Archives For Sicurezza

Non è una novità ma di sicuro sarà sempre più diffuso considerando che molti siti web non riescono a stare al passo con i tempi (e con i criteri ormai minimi di sicurezza). L’errore che vedete nel titolo di questo articolo potrebbe comparirvi a video da un momento all’altro senza lasciarvi apparentemente scampo, qualcosa di molto simile a questa immagine di seguito:

Firefox: ssl_error_no_cypher_overlap (Secure Connection Failed)

Si tratta di un problema “conosciuto” e già discusso anche nel forum di supporto globale di Mozilla: support.mozilla.org/it/questions/1035245. Fa riferimento al fatto che Firefox vada ad impedire l’apertura di siti web non sicuri, che utilizzano protocolli superati, ampiamente bucati e che possono mettere quindi in pericolo i vostri dati sensibili. È giusto, assolutamente corretto e sacrosanto, ma evidentemente non ancora chiaro per chi gestisce siti web che non sono stati nel frattempo aggiornati, uno di questi (come si vede dallo screenshot poco sopra) è quello dei clienti Deutsche Bank.

Per poter accedere al loro portale movimenti sarà necessario chiedere a Firefox di essere meno intransigente e abbassare (temporaneamente) il livello di sicurezza. Andate in about:config e -una volta accettate le condizioni- cercate questo riferimento:

security.tls.version.fallback-limit

Portando il suo valore a 1 così da permettere a Firefox di aprire siti web che utilizzano almeno il layer di sicurezza TLS 1.0.

Firefox: ssl_error_no_cypher_overlap (Secure Connection Failed) 1

La modifica è immediata, potete aggiornare la pagina che ora dovrebbe aprirsi e permettervi il collegamento. Al termine delle vostre operazioni ricordate di tornare a modificare l’impostazione in about:config. Potete fare clic con il tasto destro sulla voce e scegliere “Ripristina” oppure modificare il valore 1 e tornare al 3 predefinito. È importante che non lo lasciate a uno, per la vostra sicurezza.

Pillole

Le pillole sono articoli di veloce lettura dedicati a notizie, script o qualsiasi altra cosa possa essere "divorata e messa in pratica" con poco. Uno spazio del blog riservato ai post "a bruciapelo"!

Ultimo appuntamento con le modifiche nell’about:config di Firefox che potranno sicuramente tornarvi utili (vi ho accompagnato nelle ultime settimane, alle 10:30 di ogni sabato mattina del mese di maggio ormai concluso). Concludo questa rapida panoramica sul mondo della personalizzazione dell’about:config di Firefox parlandovi della possibilità di disabilitare la scansione antivirus automatica che parte al termine di ciascun download effettuato dal vostro browser.

mozilla-dinosaur_wallpaper_1920x1200

Si tratta di una funzione assolutamente fondamentale per chi usa quotidianamente il browser, per la quale sconsiglio fortemente la disattivazione di questo utile step aggiuntivo prima che il file venga definitivamente salvato sul vostro disco fisso. Eppure, in rari casi o ambienti, questo potrebbe aiutarvi a non dover ricorrere a metodi alternativi per scaricare materiale potenzialmente dannoso per analisi o lavoro (soprattutto in un campo come quello dell’IT). Attenti sempre a ciò che scaricate, potrebbero facilmente andarci di mezzo file sensibili della vostra quotidianità, cosa mai bella.

Se volete anche voi provare questo “brivido“, andate in about:config e -una volta accettate le condizioni- fate clic con il tasto destro in un’area bianca e create un nuovo valore Booleano da chiamare:

browser.download.manager.scanWhenDone

Impostando sin da subito il suo valore a false per disattivare il controllo antivirus al termine di ciascun download effettuato tramite il browser (quindi tramite il suo Download Manager interno).

Rapido e semplice, la modifica è immediata :-)

Attenzione però: ribadisco e vorrei fosse chiaro il concetto, non partirà più una scansione forzata del file appena scaricato tramite Firefox ogni volta che scaricherete qualcosa. Se l’antivirus è programmato per “stare vigile” all’apertura di un file o di un programma poco male (interverrà direttamente lui in seguito), diversamente potreste andare incontro a brutte sorprese.

In caso di problemi -come sempre- l’area commenti è a vostra disposizione (ammesso che si tratti di qualcosa di relativo all’articolo, ovviamente), altrimenti vi aspettiamo sul forum di Mozilla Italia!

2StepSecurityOrmai diversi mesi fa, complice il cambio dello smartphone e di sistema operativo (sono passato da iOS ad Android, ndr), ho cercato un’alternativa al sempre adorato e perfetto Google Authenticator perché allo stato attuale non è possibile effettuare un passaggio dei suoi dati da un telefono all’altro, non esiste un backup in cloud (previa autenticazione del mio account Google) né tanto meno un file di configurazione che possa essere copiato tra dispositivi, necessità dettata certamente dai criteri di sicurezza che devono poter impedire l’eventuale clonazione delle mie chiavi di autenticazione venendo così meno al concetto di sicurezza a due fattori.

A questo ho aggiunto la personale necessità di adottare una soluzione che potesse essere acceduta sia dal mio telefono personale che da quello aziendale. Mi sono trovato (un solo caso in tutti questi anni, fortunatamente) in una situazione spiacevole che mai mi era capitata prima: lasciare il cellulare personale a casa, distrattamente dimenticato sotto il cuscino del divano e ovviamente lasciato lì una volta che me ne sono accorto in macchina. Per tutto il corso della giornata non ho potuto utilizzare uno dei miei servizi perché non avevo modo di generare un codice di autenticazione e no, questo servizio non permetteva di generare codici di backup, in pratica sono rimasto chiuso fuori.

L’alternativa esiste da diverso tempo, si chiama Authy e anche se non è open source come Google Authenticator (nonostante pubblichi molto codice su Github) garantisce massima protezione dei vostri dati permettendo inoltre di generare i codici su più dispositivi contemporaneamente (previa autenticazione con password master dell’account).

Authy 2-Factor Authentication
Developer: Authy Inc
Price: Free

Registrare un account è gratuito e l’applicazione per generare i codici è compatibile con pressoché qualsiasi piattaforma: authy.com/users. Inoltre se siete utilizzatori di Google Chrome potete utilizzare l’estensione che vi permette di non staccare le mani dalla tastiera del PC e generare i codici di autenticazione “in diretta” (chrome.google.com/webstore/detail/authy/gaedmjdfmmahhbjefcbgaolhhanlaolb?hl=en) permettendo così di rendere Authy compatibile anche con Windows, OS X o Linux (a quando la stessa estensione per Firefox o magari stand-alone?).

In breve: funzionamento

Installate l’applicazione e avviatela, potrete creare il vostro account immediatamente. Al momento vi basterà inserire il vostro numero di cellulare e il vostro indirizzo di posta elettronica, quindi richiedere la verifica tramite SMS o chiamata (è gratuito in entrambi i casi) e inserirlo nel box a video per confermare la vostra identità (qui di seguito inserisco le schermate iOS, non differiscono da quelle Android):

A questo punto sarà già possibile aggiungere nuovi account che richiedono di generare un secondo codice di autenticazione (come GMail o WordPress.com, tanto per citarne due che utilizzo regolarmente). Date un’occhiata alle impostazioni dell’applicazione, scoprirete che potrete tenere sotto backup tutti i vostri dati, aggiungere un PIN di protezione per evitare che chiunque possa aprire Authy e leggere i codici di autenticazione 2-Step e altro ancora (come spiegato anche sul sito web ufficiale). Authy è un’applicazione molto semplice da utilizzare, veloce, precisa, unica con quella sua possibilità di poter portare il proprio account su qualsiasi dispositivo, una comodità pazzesca.

Migrazione dei codici di autenticazione

Questo paragrafo si basa sulla mia personale esperienza e ovviamente non tutti i miei software / servizi utilizzano l’autenticazione 2-Step con Google Authenticator / Authy, alcuni “fanno tutto in casa“: Facebook genera codici tramite la sua applicazione ufficiale così come Twitter genera le richieste di autorizzazione login all’interno della sua di applicazione (o via SMS in alternativa). Ecco quindi il da farsi con il resto della compagnia. Si parla di WordPress (.com e Self Hosted), di Dropbox, di TeamViewer ed infine di Hootsuite, in futuro aggiungerò sicuramente altri servizi di cui vi parlerò anche qui sul blog, potete seguire tutto ciò che scrivo a proposito di autenticazione a due fattori filtrando il tag “2-step-verification“.

Google è quello più “guidato” da migrare. Permette infatti, tramite il suo stesso sito, di spostare l’autenticazione da un cellulare all’altro, da un sistema (iOS) all’altro (Android). Basterà andare sulla pagina dedicata all’indirizzo accounts.google.com/b/0/SmsAuthSettings#devices e scegliere di modificare il telefono seguendo le istruzioni a video (e cominciando facendo clic su “Sposta su un altro telefono“), come nel passo-passo delle immagini qui di seguito:

A questo punto dovrete invece fare “la fatica” poiché sono diversi i siti web sui quali bisognerà rifare il lavoro. Si comincia da WordPress.com dove l’autenticazione a due fattori va prima disattivata e poi riattivata facendo uso di Authy (dato che cambiano le chiavi di backup, che andranno quindi nuovamente copiate e tenute in un luogo sicuro, mi raccomando), così come TeamViewer, da gestire anche lui tramite sito web (con nuova chiave di recupero annessa).

Senza far troppa fatica invece potrete semplicemente scansionare con Authy il token già generato sia su Dropbox (dove sarà necessario modificare il metodo di autenticazione, selezionare ancora una volta applicazione e seguire le istruzioni a video) che su Hootsuite. Persino i plugin di protezione del login form per WordPress basati su autenticazione Google (come Google Authenticator).

In questi mesi di utilizzo ho potuto realmente apprezzare Authy e la serie di servizi annessi. La comodità di poter generare codici con qualunque dei miei dispositivi è fuori di dubbio il migliore tra i punti a favore della soluzione. Su iPhone 5 (o superiore) l’applicazione potrà essere anche protetta tramite TouchID (altrimenti per Android e iPhone inferiori si potrà utilizzare il più classico e sempre funzionale codice di blocco).

Avete più postazioni, più smartphone, un tablet e non vi fate mancare le applicazioni che usano le informazioni del vostro account Facebook per accedere o registrare un nuovo profilo sull’ultimo servizio alla moda. Comodo, fuori di dubbio. Potenzialmente “pericoloso“, altrettanto vero, non fosse per il fatto che chiunque può sfruttare un accesso lasciato aperto per utilizzare il vostro profilo come meglio crede. Terminare le sessioni ed eliminare le autorizzazioni permanenti che non richiedono un codice per proseguire (per chi ha l’accesso con richiesta codice, ovviamente) è molto semplice, basta sapere come muoversi. L’operazione andrebbe ripetuta di tanto in tanto, non fate come il sottoscritto che aveva ancora delle autorizzazioni datate 2011, magari vi darà fastidio rimettere le credenziali per l’accesso sporadicamente ma è il miglior metodo per non lasciare “nulla di scoperto“.

Accedete a Facebook dalla vostra postazione (con iPad, iPhone e simili non è affatto comodo, ndr) e andate nel menu di Sicurezza:

Facebook-Sicurezza

Spostatevi sotto Protezione e iniziate a controllare le autorizzazioni permanenti (ciò che Facebook chiama “Browser salvati“, ndr) espandendo la voce “Il tuo browser e le tue applicazioni“, il mio “bouquet” era questo fino a prima di scrivere l’articolo:

screenshot-www facebook com 2015-03-20 19-38-09

Davvero troppo lo so. È per questo che ho scelto di terminare ogni accesso permanente dal 2011 ad oggi, lasciando quindi le voci del solo 2015 che riconosco e che ha senso che rimangano “vive” perché appartenenti a dispositivi che utilizzo ogni giorno. Fate clic su “Rimuovi” in corrispondenza di ciascun accesso e quando pronti spostatevi sul “Salva modifiche“. Facebook impiegherà più o meno tempo ad eseguire l’operazione in base al numero totale di accessi che intendete togliere in quel momento, portate pazienza.

A questo punto si passa ai “luoghi“, sessioni autenticate ancora in corso che non richiederanno autenticazione, basterà aprire la finestra del browser (o l’applicazione di terza parte) e il gioco è fatto. Non riconoscere un “luogo” dovrebbe per voi corrispondere all’immediata chiusura della sessione, per sicurezza. Stesso menu di Facebook, stessa pagina (Protezione, ndr), semplicemente una voce più in basso rispetto a prima: “Luogo di accesso“.

screenshot-www facebook com 2015-03-21 11-13-28

Vale quindi un ragionamento simile: si fa clic su “Termina attività” su ciascuna sessione che si intende concludere, l’operazione è immediata, occorrerà quindi autenticarsi nuovamente sulle postazioni buttate fuori. Il mio consiglio è quello di tenere -anche questa volta- le più recenti e riconosciute, al contrario non abbiate paura di fare clic su quel link, è per la vostra sicurezza.

Prima di concludere, ricordate che i 5 consigli sulla sicurezza del vostro account sono ancora validi e –se non li avete ancora messi in atto– potrebbe essere una buona idea farlo adesso in concomitanza con queste “pulizie di primavera” ;-)

larry_inv-firefoxIl ricordo di eXtenZilla è ancora vivo nonostante il progetto sia ufficialmente terminato nel 2013 dopo quasi 9 anni di vita. Nato nel 2005 da una costola di Mozilla Italia è servito a fornire a voi tutti componenti aggiuntivi per Firefox (e non solo) in italiano, con un forum di supporto e documentazione sempre aggiornata per cercare di guidarvi passo-passo alla personalizzazione del vostro browser o a collaborare per mettere sul fuoco sempre più carne.

AMO (addons.mozilla.org) è cresciuto tanto nel frattempo, così come altri progetti internazionali che sono in grado di garantire quel lavoro che un tempo era solo di eXtenZilla nella nostra penisola. Negli stessi anni Firefox si è diffuso parecchio e come ogni software ad alta diffusione attrae l’attenzione di sviluppatori (fortunatamente non molti) che vogliono trarne un profitto in maniera poco ortodossa. Sono nate estensioni malevole che aprono finestre pubblicitarie indesiderate o fanno comparire banner all’interno di pagine che in realtà non ne contengono. Sono anni che sviluppo e mantengo liste Adblock e leggo report su report di questo tipo (diciamo che posso vantare una certa esperienza in merito). Ne ho parlato, ne ho scritto (e lo faccio tutt’ora), sfortunatamente però le vittime non accennano a diminuire. Bisogna fare attenzione ragazzi, molta attenzione. Quando installate software gratuiti che promettono di farvi conquistare il mondo a colpi di clic spesso non fate caso a quelle piccole caselle spuntate dove si dice “Accetti di installare anche il componente Ti Metto Pubblicità Ovunque” o cose simili, non le togliete, andate avanti fino alla fine ed ecco servito il problema per il quale poi correre a lamentarsi (è un po’ come mettere volutamente le mani sul fuoco e poi piangere per essersi scottati).

C’è uno strumento utile che ho trovato per puro caso e che spero potrà essere tenuto aggiornato (anche grazie alla collaborazione degli utilizzatori, sia chiaro) per permetterci di essere sempre informati su estensioni potenzialmente dannose per la vostra installazione di Firefox, si chiama Extension Defender e lo trovate su extensiondefender.com.

screenshot-www extensiondefender com 2015-02-02 08-54-04

Sito web minimalista, un database ancora scarno (e in realtà è meglio, basta che non sia per colpa di chi deve mantenerlo), nomi e collegamenti diretti alle estensioni che non dovete installare perché contengono adware o simili. La parte relativa al database di Chrome è decisamente più nutrita e potete fare una nuova segnalazione in maniera decisamente più semplice rispetto a Firefox ma è comunque possibile farcela (un paio di passaggi in più, nulla di che). L’idea è sicuramente valida, la risorsa può e dovrebbe fungere da gateway per la consapevolezza dell’utilizzatore affinché non faccia un errore banale e assolutamente evitabile. Utile anche per capire -una volta diventati vittime- come tirarsi fuori dai guai in autonomia.

Esistono alternative valide che voi sappiate? Se si, non esitate a parlarne nei commenti ;-)