Archives For Sicurezza

Probabilmente era solo questione di tempo, la speranza che ci fosse dietro qualcuno a gonfiare la cosa più del dovuto, magari per farsi notare nella community e ottenere quei 15 minuti di notorietà. E invece no. Il leak delle credenziali Dropbox datato 2012 e quasi passato inosservato per molti (non per tutti, rilanciato anche da molte testate e siti web, nda) sembra essere reale e funzionante.

A volte ritornano: dell'attacco a Dropbox e delle credenziali rubate

In questi giorni arrivano mail da Dropbox che invitano a cambiare la propria password di accesso solo per “prevenire possibili attacchi“, in realtà c’è chi ha messo le mani su quanto sottratto 4 anni fa, ottenendo “buoni” (si fa per dire) risultati, dimostrando come siano ben visibili le coppie di credenziali (username e password) all’interno dei file recuperati. Consiglio caldamente la lettura dell’articolo di Troy Hunt in merito, disponibile all’indirizzo troyhunt.com/the-dropbox-hack-is-real. Con pochi passaggi ha mostrato come le credenziali per l’accesso all’account Drpobox della moglie fossero alla mercé di tutti (quelli coloro hanno copia degli accessi sottratti, nda), nonostante la password fosse stata creata in maniera robusta e difficilmente “calcolabile o intuibile“.

Il suo progetto, HIBP (Have I been pwned? Qui maggiori informazioni) raccoglie 68.648.009 account di Dropbox potenzialmente compromessi, immediatamente ricercabili. Io ho già trovato uno dei miei account Dropbox, risulta facente parte dell’elenco sottratto all’azienda, ma avevo cambiato password e abilitato l’autenticazione in due fattori già all’epoca dell’attacco (nel frattempo ho anche modificato la mail di accesso), non ho mai riscontrato problemi in seguito (furto di dati, cancellazioni o simili).

A volte ritornano: dell'attacco a Dropbox e delle credenziali rubate 1

Tu puoi fare la stessa cosa. Di certo devi andare a verificare che il tuo indirizzo di posta non faccia parte di quell’elenco (e potenzialmente anche di altro), quindi cambiare la tua password e abilitare l’accesso 2-Step come già spiegato in questo mio vecchio articolo (scritto proprio dopo quell’attacco del 2012):

Sicurezza: la 2-step verification di Dropbox

Prima di concludere: ricorda di iscrivere ogni tuo indirizzo di posta elettronica, utilizzato per registrarti a servizi di terze parti, al sito di Troy (da qui: haveibeenpwned.com/NotifyMe), così da ricevere tempestivamente un avviso nel caso in cui il tuo account venga sottratto da qualche database senza che tu ne sappia alcunché, così da reagire immediatamente all’attacco e cambiare la tua password. Ricorda: evita di utilizzare la stessa password per più servizi, ti esponi a maggiore facilità di penetrazione. Utilizza sempre una password facile da ricordare (per te) ma difficile da intuire (sembra un gioco di parole, ti assicuro che non vuole esserlo). È buona norma raggiungere o superare gli 8 caratteri alfanumerici includendo possibilmente una maiuscola e un segno di punteggiatura o altro simbolo, in alcuni casi viene accettato anche lo spazio.

Giusto per capirci: lo sai che “Il cavallo bianco di Napoleone :-)” è una password più complessa di “L0h4ck3r2o16.!!” o altre simili inventate sul momento, pensando che così nessuno possa trovarle? L’apparenza inganna spesso. Utilizza un buon programma per generare e salvare le tue password (1Password, KeePass e simili), cerca di averne una per ciascun servizio utilizzato, proteggi il più possibile i tuoi accessi con la 2 Factor Authentication.

Estote parati (citando il buon Matteo).

Ho da poco scelto di sostituire un compagno fedele che per anni ha protetto l’accesso a questo blog (e non solo questo), chiedendomi sempre un codice di autenticazione insieme alla password del mio account. Sai già quanto ho spesso parlato in passato di autenticazione in due passaggi e quanto è importante per proteggere l’accesso ai servizi che utilizzi.

WordPress: suggerimenti sulla gestione delle immagini 3

Il tuo blog WordPress non fa certo eccezione, per anni (in concomitanza con l’attivazione 2-Step per il mio account principale Google, da poco rinnovata) ho utilizzato (e mi sono trovato bene) il plugin gratuito Google Authenticator:

Google Authenticator
Developer: Henrik Schack
Price: Free

Una rapida configurazione per ciascun account utente, procedendo in autonomia tramite area personale (quella con tutti i dettagli dell’account WordPress) ed ecco servito il campo Authenticator come obbligatorio per poter procedere, la migliore condizione è quella nella quale non si prevede una password per accesso applicativo (per esempio per utilizzare il blog dall’applicazione WordPress per iOS o Android) così da evitare ulteriori rischi. Perché quindi ho scelto di cambiare? Maggiore comodità e standardizzazione riferita all’utilizzo di Authy, applicazione che permette di generare codici di autenticazione 2-Step della quale ti ho già parlato in passato. È proprio suo il plugin in uso adesso, che permette tra l’altro di sfruttare un’autenticazione “OneTouch” estremamente comoda e simile a quella pensata e realizzata da Google.

Il plugin di Authy: configurazione e test

Installa e attiva il plugin di Authy, lo trovi (come al solito) nell’area pubblica su WordPress.org (raggiungibile quindi anche da Dashboard):

Authy Two Factor Authentication
Developer: various
Price: Free

Ora, per poter utilizzare il plugin, dovrai fornire una chiave API (gratuita) che dovrai generare dal sito web del produttore, all’indirizzo authy.com/signup (ti confermo che occorrerà creare un account Twilio per generare l’API Key di Authy, giusto per tua sicurezza). Grazie all’account appena registrato, potrai poi fare accesso anche a dashboard.authy.com, sito web dal quale gestire l’applicazione appena generata (e attraverso la quale hai ottenuto la chiave API per configurare il plugin nel tuo blog) e crearne di nuove senza ovviamente dover registrare ogni volta un nuovo account.

Copia la chiave API, torna su WordPress e incollala nel campo Authy Production API Key delle impostazioni del plugin:

WordPress e Authy: autenticazione OneTouch 4

Assicurati di aver abilitato la possibilità di autenticarsi in due fattori per le categorie di utenti che desideri (nel mio caso le ho selezionate tutte) e di rendere obbligatorio il doppio fattore (l’opzione avrà validità solo per chi poi andrà ad abilitare l’autenticazione in due fattori nel proprio profilo del blog), quindi fai clic su Save Changes per confermare.

Il plugin, se nulla è andato storto, sta già facendo il suo lavoro e permette già un’autenticazione in due passaggi. Per poterlo verificare, ti basterà andare nel tuo profilo sul blog, quindi scorrere la schermata e andare ad abilitare la Two-Factor Authentication, come in immagine:

WordPress e Authy: autenticazione OneTouch

Questo farà partire la procedura di verifica, la quale richiederà anche il tuo numero di telefono (ti verrà inviato un codice via SMS per confermare la tua identità). Una volta immesso il codice ricevuto, l’autenticazione in due fattori sarà finalmente attiva.

Prova a disconnetterti dal blog. Ricollegati subito dopo, dovresti poter vedere il solito blocco di richiesta username e password. Una volta superata la prima autenticazione, ti troverai davanti alla necessità di inserire il codice 2-Step generato da Authy. Se inserendolo e confermando il login passi questo ulteriore controllo, vorrà dire che hai portato a termine il tuo lavoro in maniera corretta :-)

(Se non hai passato il controllo e non riesci più ad accedere alla tua Dashboard, puoi sempre andare a cancellare o rinominare la cartella del plugin via FTP, questo basterà ad eliminare l’ostacolo e permetterti di autenticarti come amministratore nuovamente, per andare a verificare cosa è andato storto).

OneTouch

Non mi sono dimenticato. Ho scelto di parlarti di OneTouch in un paragrafo separato perché si tratta di qualcosa in più rispetto al funzionamento base di Authy. OneTouch permette infatti di autorizzare l’accesso al proprio blog con un semplice clic, una volta aperta l’applicazione sul proprio smartphone. Ciò non implica il fatto di dover escludere l’autorizzazione 2-Step con codice generato randomicamente, è semplicemente un diverso tipo di “ultima autorizzazione” e sarà sempre possibile scegliere di utilizzare ancora il codice numerico.

Per attivare OneTouch, ti basterà tornare nelle opzioni del plugin di Authy e abilitare la funzione che si trova nella parte finale della pagina delle opzioni. Verrai così collegato alla Dashboard del prodotto (quella di cui ti ho parlato prima) dove confermerai l’attivazione del servizio, che verrà così messo a disposizione delle categorie di utenti da te selezionati.

