Archives For Sicurezza

Non è certo argomento nuovo quello del DNS hijacking, pratica quanto più perpetrata da coloro che scrivono software malevolo in grado di attaccare i router casalinghi, o magari quelli ben più complessi alla base di una rete aziendale che può diventare inconsapevole vittima di un redirect non voluto e non certo giusto ai fini di una navigazione pulita e fatta di siti web leciti. Il funzionamento di tale tecnica è tanto semplice quanto pericoloso: l’ignaro utente effettua una normale richiesta a un DNS che non si aspetta, il quale redirige quella richiesta verso un sito web infetto e potenzialmente molto pericoloso.

Firefox: DNS over HTTPS (di Cloudflare ma non solo)

La tecnica ha maggiore effetto con coloro che sono poco informati, o comunque poco (o per nulla) in grado di accorgersi di questo tipo di redirezione (pensa ai tuoi genitori in età avanzata, i nonni, ma anche parenti ben più giovani ma completamente a digiuno di questo tipo di argomenti), sfociando così in furti di credenziali o –ben peggio– di codici di protezione per conti correnti bancari e carte di credito. I maggiori produttori di browser lavorano da tempo a tecnologie che vadano oltre la configurazione DNS del proprio Sistema Operativo, e sono mesi che nelle versioni Nightly di Firefox mi trovo dietro una configurazione di DNS over HTTPS per proteggere le mie richieste verso i DNS utilizzati, così da ottenere risposte corrette e che tengano al sicuro la navigazione quotidiana.

Firefox: DNS over HTTPS (di Cloudflare ma non solo) 1

Di Cloudflare e dei suoi nuovi DNS ti avevo già parlato in passato, in questo articolo.

Gli “studi” di cui parla Nightly sono quelli che –ammesso tu stia usando questa versione del browser Mozilla– puoi trovare digitando about:studies nella barra dell’URL. Questa è una (ormai non più) novità di Nightly introdotta lo scorso marzo, così come la stessa cosa è accaduta per Google e il suo Chrome arrivato a introdurre anch’esso uno studio nel rilascio dello stesso mese (e -sempre Google- ne parlava già nel 2016: developers.google.com/speed/public-dns/docs/dns-over-https).

Firefox: DNS over HTTPS (di Cloudflare, ma non solo)

Effettuare richieste DNS passando per HTTPS ha anche un duplice scopo, ed è quello relativo alla privacy dei dati scambiati tra il client (da te utilizzato) e il server che sta portandoti verso il sito web richiesto. Chi si trova in mezzo, passando per una connessione cifrata (HTTPS, appunto), non potrà ottenere statistiche dettagliate e abitudini del client che fino a oggi sono state più trasparenti dell’aria.

Sperimentazione dei DNS over HTTPS

Forzare il browser di casa Mozilla a utilizzare dei DNS over HTTPS è oggi possibile con qualsivoglia versione pari o superiore alla 60, a prescindere dal ramo di aggiornamento scelto per le proprie postazioni. Un articolo di Ghacks lo spiegava lo scorso aprile, io te lo riepilogo in breve.

  • Portati nell’about:config del browser (e conferma che vuoi procedere garantendo che non combinerai danni, perché tu non lo farai, giusto?)
  • Cerca la voce network.trr.mode e portala a valore 2, questo ti consentirà di scegliere DNS over HTTPS come principale metodo di risoluzione nomi, ma di passare in fallback sui DNS di sistema nel caso il metodo principale fallisse (così da non rimanere senza meta durante la navigazione). Il valore 1 permetterebbe a Firefox di scegliere il più veloce tra i due metodi, il 3 di usare esclusivamente DNS over HTTPS e 0 -che poi è il default- di usare solo i DNS di sistema, come hai sempre fatto.

Firefox: DNS over HTTPS (di Cloudflare ma non solo) 2

  • Cerca ora la voce network.trr.uri e valorizza il contenuto scegliendo (e riportando la stringa adatta) uno dei due servizi sperimentali attualmente già pubblicamente accessibili, Mozilla / Cloudflare (https://mozilla.cloudflare-dns.com/dns-query) o Google (https://dns.google.com/experimental).

