Disavventura di un login!

Mesi addietro è capitata una spiacevole disavventura che renderà incredula la maggior parte di voi lettori.
Vi dirò di più, sono sicuro che i lettori maggiormente increduli, o meglio dire scettici, saranno tutti i titolari di conto corrente, ed in particolare tutti coloro che utilizzano il servizio di home banking.
A distanza di mesi, la mia rabbia e la mia voglia di comunicare l’accaduto a tutti si sono presentate quando ho letto le seguenti notizie:

“Pratica comune ormai da diversi anni, l’e-trading ha raggiunto in Italia un buon livello di diffusione, soprattutto per quanto concerne le operazioni di banking online. Tuttavia, nonostante i conti online continuino a crescere (9,4 milioni) con un incremento superiore al 9% nello scorso anno rispetto al 2005, e le disposizioni di e-banking siano state nel primo semestre del 2006 ben 21 milioni (+ 21,4%), il confronto con gli altri Paesi europei mostra come le disposizioni online siano sostanzialmente inferiori……..”

“Bill Gates lo ha ufficializzato: quest’anno lascerà Microsoft per dedicarsi completamente alla fondazione benefica che porta il suo nome e quello della moglie.”

Cosa collegherà la mia disavventura con Bill Gates e l’andamento delle disposizioni di e-banking in Italia (il bello, il brutto ed il cattivo)?

Semplice!

Avevo, e dico avevo, un conto corrente con la banca omissis, di cui usavo i servizi di e-banking.
L’accesso è garantito, tutt’ora, da due password, una di visualizzazione per effettuare consultazioni sul conto corrente, l’altra di dispositiva per poter effettuare operazioni bancarie (bonifici, rid, ecc…); inoltre, l’accesso al servizio è garantito da un certificato web da dover accettare.
In caso sia impossibile poter installare il certificato, o al verificarsi di un qualsiasi altro problema, è possibile accedere al servizio di home banking grazie ad un metodo alternativo, ovvero quello di richiedere all’utente una password temporanea della durata di un tot di minuti (diciamo dieci minuti), che viene spedita tramite un email e/o un sms segnalati in precedenza al correntista. In seguito, per effettuare l’accesso, è richiesta sia la password temporanea che la password di visualizzazione precedentemente citata.

Un sistema alquanto sicuro … all’apparenza!
Ma, come dice un vecchio detto, non è tutto oro ciò che luccica ed un tranquillo lunedì mattina si consuma il dramma.

Tutto contento ed allegro, di un bel lunedì mattina, cerco di verificare se mi è stato accreditato lo stipendio; quindi dal sito della banca omissis richiedo la password temporanea, che prontamente arriva sulla mia e-mail, inserisco i dati e in modo corretto lancio la procedura di accesso.
Il browser m’impalla al monitor ipnotizzandomi con la sua clessidra rotante, ed io penso che sia normale, visto che è lunedì e che il campionato è iniziato da poco, quindi i dipendenti dell’ufficio vogliono tenersi aggiornati a prima mattina (detto tra noi anche nel pomeriggio), facendo così rallentare la velocità di connessione.
Stanco di attendere annullo il tutto.

Ma io sono ostinato, e proprio non mi voglio arrendere, e come tutti i testardi decido di iniziare di nuovo il tutto.
Richiedo una nuova password temporanea, inserisco i dati e vai con il submit. Ci risiamo: la clessidra ritorna a fare il suo onesto lavoro, temporeggia.

Scherzi a parte, aspetto per 2 o 3 minuti, ma alla fine il server risponde, accedo al conto e finalmente posso controllare il saldo.

O almeno così credevo. Dopo una breve occhiata noto qualcosa di veramente strano, di singolare, che mi fa quasi cadere dalla sedia su cui stavo seduto.
Il conto corrente che sto visionando semplicemente non è il mio: numero di conto, saldo, rid, dati personali e quant’altro concerne un conto corrente non sono i miei, bensì di un altro correntista.

ASSURDO! Ho violato un sistema informatico senza nemmeno volerlo e seguendo la procedura standard?
Ripreso dallo choc, mi rendo conto della potenziale difficoltà a farmi credere decidendo di raccontare la cosa, e effettuo quindi dei print screen a più non posso, salvando così sul mio hard disk estratto conto e ultime movimentazioni.
Controllo i log di accesso del conto corrente, per poter riuscire a capire almeno in parte cosa sia successo, e l’unica cosa che noto è che il vero titolare del conto corrente non chiudeva mai le connessioni in modo corretto, mandando quest’ultime sistematicamente in time out.
Presumibilmente per un’anomalia del sistema, esso ha deciso, per ignote ragioni, di attribuirmi la sessione lasciata libera dal suo effettivo titolare.

Prima di continuare è importante chiarire che il servizio di home banking della banca omissis è sviluppato in tecnologia “.net” del nostro carissimo Bill; e dato che i conti tornano sempre, indovinate un pò cosa mi ha detto un dipendente in carne ed ossa sulla sicurezza del loro sistema informatico dopo che gli ho spiegato l’accaduto: “sembra strano questo comportamento del sistema, non si è mai verificato un problema del genere, e pensa che il nostro sistema è stato anche premiato lo scorso anno per la sicurezza proprio da Bill Gates”.
Alla faccia della sicurezza, aggiungerei.
Manco a dirlo, dopo due giorni ho deciso di cambiare banca: ormai non ero più sicuro. Vista l’involontarietà del mio gesto, chi mi assicura che l’episodio non possa verificarsi un’altra volta, ma a parti inverse?
Ho deciso di cambiare banca, anche se la società che amministra l’applicazione ha aumentato la dimensione della password temporanea – da sette caratteri è passata a dieci , come se fosse un problema di dimensioni.
Dopo questa disavventura ho dovuto aggiungere un nuovo parametro per la scelta della banca: oltre ai tassi di interesse, al valore delle commissioni e a quant’altro, ho fatto molta attenzione che non fosse sviluppato in tecnologia “.net“.
Non sarà di sicuro un parametro di sicurezza assoluta, ma con i prodotti di mamma Microsoft, preferibilmente, non voglio nulla in comune.

Ciao.
Disavventura di un login!

Mesi addietro è capitata una spiacevole disavventura che renderà incredula la maggior parte di voi lettori.
Vi dirò di più, sono sicuro che i lettori maggiormente increduli, o meglio dire scettici, saranno tutti i titolari di conto corrente, ed in particolare tutti coloro che utilizzano il servizio di home banking.
A distanza di mesi, la mia rabbia e la mia voglia di comunicare l’accaduto a tutti si sono presentate quando ho letto le seguenti notizie:

“Pratica comune ormai da diversi anni, l’e-trading ha raggiunto in Italia un buon livello di diffusione, soprattutto per quanto concerne le operazioni di banking online.
Tuttavia, nonostante i conti online continuino a crescere (9,4 milioni) con un incremento superiore al 9% nello scorso anno rispetto al 2005, e le disposizioni di e-banking siano state nel primo semestre del 2006 ben 21 milioni (+ 21,4%), il confronto con gli altri Paesi europei mostra come le disposizioni online siano sostanzialmente inferiori……..”

“Bill Gates lo ha ufficializzato: quest’anno lascerà Microsoft per dedicarsi completamente alla fondazione benefica che porta il suo nome e quello della moglie.”

Cosa collegherà la mia disavventura con Bill Gates e l’andamento delle disposizioni di e-banking in Italia (il bello, il brutto ed il cattivo)?

Semplice!

Avevo, e dico avevo, un conto corrente con la banca omissis, di cui usavo i servizi di e-banking.
L’accesso è garantito, tutt’ora, da due password, una di visualizzazione per effettuare consultazioni sul conto corrente, e l’altra di dispositiva per poter effettuare operazioni bancarie (bonifici, rid, ecc…); inoltre, l’accesso al servizio è garantito da un certificato web da dover accettare.
In caso sia impossibile poter installare il certificato, o al verificarsi di un qualsiasi altro problema, è possibile accedere al servizio di home banking grazie ad un metodo alternativo, ovvero quello di richiedere all’utente una password temporanea della durata di un tot di minuti (diciamo dieci minuti), che viene spedita tramite un email e/o un sms segnalati in precedenza al correntista. In seguito, per effettuare l’accesso, è richiesta sia la password temporanea che la password di visualizzazione precedentemente citata.

Un sistema alquanto sicuro … all’apparenza!
Ma, come dice un vecchio detto, non è tutto oro ciò che luccica ed un tranquillo lunedì mattina si consuma il dramma.

Tutto contento ed allegro, di un bel lunedì mattina, cerco di verificare se mi è stato accreditato lo stipendio; quindi dal sito della banca omissis richiedo la password temporanea, che prontamente arriva sulla mia e-mail, inserisco i dati e in modo corretto lancio la procedura di accesso.
Il browser m’impalla al monitor ipnotizzandomi con la sua clessidra rotante, ed io penso che sia normale, visto che è lunedì e che il campionato è iniziato da poco, quindi i dipendenti dell’ufficio vogliono tenersi aggiornati a prima mattina (detto tra noi anche nel pomeriggio), facendo così rallentare la velocità di connessione.
Stanco di attendere annullo il tutto.

Ma io sono ostinato, e proprio non mi voglio arrendere, e come tutti i testardi decido di iniziare di nuovo il tutto.
Richiedo una nuova password temporanea, inserisco i dati e vai con il submit. Ci risiamo: la clessidra ritorna a fare il suo onesto lavoro, temporeggia.

Scherzi a parte, aspetto per 2 o 3 minuti, ma alla fine il server risponde, accedo al conto e finalmente posso controllare il saldo.

O almeno così credevo. Dopo una breve occhiata noto qualcosa di veramente strano, di singolare, che mi fa quasi cadere dalla sedia su cui stavo seduto.
Il conto corrente che sto visionando semplicemente non è il mio: numero di conto, saldo, rid, dati personali e quant’altro concerne un conto corrente non sono i miei, bensì di un altro correntista.

ASSURDO! Ho violato un sistema informatico senza nemmeno volerlo e seguendo la procedura standard?
Ripreso dallo choc, mi rendo conto della potenziale difficoltà a farmi credere decidendo di raccontare la cosa, e effettuo quindi dei print screen a più non posso, salvando così sul mio hard disk estratto conto e ultime movimentazioni.
Controllo i log di accesso del conto corrente, per poter riuscire a capire almeno in parte cosa sia successo, e l’unica cosa che noto è che il vero titolare del conto corrente non chiudeva mai le connessioni in modo corretto, mandando quest’ultime sistematicamente in time out.
Presumibilmente per un’anomalia del sistema, esso ha deciso, per ignote ragioni, di attribuirmi la sessione lasciata libera dal suo effettivo titolare.

Prima di continuare è importante chiarire che il servizio di home banking della banca omissis è sviluppato in tecnologia “.net” del nostro carissimo Bill; e dato che i conti tornano sempre, indovinate un pò cosa mi ha detto un dipendente in carne ed ossa sulla sicurezza del loro sistema informatico dopo che gli ho spiegato l’accaduto: “sembra strano questo comportamento del sistema, non si è mai verificato un problema del genere, e pensa che il nostro sistema è stato anche premiato lo scorso anno per la sicurezza proprio da Bill Gates”.
Alla faccia della sicurezza, aggiungerei.
Manco a dirlo, dopo due giorni ho deciso di cambiare banca: ormai non ero più sicuro. Vista l’involontarietà del mio gesto, chi mi assicura che l’episodio non possa verificarsi un’altra volta, ma a parti inverse?
Ho deciso di cambiare banca, anche se la società che amministra l’applicazione ha aumentato la dimensione della password temporanea – da sette caratteri è passata a dieci , come se fosse un problema di dimensioni.
Dopo questa disavventura ho dovuto aggiungere un nuovo parametro per la scelta della banca: oltre ai tassi di interesse, al valore delle commissioni e a quant’altro, ho fatto molta attenzione che non fosse sviluppato in tecnologia “.net“.
Non sarà di sicuro un parametro di sicurezza assoluta, ma con i prodotti di mamma Microsoft, preferibilmente, non voglio nulla in comune.

Ciao.

Articolo a cura di: Clemente basilicata