sicurezza

e-Commerce: la sicurezza di un sito che salva le carte di credito

0.00 avg. rating (0% score) - 0 votes

Sicurezza delle carte di credito online

Conosco almeno tre persone che non acquistano online se lo shop registra i dati della carta di credito. Due di queste sono sviluppatori web, gente che in qualche modo sa il fatto suo.

Eppure i grandi player utilizzano questo metodo con fare strategico: velocizzare il processo di acquisto negli ordini successivi, permettere il rinnovo automatico, stimolare l’acquisto d’impulso e così via. Alcuni esempi sono Amazon, Google, Apple, BOL, aziende che hanno dimostrato una certa autorevolezza e in qualche modo trasmettono fiducia. Eppure.

Rubati 70 milioni di account. Puff…

Eppure ogni tanto capita che qualcuno riesca ad accedere a questi dati e a copiarli. A volte per superficialità e altre per problemi tecnici, ma il risultato non cambia. Il caso più recente è quello di Sony, con Playstation Network, un sistema dal quale sono stati trafugati circa 70 milioni di credenziali più o meno complete: dati anagrafici, numeri delle carte di credito, storico degli acquisti ecc. Maggiori dettagli sul sito PSN (articolo ufficiale) e su ITEspresso (articolo indipendente).

Non voglio certo creare allarmismo – io per primo ho un account su tutti i siti sopra citati – quanto invece ragionare sul rapporto costi/benefici per un merchant. Comprendo la necessità di un sistema integrato per la vendita di contenuti su dispositivo (smartphone, e-book reader, console ecc.), ma questa pratica quanto può incidere sugli ordini di un e-Commerce “tradizionale”? Il gioco vale la candela?

La foto è tratta dal sito Zoelounge.it

WhyMCA 2010 live blogging (appunti): mobile security and privacy

0.00 avg. rating (0% score) - 0 votes

Mobile security and privacy, Fabio Pietrosanti

La sicurezza mobile non e’ identica alla sicurezza IT. Oggi assistiamo ad una crescita esponenziale di SmartPhone, potendo metterci su applicazioni e informazioni (tali info passano dal PC al telefono).

Quando esci di casa: macchina, chiavi di casa, portafoglio e… cellulare!

I dati che sono oggi sui cellulari sono estremamente personali e ricchi rispetto ad anni fa.

Eccesso di fiducia tra operatori, tra utenti e operatori, tra utente e telefono (non ha mai sperimentato in modo pratico un virus, un trojan, un phishing, etc in modalita’ mobile). Poca consapevolezza sui rischi del mobile.

Nuovi rischi sociali: gli utenti installano qualunque cosa e applicazioni. L’app che simula una scoreggia per Android ha realizzato 50.000 utenti. E se contenesse un trojan?

Le capacita’ necessarie per poter rilevare un attacco, un trojan o spyware su cellulare sono elevate, quindi e’ difficile scoprirlo.

La gestione delle vulnerabilita’ e del patching/aggiornamenti sono arretrate: ben fatte quelli di iPhone e Android, peggio quella di Nokia (anche per via degli operatori che personalizzano il firmware del telefono).

Ultimi anni: vulnerabilita’ nell’ambito mobile sono cresciute in maniera importante e ce ne sono molte di piu’ per iPhone (le eredita’ da OSX).

Se voglio una password sicura questa ridurra’ in modo drastico l’usabilita’ per via della tastiera virtuale (difficile mantenere alta la sicurezza e alta anche l’usabilita’).

L’utente finale fatica a comprendere i messaggi di alert sulla sicurezza anche per via del poco spazio a monitor per spiegare il problema (es “Certificato SSL non valido” su iPhone e’ riduttivo).

Se su PC siamo padri e padroni delle informazioni e del sistema operativo, su mobile questo non e’ vero: solo i produttori e gli operatori lo sono.

In Francia hanno vietato il BackBerry negli ambienti governativi perche’ RIM USA filtrava e controllava le mail in passaggio. Cosa che su PC sarebbe impossibile.

Modelli di sicurezza: Windows Mobile e BlackBerry sono i migliori dal punto di vista della sicurezza enterprise, anche se un po’ limitati a “tutto” o “niente” (dopo l’ok dell’utente l’applicazione puo’ fare quello che vuole). iPhone ha delle policy per chi pubblica applicazioni e delle API limitate per gli sviluppatori rispetto al resto del mercato.

Esiste una vulnerabilita’ di Safari su iPhone che con la semplice visita di un sito permette di accedere alla lettura completa di tutti gli SMS.

