Password sicure

Password e sicurezza

L’IMPORTANZA DI SCEGLIERE PASSWORD SICURE

Quale password scegliere per i nostri dispositivi / account?

Nel corso degli anni si sono evoluti i sistemi di attacco alle password, l’ingegneria sociale e la trafugazione di credenziali. Di pari passo si devono evolvere anche i sistemi di creazione delle password degli utenti: i sistemi utilizzati nel recente passato per creare password sicure non sono più del tutto attendibili e non sempre validi.

La recente introduzione di nuovi sistemi di autenticazione, – di dubbia efficacia, – come ad esempio la lettura delle impronte digitali o il riconoscimento dell’iride, abbassano ulteriormente la stanghetta della sicurezza dei dispositivi, contrariamente a quanto spesso comunemente pensato, purtroppo, anche dalle grandi case che li producono. I cosiddetti sistemi di riconoscimento biometrici, infatti, sono facilmente attaccabili.

Le vulnerabilità dei sistemi di riconoscimento biometrici

Pensate alla letteratura cinematografica che si trova a riguardo: (cinema che spesso è fonte di ispirazione per le “direzioni” del futuro della tecnologia, anche negativamente) dai film di 007 agli X-men i cyber-criminali si sono sempre divertiti a mozzare dita per usare le impronte digitali o scavicchiare occhi per usarne l’iride per ottenere l’accesso a chissà quale stanza segreta. Senza voler essere così brutalmente splatter, le impronte digitali vengono lasciate sopra ogni superficie di vetro e facilmente copiabili, il riconoscimento facciale si può estrapolare da qualsiasi foto che (volontariamente) lasciamo sui social network, e così via. Le modalità per violare questi sistemi di accesso sono limitati solo dalla fantasia (e violenza) dell’attacante.

Username e password: 123stella

La prassi più utilizzata dagli utenti comuni rimane dunque la coppia username e password. Fino ad oggi ci hanno suggerito di inserire un minimo di 8 caratteri, cosa che gli utenti mediamenti prendono alla lettera, utilizzando esattamente 8 caratteri, informazione utile a semplificare di molto la vita a chi cerca di effettuare un attacco di forza bruta o di dizionario sulla nostra parola chiave (conoscendone la lunghezza esatta, infatti, è più semplice attaccare una password, piuttosto che ignorandone la lunghezza). Ma spesso al malintenzionato di turno non serve nemmeno cercare di attaccare la password. Vi faccio un esempio: le date di nascita sono composte esattamente da 8 caratteri (ggmmaaaa), cosa che attira l’utente ingenuo ad affidarsi a questo tipo di password, la data di nascita è spesso reperibile su qualsiasi social network, peraltro.

Password impossibili!

Quindi, la logica conseguenza di queste considerazioni è stata per anni la convinzione che una password più lunga e complessa sarebbe più sicura (uso il condizionale, dopo spiego il perché).

Tuttavia una password con queste specifiche caratteristiche, risulta molto complicata da ricordare, così che gli utenti spesso finiscono per scriverla da qualche parte (il classico post-it attaccato sul monitor, destinato a diventare un fogliettino volante), di fatto esponendo a qualsiasi “guardone” di passaggio le proprie credenziali.

Gli utenti che vengono “forzati”, ad esempio dai siti a cui si iscrivono, ad usare password lunghe e alfanumeriche, utilizzano spesso software per la generazioni di tali stringhe, la robustezza della randomizzazione dei quali non è mai messa in discussione: i mezzi cracker si sono evoluti esponenzialmente rispetto a un tempo, spesso riescono a violare password complesse in tempi non troppo lunghi.

Cambiate password spessissimo, ma anche no…

Non troppo geniale nemmeno l’idea suggerita per anni da molti esperti del settore secondo cui sia indispensabile cambiare la password periodicamente. Il punto debole di questa pratica è, come quasi sempre, l’utente stesso, che tende a scegliere password sempre molto simili alla precedente nel (pigro) tentativo di facilitarne la memorizzazione.

Caratteri $P€C!@L!

Per aumentare la complessità delle password spesso si aggiungono, giustamente, caratteri non alfanumerici (i cosiddetti i caratteri speciali). Questa rimane un’ottima prassi che di fatto complica di molto il lavoro degli attaccanti (e delle loro CPU), sia che usino un dictionary attack, sia un brute force. Tuttavia alcuni siti non permettono l’inserimento di caratteri speciali nella propria password, semplificando la vita ai malintenzionati.

La mia password è sicura, ma lo è anche il database che la archivia?

Questo mi porta al successivo punto nell’analisi della sicurezza delle password: l’archiviazione delle password lato server. Spesso sono proprio i database dei siti internet a cui ci registriamo ad essere violati, mostrando così all’attaccante tutte le password in chiaro degli utenti. Se volete controllare quale sito a cui vi siete registrati è stato violato, vi basta inserire il vostro indirizzo email di registrazione in questo database per essere avvisati in caso di trafugazione di credenziali (passate e future): haveibeenpwned.

Autenticazione a due fattori

Altra importante funzione utilizzata di recente è l’autenticazione a due fattori, che obbliga l’utente a combinare un sistema classico di credenziali a un secondo strumento di verifica generato da uno strumento in suo possesso (qualcosa che sai e qualcosa che hai), ad esempio un token fisico (meglio) che uno smartphone (sconsigliato, in quanto violabile).
Anche gli sms, fin troppo utilizzati, si sono dimostrati non sempre affidabili come secondo fattore di autenticazione, vista la possibilità che siano intercettati, camuffati o estorti tramite ingegneria sociale.

L’unica password inattaccabile

Un altro consiglio sempre valido è quello di non usare la stessa password per più servizi. L’ovvio motivo è che, per quanto complicata e difficilmente attaccabile sia, se un malintenzionato riesce ad ottenere la parola chiave sfruttando uno dei sistemi sopra descritti, potrà utilizzarla per accedere a tutti i servizi per cui è utilizzata!

Ma quindi? T_T

In conclusione, non esiste un sistema di autenticazione perfetto, esattamente come non esiste una cassaforte sicurissima, né una serratura inviolabile. Esiste il buon senso e la conoscenza. L’unione di queste due è la miglior difesa per mettere in sicurezza i propri dispositivi, ma anche contro buona parte dei problemi del mondo.

E se sono entrati nel mio account!?

La prima cosa da fare è: niente panico. Affidarsi a un esperto è sempre la soluzione migliore. Si dovrà verosimilmente cambiare la password e eventualmente segnalare l’abuso alla Polizia Postale.

 

 

Hai bisogno di una consulenza in merito?
Contattami!

PWN2OWN 2017 – hacker contest

Android e Chrome i più sicuri

L’hacking contest più famoso del mondo, il PWN2OWN, nell’edizione di quest’anno ha risparmiato solo Android e Google Chrome.

Per chi non sapesse di cosa si tratta: hacker e team di sicurezza informatica vengono remunerati (e abbondantemente) per dimostrare le falle dei sistemi operativi e browser più usati e diffusi.

Microsoft la peggiore

Come sempre Microsoft è la più bersagliata ed anche la più bucata, coi suoi Windows 10 e Edge che vengono ripetutamente attaccati e violati da una moltitudine di diversi bug, sfruttati per riuscire ad ottenere elevati livelli di amministrazione.

Anche Safari e Firefox bucati

Il secondo browser nella classifica dei peggiori è toccato a Safari, con tre attacchi su quattro portati a termine (il quarto è fallito solo per questioni di tempo).

Terzo browser è risultato Mozzilla Firefox, anche se poco bersagliato, ha sollevato molte questioni riguardanti la sicurezza, una tra tante l’assenza di una sandbox.

Il migliore Chrome che risulta rimanere inviolato in questa edizione.

Tornando ai sistemi operativi, pare che in questa versione sia stato violato anche Ubuntu 16.10.

Il vincitore del PWN2OWN

La palma del vincitore spetta al team 360 security che è riuscita in soli 90 secondi a bucare non solo Edge e la virtual machine su cui girava, ma anche la macchina host su cui girava la VM. Un vero record (di vulnerabilità).

Non temete

Tutte le informazioni su questi bug sono state rilasciate solo ai produttori dei software violati, aspettando che vengano rilasciate le patch di sicurezza adeguate. Solo allora verrà diffusa la documentazione relativa alle vulnerabilità.

Bisogna sempre mantenere i propri sistemi aggiornati con le ultime patch di sicurezza e tenere d’occhio le ultime novità sulla sicurezza, qui su Tecnodritte.

Seafile Banana PI – un home cloud personale

banana pi seafile home cloud

Introduzione a Seafile su Banana PI

Per chi non conoscesse questa board, il Banana PI è una piastra stile Raspberry ma più performante: dual core, un giga di ram, attacco sata per l’hard disk e scheda ethernet 10/100/1000. Se ne aveste bisogno, ho scritto varie guide su come installare e configurare il sistema operativo. In questa guida prendo in considerazione il s.o. bananian basato su debian.

***Continua a leggere***

Banana PI server – Samba, Cups, Sane

Samba, Cups e Sane su Banana PI PRO server

Configura il Banana PI (referral link) perché diventi un server di condivisione delle risorse.

Premessa

Questo articolo è rivolto a chi ha installato una distro Debian o una sua derivata, come Ubuntu o Mint, sul Banana PI e intende collegare una stampante multifunzione via USB e un hard disk USB per condividere le risorse nella rete.

Banana PI

Specifiche tecniche del Banana PI

***Continua a leggere***

Banana PI/PRO: Guida all’avvio da Hard Disk

Obiettivo:

Questa guida è rivolta a chi ha un Banana Pi (funziona anche con Banana Pro) con installato Debian Jessie. Lo scopo è far bootare il BPI da SD card (fatto imprescindibile) e far in seguito avviare il sistema operativo da un dispositivo esterno, sia esso una chiavetta USB, un HDD sata o USB, un SSD. Ovviamente attaccando il disco alla porta sata si avrà una velocità maggiore che utilizzando la porta USB (2.0 sul BPI).

Questa procedura è altamente consigliata perché le schede SD, per loro natura, sono soggette a facile usura se sottoposte a frequenti scrittura e lettura dati, come, ad esempio, l’avvio del sistema operativo, l’installazione dei pacchetti e del software, la scrittura dati temporanei e quant’altro. Quindi caricare il s.o. da un altro dispositivo allungherà la vita della nostra scheda SD (oltre ad ampliare a piacimento lo spazio a disposizione).

***Continua a leggere***

VLC 3.0 e Chromecast

Il team di sviluppo di VLC annuncia che la prossima release, la 3.0, avrà pieno supporto alla chiavetta Dongle di Google, la Chromecast.

La chiavetta con ingresso HDMI si inserisce nel televisore ed è già possibile trasmettere video direttamente da Youtube tramite il proprio smartphone android o dal proprio browser Google Chrome.

vlc 3.0 chromecast plugin

Con la nuova versione di VLC sarà quindi possibile inviare al proprio televisore ogni file attualmente supportato da VLC (praticamente tutti i formati video e audio).

Moltissimi utenti della rete attendono questa nuova feature, tuttavia, la data di rilascio della nuova release non è ancora stata comunicata.

Attendiamo fiduciosi!

Modifica Firmware NAS Buffalo LS-VL per accesso SSH e IPKG

Premessa

In questa guida mostro come eseguire il debrick di un nas Buffalo LS-VL (dovrebbe funzionare anche per altri modelli simili) e cambiare il firmware allaversione 1.69 modificata per accedere con SSH e poter installare vari pacchetti da riga di comando.

*** ATTENZIONE: ESEGUITE QUANTO SEGUE A VOSTRO RISCHIO E PERICOLO, NON MI ASSUMO NESSUNA RESPONSABILITA’ IN CASO DI BRICK PERENNE ***
Quindi se non sapete di cosa sto parlando, lasciate perdere.
***Continua a leggere***

Ubuntu server 14.04: accesso SSH da un pc Windows

In questa guida illustro come connettersi a un server ubuntu 14.04 da un pc con Windows 7 tramite protocollo ssh. Per una guida su come scaricare e installare Ubuntu Server 14.04 riferirsi a questa guida.

Brevi note:
SSH permette una connessione con riga di comando attraverso la rete interna. Per capire cos’è ssh vi rimando al wiki.

Iniziamo:
Prima di tutto accediamo al server ***Continua a leggere***

Driver per Conceptronic C150RU V3 150N Windows 7

E va bene! La Conceptronic C150RU è una chiavetta che funge da scheda di rete, costa poco e funziona “abbastanza bene”. Ma che fatica farla funzionare, non dico su Linux (ancora niente da fare in questo campo), ma nemmeno su Windows!

Siccome per troppo tempo ho cercato di trovare dei driver compatibili e non corrotti per questa dannata schedina di rete USB, vi posto un link agli unici driver funzionanti su Win7 che ho trovato in giro, e vi assicuro che ho cercato in lungo e in largo per trovarli: Driver C150RU V3 Win7

Spero di evitare così ad altri utenti le gastriti a cui sono andato in contro io.

Per i driver linux, ci sto ancora lavorando. Restate in attesa di aggiornamenti.

Update: i driver per Windows sono stabili, ma a volte la C150RU si disconnette per poi riconnettersi da sola, la causa, a quanto pare, è dovuta dall’eccessiva distanza (o comunque dalla debolezza del segnale) tra l’a chiavetta stessa e l’access point o router.
Possibile soluzione: trovare un posto migliore per il router wi-fi.

Guida facile: Installare Ubuntu Server 14.04 LTS da USB

Per prima cosa ci serve una penna USB da almeno 2 GB, la iso di Ubuntu Server 14.04 LTS (che sta per “Supporto a Lungo Termine”) e YUMI che useremo per rendere avviabile la nostra pennetta con la ISO i Ubuntu (per una guida dettagliata sull’uso di YUMI e installazione di diverse ISO avviabili, riferirsi a questa guida). Scegliere la versione di Ubuntu relativa ai bit del nostro computer (quindi 64 o 32 bit).

 

Creazione ISO Ubuntu Server 14.04 LTS su chiavetta USB con Windows

Scaricato YUMI, avviamolo  ***Continua a leggere***