Archives For Keepass

Aggiornamento 11/6/16: come previsto, ecco spuntare fuori la nuova versione di KeePass, che va a mettere a posto la falla descritta nell’articolo:

KeePass is a free open source password manager, which helps you to manage your passwords in a secure way. You can put all your passwords in one database, which is locked with one master password or a key file. So you only have to remember one single master password or select the key file to unlock the whole database. Databases are encrypted using a very secure encryption algorithm (AES/Rijndael).

KeePass 2.34 has been released and can be downloaded from:
http://ift.tt/K07IBs

Articolo originale

Tutto nasce da un attacco MitM (se non sai cos’è, fai clic qui) portato a termine e documentato da Florian Bogner. Protagonista non certo contento (né lui, né chi come me lo utilizza) è invece KeePass, popolare tool in grado di tenere al sicuro (?) le nostre coppie di credenziali (e non solo), disponibile per qualsiasi piattaforma (considerando i vari porting funzionanti, nda) ed estremamente diffuso come alternativa offline ai più giovani strumenti completamente disponibili e controllati / controllabili via web (LastPass è solo un esempio, tanto per dire).

Problemi di sicurezza per KeePass 2 (CVE-2016-5119) 1

L’articolo ha ormai qualche giorno (avrei voluto parlarne prima, in effetti) ma è ancora attuale, dato che la versione 2.34 di KeePass non è ancora stata rilasciata, lasciando così scoperto il canale che potrebbe essere sfruttato da un aggressore per proporti un pacchetto di aggiornamento falso, intercettando il tuo traffico all’interno di una rete che non è diretta verso internet (o che ospiti l’aggressore stesso sulla medesima):

CVE-2016-5119: MitM Attack against KeePass 2’s Update Check

Vista l’importanza e la delicatezza dell’argomento (si parla di accessi riservati ai siti web che sei solito frequentare, in fin dei conti) è sicuramente buona norma cercare di aggirare l’ostacolo e mitigare il possibile attacco. Per farlo ti basterà chiedere al tuo KeePass di non cercare aggiornamenti del programma all’avvio, cosa tutto sommato semplice considerando che esiste un’opzione dedicata all’interno di ToolsOptions Advanced → “Check for update at KeePass startup“:

Problemi di sicurezza per KeePass 2 (CVE-2016-5119)

Per evitare però di rimanere a bocca asciutta e perdere i prossimi aggiornamenti, hai due opzioni: seguire il feed RSS del sito web ufficiale, oppure aggiungere l’automatismo seguente al tuo account IFTTT (non usi IFTTT? Male!):

L’autore dell’applicazione (Dominik Reichl) ha già risposto ufficialmente a Bogner e agli utilizzatori tutti (qui la news per intero), ne estraggo solo un pezzo per farti notare che dalla prossima release, il problema verrà aggirato in modo “creativo“:

Resolution. In order to prevent a man in the middle from making KeePass display incorrect version information (even though this does not imply a successful attack, see above), the version information file is now digitally signed (using RSA-2048 and SHA-512). KeePass 2.34 and higher only accept such a digitally signed version information file. Furthermore, the version information file is now downloaded over HTTPS.

A noi non resta che attendere.

Condividi l'articolo con i tuoi contatti:

Parlare di un prodotto antivirus non è mai cosa semplice. La sicurezza del client oggi non si limita al semplice “programma antivirus“, l’utente medio-basso è potenzialmente esposto a mille rischi più o meno riconoscibili “dall’odore” e un buon prodotto dovrebbe poter prevedere e prevenire ogni possibile tipo di attacco, nel 99% dei casi oggi giorno proveniente dalla rete (navigazione, posta elettronica, reti locali in azienda), nonostante le chiavi USB, i dischi esterni e supporti di memoria un pelo più vecchi mantengano sufficientemente alta la loro statistica.

Qualche giorno fa vi ho parlato di Kaspersky PURE 3.0, la nuova versione della suite russa che intende dedicare all’utente un intero ecosistema di protezione che spazia dal “semplice” antivirus al controllo dello stato di sicurezza della casa passando per la protezione degli acquisti online e la reazione più o meno immediata contro qualsiasi malware proveniente dalla rete.

In realtà la lista completa prevede le più avanzate tecnologie di “Internet Security“, il “Parental Control“, backup e ripristino dei dati delle proprie macchine (funzionalità non certo nativa dei prodotti antivirus ma offerta, un punto sicuramente a favore), un Password Manager per tenere al sicuro le proprie password e per poterle facilmente richiamare tramite browser, moduli di criptaggio dei dati, ottimizzazione del PC e -come già detto- la gestione centralizzata dei PC della rete domestica.