App di FaceBook per Android non usa SLL, ma semplice HTTP (e l’utente non viene avvisato), quindi e’ possibile rubare le password di FaceBook.

Fino al 2008 nelle conferenze di hacking e di sicurezza non si parlava di mobile, ora invece se ne parla moltissimo e l’interesse e’ in crescita. Aumento della consapevolezza: scoperta, preccupazione, l’industria reagisce e corregge.

GSM: esistono suite per il cracking delle conversazioni (2009). UMTS: si puo’ far passare su GSM. WiFi: problematiche classiche del senza fili. MMS: si possono far installare exe senza controlli (es. bug HTC di qualche anno fa). SMS: spoofing semplice e possibilita’ di mandare profili di collegamento ad internet con DNS personalizzati, quindi spiabili (es. bug iPhone che puo’ scaricare un trojan a seguito della ricezione di un messaggio). Bluetooh: crackato ufficialmente e facile da sniffare. NFC: scarica applicazioni direttamente senza chiedere e solo dopo chiede se installarle. WEB: proxy degli operatori che aggiungono header alle richieste http (es. Vodafone), quindi il sito web puo’ vedere addirittura il telefono dell’utente! SSL sul mobile non si vedono comodamente i dettagli di un certificato (almeno 4-5 clic) e le informazioni non sono sempre complete (es. iPhone non lo permette se non in seguito all’invio dei dati). Tramite la rete e’ sempre possibile conoscere con approssimazione dove si trova geograficamente l’utente.

Gli spyware su mobile costano, ma ce ne sono di completi, vedi FlexySpy. Virus e worm non ce ne sono.

Su mobile ogni forma di trasmissione costa qualcosa: tutte le frodi telefoniche in ambito mobile consistono nel fare in modo che l’utente faccia qualcosa di costoso che viene incassato totalmente o in parte dal malintenzionato.

Conclusioni: troppa eterogeneita’ tecnologica, modelli di sicureza non uniformati, operatori e produttori che non apprezzano la liberta dell’utente sul device e sulla rete.

Convegno AICEL: perché l’e-Commerce è più sicuro del commerce

0.00 avg. rating (0% score) - 0 votes

Live blogging e qualche appunto da Desenzano del Garda, parla Matteo Rigamonti di Pixart.it.

Fanno tutto totalmente online: niente personalizzazioni, niente ritiro in sede, etc. Solo transazioni online, di ogni tipo. Ci vuole coraggio ad aprire un’azienda “normale”, non un’azienda che fa e-Commerce.

Quando si fa e-Commerce i rischi sono bassissimi, secondo questa esperienza e la racconta con i prossimi esempi. Sentenza della corte americana: “sicuro non vuol dire privo di rischi”.

La percezione della sicurezza è diversa dalla realtà, ad esempio su due foto: la prima rappresenta una famiglia che fa una gita in bicicletta, la seconda una famiglia in gita in macchina. Tutti preferiscono la prima perché da sensazione di tranquillità, ma una passeggiata in bicicletta è 9 volte più rischiosa di una in macchina. 🙂

Come migliorare la percezione di sicurezza dei clienti? Battere la naturale esitazione verso il nuovo e il diverso. Applicare le regole più elementari del marketing (es. un benzinaio che vende a 10 centesimi un litro di benzina batterebbe qualsiasi barriera di fiducia). Specializzarsi, scegliere pochi prodotti/servizi e farli bene ottenendo la fiducia dei clienti. Ambiente professionale. Dal 2000 Pixart ha trentuplicato il fatturato a seguito dell’ingresso su internet e dell’utilizzo del web come unico canale di vendita.

Al cliente conviene comprare online: c’è un contratto che lo tutela (che normalmente non c’è offline), paga posticipato con carta di credito, ha il rimborso se lo truffano o se il prodotto non piace, il venditore non ha potere di convinzione al momento della consegna quindi se il prodotto non piace non potrà mai cambiare idea, ci sono risparmi di denaro e tempo (niente viaggi, spese, etc).

Gli svantaggi dell’e-Commerce: bisogna far fattura su tutto, anche per ordini da 3 euro, bisogna gestire i corrieri con tutto quello che comporta, per le società delle carte di credito il cliente ha sempre ragione sul merchant anche in casi assurdi, difficoltà nel creare un profondo rapporto di fiducia in quanto manca il rapporto interpersonale e conseguenti telefonate lunghissime di supporto, il merchant è costretto ad offrire un prodotto perfetto.

