Discussione La sicurezza informatica 'coatta' e forzatamente imposta: invece di combattere gli attaccanti, si combattono utenti innocenti.

Ordina per data Ordina commenti per reazioni
N

Netcat

Helper
17 Gennaio 2022
553
156
406
866
Ciao, sono Netcat. Ti è mai capitato di usare semplicemente una VPN o di accedere a facebook da un nuovo dispositivo, e all'improvviso ti chiedono di fare cose strane, come autenticarti con il 2FA (senza che tu lo abbia mai attivato), o addirittura improvvise richieste di verifica con l'ID card (che, diciamoci la verità, servono sia a scopi di 'sicurezza' che di marketing)

Adesso vi farò capire come mai quest'idea di "sicurezza informatica", applicata soprattutto da colossi come Meta, ma anche da Google sia solamente un business per illudere le capre di essere al sicuro. Ve lo farò capire con una famosa favola, che sicuramente molti di voi avete sentito almeno una volta, in qualche tempo remoto.

"un bel giorno, Pierino decise di fare scherzi ai contadini, e iniziò a gridare che c'era un assalto di lupi sul bestiame. I contadini accorsero con i fucili, ma non notarono alcuna presenza di lupi. Pierino rise, e loro se ne andarono incavolati. Il giorno dopo, Pierino gridò nuovamente di un assalto al bestiame, ma i contadini quando sopraggiunsero non notarono nulla di strano. Si trattava di un altro scherzo. Comunque, il terzo giorno ci fu un vero assalto: Pierino corse ad avvisare i contadini, ma nessuno di loro gli credette più. Fu così che il bestiame fu sbranato, e Pierino e i contadini divennero poveri."

Parimenti, Marco Rossi, un utente "ignorante", si informa su internet che gli avvisi da Facebook Meta (o da Google) di "nuovo accesso al tuo account" sono falsi positivi che si verificano quando si cambia dispositivo, o si reinstalla il sistema operativo, e che non sono veri accessi non autorizzati. Facebook si comportò esattamente come Pierino, fu così che un brutto giorno Marco Rossi approvò per sbaglio una richiesta d'accesso che era stata fatta davvero da un ladro, credendo si trattasse di "un altro errore del sito". Fu così che Marco Rossi perse i suoi account.

Come evitare che ciò accada? Per evitare che una cosa del genere accada, non dovete diventare paranoici e perdere tutti i capelli. Dovete fare una cosa molto più semplice. Dovete capire che Meta, ha una filosofia particolare: lavora solo per i soldi e per la sua reputazione, del cliente/o consumatore, non gli importa nemmeno se è vivo o morto (gli importa nella misura in cui la sua presenza comporti un tornaconto utile per i loro affari interni). Quindi, la soluzione finale è:

Disiscriversi da facebook, e dimenticarsi di questa faccia da pesce lesso (per sempre):
1747385105068.jpeg

Esistono migliaia di siti web (come Inforge) che si prendono carico seriamente della sicurezza degli utenti prevenendo gli attacchi, lo spam e gli abusi. E a differenza di Meta, non partono dal presupposto che l'utente sia un NPC ritardato che non sa quello che fa, che sia pericoloso per sé stesso, o che sia egli stesso l'attaccante.

La chiave per una sicurezza informatica eccellente, è la conoscenza, uscire fuori dall'ignoranza. L'utente, deve riconoscere e capire le basi della navigazione sicura, piuttosto che essere trattato come un salame da appendere e mettere in mostra, con il cartello del prezzo incollato in fronte.
 
