Password manager: cosa sono, i migliori del 2021, come usarli e perché

Password manager, probabilmente ne hai già sentito parlare. Ma noi ti spieghiamo come usarli al meglio e quali sono i migliori del 2021 da installare subito per mettere al sicuro le credenziali di accesso ai vari servizi che utilizziamo quotidianamente.

Cos’è e come funziona un password manager?

Cosa sono? Sono programmi e app che archiviano in modo sicuro e crittografato le credenziali (username e password) di accesso ai servizi web (e non solo) in una sorta di cassaforte (“Vault”) virtuale, rendendola disponibile all’utente quando ne avrà bisogno. I migliori PM sono “multipiattaforma”, cioè sono disponibili per i sistemi Mac, Windows, iOS e Android. Questo permette (ma non è un obbligo) di sincronizzare attraverso il cloud (p.es. Dropbox) le password su ogni dispositivo su cui sono installati (computer, laptop o smartphone che sia). Sono protetti da una Master Password, che serve per aprirli e diventa perciò l’unica password che occorre ricordare. Siamo ancora lontani, infatti, da un mondo senza password e dovremo quindi continuare a “convivere” con le password per anni. Tali strumenti rappresentano le chiavi d’accesso ai dati aziendali, quindi conviene farne un uso corretto. Questo si scontra, oggi, con la numerosità di password che ognuno di noi deve gestire nella propria vita digitale: ciò crea le condizioni per uno dei più frequenti e gravi errori che l’utente è portato a commettere: l’utilizzo della stessa password per account diversi. È una pericolosa abitudine che permette agli attaccanti di utilizzare la tecnica del “riempimento delle credenziali”: in pratica, vengono provati username/password (raccolti nei database di credenziali rubate, facilmente reperibili nel Dark Web) per accedere in modo fraudolento agli account degli utenti.

La prima installazione dei password manager

La prima installazione di un password manager può risultare faticosa, perché dovremo popolarli caricando manualmente tutte le nostre credenziali, ma poi ne scopriremo l’utilità e non ne potremo farne a meno. In alcuni casi sono presenti anche funzioni di esportazione e importazione del database delle password, utili soprattutto se si intende migrare da un PM ad un altro. La funzione di Esportazione delle password è presente anche nel browser Chrome: dal menu Impostazioni/Password/Password salvate è possibile usare il comando Esporta password per generare un file .csv che quasi tutti i password manager sono in grado di importare. La medesima funzione è disponibile anche in Firefox.

I migliori password manager gratuiti

KeePass

KeePass è sicuramente il PM gratuito più diffuso. Tecnicamente valido, ma con una grafica decisamente povera.

Dalla pagina di download si possono scaricare le versioni ufficiali per Windows (sia quella da installare che quella “Portable”). Nella stessa pagina si trovano le versioni non ufficiali per le altre piattaforme: macOS, Linux, Android, iOS, persino per Windows 10 Mobile e Blackberry. Trattandosi di versioni “Unofficial”, ce ne sono diverse per ogni piattaforma. Per l’utente può essere difficile valutare quale scegliere. Per avere il prodotto completamente funzionante, è poi necessario scaricare a parte il pacchetto con la lingua scelta ed i plugin con le funzioni aggiuntive (per esempio indispensabile quello per avere l’auto riempimento, che sui PM a pagamento è presente nativamente). Un prodotto gratuito, ma il cui utilizzo può risultare ostico per un utente non particolarmente evoluto.

PRO: gratuita; open source; molte opzioni di personalizzazione, grazie ai plugin aggiuntivi open souce; possibilità di memorizzare i dati sul proprio computer (in alternativa al cloud).
CONTRO: grafica poco curata; installazione poco intuitiva, soprattutto per i plugin aggiuntivi; compilazione automatica dei moduli non è di default, ma deve essere aggiunta con plugin di terze parti.

Bitwarden

Bitwarden è un’altro PM gratuito open source. Meno noto di KeePass, ma sicuramente migliore sul piano estetico e nella facilità d’uso. Disponibile per tutte le principali piattaforme, integra il maggior numero di estensioni per qualsiasi browser: oltre ai più noti, esiste l’estensione anche per i browser Opera, Brave, Tor, Vivaldi. Permette di salvare la propria cassaforte delle password in cloud e di sincronizzarla tra i vari dispositivi.

PRO: gratuita, comunque economica; grafica abbastanza curata; facilità d’uso; supporta autenticazione a due fattori; genera codici TOTP per i siti che supportano 2FA; codice sorgente pubblico.
CONTRO: supporto per iOS piuttosto limitato

I password manager integrati nei browser

Viene spesso posta la domanda: “È sicuro salvare le proprie password nei browser?”. Fino a qualche tempo fa, la risposta era molto chiara: “Non è sicuro”. Negli ultimi tempi in realtà i browser hanno fatto molti passi avanti sul piano della sicurezza, riducendo – ma non azzerando – il divario rispetto ai migliori PM.