Pixart ha 1 contestazione ogni 12.000 transazioni con carta di credito, anche perché loro rifanno il lavoro se il cliente non è soddisfatto (tenendo conto del cliente per il futuro in maniera da evitare i furbi). Fanno 1,5 milioni di euro di transato al mese per 300/400 ordini con carta di credito. Lo stesso numero per contrassegno e 100 circa con bonifico anticipato (dove hanno in media 2 truffe ogni 1.000 ordini). Hanno solo 2 cause su 120.000 ordini negli ultimi sei mesi, principalmente per ritardi di consegna del corriere.

Convegno AICEL: la sicurezza nei pagamenti e-commerce

0.00 avg. rating (0% score) - 0 votes

Live blogging e qualche appunto da Desenzano del Garda, parla Devid Jegerson di IWBank come responsabile dei pagamenti elettronici.

E’ aumentato il volume di pagamento con carte in Europa, ma principalmente grazie ad altre nazioni diverse dall’Italia. In Italia il numero di POS è adeguato alla popolazione, ma viene usato solo un POS su quattro. Siamo al livello di Polonia e Grecia, cioè sotto la soglia di 100 pagamenti pro-capite l’anno.

La sicurezza percepita dell’italiano è molto bassa: le ricariche delle carte italiane sono di solito legate al singolo acquisto e infatti non rimane quasi mai un residuo sulla carta. In Italia il 50% delle transazioni online viene effettuato con carte prepagate!

Le frodi sono in crescita. La frode consiste in un acquisto effettuato tramite la carta, ma che non viene fatto dall’intestatario. Ma VISA e MasterCard permettono anche i rimborsi nel caso in cui il prodotto ricevuto non è conforme a quello acquistato.

Una carta VISA Gold contraffatta a Taiwan costa 1 euro. Ci sono circa 500 denunce al mese per frodi con carta di credito in Italia (lo skimming ha il 50% delle frodi). Crescono le denunce per clonazioni fatte all’estero. Il 75% delle frodi non vengono scoperte dalle vittime, nel 66% dei casi la vittima non sa dove ha conservato i codici, l’83% degli attacchi informatici non sono sofisticati, l’87% delle frodi può essere evitato tramite un minimo controllo e un accettabile livello di sicurezza.

Gli strumenti di pagamento dotati di PIN (es. Bancomat) non sono rimborsabili. La banca accantona il 30% delle transazioni per le frodi.

Come evitare le frodi: banca e merchant devono collaborare. La banca deve fare educazione verso gli utenti ed usare la tecnologia 3D Secure (nuovo PIN, vale solo per le carte Europee), usare modelli predittivi, creare un credit scoring sull’utente, alert via SMS o mail o telefono, programmi di protezione, limitazioni su invio e prelievo, corrispondenza con il database frodi. Il merchant deve fare attenzione alle richieste insolite, esaminare l’indirizzo per la spedizione, richiedere un numero telefonico fisso e verificare l’acquirente con mail e telefonate (maggiormente al primo acquisto), nel caso di ripetuti tentativi di pagamento attendere la verifica prima di spedire la merce, rintracciare i pacchi e assicurarli.

IWBank prima di accettare un merchant lo verifica online: con le associazioni tipo AICEL, sui blog, con i pareri delle persone, fanno controlli a campione, usano i social network, verificano sui forum, controlla se opera da parecchio tempo, etc. La conversazione è importante: nel gateway di pagamento di IWBank c’è un pulsante sulla pagina di pagamento che offre la possibilità di telefonare direttamente via voice-over-ip al merchant per qualsiasi domanda di verifica.

Il tasso di controversie dei conti IWBank è 0,5% rispetto il 2% della media di mercato.

Linate: reti wi-fi libere

0.00 avg. rating (0% score) - 0 votes

Giovedì mattina, mentre aspettavo i ragazzi del gruppo Netwo, mi sono seduto al gate 5 dell’aeroporto di Milano Linate ed ho aperto il portatile per rispondere alle mail scaricate la sera prima. Appena conclusa la fase di avvio un popup del sistema operativo mi segnala la presenza di reti wi-fi: clicco per curiosità e… questo è il risultato:

La situazione delle reti wifi all'aeroporto di Linate (gate 5)

 

Così su due piedi sembra che sia possibile utilizzare internet gratuitamente e senza protezione (presumibilmente anche senza controlli). Al momento non mi serviva, ma avrei potuto collegarmi e compiere le normali operazioni di rete esattamente come ognuno di noi fa a casa sua o in ufficio. Se abbiamo davvero aumentato le misure minime di sicurezza dei nostri aeroporti forse sarebbe il caso di includere anche le reti informatiche! 🙂 Passi che a Milano, come segnalavo nel LinkLog, il 63% delle reti senza fili sono vulnerabili o non protette, ma almeno in aeroporto…
1 2 3  Torna su