Firefox: DNS over HTTPS (di Cloudflare ma non solo) 3

  • Se -contrariamente a me- hai precedentemente scelto di usare il servizio di Mozilla / Cloudflare, devi ora cercare la voce network.trr.bootstrapAddress e valorizzarla con il DNS primario del servizio (1.1.1.1). Se hai scelto Google, quel valore dovrà corrispondere invece al più che conosciuto 8.8.8.8.

Firefox: DNS over HTTPS (di Cloudflare ma non solo) 4

La modifica è immediata, e tu navigherai sin da subito passando per una risoluzione nomi basata ora su DNS over HTTPS.

Ulteriori riferimenti

Ho trovato su GitHub una lista di altri servizi di DoH (DNS over HTTPS) alla quale puoi fare riferimento, puoi consultarla anche tu puntando il browser all’indirizzo github.com/curl/curl/wiki/DNS-over-HTTPS (con la speranza che venga aggiornata in futuro).

Ghacks aveva inoltre pubblicato, precedentemente all’articolo dedicato alla configurazione DoH di Firefox, un approfondimento su tutte le voci di about:config dedicate a questo metodo di risoluzione nomi, lo trovi all’indirizzo ghacks.net/2018/03/20/firefox-dns-over-https-and-a-worrying-shield-study.

Se a te sorge qualche dubbio in merito a quanto spiegato nell’articolo beh, sai già cosa fare: l’area commenti è a tua totale disposizione :-)

Buona giornata!


immagine di copertina: unsplash.com / author: Liam Tucker

Condividi l'articolo con i tuoi contatti:

Il tweet è vecchio così come l’argomento, eppure ogni tanto torna in auge e non è mai per un buon motivo, perché si parla di tentativi di phishing che vanno a buon fine e mettono così in pericolo i tuoi dati e la tua privacy. Oggi torno quindi a parlarti (per la prima volta però sul blog) di Punycode e dei domini che non corrispondono esattamente al vero.

Firefox e Punycode: occhio ai tentativi di phishing

Punycode

Se hai letto Punycode così come un ateo leggerebbe un passo della Bibbia (che poi non è detto), non preoccuparti, può anche starci che tu non conosca l’argomento e non sappia di cosa stiamo parlando. Viene in aiuto un articolo di qualche mese fa, pubblicato all’indirizzo dev.to/loganmeetsworld/homographs-attack–5a1p, all’interno del quale viene minuziosamente spiegato come è possibile “attaccare” un ignaro utente di Firefox (ma anche Chrome e altri browser) sfruttando l’interpretazione dei caratteri Unicode (come le emoji che siamo tutti abituati a usare nelle applicazioni di messaggistica istantanea).

Volendola riportare in breve, ti cito qualche riga della voce specifica su Wikipedia:

Punycode è un sistema di codifica definito nella RFC 3492 che serve a rappresentare univocamente una sequenza di caratteri unicode tramite una sequenza di caratteri ASCII, per rendere possibile l’uso di tali sequenze nei nomi di dominio, senza dover modificare infrastrutture e standard esistenti.

Continua su: it.wikipedia.org/wiki/Punycode

Ciò vuol dire che potresti tranquillamente utilizzare una emoji al posto del testo o, se preferisci (e come viene generalmente fatto per questo tipo di attacchi), una serie di caratteri ASCII che vengono poi letti e mostrati in maniera più chiara dal browser. Che significa di preciso? Presto detto: il tweet a cui facevo riferimento in apertura articolo è questo di seguito …

Firefox & Chrome

Ciò che a te sembra assolutamente identico tra lo screenshot superiore e quello subito sotto, nella realtà corrisponde a profonda differenza tramite Punycode: www.xn--twili-nye.com (e questo è solo un esempio con caratteri russi) riporta apparentemente a un sito web lecito, che di lecito però nella realtà non ha nulla. La medesima storia è già stata documentata ampiamente in passato, successe anche con il domino di Apple (quello che per tutti è Apple.com e che ancora oggi esiste ancora come PoC Punycode se dai un’occhiata all’articolo al quale ti porto tramite il collegamento inserito qualche parola fa), funzionante su qualsiasi browser aggiornato (vedi il mio, qui di seguito):