Installazione e prestazioni

Forse quello che i più dimenticano è la possibilità di rimanere costantemente aggiornati e protetti anche se non si ha a disposizione l’ultimo ritrovato della tecnologia. Per l’appunto, ho voluto installare PURE 3.0 su una macchina virtuale XP (più resistente di un albero sempreverde) con soli 512MB di RAM e senza alcuna limitazione disco (libero sciacallaggio delle risorse del mio portatile). Lo scopo è dimostrare che un prodotto ben studiato e “garantito” anche su macchine datate sia davvero in grado di girare senza alcun problema:

Ho già detto che la macchina di base aveva a sua disposizione solo 512MB di RAM vero? Certo è difficile trovare macchine così in giro ma ne ho viste tante in passato e continuano ad essercene ancora molte. Chiaramente in questa condizione si rende difficile la convivenza con il resto del software a bordo della stessa macchina, non tanto per l’occupazione disco quanto per la possibilità di convivere ed essere eseguito in contemporanea con Pure. Una volta installato e attivato il prodotto ho lanciato immediatamente il primo corposo aggiornamento che ha impiegato molto tempo per scaricarsi (dipende dalla vostra linea ADSL e dall’occupazione dei server di aggiornamento prodotto) e al primo riavvio per l’applicazione delle modifiche la macchina si è addirittura bloccata costringendomi al riavvio forzato. Non è affatto un buon inizio.

Console, comandi, integrazione

Console molto intuitiva e accessibile per ogni tipo di utente, funzioni di aggiornamento automatiche con la solita possibilità di forzarne l’avvio e una marea di opzioni aggiuntive che potrebbero sfuggire al controllo.

PURE 3.0 come ogni altro software Kaspersky installa all’interno dei browser dei componenti aggiuntivi che vanno ad integrare così alcune funzionalità proprie della suite. Chi utilizza come me una versione di Firefox non ancora Stabile (io sono sul canale Aurora, due release più avanti rispetto all’attuale Firefox rilasciato pubblicamente) non potrà utilizzare questi componenti aggiuntivi in quanto non ufficialmente supportati e non compatibili con la versione del browser, cosa che chiaramente non accade per Google Chrome o Internet Explorer (installati anche loro sulla stessa macchina virtuale.

Una perdita? Forse no. La tastiera virtuale, l’integrazione con il Password Manager o le funzioni di verifica dell’URL che si vuole andare a visitare hanno le loro alternative native e non (c’è persino un Anti-Banner che potrebbe sostituire AdBlock e simili, ndr). Tanto per capirci: la tastiera virtuale è fatta per evitare possibili Keylogger residenti sulla macchina che però dovrebbero essere intercettati dall’antivirus Kaspersky stesso, per il Password Manager esiste Keepass con i suoi componenti aggiuntivi o con le funzionalità integrate per l’auto-compilazione dei campi (nativa, senza alcuna installazione di ulteriore materiale) e per il controllo dei siti web vi ricordo che Firefox si appoggia al Safe Browsing di Google con un database molto più che aggiornato.

Parental Control

Una delle funzioni che ho preferito in questo software probabilmente. Senza star li a d inventarsi soluzioni home-made o cercare soluzioni alternative spesso complicate (ma delle quali comunque parlerò quanto prima, ndr) Kaspersky offre filtri di Parental Control già preconfezionati e la possibilità di realizzarne di propri per personalizzare al massimo l’utilizzo della macchina da parte dei membri della famiglia:

La password impostata per il Parental Control può essere immediatamente impostata anche ad altre porzioni del software, compresa la sua disinstallazione, a prova di figlio che decide di mettere fine alla presenza del prodotto sulla macchina (ammesso che gli abbiate lasciato un utente amministratore della macchina, ndr).

Social Network, applicazioni, file da scaricare o bloccare e molte altre informazioni che è possibile inserire / modificare / ritoccare rispetti ai profili suggeriti dal prodotto, il tutto assegnabile ad uno specifico utente della macchina. Molto comoda la possibilità di limitare l’utilizzo della macchina e di internet per ore totali, giorni e orari:

Bravi, molto ben realizzata, semplice da impostare ed immediatamente efficace, il rapporto che potrà essere visualizzato dall’amministratore completa un quadro già ben realizzato.

Gestione centralizzata della rete domestica

Quello che succede con le console di gestione centralizzata dell’antivirus nelle grandi aziende, in piccolo però:

L’idea di fondo è la stessa ed è chiaramente vincente. Se una sola macchina è in grado di monitorare e permettermi di accedere alla gestione della parte security delle altre perdo la metà del mio tempo e posso risolvere eventuali problemi con un paio di clic e senza le necessità di collegarmi da remoto (o fisicamente con monitor, tastiera e mouse) alla macchina interessata. Molto rapido nella ricerca (nell’immagine qui sopra si vede chiaramente la sola macchina virtuale ma ho avuto modo di provarlo anche in una rete con più macchine protette) e altrettanto nella reportistica / ricezione stato degli altri PC ed eventuali adeguamenti a decisioni della console centrale. Qualsiasi Pure 3.0 con la giusta password amministrativa può fare da ponte verso gli altri.

