Non è di molto tempo fa la mail inviata da eBay ai suoi utenti nella quale viene riportato lo spiacevole evento per antonomasia, tallone d’Achille per ciascuna grande azienda (ma anche per il piccolo sito web): una compromissione del sistema con conseguente furto di dati, password criptate comprese. Prevedibile l’invito al cambio -quanto prima- proprio di quella password per l’accesso al profilo personale. Nella peggiore delle ipotesi (sfortunatamente caratteristica comune del bacino di utenza medio-bassa) una criptazione che dopo svariati tentativi e tempo è scavalcabile grazie alla semplicità delle password scelte, alla totale mancanza di casualità, di segni di punteggiatura o altre accortezze che possono rendere più difficile il compito (che questa vignetta di xkcd possa rimanervi bene impressa in testa).

Avete mai pensato che la stessa eBay è collegata e diretta proprietaria di PayPal che ha libero (o quasi) accesso alla vostra carta di credito? Scegliere una password molto complessa è molto importante, lo è ancora di più tenere d’occhio i pagamenti che sono stati salvati come ricorrenti e pre-autorizzati e magari approfittarne per completare il giro con una pulizia degli indirizzi di spedizione memorizzati. Vi spiego qui di seguito come fare.

Pagamenti ricorsivi: quali sono e come bloccarli

Fate accesso a PayPal e seguite questi passaggi:

• andate nel vostro profilo (Profile, tra le voci del menu My Account);
• spostatevi nella voce di menu “My money” (menu a sinistra) quindi “Update” in corrispondenza di “My preapproved payments“;

Se non doveste riuscire a trovare le voci o se volete saltare a piè pari la difficoltà posso darvi l’URL completo e diretto: paypal.com/it/cgi-bin/webscr?cmd=_manage-paylist.

E’ tutto organizzato come nell’area RID della propria banca. Una lista molto dettagliata di ogni pagamento autorizzato e ricorsivo che parte dal vostro account PayPal, troverete all’interno della lista anche i pagamenti non più attivi o cancellati così da avere uno storico di quanto fatto in passato oltre che nel presente. Selezionando qualsiasi voce potrete leggerne i dettagli, date, beneficiari e molto altro ancora.

Selezionando la voce “Cancel” all’interno di un pagamento potrete decidere di bloccarne la sua ricorsività. Così facendo chi offre il servizio e fa partire una richiesta di pagamento vedrà arrivare un rifiuto e voi non avrete così brutte sorprese sul conto. Non dovrebbe servire dirlo ma è chiaro che tale operazione va fatta solo in caso di necessità. Questo perché l’operazione dovrebbe essere sempre fattibile dal sito web originale dal quale arriva la richiesta di pagamento, dovrebbe essere lui a farvi scegliere se continuare a pagare automaticamente nel tempo o non, so per certo che però non è sempre così (uno tra tanti è Dropbox, per la cronaca, Flickr segue a ruota), è quindi giusto intervenire alla sorgente e non permettere di scalare soldi senza la vostra autorizzazione. Nel 99% dei casi si riceverà una mail di mancato pagamento da parte di chi offre il servizio e potrete così decidere se effettuarlo o meno, ancora una volta ricordandovi però di andare a bloccarne la ricorsività su PayPal subito dopo. Se avete dubbi su un pagamento, bloccatelo. Dormirete sonni un po’ più tranquilli e filtrando i soli pagamenti attivi avrete un immediato riscontro di ciò che è “a bolletta“, tra Spotify, Dropbox e le ricariche automatiche delle mie SIM io credo di essere a posto :-)

Pulizia degli indirizzi di spedizione

Sicuramente in secondo piano rispetto ai pagamenti ricorsivi ma ugualmente importante per tenere una situazione quanto più pulita a velocizzare i tempi di checkout quando fate acquisti che richiedono direttamente a PayPal l’indirizzo dove poter spedire la merce acquistata (a patto che questa sia fisica, ovviamente). Accedete a “Add or Edit Address” da Profile (menu My Account) nella pagina principale.

Da qui avrete accesso immediato a tutti gli indirizzi precedentemente salvati / dichiarati per la ricezione. Potrete scegliere quello di casa (ne troverete sempre uno assegnato alla carta di credito utilizzata, più di uno se le carte sono molteplici) e aggiungerne di nuovi come l’ufficio, la casa della compagna o quella dei genitori o altro ancora. Potrete altresì cancellarne vecchi non più utilizzati in maniera rapida selezionando la voce “Remove” in corrispondenza di quello non più necessario.

In conclusione

E’ sempre molto importante tenere d’occhio ciò che può in qualche modo avere accesso alle vostre finanze. Nessuna password è mai troppo sicura, nessun professionista è mai troppo preparato ad attacchi dall’esterno. Ordine, un pelo di attenzione e soprattutto più livelli (quando possibile) di autenticazione sono sempre preferibili. Spero che questo paio di consigli possano tornarvi utili :-)

Ve ne ho parlato talmente tanto che spiegarvi ulteriormente cos’è una verifica in due passaggi è uno spreco di spazio nel database del blog, per chi si fosse perso qualche passaggio può tornare utile leggere uno qualsiasi tra i vecchi articoli e approfondire la questione. La verifica in due passaggi costituisce una ulteriore barriera contro possibili attacchi ai vostri account in rete, soprattutto di questi tempi che bug come Heartbleed hanno minato fiducia e procurato seri danni ad aziende e persone.

Attivare la verifica in due passaggi su Yahoo! è molto semplice e veloce e vi costringerà solo a ricordare le risposte alle domande di sicurezza che avete impostato in fase di registrazione o tenere a portata di mano il cellulare che potrà ricevere il codice via SMS, allo stato attuale non c’è compatibilità con le applicazioni di autenticazione come il Google Authenticator.

Avete inserito tutti i dettagli?

Per attivare la verifica in due passaggi basterà visitare la pagina edit.yahoo.com/commchannel/sec_chal_manage e seguire le istruzioni a video. Ammesso che voi abbiate precedentemente inserito delle domande di sicurezza con risposte sensate (che potete e dovete ricordare facilmente ma che non dovranno essere altrettanto facilmente vulnerabili a conoscenza e intelligenza di persone dall’esterno, familiari compresi) e il vostro numero di cellulare, Yahoo! vi permetterà di richiedere un codice via SMS che vi consentirà il collegamento alle risorse collegate al vostro account da una postazione sconosciuta, non precedentemente abilitata quindi al login ai suoi servizi (Flickr compreso, ndr).

Questo è il metodo sicuramente più rapido e sicuro per accedere. Inutile dire -come sempre- che diventa di fondamentale importanza avere a portata di mano il proprio cellulare ma soprattutto prendersi cura del dispositivo tanto quanto della SIM alla quale è collegata il numero di telefono. Perdere quel numero potrebbe voler dire dare accesso alle vostre risorse a chiunque riesca ad utilizzarla. Devo quindi ribadire il concetto di quanto sia fondamentale tenere attivo un codice di blocco sul telefono (iPhone, Android o qualsiasi altro) e un codice PIN sulla scheda?

Confermando il numero di telefono si riceverà un primo codice che sarà necessario inserire a video come conferma dell’attivazione della verifica in due passaggi:

Così come per i servizi di Google anche Yahoo! fa presente che per accedere alla posta elettronica tramite client di posta (iOS, Windows, ecc.) sarà necessario creare una password specifica per l’applicazione, un’operazione semplice che ovviamente genererà una password complessa che non dovrete memorizzare, ma semplicemente riportare nell’applicazione desiderata, salvarla e dimenticarla, un domani basterà generarne una nuova nel caso in cui ne avete la necessità.

Tenere la verifica attiva sia con domande di sicurezza che telefono vi permetterà di accedere all’account anche nel caso in cui non abbiate a portata di mano il dispositivo o in caso di problemi del vostro carrier telefonico. Questo perché, al contrario di altri servizi, Yahoo! non genera uno o più codici di backup da conservare in luogo sicuro nel caso in cui non sia più disponibile la via primaria di accesso all’account (una pecca a dirla tutta, ndr).

Un’ultima mail dal provider vi confermerà l’avvenuta attivazione del servizio e la possibilità di dormire sonni un po’ più tranquilli (senza mai abbassare del tutto la guardia, mi raccomando!):

Attivatela, non fa male e vi porterà via solo qualche minuto ;-)

La mail che mai vorresti leggere, meglio ancora non arrivasse proprio: dopo 10 anni di onorato servizio gratuito per scopi non commerciali, LogMeIn Free verrà spento il prossimo 21 gennaio e sarà necessario passare quanto prima alla versione Pro che aggiungerà funzionalità (non richieste da chi come me apprezzava il semplice controllo remoto della macchina) pesando sul portafogli a fine anno quando sarà necessario licenziare ogni vostra macchina (ci sono diversi pacchetti di licenze disponibili, ma nessuno particolarmente economico, almeno per quanto mi riguarda):

A partire dal 21 gennaio 2014, LogMeIn Free non sarà più disponibile. Per continuare a usare l’accesso remoto, dovrai acquistare una sottoscrizione per l’account di LogMeIn Pro.

A nulla vale -nel mio caso- la possibilità di sfruttare 6 mesi di abbonamento Pro gratuito ed il 50% di sconto per un anno sul totale del pacchetto licenza da acquistare per i PC che controllo tramite il mio account, non mi interessa nonostante si tratti di una buona offerta iniziale. Io ho sempre sfruttato LogMeIn per controllare i miei PC e quelli della mia famiglia nei momenti di difficoltà o necessità di fare qualche test da una rete diversa da quella aziendale alla quale sono connesso quasi tutti i giorni per tante ore. Un vero peccato, ma non resta che ringraziare per tutti questi anni, per un servizio che nella sua versione più base ho sempre considerato un must, soprattutto per chi dietro rete Fastweb non ha mai avuto vita facile con gli IP pubblici.

Disinstallazione di LogMeIn

Rapida e indolore su Windows, basterà avviarla dal solito Pannello di Controllo e dopo un paio di minuti al massimo il PC non conterrà più alcuna traccia del software e dalla dashboard online non sarà più visibile la postazione. Su OS X non ho trovato l’uninstaller, non così facilmente almeno come si dice sul forum del prodotto. Ho quindi optato per la via Terminale e script di disinstallazione, quello l’ho trovato abbastanza facilmente:

cd /Library/Application\ Support/LogMeIn

sudo ./uninstaller.sh 

Uscendo da Terminale sparirà anche la cartella del software e lo spazio vuoto lasciato dall’icona nella barra superiore del sistema. Se avete installato il plugin del browser troverete all’interno della cartella Application Support anche “LogMeInPlugin”, entrandoci troverete un file di disinstallazione (doppio clic, password di sistema, fatto!).

TeamViewer

Ne ho parlato anche altre volte ed è il software che abbiamo scelto in azienda per controllare da remoto PC in LAN e su internet, opportunamente configurato, il più possibile messo in sicurezza per evitare sgradite sorprese. Montarlo sui PC di casa penso sia una buona idea perché negli anni è rimasto gratuito anch’esso per scopi non commerciali e ha lentamente integrato le mancanze rispetto a LogMeIn.

Oggi TeamViewer funziona sui tre sistemi operativi principali, ha la sua applicazione che permette di gestire i propri PC da iOS, ha un plugin abbastanza pesante, lento ma comunque funzionante per permettere il remote-control anche via web dove TeamViewer non è installato (ampi margini di miglioramento, mettiamola così).

Diamo insieme un’occhiata alle opzioni da ritoccare su TeamViewer per permettervi di collegarvi ai PC interessati in qualsiasi momento, da qualunque postazione. Le immagini sono state prese da OS X ma ritrovate le stesse voci (quasi tutte) grosso modo nelle stesse posizioni, basta un minimo di attenzione.

Generale / Protezione

Date un nome alla postazione (Generale / Nome visualizzato) e prima di poter impostare TeamViewer per l’avvio automatico con il sistema occorrerà disabilitare (consigliato) o alzare minimo a 6 i caratteri generati randomicamente per creare la password temporanea di accesso (in Protezione). Per potervi collegare alla postazione da remoto dovrete scegliere una password fissa, possibilmente robusta, anche questa da inserire in Protezione:

Applicate la modifica. Tornando ora in Generale riuscirete ad configurare TeamViewer per l’avvio automatico con il sistema e -perché no- accettare connessioni tramite LAN, così da trasformare il programma in un normale VNC e permettere l’inserimento delle credenziali utente di sistema:

Avanzate

Ho saltato diverse schermate perché TeamViewer propone delle opzioni di default tutto sommato valide, ottimizzando ed eliminando sfondo e gli effetti vari di sistema che non fanno altro che rallentare l’operatore che fornisce assistenza. In questa schermata potrete decidere di mostrare o nascondere lo stato della macchina (online / offline), cercare nuove versioni del software (vi consiglio di tenere il controllo settimanale attivo con installazione automatica degli aggiornamenti della versione corrente, per evitare ogni tipo di problema legato a qualche baco), scegliere cosa permettere e cosa no a chi si connette da remoto (mai permetterei di bloccare tastiera e mouse, questo perché nel caso in cui qualcuno riesca a connettersi ad una nostra macchina si riuscirebbe almeno a prendere il controllo e chiudere l’applicazione!).

Magari tenete attiva la registrazione delle sessioni (connessioni in ingresso in special modo) così da sapere sempre chi ha fatto cosa sulla vostra macchina.

Le opzioni terminano qui. Tenere attivo TeamViewer su ogni vostra macchina vi consentirà di collegarvi quando necessario anche a kilometri di distanza ;-)

Un account per domarli, un account per trovarli, Un account per ghermirli e nel buio incatenarli.

Non ho resistito, scusate :-)

Creare un account comune per controllare tutte le proprie macchine contemporaneamente è ovviamente la soluzione migliore per ottenere quello che ha sempre permesso LogMeIn: una sola “dashboard“. Sia chiaro, non serve per arrivare a destinazione sulla macchina desiderata, basterà infatti ricordarsi (fosse semplice, magari è meglio prendere nota) il codice numerico assegnato a questa e la password da voi stabilita per fare assistenza remota. Ribadisco quindi ancora una volta: occhio a scegliere una buona password di collegamento alla postazione.

La registrazione dell’account è gratuita per tutti e la si fa tramite login.teamviewer.com. Lo username corrisponderà alla vostra casella di posta elettronica, la password dovrebbe essere -consiglio- diversa da quella che avete stabilito per entrare nei PC. Confermate la registrazione e attraverso un qualsiasi TemViewer client (o anche tramite l’interfaccia web) potrete cominciare ad aggiungere gli ID delle macchine da controllare:

operazione che è possibile portare a termine anche “al contrario“, ovvero stabilendo da subito nel client installato chi potrà controllare di default la macchina, potete impostare questa opzione dalla schermata Generali (in fondo alla schermata potrete specificare utenza e password di collegamento all’account registrato, così facendo la macchina comparirà nel parco di quelle gestibili):

Personalmente, a completamente del quadro, vi consiglio di abilitare l’autenticazione a due fattori anche sull’account di TeamViewer, che qualche mese fa l’ha introdotta tra le sue feature (sarebbe bello lo facesse anche per la password impostata su ogni client, cosa decisamente più importante rispetto alla possibilità di entrare in una dashboard, nda), ecco come procedere …

Autenticazione a due fattori

Ancora una volta la 2-Step Authentication, ancora una volta una semplice app sul proprio cellulare. Ho utilizzato come al solito Google Authenticator (ve ne ho parlato diverse altre volte, date una occhiata a questi articoli) ed il classico codice QR prodotto da chi fornisce il servizio.

Per attivare questo tipo di autenticazione sarà necessario collegarsi al proprio account TeamViewer dal sito login.teamviewer.com ed entrare nelle opzioni dell’account stesso, quindi scegliere di abilitarla (nel mio caso è già attiva, ecco spiegato il perché dell’immagine):

Il sito vi proporrà il codice QR da inquadrare in attesa che venga rilevato e vi venga fornito quindi una sequenza numerica con la quale confermare l’avvenuta attivazione della funzionalità sul sito web. Da ora in poi siete legati a quel generatore di codici (come già succede per diversi altri servizi web e non solo) e potrete disattivare la richiesta dell’autenticazione a due fattori solo inserendo un codice univoco che vi verrà fornito da TeamViewer.com e che vi conviene salvare in un luogo sicuro. Un codice, uno sblocco, ne verrà generato uno nuovo nel caso in cui voleste poi riattivare la 2-Step Auth.

In conclusione

Un’alternativa che tutto sommato rimane la via forse più scontata. E’ gratuita per uso privato, offre molte opzioni, qualcuna in più rispetto alla versione gratuita di LogMeIn e permette un’alta personalizzazione di ciascun client. A tal proposito, nelle opzioni Avanzate del programma (almeno su Windows), troverete la possibilità di esportare in un file di registro tutte le impostazioni che avete ritoccato sul TeamViewer specifico. Vi tornerà molto utile nel caso dobbiate migrare più macchine e non vogliate rifare tutto il percorso a mano (basterà fare clic sul pulsante Importa e dargli in pasto il file di registro precedentemente esportato).

Come al solito l’area commenti è a vostra totale disposizione per dubbi, maggiori informazioni o soluzioni alternative da discutere :-)

Vi ho parlato poco tempo fa di sicurezza in azienda e a casa, ma anche per i vostri dispositivi mobili e tutto ciò che è potenzialmente attaccabile da un malware (e non solo). Meno di un mese fa Kaspersky ha pubblicato un articolo sull’argomento, orientato prevalentemente sul concetto di multi-sicurezza, ciò che nessuno di noi credeva necessario fino ad una manciata di anni fa quando ci si limitava ad acquistare o scaricare un prodotto antivirus adatto alla protezione di un solo client, oggi diventato impensabile (non fosse già per il numero di PC tipicamente ospitati sotto lo stesso tetto).

Si contano circa 4,5 dispositivi connessi al web per ciascuna famiglia (così pochi? nda), tutti questi vengono tipicamente colpiti da attacchi più o meno mirati. Si va dal più classico dei virus per Windows (soprattutto le versioni più vecchie ma non abbandonate in favore delle più recenti) agli escamotage un po’ più complessi per attaccare la robustezza alla quale ci ha abituati OS X per il quale il client antivirus è necessario solo se non basta il buonsenso e l’esperienza dell’utilizzatore, passando obbligatoriamente da Android dove un sistema operativo decisamente più aperto e libero rispetto ad iOS fa da incubatrice per le infezioni nascoste dietro applicazioni apparentemente innocue (giochi, software che promettono di spiare il prossimo e mille altre cose simili) senza dimenticare i metodi “classici” dove il vincolo di infezione diventa il sempreverde SMS e le mille pagine e mail di phishing in qualsiasi salsa e compatibili con qualsiasi device o browser o client di posta pur di arrivare alle vostre credenziali bancarie. Se a questo si aggiunge la facilità nello smarrire lo smartphone capite anche voi quanto sia semplice far la frittata.

Il risultato della statistica e di quanto appena riportato sopra si trasforma in un’infografica:

Vuoi inserire l’infografica sul tuo sito?

Ti basterà copiare e incollare il codice qui di seguito per portarla all’interno del tuo sito web o del tuo blog senza la necessità di caricare l’immagine nel vostro spazio:

<a href="http://gioxx.org/wp-content/uploads/23-10-13-PNG_Kaspersky_Lab_infographics_Multi_security_for_multi-devices-DF.png"><img src="http://gioxx.org/wp-content/uploads/23-10-13-PNG_Kaspersky_Lab_infographics_Multi_security_for_multi-devices-DF.png" alt="Kaspersky multi security for multi devices"></br><a href="http://www.kaspersky.com/it">Kaspersky Lab IT</a> via <a href=" http://gioxx.org/">Gioxx’s Wall</a>

E voi ci pensate alla sicurezza dei vostri dispositivi e del vostro PC? :-)

Le aziende che si occupano di sicurezza sono alla continua ricerca (manco a dirlo) di metodi efficaci per combattere ogni tipo di minaccia informatica. Se in ambito casalingo questo si può tradurre con lo scaricare illegalmente del software che si trasforma poi nel virus difficile da debellare per il neofita (soprattutto), in ambito lavorativo si parla piuttosto di danni parecchio più estesi poiché le reti LAN -se non correttamente studiate, implementate e protette- potrebbero facilmente trasportare quell’infezione di postazione in postazione in perfetto stile “poca spesa, tanta resa“.

Oggi -passato da Sophos a Symantec in ambito aziendale- ho potuto valutare altri (tanti) prodotti in ambito casalingo dove è importante proteggere ogni postazione, soprattutto quando vengono utilizzate da una “moltitudine di tipi di utente”. Magari nessuno particolarmente esperto, oppure con quella formula del “tanto se lo rompo c’è mio nipote che ne capisce di computer“.

Qualche tempo fa Kaspersky ha pubblicato un whitepaper “Perché la complessità è il principale nemico della sicurezza IT” che è palesemente orientato e realizzato per l’IT aziendale ma che contiene diversi riferimenti utili anche all’utente di casa che si interessa (o vuole provare a farlo) all’argomento, che male non fa mai data l’enorme quantità di dati che teniamo su ogni nostra postazione, chiavetta USB o cellulare. Dell’antivirus Kaspersky Lab ne ho già parlato qualche tempo fa in un altro articolo (questo, per la cronaca: gioxx.org/2013/04/23/banco-prova-kaspersky-pure-3-0-total-security), così come ho fatto con molti altri prodotti (magari non in maniera approfondita ma pur sempre citati con pro e contro).

Chiaro che non potrete o non vorrete soffermarvi sulla complessità dell’implementazione di una soluzione ad-hoc a 360°, ma vorrei farvi notare quanto alta sia la statistica di attacchi ai danni di programmi molto diffusi (pagina 7, ndr) come Java e Adobe Flash o Acrobat Reader in primis, con -contrariamente a molte aspettative- Microsoft e IE molto distanti grazie soprattutto agli ultimi grandi progressi fatti con Windows 7 e 8 e Internet Explorer 10 (e 11 anche se non ufficialmente rilasciata in versione stabile). Nulla di nuovo direte voi, eppure molti utenti lì fuori continuano a utilizzare quel tipo di programmi per assenza di reali alternative o per “ignoranza“, ignorano cioè che esistono ben più valide alternative da utilizzare sui propri PC (Mozilla Firefox in primis per sostituire IE ma anche per leggere i PDF nativamente nelle sue ultime versioni, a meno di non voler utilizzare Cool PDF Reader che pesa meno di 1 MB!).

Se a questo aggiungete l’evolversi e il diffondersi di smartphone con a bordo Android che permettono così di navigare in siti web potenzialmente pericolosi o scaricare applicazioni appositamente studiate per sfruttare falle di sistema (pagina 8 e 9, ndr) scoprirete che di attenzione da porre a queste “piccole cose” ce n’è davvero tanta.

Voi siete in regola con la vostra sicurezza? :-)