Posts contrassegnato dai tag ‘sicurezza informatica’

Keepass

martedì 15 aprile 2014

(NOTA – DISCLAIMER – ATTENZIONE: SEGUIRE QUESTI CONSIGLI NON È SUFFICIENTE PER METTERE LE VOSTRE PASSWORD AL SICURO. OGNI INFORMAZIONE QUI DATA LA POTETE USARE A VOSTRO RISCHIO E PERICOLO.)

Le password sono l’ultima difesa della nostra riservatezza e della nostra sicurezza e lo saranno ancora per molto tempo. Potete usare il più potente mezzo di crittografia dell’universo, ma se la vostra password è 12345678 tanto varrebbe pubblicare i vostri dati in un manifesto sulla via Emilia. Su come scegliere una password, sulla sua lunghezza e complessità, si sono scritti fiumi di byte e qui faremo finta di nulla, rimandandovi ad una ricerca nel mare internettaro. Rimane insoluto un punto: come ricordarsi le password? Le devo avere diverse, lunghe e difficili, ma ne posso memorizzare al massimo una decina e invece i servizi che usiamo online ormai sono diverse decine, se non, per alcuni, centinaia. Se poi, come è capitato recentemente, siamo obbligati ad un cambio in massa, la gestione delle password diventa impossibile.

Da alcuni anni, ormai, esistono software che consentono di gestire tutte le password che vogliamo, di qualsiasi complessità, senza essere obbligati a ricordare decine di stringhe di caratteri improbabili. Non siamo ancora a “tutto, subito e facile”, ma con alcuni accorgimenti e un poco di pazienza è possibile gestire situazioni molto complesse in tutta sicurezza.

Io uso da anni Keepass. È un software che consente di creare un archivio di password criptato. Non mi sostituisco al manuale utente, ma segnalo i suoi punti deboli e come superarli.

1) Se perdete LA password per aprire questo archivio, perdete TUTTE le password.

Soluzione: scrivetevela su un foglio di carta e nascondete il foglio di carta. Sembra stupido, ma pensateci: ci dobbiamo difendere da persone che possono accedere al nostro pc, non anche alla nostra abitazione e ai nostri oggetti personali. Comunque, quando mi sono entrati i ladri in casa e mi hanno rubato il pc col file delle password (non il foglietto della password principale e nemmeno il key file) ho provveduto a cambiare le password che contano: banca, mail e socialcosi. Foglietto e file, ovviamente, non devono stare assieme.

2) Se perdete il FILE, perdete TUTTE le password.

Soluzione: non siate taccagni col backup. Due copie è il minimo sindacale. Tre è meglio, meglio se li posizionate in luoghi diversi. Se usate il key file per aprire l’archivio segreto delle meraviglie, anche lui dovrà essere in duplice/triplice copia.

3) Se per aprire questo archivio la password è il NOME DEL GATTO, tanto vale rivelare TUTTE le vostre password alla vostra portinaia.

Soluzione: UNA password difficile E lunga ce la potete fare a memorizzarla. C’è anche al soluzione key file: per aprire lo scrigno magico delle password è necessaria la password E un file. Il file non deve stare nello stesso dispositivo delle password. Usate le chiavi USB.

Un altro software che fa le stesse cose di keepas è Password Safe, ideato dal guru della crittografia Schneier, ma non l’ho mai usato. Una cosa posso consigliarvi tranquillamente: usate, per questo genere di cose, SOLO software open source.

Heartbleed /3

domenica 13 aprile 2014

Ho ancora due cose da dire. Poi la pianto, prometto.

La prima è che non è sufficiente cambiare la password quando sul server è stato aggiornato il software incriminato. Prima di cambiare le password bisogna che il server – il sito a cui vi collegate – abbia anche cambiato il certificato che ne attesta l’autenticità.

Se nel vostro browser cliccate sul lucchetto affianco all’indirizzo che visitate, potrete avere i dettagli di questo certificato, un piccolo file che vi assicura che il sito visualizzato è proprio quello che volete visitare. Se il certificato è stato emesso prima dell’8 aprile 2014 e (AND) il server era vulnerabile al baco heartbleed, allora cambiare password potrebbe essere inutile.