Salvo errori, potrai ora disconnetterti e riconnetterti al tuo blog per verificare il funzionamento della modifica. Una volta autenticato con username e password, dovresti poter arrivare a una schermata molto simile a questa:

WordPress e Authy: autenticazione OneTouch 3

Dovrai ora aprire l’applicazione di Authy sul tuo smartphone e confermare che si tratta di una tua richiesta di accesso. Per comodità, ti propongo qui di seguito i collegamenti rapidi al download dell’app su iTunes Store e Play Store.

Authy
Authy
Developer: Authy Inc.
Price: Free
Authy 2-Factor Authentication
Developer: Authy
Price: Free

La schermata che vedrai, dovrebbe essere molto simile a questa:

WordPress e Authy: autenticazione OneTouch 5

Da questa potrai approvare il tuo accesso. Dopo un paio di secondi circa, il blog ti lascerà passare e accedere così alla Dashboard amministrativa, senza la necessità di inserire un ulteriore codice random :-)

Comodo, facile, veloce da implementare, ti assicuro che è stato forse più difficile parlarne che mettere il tutto in pratica.

Non è una novità, sul web è rimbalzato pressoché ovunque e nonostante mi fossi imposto di riprendere “i lavori” la prossima settimana, pubblico questo piccolo articolo per te che probabilmente hai visto sommarie informazioni in merito e non hai capito bene cosa sta succedendo. In parole estremamente povere: WhatsApp comincerà a condividere dati con Facebook.

WhatsApp, Facebook e la privacy: condivisione dei dati

Per spiegarla meglio: dato che Facebook detiene la proprietà del famoso colosso della messaggistica istantanea (dal 2014, nda), qualcuno ha ben pensato di sfruttare la possibilità di catturare qualche statistica di utilizzo e informazioni basilari (come il numero di telefono dell’utilizzatore, o degli amici in rubrica) per offrire una migliore esperienza di utilizzo (guarda, gli asini che volano!) e pubblicità più focalizzata sui propri interessi quando si apre il Social Network tutto blu. Conclude questo idilliaco quadretto la possibilità di bloccare la condivisione dati entro 30 giorni al massimo dall’aggiornamento dell’applicazione che proporrà poi, alla sua apertura, le nuove condizioni di privacy da accettare.

Se vuoi approfondire maggiormente la questione, ti rimando al buon articolo di Forbes pubblicato ieri: forbes.com/sites/thomasbrewster/2016/08/25/whatsapp-facebook-share-your-number-and-usage-data/#6d92c26e3bee

Quello che invece puoi fare subito è sapere dove mettere le mani per evitare di incrociare i flussi tra i due big della comunicazione.

Se hai già aggiornato l’applicazione, sappi che ti troverai davanti all’accettazione delle nuove condizioni subito dopo la riapertura, è proprio da qui che potrai metterci una pezza e rifiutare la novità, senza perdere la possibilità di utilizzare il programma di messaggistica istantanea:

La procedura da seguire si trova nella descrizione delle immagini, la riporto qui di seguito per tua comodità:

  • Apertura del programma dopo l’aggiornamento. Viene mostrato un avviso di aggiornamento delle condizioni sulla Privacy. Fai clic sull’avviso in basso (Per saperne di più …).
  • Scegli di NON condividere le informazioni con Facebook togliendo il segno di spunta all’unica opzione disponibile.
  • A conferma della modifica, vedrai il popup in immagine, il quale ti farà presente che facendo clic su “Accetto” non permetterai la condivisione delle informazioni tra WhatsApp e Facebook.

E se ho già accettato la condivisione distrattamente?

È facile che ti sia capitato di fare clic su “Accetto” subito dopo la riapertura del programma, senza fare caso a cosa stavi realmente accettando. Nessun problema, è il sito di WhatsApp stesso a dare la procedura da seguire.

La trovi all’indirizzo whatsapp.com/faq/en/general/26000016, si tratta semplicemente di andare in Settings (Impostazioni, localizzato in italiano) → AccountShare my account info, come da immagine pubblicata da WhatsApp stessa:

WhatsApp, Facebook e la privacy: condivisione dei dati 4

Buon fine settimana ormai prossimo! :-)

Sicurezza: la 2-step verification di PayPal 3Un tempo limitata e non accessibile dall’Italia, da un po’ a questa parte è finalmente stata sbloccata e resa disponibile per tutti. Ora anche noi possiamo proteggere con un accesso a “doppia mandata il nostro account PayPal, estremamente delicato a prezioso perché spesso gateway verso la nostra carta di credito o conto corrente bancario e si sa, con i soldi non si scherza.

