Archives For Sicurezza

Copy è morto. Migrazione dati in cloud (da Copy a Dropbox) 7

As such, we have made the difficult decision to discontinue our Copy and CudaDrive services. We certainly do not take this lightly, and we appreciate the millions of customers who have used the service, as well as the hard work and dedication of our product team over the past 4+ years.

Comincia tutto così. Siamo fighi, siamo belli, abbiamo grandi progetti di conquista del mondo e quindi, già che ci siamo, chiudiamo un servizio di cloud storage che magari avete scelto di utilizzare come ancora di salvezza per tutti i vostri file che siete soliti tenere su un solo disco esterno, single point of failure da evitare come la peste bubbonica. Fortunatamente non è il mio caso (sono utente Dropbox Pro dalla notte dei tempi e spero di rimanere tale ancora per molto, nda), ma immagino tutti coloro che avevano provato e apprezzato Copy (di cui vi avevo parlato in questo articolo), scegliendolo come compagno di viaggio.

Copy è morto, lunga vita a Copy, ma adesso cosa si fa? Si trasferiscono i dati, se di questi non avete più un backup locale sulla vostra macchina. Si chiede al client di copiare tutto in un vostro disco fisso, o magari si sceglie di traslocare il materiale da Copy a Dropbox (o altro servizio di cloud storage) come nel mio caso. Su Copy ho conservato per molto tempo le ISO dei miei CD e DVD di installazione software. Da Windows a Office, passando per Acronis e molto altro ancora. Tutti file sacrificabili, che potrei ricostruire in poco tempo, ma che ovviamente vorrei poter migrare senza perdite ancora oggi che sono in tempo.

Mover

Semplice, pulito, gratuito. Mover è un’applicazione web che permette di eseguire un’operazione molto semplice e fondamentale in questi casi: copiare o spostare dati da un servizio all’altro. Sfrutta le API di Copy, di Dropbox, di molti altri servizi di cloud storage che siamo abituati a utilizzare quotidianamente, per account casalinghi o per quelli professionali (offerte business quindi, non le pro che vengono comunque riconosciute come fossero casalinghe in molti casi).

Copy è morto. Migrazione dati in cloud (da Copy a Dropbox) 3

Dalla sorgente alla destinazione, senza la necessità di utilizzare il proprio PC, la propria connessione, tempo e risorse che chiaramente diventerebbero troppo aleatorie e costose. Non occorrerà quindi installare alcunché, né tanto meno veder crollare la RAM a causa delle finestre del browser sempre aperte sui due servizi di storage che intendete mettere in trasfusione. Create un account gratuito su Mover.io e iniziate a selezionare la sorgente dati dalla quale copiare i file (Source). Date un nome alla prima connessione, autenticatevi e permettere a Mover di ottenere diritti di lettura e scrittura:

Fate lo stesso con la destinazione, arriverete così a poter mettere a confronto le due e scegliere quindi dove posizionare i vostri file:

Copy è morto. Migrazione dati in cloud (da Copy a Dropbox) 2

L’operazione di setup è talmente semplice che ho stentato a credere che bastassero così pochi clic, manco fosse un comando lanciato in un prompt di DOS. Una volta fatto attivato il pulsante Start Copy, si accederà alla schermata di attività (Activity Logs) che mostrerà l’operazione in corso, l’ora e la data di avvio, la sorgente, la destinazione e il progresso (comprensivo di quantità di MB o GB scaricati e caricati). Questa potrà essere aggiornata manualmente per verificare l’andamento della stessa, oppure potrete scegliere di chiudere la tab e attendere un risultato a mezzo posta elettronica.

Copy è morto. Migrazione dati in cloud (da Copy a Dropbox)

Già, a mezzo posta elettronica. Perché Mover, al termine dell’operazione richiesta, vi invierà un report sulla vostra casella e-mail includendo le informazioni di base della copia del file e l’esito, allegando eventualmente un log più dettagliato riguardo errori di copia (e possibilità quindi di individuare i file incriminati e rilanciarne lo spostamento), un po’ come successo a me:

Copy è morto. Migrazione dati in cloud (da Copy a Dropbox) 6

Ho lanciato l’operazione di copia dei file alle 14:42 del 2 febbraio, è arrivata la mail di conferma alle 02:59 del 3 febbraio. 11254 file portati su Dropbox, per un totale di 56,6GB. Non sono poi molti (i GB) ma si trattava per lo più di piccoli file (infatti il conteggio è abbastanza corposo), per questo motivo la copia è certamente durata più di quanto avessi previsto, ma volete mettere la comodità di lanciare un job da eseguire e dimenticarsene? La possibilità di lasciarlo andare a prescindere che ci sia o meno una macchina con i client di entrambi i servizi installati da lasciare accesa a scaricare per poi ricaricare online tutto? Una risposta presa dalla Knowledge Base del servizio calza a pennello:

That being said, by the time you’ve read this article, you could’ve moved more than a few gigabytes.

It can be difficult to predict how long a given transfer will take.  Depending on the number of directories, the number of files, and the size of those files, and the source/destination it can sometimes take longer than expected to move your data.

What may be surprising is how large of an impact factors other than the size of the data you are moving can have. For example, it is not uncommon for there to be 0.5-1 second of overhead per file being moved.  If you are trying to move 200,000 files, this would be 100,000 – 200,000 seconds, or up to two and a half days of overhead alone!

Regardless, Mover is going to be consistently faster than dragging and dropping or doing a transfer manually from your home. You also won’t need to keep the app or your browser open, or remain online for the transfers.

In grassetto ho voluto evidenziare il passaggio fondamentale. Non ha importanza quanto tempo impiegherà per voi Mover, è tutto tempo che voi non perderete.

Al termine dell’operazione, nel caso non vogliate lasciare aperta la porta del vostro servizio di cloud storage, potrete sempre rimuovere l’accesso a Mover (nell’immagine di seguito, l’esempio catturato nella scheda sicurezza del mio profilo Dropbox):

Copy è morto. Migrazione dati in cloud (a Dropbox o altro servizio)

Addio Copy, e grazie per tutto il pesce.

Pillole

Le pillole sono articoli di veloce lettura dedicati a notizie, script o qualsiasi altra cosa possa essere "divorata e messa in pratica" con poco. Uno spazio del blog riservato ai post "a bruciapelo"!

Avete letto, solo pochi giorni fa, come formattare in maniera sicura il vostro vecchio smartphone Android. Ora che lo avrete certamente fatto, sapete che il vostro vecchio smartphone continuerà a vivere sotto l’account Google? Si, andrà rimosso manualmente, l’operazione è veloce e semplicissima.

Basterà entrare nella sezione “Dispositivi utilizzati di recente” sul proprio account Google (qui per arrivarci in un solo clic, a patto di essere autenticati: security.google.com/settings/security/activity?pli=1), così da poter accedere a un elenco dettagliato di tutti i dispositivi connessi (ora o in passato) all’account o a uno qualsiasi dei servizi protetti dal vostro utente.

Tra questi troverete certamente il dispositivo precedentemente formattato, con relativo ultimo accesso. Vi basterà quindi fare clic su di lui per ottenere i dettagli:

Android: rimuovere il vecchio telefono dall'account Google

Fate ora clic su Rimuovi e date ulteriore conferma al popup che comparirà, quello che vi avviserà riguardo la disconnessione di ogni accesso app sul dispositivo (“Se rimuovi l’accesso, uscirai dal tuo account Google e dalle app collegate sul dispositivo.”) per terminare il processo.

Dovreste avere un’ultima conferma a video:

Android: rimuovere il vecchio telefono dall'account Google 1

Cheers.

Android: eseguire una formattazione sicura 1Avete acquistato il vostro smartphone basato su Android, lo avete utilizzato, giorno dopo giorno, soddisfatti (o magari no) dell’acquisto. I tempi cambiano, così come le esigenze, volete quindi cambiare anche smartphone, e magari recuperare qualche spicciolo dalla vendita del vostro usato. Vi siete mai chiesti se riportare il telefono allo stato di fabbrica basti a farvi dormire sonni tranquilli riguardo i dati precedentemente memorizzati nella scheda SD o nella memoria del telefono?

Nel 2014 Avast ha condotto un’indagine prendendo in esame 20 smartphone Android usati, acquistati regolarmente da siti web come eBay (e simili), trovate l’articolo sul loro blog all’indirizzo blog.avast.com/2014/07/09/android-foreniscs-pt-2-how-we-recovered-erased-data.

Per evitare che i vostri dati possano essere in qualche maniera recuperati da una terza parte, potete ricorrere a un metodo certamente più sicuro del semplice factory reset previsto di fabbrica. È infatti consigliato criptare tutti i dati presenti sul telefono prima di riportarlo allo stato di fabbrica. Questo consentirà a voi di vivere più sereni, e a una terza parte di poter recuperare sì dei dati, ma impossibili da leggere perché privi della chiave di sicurezza che solo voi potete conoscere (un PIN di protezione, o la sequenza di sblocco del telefono).

Come procedere

Lo smartphone dovrà avere la batteria carica (l’operazione di criptazione dei dati può durare anche più di un’ora, dipende dalla quantità di dati contenuta all’interno del dispositivo, nda) e in alcuni casi dovrà essere necessariamente collegato al caricabatterie (viene eventualmente richiesto a video).

A questo punto il passo è breve. Dalle Impostazioni del telefono, fate clic su Sicurezza, quindi Esegui crittografia dispositivo. La posizione della specifica voce cambiare in base alla versione di Android e alle personalizzazioni operate sul sistema dal vendor, ma in linea di massima il percorso è sempre quello, ed è facile da individuare.

Vi verrà richiesto di inserire il PIN o la sequenza di sblocco che già conoscete e che utilizzate per proteggere l’accesso al telefono ogni giorno (occhio: non ha nulla a che fare con il PIN della SIM, non fate confusione!). Il processo inizierà ora a proteggere i vostri dati, e potrebbe durare diverso tempo. Il telefono verrà riavviato in automatico, anche più volte, e ovviamente sarà irraggiungibile e inutilizzabile per tutto il corso dell’operazione.

Android: eseguire una formattazione sicura 2

Ricordate che crittografando i dati, sarà necessario inserire il PIN (o sequenza di sblocco) già in fase di accensione del telefono. Se non si passa questo controllo di sicurezza, Android non riuscirà neanche a terminare il suo caricamento, e sarete costretti (se dimenticate il codice) a fare un reset totale del sistema, perdendo ogni dato non precedentemente messo al sicuro (backup).

Ultimo step, finalmente. Andate in Impostazioni, Backup e ripristino, e fate quindi clic su Ripristino dati di fabbrica.

Ora potete impacchettare il vostro vecchio smartphone e lasciarlo andare ;-)

Giusto per completezza di informazioni: ci sono molte applicazioni che promettono di fare la stessa cosa e senza passare dalla crittografia dei dati. Funzionano, qualcuna è anche affidabile, ma in linea di massima io continuo a preferire il metodo “manuale” che mi dia la maggiore sicurezza riguardo possibili fughe di dati, soprattutto quando si tratta di dispositivi che siamo abituati a trattare ormai come naturale estensione del nostro corpo.

Android's Corner è il nome di una raccolta di articoli pubblicati su questi lidi che raccontano l'esperienza Android, consigli, applicazioni, novità e qualsiasi altra cosa possa ruotare intorno al mondo del sistema operativo mobile di Google e sulla quale ho avuto possibilità di mettere mano, di ritoccare, di far funzionare, una scusa come un'altra per darvi una mano e scambiare opinioni insieme :-)

È di qualche giorno fa la notizia di una sorta di attacco ai danni di Telegram, il programma di messaggistica che adoro più di tutti su mobile (e non solo). Più che un attacco però, la definirei una ricerca condotta in maniera giusta, atta a mettere in evidenza un aspetto che passa spesso inosservato da chi troppo spesso sceglie di installare un’applicazione senza però configurarla come si deve.

Telegram: 2-step verification e opzioni di sicurezza

Tutto è partito da questo tweet:

e sia chiaro: ha ragione. C’è un possibile leak ed è causato da noi utenti. Avete presente quando ripeto che il problema è quasi sempre tra la tastiera e la poltrona? Beh, stavolta potrebbe trovarsi tra il monitor dello smartphone e chi o cosa sta dietro di noi, la sostanza non cambia affatto. Un client di terze parti ha messo in evidenza una caratteristica del software, che notifica a tutti i contatti i momenti in cui siamo online oppure offline. Così facendo, triangolando nella giusta maniera i dati, si potrebbe arrivare a capire quando un utente comunica con un altro, in maniera “semplice” (non certo per i non addetti ai lavori). Perché quindi non mettere al sicuro il proprio account Telegram e approfittarne anche per aggiungere un tocco di sicurezza in più, che non può mai fare male?

Intanto installate un software decisamente più valido di quella blasonata alternativa chiamata WhatsApp:

Telegram
Price: Free
Telegram Messenger
Telegram Messenger
Developer: Telegram LLC
Price: Free

e ora procediamo con ordine.

2-step Verification

Predico la verifica in due passaggi da molto tempo ormai, non smetterò di farlo. Si tratta di un layer fondamentale da aggiungere alla semplice autenticazione tramite password alla quale siamo tutti abituati. Lo ripeterò fino allo sfinimento: abilitate la 2-step Verification ovunque possiate. Telegram, fortunatamente, non fa eccezione, ormai da diversi mesi.

La 2-step Verification di Telegram permette di bloccare eventuali nuovi login da dispositivi che non abbiamo espressamente autorizzato con una ulteriore password, con tanto di notifica su ogni dispositivo con accesso già effettuato e che possa così terminare un’eventuale sessione “infiltrata“.

La verifica può essere abilitata sia via web che da applicazione. Io ho utilizzato quest’ultima per una questione di comodità e rapidità. Dalle Impostazioni basterà selezionare la voce Privacy e sicurezza, quindi Verifica in due passaggi. Da qui basterà seguire poche istruzioni a video (e scegliere una ulteriore password per autorizzare i nuovi accessi all’account).

Cercate di non dimenticarla, vi servirà da ora in poi.

Telegram: 2-step verification e opzioni di sicurezza 1

Occhio alle sessioni

Pensate sia finita così? No, vi sbagliate. Avete già dato un’occhiata alle sessioni attive? Le sessioni attive corrispondono ai client connessi al vostro account Telegram. Potrebbero essere tutte sessioni vive e corrette, potrebbero essercene di vecchie, inutilizzate, potenzialmente dannose se il dispositivo con Telegram a bordo finisse nelle mani di una persona sbagliata.

Le sessioni attive si trovano in Impostazioni, Privacy e sicurezza, quindi Sessioni attive. Da qui potrete visualizzarle e terminarle con un clic su ciascuna, o direttamente su “Termina le altre sessioni” per chiuderle tutte a eccezione di quella che state utilizzando per gestire il vostro account:

Il nome del sistema utilizzato, la versione e un IP vi aiuteranno a ricordare dov’è che vi siete autenticati a Telegram per poterlo utilizzare. Fate pulizia, fatela ogni volta che potete, tenete sempre d’occhio le sessioni aperte e ricordatevi che Telegram ricarica ogni chat singola, gruppo e allegato che costituisce la vostra “storia” sull’applicazione, è un bene tecnologico prezioso da proteggere, estremamente confidenziale oggigiorno.

Si ma il problema del leak?

Ah già, giusto, dimenticavo da dove tutto è cominciato. Il leak si basa sull’impostazione che Telegram propone di default e che informa ogni account della piattaforma riguardo la vostra presenza online. Inutile dire che siete voi a poter controllare questa impostazione, e che questa andrebbe un po’ incattivita per il vostro bene. Andate in Impostazioni, quindi Privacy e sicurezza e infine Ultimo accesso.

La voce sarà impostata (di default) a Tutti, spostatela su “I miei contatti” e confermate la scelta. Così facendo eviterete che chiunque abbia un account Telegram possa verificare il vostro stato di presenza online:

Ancora una volta si tratta di una modifica tanto banale quanto importante. Scegliete di proteggere la vostra privacy. Sembra solo uno scontato gioco di parole, è molto di più.

Tutto chiaro? Bene. In caso contrario l’area commenti è a vostra totale disposizione.

In realtà è una cosa vecchia ormai di mesi, ma ancora sfugge ai più: Google ha limitato l’accesso al proprio server SMTP sia tramite GMail, sia tramite applicazioni di terze parti. Questo vuol dire che non si potrà più sfruttare (con facilità) il server della posta in uscita di big G. se si intende utilizzare una casella con dominio che non sia @gmail.com (a pagamento o gratuito, ha poca importanza).

Gmail-Banner

Aggirare l’ostacolo è in apparenza semplice. Secondo il documento ufficiale “Come consentire alle app meno sicure di accedere al tuo account” disponibile su support.google.com/accounts/answer/6010255?hl=it, basterà modificare un’opzione del proprio account per permettere l’accesso a chi non si appoggia all’autenticazione made in Google.

SMTP di GMail: l'utilizzo tramite app

Talvolta però questo non basta, e continuerete a ricevere errori simili a “Please log in via your web browser and then try again” quando proverete a fare uso di impostazioni e credenziali del server SMTP di Google partendo da prodotti di terze parti (o interfaccia di GMail stessa). L’errore è generalmente seguito da un URL abbastanza corposo, contenente anche il proprio indirizzo di posta elettronica e la password in codifica base64 (accounts.google.com/ContinueSignIn?sarp=eccetera).

A quel punto vi arriverà una mail contenente un avviso importante, “qualcuno conosce la vostra password di GMail” e il tentativo di login è stato quindi bloccato. Vi verrà fornito ogni dato possibile: ora e data del tentativo di login, posizione sulla mappa della possibile connessione che ha generato la richiesta di login, tipo di device utilizzato e altro ancora. Non c’è modo di autorizzare e sbloccare l’operazione dall’interfaccia che vi verrà proposta, dovrete aprire una nuova tab (o una nuova finestra) e andare all’indirizzo accounts.google.com/DisplayUnlockCaptcha. Vi si aprirà così un box dove potrete consentire temporaneamente l’accesso al vostro account di posta:

SMTP di GMail: l'utilizzo tramite app 1

Facendo clic su “Continua” avrete una finestra temporale (non specificata da Google, nda) durante la quale potrete fare accesso all’account senza incorrere nell’errore che vi siete cuccati fino a due secondi prima.