Il “Prima” e “Dopo” che leggi come descrizione delle immagini è dovuto alla modifica che su Firefox ho apportato ormai diverso tempo fa, proprio per combattere questo tipo di attacco e poter immediatamente avere massima visibilità di domini che utilizzano il Punycode. La modifica alla quale faccio riferimento riguarda ovviamente l’about:config del browser, più precisamente la voce network.IDN_show_punycode, descritta già nel 2006 nella Knowledge Base di MozillaZine (kb.mozillazine.org/Network.IDN_show_punycode), che contrariamente al predefinito booleano “false” può (e secondo me deve) essere impostata a true per mostrare i caratteri estesi che compongono il nome del dominio in maniera altrimenti più leggibile, proprio come nell’immagine di seguito (presa sempre dal mio Nightly):

Firefox e Punycode: occhio ai tentativi di phishing 3

Ed è così che è semplice arrivare alla situazione riportata dall’immagine qualche riga più su con la descrizione “Dopo“, è evidente che un attacco di questo tipo non potrebbe mai andare a buon fine. Se però preferisci agire in maniera diversa, puoi sempre pensare di fare uso di un componente aggiuntivo come PunyCode Domain Detection, italiano sin dalla nascita (realizzato da Francesco De Stefano) e disponibile chiaramente su AMO:

Che potrebbe avere un corrispettivo anche nel Chrome Store (no, non se ne è occupato sempre lui anche dall’altro lato) in Punycode Alert:

Punycode Alert
Punycode Alert
Developer: i3visio
Price: Free

In conclusione

Argomento di discussione da anni e motivo di critica verso chi ancora non ha portato sul tavolo regole ufficiali e valide per tutti, Punycode e possibilità di registrazione domini alquanto discutibili basati su caratteri estesi continuano a mietere vittime poco attente (o poco preparate, a volerla dire tutta), per questo motivo è bene prendere precauzioni in totale autonomia e muoversi sin da subito (in realtà bisognava averlo già fatto anni fa).

Quanto riportato sopra è frutto della mia personale esperienza e si tratta ovviamente di suggerimenti che sei libero o meno di applicare. Se nel tuo caso hai preferito intraprendere una differente strada e vuoi parlarne, sei assolutamente libero di farlo in area commenti, è sempre bello potersi confrontare e arricchire le pubblicazioni del blog (ormai dovresti conoscermi e saperlo bene).

Spero di non aver dimenticato nulla. In caso contrario, bussa e segnalalo, sarà mia premura metterci quanto prima una pezza ;-)

Buona navigazione!


Ulteriori fonti:

Condividi l'articolo con i tuoi contatti:

Da quando esiste, l’account Firefox (che permette il sync di Segnalibri, Password, ecc., ma anche il collegamento diretto al sito degli Addons e quello di Pocket) non ha mai potuto usufruire dell’autenticazione in due passaggi così come la conosciamo oggigiorno, è sempre bastato (si fa per dire) accedere alla casella di posta elettronica associata all’account Firefox per confermare l’accesso. Da oggi, finalmente, l’account Firefox può essere protetto con autenticazione 2-Step.

Sicurezza: la 2-step verification di Firefox

In attesa che il nostro fantastico team localizzi il documento ufficiale, accedi a accounts.firefox.com/settings/two_step_authentication?showTwoStepAuthentication=true, quindi approfitta del nuovo interruttore disponibile a video per attivare la funzionalità. Dovrai semplicemente catturare il QR Code, inserire il codice generato per conferma, quindi prendere nota dei codici di backup che verranno mostrati (solo questa volta e poi mai più, per sicurezza, mal che vada potrai sempre generarne di nuovi).

