Posts Tagged ‘sicurezza informatica’

[libro] Click here to kill everybody

giovedì 30 Mag 2019

Autore: Bruce Schneier
Titolo: Click here to kill everybody – Security and Survival in a Hyper-connected Word
Editore: W. W. Norton & Company
Altro: ISBN: 9780393608885, 322 p., 27,95$, genere: saggio

Voto: 10/10

Avete presente l’internet delle cose? Quello che gli americani chiamano IoT, Internet of Things. Il termostato che si comanda dal cellulare, il pacemaker che manda le pulsazioni al vostro medico, l’auto che aggiorna il suo software via internet. Ebbene, tutte quelle cose vengono sviluppate e vendute, oggi, senza pensare minimamente al fatto che possono essere sabotate e usate contro altri. L’ultimo esempio è una serratura che non chiude affatto. Voi direte: e cosa mi importa, tanto ho ancora la serratura del 1915. Beh, sì, finché si tratta di termostati o serrature di casa la cosa non è un grosso problema. Ma Schneier ci avvisa che questi oggetti connessi al resto del mondo sono ovunque e riguardano anche cose molto sensibili: impianti industriali, centrali elettriche, acquedotti, auto, aerei, apparecchiature medicali salvavita. Là fuori ogni cosa è connessa e domani lo sarà sempre di più. È ora di pensare alla sicurezza di questi oggetti. Oggi, per vari motivi che Schneier vi illustrerà nei dettagli, questo aspetto è molto sottovalutato se non addirittura assente. Clicca qui per uccidere tutti è un’iperbole che potrebbe diventare realtà in un futuro molto vicino.

Cosa propone Schneier? Una cosa molto semplice: che questo tema entri nell’agenda politica del suo paese, di ogni paese. Che la politica incentivi, attraverso le leggi, la cura della sicurezza informatica, che incentivi la scoperta e la correzione dei bug dei software, l’uso della crittografia, dei protocolli di rete ben progettati, che incentivi la ricerca tecnologica. Cosa fa la politica oggi? L’esatto opposto: chiede di introdurre backdoor nei software, di eliminare la crittografia per favorire le indagini, mancano organi governativi che si occupino di incentivare la riservatezza dei dati e la loro messa in sicurezza. Con qualche eccezione: Schneier loda molto il nostro GDPR, la nuova normativa europea sulla privacy e si augura che abbia effetti anche nel suo paese.

Pur descrivendo un quadro desolante e una mancanza di lungimiranza generale molto sconfortante, Schneier è ottimista. Dice che quando queste IoT inizieranno a uccidere persone, con qualche incidente, la politica sarà costretta a muoversi. Che qualcuno, nel mondo, si muoverà prima degli USA e questo innescherà un processo virtuoso.

Io sono un inguaribile pessimista. Penso che prima o poi qualcuno avrà la bella idea di installare un termostato in una base missilistica nucleare, connesso alla rete di controllo dei missili e un altro qualcuno, pensando di spegnere il riscaldamento di un amico, inizierà la terza guerra nucleare. La buona notizia è che sarà l’ultima. Ci estingueremo così. Semplice selezione naturale.

Data and Goliath /2

martedì 7 luglio 2015

Aggiungo qui una cosa importante.

In questi giorni alcuni di voi avranno sentito della fuga di dati da Hacking Team, una cosa come 400 GB.

Il tutto è riassunto molto bene dal buon Paolo Attivissimo:

Lo spione spiato: Hacking Team si fa fregare 400 giga di dati. Compresi gli affari con governi impresentabili

Hacking Team, il giorno dopo

Questa società è una delle tante che offre servizi e software di spionaggio informatico. Il furto di dati ha svelato cosa e con chi faceva, molto verosimilmente, affari.

