Archives For Sicurezza

Android's Corner è il nome di una raccolta di articoli pubblicati su questi lidi che raccontano l'esperienza Android, consigli, applicazioni, novità e qualsiasi altra cosa possa ruotare intorno al mondo del sistema operativo mobile di Google e sulla quale ho avuto possibilità di mettere mano, di ritoccare, di far funzionare, una scusa come un'altra per darvi una mano e scambiare opinioni insieme :-)

Pillole

Le pillole sono articoli di veloce lettura dedicati a notizie, script o qualsiasi altra cosa possa essere "divorata e messa in pratica" con poco. Uno spazio del blog riservato ai post "a bruciapelo"!

Avete letto, solo pochi giorni fa, come formattare in maniera sicura il vostro vecchio smartphone Android. Ora che lo avrete certamente fatto, sapete che il vostro vecchio smartphone continuerà a vivere sotto l’account Google? Si, andrà rimosso manualmente, l’operazione è veloce e semplicissima.

Basterà entrare nella sezione “Dispositivi utilizzati di recente” sul proprio account Google (qui per arrivarci in un solo clic, a patto di essere autenticati: security.google.com/settings/security/activity?pli=1), così da poter accedere a un elenco dettagliato di tutti i dispositivi connessi (ora o in passato) all’account o a uno qualsiasi dei servizi protetti dal vostro utente.

Tra questi troverete certamente il dispositivo precedentemente formattato, con relativo ultimo accesso. Vi basterà quindi fare clic su di lui per ottenere i dettagli:

Android: rimuovere il vecchio telefono dall'account Google

Fate ora clic su Rimuovi e date ulteriore conferma al popup che comparirà, quello che vi avviserà riguardo la disconnessione di ogni accesso app sul dispositivo (“Se rimuovi l’accesso, uscirai dal tuo account Google e dalle app collegate sul dispositivo.”) per terminare il processo.

Dovreste avere un’ultima conferma a video:

Android: rimuovere il vecchio telefono dall'account Google 1

Cheers.

Android's Corner è il nome di una raccolta di articoli pubblicati su questi lidi che raccontano l'esperienza Android, consigli, applicazioni, novità e qualsiasi altra cosa possa ruotare intorno al mondo del sistema operativo mobile di Google e sulla quale ho avuto possibilità di mettere mano, di ritoccare, di far funzionare, una scusa come un'altra per darvi una mano e scambiare opinioni insieme :-)

Android: eseguire una formattazione sicura 1Avete acquistato il vostro smartphone basato su Android, lo avete utilizzato, giorno dopo giorno, soddisfatti (o magari no) dell’acquisto. I tempi cambiano, così come le esigenze, volete quindi cambiare anche smartphone, e magari recuperare qualche spicciolo dalla vendita del vostro usato. Vi siete mai chiesti se riportare il telefono allo stato di fabbrica basti a farvi dormire sonni tranquilli riguardo i dati precedentemente memorizzati nella scheda SD o nella memoria del telefono?

Nel 2014 Avast ha condotto un’indagine prendendo in esame 20 smartphone Android usati, acquistati regolarmente da siti web come eBay (e simili), trovate l’articolo sul loro blog all’indirizzo blog.avast.com/2014/07/09/android-foreniscs-pt-2-how-we-recovered-erased-data.

Per evitare che i vostri dati possano essere in qualche maniera recuperati da una terza parte, potete ricorrere a un metodo certamente più sicuro del semplice factory reset previsto di fabbrica. È infatti consigliato criptare tutti i dati presenti sul telefono prima di riportarlo allo stato di fabbrica. Questo consentirà a voi di vivere più sereni, e a una terza parte di poter recuperare sì dei dati, ma impossibili da leggere perché privi della chiave di sicurezza che solo voi potete conoscere (un PIN di protezione, o la sequenza di sblocco del telefono).

Come procedere

Lo smartphone dovrà avere la batteria carica (l’operazione di criptazione dei dati può durare anche più di un’ora, dipende dalla quantità di dati contenuta all’interno del dispositivo, nda) e in alcuni casi dovrà essere necessariamente collegato al caricabatterie (viene eventualmente richiesto a video).

A questo punto il passo è breve. Dalle Impostazioni del telefono, fate clic su Sicurezza, quindi Esegui crittografia dispositivo. La posizione della specifica voce cambiare in base alla versione di Android e alle personalizzazioni operate sul sistema dal vendor, ma in linea di massima il percorso è sempre quello, ed è facile da individuare.

Vi verrà richiesto di inserire il PIN o la sequenza di sblocco che già conoscete e che utilizzate per proteggere l’accesso al telefono ogni giorno (occhio: non ha nulla a che fare con il PIN della SIM, non fate confusione!). Il processo inizierà ora a proteggere i vostri dati, e potrebbe durare diverso tempo. Il telefono verrà riavviato in automatico, anche più volte, e ovviamente sarà irraggiungibile e inutilizzabile per tutto il corso dell’operazione.

Android: eseguire una formattazione sicura 2

Ricordate che crittografando i dati, sarà necessario inserire il PIN (o sequenza di sblocco) già in fase di accensione del telefono. Se non si passa questo controllo di sicurezza, Android non riuscirà neanche a terminare il suo caricamento, e sarete costretti (se dimenticate il codice) a fare un reset totale del sistema, perdendo ogni dato non precedentemente messo al sicuro (backup).

Ultimo step, finalmente. Andate in Impostazioni, Backup e ripristino, e fate quindi clic su Ripristino dati di fabbrica.

Ora potete impacchettare il vostro vecchio smartphone e lasciarlo andare ;-)

Giusto per completezza di informazioni: ci sono molte applicazioni che promettono di fare la stessa cosa e senza passare dalla crittografia dei dati. Funzionano, qualcuna è anche affidabile, ma in linea di massima io continuo a preferire il metodo “manuale” che mi dia la maggiore sicurezza riguardo possibili fughe di dati, soprattutto quando si tratta di dispositivi che siamo abituati a trattare ormai come naturale estensione del nostro corpo.

Android's Corner è il nome di una raccolta di articoli pubblicati su questi lidi che raccontano l'esperienza Android, consigli, applicazioni, novità e qualsiasi altra cosa possa ruotare intorno al mondo del sistema operativo mobile di Google e sulla quale ho avuto possibilità di mettere mano, di ritoccare, di far funzionare, una scusa come un'altra per darvi una mano e scambiare opinioni insieme :-)

È di qualche giorno fa la notizia di una sorta di attacco ai danni di Telegram, il programma di messaggistica che adoro più di tutti su mobile (e non solo). Più che un attacco però, la definirei una ricerca condotta in maniera giusta, atta a mettere in evidenza un aspetto che passa spesso inosservato da chi troppo spesso sceglie di installare un’applicazione senza però configurarla come si deve.

Telegram: 2-step verification e opzioni di sicurezza

Tutto è partito da questo tweet:

e sia chiaro: ha ragione. C’è un possibile leak ed è causato da noi utenti. Avete presente quando ripeto che il problema è quasi sempre tra la tastiera e la poltrona? Beh, stavolta potrebbe trovarsi tra il monitor dello smartphone e chi o cosa sta dietro di noi, la sostanza non cambia affatto. Un client di terze parti ha messo in evidenza una caratteristica del software, che notifica a tutti i contatti i momenti in cui siamo online oppure offline. Così facendo, triangolando nella giusta maniera i dati, si potrebbe arrivare a capire quando un utente comunica con un altro, in maniera “semplice” (non certo per i non addetti ai lavori). Perché quindi non mettere al sicuro il proprio account Telegram e approfittarne anche per aggiungere un tocco di sicurezza in più, che non può mai fare male?

Intanto installate un software decisamente più valido di quella blasonata alternativa chiamata WhatsApp:

Telegram
Price: Free
Telegram Messenger
Developer: Telegram LLC
Price: Free

e ora procediamo con ordine.

2-step Verification

Predico la verifica in due passaggi da molto tempo ormai, non smetterò di farlo. Si tratta di un layer fondamentale da aggiungere alla semplice autenticazione tramite password alla quale siamo tutti abituati. Lo ripeterò fino allo sfinimento: abilitate la 2-step Verification ovunque possiate. Telegram, fortunatamente, non fa eccezione, ormai da diversi mesi.

La 2-step Verification di Telegram permette di bloccare eventuali nuovi login da dispositivi che non abbiamo espressamente autorizzato con una ulteriore password, con tanto di notifica su ogni dispositivo con accesso già effettuato e che possa così terminare un’eventuale sessione “infiltrata“.