  • Mi piace
  • Love
Reazioni: JunkCoder e hck2009
"La sicurezza informatica 'coatta' e forzatamente imposta: invece di combattere gli attaccanti, si combattono utenti innocenti.".... il titolo del 3d e' interessante e si presta a coprire un ampio ventaglio di sfumature.
Premesso che la raccomandazione del post precedente, per ciò che mi riguarda, è stata ampiamente recepita da
tempo, nel senso che ho snobbato facebook fin dalla sua creazione, vorrei dunque proporre una nuova sfumatura per questo 3d ovvero : NON VI SEMBRA CHE LE STRATEGIE DI CYBERSECURITY IMPOSTE DAI FORNITORI DI SERVIZI SUL WEB, SEMPRE PIU' ASSILLANTI PER L'UTENZA, NON TRADISCANO IL SOSTANZIALE FALLIMENTO DELLA GUERRA CONTRO GLI ATTACCHI INFORMATICI ?
Ormai i miei capelli sono bianchi e ho alle spalle decenni di frequentazione del mondo informatico e di presenza in rete; ho quindi vissuto e sofferto tutta l'epopea dello sviluppo ipertrofico delle strategie sulla difesa informatica, al punto di aver maturato la certezza del FALLIMENTO DELL'INFORMATICA DI LARGO CONSUMO sul fronte della sicurezza per gli utenti.
Trovo che non sia più tollerabile la perdita di tempo che ciascuno di noi deve spendere per poter entrare sui siti in modo sicuro, essendo costretto a innumerevoli inserimenti di complicatissime password, codici otp e mobile codes di secondo livello, ripetuti indovinelli demenziali anti-robot e via complicando.
Tutta questa fatica da spendere per tamponare le falle intrinseche dell'informatica di largo consumo è destinata ad aumentare sempre di più col tempo, per la semplice ragione che gli hacker saranno sempre in grado di essere un passo avanti rispetto ai creatori di trucchetti di cybersecurity.
Lo sviluppo di hardware sempre più potenti e di funzionalità di IA sempre più veloci consentirà agli smanettoni informatici di inserirsi nel collegamento tra utenti e fornitori, di carpire ogni tipo di dato sensibile e di fottere sia utenti che fornitori.
Il disperato tentativo di porre barriere agli attacchi di hacker sempre più agguerriti, renderà talmente penoso l'accesso ai servizi da parte degli utenti al punto da scatenare progressive insofferenze, proteste, denunce e chiusure di account.
Cosa si prospetta dunque, in fondo a questo tunnel imboccato dal sistema globale informatico ?
A mio avviso la risposta è scontata.
Prima o poi comparirà un nuovo tipo di offerta da parte dei fornitori di servizi pubblici, bancari e di commercio
: la disponibilità di sportelli con operatori umani ovvero di operatori umani porta-a-porta che sostituiranno smatrphone e notebook nella acquisizione di richieste e nella fornitura di beni e servizi.
Queste offerte compariranno timidamente ma poi piano cresceranno esponenzialmente perchè gli utenti le apprezzeranno e le sfrutteranno con grande piacere.
Il ritorno ai cari, vecchi sportelli umani toglierà dalle ambasce un numero crescente di utenti informatici esaperati che, sollevati dalla pena informatica quotidiana, saranno felicissimi di spendere qualche euro in più pur di liberarsi dallo stress e dalla perdita di tempo inflitta loro dal fallimento del sistema informatico globale.
 
Si ricordo che qualche anno fa Paypal mi aveva bloccato tutte le transazioni verso Amazon solo perché avevo fatto un ordine proveniente da IP VPN-like, misura di sicurezza profondamente ignorante oltretutto, perché un attaccante che vuole rubare un account (premesso che conosca password + cookie o eventuali codici 2FA) può bypassarla connettendosi da un proxy con IP residenziale. Tu mi devi credere, esistono degli "informatici" (loro si definiscono tali, ma per me sono truffatori) che implementano la loro idea di sicurezza bannando/discriminando/punendo gli IP delle VPN (che solitamente sono IP Datacenter)

Il problema dell'informatica moderna, è che gli "uomini d'affari" o i cosiddetti "imprenditori del web" dovrebbero semplicemente stare lontani da Internet, caro @Noghenealtri - Invece di renderlo un posto accessibile, libero e sicuro, lo rendono un posto profittevole per le loro tasche che ristagna di burocrazia, oppressioni e ingiustizie. Solo una cosa sanno fare bene: bombardarti di ADS.

