Tag Archive - Sicurezza

“2-step di Sicurezza”: Migrazione da Google Authenticator ad Authy

Authy iOS foto 2

2StepSecurityOrmai diversi mesi fa, complice il cambio dello smartphone e di sistema operativo (sono passato da iOS ad Android, ndr), ho cercato un’alternativa al sempre adorato e perfetto Google Authenticator perché allo stato attuale non è possibile effettuare un passaggio dei suoi dati da un telefono all’altro, non esiste un backup in cloud (previa autenticazione del mio account Google) né tanto meno un file di configurazione che possa essere copiato tra dispositivi, necessità dettata certamente dai criteri di sicurezza che devono poter impedire l’eventuale clonazione delle mie chiavi di autenticazione venendo così meno al concetto di sicurezza a due fattori.

A questo ho aggiunto la personale necessità di adottare una soluzione che potesse essere acceduta sia dal mio telefono personale che da quello aziendale. Mi sono trovato (un solo caso in tutti questi anni, fortunatamente) in una situazione spiacevole che mai mi era capitata prima: lasciare il cellulare personale a casa, distrattamente dimenticato sotto il cuscino del divano e ovviamente lasciato lì una volta che me ne sono accorto in macchina. Per tutto il corso della giornata non ho potuto utilizzare uno dei miei servizi perché non avevo modo di generare un codice di autenticazione e no, questo servizio non permetteva di generare codici di backup, in pratica sono rimasto chiuso fuori.

L’alternativa esiste da diverso tempo, si chiama Authy e anche se non è open source come Google Authenticator (nonostante pubblichi molto codice su Github) garantisce massima protezione dei vostri dati permettendo inoltre di generare i codici su più dispositivi contemporaneamente (previa autenticazione con password master dell’account).

Authy 2-Factor Authentication
Developer: Authy Inc
Price: Free

Registrare un account è gratuito e l’applicazione per generare i codici è compatibile con pressoché qualsiasi piattaforma: authy.com/users. Inoltre se siete utilizzatori di Google Chrome potete utilizzare l’estensione che vi permette di non staccare le mani dalla tastiera del PC e generare i codici di autenticazione “in diretta” (chrome.google.com/webstore/detail/authy/gaedmjdfmmahhbjefcbgaolhhanlaolb?hl=en) permettendo così di rendere Authy compatibile anche con Windows, OS X o Linux (a quando la stessa estensione per Firefox o magari stand-alone?).

In breve: funzionamento

Installate l’applicazione e avviatela, potrete creare il vostro account immediatamente. Al momento vi basterà inserire il vostro numero di cellulare e il vostro indirizzo di posta elettronica, quindi richiedere la verifica tramite SMS o chiamata (è gratuito in entrambi i casi) e inserirlo nel box a video per confermare la vostra identità (qui di seguito inserisco le schermate iOS, non differiscono da quelle Android):

A questo punto sarà già possibile aggiungere nuovi account che richiedono di generare un secondo codice di autenticazione (come GMail o WordPress.com, tanto per citarne due che utilizzo regolarmente). Date un’occhiata alle impostazioni dell’applicazione, scoprirete che potrete tenere sotto backup tutti i vostri dati, aggiungere un PIN di protezione per evitare che chiunque possa aprire Authy e leggere i codici di autenticazione 2-Step e altro ancora (come spiegato anche sul sito web ufficiale). Authy è un’applicazione molto semplice da utilizzare, veloce, precisa, unica con quella sua possibilità di poter portare il proprio account su qualsiasi dispositivo, una comodità pazzesca.

Migrazione dei codici di autenticazione

Questo paragrafo si basa sulla mia personale esperienza e ovviamente non tutti i miei software / servizi utilizzano l’autenticazione 2-Step con Google Authenticator / Authy, alcuni “fanno tutto in casa“: Facebook genera codici tramite la sua applicazione ufficiale così come Twitter genera le richieste di autorizzazione login all’interno della sua di applicazione (o via SMS in alternativa). Ecco quindi il da farsi con il resto della compagnia. Si parla di WordPress (.com e Self Hosted), di Dropbox, di TeamViewer ed infine di Hootsuite, in futuro aggiungerò sicuramente altri servizi di cui vi parlerò anche qui sul blog, potete seguire tutto ciò che scrivo a proposito di autenticazione a due fattori filtrando il tag “2-step-verification“.

