Archives For 2-step verification

Stamattina mi trovavo in giro per Milano per un paio di appuntamenti. Ho ingannato l’attesa dando un’occhiata a Twitter, e ho fatto caso ad alcuni strani movimenti decisamente poco avvezzi all’essere autorizzati dai relativi proprietari, si trattava di stati clonati tra di loro, tutti più o meno pubblicati in una stessa fascia oraria, un evidente attacco a tappeto. Si è trattato di un vero e proprio sfacelo, di quelli che da qualche tempo non se ne vedevano più, pare che colpa sia stata di un’applicazione di terza parte con autorizzazioni di lettura e scrittura sugli account Twitter dei suoi utilizzatori.

Di Twitter, Turchia e accessi indesiderati

Ho visto per primi i tweet di Paolo Attivissimo, che è solito ricevere, verificare e rilanciare materiale solo se non si tratta di bufale (che in realtà combatte da sempre e stronca sul nascere). Uno, poi un altro, poi altri ancora e così via, sembra che account non collegati tra di loro abbiano pubblicato stati pro-Erdoğan (il presidente turco):

Il tweet contiene una svastica, alcuni hashtag che si riferiscono al nazismo, un video celebrativo del presidente turco Recep Tayyip Erdoğan e varie scritte fra cui “ci vediamo il 16 aprile”. È la data del referendum costituzionale in Turchia che deciderà se rafforzare i poteri del presidente, una riforma promossa e sponsorizzata dallo stesso Erdoğan. I riferimenti al nazismo e ai Paesi Bassi si legano probabilmente ai diversi litigi diplomatici che Erdoğan ha avuto con alcuni leader europei la scorsa settimana, dopo che in diversi paesi ai membri del governo turco è stato impedito di tenere comizi politici in vista del referendum (probabilmente perché non vogliono legittimare un governo autoritario e ultra-nazionalista come quello di Erdoğan).

vedi: ilpost.it/2017/03/15/attacco-hacker-twitter-turchia

I tweet si susseguono, l’attacco dilaga e gli account violati aumentano, basta dare un’occhiata a questo piccolo elenco di tweet, che in realtà sono poi diventati ancora di più, ma non posso certo star lì a recuperarli tutti ;-) (ci vuole ben poco in realtà):

Impossibile fare diversamente, Paolo cala l’asso e consiglia caldamente l’utilizzo della 2FA (l’autenticazione a due fattori, per la quale combatto e scrivo da sempre):

Twitter aveva attivato l’autenticazione a due fattori tramite SMS già nella prima metà del 2013, evolutasi e passata ad autenticazione (sempre a due fattori) tramite la sua stessa applicazione pochi mesi dopo. Dal 2013 le cose sono ulteriormente cambiate e ci sono stati altri miglioramenti. Ora è possibile anche generare codici temporanei utilizzando applicazioni di terze parti come Google Authenticator o Authy. Non hai quindi più scuse per perdere tempo, attivala subito.

È solo dopo un’ora circa dai primi attacchi (orario italiano) che si scopre che il problema non è Twitter, né tanto meno una password troppo debole degli utilizzatori colpiti. Il cavallo di Troia si chiama TwitterCounter, un servizio (a ora che sto scrivendo l’articolo è down per manutenzione) che permette di rilevare diverse statistiche riguardo il proprio utente Twitter. Per utilizzarlo è necessario autenticarsi tramite il proprio user Twitter (sfruttando le API) e dargli accesso in lettura e scrittura. La seconda ACL è quella che ha causato il danno più visibile, evidentemente.

Paolo ha raccolto diverse informazioni e le ha messe a disposizione di tutti nell’articolo che potrai leggere all’indirizzo attivissimo.blogspot.it/2017/03/violazioni-di-massa-di-account-twitter.html.

Da lì a poco anche Matteo è entrato in gioco e ha fornito dettagliate statistiche che mostrano l’evoluzione dell’attacco e gli account colpiti, con relativi rimbalzi, visualizzazioni e chi più ne ha più ne metta. Trovi tutto il materiale all’indirizzo matteoflora.com/a-social-media-analysis-of-the-turkish-%E5%8D%90-nazialmanya-attack-294ff653085c#.mxnysyvy7.