Safari per MacOS

Le password possono essere archiviate all’interno del Portachiavi iCloud, che permette di condividere gli account e le password salvati in tutti i dispositivi che abbiamo lo stesso ID Apple. Il Portachiavi iCloud (Keychain) è effettivamente un password manager perché le password in esso salvate sono protette da crittografia, Apple indica genericamente l’uso di “Codifica minima AES a 128 bit” (quindi crittografia simmetrica) e di “codifica end-to-end” (senza ulteriori dettagli). Si può considerare ragionevolmente sicuro (non a livello dei migliori PM), ma sicuramente molto povero di funzionalità. In pratica archivia esclusivamente: username, password e URL. Non permette di aggiungere altre voci, come è invece possibile nei PM.

Google Chrome

In modo simile a Safari, permette di salvare le password su Chrome sotto il proprio Account Google/Android e sincronizzarle su tutti i dispositivi connessi a quell’account. Le password così salvate possono essere gestite dal Gestore delle password” di Google. Sulle password salvate, attraverso il menù “Controlla password” viene eseguito un controllo per verificare se: sono state compromesse nell’ambito di una violazione dei dati; sono potenzialmente inefficaci e facili da indovinare. L’accesso alle password salvate in Chrome richiede esclusivamente la conoscenza della password principale del computer, non è richiesta una password dedicata. Questo rappresenta un elemento che rende meno sicuro Chrome rispetto ad un PM che invece va sbloccato con la Master Password. Inoltre, come per Safari, anche in Chrome i dati che possono essere memorizzati sono quelli strettamente necessari, non è possibile aggiungerne altri opzionali.

Mozilla Firefox

In Firefox è stato creato un gestore delle password denominato “Firefox Lockwise”, che è stato introdotto nel maggio 2019. Da Firefox versione 70 (oggi è arrivato alla 91), Lockwise è integrato nel browser ed esiste anche come applicazione per iOS ed Android. È a tutti gli effetti un password manager, senz’altro più avanzato rispetto a quello di Chrome, meno completo rispetto ai PM precedentemente citati. Dichiara di utilizzare la crittografia a 256 bit (quindi in linea con i PM più qualificati) ed inoltre permette (opzionalmente) di impostare una “password principale”, in pratica una master password differente da quella principale del computer. Questa password principale viene richiesta per visualizzare e/o modificare le password salvate in Lockwise. A partire dalla versione di Firefox 76, viene anche eseguito un controllo su password potenzialmente vulnerabili che siano state salvate in Lockwise. Un’ulteriore funzionalità presente in Firefox Lockwise permette di verificare anche se il proprio indirizzo email è stato coinvolto in una violazione di dati: questo servizio si chiama Firefox Monitor ed anche in questo caso utilizza la banca dati sui data breach forniti da Have I Been Pwned.

 

Fonte: CyberSecurity360

Green Pass, le palestre non possono conservarne copia né registrare la data di scadenza

Continuano a rimbalzare da una parte all’altra dell’Italia richieste da parte di palestre e centri sportivi ai loro abbonati e associati di trasmissione e consegna, assieme al certificato di sana e robusta costituzione, di copia del Green Pass con evidenziata la relativa data di scadenza. La richiesta è sempre formulata come necessaria ai fini dell’iscrizione o, comunque, della frequentazione del centro.

Vietato richiedere e conservare copia del Green Pass

In questo contesto vale, probabilmente, la pena ricordare che la disciplina sul Green Pass prevede che lo stesso debba – nei soli luoghi nei quali è necessario ai sensi di quanto previsto dalla legge – essere semplicemente esibito all’ingresso e debba essere letto dagli incaricati esclusivamente attraverso l’apposita App Verifica Covid-19 messa a punto dal Governo, app che consente al verificatore di accedere solo a un’informazione binaria: il titolare del documento ha o non ha un Green Pass valido senza alcun riferimento né alla condizione – vaccino, guarigione dal Covid19 o tampone – che ha portato al rilascio del Green Pass né alla data di scadenza del documento medesimo. La richiesta, quale condizione per la frequentazione del centro sportivo o della palestra, di copia del documento e di indicazione della data di scadenza e la successiva conservazione di tali elementi, pertanto, rappresentano una violazione della vigente disciplina in materia di protezione dei dati personali giacché il titolare del trattamento – palestra, centro sportivo o qualsiasi altro analogo soggetto – non ha titolo per acquisire la data di scadenza del Green Pass e conservare gli altri dati personali contenuti nel medesimo documento.

