[Linux-Biella] usate windows che fa bene...

[Jumping Jack]

On 21/11/2012 14:39, Alessandro Crotti wrote:
> Il 20 novembre 2012 11:06, Leonardo Buffa
> <leonardo.buffa a bilug.linux.it> ha scritto:
>> On 20/11/2012 11:01, Alberto Baldan wrote:
>>> Quindi nemmeno firefox con la navigazione anonima serve!!!!!
>>
>> scusa che c'entra la navigazione anonima?!?!?!
>> quella non fa altro che non salvare la history i cookies et similia!
>>
>>
>>> pagamenti e poi ritornare a winzoz!!! (perchè è impossibile
>>> virtualizzare e cose simili!!!).
>>
>> perche'? un virtualbox e' usabile direi
>>
>>
>>> L'unica è guardare ogni gg il sito della banca per accertarsi che nulla
>>> di strano sia successo ed in caso contrario bloccare tutto.
>>
>> questo si
>>
>>
>>> Che palle però....nemmeno gli https, i vari token danno un minimo di
>>
>> https non c'entra, il malware agisce prima del ssl
>> i token possono aiutare perche' diminuiscono il tempo di operativita' per
>> portare a termine la sessione...
>> ma non e' detto nemmeno questo
>>
>>
>>
> Eh sì...interessante 'sta cosa, me ne parlava giusto stamattina un
> collega, a quanto pare c'è cascato anche qualche nostro cliente
> (Biver) e mi chiedeva se secondo me è il nostro sistema ad essere
> insicuro.
> Per ora gli ho risposto...ni...
>
> Ho letto un po', a quanto mi pare di capire il canale di trasmissione
> dei dati cliente/banca non viene violato.
> Certificato digitale, SSL, user e password fanno tutti il loro lavoro.
>
> Solo che il cliente digita nel browser gli estremi di un bonifico da
> 1.000 euro a favore di Mario Rossi in Francia, il Trojan "nel browser"
> sfrutta la tecnica MITB, intercetta i dati e invia in banca gli
> estremi di un bonifico da 10.000 euro a favore di Vladimir Minkiasky
> in Georgia, la banca esegue e risponde che Vladimir riceverà i soldi,
> Zeus intercetta e fa vedere al cliente che Mario riceverà i 1.000
> euro, e tutti sono contenti....tranne poi scoprire la sorpresina
> nell'estratto conto.
>
> Da quello che ho letto in giro, considerato che gli antivirus non è
> che facciano miracoli con 'sta roba, le possibili soluzioni
> sembrerebbero:
> -Cambiare s.o. :-)
> -Su windows cambiare browser, Chrome e Opera "per ora" sembrano sicuri.
> -Usare un browser in versione "portable" ....in che senso, tipo su
> chiavetta USB in sola lettura???
> -Farsi fornire dalla banca un browser
> "blindato".....mah....sull'invulnerabilità di un IE "speciale" ho
> qualche dubbio.
> -Usare un sistema di verifica "esterno", tipo un sms che ti chiede
> conferma dell'operazione "segnalandoti gli estremi del bonifico".
> -Usare un LIVE CD per le transazioni bancarie.... mmmh...un po' scomodo...
> -altro??
>
Dire al cliente di usare il computer senza crackare i programmi, senza 
voler vedere l'ultimo film in streaming, magari registrato in qualità 
pessima al cinema, se proprio si scarica un video o un mp3 e per vederlo 
gli compare la scritta vai su questo link non deve andare e buttare via 
il file ecc... ecc... Se poi il cliente è un pornomane o maniaco del 
gratis/regalo allora mentirà, non sarà mai colpa sua e riuscirebbe a 
sputtanare qualsiasi cosa.
Zeus non entra spontaneamente nel computer, come i software che si 
spacciano per blocchi della polizia o della finanza e simili.
La cosa migliore sarebbe che il cliente avesse Win che lo usa per le 
porcate e Linux che lo usa per le cose serie.

Se ha Windows 7 esegue IE in modalità XP mode (che la deve usare solo ed 
esclusivamente per quello scopo) così IE è dentro una VM ed è isolato 
dalle altre applicazioni, non sono sicuro che funzioni ma quasi.

Oppure installa una VM gratuita, ci installa dentro una versione leggera 
di Linux e la usa per le operazione bancarie.
Questa soluzione è forse la più sicura per gli utenti che usano il 
computer senza pesare.

JJ