La ripresa del titolo di Schneier è perché il mio guru personale aveva anticipato di qualche mese nelle pagine 73, 81, 149-150 i due punti chiave della vicenda: gli stati con i quali HT faceva affari e lo spionaggio attraverso virus, introduzione nei prodotti di bachi e altro malware confezionato su misura.

Oggi abbiamo solo delle ulteriori conferme.

Data and Goliath è da leggere, insomma.

[libro] Data and Goliath

sabato 4 luglio 2015

Autore: Bruce Schneier
Titolo: Data and Goliath – The Hidden Battles to Collect Your Data and Control Your World
Editore: W. W. Norton & Company
Altro: ISBN 9780393244816, pagine: 320, prezzo: 27,95 $, prima edizione: marzo 2015, genere: saggistica (informatica, privacy, società, politica, sicurezza), lingua: inglese.

Voto: 9/10

(Dichiaro qui ufficialmente che io amo Bruce Schneier. Amore intellettuale, sia chiaro, tanto che lo metterei come lettura obbligatoria in ogni scuola di ordine e grado, ma ho paura di essere un tantino esaltato e quindi è un bene che siano in pochi a leggermi.)

In questo saggio Schneier descrive una situazione drammatica: la raccolta di informazioni sulla nostra vita da parte di aziende e governi fa apparire 1984 di Orwell come uno scherzo di un ragazzino senza fantasia. La cosa, detta così, sembra l’affermazione di un paranoico, ma lo studio di questi argomenti è il secondo lavoro di Schneier e quanto affermato nel saggio è ampiamente documentato. Tenete conto che metà del tomo sono note e riferimenti a documenti presenti in Rete, a libri e riviste. Anzi, Schneier stesso dice che senza la fuga di notizie di Snowden il saggio non avrebbe potuto nascere, che prima si avevano sospetti fondati e non prove, ma solo per quanto riguarda la raccolta delle informazioni da parte dei governi. La raccolta di informazioni da parte delle aziende è spesso alla luce del sole e comunque molto più facilmente visibile o intuibile. Insomma, c’è un sacco di gente che, potenzialmente, potrebbe sapere tutto della nostra vita, anche cose che noi abbiamo dimenticato o non vediamo subito, tipo che il nostro partner ha l’amante. Dico potenzialmente perché la raccolta dei nostri dati è indiscriminata, ma il loro uso non lo è sempre.

Come vengono raccolti i nostri dati? Attraverso la tecnologia di tutti i giorni. Smartphone, portatili, pc, ebook reader, carte di credito, bancomat, qualsiasi cosa che sia collegata a Internet o ad una qualsiasi rete telematica o comunque ad altre apparecchiature. Chiunque usi mail, servizi via internet, socialcosi, lascia una quantità impressionante di dati e questi vengono tutti salvati e tenuti. Il costo della raccolta indiscriminata è infimo e, con budget tutto sommato alla portata di grandi potenze come gli USA, consente di tracciare interi popoli. (È documentata la registrazione di tutte le telefonate – voce compresa – fatte in Afganistan nel 2013 (p.65).) La situazione è talmente grave che mantenere l’anonimato nella nostra società è impossibile. Anche agenti segreti addestrati a non lasciare tracce hanno molte difficoltà (p.43).

Che utilizzo si fa dei dati? Per quanto riguarda le aziende è chiaro: venderci prodotti e servizi, convincerci ad acquistare. Per quanto riguarda i governi gli scopi sono molto più subdoli e sottili. Ufficialmente la raccolta indiscriminata di dati serve per combattere i “cattivi”, dove i cattivi possono essere, di volta in volta, i terroristi, i pedofili, gli evasori fiscali, fino ad arrivare ai contestatori e i dissidenti. La divisione fra spionaggio commerciale e governativo è solo formale. In realtà le grandi multinazionali dei servizi spesso collaborano, più o meno volontariamente, alla raccolta dati governativa.