È un trattamento di dati non necessari

È evidente e comprensibile che la prassi che si sta andando diffondendo renderebbe più facile la vita ai gestori di palestre e centri sportivi e, forse, anche ad abbonati e associati ma, al tempo stesso, frustra gli obiettivi di bilanciamento tra privacy, tutela della salute e riapertura del Paese che si sono perseguiti con il Green Pass giacché mette in circolazione una quantità di dati personali superiori a quelli necessari e, soprattutto, ne determina la raccolta e la moltiplicazione in una serie di banche dati diversamente sicure. Sotto tale profilo vale, infatti, la pena di ricordare che la scadenza del Green Pass è diversa a seconda della ragione all’origine della sua emissione con la conseguenza che conoscerla consente a chiunque di sapere se siamo vaccinati, se siamo stati contagiati o ci siamo semplicemente fatti un tampone mentre, come detto, nel suo utilizzo normale e legale il Green Pass è neutro rispetto a tali circostanze. Tutto questo senza dire che il Green Pass certifica una circostanza dinamica con la conseguenza che chi ieri ha consegnato un certificato vaccinale valido fino a una certa data, in un momento successivo ma precedente alla scadenza potrebbe essere contagiato e il suo Green Pass perdere di validità.

Si rischia anche di trattare dati inesatti

A seguire strade diverse rispetto a quelle previste dalla legge si rischia, quindi, anche di trattare dati inesatti perché si considera in possesso di un Green Pass valido un soggetto che, magari, non lo è più. Le regole, insomma, ci sono e la comodità non consente di derogarvi.

 

Fonte: CyberSecurity360

Signum realizza il sito della Arreda Sicolo di Bitonto

Signum Srl ha realizzato il sito di Arreda Sicolo Srl di Bitonto, azienda che dal 1964 si dedica alla progettazione di ogni ambiente di casa, garantendo professionalità, esperienza e continuità in un ambiente accogliente e familiare.

È il connubio perfetto di tradizione e innovazione. Ancor prima di parlare di mobili cerchiamo di capire le esigenze e le aspettative dei nostri clienti, conducendoli nelle scelte più giuste per realizzare la casa dei loro sogni.

Visita www.arredasicolo.it

Visita il nostro PORTFOLIO

Green Pass: i rischi per la nostra identità digitale

Pubblicare e condividere il Green Pass online espone noi e la nostra identità digitale ad inutili rischi, non solo a livello personale, ma anche in ambito business. Rischi che è bene comprendere per riuscire a mitigarli al meglio.

Cos’è e come funziona il Green Pass

Sono milioni gli italiani che hanno già ottenuto il Green Pass o che, in questi giorni, stanno ricevendo una notifica sull’app IO e Immuni o direttamente via SMS che li avvisa di poterlo scaricare grazie alla propria tessera sanitaria e ad un codice identificativo. Il Green Pass, lo ricordiamo, è una certificazione per la vaccinazione Covid-19 in formato digitale emessa dal Ministero della Salute e contiene un QR Code per verificarne autenticità e validità. Tutti coloro che hanno effettuato almeno una dose di vaccino possono salvarla sul proprio dispositivo e utilizzarla all’occorrenza. Dal 1° luglio il Green pass è valido come EU digital COVID certificate e sarà richiesto per partecipare a eventi pubblici, spostarsi in entrata e uscita dai Paesi dell’Unione europea e dell’area Schengen e per accedere a RSA o altre strutture.

Le informazioni nel QR code

La tecnologia QR code è molto utilizzata per la lettura tramite smartphone e non è altro che un codice a barre di due dimensioni composto da sezioni nere e bianche il cui scopo è memorizzare informazioni fino ad un massimo di 7.089 caratteri numerici in una sola volta. Sui social network diversi utenti hanno condiviso il QR Code legato alle vaccinazioni suscitando un forte allarmismo da parte del Garante della Privacy che in un comunicato ha espresso “la sua preoccupazione per l’esposizione di dati sensibili”. La scansione del QR code per l’identificazione e il controllo della validità del pass avviene tramite un’applicazione chiamata VerificaC19 che, però, riferisce solo nome, cognome e data di nascita. L’interessato su richiesta del verificatore, ad esempio un viaggiatore in aeroporto, dovrà esibire il proprio documento di identità per la corrispondenza dei dati anagrafici presenti nel documento con quelli visualizzati dall’applicazione di scansione del codice QR. Il residuo informativo contenuto nel codice QR rimane visibile solo a chi possiede le competenze informatiche per poterlo recuperare tramite un processo di decompressione e di decodifica. I dati contenuti all’interno del certificato digitale sono stati specificati dall’UE in un documento tecnico che stabilisce i set delle informazioni riconducibili ad ogni singolo individuo.

Green Pass: i rischi per la nostra identità digitale

Un’esposizione di dati sanitari personali, che ricordiamo essere la tipologia più rivenduta online, può avere impatto importante sull’identità digitale di un individuo. A marzo, online nel Dark Web, venivano venduti falsi Green Pass a 250 dollari ciascuno e con un’aggiunta di soli 25 dollari si poteva avere l’esito negativo di tre tamponi antigenici. La pubblicazione dei QR code può, inoltre, aiutare il processo di falsificazione, che viene implementato grazie a diversi “campioni” analizzati e studiati dai criminali. Il rischio di pubblicare lo screenshot del proprio QR code è quello di diffondere informazioni personali che possono essere riutilizzati per frodi e furti d’identità. I cyber criminali sfruttano ogni novità del mondo reale per poter truffare utenti e guadagnare denaro: come noi, infatti, utilizzano i social nell’attesa che un utente inesperto condivida informazioni sensibili sul suo profilo. L’impostazione della privacy settata in modo scorretto e l’abitudine di accettare richieste di utenti non conosciuti, amplifica notevolmente il rischio di esposizione. La digitalizzazione è un processo che deve avvenire parallelamente alla sicurezza informatica secondo il concetto di privacy by design, ma anche l’utente, spesso definito come l’anello debole della catena di sicurezza, deve essere in grado di non esporsi a inconsapevoli violazioni di dati. È la conferma della necessità di una formazione sia dei dipendenti in azienda che degli utenti dei social media, che devono prima di tutto riflettere sulla leggerezza con cui si condividono informazioni.