Google è quello più “guidato” da migrare. Permette infatti, tramite il suo stesso sito, di spostare l’autenticazione da un cellulare all’altro, da un sistema (iOS) all’altro (Android). Basterà andare sulla pagina dedicata all’indirizzo accounts.google.com/b/0/SmsAuthSettings#devices e scegliere di modificare il telefono seguendo le istruzioni a video (e cominciando facendo clic su “Sposta su un altro telefono“), come nel passo-passo delle immagini qui di seguito:

A questo punto dovrete invece fare “la fatica” poiché sono diversi i siti web sui quali bisognerà rifare il lavoro. Si comincia da WordPress.com dove l’autenticazione a due fattori va prima disattivata e poi riattivata facendo uso di Authy (dato che cambiano le chiavi di backup, che andranno quindi nuovamente copiate e tenute in un luogo sicuro, mi raccomando), così come TeamViewer, da gestire anche lui tramite sito web (con nuova chiave di recupero annessa).

Senza far troppa fatica invece potrete semplicemente scansionare con Authy il token già generato sia su Dropbox (dove sarà necessario modificare il metodo di autenticazione, selezionare ancora una volta applicazione e seguire le istruzioni a video) che su Hootsuite. Persino i plugin di protezione del login form per WordPress basati su autenticazione Google (come Google Authenticator).

In questi mesi di utilizzo ho potuto realmente apprezzare Authy e la serie di servizi annessi. La comodità di poter generare codici con qualunque dei miei dispositivi è fuori di dubbio il migliore tra i punti a favore della soluzione. Su iPhone 5 (o superiore) l’applicazione potrà essere anche protetta tramite TouchID (altrimenti per Android e iPhone inferiori si potrà utilizzare il più classico e sempre funzionale codice di blocco).

Facebook: terminare le sessioni lasciate aperte in giro e rimuovere la autorizzazioni permanenti

Avete più postazioni, più smartphone, un tablet e non vi fate mancare le applicazioni che usano le informazioni del vostro account Facebook per accedere o registrare un nuovo profilo sull’ultimo servizio alla moda. Comodo, fuori di dubbio. Potenzialmente “pericoloso“, altrettanto vero, non fosse per il fatto che chiunque può sfruttare un accesso lasciato aperto per utilizzare il vostro profilo come meglio crede. Terminare le sessioni ed eliminare le autorizzazioni permanenti che non richiedono un codice per proseguire (per chi ha l’accesso con richiesta codice, ovviamente) è molto semplice, basta sapere come muoversi. L’operazione andrebbe ripetuta di tanto in tanto, non fate come il sottoscritto che aveva ancora delle autorizzazioni datate 2011, magari vi darà fastidio rimettere le credenziali per l’accesso sporadicamente ma è il miglior metodo per non lasciare “nulla di scoperto“.

Accedete a Facebook dalla vostra postazione (con iPad, iPhone e simili non è affatto comodo, ndr) e andate nel menu di Sicurezza:

Facebook-Sicurezza

Spostatevi sotto Protezione e iniziate a controllare le autorizzazioni permanenti (ciò che Facebook chiama “Browser salvati“, ndr) espandendo la voce “Il tuo browser e le tue applicazioni“, il mio “bouquet” era questo fino a prima di scrivere l’articolo:

screenshot-www facebook com 2015-03-20 19-38-09

Davvero troppo lo so. È per questo che ho scelto di terminare ogni accesso permanente dal 2011 ad oggi, lasciando quindi le voci del solo 2015 che riconosco e che ha senso che rimangano “vive” perché appartenenti a dispositivi che utilizzo ogni giorno. Fate clic su “Rimuovi” in corrispondenza di ciascun accesso e quando pronti spostatevi sul “Salva modifiche“. Facebook impiegherà più o meno tempo ad eseguire l’operazione in base al numero totale di accessi che intendete togliere in quel momento, portate pazienza.

