Archives For Domande di sicurezza

Android's Corner è il nome di una raccolta di articoli pubblicati su questi lidi che raccontano l'esperienza Android, consigli, applicazioni, novità e qualsiasi altra cosa possa ruotare intorno al mondo del sistema operativo mobile di Google e sulla quale ho avuto possibilità di mettere mano, di ritoccare, di far funzionare, una scusa come un'altra per darvi una mano e scambiare opinioni insieme :-)

È di qualche giorno fa la notizia di una sorta di attacco ai danni di Telegram, il programma di messaggistica che adoro più di tutti su mobile (e non solo). Più che un attacco però, la definirei una ricerca condotta in maniera giusta, atta a mettere in evidenza un aspetto che passa spesso inosservato da chi troppo spesso sceglie di installare un’applicazione senza però configurarla come si deve.

Telegram: 2-step verification e opzioni di sicurezza

Tutto è partito da questo tweet:

e sia chiaro: ha ragione. C’è un possibile leak ed è causato da noi utenti. Avete presente quando ripeto che il problema è quasi sempre tra la tastiera e la poltrona? Beh, stavolta potrebbe trovarsi tra il monitor dello smartphone e chi o cosa sta dietro di noi, la sostanza non cambia affatto. Un client di terze parti ha messo in evidenza una caratteristica del software, che notifica a tutti i contatti i momenti in cui siamo online oppure offline. Così facendo, triangolando nella giusta maniera i dati, si potrebbe arrivare a capire quando un utente comunica con un altro, in maniera “semplice” (non certo per i non addetti ai lavori). Perché quindi non mettere al sicuro il proprio account Telegram e approfittarne anche per aggiungere un tocco di sicurezza in più, che non può mai fare male?

Intanto installate un software decisamente più valido di quella blasonata alternativa chiamata WhatsApp:

Telegram
Price: Free
Telegram Messenger
Developer: Telegram LLC
Price: Free

e ora procediamo con ordine.

2-step Verification

Predico la verifica in due passaggi da molto tempo ormai, non smetterò di farlo. Si tratta di un layer fondamentale da aggiungere alla semplice autenticazione tramite password alla quale siamo tutti abituati. Lo ripeterò fino allo sfinimento: abilitate la 2-step Verification ovunque possiate. Telegram, fortunatamente, non fa eccezione, ormai da diversi mesi.

La 2-step Verification di Telegram permette di bloccare eventuali nuovi login da dispositivi che non abbiamo espressamente autorizzato con una ulteriore password, con tanto di notifica su ogni dispositivo con accesso già effettuato e che possa così terminare un’eventuale sessione “infiltrata“.

La verifica può essere abilitata sia via web che da applicazione. Io ho utilizzato quest’ultima per una questione di comodità e rapidità. Dalle Impostazioni basterà selezionare la voce Privacy e sicurezza, quindi Verifica in due passaggi. Da qui basterà seguire poche istruzioni a video (e scegliere una ulteriore password per autorizzare i nuovi accessi all’account).

Cercate di non dimenticarla, vi servirà da ora in poi.

Telegram: 2-step verification e opzioni di sicurezza 1

Occhio alle sessioni

Pensate sia finita così? No, vi sbagliate. Avete già dato un’occhiata alle sessioni attive? Le sessioni attive corrispondono ai client connessi al vostro account Telegram. Potrebbero essere tutte sessioni vive e corrette, potrebbero essercene di vecchie, inutilizzate, potenzialmente dannose se il dispositivo con Telegram a bordo finisse nelle mani di una persona sbagliata.

Le sessioni attive si trovano in Impostazioni, Privacy e sicurezza, quindi Sessioni attive. Da qui potrete visualizzarle e terminarle con un clic su ciascuna, o direttamente su “Termina le altre sessioni” per chiuderle tutte a eccezione di quella che state utilizzando per gestire il vostro account:

Il nome del sistema utilizzato, la versione e un IP vi aiuteranno a ricordare dov’è che vi siete autenticati a Telegram per poterlo utilizzare. Fate pulizia, fatela ogni volta che potete, tenete sempre d’occhio le sessioni aperte e ricordatevi che Telegram ricarica ogni chat singola, gruppo e allegato che costituisce la vostra “storia” sull’applicazione, è un bene tecnologico prezioso da proteggere, estremamente confidenziale oggigiorno.

Si ma il problema del leak?