 

Fonte: CyberSecurity360

TeaBot, il malware per Android sta prendendo di mira l’Italia: attenti alle frodi bancarie

Si chiama TeaBot il nuovo trojan bancario per Android che da inizio anno sta prendendo di mira utenti in tutta Europa dirottando le loro credenziali di accesso e i messaggi SMS per facilitare attività fraudolente contro le banche in Italia, Spagna, Germania, Belgio e Paesi Bassi.

Negli ultimi giorni, in particolare, gli sviluppatori di TeaBot hanno aggiunto altre sette false app bank italiane come target dei loro attacchi tra cui grossi nomi come BNL, Intesa San Paolo, BancoPosta, Unicredit e Banco MPS, a dimostrazione del fatto che il nostro Paese è tra quelli più esposti alla minaccia di frodi bancarie. Una volta installato con successo nel dispositivo della vittima, infatti, TeaBot consente agli attaccanti di ottenere un live stream dello schermo e interagire col dispositivo stesso sfruttando i servizi di accessibilità di Android. TeaBot è stato scoperto dal Threat Intelligence and Incident Response (TIR) di Cleafy, azienda italiana di sicurezza informatica e prevenzione delle frodi online che al momento ha identificato più di 60 banche come obiettivi del malware.

Gli obiettivi di TeaBot

In particolare, nel suo rapporto, il TIR di Cleafy ha osservato che da un’approfondita analisi di una nuova ondata di campioni rilevata nel mese di marzo 2021, sono stati riscontrati, per la prima volta, molteplici payload nei confronti delle banche italiane e tedesche. Invece solo dall’inizio del mese di maggio sarebbe stata rilevata anche l’inclusione d’iniezioni malevole contro banche belghe e olandesi.
Inoltre, altre evidenze dimostrerebbero che il malware possiederebbe un supporto multilingue comprendente oltre la lingua spagnola, italiana, tedesca e olandese anche quella inglese e francese.

Le caratteristiche tecniche

TeaBot, pur essendo nelle prime fasi di sviluppo (come evidenziato da alcune irregolarità riscontrate durante l’analisi), sarebbe dotato di alcune funzionalità che abusano dei servizi di accessibilità Android con caratteristiche comuni anche ad altri noti trojan mobile:
• il controllo remoto dei dispostivi target
• il furto di codici 2FA (doppia autenticazione);
• l’invio e l’intercettazione di messaggi SMS;
• l’esfiltrazione di dati bancari;
• la disabilitazione di Google Protect.

Più precisamente, tra le principali caratteristiche osservate durante l’analisi dei campioni, i ricercatori avrebbero identificato funzionalità di:
• keylogger (simili a quelle già riscontrate nel trojan bancario EventBot, anche se, a differenza di quest’ultime, tracciano solo la presenza di alcune app mirate, generando quindi meno traffico nella comunicazione C2);
• screenshot (per acquisire immagini allo scopo di monitorare costantemente lo schermo del dispositivo compromesso);
• overlay (tecnica nota e già implementata sui famigerati trojan Android Anubis, Cerberus e Alien e che consiste nell’imitare una app o sovrapporre un WebView ad un’applicazione legittima).

Indicatori e catena d’infezione

Gli sviluppatori di TeaBot hanno utilizzato, per rendere più difficoltoso il reverse engineering, delle tecniche di anti analisi già impiegate da altri malware simili, come ad esempio l’utilizzo di “codice spazzatura”, la crittografata XOR anche se parziale e una catena infettiva suddivisa in due stadi in cui l’app vera e propria funge da dropper che carica dinamicamente in una seconda fase il payload effettivo (.dex). Inoltre, quando l’app malevola viene scaricata sul dispositivo, TeaBot tenta di nascondersi anche all’utente, impedendone il rilevamento e garantendo la persistenza, installandosi come servizio in background e istaurando, sin dall’inizio, una comunicazione silenziosa con il proprio server di comando e controllo. Successivamente, per poter eseguire le operazioni malevoli per le quali è stato programmato, TeaBot richiede delle specifiche autorizzazioni Android allo scopo di intercettare e osservare le azioni dell’utente, recuperare informazioni sensibili ed eseguire comandi arbitrari. Solo alla fine, a installazione completata con successo, il malware procede a rimuovere la propria icona dal dispositivo, nel tentativo di ridurre la possibilità di una ulteriore individuazione da parte dell’utente.

Come avviene la comunicazione col server?

Dall’analisi condotta sulla comunicazione di rete che il malware TeaBot instaura con il proprio server C2, il team di sicurezza ha identificato tre tipologie principali di comunicazione definite attraverso delle api deputate rispettivamente: all’aggiornamento della configurazione, al recupero dell’elenco delle app targettizzate, all’iniezione di codice in relazione alle app target rilevate.

Come proteggersi dai banking trojan per Android?

Come affermato dagli stessi ricercatori, TeaBot, in modo simile al malware per Android Oscorp, cerca di ottenere un’interazione in real-time con i dispositivi compromessi, al fine di eseguire uno scenario di attacco ATO (Account Takeover) abusando semplicemente dei servizi di accessibilità Android per acquisire in modo fraudolento il controllo dei nuovi dispositivi. Pertanto, per proteggersi dalle minacce sempre più dilaganti in ambiente mobile correlate alle innumerevoli varianti dei trojan bancari, è sempre raccomandabile seguire almeno delle misure minime di sicurezza:
• verificare sempre l’attendibilità delle app utilizzate, confrontandosi con i relativi servizi clienti;
• controllare le valutazioni degli utenti prima di scaricare una nuova app;
• affidarsi con cautela solo agli store legittimi: Google Play resta sempre e comunque una fonte attendibile;
• prestare attenzione alle autorizzazioni richieste dai processi d’installazione delle app, concedendole solo se sicuri che siano necessarie per il corretto funzionamento;
• scansionare regolarmente il proprio dispositivo mobile per la ricerca delle minacce più recenti con sistemi antivirus aggiornati;
• tenere sempre aggiornato il proprio sistema operativo Android con gli update e le patch di sicurezza rilasciati periodicamente.

 

Fonte: CyberSecurity360

Signum realizza l’ecommerce di DANIELI Il Forno delle Puglie

Signum Srl ha realizzato l’ecommerce della Danieli Il Forno delle Puglie di Bitonto, azienda che da 20 anni si occupa di produzione e commercializzazione di prodotti da forno artigianali tipici pugliesi. Il prodotto principe di questa realtà aziendale a cui deve il proprio successo è IL TARALLO, proposto in svariate forme e sapori.

I Taralli DANIELI vengono fatti a mano, seguendo antiche ricette tramandante in segreto e scrupolosamente custodite.

I taralli DANIELI sono gustosissimi, ma soprattutto friabilissimi snack, questo grazie all’utilizzo di materie prime selezionate, senza mai tralasciare la filosofia originaria che l’azienda si è proposta: QUALITA’ A TUTTI I COSTI.

Visita www.danie.it

Visita il nostro PORFOLIO

Polizia di Stato: “Il tuo computer è stato bloccato, chiama subito questo numero” è una truffa, non chiamate!

Cadere nella trappola di una truffa online è fin troppo semplice, soprattutto quando i falsi avvisi applicano una notevole pressione psicologica sulle potenziali vittime. Un esempio è un avviso che sta circolando online, sul quale allerta la Polizia di Stato: “Security warning: Il tuo computer è stato bloccato. Errore #DW6VB36. Per favore chiamaci immediatamente al numero +39 0694804XXX. Non ignorare questo avviso critico.

Se chiudi questa pagina, l’accesso del tuo computer sarà disattivato per impedire ulteriori danni alla nostra rete. Il tuo computer ci ha avvisato di essere stato infestato con virus e spyware. Sono state rubate le seguenti informazioni: Accesso Facebook, Dettagli carta di credito, Accesso account e-mail, Foto conservate su questo computer.
Devi contattarci immediatamente in modo che i nostri ingegneri possano illustrarti il processo di rimozione per via telefonica. Per favore chiamaci entro i prossimi 5 minuti per impedire che il tuo computer venga disattivato. Chiama per ricevere supporto: +390694804XXX.”

L’avviso appare navigando online “su siti del tutto normali” fa sapere la Polizia di Stato, e il messaggio è camuffato per sembrare provenire da Microsoft. In realtà il produttore statunitense non c’entra nulla e l’avviso un falso. Chi lo vede sappia che non ha subito alcun furto di dati personali né infezione da virus, e che interrompendo la navigazione non ci saranno conseguenze: il computer continuerà a funzionare normalmente.
Cosa che non accadrà, invece, componendo il numero indicato nel messaggio. Anzi, digitandolo e seguendo le istruzioni telefoniche, si darà accesso al truffatore permettendogli d’installare dei virus da remoto. Non solo: per il falso “sblocco” del computer (assolutamente inutile) si finirà per pagare un centinaio di euro.

Cosa fare, quindi, se si vede il messaggio? Ignorarlo, e se proprio ci si fa prendere dall’ansia, fare una scansione antivirus per togliersi ogni dubbio. L’antivirus aggiornato peraltro dovrebbe sempre essere installato e aggiornato, al di là di questo fastidioso messaggio falso.

Un altro consiglio, in caso di avvisi di presunte minacce, è quello di informarsi prima di fare qualsiasi cosa. E comunque di non telefonare mai a numeri di dubbia provenienza o fare clic su link a siti con un indirizzo che non si conosce.

 

Fonte: IlFattoQuotidiano

Vendita online di farmaci, quando è lecita e quando è reato

L’operazione dei Nas che ha oscurato undici siti in cui si effettuava la vendita online di farmaci vietati o per cui è prevista la ricetta medica, ha posto in evidenza un tema che nell’epoca della pandemia da Covid-19 risulta di grande rilievo, ossia l’e-commerce farmaceutico.

La vendita online di farmaci con obbligo di prescrizione è vietata

Nell’ordinamento italiano la vendita online di farmaci è consentita unicamente per i farmaci senza obbligo di prescrizione (Sop) e i farmaci da banco (Otc), inseriti in un apposito elenco (si può verificare anche sul sito internet dell’Aifa).

La disciplina è prevista, infatti, dall’art. 112 quater del Decreto legislativo 219/2006, ed esclude la vendita online di farmaci con obbligo di prescrizione medica.

La vendita di farmaci online, in ogni caso, è consentita unicamente al dettaglio, mentre è esclusa la vendita all’ingrosso.

Vendita di farmaci online: il fenomeno va controllato

Come per l’utilizzo dei social network è necessaria un’educazione ai rischi che si corrono, in particolare per quanto riguarda i minori, allo stesso modo è necessario educare il consumatore a non affidarsi acriticamente alla rete per acquisti “seri” e, in particolare, per quello che riguarda il settore dei medicinali e sanitario in genere.

All’epoca della Covid-19, peraltro, non stupisce che soggetti senza scrupoli abbiano provato a basarsi sulle paure di persone, magari fragili, che cercavano cure “miracolose”, per approfittarsene.

Per questa ragione è necessario che i Nas intervengano in maniera massiccia anche sul commercio online, tradizionale campo d’azione della Polizia Postale.

Conclusioni

L’e-commerce farmaceutico, come tutto il commercio online, è destinato ad aumentare, e non è inverosimile ipotizzare, in futuro, la connessione diretta tra il sistema operativo del medico che prescrive il farmaco ed il sistema di distribuzione dei medicinali attraverso le farmacie, fisiche o virtuali.

Un simile sistema, naturalmente, dovrebbe essere impostato con un livello di tutela dei dati personali elevatissimo, ma potrebbe portare ad un risultato operativo apprezzabile, ossia confinare l’abusivismo del settore farmaceutico al Dark Web.

Una tale compressione determinerebbe, necessariamente, anche una minor diffusione del fenomeno, attese le difficoltà di accesso al Dark Web di un numero elevatissimo di utenti, come accade, necessariamente, con l’accesso ai browser ordinari.

 

Fonte: CyberSecurity360

Wikipedia: compie 20 anni il sogno della biblioteca universale

Sono tre le date importanti della storia di Internet: la nascita di Arpanet, la nonna di Internet, il 28 Ottobre 1969; il primo sito web, quello del Cern di Ginevra nel 1991; la nascita di Wikipedia il 15 gennaio 2001. Compie vent’anni la prima enciclopedia online globale, libera e gratuita. Voluta da un giovane agente di borsa, che la finanziò pare con 500 mila dollari, Jimmy Wales, Wikipedia è la vera incarnazione di Internet. Basata sul principio della collaborazione e della condivisione care alla cultura hacker delle origini, è la realizzazione di un sogno antico: la biblioteca universale.

La stessa Internet, infatti, nasce dall’idea di James Robbnett Licklider, psicologo e informatico statunitense, che da capo dell’ufficio che sviluppò il progetto di Arpanet, poi divenuta Internet, aveva teorizzato l’Intergalactic Computer Network come una biblioteca elettronica facilmente accessibile a tutti i ricercatori. A dispetto della vulgata che parla di Internet come progetto militare. Non lo fu mai, anche se i militari finanziarono il progetto e ci lavorarono con hacker, accademici e imprenditori.

Lo stesso vale per il web

Il World Wide Web, la “Ragnatela grande come il mondo”, pensata per facilitare l’accesso ai documenti della ricerca scientifica prodotta al Cern di Ginevra, nella mente del suo creatore, l’hacker inglese Tim Berners Lee, a questo doveva servire: permettere a tutti i ricercatori di trovare facilmente i “volumi digitali” attraverso delle parole chiave che ne mettessero in relazione i contenuti attraverso delle parole chiave strutturandoli come ipertesti. Leggenda vuole che l’idea di collegarli tramite un “link” gli fosse stata suggerita dal peculiare modo degli italiani del Cern di relazionarsi fra di loro. In realtà se l’idea di ipertesto è attribuita al visionario Ted Nelson, filosofo americano, già nel 1500 un ingegnere svizzero italiano aveva progettato un leggio a ruota per consultare pagine di libri diversi senza muoversi.