Ma serve questa enorme raccolta? Dipende. Per le aziende è fondamentale. Anche se imprecisa, nei grandi numeri la profilazione degli utenti consente di dare servizi e pubblicità su misura che migliorano di molto il rendimento degli investimenti. Per quanto riguarda la prevenzione degli atti terroristici e la lotta ai cattivi in generale, scusa con cui ogni governo ci controlla, questa raccolta indiscriminata si è dimostrata più volte assolutamente inutile. È facile seguire un obiettivo specifico, è assolutamente impossibile trovare un comportamento che si rivelerà deviante. La imprevedibilità dei comportamenti umani genera troppi falsi allarmi per rendere utile qualsiasi indagine preventiva. Nessuno sa in anticipo come si comporteranno i cattivi. Solo che nessuno vuole perdere un potere acquisito e nessuno vuole apparire debole nella prevenzione dei disastri. Gli uffici come la NSA, per esempio, sono un centro di potere ormai autonomo e nessuno ha voglia di perdere il proprio posto venendo accusato pubblicamente di non fare abbastanza (sindrome del “mi salvo le chiappe”).

Ma allora Schneier cosa propone? Propone tante cose, più di 80 pagine di suggerimenti. Se da un lato sembra irrealistico smettere questa raccolta di dati, visto che in molti casi il loro uso si dimostra utile (indagini di polizia, servizi, salute pubblica), la raccolta e il loro utilizzo indiscriminato dovrebbe cessare. Schneier illustra i numerosi danni dell’assoluta mancanza di anonimato: danni all’espressione del libero pensiero, alla capacità di ribellarci alle ingiustizie e a creare una vita più consona alle nostre esigenze. Il punto di equilibrio fra l’interesse pubblico e quello privato della raccolta dei dati dovrebbe essere portato nell’agenda politica pubblica. Le persone dovrebbero essere informate. Del tema bisognerebbe parlare. Dovremmo tutti pretendere un maggiore rispetto della nostra riservatezza.

Schneier dà anche qualche consiglio sulla nostra vita pratica di internauti, per evitare di essere completamente trasparenti ai big dei servizi che ci profilano. Già su questo tema si potrebbe scrivere un libro a parte, ma mi è piaciuto molto scoprire che molti dei suoi consigli li sto già seguendo.

Anche se incentrato sul dibattito politico e sulla legislazione USA, il saggio si rivela interessante e necessario anche per noi europei. La strada da fare è ancora tanta. Schneier è fiducioso che sarà percorsa. Io un po’ meno. Ma informarsi è il primo passo per iniziare. Questo libro è un ottimo inizio.

DRM ‘fanculo /3

giovedì 14 Mag 2015

Come alcuni di voi sapranno, la nuova versione 38.0 di Firefox supporta i contenuti bloccati con DRM e veicolati con HTML5.

Io sono convinto che i DRM siano IL MALE e quindi ecco le istruzioni per togliersi dai piedi questa piaga:

Disabilitare o disattivare la nuova funzionalità.

Scaricare la nuova versione di Firefox senza il supporto al DRM.

Keepass

martedì 15 aprile 2014

(NOTA – DISCLAIMER – ATTENZIONE: SEGUIRE QUESTI CONSIGLI NON È SUFFICIENTE PER METTERE LE VOSTRE PASSWORD AL SICURO. OGNI INFORMAZIONE QUI DATA LA POTETE USARE A VOSTRO RISCHIO E PERICOLO.)

Le password sono l’ultima difesa della nostra riservatezza e della nostra sicurezza e lo saranno ancora per molto tempo. Potete usare il più potente mezzo di crittografia dell’universo, ma se la vostra password è 12345678 tanto varrebbe pubblicare i vostri dati in un manifesto sulla via Emilia. Su come scegliere una password, sulla sua lunghezza e complessità, si sono scritti fiumi di byte e qui faremo finta di nulla, rimandandovi ad una ricerca nel mare internettaro. Rimane insoluto un punto: come ricordarsi le password? Le devo avere diverse, lunghe e difficili, ma ne posso memorizzare al massimo una decina e invece i servizi che usiamo online ormai sono diverse decine, se non, per alcuni, centinaia. Se poi, come è capitato recentemente, siamo obbligati ad un cambio in massa, la gestione delle password diventa impossibile.

