Archives For Sicurezza

Annunciata sul blog ufficiale un paio di giorni fa circa (blog.twitter.com/2013/getting-started-login-verification) è finalmente disponibile anche in Italia la verifica in due passaggi di Twitter, e dato che in questo blog mi sono spesso occupato di questo metodo di protezione dei vostri account non vedo perché non aggiungere il social network più famoso e utilizzato (dopo Facebook) in catalogo ;-)

Prima di cominciare

Questo articolo sarebbe dovuto uscire ieri ma ho scoperto che Twitter non supporta il carrier telefonico 3 che in Italia è parecchio utilizzato, io stesso ho uno dei due telefoni con sim 3 e non ho potuto portare a termine l’operazione, ho scelto quindi di associare il numero di telefono aziendale che è un TIM pur di poter continuare.

Se non avete un operatore alternativo a 3, almeno per il momento, non riuscirete ad effettuare questa registrazione. Stento a credere che ad oggi non sia possibile un accordo con H3G ma evidentemente è proprio così.

Ok, facciamolo

Collegatevi a Twitter e dalle opzioni entrate nelle impostazioni del vostro profilo (io ho tenuto Twitter in inglese, i passaggi restano identici anche per chi lo ha in italiano):

Basterà semplicemente dare un colpo di scroll per arrivare alla nuova area dedicata all’opzione di protezione del profilo con verifica in due passaggi:

Spuntando l’opzione vi verrà richiesta una prima conferma a procedere, andiamo quindi avanti e attendiamo l’arrivo di un messaggio di testo sul cellulare, ammesso che la configurazione sia valida come giustamente ricordato da un messaggio a video:

Nel caso non arrivasse nulla (si, a me è successo) fate clic su NO e date un’occhiata alle impostazioni, probabilmente scoprirete che c’è un passaggio da fare e che avete sempre tralasciato!

Come già detto 3 non è ufficialmente supportato da Twitter, quindi dovrete configurare un numero di telefono di diverso operatore e inviare quel semplice “GO” (senza virgolette) tramite SMS verso il numero segnalato da Twitter, dovrebbe arrivare una conferma immediata:

Andando ora ad abilitare l’opzione e confermando la scelta (sarà richiesta nuovamente la vostra password di Twitter, ndr) sarà necessario -da ora in poi- attendere un messaggio contenente il codice temporaneo di login:

Il gioco è fatto.

In conclusione

Lieto che anche Twitter sia salito sul carrozzone della maggior sicurezza ma ho personalmente disabilitato l’opzione. Non dare la possibilità di lasciar generare al Google Authenticator il codice di verifica temporaneo è decisamente scomodo, così come dover dipendere dall’arrivo di un SMS che potrebbe tardare, potrebbe non arrivare per mancanza di rete o chissà cos’altro, non è inoltre possibile generare una password di backup che consenta di entrare nel proprio account nel caso in cui non abbiate a portata di mano il telefono.

Riprovaci ancora Twitter! ;-)

L’inserimento dell’autenticazione a due fattori sta diventando molto comune ultimamente e la cosa non può che far piacere. Anche WordPress.com ha quindi deciso di introdurre la possibilità di aggiungere uno “strato di protezione ulteriore” alla semplice autenticazione con password, vediamo insieme come abilitarla rapidamente.

Google Authenticator

Prima di partire la domanda di rito: lo avete già il Google Authenticator sul telefono? In entrambi gli articoli dedicati all’autenticazione in due passaggi per Dropbox o Google ho parlato della creazione del codice di autenticazione tramite l’applicazione rilasciata gratuitamente dal grande fratello Google. E’ il modo più semplice e veloce per ottenere il codice di verifica senza la necessità del messaggio via SMS che impiega sicuramente più tempo ad arrivare a destinazione. Nel caso di WordPress.com è inoltre obbligatorio, non c’è (almeno per ora) alternativa.

Per chi non lo avesse già può scaricarlo per qualsiasi piattaforma, date un’occhiata al documento ufficiale Google con i vari collegamenti diretti: support.google.com/accounts/bin/answer.py?hl=en&answer=1066447.

Abilitare la verifica 2-step

3 semplici passaggi vi separano da una maggiore sicurezza per il vostro account WordPress.com che può (ve lo ricordo) fare anche da OpenID per autenticarsi su diversi siti di terze parti che offrono ulteriori servizi, dettaglio quindi da non sottovalutare.

