DPD – Come tutelare la propria privacy

In occasione del Data Privacy Day pubblichiamo le regole che sarebbe opportuno seguire per tenere al sicuro i propri dati. Premettiamo che ogni dispositivo connesso non è isolato e pertanto soggetto ad attacchi esterni, che possono rivelarsi più o meno efficaci e che nessun sistema è mai sicuro al 100%, diffidate di chi afferma il contrario.

Ecco in ogni caso le best practice da seguire per proteggere i propri dati (molti di questi vi sembreranno scontati, ma se tutti seguissero queste regole probabilmente Defend+ avrebbe molto meno lavoro).

Partiamo dalle basi.

Antivirus

Un antivirus vale l’altro? Ovviamente no, ma uno è meglio di niente. Compra o scarica un antivirus originale dal sito ufficiale e procedi all’installazione. È importante mantenere il software sempre aggiornato ed effettuare regolarmente (una volta a settimana) la scansione manuale per la ricerca di eventuali spyware presenti nel computer.

Aggiornamenti Software

La maggior parte degli aggiornamenti di qualsiasi software contengono patch di sicurezza, pubblicate tempestivamente in seguito alla scoperta di vulnerabilità sugli stessi. Sarebbe ottimale aggiornare immediatamente tutti i software non appena possibile (non siate pigri ed evitate di cliccare su “rimanda”): ogni volta che una vulnerabilità viene resa nota, la casa produttrice del software rilascia l’aggiornamento, ma contemporaneamente moltissimi hacker provano a sfruttarla prima che il software aggiornato impedisca l’accesso.

Software non utilizzati

Se sul computer sono presenti programmi che non vengono utilizzati, è consigliabile disinstallarli. Oltre a consumare risorse di sistema, questi programmi potrebbero contenere vulnerabilità che, se non corrette, potrebbero consentire a un utente malintenzionato di accedere al tuo computer.

Impostazioni software

Le impostazioni predefinite della maggior parte del software abilitano tutte le funzionalità disponibili. Tuttavia, gli attaccanti potrebbero essere in grado di sfruttare questa funzionalità per accedere al tuo computer. È utile verificare le impostazioni del software che si connette a Internet (browser, client di posta elettronica, ecc.) e applicare il massimo livello di sicurezza disponibile che ti offre comunque la funzionalità di cui hai bisogno.

Utenti separati

È possibile creare account separati a seconda dell’utilizzo che volete farne e non utilizzare l’account amministratore come principale.  Idealmente, sarebbe utile avere virtual machine dedicate ai diversi tipi di utilizzo e gestione dei dati.

Password e crittografia

Le password e altre funzionalità di sicurezza aggiungono livelli di protezione se usati in modo appropriato.  Crittografando i file, si garantisce che le persone non autorizzate non possano visualizzare i dati anche se possono accedervi fisicamente.  Quando si utilizza la crittografia, è importante ricordare le password e le passphrase; è quindi utile utilizzare un software di gestione delle password.

Lo Stack Plus

Defend+ ha ideato uno stack che consente di ottenere una vision completa della postura di sicurezza di un dominio internet. Grazie ad un processo di automation è infatti possibile monitorare, analizzare e rilevare gli attacchi informatici e le vulnerabilità a cui si è soggetti.

Completano lo stack un servizio di Intelligence per essere sempre informati su quanto accade nel web che coinvolge una società in modo critico e un servizio di supporto per soddisfare ogni propria necessità.

Gli Stack sono disponibili in due versioni: Stack+ Go per le aziende con grande potenziale, Stack+ One per le aziende maggiormente consolidate.

Stack+ Go       Stack+ One

Responsible Disclosure

Defend+ adotta un programma Responsible Disclosure per la segnalazione di vulnerabilità. Nell’interesse dei nostri Clienti e degli utenti di internet, ti chiediamo di:

  • Non rendere pubbliche vulnerabilità prima che queste siano state comunicate e sanate
  • Non rilasciare parte di esse pubblicamente
  • Non sfruttarle per compromettere sistemi o dati
  • Comunicare a security@defend.plus l’area interessata, la funzionalità, la tipologia e ogni altro dettaglio tecnico in possesso per consentire di rilevare e sanare la vulnerabilità

In aggiunta, per consentirci di supportare il lavoro di ricerca, valutare future collaborazioni e in ogni caso per riconoscere l’attenzione e la sensibilità dimostrata, si consiglia di:

  • Allegare il proprio CV e inserire i propri dati identificativi
  • Indicare la disponibilità ad essere inseriti nella sezione Credits, in cui gli autori delle segnalazioni vengono menzionati e ringraziati pubblicamente per i contributi forniti. Specificare inoltre un eventuale contatto personale aggiuntivo che si vuole inserire.

Nel caso in cui la segnalazione sia univoca, riferita ad un bug mai rilevato e segnalato prima, nel caso in cui non siano stati compromessi sistemi e dati di Clienti e utenti, sarà corrisposta un ricompensa in segno di gratitudine, commisurata al livello di rischio. Metteremo inoltre il tuo nome sulla nostra pagina Credits!

Politica ambientale

Defend+ è green compliance

Defend+ nasce come azienda innovativa ad alto valore tecnologico e non prescinde dall’essere all’avanguardia anche per quanto riguarda i temi ambientali. L’azienda è molto sensibile all’argomento, pertanto ha deciso di costituirsi dal primo giorno già completamente paperless, di utilizzare solo energia prodotta da fonti rinnovabili per mantenere i propri data center e di ridurre al minimo gli spostamenti, ad esempio usufruendo dei servizi di un commercialista che adotta metodologie interamente on-line.

Defend+ è amica dell’ambiente.

Crediamo che la tecnologia debba portare miglioramento delle condizioni di vita e affiancare tutti in un processo di costante crescita nel rispetto dell’ambiente, per questo Defend+ si proietta nell’immaginare un futuro più green e si rende disponibile per aiutare nel processo di informatizzazione tutte quelle imprese che basano ancora la loro operatività su ingenti quantità di carta stampata.

Defend+ è attenta a scegliere partner che condividano queste importanti iniziative e che svolgano un ruolo attivo nell’abbassamento delle emissioni da fonti combustibili.

Defend+ utilizza gli ultra moderni green data center

Defend+ ha posto molta attenzione nella scelta dei data center, la decisione per gli ultra modern green data center ci permette di fornire ai nostri clienti le più elevate prestazioni, con un'occhio di riguardo alla sicurezza operativa e all'efficienza energetica. I nostri data center sono alimentati da reti che utilizzano solo energia prodotta esclusivamente da fonti rinnovabili; producono già ad oggi oltre 3,5 miliardi di kWh di elettricità verde, che permettono di risparmiare circa 2 milioni di tonnellate di emissioni di biossido di carbonio ogni anno e oltre 1,1 tonnellate di rifiuti radioattivi.

Perché è importante essere paperless?

Defend+ ha deciso di non utilizzare documenti cartacei di alcun genere per portare avanti le sue attività. “La fabbricazione di prodotti in carta contribuisce in modo significativo alla deforestazione e al cambiamento climatico causato dall'uomo, e produce gas a effetto serra. Secondo l'American Forest and Paper Association, la produzione di carta è il terzo maggior utilizzatore di combustibili fossili in tutto il mondo.”  Essere paperless, oltre gli ovvi vantaggi in termini ambientali, comporta un efficientamento del sistema di archiviazione ed organizzazione dei file, consentendo di risparmiare su attrezzature, carta e inchiostri e di aumentare la competitività velocizzando i processi di archiviazione e invio dei file. Seguendo lo spirito di innovazione, Defend+ ha deciso di abbandonare l’ormai obsoleto sistema di archiviazione per categorie, preferendone uno basato su funzioni; l’efficientamento dei database ha portato a poter gestire grandi moli di dati con minima potenza di calcolo.

Perché utilizzare solo fonti di energia rinnovabile?

Un mondo hi-tech non esiste senza energia elettrica, ma è giusto che l’innovazione si impegni a risultare responsabilmente sostenibile. Le fonti di energia rinnovabile sono inesauribili, non provocano danni ambientali, riducono la produzione di agenti inquinanti e consentono al mondo della tecnologia di essere compatibile con l’ambiente e rispettare il pianeta. Tecnologia può essere sinonimo di Sostenibilità.

Per maggiori informazioni, vi invitiamo a guardare i seguenti video:

General Data Protection Regulation (GDPR)

Il 2018 è stato caratterizzato dall’entrata in vigore del nuovo regolamento europeo per la protezione dei dati personali.

L’obiettivo del regolamento è stato garantire agli utenti finali maggiori diritti sulla protezione dei loro dati, ciò ha richiesto alle aziende di sviluppare una maggiore sensibilità nei propri processi di comunicazione e di innovare le misure tecniche ed organizzative di sicurezza informatica.

Defend+ ha costruito per tale motivo un framework per supportare il cliente in ogni fase relativa al Data Breach:

  • Prima
    • Effettuando un’analisi preventiva si rilevano le vulnerabilità dei sistemi, si procede dunque con la riconfigurazione e l’aggiornamento dei sistemi, impedendo così a malintenzionati di poterle sfruttarle
  • Durante
    • Ricostruendo il traffico del tuo sito web, che è il principale canale di comunicazione che mette in comunicazione la tua azienda con i tuoi potenziali clienti, si procede a rilevare eventuali attacchi e a identificare gli attaccanti
  • Dopo
    • Accedendo alla memoria del sistema compromesso, si seguono le tracce lasciate dall’attaccante per ricostruire come è entrato, cosa ha visto una volta dentro e come ha modificato il sistema

Defend+ ha inoltre realizzato un servizio per coloro che hanno interesse di essere informati su ogni aspetto che caratterizza il loro business. Il servizio di Intelligence è attivo H24, analizza le informazioni presenti su Internet, nel Deep ed nel Dark Web.