Anche questo articolo va così ad aggiungersi alla già importante lista di quelli che ti parlano di sicurezza e 2-Step Authentication, ormai dovrei essere diventato per te insopportabile e quasi monotematico, ma ribadisco sempre e comunque che si tratta di un argomento importante e da non sottovalutare, soprattutto quando si tratta di dati riservati che non vogliamo finiscano in mano a sconosciuti.

Per abilitare l’autenticazione a due fattori di PayPal ti basterà visitare l’URL paypal.com/cgi-bin/webscr?cmd=_security-token, autenticarti e specificare ora il tuo numero di telefono principale, sul quale PayPal potrà spedire un SMS contenente il codice da inserire quando avrai superato correttamente l’autenticazione con password.

sshot-1

Una volta registrato, PayPal invierà un codice di verifica che servirà a completare l’operazione. Solo così potrai vedere quel numero come correttamente registrato all’interno del profilo di sicurezza PayPal:

sshot-2

Da ora in poi ricorda che senza quel codice, non potrai accedere al profilo PayPal da una nuova postazione non precedentemente autenticata (o sulla quale hai effettuato manualmente un log-off). Come ulteriore verifica, riceverai una segnalazione a mezzo posta elettronica per ricordarti di aver richiesto di effettuato un nuovo accesso al sito web, il quale ovviamente richiederà anche il secondo codice di sicurezza, generato randomicamente nello specifico momento dell’accesso, così da evitare possibili attacchi dall’esterno.

Sicurezza: la 2-step verification di PayPal 2

Cosa stai aspettando? Vai ad abilitarlo!

Importante novità da parte di Google, si torna a parlare di autenticazione a due fattori e lo si fa in una maniera nettamente più semplice rispetto all’inserimento del codice temporaneo generato dal loro Authenticator o da applicazioni di terze parti come Authy. Per te che forse non lo hai letto, consiglio uno sguardo al mio vecchio articolo dove ti parlo dell’autenticazione a due fattori di big G., scritto ormai 4 anni fa (si, il tempo passa molto velocemente).

Oggi Google permette di richiedere direttamente sul cellulare l’autorizzazione a lasciar accedere una sessione sconosciuta, magari da una nuova postazione, cosa che fino a oggi (in realtà fino a qualche giorno fa, dato che questo articolo verrà pubblicato in maniera schedulata) era possibile fare solo tramite un nuovo codice di autenticazione generato sul momento.

Sicurezza: la nuova 2-step verification di Google 7

Di cosa hai bisogno

Assolutamente nulla, se sei possessore di smartphone Android. Se invece possiedi un dispositivo Apple, assicurati di aver scaricato e installato l’applicazione ufficiale di ricerca di Google:

Google
Developer: Google, Inc.
Price: Free

A questo punto sei pronto per la configurazione della nuova modalità di accesso sicuro. Accedi a myaccount.google.com/security/signinoptions/two-step-verification e autenticati (ti verrà richiesto, anche se sei già collegato a Google), nelle opzioni di sicurezza potrai configurare un diverso metodo di accesso, qui troverai Messaggio di Google:

Sicurezza: la nuova 2-step verification di Google 5

A questo punto comincerà un piccolo wizard che ti guiderà alla scelta del telefono che potrà autorizzare l’accesso da nuova postazione, ammesso che questo abbia un blocco schermo abilitato e protetto da una qualsivoglia autenticazione (sequenza, PIN, impronta digitale, ecc.):

Una prova “in diretta” del nuovo metodo farà comparire a video (del dispositivo scelto) la richiesta di conferma della tua identità, così da lasciar proseguire la nuova postazione nell’atto di login:

Il gioco è fatto e il nuovo metodo è già utilizzabile. Potrai accedere da una nuova postazione al tuo account Google sia tramite codice di autenticazione (Authy, Google Authenticator), sia tramite messaggio sul display del tuo dispositivo principale.

Sicurezza: la nuova 2-step verification di Google 4

Grazie Google. Non c’è davvero nessun motivo per continuare ad utilizzare un’autenticazione basata sulla sola password come ultima barriera contro i potenziali malintenzionati.