La verifica può essere abilitata sia via web che da applicazione. Io ho utilizzato quest’ultima per una questione di comodità e rapidità. Dalle Impostazioni basterà selezionare la voce Privacy e sicurezza, quindi Verifica in due passaggi. Da qui basterà seguire poche istruzioni a video (e scegliere una ulteriore password per autorizzare i nuovi accessi all’account).

Cercate di non dimenticarla, vi servirà da ora in poi.

Telegram: 2-step verification e opzioni di sicurezza 1

Occhio alle sessioni

Pensate sia finita così? No, vi sbagliate. Avete già dato un’occhiata alle sessioni attive? Le sessioni attive corrispondono ai client connessi al vostro account Telegram. Potrebbero essere tutte sessioni vive e corrette, potrebbero essercene di vecchie, inutilizzate, potenzialmente dannose se il dispositivo con Telegram a bordo finisse nelle mani di una persona sbagliata.

Le sessioni attive si trovano in Impostazioni, Privacy e sicurezza, quindi Sessioni attive. Da qui potrete visualizzarle e terminarle con un clic su ciascuna, o direttamente su “Termina le altre sessioni” per chiuderle tutte a eccezione di quella che state utilizzando per gestire il vostro account:

Il nome del sistema utilizzato, la versione e un IP vi aiuteranno a ricordare dov’è che vi siete autenticati a Telegram per poterlo utilizzare. Fate pulizia, fatela ogni volta che potete, tenete sempre d’occhio le sessioni aperte e ricordatevi che Telegram ricarica ogni chat singola, gruppo e allegato che costituisce la vostra “storia” sull’applicazione, è un bene tecnologico prezioso da proteggere, estremamente confidenziale oggigiorno.

Si ma il problema del leak?

Ah già, giusto, dimenticavo da dove tutto è cominciato. Il leak si basa sull’impostazione che Telegram propone di default e che informa ogni account della piattaforma riguardo la vostra presenza online. Inutile dire che siete voi a poter controllare questa impostazione, e che questa andrebbe un po’ incattivita per il vostro bene. Andate in Impostazioni, quindi Privacy e sicurezza e infine Ultimo accesso.

La voce sarà impostata (di default) a Tutti, spostatela su “I miei contatti” e confermate la scelta. Così facendo eviterete che chiunque abbia un account Telegram possa verificare il vostro stato di presenza online:

Ancora una volta si tratta di una modifica tanto banale quanto importante. Scegliete di proteggere la vostra privacy. Sembra solo uno scontato gioco di parole, è molto di più.

Tutto chiaro? Bene. In caso contrario l’area commenti è a vostra totale disposizione.

In realtà è una cosa vecchia ormai di mesi, ma ancora sfugge ai più: Google ha limitato l’accesso al proprio server SMTP sia tramite GMail, sia tramite applicazioni di terze parti. Questo vuol dire che non si potrà più sfruttare (con facilità) il server della posta in uscita di big G. se si intende utilizzare una casella con dominio che non sia @gmail.com (a pagamento o gratuito, ha poca importanza).

Gmail-Banner

Aggirare l’ostacolo è in apparenza semplice. Secondo il documento ufficiale “Come consentire alle app meno sicure di accedere al tuo account” disponibile su support.google.com/accounts/answer/6010255?hl=it, basterà modificare un’opzione del proprio account per permettere l’accesso a chi non si appoggia all’autenticazione made in Google.

SMTP di GMail: l'utilizzo tramite app

Talvolta però questo non basta, e continuerete a ricevere errori simili a “Please log in via your web browser and then try again” quando proverete a fare uso di impostazioni e credenziali del server SMTP di Google partendo da prodotti di terze parti (o interfaccia di GMail stessa). L’errore è generalmente seguito da un URL abbastanza corposo, contenente anche il proprio indirizzo di posta elettronica e la password in codifica base64 (accounts.google.com/ContinueSignIn?sarp=eccetera).

A quel punto vi arriverà una mail contenente un avviso importante, “qualcuno conosce la vostra password di GMail” e il tentativo di login è stato quindi bloccato. Vi verrà fornito ogni dato possibile: ora e data del tentativo di login, posizione sulla mappa della possibile connessione che ha generato la richiesta di login, tipo di device utilizzato e altro ancora. Non c’è modo di autorizzare e sbloccare l’operazione dall’interfaccia che vi verrà proposta, dovrete aprire una nuova tab (o una nuova finestra) e andare all’indirizzo accounts.google.com/DisplayUnlockCaptcha. Vi si aprirà così un box dove potrete consentire temporaneamente l’accesso al vostro account di posta:

SMTP di GMail: l'utilizzo tramite app 1

Facendo clic su “Continua” avrete una finestra temporale (non specificata da Google, nda) durante la quale potrete fare accesso all’account senza incorrere nell’errore che vi siete cuccati fino a due secondi prima.