La seconda cosa da notare è come i vari servizi colpiti hanno reagito alla notizia. Ad oggi, fra i numerosi siti che uso, solo yahoo e tumblr hanno certificati nuovi. Solo tumblr ha mandato via mail un avviso di sicurezza, pregando i suoi utenti di cambiare la password. Chi gestisce la posta elettronica ci metterebbe un attimo a spedire a tutti le istruzioni su cosa fare dopo la scoperta di heartbleed. Ad oggi, google (gmail), yahoo, tiscali, fastweb, aruba (pec.it) e sicuramente ne dimentico altri, non hanno ancora avvisato personalmente i loro utenti su cosa devono fare (o NON devono fare). E fin qui sono solo gli affari nostri che sono visibili al primo pirata informatico che passa. Poi ci sono i servizi di vendita on line, che tralascio, altrimenti faccio notte ad elencarli. Tutti quelli che uso – e sono tanti – non mi hanno avvisato via mail su cosa fare. (Il loro spam, invece, arriva copioso.) Poi ci sono le banche on line. Ho a che fare con tre istituti di credito e nessuno mi ha ancora detto nulla. Ho spedito una mail di chiarimenti alla mia banca e ad oggi il silenzio. Domani telefono. Ho dei pensieri cattivi nei loro confronti…

PS: Ribadisco a scanso di equivoci. Non sto affermando che i servizi citati (e non) siano stati vulnerabili al baco heatbleed e/o siano stati violati. Sto dicendo che non hanno informato i loro utenti su cosa fare o NON fare, perché magari non colpiti dalla vulnerabilità.

Aggiornamento 17/04/2014:

Un’intervista al mio guru di fiducia Schneier.
Heartbleed, the Branding of a Bug, and the Internet of Things
by Scott Berinato

(Grazie e Giovanna Cosenza)

E il lato comunicativo del problema (da Kalzumeus blog):

What Heartbleed Can Teach The OSS Community About Marketing
di Patrick McKenzie

Heartbleed /2

venerdì 11 aprile 2014

Segnalo una vignetta di xkcd efficacissima nello spiegare il problema software che ci sta dietro al baco:

How the Hertbleed bug work

(Mi lancio nella traduzione!
Titolo: Come funziona il baco Heartbleed

Meg: Server, sei ancora lì? Se sì, rispondi “POTATO” (6 lettere)
Macchina: Meg vuole queste 6 lettere: POTATO
Meg: Server, sei ancora lì? Se sì, rispondi “BIRD” (4 lettere)
Macchina: Meg vuole queste 4 lettere: BIRD
Meg: Server, sei ancora lì? Se sì, rispondi “HAT” (500 lettere)
Macchina: Meg vuole queste 500 lettere: HAT e tutto quello che ho in memoria dopo HAT per 500 lettere.
[Meg prende appunti.] )

Consigli per proteggere la propria mail

domenica 5 maggio 2013

Sono il primo a non seguire pedissequamente tutti i consigli che darò, ma se uno diventa deputato o senatore dovrebbe iniziare da qui:
1) Separare la vita privata dal lavoro. Un indirizzo per gli affari propri e una per il lavoro e/o la vita pubblica. Io ho anche un account da dare in pasto allo spam, quando qualche sito mi chiede di registrarmi e so già che non lo rifrequenterò mai più.
2) Evitare di lasciare tutta la posta nel web. Usate un mailer, scaricate in locale la vostra posta, fatene un backup periodico. Se avete bisogno di lasciare la posta sul web mettete dei limiti, magari 180 giorni, che è sempre meglio di 5 anni. Usate il tablet o il furbofono solo per una consultazione rapida nel breve periodo.
3) Quella diavolo di password fatela complessa, almeno 10 caratteri, meglio 12, metteteci dentro MAIUSCOLE, minuscole, ?!^ e 1234567890. Pluto2013 è una pessima password. Tutte le date di nascita, scritte in qualsiasi modo sono pessime password. Qualsiasi numero, nome, soprannome, codice, data o sigla che vi riguardi è una pessima password. pef0?3DSE2!^ è una buona password, se non vi chiamate Pefoedse.
4) Non usate la stessa password per faccialibro, twitter, skype, la banca, le altre caselle di posta, e ogni altra cosa che abbia una password. Se per qualche motivo uno vi indovina una password gli avrete dato la chiave di tutta la vostra vita digitale e anche i vostri soldi. Poi non lamentatevi.
5) Le domande di riserva di alcune webmail sono un punto debole. Usate come risposte delle password anche lì. Segnatevi le risposte.
6) Per memorizzare tante password fatevi aiutare da chi se ne intende. Keepass va bene. Password safe anche. Software proprietari a sorgente chiuso lasciateli stare.
7) Non ve lo ha detto mai nessuno, ma le mail in rete viaggiano in chiaro. Uno si mette in un punto di passaggio e vi legge tutto quello che scrivete. Non bisogna essere hacker per farlo. Basta aver letto qualche manuale, senza troppo impegno. Le mail sono cartoline postali scritte a matita. Fatevene una ragione. Ne consegue che le cose importanti vanno criptate prima di essere spedite. Solo pochi maniaci usano la crittografia per proteggere la propria privacy. Iniziate a diventare maniaci. Nessuno dei vostri interlocutori vorrà usare la crittografia. Insistete, almeno per le cose importanti. Informatevi.
8) Non aprite tutti gli allegati che vi spediscono. Quelli che non vi aspettate, quelli che non servono alla vostra attività (gattini e umanità nuda in primis) vanno cestinati. Se proprio volete vederli, contate fino a mille e fateli scandire da un antivirus aggiornato. Se non sai cosa sia un antivirus aggiornato non usare il pc. Se uno vi spedisce documenti “sensazionali – segretissimi – che solo voi – salviamo l’umanità” in chiaro via mail è un imbroglione. Cestinatelo.
9) Chiedo troppo: evitate di lasciare tutti gli indirizzi memorizzati nella rubrica della webmail.

E per finire, anche se non direttamente collegato al tema “mail”:

10) Il bakup, questo sconosciuto. Chi perde l’unica copia dei propri dati non ha diritto di lamentarsi.
11) Chi perde i propri dati non crittogafati non ha diritto di lamentarsi se vengono pubblicati.

Aaahh, mi sono sfogato…

Più pippe, meno pubblicità

martedì 5 febbraio 2013

Da ZeusNews:

Secondo l’azienda di networking, i siti per adulti sono meno pericolosi dei banner apparentemente innocui.

Dove secondo Cisco cliccare sui banner pubblicitari è molto più pericoloso che visitare siti porno. Forse il peggio è cliccare sui banner dei siti porno.

I cattivi fanno i cattivi, ma i buoni che fanno?

martedì 26 gennaio 2010

Qui i riferimenti sull’attacco cinese a Google (in inglese):

Me on Chinese Hacking and Enabling Surveillance
di B. Schneier

Qui un rapido riassunto in italiano su Punto Informatico:

Schneier: la minaccia viene dall’ovest

Il guru della cybersicurezza punta il dito sui Governi democratici occidentali. Mentre la Cina ribadisce di non aver avuto ruolo nell’attacco a Google
di Claudio Tamburrino

Riassunto per chi ha fretta:
Avete presente quando vi dicono che per combattere i supercattivi (terroristi e pedofili di solito) la polizia ha bisogno dei superpoteri? Succede che i superpoteri li usano tutti per fare di tutto: i cattivi (gli hacker cinesi) e quelli che dovrebbero essere i buoni (la polizia delle democrazie occidentali). Sapevatevelo.

IE8 è sicuro, no, forse

martedì 19 gennaio 2010

Antefatto: sembra che il caso Google in Cina sia iniziato con un attacco informatico a dissidenti cinesi. Attacco sferrato utilizzando le debolezze di IE, il browser della Microsoft, e che avrebbe coinvolto indirettamente anche i server di Google.