Strumenti aggiuntivi

Ovvero il coltellino svizzero in caso di necessità:

Impostazioni del browser (integrazione dei componenti, ecc.), Rescue Disk per avviare la macchina anche nel caso in cui ci sia qualche infezione che non permette il corretto avvio del sistema operativo (creando un apposito CD/DVD o chiavetta USB di boot), Risoluzione dei problemi post-infezione (per rimuovere ogni traccia) ed Eliminazione definitiva dei file (con più passaggi proprio per evitare che programmi appositi possano recuperare facilmente dati che si intendono cancellare definitivamente).

Costi e conclusioni

La licenza per un solo PC costa circa 60 euro (59,95), passando a quasi 80 (79,95) per 3 PC e 100 (99,95) per 5. Il pacchetto è acquistabile direttamente da kaspersky.com/it/pure. Senza infamia e senza lode ha i suoi pro e i suoi contro come per qualsiasi altro prodotto sul mercato.

Di sicuro Kaspersky offre maggiori strumenti che permettono all’utente di non passare da soluzioni alternative facendo risparmiare tempo e denaro, un punto a loro vantaggio, con una buona configurazione l’ho trovato persino accettabile e neanche troppo esoso ma ho preferito continuare a tenere bloccate le pesanti “infiltrazioni” all’interno di software terzi (come i browser) per evitare di appesantire ulteriormente sistema e navigazione, cosa mai buona per chi lavora tutto il giorno con quel tipo di strumenti, quasi a voler fare una “doppia scansione di tutto“.

Disclaimer per un mondo più pulito
Gli articoli che appartengono al tag "Banco Prova" riportano la mia personale esperienza con prodotti generalmente forniti da chi li realizza. In alcuni casi il prodotto descritto rimane a me, in altri viene restituito. In altri casi ancora sono io ad acquistare il prodotto e decidere di pubblicare un articolo ad-hoc in seguito, solo per il piacere di farlo e condividere con voi i miei pensieri. Ogni articolo rispetta -come sempre- il mio standard: nessuna marchetta, solo il mio parere, riporto i fatti, a prescindere dal giudizio finale.

Prodotto: fornito da Kaspersky. Ho potuto tenere la licenza fino al completamento dell'anno di abbonamento.
Condividi l'articolo con i tuoi contatti:

Keepass Database BackupKeepass è un ottimo strumento per salvaguardare e conservare in un unico posto tutte le proprie password scegliendone una (o una diversa combinazione di autenticazione) molto più complessa che funga da Passepartout. Lo uso da diversi anni con molta soddisfazione e ultimamente ho anche reso il mio iPhone capace di leggere e scrivere nello stesso database tenuto in copia su Dropbox per averlo sempre con me.

Quello di cui vi parlo oggi è la sicurezza del database in se, come file soggetto a backup nel mare delle informazioni contenute nel PC. E’ importante che abbiate sempre una copia di sicurezza del DB, magari soggetta anche a versioning per evitare scherzi dovuti a distrazioni da parte nostra. Per fare questo basta un semplice plugin contenuto nella pagina dello stesso sito ufficiale: keepass.info/plugins.html.

Si chiama DatabaseBackup e potete scaricarlo facendo clic su keepass.info/lugins.html#databasebackup. Con Keepass chiuso estraete il file dbBackup.plgx all’interno della cartella Plugins del programma (generalmente C:\Program Files\KeePass Password Safe 2\Plugins) quindi aprite nuovamente Keepass che vi chiederà conferma per l’installazione del plugin.

A questo punto manca la configurazione, accessibile dal menu “Tools” / “DB Backup plug-in“. Scegliete la destinazione e aggiungetela, il numero di versioni del database da tenere, quindi modificate la data / ora se necessario:

Keepass: DB Backup plug-in

Salvate la configurazione e chiudete questa finestra. Ogni volta che salverete il database in seguito ad una modifica, il plugin provvederà a crearne una versione conservandola nella directory precedentemente specificata. Diversamente potrete costringerlo a farlo senza alcuna modifica al DB semplicemente da Tools / DB Backup plug-in / Backup DB NOW !

E su iPhone?

Kypass iOSHo scelto KyPass. L’applicazione è disponibile su AppStore e costa poco meno di 5€ (4,49, ndr), un investimento che vi permetterà di accedere in qualsiasi momento al database accessi ovunque voi siate, sia online che offline. Grazie alla possibilità di sfruttare Dropbox (o Google Drive se preferite!) potrete collegarvi ad una specifica cartella dove tenere i file KDBX (Keepass Database), Kypass scaricherà una versione del database che potrà essere aperta e modificata.

Se c’è copertura rete le modifiche verranno applicate al DB online, in caso contrario alla prima occasione verranno caricate le modifiche fatte precedentemente offline, molto comodo. Sfortunatamente non esiste una versione free limitata di questa applicazione e (almeno fino a qualche giorno fa) non ho trovato niente che possa sostituire egregiamente la mia scelta. Non resta quindi che lasciarvi provare e sperimentare con il vostro Keepass e Kypass su iPhone / iPad :-)

Buon lavoro!

Condividi l'articolo con i tuoi contatti: