Tag Archive - Sicurezza

Facebook: la sicurezza del vostro account in 5 passaggi

facebook-128Nonostante tutta la mia buona volontà, ci sono cose dalle quali Adblock Plus e la mia NoFacebookAds non possono proteggervi. Spesso le impostazioni di sicurezza del più noto e utilizzato Social Network del mondo non sono poi tanto chiare, lasciano di default impostazioni quasi invisibili che potrebbero lasciar “scappare via” pezzi della vostra vita che magari non volete rendere pubblici. Articoli su blog specializzati, riviste, forum lasciano il tempo che trovano se non vengono aggiornati. Oggi vorrei provare a raccogliere 5 buoni consigli per proteggere al meglio le vostre informazioni, affinché queste possano raggiungere il pubblico da voi scelto.

Una Timeline accessibile per pochi (forse)

Che poi in realtà è una vostra scelta. Personalmente credo che i soli a poter accedere ai contenuti che pubblico debbano essere gli amici dai quali ho ricevuto la richiesta (o che ho cercato io direttamente). Per poter modificare l’impostazione che regola in maniera predefinita il “chi vede cosa” vi basterà selezionare l’icona lucchetto in alto a destra nella barra superiore di Facebook e scegliere la voce “Chi può vedere le mie cose?“.

Facebook Chi Vede Cosa

A questo punto sotto la voce “Chi può vedere i miei post futuri?” potrete scegliere la categoria alla quale dare accesso a tutto ciò che buttate nel grande calderone di Zuckerberg.

Non è certo finita qui. Avete appena ristretto l’accesso ai futuri post ma non a quelli che sono stati già prodotti in passato. Per questo motivo occorrerà selezionare il menu a tendina subito dopo l’icona lucchetto e scegliere Impostazioni:

Menu Impostazioni Account Facebook

Quindi andare nella voce Privacy per limitare l’accesso ai post passati:

Facebook Limita Post Passati

A questo punto comparirà il pulsante “Solo vecchi post” che vi permetterà di modificare l’accesso ad ogni vostro aggiornamento di stato passato rendendolo accessibile solo agli amici. Un’ultima cosa: questo tipo di modifiche vale anche per le informazioni di base che -tra le varie cose- includono la vostra residenza (città), la data di nascita e molti altri dettagli, date un’occhiata a chi può arrivare a capirle spostandovi nella pagina personale e facendo clic su “Aggiorna Informazioni” (tipicamente visibile sulla vostra fotografia di sfondo / header):

Facebook Pulsante Aggiorna Informazioni

In corrispondenza di ciascuna voce presente nella pagina che si andrà ad aprire potrete scegliere di modificarne il contenuto. Selezionando una voce specifica potrete a questo punto impostarne anche la visibilità verso il vostro “pubblico“:

Facebook Restrizione Informazione di base

Il mio consiglio? Fatevi un giro per ciascuna informazione, è possibile che anche solo una di queste non abbia i diritti di accesso che pensavate o volevate che avesse ;-)

Chi può contattarmi tramite Facebook?

Perché siamo maniacali quando si parla dell’antispam sulla nostra casella di posta elettronica ma lasciamo passare molto più facilmente i messaggi (si legga alla voce: rotture di balle) inviate tramite la posta privata del Social Network? Date un’occhiata alle impostazioni del “Chi può contattarmi?” tramite l’icona di sicurezza (il solito lucchetto, ndr):

Facebook Chi puo contattarmi

E con l’occasione scegliete chi potrà richiedere la vostra amicizia. Nel mio caso ho lasciato passare chiunque (Tutti) ma voi potreste sempre scegliere di far arrivare richieste di persone che abbiano a che fare solo ed esclusivamente con amici già approvati (Amici di amici).

Posso cercarti tramite un contatto che possiedo?

Un diverso modo per dire che stai facendo lavorare un programma di terze parti al quale hai lasciato pieno accesso alla tua rubrica e che ora mi manderai la tua richiesta di amicizia solo perché sei riuscito a trovare il mio indirizzo di posta elettronica (capirai la fatica, ndr). Anche qui si tratta di una vostra personale scelta ma avete la possibilità di modificare il comportamento dalle Impostazioni:

Menu Impostazioni Account Facebook

Quindi -ancora una volta- dal menu Privacy e più precisamente dal blocco in ultima posizione relativo proprio alla vostra ricerca nell’oceano degli utenti disponibili:

Facebook Cercami tramite contatto

Potete limitare ciascuna voce in modo differente -manco a dirlo-, a voi la scelta :-)

Chi accede al mio profilo?

Una di quelle opzioni “mai più senza” che deve assolutamente far coppia con l’autenticazione a doppio fattore della quale vi ho parlato circa un anno fa (l’articolo è ancora valido, ndr), lo dico per il vostro bene ovviamente. Facebook può mandarvi una segnalazione a mezzo posta elettronica o SMS (quest’ultimo solo se configurato e disponibile per il vostro operatore telefonico mobile) nel momento in cui accedete al vostro profilo da una nuova postazione mai utilizzata prima (vale anche da un browser differente dal solito).

Una semplice mail che riporta data e ora della connessione, IP e provenienza, software utilizzato e poco altro ancora, molto simile a questa:

Facebook Accesso nuovo dispositivo

Così facendo sarete in grado di conoscere tempestivamente se qualcuno è entrato in possesso delle vostre credenziali (cosa parecchio difficile se abilitate la 2-Step Authentication) e da quale posizione, potrete così cercare di modificare tempestivamente le vostre credenziali e disconnettere ogni sessione attiva da qualunque postazione nel mondo.

2-Step Authentication

Non so se sono stato chiaro nel precedente paragrafo, abilitate la verifica in due passaggi, ho scritto un articolo ad-hoc circa un anno fa e molti ancora la snobbano come fosse un’inutile perdita di tempo. Si tratta in realtà di un ulteriore strato di sicurezza che potrebbe risparmiarvi grane da risolvere e tempo (tanto) da perdere in seguito ad un attacco andato a buon fine. Vi bastano cinque minuti e il vostro smartphone, date un’occhiata all’articolo e procedete (e commentate se qualcosa non dovesse essere sufficientemente chiara): gioxx.org/2013/07/10/sicurezza-la-2-step-verification-di-facebook

10-fb2step_CodiciBackup

In conclusione

Avete appena investito una manciata di minuti della vostra vita per rendere un pelo più sicuro e riservato qualcosa che riservato e protetto non è affatto, almeno per sua natura. Ora potete tornare a perdere tempo nella vostra Timeline o -se lo ritenete opportuno- lasciare un commento per suggerire nuovi dettagli da includere in questa lista o chiedere delucidazioni in merito a uno dei punti analizzati o magari potete decidere di rendere il vostro account il più sicuro del mondo semplicemente rimuovendolo dal web (sapete, gli estremisti!) ;-)

Grazie a Lee Munson per aver raccolto questi ottimi consigli

Incorporare lo stream CCTV in una pagina web

Pillole

Le pillole sono articoli di veloce lettura dedicati a notizie, script o qualsiasi altra cosa possa essere "divorata e messa in pratica" con poco. Uno spazio del blog riservato ai post "a bruciapelo"!

AXIS Datacenter web-cam-picÈ una “pillola” strana, lo so, eppure stava lì nelle bozze del blog senza mai vedere la “luce della pubblicazione“. Questo codice mi è servito diverso tempo fa in ufficio per mostrare le immagini in tempo (quasi) reale catturate da due telecamere di sicurezza poste nel nostro datacenter. Un refresh di un secondo, una pagina web che racchiude svariate informazioni e -appunto- le immagini di due camere di sicurezza Axis che tramite un URL preciso producono un’immagine jpg da poter includere in un HTML tramite codice Javascript, questo:

Dimensioni dell’immagine di output, refresh e URL sono valori modificabili in qualsiasi momento, il nome della funzione ovviamente andrà modificato per ciascuna webcam che intendete includere all’interno della pagina così da poterle gestire con snippet Javascript separati e modificarne i valori. Regolate l’intervallo di aggiornamento in base al consumo di banda e CPU della macchina sulla quale ospiterete la pagina web per evitare strane sorprese (tutto dipende dalla quantità di gente che accede alla pagina stessa, è facile far danni) ed il gioco è fatto! ;-)

Grazie a digitalham.co.uk/web/development/embedding-cctv

BtProx: bloccare automaticamente il PC allontanandosi con il proprio telefono

bluetooth_logo2Vi allontanate dalla vostra postazione, dimenticate di bloccare l’accesso con la combinazione tasto Windows + L e magari il collega di turno, molto simpaticamente, vi lascia qualche ricordo sul Desktop o magari nasconde il documento di turno o -ancora peggio- da un’occhiata al vostro Outlook e la corrispondenza che avete appena terminato di scambiare con il capo. Ci sono mille buoni motivi per i quali bloccare la propria postazione e non lasciarla alla mercé di tutti, oltre che essere in alcuni casi richiesto dall’azienda come regolamento interno.

Nel caso in cui vi dimenticaste facilmente di farlo o più semplicemente non ne aveste voglia, potete sempre pensare di lasciarlo fare ad un controllo automatico basato sulla posizione del vostro telefono. Provate a pensarci: vi allontanate con il vostro iPhone (tanto per citarne uno, va bene qualsiasi altro dispositivo), la macchina si blocca da sola perché non lo rileva più nei paraggi, una comodità non da poco.

Mi sono affidato quindi ad una piccola applicazione che fa bene il suo lavoro ed è gratuita, BtProx, liberamente scaricabile dal sito web ufficiale btprox.sourceforge.net. Una volta configurata per tenere d’occhio il mio cellulare aziendale posso portare quest’ultimo via con me e lasciare che il PC si blocchi da solo entro un minuto di mancato rilevamento:

btprox_devicefound

La configurazione è estremamente banale e basterà aver precedentemente accoppiato il vostro PC con il dispositivo bluetooth prescelto (il telefono? Lo smartwatch? Qualsiasi altra cosa vi venga in mente e che abbia a bordo una connessione bluetooth?), questa è la schermata principale di BtProx:

BtProx-SchermataPrincipale

Che all’occorrenza potrà anche eseguire un comando specifico da voi inserito all’interno del “Lock command” (o del Release, per eseguire l’istruzione quando la macchina verrà nuovamente sbloccata). Il servizio rimarrà costantemente in ascolto, potrete nascondere il programma semplicemente facendo clic sul bottone “Hide” e questo andrà a cercare il suo posto nella tray di Windows segnalandovi quando il dispositivo da tenere d’occhio si trova nei paraggi e quando è scattato il conto alla rovescia verso il blocco della macchina. Dall’icona del programma potrete anche annullare un eventuale blocco programmato allo scadere del conteggio (magari vi si è scaricata la batteria del telefono ma vi trovate ancora davanti al vostro monitor!).

E se il mio portatile / pc fisso non avesse il bluetooth?

Potete sempre decidere di investire meno di 10€ per acquistare un dongle bluetooth USB che sparisce quasi alla vista. Io per il PC fisso di casa mi sono affidato a Cellular Line (la nota marca di accessori per la telefonia mobile) e al suo USB Adapter Micro: cellularline.com/catalog/it/product/bluetooth_usb_adapter_micro, ricordo di averlo pagato circa 9€ un annetto fa, non credo che il prezzo sia variato di molto, non in peggio almeno. Un investimento che è certamente possibile affrontare. Esistono altre marche e altri dongle, uno vale l’altro, lo scopo finale è sempre lo stesso.

In conclusione

Una soluzione piuttosto economica e molto comoda per non abbandonare mai la propria sessione di lavoro attiva e allontanarsi senza la paura che qualcuno possa ficcare il naso dove non dovrebbe nel caso in cui ci si dimenticasse di chiudere “la saracinesca“. Sto ancora lavorando (in realtà non ci ho ancora perso molto tempo) per capire come posso ottenere anche il resto della torta, mi piacerebbe sbloccare la macchina non appena il telefono torna nell’area rilevata dal sensore, magari sarà argomento di una prossima puntata :-)

PayPal: tenere d’occhio pagamenti ricorrenti e fare pulizia degli indirizzi di spedizione

Non è di molto tempo fa la mail inviata da eBay ai suoi utenti nella quale viene riportato lo spiacevole evento per antonomasia, tallone d’Achille per ciascuna grande azienda (ma anche per il piccolo sito web): una compromissione del sistema con conseguente furto di dati, password criptate comprese. Prevedibile l’invito al cambio -quanto prima- proprio di quella password per l’accesso al profilo personale. Nella peggiore delle ipotesi (sfortunatamente caratteristica comune del bacino di utenza medio-bassa) una criptazione che dopo svariati tentativi e tempo è scavalcabile grazie alla semplicità delle password scelte, alla totale mancanza di casualità, di segni di punteggiatura o altre accortezze che possono rendere più difficile il compito (che questa vignetta di xkcd possa rimanervi bene impressa in testa).

Avete mai pensato che la stessa eBay è collegata e diretta proprietaria di PayPal che ha libero (o quasi) accesso alla vostra carta di credito? Scegliere una password molto complessa è molto importante, lo è ancora di più tenere d’occhio i pagamenti che sono stati salvati come ricorrenti e pre-autorizzati e magari approfittarne per completare il giro con una pulizia degli indirizzi di spedizione memorizzati. Vi spiego qui di seguito come fare.

Pagamenti ricorsivi: quali sono e come bloccarli

Fate accesso a PayPal e seguite questi passaggi:

  • andate nel vostro profilo (Profile, tra le voci del menu My Account);
  • spostatevi nella voce di menu “My money” (menu a sinistra) quindi “Update” in corrispondenza di “My preapproved payments“;

Se non doveste riuscire a trovare le voci o se volete saltare a piè pari la difficoltà posso darvi l’URL completo e diretto: paypal.com/it/cgi-bin/webscr?cmd=_manage-paylist.

E’ tutto organizzato come nell’area RID della propria banca. Una lista molto dettagliata di ogni pagamento autorizzato e ricorsivo che parte dal vostro account PayPal, troverete all’interno della lista anche i pagamenti non più attivi o cancellati così da avere uno storico di quanto fatto in passato oltre che nel presente. Selezionando qualsiasi voce potrete leggerne i dettagli, date, beneficiari e molto altro ancora.

Selezionando la voce “Cancel” all’interno di un pagamento potrete decidere di bloccarne la sua ricorsività. Così facendo chi offre il servizio e fa partire una richiesta di pagamento vedrà arrivare un rifiuto e voi non avrete così brutte sorprese sul conto. Non dovrebbe servire dirlo ma è chiaro che tale operazione va fatta solo in caso di necessità. Questo perché l’operazione dovrebbe essere sempre fattibile dal sito web originale dal quale arriva la richiesta di pagamento, dovrebbe essere lui a farvi scegliere se continuare a pagare automaticamente nel tempo o non, so per certo che però non è sempre così (uno tra tanti è Dropbox, per la cronaca, Flickr segue a ruota), è quindi giusto intervenire alla sorgente e non permettere di scalare soldi senza la vostra autorizzazione. Nel 99% dei casi si riceverà una mail di mancato pagamento da parte di chi offre il servizio e potrete così decidere se effettuarlo o meno, ancora una volta ricordandovi però di andare a bloccarne la ricorsività su PayPal subito dopo. Se avete dubbi su un pagamento, bloccatelo. Dormirete sonni un po’ più tranquilli e filtrando i soli pagamenti attivi avrete un immediato riscontro di ciò che è “a bolletta“, tra Spotify, Dropbox e le ricariche automatiche delle mie SIM io credo di essere a posto :-)

Pulizia degli indirizzi di spedizione

Sicuramente in secondo piano rispetto ai pagamenti ricorsivi ma ugualmente importante per tenere una situazione quanto più pulita a velocizzare i tempi di checkout quando fate acquisti che richiedono direttamente a PayPal l’indirizzo dove poter spedire la merce acquistata (a patto che questa sia fisica, ovviamente). Accedete a “Add or Edit Address” da Profile (menu My Account) nella pagina principale.

Da qui avrete accesso immediato a tutti gli indirizzi precedentemente salvati / dichiarati per la ricezione. Potrete scegliere quello di casa (ne troverete sempre uno assegnato alla carta di credito utilizzata, più di uno se le carte sono molteplici) e aggiungerne di nuovi come l’ufficio, la casa della compagna o quella dei genitori o altro ancora. Potrete altresì cancellarne vecchi non più utilizzati in maniera rapida selezionando la voce “Remove” in corrispondenza di quello non più necessario.

In conclusione

E’ sempre molto importante tenere d’occhio ciò che può in qualche modo avere accesso alle vostre finanze. Nessuna password è mai troppo sicura, nessun professionista è mai troppo preparato ad attacchi dall’esterno. Ordine, un pelo di attenzione e soprattutto più livelli (quando possibile) di autenticazione sono sempre preferibili. Spero che questo paio di consigli possano tornarvi utili :-)

Sicurezza: la 2-step verification di Yahoo!

Ve ne ho parlato talmente tanto che spiegarvi ulteriormente cos’è una verifica in due passaggi è uno spreco di spazio nel database del blog, per chi si fosse perso qualche passaggio può tornare utile leggere uno qualsiasi tra i vecchi articoli e approfondire la questione. La verifica in due passaggi costituisce una ulteriore barriera contro possibili attacchi ai vostri account in rete, soprattutto di questi tempi che bug come Heartbleed hanno minato fiducia e procurato seri danni ad aziende e persone.

Attivare la verifica in due passaggi su Yahoo! è molto semplice e veloce e vi costringerà solo a ricordare le risposte alle domande di sicurezza che avete impostato in fase di registrazione o tenere a portata di mano il cellulare che potrà ricevere il codice via SMS, allo stato attuale non c’è compatibilità con le applicazioni di autenticazione come il Google Authenticator.

Avete inserito tutti i dettagli?

Per attivare la verifica in due passaggi basterà visitare la pagina edit.yahoo.com/commchannel/sec_chal_manage e seguire le istruzioni a video. Ammesso che voi abbiate precedentemente inserito delle domande di sicurezza con risposte sensate (che potete e dovete ricordare facilmente ma che non dovranno essere altrettanto facilmente vulnerabili a conoscenza e intelligenza di persone dall’esterno, familiari compresi) e il vostro numero di cellulare, Yahoo! vi permetterà di richiedere un codice via SMS che vi consentirà il collegamento alle risorse collegate al vostro account da una postazione sconosciuta, non precedentemente abilitata quindi al login ai suoi servizi (Flickr compreso, ndr).

Questo è il metodo sicuramente più rapido e sicuro per accedere. Inutile dire -come sempre- che diventa di fondamentale importanza avere a portata di mano il proprio cellulare ma soprattutto prendersi cura del dispositivo tanto quanto della SIM alla quale è collegata il numero di telefono. Perdere quel numero potrebbe voler dire dare accesso alle vostre risorse a chiunque riesca ad utilizzarla. Devo quindi ribadire il concetto di quanto sia fondamentale tenere attivo un codice di blocco sul telefono (iPhone, Android o qualsiasi altro) e un codice PIN sulla scheda?

Confermando il numero di telefono si riceverà un primo codice che sarà necessario inserire a video come conferma dell’attivazione della verifica in due passaggi:

Così come per i servizi di Google anche Yahoo! fa presente che per accedere alla posta elettronica tramite client di posta (iOS, Windows, ecc.) sarà necessario creare una password specifica per l’applicazione, un’operazione semplice che ovviamente genererà una password complessa che non dovrete memorizzare, ma semplicemente riportare nell’applicazione desiderata, salvarla e dimenticarla, un domani basterà generarne una nuova nel caso in cui ne avete la necessità.

Tenere la verifica attiva sia con domande di sicurezza che telefono vi permetterà di accedere all’account anche nel caso in cui non abbiate a portata di mano il dispositivo o in caso di problemi del vostro carrier telefonico. Questo perché, al contrario di altri servizi, Yahoo! non genera uno o più codici di backup da conservare in luogo sicuro nel caso in cui non sia più disponibile la via primaria di accesso all’account (una pecca a dirla tutta, ndr).

Un’ultima mail dal provider vi confermerà l’avvenuta attivazione del servizio e la possibilità di dormire sonni un po’ più tranquilli (senza mai abbassare del tutto la guardia, mi raccomando!):

Attivatela, non fa male e vi porterà via solo qualche minuto ;-)

Page 1 of 2612345»...Last »