Una volta collegati su WordPress.com sarà necessario passare il puntatore sul proprio profilo (in alto a destra, ndr) e selezionare Impostazioni, quindi Sicurezza (dal menù a destra):

Si parte già con l’attivazione della verifica in due passaggi e nella prima schermata (come potete vedere qui sopra) si fa riferimento immediato al download di Google Authenticator che -come anticipato- è richiesto per poter proseguire. Selezionate una delle 3 alternative così da ottenere il collegamento diretto al pacchetto da scaricare e installare, quindi confermate per arrivare al terzo passaggio, lo scan del codice:

Una volta “fotografato” con Google Authenticator vi basterà inserire il codice di risposta e proseguire, il gioco è fatto e da ora in poi sarà attiva la verifica dell’account in due passaggi! :-)

Attenzione: non perdete tempo e richiedete subito i codici di backup per poter accedere al vostro account. Questi saranno preziosi come l’oro se un domani non doveste avere accesso al telefono per poter generare un codice di verifica. Vi basterà fare clic sul pulsante “Generate Backup Codes” (che vedete anche nell’immagine qui sopra), verranno generati all’interno di un piccolo popup che si aprirà a video. Copiate e incollate il contenuto in un posto sicuro al quale non dovranno poter accedere sconosciuti e dimenticatevi di quel file, sarà necessario solo in caso di emergenza un domani.

Riceverete una mail di conferma al vostro indirizzo di posta elettronica per confermare l’avvenuta attivazione del servizio. Un altro importante tassello contro accessi non autorizzati ;-)

E su WordPress.org (hosted WordPress)

Per tutti coloro che come me hanno scelto di ospitare il proprio WordPress in uno spazio tutto suo (hosting condiviso, server virtuale o fisico dedicato, ecc.) esiste l’autenticazione in due passaggi già da tempo tramite Google Authenticator, basta un apposito plugin e una rapida configurazione, presto vi spiegherò i passaggi da seguire in un articolo dedicato :-)

Kaspersky PURE 3.0Tra una manciata di giorni la nota azienda di sicurezza russa Kaspersky Lab rilascerà ufficialmente quello che sarà il prodotto di punta dei prossimi mesi (e non solo): PURE 3.0 Total Security.

Molto più ricco e cattivo del più popolare Internet Security includerà una serie di nuovi tool e permetterà inoltre di controllare da un’unica console lo stato di sicurezze di tutte le macchine di casa, il tutto promettendo comunque di non appesantire troppo la vostra postazione di lavoro, da sempre uno dei talloni d’Achille del software (nota personale, sia chiaro). In primo piano la facilità d’utilizzo, PURE sarà a portata di chiunque, anche dell’utente meno preparato.

Inutile dire che –come tanti competitor e seguendo l’onda che va tanto di moda– anche PURE appoggia alcune sue funzioni alla tecnologia Cloud.

Cosa c’entri tu con PURE?

Alcuni blogger, giornalisti ed esperti del settore verranno coinvolti in un’iniziativa, pensata ed organizzata proprio da Kaspersky, che permetterà di testare il prodotto in anteprima e arrivare ad un incontro online durante il quale sarà possibile interagire con chi il prodotto l’ha realizzato così da porre domande, dubbi e qualsiasi altra cosa passi per la testa, consapevoli dell’efficienza del prodotto ma anche curiosi per eventuali mancanze o particolarità sul suo funzionamento.

  • 11 aprile, ore 17.00: in diretta e in streaming su Youtube (quindi anche sul profilo Google+ di Kaspersky) le persone coinvolte parteciperanno virtualmente alla tavola rotonda. Il link per la diretta su Youtube verrà reso noto a tutti sui canali social dell’azienda (twitter, facebook, google+) appena comincerà l’evento. Purtroppo non lo si può sapere in anticipo, ma solo nel momento in cui inizierà la diretta;
  • tutti coloro che vorranno interagire potranno farlo tramite i profili social di Kaspersky (live su twitter con hashtag ufficiale #pure3.0 e su Facebook). Sarà quindi possibile anche porre domande ai partecipanti attivi all’hangout;
  • Aldo del Bo, Managing Director KL Italia, Stefano Ortolani, Security Researcher di Kaspersky Lab Italia e Gianfranco Vinucci, Head of Support & Services di Kaspersky Lab Italia saranno a disposizione di tutti coloro che porranno le domande o avanzeranno dubbi riguardo il prodotto.

A prescindere dalla mia partecipazione alla tavola rotonda (in dubbio poiché in orario lavorativo, ndr) proverò sicuramente il prodotto così da poterne sapere di più e dire la mia, soprattutto vista la non facile convivenza con un software che mi sta molto a cuore (Firefox, ndr) da anni in disaccordo con l’invadenza della configurazione di default del noto ecosistema protettivo di terra russa.

In un comunicato stampa che sarà presto reso disponibile pubblicamente si parla di tutte le novità introdotte in Safe 3.0 TS. Nello stesso si fa riferimento al fatto che i PC (soprattutto portatili) siano diventati degli uffici ambulanti e che siano di conseguenza esposti a molti rischi costantemente, elogiando così le doti di un buon sistema di protezione a 360°. La prima domanda che mi verrebbe spontaneo porre è: è davvero così nell’era in cui si esce di casa “armati” di iPhone e iPad ancora prima di prendere la borsa con il portatile?

E voi, cosa ne pensate a tal proposito?

Microsoft Windows 8Microsoft ha reso disponibile la versione finale di Internet Explorer 10 anche per Windows 7 (e Windows Server 2008, ndr).

A lungo provato tra Preview e Beta è ora scaricabile dalla pagina ufficiale Microsoft che fornisce i pacchetti di installazione a 32 o 64bit anche per coloro che non possiedono Windows 8, unico ad avere l’ultima versione dello storico browser di Redmond fino ad ora.

windows.microsoft.com/it-it/internet-explorer/downloads/ie-10/worldwide-languages

Prima di procedere date una rapida occhiata ai requisiti richiesti, a portata di qualunque macchina oggi presente sul mercato.

Microsoft lo definisce il browser più sicuro di sempre e fortunatamente per ora pare rispettare abbastanza specifiche di sicurezza a lungo bistrattate e solitamente aggirate per attaccare il PC con il software a bordo. Che sia la volta buona? In bocca al lupo ragazzi :-)

Flash Player (AdobeUpdater)Come risolvere una seccatura che ha il brutto vizio di ripresentarsi spesso e (non) volentieri? Uno script, semplice! Adobe lo conosciamo tutti e nel bene o nel male fornisce uno dei player più utilizzati (ancora) al mondo: il Flash.

Dato che stare dietro agli aggiornamenti diventa oneroso soprattutto per chi utilizza più browser contemporaneamente, ho deciso che installare in un solo colpo la versione più aggiornata del player in versione ActiveX e Plugin potesse essere una buona soluzione da adottare. Per questo motivo ho messo in sequenza qualche banale riga di codice che si occupa del download e dell’installazione delle versioni a 32 bit del player sia per Internet Explorer che per tutti gli altri browser, fermo restando che Chrome utilizza una versione sua integrata già nel browser.

Ho preso spunto da una discussione del forum Adobe dove si parlava dell’argomento: forums.adobe.com/message/3967370 e ho creato questo breve codice di seguito

wget http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_11_active_x.exe
wget http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_11_plugin.exe
start "Installazione Flash Player ActiveX" /wait install_flash_player_11_active_x.exe -install
start "Installazione Flash Player Plugin" /wait install_flash_player_11_plugin.exe -install
del /S /Q install_flash_player_11_active_x.exe
del /S /Q install_flash_player_11_plugin.exe

Il codice completo è disponibile nel Wiki all’indirizzo public.gfsolone.com/wiki/doku.php?id=batch:flashupdater. Il batch fa parte di un pacchetto eseguibile unico che contiene al suo interno anche il wget.exe. Lanciandolo come amministratore farà tutto automaticamente assicurandosi di forzare la chiusura di eventuali browser rimasti aperti (il controllo viene effettuato per Internet Explorer, Firefox, Opera e Chrome).

Sono sicuro che il codice possa diventare ancora più “elegante” o magari integrare diversi tipi di aggiornamenti anche non Adobe o ancora che potesse essere scritto in VBS e chissà cos’altro, eppure così già funziona, d’altronde basta questo no? ;-)

A voi non resta che attendere e godervi il risultato:

app.box.com/s/8fljugl4p663ae5fnbsf

Buon lavoro :-)