APACS, l'associazione dei pagamenti del Regno Unito, in generale è un bel gruppo di persone, ma forse comprensibilmente lo sono tendono a non essere dell'opinione, almeno in pubblico, che ci siano grossi problemi con la sicurezza delle banche online. Non è stata assolutamente una sorpresa apprendere da loro del crescente numero di persone che effettuano operazioni bancarie online, il che è in crescita un incredibile aumento del 500% in soli sette anni: si trattava di circa 3,5 milioni di persone, ma secondo l’APACS ora sono circa 21 milioni. Questa cifra non mi sorprende perché le persone che hanno sia un conto bancario che un accesso a Internet ma non combinano i due sono così rare che non ne ho mai incontrato uno.
Ciò che non mi aspettavo, però, era che questa statistica positiva fosse seguita da una molto più pessimistica relativo al numero di episodi di phishing segnalati, che in soli sei casi è aumentato del 180%. mesi. C’è stata un po’ di zucchero in questa amara notizia, in quanto le perdite legate alle frodi bancarie online sono in realtà diminuite del 33% tra il 2006 e il 2007 e ora rappresentano “solo” 22 milioni di sterline. Naturalmente non c’è voluto molto prima che l’APACS trasformasse questa statistica in una luce più positiva ragionando che questo calo delle perdite è stato una dimostrazione di quanto siano validi i sistemi di sicurezza bancaria online giorni.
A questo punto mi sono venuti in mente un paio di punti, il primo è che il numero di episodi di phishing segnalati non aumenterà mai essere lo stesso del numero di attacchi effettivamente avvenuti qui nel mondo reale, che probabilmente sarà di diversi ordini di grandezza più alto. La seconda era: se i sistemi bancari online sono così sicuri, perché l’Università del Michigan ha appena pubblicato uno studio? da cui si conclude che il 75% dei siti bancari esaminati presentava almeno un difetto che poteva rendere vulnerabili i clienti perdita. La perdita potrebbe riguardare l’identità o il denaro, anche se spesso le due cose vanno di pari passo.
Il professor Atul Prakash (www.pcpro.co.uk/links/169online2) del Dipartimento di Ingegneria Elettrica e Informatica dell'Università del Michigan ha condotto lo studio, che ha esaminato più di 200 istituti finanziari online. Ciò che ha sorpreso di più lui (e me) è che i difetti che ha riscontrato erano probabilmente a quello che si potrebbe chiamare il "livello di progettazione", piuttosto che a cose che possono essere risolte con una semplice patch software. Lo studio, intitolato “Analisi dei siti Web per individuare eventuali difetti di progettazione della sicurezza visibili agli utenti” (www.pcpro.co.uk/links/169online3) ha scoperto, ad esempio, che quasi la metà delle banche esaminate disponeva di caselle di input per il login situate su pagine non sicure, un tipico caso di una cattiva decisione progettuale che lascia la porta principale aperta affinché hacker e criminali possano entrarvi.
Stupida sicurezza n. 14 (in una serie di migliaia)
Ho già detto in precedenza che nessuno legge mai gli EULA, proprio a causa del tipo di legalese gobbledegook che è stato ritrovato sepolto nella clausola numero 8 del sito Apple iTunes 7 e QuickTime 7 Contratto di licenza. Ciò include, e cito, l'impegno secondo cui il "Licenziatario accetta inoltre che il Licenziatario non utilizzerà il Software Apple per scopi proibiti da Legge degli Stati Uniti, incluso, senza limitazioni, lo sviluppo, la progettazione, la fabbricazione o la produzione di armi nucleari, missilistiche o chimiche o biologiche armi".
Ora so che l'iPhone è stato soprannominato Jesus Phone da alcune sezioni dei media e sono più che consapevole dell'esistenza del podcasting, così come della possibilità di riprodurre video su iTunes. Tuttavia, sospetto che stia spingendo la barca della realtà in mari piuttosto agitati per suggerire che il tuo Il terrorista medio distribuirà un video su "creare giubbotti suicidi carichi di tritolo per manichini" tramite iTunes. E anche se si verificasse uno scenario così improbabile, quali sono le probabilità, secondo te, che i terroristi perdano la calma e desistano piuttosto che affrontare il pericolo di violare l’EULA di Apple?
