Annunciata la possibilità di collidere SHA-1…. quindi?

In questi giorni c’è un po’ di rumore attorno alla notizie data da team di sicurezza di Google che annuncia la messa a punto di un sistema pratico e reale per effettuare la collisione di SHA-1.

In pochissime parole: collidere un algoritmo di hash significa poter forgiare due messaggi diversi in modo che producano lo stesso hash. Chiaramente questa situazione si traduce in un grosso, grosso problema di sicurezza visto che utilizziamo gli algoritmi di hash per verificare la veridicità di un messaggio. Quindi?
Quindi nella pratica nulla di nuovo. L’algoritmo in questione è stato creato nel 1995 e ha abbondantemente servito la causa della sicurezza. Da un po’ di tempo è stato dichiarato come insicuro dalle comunità di security. Non è mai stato deprecato ufficialmente ma se ne sconsiglia l’uso e si raccomanda l’uso del più nuovo (e più sicuro) SHA-256. La ricerca ha semplicemente confermato, quindi, la necessità di smettere di utilizzare SHA-1.

Internet…. dei giocattoli

Ebbene sì, dopo l’internet delle persone e delle cose sta arrivando anche questa….. l’internet dei giocattoli.
Sì perché sempre più giochi sono connessi ad internet…. e qui nascono i problemi.
Essendo oggetti connessi ad internet possono essere utilizzati come fonti di attacco verso altri servizi internet o essere utilizzati dai produttori per raccogliere informazioni sulle famiglie degli utilizzatori oppure, ancora, essere vere e proprie spie nelle mani di malintenzionati.

La compagnia di giocattoli digitali Vtech con base ad Hong Kong è stata una delle prime ad essere colpita dall’ attacco di un hacker, che lo scorso anno è riuscito ad avere accesso alle informazioni personali come email, nomi, cognomi, foto, password, indirizzi di casa di quasi 5 milioni di genitori e di 200 mila bambini. Circa 190GB di foto sono state sottratte.

Ma non finisce qui: secondo alcuni reclami presentati presso la Federal Trade Commission degli USA e l’Unione Europea, alcuni giocattoli connessi ad internet lanciati da Genesis Toys e dal partner Nuance starebbero violando le leggi sulla privacy. Stando al reclamo, i giochi della Nuance registrerebbero le voci dei bambini per giocare con loro ma, contemporaneamente, tratterebbero informazioni anche senza il consenso dei genitori. Quelli della Genesis Toys, invece, potrebbero non aver bloccato l’accesso Bluetooth da parte dei dispositivi esterni ai giocattoli e questo permetterebbe a qualche utente smaliziato di connettersi ai giocattoli e di ascoltare tutte le conversazioni fatte in presenza del giocattolo.

Ma in un caso più recente, la bambola Cayla, sarebbe tacciata di essere “un apparato illegale di spionaggio”. La legge tedesca vieta di possedere, vendere o creare device che possono essere utilizzati per “spiare” se non possono essere chiaramente identificati come tali. Nel caso della bambola il problema risiede nel fatto che questa possa essere utilizzata per spiare il bambino ma abbia le sembianze di un giocattolo.

Ma la lista dei giocattoli connessi si allunga sempre di più.

WhatsApp e la verifica in due passaggi

Anche WhatsApp ha recentemente abilitato il sistema di verifica in due passaggi usando, però, un metodo tutto suo.
Da qualche giorno è comparsa, infatti, la voce “Verifica in due passaggi” nel menù “Sicurezza” dell’APP. Selezionandola è possibile inserire un codice di sicurezza che dovrà essere digitato ogni volta che si assocerà un device al proprio account Whatsapp. In pratica il sistema continuerà ad inviare un codice di verifica via SMS e poi richiederà l’inserimento del codice scelto.

Il sistema prevede, inoltre, l’inserimento di un indirizzo di posta elettronica che verrà usato per disabilitare questa funzionalità nel caso ci si dimentichi il codice di sicurezza inserito.
Per fare in modo che l’utente non se lo dimentichi, WhatsApp, richiede l’inserimento del codice una volta al giorno. Se l’utente sbaglia e non lo inerisce l’autenticazione in due fattori si disabilita.

Non è esattamente l’implementazione di un’autenticazione a due fattori che prevederebbe che la password, utilizzabile una volta sola, fosse inviata via SMS o generata mediante un’APP installata sullo smartphone.

Diciamo che l’implementazione non è proprio così sicura….

La documentazione ufficiale di Whatsapp è qui.

Autenticazione a due fattori: come attivarla

L’autenticazione a due fattori (o doppia autenticazione, o two-step, o ancora two-factor) è un metodo più sicuro per accedere ai proprio account online, necessita che l’utente inserisca non solo la propria password d’accesso ma anche un secondo codice inviato dal servizio in questione tramite SMS o email, oppure generato da un’app mobile.

Sembra complicato, come tutte le cose diverse dalla normalità sembra più difficile da usare ma se si inizia ad usarlo rende molto più sicuri i nostri account e l’abitudine ci farà capire che non è poi così complicato.

Due parole su come attivarla sui principali servizi, quelli che usiamo un po’ tutti.

Google

L’autenticazione a due fattori può essere abilitata sia per l’uso di Google Authenticator (o di un’applicazione simile) che per l’invio di codici via SMS. Ciò che dovrete fare sarà cliccare sul vostro avatar in alto a destra e selezionare “Account”, dopodiché recarvi su “Sicurezza” (link diretto).

Una nota: dopo che l’autenticazione a due fattori sarà stata attivata, per accedere al proprio account.  a meno non lo si faccia da app ufficiali o quantomeno compatibili con l’autenticazione a due fattori, sarà necessario impostare password singole per ogni applicazione che deve accedere ai servizi di Google. Anche in questo caso la procedura non è complicata, è solo necessario fare un po’ di pratica. Queste password si generano nella stessa schermata “sicurezza” dalla quale si attiva l’autenticazione a due fattori.

Al termine della generazione della password viene consigliato di stampare i “codici per l’accesso di emergenza”. Questi codici sono indispensabili nel caso si perda, per qualche motivo, l’accesso al dispositivo sul quale Google invia SMS o sul quale è installata l’APP per la generazione del codice di accesso. Scontato dirlo ma è consigliato farne una stampa e conservarli in modo sicuro da qualche parte.

Apple

Apple permette di abilitare l’autenticazione a due fattori tramite il sistema di notifica della piattaforma, tale autenticazione sarà poi richiesta da tutti i servizi collegati all’Apple ID (iCloud, Apple Store, iTunes…).
Da web, ci si reca sulla pagina “Il mio ID Apple” ed effettuare l’accesso (link diretto). Cliccare ora su “Password e sicurezza” e selezionare “Inizia” in corrispondenza di “Verifica in due passaggi”. Fatto ciò, non resta che seguire le semplicissimi istruzioni a schermo.

Anche in questo caso, una volta attivata questo tipo di autenticazione, dovremo salvare i codici di backup prodotti e generare una password per ogni applicazione che non supporta nativamente l’autenticazione a due fattori, quasi sicuramente dovremo generarne una per il cliente di posta elettronica.

Facebook

Facebook permette di abilitare l’autenticazione a due fattori sia tramite SMS che tramite l’app mobile. Per farlo si dovrà effettuare il login nel nostro account, dopodiché cliccare sulla freccia in alto a destra e selezionare Impostazioni dal menu che appare (link diretto); infine cliccare su “Protezione” dal menu a sinistra. Cliccare su “Modifica” in corrispondenza di “Approvazione degli accessi” e mettere il segno di spunta su “Richiedi un codice di sicurezza per accedere al mio account da un browser sconosciuto”. Basterà quindi seguire le istruzioni proposte. In questo modo ogni volta che si effettuerà un accesso da un browser non riconosciuto Facebook chiederà la conferma di login dall’app installata sullo smartphone.
E’ anche possibile abilitare un secondo tipo di autenticazione a due fattori, con la generazione del classico codice temporaneo da un’app di terze parti.

Evernote

Evernote supporta questo tipo di autenticazione, sia tramite SMS che tramite le APP per la generazione di codici.
Abilitare l’autenticazione a due fattori su Evernote è abbastanza semplice: basta effettuare il login dalla pagina principale, dopodiché cliccare sulla voce “Impostazioni” in basso a sinistra (link diretto). Da lì fare click sulla voce “Riepilogo sicurezza” dal menu a sinistra re-inserire la password quando richiesto. Cliccare su “Abilita” in corrispondenza della voce “Verifica in due passaggi” e seguire le istruzioni a schermo.
Sarà necessario specificare un indirizzo email valido perché la procedura vada a buon fine. La procedura di attivazione dell’autenticazione a due fattori termina solo quando stamperemo o salveremo i codici di backup proposti.

Dropbox

Permette di ottenere la password “monouso” tramite SMS o tramite app ad-hoc. Anche in questo caso la procedura è molto semplice: basterà accedere a Dropbox, cliccare sul proprio nome in alto a destra e da lì scegliere “Impostazioni”, dopodiché cliccare sulla scheda “Sicurezza” (link diretto).

Le APP

Dato che la generazione di One-time-password per l’autenticazione a due fattori è basato su uno standard (RFC 6238 e RFC 4226) le APP per la generazione delle password sono molte. Personalmente preferisco usare 1Password sia per custodire in modo sicuro le password sia per la generazione dei codici OTP.
Altre APP che ho provato:

Arrivati fino a qui….

Un consiglio spassionato: se leggete questo post…. attivate l’autenticazione a due fattori agli account dei vostri servizi web 🙂

Segnatevi la data…. il 7 febbraio è il “Safer Internet Day 2017”

Il Safer Internet Day (SID) è un evento annuale, organizzato da INSAFE e INHOPE con il supporto della Commissione Europea nel mese di febbraio, al fine di promuovere un uso più sicuro e responsabile del web e delle nuove tecnologie, in particolare tra i bambini e i giovani di tutto il mondo.

Be the change: unite for a better internet” è lo slogan scelto per l’edizione del 2017, ed è  finalizzato a far riflettere i ragazzi non solo sull’uso consapevole della Rete, ma sul ruolo attivo e responsabile di ciascuno nella realizzazione di internet come luogo positivo e sicuro.

Sicurezza? Una lista (piccolina) di consigli per il 2016

E’ fine anno e si fanno le liste dei buoni propositi e delle cose da fare nel 2016.

Nel 2015 il tema della sicurezza informatica, anche per gli utenti domestici, è diventato molto caldo. Gli analisti prevedono che nel 2016 la cosa peggiorerà. Del resto è normale, più una cosa è utilizzata maggiori sono i rischi che venga attaccata per essere sottratta.
Ecco una lista, quasi tutta mia, relativa alla sicurezza nel 2016 e riferita agli utenti domestici.

  1. Accettate l’inevitabile: la vostra sicurezza sarà compromessa. Non importa se siete singoli individui o aziende. Siete avvertiti, preparatevi!
  2. Valutate il rischio: non fate gli struzzi. Provate a capire quali sono i punti deboli: password uguali per ogni account, troppe informazioni lasciate su social network, vostre foto che girano come fossero cioccolatini?
  3. Sbagliando si impara: avete provato a mettere in atto la vostra strategia  ma vi ritrovate i vostri dati cifrati da un cryptolocker? Ok, ne avete messo in campo una sbagliata, cambiatela e ripartite.
  4. E’ finito il tempo di giocarela sicurezza deve essere messa in conto. Esattamente come pensate a porte blindate, finestre rinforzate e a comprare l’antifurto di casa, mettete in conto di spendere qualcosa per la vostra sicurezza online. Dove iniziare? Antivirus, un disco esterno per fare regolarmente in backup?

La lista è quasi tutta mia, quella originale è riferita agli utenti aziendali e la trovate qui: http://www.itproportal.com/2015/12/14/cyber-security-tips-for-2016/

VeraCrypt

C’era una volta TrueCrypt. C’era fino a quando gli sviluppatori non hanno deciso di mollarne lo sviluppo e sul sito è comparso il triste messaggio che diceva che l’uso di TrueCrypt non era da considerarsi più sicuro perché il software non sarebbe più stato aggiornato. Ma come spesso succede nei software opensource qualcuno ne ha raccolto l’eredità e ha sviluppato un nuovo software: VeraCrypt partendo dalla versione 7.1a, l’ultima versione disponibile, di TrueCrypt.
Con VeraCrypt è possibile aprire i volumi creati con TrueCrypt e, naturalmente, crearne di nuovi.

Siete stati colpiti da un Ransomware? Pagate il riscatto e rassegnatevi

Siete stati attaccati da uno di quei malware che cifrano tutto il contenuto del vostro disco fisso e vi chiedono un riscatto per sbloccarlo? Se la risposta è sì, pagate il riscatto e alla svelta se volete riavere accesso ai vostri dati.

Questa è la posizione “ufficiale” dell’FBI: se il computer è stato colpito da un ransomware tipo CryptoWall che utilizza RSA con chiavi di cifratura a 2048 bit, decifrare i file forzando l’algoritmo di cifratura è praticamente impossibile.

La buona notizia? Quando proteggiamo i nostri dati con il medesimo algoritmo siamo al sicuro. La cattiva notizia? Se CryptoWall colpisce uno dei nostri PC è meglio avere un backup pronto o prepararsi ad entrare nel mondo dei Bitcoin per pagare il riscatto.

Un momento geek: sbloccare il Mac con lo smartphone (e lo smartwatch)

Stufi di digitare la password ogni volta che dovete accedere al vostro Mac?? Ecco tre software per risolvere il problema!

Tutti e tre i software funzionano in maniera simile: viene installata la versione Mac sul computer da sbloccare e si scarica la versione iOS sullo smartphone. I due software comunicano utilizzando bluetooth a basso consumo e sbloccano il Mac solo quando il telefono è vicino.

Per sbloccare attivare l’applicazione sul telefono (a seconda di quella installata) è necessario usare la propria impronta digitale se si è installato MacID, bussare sullo schermo dello smartphone se si è installato Knock o semplicemente essere vicini al Mac se si è scelto Tether.

Grazie all’utilizzo del bluetooth a basso consumo la carica della batteria del telefono sarà preservata.

I costi: per tutte e 3 le applicazioni è prevista la parte desktop e la relativa parte mobile. In tutti e 3 i casi la parte desktop è gratuita. I costi delle APP mobile:

MacID costa 3,99 Euro

Tether è gratuita

Knock costa 4.99 Euro

Io mi trovo bene con Tether che permette di sbloccare il computer solo avvicinandosi per evitare che il computer si  sblocchi anche se sono nel corridoio vicino all’ufficio è necessario impostare la distanza entro la quale il telefono si deve trovare perché il Mac si sblocchi. Questo è un parametro della versione desktop del software.

I consigli di zio Corra… sull’uso dello smartphone.

Ovvero una lista ragionata di consigli che mi sento di dare ai giovani che usano lo smartphone per le prime volte:

  • Hai rotto le scatole che volevi uno smartphone, ora che ce l’hai comprati una custodia per proteggerlo
  • Quando sei a scuola il cellulare può rimanere spento nello zaino. Non ci sono notizie più importanti di quelle che ti stanno dando gli insegnanti in quel momento.
  • Se i tuoi genitori ti chiamano e tu non gli rispondi o non li richiami sono guai: ti hanno comprato un cellulare per restare in contatto con te, non per farti giocare!!
  • Quando vai in bicicletta o cammini per la strada, tieni il cellulare in tasca e il volume delle cuffie basse: anche andare in giro a piedi richiede attenzione.
  • Non scrivere nelle chat, su Facebook e in giro per internet, cose che non vorresti che i tuoi genitori non sapessero: le robe su internet fanno il giro del mondo alla svelta e rimangono in giro per tanto
  • Proteggi il telefono con una password. Lo sappiamo che non hai segreti con nessuno, ma le persone che ti scrivono forse qualche segreto ce l’hanno e preferiscono condividerlo solo con te.
  • La password sono tue: non condividerle con nessuno
  • Ok, ok non vuoi che i tuoi genitori vedano le fotografie che hai scattato…. non farle girare nemmeno su internet o, oltre ai tuoi genitori, qualche milionata di persone le potrà vedere
  • Non dare confidenza agli estranei e non connetterti a reti WiFi pubbliche non protette da password
  • Non lamentarti se i tuoi genitori controllano come usi lo smartphone e se sanno esattamente quali siti visiti… è la dura legge della vita: loro pagano il telefono e le tue ricariche…

Qui trovate la lista originale senza le mie elucubrazioni 😉