Categoria: sicurezza

Pubblicato il

La cassetta degli attrezzi di Snowden

Telefonate e SMS
Basta installare l’app Signal in modo da criptare tutte le conversazioni, così anche se venissero intercettate non si comprenderebbe nulla.

Notebook
Criptare l’hard disk l’hard disk in modo da rendere illeggibili tutti i dati nel caso venisse rubato o cadesse in mani sbagliate.

User e password
KeePassX è un buon software che consente di creare password sicure, ognuna dedicata a un solo sito Internet, ma senza il problema di doverle memorizzare. Siccome è molto diffusa l’abitudine di utilizzare la stessa password per registrarsi in tutti i siti internet, capita sovente che anche quella usata per Gmail, sia la stessa registrata tanti anni prima in un sito che adesso non si visita più e che potrebbe essere hackerato.

sicur2Identificazione
Conviene utilizzare l’identificazione a due fattori, cioè oltre alla password anche un mezzo alternativo di identificazione, per esempio un sms, così se qualcuno si impossessa della password, avrà bisogno anche del telefono. Gmail, Facebook, Twitter, Dropbox, GitHub, e tanti altri già lo fanno (qui una lista di chi offre tale servizio).

Browser
TOR  Browser è un ottima strada per accedere a un dato su Internet senza lasciare traccia. Può anche aiutare ad aggirare la censura quando siete in una rete in cui alcuni siti sono bloccati. E’ sicuramente il progetto più importante sotto dal punto di vista della privacy ma non è a “prova di bomba”. Resta comunque una buona misura di sicurezza per dissociare la propria posizione geografica dall’attività su Internet. La cosa più importante è che la rete TOR è gestita da volontari e chiunque può attivare un nodo della rete TOR, sia che si tratti di un nodo d’ingresso, che di uno intermedio o di uscita, basta voler accettare qualche rischio.

Facebook
Non è necessario condividere tutto e in ogni caso la condivisione deve essere selettiva. Non è necessario che tutti sappiano tutto di noi. Non è necessario mettere il nome da nubile della propria madre se lo si è utilizzato anche per recuperare la password di Gmail.
La condivisione è una buona cosa, ma deve essere fatta volontariamente e consapevolmente. Le informazioni condivise devono essere reciprocamente vantaggiose e non semplicemente cose che ti vengono prese.

sicur1Internet
Consideriamo che usando Internet ci vengono rubate informazioni silenziosamente, in modo invisibile, a ogni click. Delle informazioni personali vengono sottratte a ogni pagina che visitiamo: vengono raccolte, intercettate, analizzate e registrate. E’ importante assicurarsi che le informazioni che vengono raccolte su di voi, lo siano per vostra scelta.
Potremmo usare un plugin come HTTPS Everywhere  (già installato su TOR), per servirci di comunicazioni cifrate e sicure in modo che i dati scambiati restino protetti.

Adblock
Certi provider, come Comcast, AT&T e altri, inseriscono annunci pubblicitari durante le connessioni in chiaro (http) servendosi di Javascript  o Flash e proprio in quel momento stiamo aprendo le porte del browser ad un probabile attacco. Allora non ci resta che bloccare preventivamente questi annunci.

Script
E’ necessario disabilitarli (su Firefox è disponibile il plugin “noscritp”).

Virtual machine
E’ sempre preferibile utilizzare una macchina virtuale  (un programma che crea un sistema operativo separato da quello installato sul computer) che simula un secondo computer, perchè se questo se viene infettato, lo si distrugge semplicemente cancellando il file che lo contiene e se ne ricrea uno nuovo, senza che il sistema operativo originale subisca danni e che i virus si propaghino sul computer.

Sandbox
E’ un sistema che isola un certo programma dal vostro sistema operativo e, come per la macchina virtuale, lo si può distruggere se infettato dai virus (per esempio il progetto chromium).

Smartphone e sicurezza
Molti dimenticano che tutti i telefoni cellulari lasciano una registrazione permanente di tutti gli spostamenti, fornendo informazioni anche quando non li si usa. Questo non vuol dire che si devono bruciare ma che si deve pensare al fatto di averlo con se, quindi se dovete andare in un certo posto e non volete essere associati a quel luogo basta non portarselo dietro.

sicur3Sorveglianza di massa.
Il “Mixed routing”  (l’invio di proprie comunicazioni attraverso più macchine reali o virtuali) è una delle cose più importanti di cui abbiamo bisogno nel campo delle infrastrutture Internet. Non abbiamo ancora risolto il problema di come separare il contenuto della comunicazione dalla traccia che la comunicazione lascia. Per avere una privacy reale bisogna ottenere la separazione tra il contenuto e la traccia della comunicazione. Il problema con le comunicazioni di oggi è che il provider sa esattamente chi siamo. Sa esattamente dove viviamo. Conosce il numero della nostra carta di credito, l’ultima volta che è stata utilizzata e il montante della transazione.
Abbiamo bisogno di strumenti che possano connettersi anonimamente a Internet. Meccanismi che consentano che ci si associ privatamente. Soprattutto, abbiamo bisogno di sistemi che permettano la difesa della privacy nei pagamenti e nella consegna delle merci, che sono le basi del commercio.