Da alcuni anni, ormai, esistono software che consentono di gestire tutte le password che vogliamo, di qualsiasi complessità, senza essere obbligati a ricordare decine di stringhe di caratteri improbabili. Non siamo ancora a “tutto, subito e facile”, ma con alcuni accorgimenti e un poco di pazienza è possibile gestire situazioni molto complesse in tutta sicurezza.

Io uso da anni Keepass. È un software che consente di creare un archivio di password criptato. Non mi sostituisco al manuale utente, ma segnalo i suoi punti deboli e come superarli.

1) Se perdete LA password per aprire questo archivio, perdete TUTTE le password.

Soluzione: scrivetevela su un foglio di carta e nascondete il foglio di carta. Sembra stupido, ma pensateci: ci dobbiamo difendere da persone che possono accedere al nostro pc, non anche alla nostra abitazione e ai nostri oggetti personali. Comunque, quando mi sono entrati i ladri in casa e mi hanno rubato il pc col file delle password (non il foglietto della password principale e nemmeno il key file) ho provveduto a cambiare le password che contano: banca, mail e socialcosi. Foglietto e file, ovviamente, non devono stare assieme.

2) Se perdete il FILE, perdete TUTTE le password.

Soluzione: non siate taccagni col backup. Due copie è il minimo sindacale. Tre è meglio, meglio se li posizionate in luoghi diversi. Se usate il key file per aprire l’archivio segreto delle meraviglie, anche lui dovrà essere in duplice/triplice copia.

3) Se per aprire questo archivio la password è il NOME DEL GATTO, tanto vale rivelare TUTTE le vostre password alla vostra portinaia.

Soluzione: UNA password difficile E lunga ce la potete fare a memorizzarla. C’è anche al soluzione key file: per aprire lo scrigno magico delle password è necessaria la password E un file. Il file non deve stare nello stesso dispositivo delle password. Usate le chiavi USB.

Un altro software che fa le stesse cose di keepas è Password Safe, ideato dal guru della crittografia Schneier, ma non l’ho mai usato. Una cosa posso consigliarvi tranquillamente: usate, per questo genere di cose, SOLO software open source.

Heartbleed /3

domenica 13 aprile 2014

Ho ancora due cose da dire. Poi la pianto, prometto.

La prima è che non è sufficiente cambiare la password quando sul server è stato aggiornato il software incriminato. Prima di cambiare le password bisogna che il server – il sito a cui vi collegate – abbia anche cambiato il certificato che ne attesta l’autenticità.

Se nel vostro browser cliccate sul lucchetto affianco all’indirizzo che visitate, potrete avere i dettagli di questo certificato, un piccolo file che vi assicura che il sito visualizzato è proprio quello che volete visitare. Se il certificato è stato emesso prima dell’8 aprile 2014 e (AND) il server era vulnerabile al baco heartbleed, allora cambiare password potrebbe essere inutile.

La seconda cosa da notare è come i vari servizi colpiti hanno reagito alla notizia. Ad oggi, fra i numerosi siti che uso, solo yahoo e tumblr hanno certificati nuovi. Solo tumblr ha mandato via mail un avviso di sicurezza, pregando i suoi utenti di cambiare la password. Chi gestisce la posta elettronica ci metterebbe un attimo a spedire a tutti le istruzioni su cosa fare dopo la scoperta di heartbleed. Ad oggi, google (gmail), yahoo, tiscali, fastweb, aruba (pec.it) e sicuramente ne dimentico altri, non hanno ancora avvisato personalmente i loro utenti su cosa devono fare (o NON devono fare). E fin qui sono solo gli affari nostri che sono visibili al primo pirata informatico che passa. Poi ci sono i servizi di vendita on line, che tralascio, altrimenti faccio notte ad elencarli. Tutti quelli che uso – e sono tanti – non mi hanno avvisato via mail su cosa fare. (Il loro spam, invece, arriva copioso.) Poi ci sono le banche on line. Ho a che fare con tre istituti di credito e nessuno mi ha ancora detto nulla. Ho spedito una mail di chiarimenti alla mia banca e ad oggi il silenzio. Domani telefono. Ho dei pensieri cattivi nei loro confronti…