Ma questa è storia

L’attualità è che grazie alla sua intuizione, favorita da esperimenti precedenti come Nupedia e Gnupedia, Jim “Jimbo” Wales, farà di Wikipedia uno dei siti più visitati al mondo. E Wikipedia è ancora oggi il sogno della conoscenza libera e gratuita a portata di clic realizzata dai suoi utenti, l’utopia realizzata del Web 2.0, il web dinamico, dove il fruitore di un contenuto digitale può anche modificarlo diventando un prosumer (“producer plus consumer”), produttore e consumatore degli UGC (User Generated Contents), i contenuti generati dagli utenti. Per questo è ancora oggi considerato il più grande esperimento di scrittura collettiva al mondo, un grande progetto di collaborazione declinato in 300 lingue con più di 55 milioni di voci.

Il sapere di tutti

Il nome stesso dalle origini rimanda però all’idea di una conoscenza immediatamente fruibile: Il nome Wikipedia è il risultato della crasi tra la parola “Wiki” che in hawaiano vuol dire “veloce” e “Pedia”, dal greco “paideia”, cioè formazione. Wikipedia vuol dire “formazione veloce”. L’enciclopedia come base della conoscenza universale nella cultura illuministica di Diderot e D’Alambert, “fondatori” anch’essi, ma della cultura europea.

L’enciclopedia per tutti

Wikipedia viene scritta con un software che ha lo stesso nome, il “software Wiki”, che ha rivoluzionato il web publishing e consentito a chiunque di diventare editore di se stesso rivolgendosi a una platea virtualmente illimitata. Grazie a questo software gli utilizzatori di Wikipedia costruiscono ogni giorno un pezzo di web, cioè pagine modificabili all’infinito e liberamente consultabili da quasi chiunque. E diciamo quasi, perché il progetto è costantemente ostacolato da poteri commerciali e governi autoritari. Ma non è una lavagna bianca. Ognuno può proporre nuove voci di questa enciclopedia, o migliorarla, ma i suoi molti volontari sono sempre all’erta per evitare vandalismi – come spesso accade alle pagine dei personaggi storici o della politica – e per nascondere voci celebrative di starlette e aziende che di enciclopedico non hanno niente, adottando il primo comandamento di Wikipedia, il “nPoV”, un “punto di vista neutrale” nello scrivere le voci. Fino a cassare lemmi e modifiche che i patroller ritengono inappropriati e non derivanti da fonti terze come deve essere per ogni enciclopedia. Ma chi sono i patroller? Vengono così chiamati coloro che vigilano sulla qualità dell’enciclopedia. E che con passione, spesso incompresi, si azzuffano pacificamente per far capire le regole di scrittura di un’enciclopedia letta e copiata da tutti il più delle volte senza riconoscergli credito.

Il problema dei diritti d’autore

Ma per far funzionare un progetto così gigantesco non bastano i volontari e un’organizzazione amatoriale, per questo Jim Wales, che si dichiara co-fondatore dell’enciclopedia pur essendone in realtà il creatore principale, ha voluto la realizzazione di Wikimedia, una fondazione internazionale no-profit che è l’interfaccia tenico-legale di Wikipedia. La fondazione si occupa di gestire e promuovere tanti altri progetti che stimolano la diffusione di contenuti liberi collaborando con musei, università, archivi storici, anche per facilitare la pubblicazione di foto, video, documenti, opere protette dal copyright. E proprio su questo terreno che la scelta di Wales si è rivelata vincente fin dagli inizi di Wikipedia.

Il software libero

Per rispettare i diritti di autori e collaboratori sin dalla nascita i suoi contenuti sono stati distribuiti con una licenza di libero utilizzo inventata da Eben Moglen e Richard Stallman, la Gnu Free Documentation Licence (Gfdl), che ne permetteva la redistribuzione e modifica come fosse un software libero impedendo che qualcuno ci mettesse il proprio copyright sopra; in seguito Wikipedia adotterà la Creative Commons License, la licenza di utilizzo e modifica dei contenuti creata dal giurista ed ex candidato alla presidenza americana il professore Lawrence Lessig, per riconoscere la paternità delle opere creative dell’enciclopedia ma al contempo favorirne fruizione e diffusione cosa che il copyright di “Tutti i diritti riservati” non consentiva.

Un giardino aperto

Fu proprio lui, il professore di Harvard, incontrato in una biblioteca a dirci: “Wikipedia è come un giardino pubblico e aperto a chiunque, ben tenuto da quelli che lo visitano”. Un bene pubblico senza pubblicità invasiva e trucchi psicologici per trasformarti in un consumatore infelice. Ma Wikipedia è anche qualcosa di più, un vero esempio di economia circolare, l’economia della conoscenza. La conoscenza infatti più circola, più si valorizza. Tutto il contrario di quello che fanno Google, Facebook e simili coi loro “giardini recintati”.