Ah già, giusto, dimenticavo da dove tutto è cominciato. Il leak si basa sull’impostazione che Telegram propone di default e che informa ogni account della piattaforma riguardo la vostra presenza online. Inutile dire che siete voi a poter controllare questa impostazione, e che questa andrebbe un po’ incattivita per il vostro bene. Andate in Impostazioni, quindi Privacy e sicurezza e infine Ultimo accesso.

La voce sarà impostata (di default) a Tutti, spostatela su “I miei contatti” e confermate la scelta. Così facendo eviterete che chiunque abbia un account Telegram possa verificare il vostro stato di presenza online:

Ancora una volta si tratta di una modifica tanto banale quanto importante. Scegliete di proteggere la vostra privacy. Sembra solo uno scontato gioco di parole, è molto di più.

Tutto chiaro? Bene. In caso contrario l’area commenti è a vostra totale disposizione.

Ve ne ho parlato talmente tanto che spiegarvi ulteriormente cos’è una verifica in due passaggi è uno spreco di spazio nel database del blog, per chi si fosse perso qualche passaggio può tornare utile leggere uno qualsiasi tra i vecchi articoli e approfondire la questione. La verifica in due passaggi costituisce una ulteriore barriera contro possibili attacchi ai vostri account in rete, soprattutto di questi tempi che bug come Heartbleed hanno minato fiducia e procurato seri danni ad aziende e persone.

Attivare la verifica in due passaggi su Yahoo! è molto semplice e veloce e vi costringerà solo a ricordare le risposte alle domande di sicurezza che avete impostato in fase di registrazione o tenere a portata di mano il cellulare che potrà ricevere il codice via SMS, allo stato attuale non c’è compatibilità con le applicazioni di autenticazione come il Google Authenticator.

Avete inserito tutti i dettagli?

Per attivare la verifica in due passaggi basterà visitare la pagina edit.yahoo.com/commchannel/sec_chal_manage e seguire le istruzioni a video. Ammesso che voi abbiate precedentemente inserito delle domande di sicurezza con risposte sensate (che potete e dovete ricordare facilmente ma che non dovranno essere altrettanto facilmente vulnerabili a conoscenza e intelligenza di persone dall’esterno, familiari compresi) e il vostro numero di cellulare, Yahoo! vi permetterà di richiedere un codice via SMS che vi consentirà il collegamento alle risorse collegate al vostro account da una postazione sconosciuta, non precedentemente abilitata quindi al login ai suoi servizi (Flickr compreso, ndr).

Questo è il metodo sicuramente più rapido e sicuro per accedere. Inutile dire -come sempre- che diventa di fondamentale importanza avere a portata di mano il proprio cellulare ma soprattutto prendersi cura del dispositivo tanto quanto della SIM alla quale è collegata il numero di telefono. Perdere quel numero potrebbe voler dire dare accesso alle vostre risorse a chiunque riesca ad utilizzarla. Devo quindi ribadire il concetto di quanto sia fondamentale tenere attivo un codice di blocco sul telefono (iPhone, Android o qualsiasi altro) e un codice PIN sulla scheda?

Confermando il numero di telefono si riceverà un primo codice che sarà necessario inserire a video come conferma dell’attivazione della verifica in due passaggi:

Così come per i servizi di Google anche Yahoo! fa presente che per accedere alla posta elettronica tramite client di posta (iOS, Windows, ecc.) sarà necessario creare una password specifica per l’applicazione, un’operazione semplice che ovviamente genererà una password complessa che non dovrete memorizzare, ma semplicemente riportare nell’applicazione desiderata, salvarla e dimenticarla, un domani basterà generarne una nuova nel caso in cui ne avete la necessità.

Tenere la verifica attiva sia con domande di sicurezza che telefono vi permetterà di accedere all’account anche nel caso in cui non abbiate a portata di mano il dispositivo o in caso di problemi del vostro carrier telefonico. Questo perché, al contrario di altri servizi, Yahoo! non genera uno o più codici di backup da conservare in luogo sicuro nel caso in cui non sia più disponibile la via primaria di accesso all’account (una pecca a dirla tutta, ndr).

Un’ultima mail dal provider vi confermerà l’avvenuta attivazione del servizio e la possibilità di dormire sonni un po’ più tranquilli (senza mai abbassare del tutto la guardia, mi raccomando!):

Attivatela, non fa male e vi porterà via solo qualche minuto ;-)