A questo punto si passa ai “luoghi“, sessioni autenticate ancora in corso che non richiederanno autenticazione, basterà aprire la finestra del browser (o l’applicazione di terza parte) e il gioco è fatto. Non riconoscere un “luogo” dovrebbe per voi corrispondere all’immediata chiusura della sessione, per sicurezza. Stesso menu di Facebook, stessa pagina (Protezione, ndr), semplicemente una voce più in basso rispetto a prima: “Luogo di accesso“.

screenshot-www facebook com 2015-03-21 11-13-28

Vale quindi un ragionamento simile: si fa clic su “Termina attività” su ciascuna sessione che si intende concludere, l’operazione è immediata, occorrerà quindi autenticarsi nuovamente sulle postazioni buttate fuori. Il mio consiglio è quello di tenere -anche questa volta- le più recenti e riconosciute, al contrario non abbiate paura di fare clic su quel link, è per la vostra sicurezza.

Prima di concludere, ricordate che i 5 consigli sulla sicurezza del vostro account sono ancora validi e –se non li avete ancora messi in atto– potrebbe essere una buona idea farlo adesso in concomitanza con queste “pulizie di primavera” ;-)

Firefox: occhio alle estensioni installate

larry_inv-firefoxIl ricordo di eXtenZilla è ancora vivo nonostante il progetto sia ufficialmente terminato nel 2013 dopo quasi 9 anni di vita. Nato nel 2005 da una costola di Mozilla Italia è servito a fornire a voi tutti componenti aggiuntivi per Firefox (e non solo) in italiano, con un forum di supporto e documentazione sempre aggiornata per cercare di guidarvi passo-passo alla personalizzazione del vostro browser o a collaborare per mettere sul fuoco sempre più carne.

AMO (addons.mozilla.org) è cresciuto tanto nel frattempo, così come altri progetti internazionali che sono in grado di garantire quel lavoro che un tempo era solo di eXtenZilla nella nostra penisola. Negli stessi anni Firefox si è diffuso parecchio e come ogni software ad alta diffusione attrae l’attenzione di sviluppatori (fortunatamente non molti) che vogliono trarne un profitto in maniera poco ortodossa. Sono nate estensioni malevole che aprono finestre pubblicitarie indesiderate o fanno comparire banner all’interno di pagine che in realtà non ne contengono. Sono anni che sviluppo e mantengo liste Adblock e leggo report su report di questo tipo (diciamo che posso vantare una certa esperienza in merito). Ne ho parlato, ne ho scritto (e lo faccio tutt’ora), sfortunatamente però le vittime non accennano a diminuire. Bisogna fare attenzione ragazzi, molta attenzione. Quando installate software gratuiti che promettono di farvi conquistare il mondo a colpi di clic spesso non fate caso a quelle piccole caselle spuntate dove si dice “Accetti di installare anche il componente Ti Metto Pubblicità Ovunque” o cose simili, non le togliete, andate avanti fino alla fine ed ecco servito il problema per il quale poi correre a lamentarsi (è un po’ come mettere volutamente le mani sul fuoco e poi piangere per essersi scottati).

C’è uno strumento utile che ho trovato per puro caso e che spero potrà essere tenuto aggiornato (anche grazie alla collaborazione degli utilizzatori, sia chiaro) per permetterci di essere sempre informati su estensioni potenzialmente dannose per la vostra installazione di Firefox, si chiama Extension Defender e lo trovate su extensiondefender.com.

screenshot-www extensiondefender com 2015-02-02 08-54-04

Sito web minimalista, un database ancora scarno (e in realtà è meglio, basta che non sia per colpa di chi deve mantenerlo), nomi e collegamenti diretti alle estensioni che non dovete installare perché contengono adware o simili. La parte relativa al database di Chrome è decisamente più nutrita e potete fare una nuova segnalazione in maniera decisamente più semplice rispetto a Firefox ma è comunque possibile farcela (un paio di passaggi in più, nulla di che). L’idea è sicuramente valida, la risorsa può e dovrebbe fungere da gateway per la consapevolezza dell’utilizzatore affinché non faccia un errore banale e assolutamente evitabile. Utile anche per capire -una volta diventati vittime- come tirarsi fuori dai guai in autonomia.