[tratto dall’intervista di Micah Lee a Edward Snowden]

Pubblicato il

Le nuove teorie sul lavoro

Controllo

panopticon
The works of Jeremy Bentham

Nel 1791 un giurista inglese, Jeremy Bentham, descrive un sistema funzionale per il controllo della detenzione che occulta l’osservatore/controllore. Foucault lo descrive come un rovesciamento di principio: “il potere disciplinare si esercita rendendosi invisibile e, al contrario, impone a coloro che sottomette un principio di visibilità obbligatorio. Al contrario dell’epoca premoderna , dove “il potere  è ciò che si vede, ciò che si mostra, ciò che si manifesta e, in modo paradossale, trova il principio della sua forza nel gesto che la ostenta”.  (Sorvegliare e punire).

Forse non molti sanno che il fratello minore di Bentham, Samuel, era un bravo ingegnere navale che si era fatto notare da Caterina II di Russia per aver inventato, oltre a diversi macchinari industriali, una nave anfibia ed una chiatta snodata. Tra le tante cose, Samuel era anche direttore delle officine di Potëmkin e mentre svolge la sua attività di sorveglianza dell’attività di un grande numero di operai, si immagina un sistema di controllo centralizzato; proprio quello che diverrà più tardi il Panopticon.

Il nuovo sistema di controllo verrà subito sperimentato nella fabbrica di famiglia dove lavoravano dei carcerati che più tardi, grazie al Gilbert’s Act, saranno sostituiti con i poveri della contea.

Marx dice che sfruttamento e controllo sono le due facce della medaglia capitalista. Anche quando cambia la forma di quel potere, anche quando diventa plurale o cooperativo, la sorveglianza resta sempre esercizio del potere.

Non saranno stati questi gli stimoli che hanno guidato due ministri italiani a scrivere, nel maggio del 1970, l’articolo 4 dello Statuto dei Lavoratori, ma una qualche preoccupazione doveva esserci per cercare di metterci una toppa.

A portare il tutto di nuovo  in equilibrio ci pensa Renzi e con la riforma del lavoro amplia la sfera delle attività di monitoraggio per ragioni di sicurezza, inaugurando il controllo indiretto (“preterintenzionale”) del comportamento del lavoratore. .

Precarizzazione

tratto da www.totalita.it
da www.totalita.it

La riforma di Renzi si incentra anche su un altro pilastro del controllo: la precarietà. L’instabilità del posto di lavoro e l’insicurezza del reddito danno minor certezza al lavoratore e maggior vigore al padrone.

Il Jobs Act fa addirittura un condono a tutti quei datori di lavoro che sarebbero stati costretti a trasformare dei contratti precari in altri a tempo indeterminato; inoltre il nuovo sistema delle “tutele crescenti” preclude la possibilità di impugnazione alla scadenza del periodo di precariato. Si aggiunga che il governo Renzi, a inizio 2015, ha stabilito una “decontribuzione” per le nuove assunzioni che invece, nella stragrande maggioranza dei casi, è stata utilizzata per rinnovare contratti già esistenti.

La scomparsa dell’articolo 18, poi, alimenta ancor di più il principio di instabilità dal momento che stabilisce che per i licenziamenti disciplinari, il reintegro è possibile soltanto in presenza di “insussistenza del fatto in sé”, senza tener conto di nessuna circostanza.

Innovazione e Uberizzazione

Una novità la coglie Roberto Ciccarelli su Il Manifesto nel sostenere che il ministro del lavoro, Giuliano Poletti, abbia mutuato la sua nuova teoria sull’innovazione  nel mondo del lavoro dal libro di Hannah Arendt, Vita Activa.  La distinzione tra lavoro e opera: la prima legata a un concetto di attività subordinata, l’altra a una autonoma, dove il lavoratore è anche padrone. In pratica da una parte il dipendente che deve rispettare un contratto (con riferimento alla presenza – l’ora di lavoro) e dall’altra l’autonomo che legato esclusivamente dalla prestazione.

immagine tratta da www.tomshw.it
da www.tomshw.it

“Immaginare un contratto di lavoro che non abbia come unico riferimento l’ora di lavoro ma la misura dell’apporto all’opera” è il sogno di Poletti ed è quindi utile pensare a una “personalizzazione” del rapporto di lavoro: un lavoro che preveda qualsiasi forma contrattuale anche solo a chiamata, un po’ come Uber.