PS: Ribadisco a scanso di equivoci. Non sto affermando che i servizi citati (e non) siano stati vulnerabili al baco heatbleed e/o siano stati violati. Sto dicendo che non hanno informato i loro utenti su cosa fare o NON fare, perché magari non colpiti dalla vulnerabilità.

Aggiornamento 17/04/2014:

Un’intervista al mio guru di fiducia Schneier.
Heartbleed, the Branding of a Bug, and the Internet of Things
by Scott Berinato

(Grazie e Giovanna Cosenza)

E il lato comunicativo del problema (da Kalzumeus blog):

What Heartbleed Can Teach The OSS Community About Marketing
di Patrick McKenzie

Aggiornamento 25/04/2014:

Mentre i modi per sfruttare il baco Heartbleed si fanno sempre più interessanti e aggressivi, rimaneva in sospeso un piccolo problema: chi ha finanziato fino a oggi le generose persone che sviluppano OpenSSL? Quasi nessuno. Banche, commercio online, socialcosi e chi più ne ha più ne metta (enti commercilai, non privati) usavano il codice senza sentirsi in dovere di dare le briciole di quanto guadagnavano usando OpenSSL. Risultato: il gruppo di sviluppo era ridotto ad un gruppo di poche persone. L’errore extra large era solo questione di tempo. Il seguito ce lo racconta Paolo Attivissimo:

Heartbleed, scappati i buoi qualcuno finanzia il recinto

Heartbleed /2

venerdì 11 aprile 2014

Segnalo una vignetta di xkcd efficacissima nello spiegare il problema software che ci sta dietro al baco:

How the Hertbleed bug work

(Mi lancio nella traduzione!
Titolo: Come funziona il baco Heartbleed

Meg: Server, sei ancora lì? Se sì, rispondi “POTATO” (6 lettere)
Macchina: Meg vuole queste 6 lettere: POTATO
Meg: Server, sei ancora lì? Se sì, rispondi “BIRD” (4 lettere)
Macchina: Meg vuole queste 4 lettere: BIRD
Meg: Server, sei ancora lì? Se sì, rispondi “HAT” (500 lettere)
Macchina: Meg vuole queste 500 lettere: HAT e tutto quello che ho in memoria dopo HAT per 500 lettere.
[Meg prende appunti.] )