Ti mostro -come al solito- la rapida sequenza dei passaggi con immagini catturate durante l’attivazione della 2-Step per il mio account Firefox:

Da questo momento dovrai fornire un secondo codice di autenticazione nel momento in cui proverai a collegarti al tuo account Firefox da un altro dispositivo (PC / telefono / ecc.).


immagine di copertina: unsplash.com / author: Natã Figueiredo
Condividi l'articolo con i tuoi contatti:
×

Pillole

Le pillole sono articoli di veloce lettura dedicati a notizie, script o qualsiasi altra cosa possa essere "divorata e messa in pratica" con poco. Uno spazio del blog riservato ai post "a bruciapelo"!

Time Machine, quando opportunamente configurato, lavora un po’ come un orologio svizzero. Intervalli da lui stabiliti, backup quando la macchina è alimentata e collegata alla rete (WiFi o LAN poco importa) e con la funzione di Power Nap attiva, in pratica è un po come emulare il backup sui dispositivi portatili (iPhone o iPad). Tutto fa brodo e serve a proteggersi quanto più possibile da perdite di dati che possono cogliere impreparati. Ma se il backup su Time Machine diventa oneroso per le risorse della tua macchina durante le ore di lavoro più stressanti, cosa puoi fare per cambiare la situazione? Un metodo c’è, ed è anche di semplice percorrenza.

macOS: modificare la schedulazione di Time Machine

Il metodo ha un nome, e per fartela quanto più semplice possibile lo si applica sotto forma di applicazione gratuita, si chiama TimeMachineEditor:

TimeMachineEditor is a software for OS X that lets you change the default one-hour backup interval of Time Machine. You can change the interval or create a more sophisticated scheduling (see screenshots below).
This is useful if you don’t need to backup every hour and don’t want the performance penalty. This is also especially useful if you manipulate lots of data within one hour as you would spend the whole day backing up.
tclementdev.com/timemachineeditor

TimeMachineEditor

TimeMachineEditor, una volta installato e avviato, ti permette di mettere mano alla schedulazione dei tuoi backup eseguiti tramite Time Machine, facendo entrare in funzione quest’ultimo quando vuoi tu, e non quando deciso dal sistema operativo (come normalmente avviene).

Per quello che mi riguarda, se non lamenti rallentamenti di macchina dovuti al processo di backup, ti sconsiglio di modificarne allora le schedulazioni originali, permetti a Time Machine di fare il suo lavoro quando lo desidera. In caso contrario, TimeMachineEditor può essere la giusta soluzione per operare su qualcosa di così delicato senza però grandi e irreparabili danni, perché tutto sommato ti trovi in “ambiente controllato” e con possibilità di tornare indietro in qualsiasi momento:

macOS: modificare la schedulazione di Time Machine 1

La finestra è basilare così come la vedi qui sopra, puoi decidere tu stesso quando far entrare in funzione Time Machine, mantenendo se vuoi il parametro “Quando inattivo” (così come proposto in maniera predefinita dal programma), oppure agendo sul calendario (specificando quindi giorni precisi e ora in cui far partire Time Machine), o ancora impostando intervalli più regolari (ogni ora / settimana / mese), mantenendo -io l’ho fatto- la creazione locale di snapshot che ti faranno da ancora di salvataggio in caso di emergenza, sono come delle ciambelle che potrai usare in caso il Time Machine non avesse effettuato backup nell’intervallo in cui tu hai danneggiato o perso qualche dato importante.

Qualsiasi tua modifica sarà immediatamente operativa nel momento in cui farai clic sul pulsante Applica in basso a destra nella finestra principale del programma.

E per tornare indietro?

Dalla finestra principale di TimeMachineEditor ti basterà togliere il segno di spunta all’opzione “Back up“, questo permetterà a Time Machine di tornare a operare così come in origine.

Questo è quanto, mi sembra (e spero) di averti detto tutto :-)

Cheers.

