Un decalogo (appena, appena) utile

Dieci piccole regole utili.

  1. Non connettetevi mai ai vostri servizi privati tramite reti pubbliche o non protette (quelle senza https), ricordatevi degli Sniffing.
  2. Non aprite gli allegati (.pdf, .doc, .docx, .ppt, xls, etc..) provenienti da mail di sconosciuti, se dovesse capitarvi non concedete “privilegi macro“. Purtroppo Microsoft Office è pericoloso.
  3. Non cercate e non installare software craccato e non fidatevi delle fonti sconosciute (eMule non lo è), perchè i casi sono tre:
      – chi ha prodotto quel software voleva farlo Open ma ha le idee confuse;
      – quel software è stracolmo di pubblicità;
      – dopo che l’avete installato vi succhierà i dati per guadagnarci in qualche modo.
  4. Sui social, soprattutto su Facebook, non fate la telecronaca in tempo reale di cosa state facendo (figuriamoci un video in diretta), soprattutto se siete al mare e state mangiando pesce o ballate in discoteca; farete invidia al vostro vicino, è vero, ma sarà contento di saperlo anche quello che ha deciso di fare un salto a casa vostra sapendo che non ci siete.
  5. Insomma, ricordatevi che internet non è abitata soltanto dai vostri amici… E, soprattutto, non dimenticatevi di scollegare i vostri account loggati su browser in giro.
  6. Le password devono essere complesse e diverse per ogni account: non usate date di nascita o singole parole, ma frasi con all’interno lettere maiuscole, minuscole, numeri e simboli. Più spesso le cambiate più sicuri state. Soprattutto: cambiate le password di default del router/modem e della rete wireless.
  7. Il vostro Sistema Operativo dev’essere sempre aggiornato, non rimandate e non dimenticate di installare gli aggiornamenti.
  8. Cifrate il vostro Hardisk e mettete una password sul BIOS (su Windows 7 o 10 lo potete fare facilmente). La cifratura è l’unica cosa che garantisce l’impossibilità dell’accesso fisico al tuo computer quando è spento.
  9. Non mettete nel Cluod i vostri documenti privati e sensibili, teneteli offline. Al massimo metteteli in un HD esterno ed attaccatelo solo quando vi serve.
  10. Cercate di tenere sempre una copia in più dei vostri dati: fate un Backup offline e mai sullo stesso supporto.

Liberamente spirato a hack or die

WannaCry: che fare?

Qualche giorno fa, oltre duecentomila computer nel mondo, sono stati infettati da un ransomware che, come al solito, ha criptato i file (rendendoli inaccessibili) per poi chiedere il pagamento in cambio della chiave di decriptazione. Il malware si chiama WannaCry  e si è diffuso con una rapidità incredibile in un bel numero di paesi; ha sfruttato una falla di sicurezza nel sistema di condivisione dei file e di conseguenza ha avuto gioco facile all’interno delle reti a dominio Windows.

La debolezza era già nota a Microsoft, poiché l’exploit usato (EternalBlue), messo a punto dalla NSA per i loro consueti usi di spionaggio, era stato rubato dal gruppo Shadow Brokers che l’aveva messo on-line ad aprile (una settimana dopo che Trump aveva ordinato il bombardamento della base siriana).

Infatti Microsoft, il 14 marzo, aveva rilasciato degli aggiornamenti, per corregge la modalità con le quali SMBv1 gestisce “le richieste appositamente create a un Microsoft Server Message Block 1.0“.  

Ma si sa che gli utenti windows sono dei buon temponi che non badano troppo agli aggiornamenti di Windows Update (a dirla tutta sono forse gli unici utenti che stanno loggati h24 come administrator sulle proprie macchine) e che hanno permesso a WannaCry di moltiplicarsi a dismisura. Poi nelle lan aziendali, dove le politiche di aggiornamento sono elefantiache, l’intrusione è stata uno scherzetto (benedetto WSUS).

Ora, se non siete stati infettati (e l’Italia è fra le nazioni meno colpite) potete semplicemente avviare Windows Update, verificare la presenza di aggiornamenti e installarli subito, altrimenti vi tocca ripristinare i file dal vostro backup. Se non avete fatto neanche quello… pazienza, vi servirà da lezione e magari, poi, imposterete gli aggiornarsi in modalità “automatica”.
Anche per quelli che ancora smanettano su Windows XP (un sistema ormai dismesso da Microsoft) è stato diffuso un aggiornamento di sicurezza che dovrebbe metterli al sicuro.

Questa era la parte, per così dire, tecnico-descrittiva dell’azione, ora dovremmo cercare di capirne la natura e la logica sottesa a quello che solitamente ci raccontano.

Edward Snowden sostiene che gli attacchi alla rete arrivano anche dagli stati nazionali che si combattono, attraverso le agenzie di intelligence, a colpi di software malevoli. Forse non è un caso se WannaCry sia una diretta derivazione di quello della NSA.

Brad Smith, president and chief Legal Officer di Microsoft, ha detto che questo attacco fornisce un esempio della grande attività di “stoccaggio delle vulnerabilità da parte dei governi”: un po’ come se rubassero agli Usa qualche suo missile Tomahawk. 

Secondo altri, esistono consistenti evidenze di legami tra Shadow Brokers e Putin. Proprio Shadow Brokers aveva detto a Trump di aver votato per lui, ma di aver perso la fiducia riposta nell’attività del neo presidente.