Esistono alternative valide che voi sappiate? Se si, non esitate a parlarne nei commenti ;-)

Cryptolocker e la sua variante italiana (in aggiornamento)

Ieri mattina ho visto spuntare fuori un aggiornamento di stato su Facebook, poi un altro su Twitter, un altro ancora su entrambi e via andare così per svariate ore, è evidentemente stata una giornata “piena“. Mail scritte in italiano corretto, manca giusto qualche simbolo ma si tratta di sciocchezze perché l’occhio viene facilmente ingannato dalla scorrevolezza del testo e dal “possibile contenuto” dato che si parla di ordini, fatture e rimborsi, terreno fertile è la tipica azienda italiana più che il privato cittadino (ma non fa eccezione). Fate attenzione a questo articolo riepilogativo, cercherò di riportare tutti i dati che vi servono per riconoscere le mail con a bordo Cryptolocker prima che sia troppo tardi.

Cryptolocker

Di cosa si tratta

Sarò breve perché non è la parte che interessa “ai più“. Cryptolocker è un software di tipo ransomware, prendono in ostaggio i vostri file crittografandoli con una chiave privata che non potrete avere a meno di versare una cifra stabilita (da loro) entro un tetto massimo di ore (variabili) oltre le quali i file sono da considerarsi definitivamente persi. Volete approfondire? Qui trovate la definizione di Ransomware (in inglese) di e qui Michele ne parlava lo scorso dicembre su ilSoftware. Sul forum di BleepingComputer si parla delle nuove varianti in più lingue (e in questo caso il messaggio in italiano non è così perfetto).

Dettaglio da non sottovalutare: il software è in grado di modificare e impedire l’utilizzo dei file sul vostro PC tanto quanto quelli presenti nei dischi di rete qualora questi dovessero essere per voi accessibili in lettura e scrittura, il danno potrebbe essere potenzialmente devastante.

Le mail che possono arrivare

Sono di diverso tipo e –come detto inizialmente– scritte in italiano tutto sommato corretto e fluente, i dettagli “errati” (e neanche tanto) sono pochi, pochissimi, praticamente appigli inesistenti per l’utente di base (o quasi).

Cryptolocker

Non dovrei dirlo ma quel file (un %Nome a caso sempre variabile%.CAB, per la cronaca) non dovrete mai aprirlo. È una ovvietà ma le telefonate arrivate in HelpDesk (in ufficio da me) non sono state poche, fortunatamente parecchi utenti del gruppo sanno benissimo che possono girare questo tipo di comunicazioni e sanno altrettanto bene che vanno immediatamente cestinate senza pensarci su due volte. Sono rari i casi in cui vengono inoltrate “as-is” all’indirizzo dell’assistenza per una ulteriore verifica. Non è così per tutti, è importante che facciate attenzione a ciò che andate ad aprire spesso “con troppa spensieratezza. Un amico e collega di mestiere è arrivato ad affermare che con i propri clienti è diventato più semplice chiedere di pagare piuttosto che debellare la minaccia e recuperare i file, spesso mancano i backup (soprattutto quando si tratta di privati che pensano di essere al di sopra delle più banali norme di sicurezza e protezione dei dati) e non esistono ancora metodi sicuri per rimuovere l’infezione e rimuovere la crittografia applicata ai propri documenti. Allo stato attuale delle cose ci sono alcuni antivirus che ancora faticano a rilevare Cryptolocker e le sue varianti più giovani.

Qui il report di VirusTotal su un file CAB infetto: virustotal.com/it/file/cd02630a9b1ae5c224a3aa264190fabff449b3c8922be8d1fb1da28f4ac0b5e4/analysis/1422391692 (1 solo motore antivirus lo rileva senza sapere di preciso di cosa si tratta, tanto per farvi capire quanto può essere pericoloso e apparentemente innocuo).

È di solo 48 ore fa (circa) la discussione nella Mailing List di Sikurezza.org riguardo questo nuovo attacco verso gli indirizzi di posta italiani, consiglio ai più curiosi di dare un’occhiata: mail-archive.com/ml@sikurezza.org/msg04940.html

Incollo un’ulteriore mail che -come noterete- assomiglia parecchio alla prima in immagine poco sopra, in allegato il solito file cab :

"Ti ringraziamo per l'ordine effettuato di recente e confermiamo di aver 
ricevuto i prodotti restituiti.

Il tuo numero di riferimento è: V27E67848DA82536
Azienda: A.P.TEX. S.A.S.

I seguenti oggetti sono stati rimborsati come richiesto:
=====
1 x CARTUCCIA EPSON NERO MATT X R1900 C13T0878402: 14.14 EUR
1 x TONER SAMSUNG NERO ML-D3470A X SER. 3560-3561: 90.66 EUR
6 x SW NUANCE OMNIPAGE 16 PRO FULL IT: 460.47*6 = 2762.82 EUR
1 x CORLDESS BRONDI DC2080V GRIGIO: 24.39 EUR
1 x FLOPPY LOCK KENSINGTON 3.5: 17.85 EUR
=====
Totale: 2909.86 EUR

Si prega di aprire il file allegato per maggiori informazioni.

=====
Rubens Cotti"

Dubbi o curiosi di sapere ulteriore informazioni? L’area commenti è a vostra totale disposizione. Colgo l’occasione per ringraziare le varie fonti in ordine sparso per le informazioni e parte dei testi e delle immagini (Andrea e Cristian, ma anche gli utenti della lista di Sikurezza.org)

Fate attenzione!

Aggiornamento 30/1 08:30
Altri articoli raccolti sul web:

Aggiornamento 29/1 08:20
Si parla di attacco hacker ma ovviamente non lo è, il classico doppio clic di troppo ed ecco servita la chiusura per due giorni affinché si possano recuperare i dati dal backup e verificare l’integrità di tutto prima di ricominciare a prestare servizio per la clientela:

Quello che Google sa di te (e anche di me)

È uno di quegli articoli sempreverdi che non passa mai di moda, “il lupo nero” che la mamma utilizzava per metterci la giusta dose di paura addosso evitando così di farci mettere le mani sul fuoco o nella presa della corrente elettrica, un metodo da sempre odiato perché preferito alla spiegazione più complessa in stile “non si fa perché“, ma questo è tutt’altro discorso.

sergey-brin-wearing-google-glass-portrait-illustration_Fotor

I dati sono la risorsa più preziosa per il motore di ricerca più importante e conosciuto al mondo, voi siete dati, tutti i giorni, tutto il giorno, una continua cascata nelle loro macchine, nel loro spazio, non ve lo ha mai detto la mamma che nessuno regala niente in realtà? I suoi servizi sono ormai considerati fondamentali e tutti (o quasi) abbiamo una casella di posta GMail o uno smartphone Android (ma anche iOS)ch. Non avete mai avuto la curiosità di sapere cosa sa di voi Google? Ci sono alcuni indirizzi da conoscere per andare a consultare almeno in parte quei dati. Facciamoci insieme un’idea :-)

Una dashboard, tutto il mondo Google

Da qualche tempo ormai big G. ha realizzato e messo a disposizione di noi tutti una grande console attraverso la quale controllare statistiche (ma non solo) di ogni singolo servizio messo a disposizione, è una dashboard dalla quale potrete rilanciare rapidamente ogni sito web connesso all’azienda e al vostro account. Potete dargli un’occhiata (e optare per un reminder mensile che inviterà puntualmente a farlo successivamente) puntando il browser all’indirizzo google.com/settings/dashboard.

Partiamo dai fondamentali: le ricerche

Google è nato come motore di ricerca e come tale nella maggior parte dei casi (per tante persone almeno) viene utilizzato, è giusto quindi partire da quello (fatta eccezione per la Dashboard). Potete consultare la cronologia delle vostre ricerche sia per ciò che riguarda Google (motore principale) che per YouTube, trattandosi di un prodotto della stessa azienda. Rispettivamente potrete far riferimento a google.com/history e youtube.com/feed/history/search_history. Vi ricordo che aprendo una finestra di navigazione anonima (Firefox, Modalità Incognito invece per Chrome) le ricerche non verranno memorizzate all’interno della cronologia.

Google
Developer: Google Inc.
Price: Free
YouTube
Developer: Google Inc.
Price: Free

Sei stato per caso dall’amante?

È una vera e propria cronologia delle vostre posizioni, non necessariamente basata sull’utilizzo di Google Maps. Può andare bene uno smartphone, un checkin o qualsiasi altra cosa ricondotta al vostro account. Salvo un’opzione differente stabilita all’interno delle applicazioni di Google presenti sul vostro PC, telefono o tablet. Se siete stati dall’amante vi consiglio di far qualcosa per eliminare quelle posizioni ormai memorizzate e accessibili (ripeto: se non disattivate volutamente nelle applicazioni di Google) all’indirizzo maps.google.com/locationhistory. Vi chiedete se Google è in grado di mandarvi un killer specializzato in caso di necessità? Beh la risposta è davanti ai vostri occhi filtrando gli ultimi 30 giorni di spostamenti, volendo ;-)

Maps
Developer: Google Inc.
Price: Free

Dimmi chi accede a cosa

Ovvero tutte quelle applicazioni, servizi di terze parti e hardware che in qualche modo comunica con il vostro account Google ed a ciascuno dei suoi servizi e siti web annessi. Non preoccupatevi se troverete sconfinate praterie di schifezze in grado di accedere ai vostri dati, da questa stessa schermata potrete revocare ogni singolo accesso conoscendone prima l’accesso dettagliato, vi basterà puntare il vostro browser all’indirizzo security.google.com/settings/security/permissions.

Pubblicità, alla base di tutto

La pubblicità è l’anima del commercio, si parla quindi di Google Ads, con dati basati sul vostro account e sulla vostra navigazione, google.com/settings/ads vi darà accesso ad abitudini, target, età / sesso / dati personali raccolti grazie a voi o per calcoli degli script di Google stesso. Da qui potrete disattivare inoltre disattivare gli annunci basati sui vostri interessi nei siti specifici dei servizi di Google (GMail, Maps, ecc.) e nella semplice ricerca web. Esiste inoltre un componente aggiuntivo che permette di disattivare il tracciamento di Google Analytics da installare direttamente nel vostro browser, potete scoprirne di più visitando la pagina tools.google.com/dlpage/gaoptout?hl=it.

Controllo di sicurezza dell’account

Si tratta della pagina che riassume i dettagli del vostro account, la stessa all’interno della quale vengono riepilogate anche le policy di sicurezza che lo regolano, dalla quale potrete ritoccare il piano dati a disposizione (lo spazio utilizzato da GMail o dal backup delle foto, giusto per capirci), modificare la password e molto altro ancora, un coltellino svizzero da non sottovalutare affatto, si accede tramite  accounts.google.com.

Verifica in due passaggi

È uno di quegli argomenti di cui vi parlo mille volte e che spero sia entrato ormai nel vostro quotidiano. Più che scoprire cosa Google sa di voi in questo caso sarebbe il caso di mettere tra voi e una terza parte qualsiasi (Google compresa, ndr) uno strato di sicurezza in più. Alla pagina google.com/intl/it/landing/2step troverete istruzioni e tour. Nel caso in cui siate già registrati troverete i vostri dettagli, i codici di backup, il numero di cellulare associato e qualsiasi ulteriore dettaglio, ultimo dettaglio curioso è la data dalla quale Google “vi protegge” tramite la verifica in due passaggi.

ICE: In Case of Emergency

È un prendi tutto e scappa, nel caso in cui voleste fare un fagotto per migrare sull’isola che non c’è oppure nel caso in cui vogliate mettere al sicuro tutto ciò che vi riguarda prima di una improbabile ma eventuale apocalisse in casa Google. Accedete a google.com/takeout e richiedete il download di ciò che vi spetta.

In conclusione

Penso sia importante conoscere il più possibile ciò che ci riguarda e che seminiamo –volenti o nolenti– sul web, soprattutto quando si parla di servizi così importanti come quelli messi a disposizione da Google. La maggior parte di quanto esposto nell’articolo è riassunto nella pagina ufficiale di Google all’indirizzo google.com/goodtoknow/online-safety/security-tools dove troverete inoltre ulteriori informazioni, e nel caso in cui aveste altri suggerimenti per includere altre voci beh, fatevi avanti nei commenti! :-)

Page 1 of 2712345»...Last »