Infrastruttura Worldwide

Defend+ ha realizzato una infrastruttura mondiale distribuita geograficamente su due continenti, con una connettività garantita da tre Internet Service Provider, per offrire ai suoi Clienti affidabilità e sicurezza.
I dati dei Clienti sono sottoposti ad un protocollo di massima sicurezza; Defend+ elimina in modo irreversibile (data wiping) i dati dei clienti, non ricorrendo ad alcuna forma di archiviazione o conservazione, se non per il tempo minimo necessario per l’erogazione dei servizi. Per maggiori dettagli consultare la pagina di Termini e Condizioni.Defend+ difende le performance delle infrastrutture di informazione quando il livello di sicurezza viene innalzato. Un caso d’esempio è il risultato (Grado A) ottenuto dopo la migrazione del sito web al protocollo HTTPS:

Domain hijacking

Domain hijacking è una tecnica che consente il furto di un dominio. Avviene tramite la modifica del registrant del dominio senza la sua specifica autorizzazione, tramite compromissione dei sistemi del domain hosting o del registrant.

Gli impatti previsti sono critici, in quanto da un dominio web potrebbero derivare molteplici redditi commerciali oppure valore nell’aver raccolto gruppi di lettori o notorietà senza fini di lucro o fini artistici. Inoltre, il dirottatore può utilizzare il nome di dominio per attività illegali come il phishing, in cui un sito Web viene sostituito da un sito Web identico che registra informazioni private come password di accesso, spam o distribuzione di malware.

Tecniche

Le principali tecniche ad oggi utilizzate sono:

  • Accedendo all’account e-mail del proprietario del dominio associato alla registrazione del nome del dominio
  • Sfruttando una vulnerabilità nel sistema del registrar dei nomi di dominio
  • Utilizzando le informazioni personali acquisite sull’effettivo proprietario del dominio per impersonarle e convincere il registrar di domini a modificare le informazioni di registrazione e / o trasferire il dominio a un altro registrar
  • Utilizzando un keylogger per rilevare la password utilizzata per la registrazione del dominio
  • Creando una campagna di phishing o social engineering

Rimedi

Se il nome di dominio rubato è stato trasferito a un altro registrar (Registrar 2), il registrar perdente (Registrar 1) può invocare la politica di risoluzione delle controversie di trasferimento del registrar di ICANN per ottenere la restituzione del dominio.

In alcuni casi, il registrar perdente (Registrar 1) non è in grado di riprendere il controllo sul dominio e il proprietario del nome di dominio potrebbe dover intraprendere un’azione legale per ottenere il ritorno ordinato del dominio.

Il dirottamento del dominio è analogo al furto, in quanto il proprietario originale è privato dei vantaggi del dominio, ma il furto si riferisce tradizionalmente a beni concreti come gioielli ed elettronica, mentre la proprietà del nome di dominio viene memorizzata solo nello stato digitale del registro del nome di dominio, per questo motivo, le azioni giudiziarie che cercano il recupero di nomi di dominio rubati sono più frequentemente archiviate.

In alcuni casi, le vittime hanno perseguito il recupero di nomi di dominio rubati tramite l’UDRP – Uniform Domain Name Dispute Resolution Policy.

L’ente ICANN ha previsto un periodo di attesa di 60 giorni tra una modifica delle informazioni di registrazione e un trasferimento a un altro registrar. Questo ha lo scopo di rendere più difficile il dirottamento del dominio, dal momento che un dominio trasferito è molto più difficile da recuperare, ed è più probabile che il registrante originale scoprirà il cambiamento in quel periodo e avviserà il registrar. Il protocollo di provisioning estensibile è utilizzato per molti registri TLD e utilizza un codice di autorizzazione rilasciato esclusivamente al registrante di dominio come misura di sicurezza per impedire trasferimenti non autorizzati.

Ci sono alcuni passaggi che un proprietario del nome di dominio può adottare per ridurre l’esposizione al dirottamento del nome di dominio. I seguenti suggerimenti potrebbero impedire un trasferimento di dominio indesiderato:

  • Utilizzare password e-mail complesse e abilitare l’autenticazione a due fattori, se disponibile
  • Non utilizzare il protocollo di posta elettronica POP
  • Usare sempre HTTPS per l’accesso alle email via web
  • Utilizzare la Strong Authentication (autenticazione a due fattori)
  • Rinnovare la registrazione del dominio in modo tempestivo, con pagamenti tempestivi e registrali per un lungo periodo (es: 5 anni)
  • Utilizzare un registrar di nomi di dominio che offre una protezione avanzata del trasferimento
  • Assicurarsi che le informazioni WHOIS siano aggiornate e puntino davvero a te e solo a te
  • Se possiedi molti nomi di dominio, considera l’acquisto di un tuo registrar personale