Condividi l'articolo con i tuoi contatti:

Non è un errore, è voluto. Io alla storia di TrueCrypt che tutto a un tratto è diventato insicuro non ci ho mai veramente creduto, non fino in fondo almeno, ed è un po’ il motivo per il quale qualche tempo dopo è nato il progetto VeraCrypt (perché evidentemente non ero il solo a pensarla in quella maniera), per il quale ho nutrito immediato affetto e sul quale mi sono poggiato per poter continuare ad aprire “in sicurezza” i volumi precedentemente creati da TrueCrypt. All’epoca non esistevano alternative più dinamiche od orientate verso il Cloud, si parla degli anni di Windows Xp, giusto per capirci. Poi però qualcosa è cambiato, e tra le varie novità è saltato fuori anche Cryptomator.

Cryptomator come possibile erede di TrueCrypt

Ciò che è sempre mancato a questo tipo di software è il saper creare un oggetto “thin“, in grado quindi di crescere con l’aumento costante dei file contenuti nei box protetti (generalmente grandi quanto specificato in fase di creazione, quindi di tipo thick), cosa che viene a meno quando si discute dell’intero volume / disco (in quel caso lo spazio è tutto quello che hai tu a disposizione). Per questo motivo in passato creavo più container protetti, cercando nel frattempo una possibile soluzione che colmasse quella lacuna. È per questo motivo che qualche tempo fa ho scaricato a sto provando a usare Cryptomator, software open source disponibile per ogni piattaforma (anche in versione Jar, tanto per dire!).

Cryptomator

Progetto tedesco (la società alle spalle è la startup Skymatic), nasce e vince il CeBIT Innovation Award 2016 grazie al suo essere multipiattaforma e all’aver pensato al futuro della protezione dati su Cloud. Cryptomator infatti permette di creare container di file inaccessibili senza la giusta chiave, scelta dall’utente e impostata esclusivamente Client Side, senza quindi che avvenga comunicazione alcuna con server della società o terze entità ulteriori. Cryptomator si installa e si utilizza da subito, con possibilità di arrivare a proteggere anche dati che si trovano sui propri smartphone e tablet (iOS / Android), sempre più centro nevralgico dell’attività online del singolo individuo.

Cryptomator
Cryptomator
Price: 4,99 €
Cryptomator
Cryptomator
Price: 4,99 €

Plug and Play

È ciò che mi viene in mente pensando a Cryptomator e a ciò che ho fatto io dopo aver scaricato il DMG sul mio MacBook. Allo stato attuale delle cose, il software è disponibile in versione 1.3.2 stabile (da sito web ufficiale), la quale poggia ancora su WebDAV per montare il disco contenente i file protetti. Questa cosa, contrariamente a Windows, funziona male sul sistema operativo di Cupertino e –da quanto ho capito– anche su Linux. File di grosse dimensioni o spostamenti importanti (quelli che ho evidentemente dovuto fare per migrare i dati da TrueCrypt / VeraCrypt a Cryptomator) mettono in difficoltà seria il software, il quale smonta in maniera forzata il volume criptato e non ne permette un nuovo mount. Per aggirare l’ostacolo, ho dovuto più volte bloccare il volume e riaccederlo tramite la schermata principale di Cryptomator, un’azione che -se ripetuta per più di due volte- fa immediatamente decadere ogni interesse provato per il programma in test.

Per questo motivo ho fatto qualche ricerca e sono approdato su svariate issue aperte su GitHub (qui ne trovi una, tanto per fare un esempio), le quali hanno generato grandi discussioni e un’accelerata inaspettata per l’integrazione di FUSE, alternativa ideale per aggirare questo grande ostacolo. Per questo motivo il team ha pubblicato lo scorso 6 aprile una versione beta (occhio quindi a ciò che fai, perché si tratta pur sempre di software potenzialmente instabile!) disponibile all’indirizzo github.com/cryptomator/cryptomator/releases/tag/1.4.0-beta1 che -come VeraCrypt- si appoggia a FUSE per macOS (il quale dovrà essere quindi installato sulla tua macchina).

Spartano quanto basta

Non c’è evidentemente bisogno di molti abbellimenti estetici quando si tratta di proteggere i propri dati. Cryptomator propone infatti una finestra principale del programma con molte poche informazioni e impostazioni, dalla quale potrai montare / smontare volumi di dati protetti e dare un’occhiata al grafico aggiornato in tempo reale che ti mostra quanto di quel traffico dati è criptato e quanto decriptato (rispettivamente scrittura e lettura, nda).

Cryptomator come possibile erede di TrueCrypt 1

L’interfaccia non servirà ad altro, perché in realtà ciò che a te interessa di più è certamente il contenuto di quel disco (o ciò che andrai ad aggiungere in futuro), e lo gestirai dal Finder (se si parla di macOS) o dall’Esplora Risorse su Windows, come se avessi attaccato al PC una qualsiasi chiavetta USB o un disco fisso esterno, o ancora un’unità di rete montata da NAS, nulla –insomma– di così tanto diverso rispetto a ciò che sei abituato a vedere quotidianamente e, se vogliamo tornare a parlare di TrueCrypt / VeraCrypt, per certi versi più immediato e semplice, senza quella preoccupazione di stare sotto il tetto massimo di disponibilità spazio disco che ti sei imposto all’atto della creazione (qui lo spazio su disco viene occupato man mano che i dati aumentano all’interno del container protetto con Cryptomator).

La lettura e la scrittura di dati sfrutta la velocità (quasi) massima che hai a disposizione. Ciò vuol dire che un volume di dati protetto e salvato sul disco locale del tuo PC (magari con SSD) sarà nettamente più veloce rispetto a quello lavorato da NAS (via LAN), e la stessa cosa vale per i Cloud Storage (i quali salvano copia locale dei dati che conservi sui loro server). Cryptomator ha dalla sua la piena compatibilità (ulteriore punto a vantaggio, nda) per le tecnologie On Demand dei provider di storage in Cloud. Per capirci: Dropbox Smart Sync oppure OneDrive Files On-Demand, andando ovviamente a scrivere o leggere solo ciò che è necessario, senza portare su disco locale l’intero volume criptato (e facendo la medesima cosa verso i server di Dropbox o Microsoft in fase di scrittura, volendo fare riferimento agli esempi riportati poco fa).

Trattandosi di procedure assolutamente trasparenti per te che sei l’utente finale, potrai continuare a lavorare sui tuoi file come nulla fosse, sarà compito di Cryptomator fornirti ciò che desideri senza lasciare che tu ti accorga di qualche rallentamento o simili.

Uno sguardo all’azienda

Cryptomator nasce per l’utente finale casalingo, ma basta una rapida visita alla sezione Enterprise del sito web ufficiale per scoprire che le tecnologie utilizzate per dare vita a questa utility, permettono di proteggere potenzialmente anche un team di lavoro o un’azienda ben più strutturata, offrendo un layer contro malware e sicurezza nella sincronizzazione tra NAS e client, ma anche verso una terza parte in Cloud. Sorvolerò su questo aspetto perché richiederebbe di mettere in gioco un diverso strumento (Defendor), da provare e valutare in un ambiente reale, mi sembrava però giusto dargli visibilità.

In conclusione

Un software non senza difetti e con qualche rallentamento in alcune occasioni, ma che dalla sua ha quel grande vantaggio dato dalla possibilità di far crescere progressivamente l’archivio dei file che conservi sotto la sua campana di vetro, proteggendola il più possibile da occhi indiscreti e tentativi di accesso non autorizzati.

L’accoppiata con FUSE su macOS è praticamente fondamentale, e per questo spero che esca quanto prima dalla fase Beta (così da poterlo dichiarare un pelo più affidabile, almeno in via ufficiale). La stessa Beta, nonostante mi sembri che fili abbastanza liscia, ha ancora qualcosa che non gira proprio nel verso giusto, ma gli sviluppatori ci stanno ancora lavorando e voglio essere fiducioso a riguardo (incontro puntualmente un errore molto stupido che non riesco a risolvere perché non accedo ai log del programma, tanto per dire, anche se ho trovato come aggirarlo facilmente).

Cryptomator merita certamente una prova, magari con dati non esattamente critici per evitare brutti scherzi, ma in prospettiva può sicuramente sostituire l’affidabile VeraCrypt.

Condividi l'articolo con i tuoi contatti: