Blog

coffeecapp
Coffee cApp, un'App............

...insecurity by default & by design

 

 

 

Prendere il caffè con una App è chiaramente molto comodo: non hai bisogno di spiccioli, non hai il problema di perdere la chiavetta e se finisce il credito ricarichi rapidamente magari con Paypall Nell'usare una di queste App, Coffe cApp, salta subito agli occhi che, come qualche anno fa, bisogna registrarsi e non è possibile utilizzare la propria utenza Google o Facebook.
Usare le api di autenticazione di Google, Facebook etc... può non piacere ad alcuni programmatori e agli integralisti della privacy ma certamente ci aspettiamo che queste API siano abbastanza sicure.
Implementare un procedimento di registrazione non è complesso ma si rischia di scivolare su delle bucce di banana. Proprio riguardo a quest'App abbiamo trovato un articolo molto interessante.
https://medium.com/@fs0c131y/nothing-is-safe-in-a-hacker-conference-not-even-the-coffee-machine-8501bf14f41a. Dall'articolo risulta chiaramente che username e password passano in chiaro, no hash di nessun tipo, che è possibile fare brute force e gussing sul PIN, insomma quanto di peggio si possa immaginare dal punto di vista della sicurezza. L'autore non lo ha scritto ma personalmente sono convinto che sia abbastanza agevole dire alla macchinetta del caffè che mi merito un caffè grautito....occhio la stessa App viene usata anche per i distributori di merendine, certamente più costose del caffè:-)

il rischio non è solo per l'esercente che potrebbe vedere vuoti i distributori senza incassare un euro, e già questo sarebbe grave, ma c'è un rischio alto anche per l'utenza di questi distributori automatici, senza adeguati meccanismi di protezione e salvaguardia delle credenziali ignoti potrebbero consumare caffè e bibite a nostre spese... e questo per la reputation di quest'azienda sarebbe ben peggiore del primo rischio.

A oltre un anno dall'entrata in vigore del GDPR siamo all'assurdo di dover constatare l'applicazione del principio Insecurity By Default & by Design, c'è ancora molta strada da fare, nel 2019 non si può vedere passare le password in chiaro, mancano le basi e la sensibilità ai temi della sicurezza dei dati.

Bheè viene da domandarsi se è stato fatto almento effettuato un test di sicurezza, un vulnerability assessment o un penetratin test, prima di mettere in produzione una tale infrastruttura

 

in ogni caso se state per portare in produzione un'App o un altra soluzione tecnogica consultatici per una verifica di sicurezza: verifica codice sicuro, web application test, IP Penetration test

 

google buttarelli
Non non abbiamo fatto in tempo ma per qualche ora se inserivate come chiave di ricerca "Buttarelli causa morte"  Google vi forniva la causa senza che alcun giornale le avesse pubblicate tantomeno la famiglia ne avesse dato notizia. Si è gridato subito allo scandalo, violazione della privacy etc... certamente l'episodio è abbastanza fastidioso e va a interessare una sfera particolarmene delicata, quella dello stato di salute delle persone, ma la questione che dovremmo tenere sempre bene a mente è che quando creiamo un account gratutio, e sottolineo gratutito,  @gmail.com accettiamo, anche se nessuno di noi lo legge, un contratto che da ampia libertà a google di leggere il contenuto delle nostre email e di usare quei dati.  Di fatto sottoscriviamo un contratto con cui li autorizziamo a inserirsi nella nostra vita, a maggior ragione quando configuriamo un dispositivo Android oltre alle email forniamo anche tanti altri elementi, come i luoghi visitati: un ristorante piuttosto che un centro di cure, la durata di permanenza, e con buona probabilità qualcuno dall'altra parte ascolta anche il consulto con il medico curante.... insomma per quanto ci vogliamo o possiamo lamentarci quando sottoscriviamo un contratto di servizio gratutito la merce siamo noi!!! Nessuno ti regala una serie di servizi che hanno un costo considerevole senza ottenere in cambio qualcosa. pensate a quanto può costare gestire un server di posta elettronica, ma proviamo a farla più semplice quanto costa una casella di posta elettronica su un provider come aruba o ovh? dai 50-60€ all'anno per casella e se dovessimo pagare tutte le caselle gmail 50€ l'una all'anno quanto ci costerebbe???

Chiaramente i servizi di Google oggi sono spesso irrinunciabili, in particolare per la parte mobile, ma dobbiamo essere coscienti che spesso sottoscrivere un contratto di servizio gratuito con Google o con qualunque altro big dell'IT significa spesso, nelle pieghe del contratto, consegnare loro la chiave di accesso ai nostri dati e il diritto di usarli come meglio credono. Questo rappresenta un importante problema, in partolare nell'era GDPR Google va ad effettuare una profilazione e una serie di trattamenti estremamente delicati e pericolosi per i diritti e le libertà delle persone. Quando succeede un caso come quello di Buttarelli o di qualunque personaggio pubblico si solleva un gran clamore, ma quanti casi di persone della strada possono essere vittiam di questo tipo di errore? quali implicazioni può portare un tale trattamento. 

Da troppo tempo si invoca l'intervento del Garante UE nei confronti dei colossi dell'IT perchè rispettino le norme come tutti, forse questa è la leva che serviva per riportare sui binari della liceità questi BiG

 

Sentenza Cassazione Civile  19155 del 17 luglio 2019 sul valore probatorio di SMS e mail.

Mail sms cassazioneCon la sentenza 19155 del 17 luglio 2019 la corte ha finalmente confermato il valore probatorio di mail ed SMS
La Corte di Cassazione ha pertanto enunciato il seguente principio:
"Questa Corte ha di recente statuito (Cass. 5141/20119) che lo “short message service” (“sms”) contiene la rappresentazione di atti, fatti o dati giuridicamente rilevanti ed è riconducibile nell’ambito dell’art. 2712 c.c., con la conseguenza che forma piena prova dei fatti e delle cose rappresentate se colui contro il quale viene prodotto non ne contesti la conformità ai fatti o alle cose medesime. Tuttavia, l’eventuale disconoscimento di tale conformità non ha gli stessi effetti di quello della scrittura privata previsto dall’art. 215 c.p.c., comma 2, poichè, mentre, nel secondo caso, in mancanza di richiesta di verificazione e di esito positivo della stessa, la scrittura non può essere utilizzata, nel primo non può escludersi che il giudice possa accertare la rispondenza all’originale anche attraverso altri mezzi di prova, comprese le presunzioni”.

Sempre questa Corte (Cass.11606/2018), in tema di efficacia probatoria dei documenti informatici, ha precisato che “il messaggio di posta elettronica (cd. e-mail) costituisce un documento elettronico che contiene la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti che, seppure privo di firma, rientra tra le riproduzioni informatiche e le rappresentazioni meccaniche di cui all’art. 2712 c.c. e, pertanto, forma piena prova dei fatti e delle cose rappresentate se colui contro il quale viene prodotto non ne disconosca la conformità ai fatti o alle cose medesime”.

Un pronunciamento importante nella corretta qualificazione dei mezzi di prova, una sentenza che per estensione può essere applicata anche a tutta la pletora di strumenti informatici di messaggistica e condivisione.
Una sentenza che dice chiaramente che la controparte non può semplicemente disconoscere con argomentazioni i messaggi e i testi, ma DEVE DIMOSTRARE che non sono stati scritti da lui.
ciò significa che se la prova viene acquisita con metodi forensi che siano garanzia di autenticità e veridicità e prodotta in giudizio con una perizia informatica forense, non potrà essere constata né disconosciuta.

In pratica eseguire la copia forense di computer e cellulari e da cui provengono sms e mail, ma per interpretazione estensiva anche altri tipi di messaggistica come messenger, viber, whatsapp, signal e telegram, e produrre i messaggi di interesse è garanzia di utilizzabilità in giudizio.

Da sempre il nostro studio ha adottato queste tecniche a garanzia dei propri assistiti dimostrando professionalità e competenze.

Consultateci per un preventivo tratuito

Questo sito utilizza i cookie per offrire una migliore esperienza di navigazione. Cliccando OK puoi continuare la navigazione e questo messaggio non ti verrà più mostrato. Se invece vuoi disabilitare i cookie puoi farlo dal tuo browser. Per maggiori informazioni puoi accedere alla nostra cookie policy.