Uber è un’app attraverso la quale dei normali autisti diventano tassisti freelance; quindi se mi servi, ti trovo, ti chiamo e tu vieni, stabilendo un “contratto” di tipo personale e in relazione a quella singola chiamata.

Si, sarà pure friendly ma come la mettiamo con le rivendicazioni? Certo, si può sempre andare da un avvocato anziché manifestare e scendere in piazza insieme ad altri che hanno lo stesso contratto.

E non pensate che sia pura teoria; i “voucher” cosa sono se non questo? Dei buoni lavoro-orari senza il minimo legame tra prestazione e retribuzione.

Il problema è che tendono a far passare questi cambiamenti come processi “innovativi” ed è proprio nella direzione di queste spinte che questo governo vorrebbe giocarsi il futuro del paese e dei lavoratori, anche con la complicità di ignari innovatori conviti di dover svoltare semplicemente la pagina sul versante digitale.

Pubblicato il

Le tendenze del cyber-crime


Una storiella

Tutti quelli che raccontano storie intriganti e interessanti spesso amano arrotondare gli spigoli e non lesinare sulle misure.
Emblematici sono i pesci che i pescatori allungano in proporzione al numero di birre bevute o a quelle delle reiterazioni del racconto.
Anche i cracker non scherzano…  ma capita che la cronaca, a volte, sia ancora più spettacolare.
Una di queste è quella capitata a dicembre del 2013 alla grande catena americana Target che nel giro di 2 settimane si è vista sottrarre i codici di circa 40 milioni di carte di credito.
I cracker sono partiti dall’infettare il Point Of Sale di un’azienda che cura la manutenzione dei banchi frigoriferi della Target, attraverso la quale sono riusciti a installare un malware,  del tipo BlackPOS, sui tutti i sistemi POS  di centinaia di negozi della catena. Il malware ha intercettato i dati che transitavano sulle macchinette (circa 11 GB) prima che queste li cifrassero (la crittografia end-to-end viene usata per proteggere i dati raccolti sui POS prima di inviarli a un server back-end e poi al processore di pagamento) per poi inviarli via FTP su server virtuali (VPS) in Russia.  La Target, infatti, dopo tutte le verifiche del caso, ha ammesso che insieme ai numeri di carte di credito/debito sono state rubate anche le informazioni personali appartenenti a 70 milioni di persone.

Il rapporto Clusit

Questa’azione “epica” della storia del cyber-crime, insieme a quella più complessa contro le banche e le televisioni sud coreane (operation “Dark Seoul”),  trovano posto nel nuovo Rapporto Clusit  che analizza i crimini informatici avvenuti nel 2013 e i primi mesi del 2014.
L’analisi mostra, dati alla mano, che gli attacchi informatici di tipo grave (di pubblico dominio), sono aumentati del 245% rispetto al 2011, con una media di 96 attacchi mensili.
Di 2.804 attacchi gravi di pubblico dominio ne sono stati analizzati 1.152 (il 41%) e di questi solo 35 sono su bersagli italiani.  A prima vista sembra confortante questo piccolo 3% ma sicuramente non rappresenta bene la realtà italiana. Confrontando il dato con quelli di altri paesi occidentali con economia e dimensioni similari  si è indotti a pensare che tale percentuale sia dovuta alla cronica mancanza di informazioni pubbliche al riguardo e, in qualche misura, al fatto che le aziende italiane spesso non hanno neanche gli strumenti idonei e/o la tecnologia necessaria per rendersi conto di essere state compromesse.
Dall’analisi sembra che il cyber-crime sia un fenomeno piuttosto marginale dal momento che rappresenta meno di un terzo (il 17 %) di quelli derivanti da azioni di hacktivism; ma su questo bisognerebbe fare almeno tre riflessioni: la prima è che delle azioni derivanti da hacktivism  se ne ha notizia perché fa parte proprio della loro politica darne comunicazione; la seconda che buona parte delle aziende preferiscono non dichiara di aver subito un attacco criminale e la terza che un’altra parte di aziende neanche si accorge di essere attaccata. Infatti una nota di Fastweb rivela che nel 2013 oltre 1.000 attacchi DDos sono stati rivolti a suoi clienti.

Una breve analisi è dedicata anche all’area dell’hacktivism che, secondo il rapporto, sta passando da una collaborazione sporadica o eccezionale  con il cyber-crime, a un vero e proprio percorso unitario, quantomeno in senso “tecnico” e di condivisione degli obiettivi.  Questo perché le frange di attivisti digitali più oltranzisti iniziano ad utilizzare le modalità operative proprie del cyber-crime per autofinanziarsi.

La tendenza futura

L’aumento delle vendite di smartphone e tablet vede, ovviamente, in crescita la scrittura di malware per questo tipo di sistemi (con una prevalenza per la piattaforma Android) e  anche se Google e Apple tengono alte le difese una buona percentuale di utenti utilizza App-Store non ufficiali dove i controlli sono più bassi.
Ad ogni modo il numero di insidie sui dispositivi mobili sono ancora un pericolo molto basso per il semplice fatto che su questi dispositivi è ancora difficile rubare una quantità di denaro sufficiente.

Un bersaglio importante, invece, sembra essere il cloud e l’espansione di applicazioni e di servizi basati su tali piattaforme dovranno, necessariamente, indurre le aziende a investire in sistemi di controllo della sicurezza che, tra le altre cose, sembrano anche più economici.

Pubblicato il

Il diritto all'oblio secondo Google

Il 13 maggio di quest’anno la Corte di Giustizia dell’Unione Europea ha emesso una sentenza inappellabile nei confronti di Google che, in quanto responsabile del trattamento dei dati di tutti i suoi utenti, è obbligata a cancellare i dati personali e la loro indicizzazione  a chiunque lo richieda.
Google invece, richiamandosi al “Digital Millenium Copyright Act“, ritiene di dover essere liberata da tale onere (tranne per il  copyright) nel momento in cui riesce a dimostrare di aver fatto tutto il possibile.
Tralasciando il complesso tema sul delicato equilibrio tra diritto alla cronaca e privacy (e non considerando il fatto che non basta eliminare il link nelle pagina dei risultati del motore di ricerca se poi restano on-line i contenuti), c’è un problema che ha a che fare con il futuro di internet: se, come dice David Meyer, in futuro i motori di ricerca anziché essere centralizzati come Google fossero distribuiti? chi sarebbe il responsabile?
A tal proposito Google ha costituito un Comitato consultivo per il diritto all’oblio che ha avviato un tour europeo per rendere note le problematiche legate alla sentenza della Corte  e la tappa italiana sarà mercoledì 10 settembre presso l’Auditorium Parco della Musica a Roma.
Qui, oltre ad ascoltare i relatori invitati, sarà possibile porre domande attraverso delle apposite cartoline che Google distribuirà al pubblico presente ma, se volete, potete farlo anche on-line.
Pubblicato il

Android a rischio (UI State Inference Attack)

Secondo un team di ricercatori della University of Michigan e dell’Università della California,  una “debolezza” di Android metterebbe a rischio la sicurezza dei dati dell’utente del dispositivo.

Stiamo parlando di “UI State Inference Attack” ovvero l’attacco all’interfaccia dell’utente che avvalendosi di autorizzazioni alla condivisione della memoria, concesse da Android senza speciali permessi per consentire a un’applicazione di raccogliere informazioni sullo stato di altre applicazioni, permette di prelevare facilmente i dati dell’utente.

Zhiyun Qian, professore in sicurezza informatica presso l’Università della California, mette sull’avviso gli utenti sui seri rischi derivanti da questa debolezza e in un video da qualche esempio di come può funzionare l’attacco: per esempio rubare il nome utente e la password dell’applicazione “H&R Block”, copiare l’immagine di controllo presa dall’applicazione “Chase Bank”  e recuperare le informazioni della carta di credito da “NewEgg”.

I ricercatori hanno aggiunto che questo tipo di attacco, non basandosi su una falla del sistema, è possibile replicarlo anche su altre piattaforme.

Pubblicato il

Attenzione al GPS degli smartphone

Tempo fa Ralph Weimann al Blackhat di Las Vegas,  dimostrò (tout court) come fossero insicuri tutti gli smartphone che usavano il GPS per le loro applicazioni.

La rivista “Chip” (quella di carta) ne parla nel numero di novembre, in notevole ritardo e senza suggerire soluzioni.

In sostanza la falla deriva dalla funzione A-GPS che per velocizzare il posizionamento del dispositivo sulla mappa, prima ancora di agganciarsi al GPS, si appoggia alle reti telefoniche e Wi-Fi circostanti.  In questo contatto tra telefono e reti il dialogo avviene “in chiaro”  e quindi aperto a chi vuole intromettersi e conseguentemente controllare il dispositivo collegato.

E’ vero che granché di soluzioni non ce ne sono, ma in attesa che chiudano il bug, si possono seguire i consigli che Panorama dava già ad agosto: disattivare l’opzione che consente alle applicazioni di utilizzare i dati da sorgenti quali reti Wi-Fi e mobili.

Se usate Android andate su “Impostazioni” –> “Servizi”  e disattivate “Posizioni di Google”.

Quelli che usano l’iPhone e l’iPad invece non possono fare lo stesso, però quando utilizzano il navigatore possono (in “Impostazioni”, “Generali”, “Reti”) disattivare la connessione “Dati Cellulare” in modo da utilizzare solo i dati GPS.

Gli androidiani stiano in allerta però perché gli Hot Spot fasulli sono ancora più pericolosi.