi riutilizzate appunto per fregarti i soldi dall'account. idem per la carta di credito, solo che in quel caso al posto del sito di una banca puo' essereci quello di e-bay o altro, insomma un sistema dove si paga online con la carta. dunque linux non ti protegge, perche' sono pagine web quindi c'e' poco da fare in quel caso. tuttavia ci sono database dove vengono segnalati i siti contraffatti e il 99% delle volte mozilla ti avverte se il sito e' sicuro o meno (occhio al protocollo https invece che http sulla barra degli indirizzi!)
il secondo invece avviene lato server. puo' avvenire lato client, cioe' sul tuo pc, ma per esperienza non conosco malware specifici che facciano questo genere di cose. forse i trojan e con un attacco mirato, e qui linux ti protegge sicuramente, ma per chi ruba i numeri di carta e' piu' facile ascoltare lato server, dove tutte le comunicazioni sicuramente arrivano. quindi come appena detto, vengono creati software maligni in grado di "ascoltare" le comunicazioni lato server e quindi intercettare anche i numeri di carta che passano di li'. e' un sistema molto difficile, perche' comporta l'aggiramento di protocolli di sicurezza e cripting molto complessi (per fortuna). tuttavia, come tutte le cose in informatica, non esiste l'impossibile, ogni funzione ha la sua funzione inversa, anche se il trucco sta nel rendere i tempi di calcolo della funzione inversa cosi' lunghi da volerci 100 anni di computazione (quindi impossibile per limiti umani )
Messaggio del 02-06-2009 alle ore 10:44:53
Aktarus, hai dimenticato un particolaruccio, la crittografia puó essere aggirata da un attacco di tipo "man in the middle" per il quale non serve computare nulla, i dati glie li dai crittorafati con la chiave che vuole lui.
Messaggio del 02-06-2009 alle ore 14:43:02
Linux c'entra poco o niente dato che non si tratta quasi mai di "virus" ma di problemi legati alla rete.
Calcola che la stragrande maggioranza dei furti avviene per phishing, e per farsi fregare ce ne vuole....
Invece del man in the middle ci sono diverse tecniche, tra cui una delle più usate è la arp poisoning che comunque ha le sue contromisure tipo il mettere le tabelle statiche oppure il dns spoofing da cui è possibile addirittura leggere l'ip dell'aggressore direttamente dalle risposte del DNS.
Insomma il sistema operativo non c'entra nulla, ma se vuoi andare sul "sicuro" basta informarti un pò e adottare le relative contromisure.
Messaggio del 02-06-2009 alle ore 14:54:52
É una specie di phishing, con la differenza che é del tutto trasparente per l'utente, visto che la transazione avviene normalmente con la banca o chicchessia, ma nel frattempo l'attaccante ha copiato tutti i dati sensibili.
Supponi che tu ti voglia collegare ad un sito di una banca, e io ti fornisco la connessione. Al posto di farti connettere direttamente con la banca, ti faccio passare obbligatoriamente per un mio proxy nel quale decodifico le richieste alla banca e le recodifico con la mia chiave, e la stessa cosa avviene per le risposte che arrivano dalla banca.
Ora il risultato é che tutte le richieste sono in chiaro sul mio proxy e quindi ho i tuoi dati di accesso. E tu per di piú non sospetti nulla perché tutte le tue transazioni avengono normalmente.
Questo si puó contrastare utilizzando aziende di certificazione, che a loro volta hanno un certificato che é presente nel browser quando lo installi. Quindi queste aziende, che hanno un alto grado di sicurezza, certificano che la chiave utilizzata per la codifica del canale é quella giusta, e non quella di un potenziale attaccante.
Oppure ora come ora alcune banche forniscono direttamente la chiave asimmetrica da usare (ti danno proprio il CD o altro tipo di supporto) cosí nel browser devi usare per forza quella chiave con quel sito.
O ancora meglio, le banche ora ti danno quella chiavetta con alcune cifre della chiave RSA, cosí un eventuale aggressore, anche se puó fare il login, non puó effettuare nessuna transazione.
Messaggio del 02-06-2009 alle ore 15:01:00
Ho appena letto la risposta di gablow.
Sí ovviamente un tipo di attacco del genere puó essere effettuato a qualsiasi livello della pila TCP/IP.
Comunque sí linux un po' aiuta visto che é piú difficile da bucare, ma se qualcuno intercetta quello che passa tra te e la banca o l'istituto di credito, non dipende da che sistema operativo usi.
Messaggio del 03-06-2009 alle ore 22:19:51
ragazzi, siete veramente informati...complimenti...
allora vi kiedo cosa ne pensate della O-Key (la penna k kambia il codice ogni 60 secondi) che viene data dalle banche? E' scardinabile?
Quanto aggiunge in termini di sicurezza?
Messaggio del 05-06-2009 alle ore 15:10:07
Aspi' dipende:
se il chip RFID risponde sempre "picche" allora é ALTAMENTE insicuro, basta che so che risponde picche, e mando quel segnale ed é fatta.
Ma se il chip RFID ha memorizzata una chiave asimmetrica, e risponde firmando un segnale arbitrario generato dal lettore con la propria chiave, allora questo ha lo stesso grado di sicurezza di PGP, e dei vari certificati a chiave simmetrica. Il che significa ALTA.
Quello che voglio dire é che con quella tecnologia puoi implementare cose molto interessanti e ad un alto grado di sicurezza, dipende sempre come le usi. ------------ Editato da Gipsy il 05/06/2009 alle 15:10:42
"The world of RFID is like the Internet in its early stages," says Ari Juels, research manager at the high tech security firm RSA Labs. "Nobody thought about building security features into the Internet in advance, and now we're paying for it in viruses and other attacks. We're likely to see the same thing with RFIDs."
Un po' quello che penso anche io...
Io li riparavo, quindi a livello di sicurezza più di tanto non so, ma ricordo che sia chip che lettori spesso "impazzivano", causando non pochi problemi a magazzini, uffici e comuni che utilizzavano questo sistema...
Non oso immaginare cosa potrebbe succedere a carte di credito con qualche "bug"....
) 