Consigli per proteggere la propria mail

domenica 5 Mag 2013

Sono il primo a non seguire pedissequamente tutti i consigli che darò, ma se uno diventa deputato o senatore dovrebbe iniziare da qui:
1) Separare la vita privata dal lavoro. Un indirizzo per gli affari propri e una per il lavoro e/o la vita pubblica. Io ho anche un account da dare in pasto allo spam, quando qualche sito mi chiede di registrarmi e so già che non lo rifrequenterò mai più.
2) Evitare di lasciare tutta la posta nel web. Usate un mailer, scaricate in locale la vostra posta, fatene un backup periodico. Se avete bisogno di lasciare la posta sul web mettete dei limiti, magari 180 giorni, che è sempre meglio di 5 anni. Usate il tablet o il furbofono solo per una consultazione rapida nel breve periodo.
3) Quella diavolo di password fatela complessa, almeno 10 caratteri, meglio 12, metteteci dentro MAIUSCOLE, minuscole, ?!^ e 1234567890. Pluto2013 è una pessima password. Tutte le date di nascita, scritte in qualsiasi modo sono pessime password. Qualsiasi numero, nome, soprannome, codice, data o sigla che vi riguardi è una pessima password. pef0?3DSE2!^ è una buona password, se non vi chiamate Pefoedse.
4) Non usate la stessa password per faccialibro, twitter, skype, la banca, le altre caselle di posta, e ogni altra cosa che abbia una password. Se per qualche motivo uno vi indovina una password gli avrete dato la chiave di tutta la vostra vita digitale e anche i vostri soldi. Poi non lamentatevi.
5) Le domande di riserva di alcune webmail sono un punto debole. Usate come risposte delle password anche lì. Segnatevi le risposte.
6) Per memorizzare tante password fatevi aiutare da chi se ne intende. Keepass va bene. Password safe anche. Software proprietari a sorgente chiuso lasciateli stare.
7) Non ve lo ha detto mai nessuno, ma le mail in rete viaggiano in chiaro. Uno si mette in un punto di passaggio e vi legge tutto quello che scrivete. Non bisogna essere hacker per farlo. Basta aver letto qualche manuale, senza troppo impegno. Le mail sono cartoline postali scritte a matita. Fatevene una ragione. Ne consegue che le cose importanti vanno criptate prima di essere spedite. Solo pochi maniaci usano la crittografia per proteggere la propria privacy. Iniziate a diventare maniaci. Nessuno dei vostri interlocutori vorrà usare la crittografia. Insistete, almeno per le cose importanti. Informatevi.
8) Non aprite tutti gli allegati che vi spediscono. Quelli che non vi aspettate, quelli che non servono alla vostra attività (gattini e umanità nuda in primis) vanno cestinati. Se proprio volete vederli, contate fino a mille e fateli scandire da un antivirus aggiornato. Se non sai cosa sia un antivirus aggiornato non usare il pc. Se uno vi spedisce documenti “sensazionali – segretissimi – che solo voi – salviamo l’umanità” in chiaro via mail è un imbroglione. Cestinatelo.
9) Chiedo troppo: evitate di lasciare tutti gli indirizzi memorizzati nella rubrica della webmail.

E per finire, anche se non direttamente collegato al tema “mail”:

10) Il bakup, questo sconosciuto. Chi perde l’unica copia dei propri dati non ha diritto di lamentarsi.
11) Chi perde i propri dati non crittogafati non ha diritto di lamentarsi se vengono pubblicati.

Aaahh, mi sono sfogato…

Più pippe, meno pubblicità

martedì 5 febbraio 2013

Da ZeusNews:

Secondo l’azienda di networking, i siti per adulti sono meno pericolosi dei banner apparentemente innocui.

Dove secondo Cisco cliccare sui banner pubblicitari è molto più pericoloso che visitare siti porno. Forse il peggio è cliccare sui banner dei siti porno.

I cattivi fanno i cattivi, ma i buoni che fanno?

martedì 26 gennaio 2010

Qui i riferimenti sull’attacco cinese a Google (in inglese):

Me on Chinese Hacking and Enabling Surveillance
di B. Schneier

Qui un rapido riassunto in italiano su Punto Informatico:

Schneier: la minaccia viene dall’ovest

Il guru della cybersicurezza punta il dito sui Governi democratici occidentali. Mentre la Cina ribadisce di non aver avuto ruolo nell’attacco a Google
di Claudio Tamburrino

Riassunto per chi ha fretta:
Avete presente quando vi dicono che per combattere i supercattivi (terroristi e pedofili di solito) la polizia ha bisogno dei superpoteri? Succede che i superpoteri li usano tutti per fare di tutto: i cattivi (gli hacker cinesi) e quelli che dovrebbero essere i buoni (la polizia delle democrazie occidentali). Sapevatevelo.