 

Fonte: Repubblica.it

Attacchi phishing allo SPID: i consigli per proteggere la propria identità digitale pubblica

Nelle ultime settimane l’utilizzo dello SPID (Sistema Pubblico di Identità Digitale) è divenuto sempre più popolare tra gli italiani anche perché l’autenticazione mediante questo sistema di identificazione è semplice e versatile ed è possibile utilizzarla attraverso molteplici dispositivi: purtroppo, però, la popolarità del sistema SPID ha inevitabilmente attratto l’attenzione del crimine informatico e infatti si assiste ad un aumento delle campagne di phishing mirate agli utenti in possesso dell’identità digitale pubblica.

Le campagne ai danni di Poste Italiane

Già in novembre, l’Agenzia per l’Italia Digitale (AGID) ha messo in guardia i cittadini circa i preparativi per una campagna di malware via SMS che prendeva di mira i cittadini che avevano già attivo lo SPID con Poste Italiane.

Al tempo, gli attaccanti avevano registrato il dominio “aggiornamento-spid.com” raggiungibile solo attraverso dispositivi mobili, che riproduceva la pagina di login di Poste Italiane. L’intento era quello di collezionare le credenziali degli utenti mobili di Poste attraverso una campagna di phishing via SMS.

Fortunatamente la campagna fu stroncata sul nascere grazie agli esperti dell’azienda D3Lab che avevano individuato il dominio sospetto prima che gli attori malevoli lo rendessero operativo.
Poco più di due mesi dopo, il CERT-AGID ha diramato un nuovo alert circa una nuova campagna di phishing che prende di mira gli utenti di Poste Italiane ed utilizza lo SPID come esca.

I messaggi utilizzano come oggetto:
Poste Italiane – PosteID abilitato a SPID – Data: 11/12/2020

mentre il corpo dell’e-mail recita:
Ti comunichiamo la modifica delle Condizioni Generali del Servizio di Identità Digitale “PosteID abilitato a SPID” nella nuova versione.

L’email notifica alle potenziali vittime una modifica delle condizioni generali del servizio SPID e le invita ad accedere ad un link riportato nel testo minacciando il blocco della carta PostePay.
Una volta cliccato sul link, l’utente è indirizzato, dopo alcune ridirezioni, ad una pagina che appare come una copia esatta di una pagina di login del sito di Poste.

“Si invita pertanto a non seguire il link e soprattutto a non inserire credenziali all’interno di form ospitati su domini non ufficiali”, raccomanda l’avviso pubblicato dal CERT AGID.

I domini fraudolenti utilizzati in questa campagna di phishing individuati dagli esperti del CERT AGID sono:
• “http://mundpdeportivo.for-our[.]info/”
• “http://default-page-poste.is-certified[.]com/serv-cliente/a1b2c3/30edaf01b08cb9fdd9d1171efec2e3e7/login/”,
• “http://default-page-poste.is-certified[.]com/”
• “http://ftr-postepay-cl-fcc.is-certified[.]com/”

I rischi

Con l’incremento del numero di servizi che offrono la possibilità di autenticazione SPID aumenteranno le campagne di phishing mirate agli utenti in possesso dell’identità digitale pubblica.
Questi attacchi possono avere diverse finalità, dalla collezione di informazioni sugli ignari utenti alla distribuzione di codici malevoli sviluppati per rubare dati sensibili come credenziali di accesso ai servizi di home banking.

Gli attacchi potrebbero anche consentire ai criminali informatici di rubare le credenziali SPID previste dal primo livello di sicurezza e di impersonare le vittime. Si ricordi infatti che lo SPID offre tre livelli di sicurezza per l’accesso, ovvero:
• il primo livello attraverso un nome utente e una password scelti dall’utente;
• il secondo livello attraverso nome utente e password più un codice temporaneo di accesso fornito tramite SMS o app;
• il terzo livello, oltre al nome utente e la password, richiede un supporto fisico per l’identificazione, come una smart card.

Nei prossimi mesi, le campagne potrebbero avere carattere interazionale: ricordiamo, infatti, che il sistema SPID è candidato al riconoscimento a livello europeo, come previsto dal Regolamento europeo eIDAS n. 910/2014. I cittadini europei in possesso dell’identità SPID potranno utilizzarla per autenticarsi verso i servizi resi disponibili in Rete dalle pubbliche amministrazioni di tutta l’Unione europea. Non solo, anche servizi gestiti da soggetti privati potranno implementare un meccanismo di autenticazione attraverso SPID.

I consigli per difendersi

Per proteggere lo SPID dagli attacchi phishing ed evitare di rimanere vittima di queste campagne malevoli è raccomandato di non cliccare su link contenuti in messaggi non sollecitati che invitano l’utente ad una azione, come premere su un link o aprire un allegato, con carattere d’urgenza.

Fare attenzione all’indirizzo delle pagine sulle quali si inseriscono le proprie credenziali, verificare che i domini siano quelli legittimi non facendosi ingannare dalla eventuale presenza del lucchetto nella barra degli indirizzi.

Sono infatti in aumento campagne di phishing che utilizzano siti HTTPs per mostrare alle vittime pagine disegnate per collezionare le loro credenziali.

 

Fonte: CyberSecurity360