Ricordate quando in passato vi ho parlato di tool appositi per clonare interi dischi o partizioni del disco principale della vostra macchina? Generalmente ho sempre parlato di Acronis perché è il software che utilizziamo anche a livello aziendale. In realtà un’alternativa gratuita ci sarebbe, ed è sviluppata da EaseUS, la stessa chiamata in causa altre volte grazie a prodotti come EaseUS Todo Backup Home o EaseUS Partition Master.

Stavolta il prodotto è EaseUS Disk Copy Home e assolve a compito che fino a oggi ho lasciato fare proprio ad Acronis. Viene pubblicizzato volutamente come “Free disk cloning software“.

EaseUS Disk Copy Home: clonare dischi e partizioni

Fratello minore di EaseUS Todo Backup Home (e/o Workstation), lui si occupa esclusivamente di clonare un intero disco o una partizione (come già anticipato), il tutto partendo da un semplice eseguibile (scaricabile dalla pagina ufficiale, gratuitamente) che si occuperà a sua volta di creare un supporto di boot (un CD, una chiave USB o un’immagine ISO che potrete poi andare a caricare in seguito con una utility come WinSetupFromUSB (ne avevo parlato in questo vecchio articolo).

EaseUS Disk Copy Home: clonare dischi e partizioni 1

Ho scelto la ISO, che ho poi aggiunto a una chiave USB che già utilizzo per portare in giro altre immagini “live” di sistemi che possono tornarmi utili. Senza modificare il BIOS della macchina ho chiesto il boot da diverso supporto e ho potuto fare così accesso alla schermata di avvio di EaseUS Disk Copy Home. Da lì in poi non ci si potrà sbagliare, perché partirà il wizard che servirà a istruire il programma sull’operazione da portare a termine:

Anche se nelle immagini non è disponibile (perché catturate da un’esecuzione su macchina virtuale VMWare), la prima voce permette di clonare completamente il disco fisso della macchina su un disco differente (sia esso esterno e collegato via USB / eSata o interno collegato su un diverso cavo SATA), portando con sé ogni partizione. La sostituzione di un disco fisso (perché inaffidabile o semplicemente per il passaggio da meccanico a SSD) diventerà cosa banale. Se invece l’intenzione è quella di clonare una sola partizione (e magari ridimensionarla in seguito, o magari esportarsi la Recovery della propria macchina e poi cancellarla dal disco principale) sceglierete la seconda opzione e direte al programma cosa copiare e dove.

L’operazione è rapida ma chiaramente dipende dalla quantità di dati da clonare e dalla velocità dei dischi che fate entrare in gioco. Si va dai circa 8 minuti per clonare un intero disco fisso (tra SSD, nda) ai circa 16 quando entra in gioco almeno un supporto meccanico. Peccato non ci sia possibilità di creare una immagine di sistema da esportare e riutilizzare per clonare più volte la stessa macchina, ma stiamo chiaramente parlando di un prodotto fatto per utenza casalinga e per migrazione rapida di dischi fissi.

La funzione da me citata (insieme ad altre) è però presente nella versione Home (gratuita) di EaseUS Todo Backup Home, strumento decisamente più ricco e sviluppato proprio per lo scopo. EaseUS Disk Copy Home è e deve rimanere una ISO da avere a portata di mano per un’operazione tanto banale (all’apparenza) quanto ormai comune: clonare il proprio disco.

Disclaimer per un mondo più pulito
Gli articoli che appartengono al tag "Banco Prova" riportano la mia personale esperienza con prodotti generalmente forniti da chi li realizza. In alcuni casi il prodotto descritto rimane a me, in altri viene restituito. In altri casi ancora sono io ad acquistare il prodotto e decidere di pubblicare un articolo ad-hoc in seguito, solo per il piacere di farlo e condividere con voi i miei pensieri. Ogni articolo rispetta -come sempre- il mio standard: nessuna marchetta, solo il mio parere, riporto i fatti, a prescindere dal giudizio finale.

Prodotto: fornito da EaseUS, ho tenuto la copia a me destinata per i test.