Internet…. dei giocattoli

Ebbene sì, dopo l’internet delle persone e delle cose sta arrivando anche questa….. l’internet dei giocattoli.
Sì perché sempre più giochi sono connessi ad internet…. e qui nascono i problemi.
Essendo oggetti connessi ad internet possono essere utilizzati come fonti di attacco verso altri servizi internet o essere utilizzati dai produttori per raccogliere informazioni sulle famiglie degli utilizzatori oppure, ancora, essere vere e proprie spie nelle mani di malintenzionati.

La compagnia di giocattoli digitali Vtech con base ad Hong Kong è stata una delle prime ad essere colpita dall’ attacco di un hacker, che lo scorso anno è riuscito ad avere accesso alle informazioni personali come email, nomi, cognomi, foto, password, indirizzi di casa di quasi 5 milioni di genitori e di 200 mila bambini. Circa 190GB di foto sono state sottratte.

Ma non finisce qui: secondo alcuni reclami presentati presso la Federal Trade Commission degli USA e l’Unione Europea, alcuni giocattoli connessi ad internet lanciati da Genesis Toys e dal partner Nuance starebbero violando le leggi sulla privacy. Stando al reclamo, i giochi della Nuance registrerebbero le voci dei bambini per giocare con loro ma, contemporaneamente, tratterebbero informazioni anche senza il consenso dei genitori. Quelli della Genesis Toys, invece, potrebbero non aver bloccato l’accesso Bluetooth da parte dei dispositivi esterni ai giocattoli e questo permetterebbe a qualche utente smaliziato di connettersi ai giocattoli e di ascoltare tutte le conversazioni fatte in presenza del giocattolo.

Ma in un caso più recente, la bambola Cayla, sarebbe tacciata di essere “un apparato illegale di spionaggio”. La legge tedesca vieta di possedere, vendere o creare device che possono essere utilizzati per “spiare” se non possono essere chiaramente identificati come tali. Nel caso della bambola il problema risiede nel fatto che questa possa essere utilizzata per spiare il bambino ma abbia le sembianze di un giocattolo.

Ma la lista dei giocattoli connessi si allunga sempre di più.

WhatsApp e la verifica in due passaggi

Anche WhatsApp ha recentemente abilitato il sistema di verifica in due passaggi usando, però, un metodo tutto suo.
Da qualche giorno è comparsa, infatti, la voce “Verifica in due passaggi” nel menù “Sicurezza” dell’APP. Selezionandola è possibile inserire un codice di sicurezza che dovrà essere digitato ogni volta che si assocerà un device al proprio account Whatsapp. In pratica il sistema continuerà ad inviare un codice di verifica via SMS e poi richiederà l’inserimento del codice scelto.

Il sistema prevede, inoltre, l’inserimento di un indirizzo di posta elettronica che verrà usato per disabilitare questa funzionalità nel caso ci si dimentichi il codice di sicurezza inserito.
Per fare in modo che l’utente non se lo dimentichi, WhatsApp, richiede l’inserimento del codice una volta al giorno. Se l’utente sbaglia e non lo inerisce l’autenticazione in due fattori si disabilita.

Non è esattamente l’implementazione di un’autenticazione a due fattori che prevederebbe che la password, utilizzabile una volta sola, fosse inviata via SMS o generata mediante un’APP installata sullo smartphone.

Diciamo che l’implementazione non è proprio così sicura….

La documentazione ufficiale di Whatsapp è qui.

Autenticazione a due fattori: come attivarla

L’autenticazione a due fattori (o doppia autenticazione, o two-step, o ancora two-factor) è un metodo più sicuro per accedere ai proprio account online, necessita che l’utente inserisca non solo la propria password d’accesso ma anche un secondo codice inviato dal servizio in questione tramite SMS o email, oppure generato da un’app mobile.

Sembra complicato, come tutte le cose diverse dalla normalità sembra più difficile da usare ma se si inizia ad usarlo rende molto più sicuri i nostri account e l’abitudine ci farà capire che non è poi così complicato.

Due parole su come attivarla sui principali servizi, quelli che usiamo un po’ tutti.

Google

L’autenticazione a due fattori può essere abilitata sia per l’uso di Google Authenticator (o di un’applicazione simile) che per l’invio di codici via SMS. Ciò che dovrete fare sarà cliccare sul vostro avatar in alto a destra e selezionare “Account”, dopodiché recarvi su “Sicurezza” (link diretto).

Una nota: dopo che l’autenticazione a due fattori sarà stata attivata, per accedere al proprio account.  a meno non lo si faccia da app ufficiali o quantomeno compatibili con l’autenticazione a due fattori, sarà necessario impostare password singole per ogni applicazione che deve accedere ai servizi di Google. Anche in questo caso la procedura non è complicata, è solo necessario fare un po’ di pratica. Queste password si generano nella stessa schermata “sicurezza” dalla quale si attiva l’autenticazione a due fattori.

Al termine della generazione della password viene consigliato di stampare i “codici per l’accesso di emergenza”. Questi codici sono indispensabili nel caso si perda, per qualche motivo, l’accesso al dispositivo sul quale Google invia SMS o sul quale è installata l’APP per la generazione del codice di accesso. Scontato dirlo ma è consigliato farne una stampa e conservarli in modo sicuro da qualche parte.

Apple

Apple permette di abilitare l’autenticazione a due fattori tramite il sistema di notifica della piattaforma, tale autenticazione sarà poi richiesta da tutti i servizi collegati all’Apple ID (iCloud, Apple Store, iTunes…).
Da web, ci si reca sulla pagina “Il mio ID Apple” ed effettuare l’accesso (link diretto). Cliccare ora su “Password e sicurezza” e selezionare “Inizia” in corrispondenza di “Verifica in due passaggi”. Fatto ciò, non resta che seguire le semplicissimi istruzioni a schermo.

Anche in questo caso, una volta attivata questo tipo di autenticazione, dovremo salvare i codici di backup prodotti e generare una password per ogni applicazione che non supporta nativamente l’autenticazione a due fattori, quasi sicuramente dovremo generarne una per il cliente di posta elettronica.

Facebook

Facebook permette di abilitare l’autenticazione a due fattori sia tramite SMS che tramite l’app mobile. Per farlo si dovrà effettuare il login nel nostro account, dopodiché cliccare sulla freccia in alto a destra e selezionare Impostazioni dal menu che appare (link diretto); infine cliccare su “Protezione” dal menu a sinistra. Cliccare su “Modifica” in corrispondenza di “Approvazione degli accessi” e mettere il segno di spunta su “Richiedi un codice di sicurezza per accedere al mio account da un browser sconosciuto”. Basterà quindi seguire le istruzioni proposte. In questo modo ogni volta che si effettuerà un accesso da un browser non riconosciuto Facebook chiederà la conferma di login dall’app installata sullo smartphone.
E’ anche possibile abilitare un secondo tipo di autenticazione a due fattori, con la generazione del classico codice temporaneo da un’app di terze parti.

Evernote

Evernote supporta questo tipo di autenticazione, sia tramite SMS che tramite le APP per la generazione di codici.
Abilitare l’autenticazione a due fattori su Evernote è abbastanza semplice: basta effettuare il login dalla pagina principale, dopodiché cliccare sulla voce “Impostazioni” in basso a sinistra (link diretto). Da lì fare click sulla voce “Riepilogo sicurezza” dal menu a sinistra re-inserire la password quando richiesto. Cliccare su “Abilita” in corrispondenza della voce “Verifica in due passaggi” e seguire le istruzioni a schermo.
Sarà necessario specificare un indirizzo email valido perché la procedura vada a buon fine. La procedura di attivazione dell’autenticazione a due fattori termina solo quando stamperemo o salveremo i codici di backup proposti.

Dropbox

Permette di ottenere la password “monouso” tramite SMS o tramite app ad-hoc. Anche in questo caso la procedura è molto semplice: basterà accedere a Dropbox, cliccare sul proprio nome in alto a destra e da lì scegliere “Impostazioni”, dopodiché cliccare sulla scheda “Sicurezza” (link diretto).