Un riassunto su PI:

Google bucata via Internet Explorer
Microsoft ha fatto sapere che i recenti attacchi di provenienza cinese rivolti contro Google e altre aziende avrebbero sfruttato una falla zero-day di IE. BigM ha anche dichiarato che intende restare sul mercato cinese
Di Alessandor Del Rosso

Ieri, su Repubblica.it:

No a Explorer, c’è la Francia
Microsoft: “IE8 è sicuro”
Dopo la Germania, anche un’agenzia governativa transalpina invita a non usare il browser più diffuso nel pianeta. L’azienda di Redmond rassicura ma invita ad essere prudenti
di ANDREA TARQUINI

E ora il mio comizio!

1) Mai, e dico MAI, seguire le indicazioni che vengono dai giornali generalisti (corriere, repubblica, unità, eccetera) sui temi informatici e della Rete. Nel migliore dei casi avrete un mix di paure infondate e notizie vere e false messe assieme.

2) Nello specifico: per la nostra vita di tutti i giorni è assolutamente ininfluente come gli hacker (usiamo questo termine) abbiano fatto per fare quello che volevano fare. Avevano un obiettivo preciso (i dissidenti cinesi) e hanno usato la tecnica più adatta. Se IE fosse stato il browser più sicuro del pianeta, avrebbero usato altre tecniche. Nessun utente casalingo può difendersi da un attacco informatico mirato. Avete dei dubbi in proposito?

3) Su IE. Le discussioni sulla sicurezza (e sulla convenienza) dei browser e dei sistemi operativi, in ambiente informatico, genera discussioni senza fine che assomigliano a discussioni religiose. Il profano, più che seguire delle indicazioni, si trova a seguire delle religioni. Io dichiaro subito la mia: IE e outlook (e tutti i loro derivati, messenger, live mail, eccetera) sono il MALE. Sui sistemi operativi sono più tollerante, ma non userei mai Windows per cose serie. Diciamo per gusto personale e non per religione. :-)

Detto questo ci sono dei fatti, che nulla hanno a che fare con la religione informatica che uno segue. I fatti sono questi:

a) IE è legato in modo indissolubile con il sistema operativo Windows. Quindi un baco su IE è potenzialmente più pericoloso di altri.
b) IE è a sorgente chiuso. Microsoft corregge i propri errori quando e come ritiene più opportuno. Ci sono bachi (anche non pericolosi, ok) in IE che sono presenti da anni e non sono mai stati corretti.
c) IE è il browser più utilizzato del pianeta e ovviamente è il più studiato dai cattivi. I cattivi sanno tutto di IE e sanno che attaccando IE arriveranno certamente prima dove vogliono arrivare. E’ un fatto statistico, non tecnico e nemmeno religioso.

Tutto ciò con gli altri browser non succede, tranne il punto c) con Firefox, visto che è diffuso quanto IE e molto studiato dai cattivi. Solo che Firefox non aspetta anni a correggere le falle. Di solito bastano pochi giorni e le falle sono note a tutti con relativi metodi per evitare guai, quando possibile, in attesa delle correzioni.

Ora ci arrivate anche voi: se volete stare più sereni durante la navigazione, non dovete usare IE e dovete tenere aggiornato il vostro browser e il vostro sistema operativo. Ma non troppo sereni: l’informatica è piena di buche e i cattivi sono ovunque. Scetticismo, cautela e cervello acceso sono le vostre migliori armi di difesa.

Per tutto il resto c’è Attivissimo. :-)

Per chi ha voglia di studiare:
Twenty Critical Security Controls for Effective Cyber Defense: Consensus Audit Guidelines
The Top Cyber Security Risks

Una bella idea

mercoledì 16 settembre 2009

Le password sono uno degli anelli deboli di molti sistemi di sicurezza. Affinché la password siano utili bisogna ricordarsene molte, complicate e lunghe. Quasi nessuno lo fa, anche se esistono metodi e software per risolvere molti inconvenienti di questa necessità.

Il mio capo viene giù nei nostri loculi e, mentre gli cerco una password nel nostro mio db di keepass se ne viene fuori con un’idea geniale: “Perché non abbiamo una password uguale per tutto?

Sono cose che spiazzano.


Iscriviti

Ricevi al tuo indirizzo email tutti i nuovi post del sito.

Unisciti agli altri 95 follower