Ieri mi sono divertito (fra virgolette) a lanciare la calcolatrice e aprire una cmd che simulava la formattazione del disco semplicemente facendo aprire al cliente (mio amico eh) una fattura elettronica.
Il buco nella sicurezza, secondo me,é l’assoluta mancanza di controlli sull’allegato. In pratica ci si può mettere di tutto negli allegati, eseguibili, chiavi di registro, virus,keylogger, non c’è alcun controllo. Tanto sono codificati in base64 quindi non sono nemmeno comprensibili ad occhio. Se il software che visualizza la fattura esegue anche l’allegato e non ne controlla la bontà…bum.
Secondo me è una cosa grave, soprattutto vista l’alta mole di fatture in circolazione e l’alto numero di soggetti non correttamente aggiornati in tema sicurezza.
Voi che ne pensate?
Scusa, ma l’allegato nel momento in cui viene salvato su disco dovrebbe essere controllato da un antivirus, se non hai installato un antivirus la grossa falla di sicurezza è nel tuo sistema informativo non nella fattura elettronica…
Il fatto che sia codificato base 64 non capisco cosa possa influire dato che anche gli allegati delle email lo sono… Poi cosa vuol dire esegue l’allegato ?
C’è ancora qualche programmatore che per visualizzare un allegato usa shell execute o process start ??? Normalmente nei miei programmi cerco nel registry la chiave HKEY_CLASSES_ROOT\“TYPE”\Shell\Open\command
e poi lancio il command appena ottenuto con il nome del file se non ha estensioni tipo .com. .exe .dll o similari…
Il GDPR costringerebbe a lavorare con il concetto di SECURE BY DESIGN, ma vedo che molti se ne fregano…
Comunque prova ad allegare ad una fattura elettronica il classico “eicar.com” e vedi se l’antivirus non ha proprio nulla da dire…
Penso che hai perfettamente ragione, piano piano i sistemi si stanno adeguando,
di fatto FLASH è stato bandito, Java (client applet intendo) quasi, e i PDF reader stanno anche loro “bannando” le macro e gli script, ma forse sarebbe meglio proibire anche i pdf.
Il consiglio è di visualizzare le fatture solo da iPAD iPhone o Mac , che gestiscono abbastanza bene le root authorization.
Anche i tablet Samsung Android di ultima generazione reggono bene avast
ovviamente MAI usare i PC winzoz il buco con il sistema operativo attorno
Scusa Diego,
premesso che uso linux e non windows, ma il problema non è windows ma gli sviluppatori windows e gli utenti windows
Aprire un allegato usando process.start con direttamente il nome del file senza verificare il tipo, non è propriamente SECURE BY DESIGN…
Utilizzare il PC sempre come amministratori magari con UAC disabilitato perché rompe le balle non è SECURE BY DEFAULT…
Non installare un antivirus perché rallenta la macchina non rientra fra le BEST PRACTICES…
Una macchina windows con le dovute accortezze è tanto sicura come una qualsiasi altra macchina… (soprattutto se la lasci spenta e scollegata dalla rete )
Applauso.
Purtroppo nella tua risposta hai citato almeno 2 o 3 termini inglesi che sono sconosciuti alla platea dei “Fatturiani”
Vivendo sul campo ti posso dire che il problema è culturale, stiamo parlando di una platea di utenti che fino all’anno scorso usava i blocchetti carta carbone.
Personaggi che non hanno mai visto una tastiera ed un mouse.
I più evoluti sanno che dentro lo schermo c’e’ Internet dove si vedono le donnine nude
Una domanda @Romolo_Manfredini :
sul vostro server di Fatturazione elettronica quanti anagrafiche avete con scritto:
1: Nome: Nome Cognome: Cognome
2: Nome: il tuo nome, Cognome: Il tuo cognome
3: Nome: Scrivere il proprio nome …
"Pronto ? assistenza, ho provato più volte ma continua a scrivere utente Invalido "
“ha provato a cambiare la password”
“sì poi ha funzionato, però ho letto sul sole24ore che i dati sanitari erano esclusi dalla fatturazione !!”
“quindi mi scusi”
“come faceva a sapere che l’utente era invalido ?”
1,2,3 ) 0 (Zero) ma solo perché il programma che fa la fatturazione controlla…
Di utonti degli altri generi ne ho parecchi…
Comunque se la terminologia inglese può essere sconosciuta ai fatturiani, non dovrebbe esserlo agli sviluppatori e leggendo il post iniziale di questo thread invece capisco che un software che apre automaticamente una fattura senza fare i dovuti controlli è il vero buco di sicurezza della catena…
Due cose ho imparato da quando sviluppo
Stai partendo da un presupposto sbagliato o, meglio, sottovaluti la situazione italiana in termini di sicurezza. Il discorso base64 si riferisce solo al fatto che un utente che va a sbirciare l’xml non di rende conto del tipo di allegato.
Secondo me è potenzialmente un rischio imperante
Secondo me non è più rischioso di un pirla che clicca su ogni mail che gli arriva in cui gli viene detto che la password di paypal è scaduta o che è diventato improvvisamente ereditiero di uno zio di america che non ha mai avuto…
Esatto! Qui abbiamo un bacino enorme come nelle mail e non posso non vederci un rischio molto alto. Secondo me, viste le finalità di un allegato ad una fattura, dovevano ridurre i tipi di file ammissibili
Scusa ma perchè ??? In una fattura PA ci vanno certificazioni di conformità, progetti esecutivi finali, p7m che a loro volta possono contenere qualsiasi cosa…
Il problema non è l’allegato ma il software che lo apre…
Come dire che per evitare gli incidenti stradali si aboliscono le auto anzichè togliere la patente agli ubriachi…
Boh, io guardo un sacco di gente che fino a ieri faceva le fatture a mano ed oggi sono davanti ad un pc con grado di sicurezza pari alla corsa di un gatto in autostrada di notte, e penso che forse un minimo di aiuto non sarebbe male. Poi, certo, capisco benissimo che è colpa sua ma un po’ce l’hanno costretto
Beh quali sono le finalità… quali tipologie di allegati le soddisfano ?
Un virus dentro uno zip è meno pericoloso di un virus allegato a se stante ?
Un virus dentro uno zip protetto da password con la password in un altro allegato lo è meno ?
Fra l’altro uno zip criptato potrebbe essere il modo per scambiarsi dati tutelando la privacy…
Ti ripeto, se ci sono cialtroni di programmatori che aprono gli allegati automaticamente la colpa è della fatturazione elettronica ?
Come dire… vietiamo gli allegati nelle email perchè un programma di posta potrebbe aprirli automaticamente…
Sintetizzo il mio pensiero così chiudo l’argomento.
Ho capito cosa dite e, ovviamente, sono d’accordo; il punto è che, al pari di un client di posta, la fe ha aumentato,e di molto, il bacino di potenziali destinatari di attacchi ai sistemi informatici e penso che non si debba essere necessariamente cialtroni, anche Outlook è fatto da gente immagino bravina, eppure le falle le trovi tranquillamente. Magari si scopre che il tuo software molto sicuro può essere attaccato in modo da eseguire un allegato ad hoc della fattura nonostante tu sia stato bravo e attento.
Io ci vedo rischi molto più elevati, boh sarà che sono meno fiducioso degli utenti e dei softwaristi della domenica (e tutto si sono buttati a capo fitto sulla fe)
Dal mio punto vi vista (essendo un problema di sicurezza che ho riscontrato anche nella fatturaPa) io avrei vincolato gli allegati ad essere dei PDF, punto e basta. E il controllo si implementa rapidamente.
Meglio ancora pdf/a così non hai possibili macro.
Anche io sarei stato più rigido, sinceramente. Capisco il punto di vista di chi dice che l’allegato può essere utile, ad esempio allegando progetti (file cad ad esempio) ma il potenziale rischio è alto, anche di eventuali azioni legali. Dal mio punto di vista controllo che l’allegato non sia in una lista di file pericolosi (abbastanza lunghetta) ma mi scoccia sempre un po’
E se l’allegato è in una lista di oggetti pericolosi che fai ?
Non dai la fattura al cliente ?
Gli dai un avviso e gli fai fare un click in più salvandoti la coscienza ?
Personalmente consiglio ai clienti di:
Non usare sistemi win quando non indispensabile…
Se si utilizzano sistemi win di installare e tener aggiornato un buon antivirus
Non aprire gli allegati alle email con un doppio click ma con file -> apri dall’applicazione associata.
Disabilitare le macro in tutte le applicazioni che le supportano
E comunque, a mio giudizio, il potenziale rischio legato alla fatturazione elettronica dove l’invio è tracciato, è un infinitesimo di quello legato ad altri strumenti in uso quotidiano alle aziende…
le certificazioni di conformità ivi compresi i progetti esecutivi devono accompagnare la fattura almeno per molti atti della PA…
Per i privati posso voler allegare un file csv per movimentare in automatico il magazzino date le limitazioni descrittive della fatturazione elettronica…
Onestamente vedere la fattura elettronica come un grosso problema di sicurezza informatica mi sembra preoccuparsi dell’insicurezza del finestrino laterale posteriore sporco in una macchina con le sospensioni che non vanno e senza freni…
Soprattutto ora che ABI segnala truffe relative alla sostituzione del codice IBAN nelle FE…
(se ABI facesse un controllo di congruenza fra CF Beneficiario e IBAN i pagamenti non dovrebbero andare a buon fine ma di n banche con cui tratto sembra che solo FI…CO faccia un controllo stringente)
