lunedì 22 dicembre 2014

La PEC gratuita del cittadino va in pensione

L'introduzione in Italia di uno strumento valido come la Posta Elettronica Certificata è stato in parte sabotato dall'introduzione, ad opera del Governo, di uno strumento anomalo: la cosiddetta "CEC-PAC", o "PEC DEL CITTADINO".
Il laconico annuncio è stato ufficialmente dato dall'Agenzia per l'Italia Digitale lo scorso 17 dicembre:

 Il servizio di Postacertificat@ (CEC-PAC), che può essere utilizzato solo per comunicazioni verso la PA sarà da oggi progressivamente sospeso per far convergere tutte la posta certificata sul sistema PEC. 

Nelle intenzioni, la CEC-PAC avrebbe dovuto mettere ogni cittadino in condizioni di poter dialogare gratuitamente con la Pubblica Amministrazione, ma la realtà è stata ben differente, e la "PEC del Cittadino" si è rivelata un colossale flop e l'ennesimo, colossale sperpero di denaro pubblico.

La CEC-PAC era uno strumento anomalo: una casella PEC, fornita gratuitamente a tutti i cittadini che ne avessero fatto richiesta, ma castrata nelle sue potenzialità in quanto permetteva di scambiare messaggi esclusivamente con le caselle PEC della Pubblica Amministrazione.
Ciò ha creato molta confusione (ancora oggi molti utenti CEC-PAC non hanno ancora ben chiaro il concetto che la loro casella NON è una PEC); la diffusione è stata anche limitata dalle farraginose e complicate procedure di attivazione, svolte per tramite di Poste Italiane.

I numeri di questo flop sono tali da far riflettere sul fatto che ci sia voluto tanto tempo per arrivare a questa decisione: in oltre quattro anni, infatti, solo 2 milioni di cittadini italiani hanno richiesto l’assegnazione di un indirizzo di Cec Pac, solo poco più di un milione lo ha poi effettivamente attivato, ed infine appena  200.000 lo hanno effettivamente utilizzato per trasmettere più di una comunicazione; e ben l'82% delle caselle attivate non ha mai effettuato alcun invio.
In compenso, la CEC-PAC si è sovrapposta parzialmente allo strumento PEC, non certamente completandolo ma solo creando confusione nell'utente (e quindi, forse, rallentando anche la diffusione della PEC).
Non si sa quanto sia effettivamente costata questa aberrante operazione, ma basti pensare che l'AGID dichiara che l'operazione di dismissione di CEC-PAC permetterà un risparmio di 19 milioni di euro.
Il che significa che, di fatto, ogni casella CEC-PAC è costata alla collettività oltre 95 euro (corrispondenti a circa 10 anni di canone per una normale casella PEC!!!)

La tempistica di questa dismissione è sinteticamente la seguente:

  • dal 18 dicembre non verranno più rilasciate né attivate nuove caselle CEC-PAC
  • dal 18 marzo 2015 le caselle CEC-PAC funzioneranno solo in ricezione, e non potranno più inviare messaggi
  • dal 18 luglio 2015 non potranno più nemmeno ricevere, e gli utenti potranno limitarsi a consultare l'archivio dei messaggi
  • dal 17 marzo 2018 il servizio verrà definitivamente soppresso
(per il dettaglio, vedasi l'infografica in fondo).

E' il caso quindi che gli utenti CEC-PAC si affrettino ad attivare una casella PEC ordinaria, in sostituzione di quella "gratuita" in dismissione.

Non è chiaro se e quali strumenti l'AGID abbia previsto per facilitare la migrazione di CEC-PAC su caselle PEC ordinarie, ma è probabile che non ne sia stato previsto nessuno. Quindi, l'ex-utente CEC-PAC si troverà costretto ad ulteriori disagi, per avvertire tutti i suoi eventuali interlocutori dello spostamento dell'indirizzo.
Nessuna indicazione inoltre sulle modalità di recupero e trasferimento degli archivi messaggi (operazione che, fatta con rigore e volendo conservare il valore probatorio della PEC, non è assolutamente banale). Se l'utente vorrà rivolgersi ad un consulente per questa operazione, si ritroverà ad affrontare un costo equivalente a parecchi anni di canone di una casella PEC ordinaria, dimostrando una volta di più l'illusorietà del risparmio di questo strumento "gratuito".












martedì 16 dicembre 2014

Allarme per il malware SoakSoak su WordPress

Domenica scorsa Sucuri ha annunciato l'improvviso diffondersi del malware SoakSoak, che in poche ore in tutto il mondo ha colpito e compromesso CENTINAIA DI MIGLIAIA DI SITI BASATI SU WORDPRESS.

Il malware SoakSoak si è diffuso tramite una vulnerabilità in Slider Revolution, un plugin molto popolare ed utilizzato in migliaia di temi di WordPress.

Consigliamo a tutti gli utenti che utilizzino WordPress:
  • di verificare se il proprio sito è infetto
  • di verificare se sia utilizzato o installato il plugin Slider Revolution
E, nel caso, di adottare tutte le necessarie contromisure.

Come verificare se il sito è infetto


Utilizzate l'apposito servizio gratuito di Sucuri; se il sito è infetto, comparirà la seguente schermata:


Cosa fare se il sito è infetto

La bonifica sembra essere abbastanza complessa, in quanto non è sufficiente la cancellazione dei file infetti, ed al momento non è neanche certo che sia possibile se non attraverso la reinstallazione ex-novo del sito.
Si vedano in fondo le "note tecniche" sulle modalità di infezione.
In caso di infezione, possiamo consigliare di:
  • rivolgersi al servizio di bonifica di Sucuri
    Ricordiamo che si tratta di un servizio esterno: ogni chiarimento in tal senso andrà rivolto direttamente al team di Sucuri
  • reinstallare il sito ex-novo, utilizzando WordPress, temi e plugin nella versione più aggiornata

Cosa fare se il sito non è infetto


Anche se il sito non risulta infetto, consigliamo di verificare urgentemente che WordPress, i temi ed i plugin siano tutti aggiornati all'ultima versione.
(Questo consiglio è SEMPRE VALIDO).

Note tecniche

Il malware SoakSoak interviene modificando il file wp-includes/template-loader.php inserendovi le seguenti righe:

<?php
function FuncQueueObject()
{
  wp_enqueue_script("swfobject");
}
add_action("wp_enqueue_scripts", 'FuncQueueObject');

Ciò provoca che in ogni pagina vista sul sito venga compreso wp-includes/js/swobject.js , che a sua volta provoca il download del malware vero e proprio dal sito soaksoak.ru


Riferimenti






martedì 9 dicembre 2014

5 gennaio 2015 - manutenzione sistema di pagamento con carta di credito

Lunedi 5 Gennaio 2015 verranno eseguiti importanti aggiornamenti di sicurezza all'infrastruttura tecnologica del gateway per il pagamento con carta di credito, che richiederà una sospensione del servizio a partire dalle 6.00 CET e che durerà al massimo 20 minuti.

L’aggiornamento è necessario per eliminare le vulnerabilità riscontrate nell'utilizzo del protocollo SSL 3.0 (c.d. Poodle).

A seguito dell'aggiornamento, avvisiamo che non sarà più possibile effettuare pagamenti utilizzando il browser Internet Explorer 6, a causa delle gravi vulnerabilità di sicurezza presentate.

Chiaramente, non ci sarà invece alcun impatto per gli utenti che utilizzano browser non obsoleti (Chrome, Firefox [*], Opera versione 5 o più recenti, Safari, Internet Explorer 7 o versioni più recenti).

Per approfondire in merito alle vulnerabilità del protocollo SSL 3.0:
 http://googleonlinesecurity.blogspot.it/2014/10/this-poodle-bites-exploiting-ssl-30.html
http://en.wikipedia.org/wiki/POODLE