Le APP

Dato che la generazione di One-time-password per l’autenticazione a due fattori è basato su uno standard (RFC 6238 e RFC 4226) le APP per la generazione delle password sono molte. Personalmente preferisco usare 1Password sia per custodire in modo sicuro le password sia per la generazione dei codici OTP.
Altre APP che ho provato:

Arrivati fino a qui….

Un consiglio spassionato: se leggete questo post…. attivate l’autenticazione a due fattori agli account dei vostri servizi web 🙂

VeraCrypt

C’era una volta TrueCrypt. C’era fino a quando gli sviluppatori non hanno deciso di mollarne lo sviluppo e sul sito è comparso il triste messaggio che diceva che l’uso di TrueCrypt non era da considerarsi più sicuro perché il software non sarebbe più stato aggiornato. Ma come spesso succede nei software opensource qualcuno ne ha raccolto l’eredità e ha sviluppato un nuovo software: VeraCrypt partendo dalla versione 7.1a, l’ultima versione disponibile, di TrueCrypt.
Con VeraCrypt è possibile aprire i volumi creati con TrueCrypt e, naturalmente, crearne di nuovi.

Siete stati colpiti da un Ransomware? Pagate il riscatto e rassegnatevi

Siete stati attaccati da uno di quei malware che cifrano tutto il contenuto del vostro disco fisso e vi chiedono un riscatto per sbloccarlo? Se la risposta è sì, pagate il riscatto e alla svelta se volete riavere accesso ai vostri dati.

Questa è la posizione “ufficiale” dell’FBI: se il computer è stato colpito da un ransomware tipo CryptoWall che utilizza RSA con chiavi di cifratura a 2048 bit, decifrare i file forzando l’algoritmo di cifratura è praticamente impossibile.

La buona notizia? Quando proteggiamo i nostri dati con il medesimo algoritmo siamo al sicuro. La cattiva notizia? Se CryptoWall colpisce uno dei nostri PC è meglio avere un backup pronto o prepararsi ad entrare nel mondo dei Bitcoin per pagare il riscatto.

Un momento geek: sbloccare il Mac con lo smartphone (e lo smartwatch)

Stufi di digitare la password ogni volta che dovete accedere al vostro Mac?? Ecco tre software per risolvere il problema!

Tutti e tre i software funzionano in maniera simile: viene installata la versione Mac sul computer da sbloccare e si scarica la versione iOS sullo smartphone. I due software comunicano utilizzando bluetooth a basso consumo e sbloccano il Mac solo quando il telefono è vicino.

Per sbloccare attivare l’applicazione sul telefono (a seconda di quella installata) è necessario usare la propria impronta digitale se si è installato MacID, bussare sullo schermo dello smartphone se si è installato Knock o semplicemente essere vicini al Mac se si è scelto Tether.

Grazie all’utilizzo del bluetooth a basso consumo la carica della batteria del telefono sarà preservata.

I costi: per tutte e 3 le applicazioni è prevista la parte desktop e la relativa parte mobile. In tutti e 3 i casi la parte desktop è gratuita. I costi delle APP mobile:

MacID costa 3,99 Euro

Tether è gratuita

Knock costa 4.99 Euro

Io mi trovo bene con Tether che permette di sbloccare il computer solo avvicinandosi per evitare che il computer si  sblocchi anche se sono nel corridoio vicino all’ufficio è necessario impostare la distanza entro la quale il telefono si deve trovare perché il Mac si sblocchi. Questo è un parametro della versione desktop del software.

I consigli di zio Corra… sull’uso dello smartphone.

Ovvero una lista ragionata di consigli che mi sento di dare ai giovani che usano lo smartphone per le prime volte:

  • Hai rotto le scatole che volevi uno smartphone, ora che ce l’hai comprati una custodia per proteggerlo
  • Quando sei a scuola il cellulare può rimanere spento nello zaino. Non ci sono notizie più importanti di quelle che ti stanno dando gli insegnanti in quel momento.
  • Se i tuoi genitori ti chiamano e tu non gli rispondi o non li richiami sono guai: ti hanno comprato un cellulare per restare in contatto con te, non per farti giocare!!
  • Quando vai in bicicletta o cammini per la strada, tieni il cellulare in tasca e il volume delle cuffie basse: anche andare in giro a piedi richiede attenzione.
  • Non scrivere nelle chat, su Facebook e in giro per internet, cose che non vorresti che i tuoi genitori non sapessero: le robe su internet fanno il giro del mondo alla svelta e rimangono in giro per tanto
  • Proteggi il telefono con una password. Lo sappiamo che non hai segreti con nessuno, ma le persone che ti scrivono forse qualche segreto ce l’hanno e preferiscono condividerlo solo con te.
  • La password sono tue: non condividerle con nessuno
  • Ok, ok non vuoi che i tuoi genitori vedano le fotografie che hai scattato…. non farle girare nemmeno su internet o, oltre ai tuoi genitori, qualche milionata di persone le potrà vedere
  • Non dare confidenza agli estranei e non connetterti a reti WiFi pubbliche non protette da password
  • Non lamentarti se i tuoi genitori controllano come usi lo smartphone e se sanno esattamente quali siti visiti… è la dura legge della vita: loro pagano il telefono e le tue ricariche…

Qui trovate la lista originale senza le mie elucubrazioni 😉

CryptoClub… crittografia a misura di bambino

Interessante iniziativa della NSF (National Science Foundation) attraverso la quale gli studenti americani in età di scuola superiore, si cimenteranno in analisi crittografiche durante le loro lezioni di matematica applicata.
Vista la complessità dell’argomento l’insegnamento avverrà utilizzando il gioco (“nulla per gioco ma tutto attraverso il gioco, diceva Baden Powell). Alcune attività coinvolgeranno i ragazzi in una caccia al tesoro con messaggi cifrati o in una staffetta in cui competeranno per raccogliere o decifrare parti di un messaggio segreto.
Su http://www.cryptoclub.org sono presenti una serie di giochi e di sussidi per gli insegnanti che volessero lanciarsi in questa sfida con i propri ragazzi.

Sony, hacker, terrorismo e…

Ormai la notizia che la Sony sia stata attaccata e che dai computer siano stati copiati terabyte di dati è una notizia conosciuta. Ma penso che sia il caso di mettere ordine nel guazzabuglio che la stampa generalista ha creato intorno a questo evento.

La Sony è stata attaccata
Vero, direi che è innegabile, ma episodi di questo genere sono ormai comuni. Quello che stupisce è il fatto che un’azienda come questa si sia fatta trovare assolutamente impreparata ad eventi di questo genere: i fatti dimostrano che non ci fosse in azienda nessuna cultura all’uso sicuro della rete. I dirigenti si scambiavano in chiaro password molto delicate, attraverso la posta elettronica.

È stata la Corea, anzi no… anzi sì…. forse
Dopo un momento iniziale nel quale si credeva che la Corea del Nord fosse il responsabile dell’attacco, il mondo degli esperti di sicurezza brancola nel buio e non riesce ad attribuire in maniera univoca le responsabilità dell’attacco.

L’attacco è servito per bloccare il lancio di un film
Il lancio del film è stato bloccato per cause diverse rispetto all’attacco. Qualcuno ha minacciato di far saltare in aria le sale cinematografiche che avessero proiettato il film, poco c’entra con gli attacchi basati sui bit.

Cyber terrorismo
La parola cyber fa sempre il suo effetto!!! Unita al terrorismo ne fa di più. Non ci sono stati, per fortuna, morti, ostaggi… Non offendiamo la memoria delle vittime del terrorismo.
Sicuramente gli impiegati della Sony saranno preoccupati per il loro lavoro e sconcertati dal fatto che le loro cartelle cliniche possono essere comodamente lette sul web, ma direi di non esagerare con i termini.

#epicfail
Grande fallimento da parte della Sony… ecco quello che mi viene in mente pensando all’affaire.