Nei social network moderni, grazie alle loro idee di sicurezza implementate male, non puoi:
1. Inviare un link (nel 2025 pubblichi link innoquo su facebook, che magari contiene anche informazioni utili? A momenti ti mandano l'FBI in casa)
2. Attachment via e-mail, anche se innoquo? Sia mai, compaiono i chiodi sul mouse per non farti premere "Invia"
3. Login da VPN? H4cker!!11 Mostraci ID card e dicci anche dove abiti!!
4. Login con Mailfence o Protonmail? "Qualcosa è andato storto, prova con un'altra email" che tradotto significa "Devi usare Outlook o Gmail per arricchire rispettivamente Microsoft e Google, comportandoti da bravo NPC, come tutti gli altri"

Eccovi la sicurezza. @Noghenealtri @hck2009
 
Netcat, quoto totalmente le tue argomentazioni anche perchè vengono da un utente indiscutibilmente preparato e competente in materia.
Il fastidio che proviamo nei confronti dei palancai che imperversano nei colossi informatici non potrà non comportare che una progressiva disaffezione a allontanamento dai loro capisaldi in rete.
Personalmente auspico e credo che nasceranno e cresceranno sempre più iniziative open-source in grado di insinuarsi e soppiantare i monopoli del commercio, dell'home-banking e dei servizi informativi e sociali.
Bisognerà pazientare ancora, fino alla comparsa e alla progressiva moltiplicazione di piccole iniziative imprenditoriali, su tutti i fronti possibili del web, capaci di offrire una nuova etica nell'esercizio informatico dei rapporti con l'utenza.
Servono meno lucro, meno IA e più interfacce umane sul lato della fornitura dei servizi.
In altre parole, serve un ritorno alle sperimentate modalità operative di alcuni decenni fa nell'esercizio delle relazioni tra domanda e offerta.
 
Ultima modifica:
Esatto. Supponiamo che voi siete degli sviluppatori, avete dei Subscribers che si sono affiliati alla vostra Newsletter per ottenere la Beta di un programma in fase di sviluppo. I Subbers vi richiedono l'installer via e-mail, ma voi non potete inviarlo, e siete costretti ad usare altri canali di invio (es. Mediafire ecc.) - Perché non si può? Il server email vede semplicemente estensione ".zip", o ".exe", categorizzando il contenuto insicuro, senza fare altre verifiche.

Questa è la mia idea di come risolvere il problema. Invece di usare una logica che al 100% restituirà falsi positivi, in caso di file benevoli, andiamo ad implementare un emulatore (attenzione, non confondetevi con antivirus, ho scritto proprio emulatore, tipo sandbox CapeV2) - In questo modo evitiamo falsi positivi, al costo di dover solo attendere di tempi di delivery più alti (ma giusti) - Nel mio esempio, da non dimenticare che bisogna configurare "server2" per accettare dati in entrata solo ed esclusivamente da "server1" (se li ha categorizzati come sicuri) rispondendo con 403 - Forbidden ai client sconosciuti: in questo modo l'attaccante non può "bypassare il check su server1"

Esempio 1. idea di sicurezza che compromette inevitabilmente esperienza utente/developer ❌
Esempio 2. cerco il giusto equilibrio fra sicurezza/accessibilità 🕊️
PS. forzare solo ZipCrypto+Passwordless archive per impedire l'invio di archivi impossibile da estrarre ed emulare.
1748146108488.png
 

DISCUSSIONI SIMILI

N
Discussione Ufficiale Sicurezza Informatica Android: app TotalCleaner (lancio imminente su Google Play)
  • Chiuso
  • 5
  • 424
5
424
Sicurezza Informatica
Netcat
N
Discussione [Cybersecurity e Psicologia] il tipo di personalità più vulnerabile in assoluto al phishing: il "paranoide ignorante"
  • Chiuso
  • 3
  • 629
3
629
Sicurezza Informatica
--- Ra ---
M
News Tech Apple e la WWDC 2025, l'azienda di Cupertino va in posizione di difesa
  • Chiuso
  • Articolo
  • 0
  • 91
0
91
News e Stories
Max Fridman
Top Bottom
Indietro