Nel frattempo, anche Gizmodo ha raccolto ulteriori informazioni e le ha inserite all’interno del loro articolo riepilogativo (gizmodo.com/twitter-accounts-hacked-with-swastikas-through-third-pa-1793286451). I passaggi più importanti sono quelli relativi alle affermazioni di Twitter e del servizio di terza parte TwitterCounter, che riporto:

Update, 5:36am: Twitter just sent us this statement:

We are aware of an issue affecting a number of account holders this morning. Our teams are working at pace and taking direct action on this issue. We quickly located the source which was limited to a third party app. We removed its permissions immediately. No additional accounts are impacted. Advice on keeping your account secure can be found here.

vedi: support.twitter.com/articles/76036 (consigli di sicurezza che tutto sommato riportano quanto già detto da me, da Paolo e da molti altri, mille volte)

Da lì a poco, inevitabile il tweet di TwitterCounter:

Ciò vuol dire che, almeno per il momento, nulla si può muovere tramite TwitterCounter, il quale ha anche modificato la sua chiave privata per sfruttare le API di Twitter, così da evitare (si spera) ulteriori attacchi. Se e quando verrà scoperta la falla beh, questo non è ancora dato saperlo (ma salterà sicuramente fuori nelle prossime ore, o almeno tutti ce lo auguriamo).

Occhio a chi hai autorizzato

Il mio consiglio, oltre a quello di andare ad attivare l’autenticazione a due fattori e rimuovere immediatamente l’accesso all’applicazione TwitterCounter (ammesso tu l’abbia mai autorizzata) da twitter.com/settings/applications, è quello di verificare quante altre applicazioni possono accedere al tuo account Twitter, e fare una pulizia di primavera in leggero anticipo, per evitare che chiunque possa sfruttare falle che esulano da Twitter o dalla tua capacità di proteggere l’account con una robusta password e un corretto metodo di verifica.

Se non utilizzi più un’applicazione, se non ne riconosci il nome, se pensi di non averci nulla a che fare, rimuovi il suo accesso. Ricorda che potrai sempre ridarglielo in un secondo momento, senza conseguenze (dovrai semplicemente riautenticarti a Twitter). Fai distinzione tra lettura e scrittura, e prediligi l’eliminazione immediata di chi ha accesso in scrittura al tuo account, guarda la differenza in questa immagine catturata dal mio account:

Di Twitter, Turchia e accessi indesiderati 1

Ricorda solo che, nel caso tu utilizzi iOS o macOS abitualmente (sistemi operativi di casa Apple), revocare i diritti di accesso non è immediatamente banale, devi pensare più in grande e toglierli all’intero sistema, come spiegato nella documentazione ufficiale di Twitter.

Non perdere altro tempo, dai un’occhiata alle tue impostazioni di sicurezza e fai in modo da proteggerti il più possibile da accessi (e utilizzi) indesiderati.

Cheers.

G

Condividi l'articolo con i tuoi contatti:

Ne hanno già parlato in molti, io ho atteso, ho provato a capire se potesse “starmi bene addosso“, un po’ come le palme di Piazza Duomo a Milano. Se queste ultime posso tranquillamente sopportarle (un tocco esotico in qualcosa che di esotico non ha nulla, ma tant’è), la prima proprio non va giù. Una verifica 2-Step anomala, che non ci si aspetta, ma evidentemente in Facebook hanno pensato di dare una svecchiata al metodo.

Per permettere a WhatsApp di funzionare, dovrai associare un numero telefonico univoco che andrà verificato tramite un semplice SMS (o chiamata in caso di problemi). La vera “novità” è quella relativa però all’introduzione dell’autenticazione a due fattori, quella che chiunque di noi è abituato a vedere passare da applicazioni di terze parti in grado di leggere l’ormai tradizionale codice QR e fornire la sequenza numerica che cambia ogni 30 o 60 secondi (o altri intervalli di tempo regolari).

WhatsApp è diversa. La loro autenticazione a due fattori in realtà è un codice di 6 cifre che non cambia, come una password senza scadenza, uno step in più –certamente– ma che fa comunque parte di noi utilizzatori, perché siamo noi a sceglierlo, perché nella maggior parte dei casi –senza prestare la dovuta attenzione– si andrà a utilizzare qualcosa che ci può essere associato. Una data di nascita, la parte numerica di una targa, un numero di telefono e altro ancora, tutti dati che in qualche maniera possono venirci sottratti, come tradizione vuole con le password facilmente aggirabili. Non è una vera 2-Step, è –concedimi la battuta scema– uno step e mezzo a fatica.

In ogni caso, il consiglio è quello di attivare la funzione, si tratta pur sempre di un’ulteriore strato di difficoltà che si interpone tra il tuo account e un eventuale malintenzionato:

Non servirà null’altro, solo tanta pazienza. WhatsApp ti richiederà di inserire quel codice di tanto in tanto (pure troppo) per evitare che tu possa dimenticarlo, e per proteggersi da accessi eventualmente non autorizzati. Funziona così anche con Authy (te ne ho parlato qui), ma in versione meno “ansia” e ignorabile secondo richiesta dell’utilizzatore.

La tradizionale verifica 2-Step è da sempre disponibile su Facebook (sito web e applicazione), non riesco a capire perché non portare a bordo anche WhatsApp, ma per il momento ci si dovrà accontentare (ancora ricordo i primi passi di 2-Step authentication di Twitter, poi tornata sui suoi passi, tutti possono cambiare in meglio).

Condividi l'articolo con i tuoi contatti:

Probabilmente era solo questione di tempo, la speranza che ci fosse dietro qualcuno a gonfiare la cosa più del dovuto, magari per farsi notare nella community e ottenere quei 15 minuti di notorietà. E invece no. Il leak delle credenziali Dropbox datato 2012 e quasi passato inosservato per molti (non per tutti, rilanciato anche da molte testate e siti web, nda) sembra essere reale e funzionante.

A volte ritornano: dell'attacco a Dropbox e delle credenziali rubate

In questi giorni arrivano mail da Dropbox che invitano a cambiare la propria password di accesso solo per “prevenire possibili attacchi“, in realtà c’è chi ha messo le mani su quanto sottratto 4 anni fa, ottenendo “buoni” (si fa per dire) risultati, dimostrando come siano ben visibili le coppie di credenziali (username e password) all’interno dei file recuperati. Consiglio caldamente la lettura dell’articolo di Troy Hunt in merito, disponibile all’indirizzo troyhunt.com/the-dropbox-hack-is-real. Con pochi passaggi ha mostrato come le credenziali per l’accesso all’account Drpobox della moglie fossero alla mercé di tutti (quelli coloro hanno copia degli accessi sottratti, nda), nonostante la password fosse stata creata in maniera robusta e difficilmente “calcolabile o intuibile“.

Il suo progetto, HIBP (Have I been pwned? Qui maggiori informazioni) raccoglie 68.648.009 account di Dropbox potenzialmente compromessi, immediatamente ricercabili. Io ho già trovato uno dei miei account Dropbox, risulta facente parte dell’elenco sottratto all’azienda, ma avevo cambiato password e abilitato l’autenticazione in due fattori già all’epoca dell’attacco (nel frattempo ho anche modificato la mail di accesso), non ho mai riscontrato problemi in seguito (furto di dati, cancellazioni o simili).

A volte ritornano: dell'attacco a Dropbox e delle credenziali rubate 1

Tu puoi fare la stessa cosa. Di certo devi andare a verificare che il tuo indirizzo di posta non faccia parte di quell’elenco (e potenzialmente anche di altro), quindi cambiare la tua password e abilitare l’accesso 2-Step come già spiegato in questo mio vecchio articolo (scritto proprio dopo quell’attacco del 2012):

Sicurezza: la 2-step verification di Dropbox

Prima di concludere: ricorda di iscrivere ogni tuo indirizzo di posta elettronica, utilizzato per registrarti a servizi di terze parti, al sito di Troy (da qui: haveibeenpwned.com/NotifyMe), così da ricevere tempestivamente un avviso nel caso in cui il tuo account venga sottratto da qualche database senza che tu ne sappia alcunché, così da reagire immediatamente all’attacco e cambiare la tua password. Ricorda: evita di utilizzare la stessa password per più servizi, ti esponi a maggiore facilità di penetrazione. Utilizza sempre una password facile da ricordare (per te) ma difficile da intuire (sembra un gioco di parole, ti assicuro che non vuole esserlo). È buona norma raggiungere o superare gli 8 caratteri alfanumerici includendo possibilmente una maiuscola e un segno di punteggiatura o altro simbolo, in alcuni casi viene accettato anche lo spazio.

Giusto per capirci: lo sai che “Il cavallo bianco di Napoleone :-)” è una password più complessa di “L0h4ck3r2o16.!!” o altre simili inventate sul momento, pensando che così nessuno possa trovarle? L’apparenza inganna spesso. Utilizza un buon programma per generare e salvare le tue password (1Password, KeePass e simili), cerca di averne una per ciascun servizio utilizzato, proteggi il più possibile i tuoi accessi con la 2 Factor Authentication.

Estote parati (citando il buon Matteo).

Condividi l'articolo con i tuoi contatti: