Archives For Sicurezza

Sicurezza: la 2-step verification di PayPal 3Un tempo limitata e non accessibile dall’Italia, da un po’ a questa parte è finalmente stata sbloccata e resa disponibile per tutti. Ora anche noi possiamo proteggere con un accesso a “doppia mandata il nostro account PayPal, estremamente delicato a prezioso perché spesso gateway verso la nostra carta di credito o conto corrente bancario e si sa, con i soldi non si scherza.

Anche questo articolo va così ad aggiungersi alla già importante lista di quelli che ti parlano di sicurezza e 2-Step Authentication, ormai dovrei essere diventato per te insopportabile e quasi monotematico, ma ribadisco sempre e comunque che si tratta di un argomento importante e da non sottovalutare, soprattutto quando si tratta di dati riservati che non vogliamo finiscano in mano a sconosciuti.

Per abilitare l’autenticazione a due fattori di PayPal ti basterà visitare l’URL paypal.com/cgi-bin/webscr?cmd=_security-token, autenticarti e specificare ora il tuo numero di telefono principale, sul quale PayPal potrà spedire un SMS contenente il codice da inserire quando avrai superato correttamente l’autenticazione con password.

sshot-1

Una volta registrato, PayPal invierà un codice di verifica che servirà a completare l’operazione. Solo così potrai vedere quel numero come correttamente registrato all’interno del profilo di sicurezza PayPal:

sshot-2

Da ora in poi ricorda che senza quel codice, non potrai accedere al profilo PayPal da una nuova postazione non precedentemente autenticata (o sulla quale hai effettuato manualmente un log-off). Come ulteriore verifica, riceverai una segnalazione a mezzo posta elettronica per ricordarti di aver richiesto di effettuato un nuovo accesso al sito web, il quale ovviamente richiederà anche il secondo codice di sicurezza, generato randomicamente nello specifico momento dell’accesso, così da evitare possibili attacchi dall’esterno.

Sicurezza: la 2-step verification di PayPal 2

Cosa stai aspettando? Vai ad abilitarlo!

Importante novità da parte di Google, si torna a parlare di autenticazione a due fattori e lo si fa in una maniera nettamente più semplice rispetto all’inserimento del codice temporaneo generato dal loro Authenticator o da applicazioni di terze parti come Authy. Per te che forse non lo hai letto, consiglio uno sguardo al mio vecchio articolo dove ti parlo dell’autenticazione a due fattori di big G., scritto ormai 4 anni fa (si, il tempo passa molto velocemente).

Oggi Google permette di richiedere direttamente sul cellulare l’autorizzazione a lasciar accedere una sessione sconosciuta, magari da una nuova postazione, cosa che fino a oggi (in realtà fino a qualche giorno fa, dato che questo articolo verrà pubblicato in maniera schedulata) era possibile fare solo tramite un nuovo codice di autenticazione generato sul momento.

Sicurezza: la nuova 2-step verification di Google 7

Di cosa hai bisogno

Assolutamente nulla, se sei possessore di smartphone Android. Se invece possiedi un dispositivo Apple, assicurati di aver scaricato e installato l’applicazione ufficiale di ricerca di Google:

Google
Developer: Google, Inc.
Price: Free

A questo punto sei pronto per la configurazione della nuova modalità di accesso sicuro. Accedi a myaccount.google.com/security/signinoptions/two-step-verification e autenticati (ti verrà richiesto, anche se sei già collegato a Google), nelle opzioni di sicurezza potrai configurare un diverso metodo di accesso, qui troverai Messaggio di Google:

Sicurezza: la nuova 2-step verification di Google 5

A questo punto comincerà un piccolo wizard che ti guiderà alla scelta del telefono che potrà autorizzare l’accesso da nuova postazione, ammesso che questo abbia un blocco schermo abilitato e protetto da una qualsivoglia autenticazione (sequenza, PIN, impronta digitale, ecc.):

Una prova “in diretta” del nuovo metodo farà comparire a video (del dispositivo scelto) la richiesta di conferma della tua identità, così da lasciar proseguire la nuova postazione nell’atto di login:

Il gioco è fatto e il nuovo metodo è già utilizzabile. Potrai accedere da una nuova postazione al tuo account Google sia tramite codice di autenticazione (Authy, Google Authenticator), sia tramite messaggio sul display del tuo dispositivo principale.

Sicurezza: la nuova 2-step verification di Google 4

Grazie Google. Non c’è davvero nessun motivo per continuare ad utilizzare un’autenticazione basata sulla sola password come ultima barriera contro i potenziali malintenzionati.

Da poco acquisito da Microsoft, LinkedIn è il Social Network dedicato ai professionisti del lavoro (almeno secondo una parte dei suoi frequentatori, per altri invece proprio no). Spesso utilizzato come concentratore di contenuti, sta prendendo sempre più piede come strumento di pavoneggiamento di massa, altalenando profili effettivamente invidiabili a quelli che pensano di aver messo in piedi una Corporation solo tramite il proprio account di Facebook. A me non importa chi tu sia su LinkedIn, mi importa che il tuo profilo venga tenuto al sicuro, possibilmente con una verifica in due passaggi, ormai disponibile da tempo anche da queste parti.

Sicurezza: la 2-step verification di LinkedIn 2

La verifica in due passaggi è un argomento a me molto caro, è un ulteriore layer di sicurezza che protegge il tuo account da attacchi e furti di identità che in questi nostri tempi sono sempre più comuni a causa della scarsa attenzione che noi tutti riponiamo verso le nostre password, barriera unica tra un accesso autorizzato e uno che di autorizzato non ha proprio nulla. Personalmente cerco sempre di attivare tutti gli step di sicurezza disponibili per proteggere ogni mio account, in aggiunta al fatto di utilizzare una password sempre diversa per ogni iscrizione (quindi per ogni servizio / sito web) e un database mantenuto aggiornato con tutte le mie credenziali (e ben custodito, possibilmente fuori dalla portata di chiunque).

Per poter attivare la verifica in due passaggi di LinkedIn basta puntare all’URL linkedin.com/psettings/privacy. Da qui ci si sposta nell’area Protezione e si procede con l’attivazione della verifica 2-Step.

Sicurezza: la 2-step verification di LinkedIn

Una volta arrivato il codice di protezione via SMS al tuo numero di cellulare (che dovrà essere quindi specificato all’interno del profilo LinkedIn) ti basterà inserirlo nel box che comparirà a video, così da confermare la propria identità. Una volta fatto, la verifica in due passaggi sarà abilitata, così come confermato a video:

Sicurezza: la 2-step verification di LinkedIn 1

Ciò significa che ogni volta che tenterai di accedere a LinkedIn da una postazione non precedentemente collegata (o sulla quale hai effettuato un Logoff manuale) dovrai attendere la consegna di un nuovo codice di sicurezza sul tuo numero di cellulare, che dovrà accompagnare una immediatamente precedente autenticazione basata (come è normale che sia) sull’accoppiata username / mail di registrazione e password.

Il processo è talmente rapido e banale che è alla portata di tutti, usa 2 minuti del tuo tempo per mettere un po’ più al sicuro il tuo account di LinkedIn. Se proprio ci tieni, ti invito anche a seguire e recuperare gli articoli pubblicati sotto il tag 2-step-verification, cerco sempre di inserirne di nuovi per farti scoprire tutti i servizi che permettono l’autenticazione a due fattori, decisamente più robusta rispetto a quella tradizionale.

Enjoy!

Aggiornamento 11/6/16: come previsto, ecco spuntare fuori la nuova versione di KeePass, che va a mettere a posto la falla descritta nell’articolo:

KeePass is a free open source password manager, which helps you to manage your passwords in a secure way. You can put all your passwords in one database, which is locked with one master password or a key file. So you only have to remember one single master password or select the key file to unlock the whole database. Databases are encrypted using a very secure encryption algorithm (AES/Rijndael).

KeePass 2.34 has been released and can be downloaded from:
http://ift.tt/K07IBs

Articolo originale

Tutto nasce da un attacco MitM (se non sai cos’è, fai clic qui) portato a termine e documentato da Florian Bogner. Protagonista non certo contento (né lui, né chi come me lo utilizza) è invece KeePass, popolare tool in grado di tenere al sicuro (?) le nostre coppie di credenziali (e non solo), disponibile per qualsiasi piattaforma (considerando i vari porting funzionanti, nda) ed estremamente diffuso come alternativa offline ai più giovani strumenti completamente disponibili e controllati / controllabili via web (LastPass è solo un esempio, tanto per dire).

Problemi di sicurezza per KeePass 2 (CVE-2016-5119) 1

L’articolo ha ormai qualche giorno (avrei voluto parlarne prima, in effetti) ma è ancora attuale, dato che la versione 2.34 di KeePass non è ancora stata rilasciata, lasciando così scoperto il canale che potrebbe essere sfruttato da un aggressore per proporti un pacchetto di aggiornamento falso, intercettando il tuo traffico all’interno di una rete che non è diretta verso internet (o che ospiti l’aggressore stesso sulla medesima):

CVE-2016-5119: MitM Attack against KeePass 2’s Update Check

Vista l’importanza e la delicatezza dell’argomento (si parla di accessi riservati ai siti web che sei solito frequentare, in fin dei conti) è sicuramente buona norma cercare di aggirare l’ostacolo e mitigare il possibile attacco. Per farlo ti basterà chiedere al tuo KeePass di non cercare aggiornamenti del programma all’avvio, cosa tutto sommato semplice considerando che esiste un’opzione dedicata all’interno di ToolsOptions Advanced → “Check for update at KeePass startup“:

Problemi di sicurezza per KeePass 2 (CVE-2016-5119)

Per evitare però di rimanere a bocca asciutta e perdere i prossimi aggiornamenti, hai due opzioni: seguire il feed RSS del sito web ufficiale, oppure aggiungere l’automatismo seguente al tuo account IFTTT (non usi IFTTT? Male!):

L’autore dell’applicazione (Dominik Reichl) ha già risposto ufficialmente a Bogner e agli utilizzatori tutti (qui la news per intero), ne estraggo solo un pezzo per farti notare che dalla prossima release, il problema verrà aggirato in modo “creativo“:

Resolution. In order to prevent a man in the middle from making KeePass display incorrect version information (even though this does not imply a successful attack, see above), the version information file is now digitally signed (using RSA-2048 and SHA-512). KeePass 2.34 and higher only accept such a digitally signed version information file. Furthermore, the version information file is now downloaded over HTTPS.

A noi non resta che attendere.

Cercherò di non soffermarmi troppo su ciò che riguarda nello specifico SS7, rimandandoti ad articoli più ricchi come quello del Guardian (theguardian.com/technology/2016/apr/19/ss7-hack-explained-mobile-phone-vulnerability-snooping-texts-calls) o quello che parla già dell’attacco verso WhatsApp e Telegram pubblicato su The Next Web (thenextweb.com/insider/2016/06/01/watch-hackers-hijack-whatsapp-telegram-accounts-using-known-telecom-flaw). Ciò che voglio fare in realtà, è ricordarti l’importanza dell’autenticazione 2-Step.

Sicurezza

Ne ho già parlato, continuo a parlarne e non smetterò (se possibile) di farlo. L’autenticazione in due passaggi è importante per preservare i propri account da invasioni altrui ben poco gradite. Non è impossibile scoprire una password, anche se robusta, soprattutto se sei finito sotto l’occhio insistente di qualcuno che proprio non vuole saperne di mollarti, seriamente intenzionato a carpire informazioni che diversamente non potrebbe ottenere.

A me è successo in passato, avevo lasciato una password in realtà debole sull’account di Yahoo!, che controlla anche Flickr. Fortunatamente la verifica in due passaggi mi ha salvato, ho ricevuto una mail per autorizzare il nuovo accesso e ne ho invece approfittato per bloccarlo e in seguito cambiare la password, portandola a uno standard di complessità che ormai sono abituato a utilizzare da tempo (e soprattutto MAI una password uguale all’altra, sicuramente comodo da ricordare ma mai conveniente per la propria tranquillità). Può succedere a tutti. Dato che stavolta però la colpa non è dei client di messaggistica istantanea né tanto meno tua, non potrai intervenire per tappare la falla, ma solo sederti e attendere:

SS7 is a global network of telecom companies, which means none of them actually own, or govern it. Instead, any change is met with miles of red tape and a lack of decent options aside from global compliance to actually get things done. It’s a mess, and it’ll remain that way until someone, or a group, is appointed to govern and maintain it.

Until then, the vulnerability will remain.

There’s an alternate theory as well that says intelligence agencies are the wall standing between the vulnerability and telecoms’ ability to fix it.

We’ll never be able to say for sure, but the ability to clone phones and communicate over encrypted channels is certainly an appealing option for the CIA, NSA and others who’ve stuck their hands in the anti-privacy cookie jar once or twice before.

Cosa puoi fare oggi?

Smetterla di utilizzare WhatsApp è una opzione percorribile? Se si, fallo, passa a Telegram, è sicuramente un buon inizio. A questo potresti aggiungere la lettura di un articolo che ho pubblicato qualche tempo fa, che ti spiega come abilitare la verifica in due passaggi, ciò che ti permetterà di fregartene (tutto sommato) dell’attacco, perché ci sarebbe un ulteriore step da superare prima di ottenere l’accesso alla tua cronologia chat, impossibile da superare perché estremamente personale e non ottenibile tramite i gestori del servizio (una seconda password da poter impostare all’interno delle opzioni di sicurezza del programma).

Telegram: 2-step verification e opzioni di sicurezza

Tutto chiaro? Cosa devi fare se proprio a WhatsApp non puoi rinunciare? Stare particolarmente attento alla schermata nell’immagine qui di seguito:

Di SS7, Telegram, WhatsApp e falle di sicurezza

Se non sei stato tu a spostare l’account di WhatsApp su un nuovo smartphone, è evidente che un’altra persona lo ha fatto al posto tuo.

Estote parati (cit. Matteo).