Per tutto il resto vi consiglio questo articolo di Daniele Gambetta su Il Manifesto.

L’instant messaging XMPP (Jabber)

Ho già parlato di alcuni software di messaging qui, in riferimento a quelli più diffusi, ma il problema della sicurezza e della privacy degli utenti era e continua a rimanere una piaga aperta su cui i più, purtroppo, buttano semplicemente del sale. Qualsiasi ragionamento facciamo nella direzione della sicurezza/privacy, continua ad albergare all’interno di un’area di approssimazione, più o meno, accettabile.

Ora vorrei parlarvi di Jabber (o XMPP – Extensible Messaging and Presence Protocol – che è la stessa cosa) che l’officina ribelle eigenlab di Pisa ha presentato qualche giorno fa. Si tratta di un servizio di messaging open source che gira sul server di una rete XMPP privata (quella di eigenlab appunto) e che permette l’accesso, sicuro e protetto, alla rete XMPP pubblica.  Al contrario degli altri software come WhatsApp, Telegram o Signal, XMPP è un protocollo “federato”,  nel senso che i client della rete globale dialogano tra loro al di là del server sul quale si sono registrati e quindi  entrano in contatto anche con client di reti che utilizzano protocolli differenti (come OSCAR, .NET, ecc…).

Ovviamente esistono client multiprotocollo, ma a differenza di questi, XMPP (acronimo di “protocollo estendibile di messaggistica e presenza”) risolve la cosa già all’accesso del client sul server, poiché ha già messo insieme tutti i protocolli e le tecnologie necessarie, annullando così l’onere di dover programmare un supporto al protocollo a livello di client.
L’idea di Jabber nasce nel 1998 con Jeremie Miller e un gruppo di sviluppatori indipendenti che riescono a sviluppare una rete di instant messaging aperta ed espandibile a qualsiasi altro servizio di messaggistica già  esistente. Inoltre la filosofia open source garantì, già da subito, uno sviluppo migliore e un controllo generalizzato sulla sincerità e la bontà della sicurezza dei dati.

Per spiegare l’architettura XMPP, Markus Hofmann e Leland R. Beaumont utilizzano i personaggi “Romeo and Juliet” della tragedia shakespeariana. La metafora racconta che Giulietta e Romeo utilizzano account diversi, appartenenti ciascuno al proprio server familiare. Giulietta, con il proprio account juliet@example.com, invia al suo server un messaggio (Art thou not Romeo and a Montague?) per romeo@example.net; il testo viene ricevuto dal server “example.com” che contatterà il server “example.net” (che ospita l’account di Romeo) e verificata la rispondenza di indirizzo e di linguaggio, si stabilirà una connessione tra i due server recapitando così il messaggio al giusto destinatario che potrà rispondere (Neither, fair saint, if either thee dislike) e così via.

In sostanza, anche se gli utenti hanno client e sistemi operativi diversi, i server su cui poggiano gli account faranno in modo di portare a buon fine lo scambio comunicativo.
E’ quello che si chiama “sistema scalabile”: nessun server centrale che si occupa di smistare i messaggi, ma tanti server che diventano nodi di scambio all’interno della rete XMPP. Questo significa che anche se una parte della rete non funzionasse, quella restante continuerebbe a svolgere egregiamente il proprio compito.

XMPP fornisce sia chat singola che di gruppo, ha una rubrica per i contatti, permette di scambiare file e immagini in chat e stabilisce comunicazioni criptate sia singole che di gruppo.

E’ possibile installare una grande quantità di Clients per qualsiasi tipo di piattaforma e qui trovate tutta la lista.  Il migliore per Android è sicuramente Conversations che su Google Play è a pagamento mentre con F-Droid puoi scaricarlo gratis (se volete potete seguire questa guida); mentre per iOS consiglio Monal che trovate gratis sullo store ufficiale.

La sicurezza e la privacy, anche qui, sono affidate a una crittografia end-to-end ed è possibile ricevere messaggi cifrati su più dispositivi, o inviarli anche se il destinatario è offline. La crittografia funziona anche per immagini, file e messaggi vocali. I protocolli crittografici sono implementati in modo trasparente e, grazie allo sviluppo comunitario di questo open source, chiunque può verificare l’assenza di backdoor e di falle di sicurezza nel codice.

Ma per la nostra sicurezza, la domanda giusta è: di chi e di cosa ci fidiamo quando decidiamo di  dialogare con qualcuno?

Qualche esempio, un po’ grossolano, sulla nostra percezione (e sulle pratiche) della sicurezza in tema di conversazioni.

La prima cosa che facciamo quando instauriamo una conversazione è quella di capire/decidere, immediatamente, il livello (pubblico, sociale, privato, intimo) a cui tale tipo di comunicazione appartiene. Al netto di disturbi psicologici, sappiamo come discutere in un bar o nella sala d’attesa di un barbiere/parrucchiere, sappiamo (forse un po’ meno) come e cosa scrivere sulla nostra bacheca di Facebook, comprendiamo che per parlare di cose di famiglia è meglio farlo in casa nostra, allo stesso modo ci appartiamo in luoghi e con distanze opportune (curando bene il “canale”) per dialogare di cose intime.

Basandoci su tale paradigma, risolviamo una semplice proporzione che ci da, approssimativamente, il peso della propagazione dell’informazione, in rapporto al numero delle persone presenti nella conversazione. Ovvero, il potenziale di diffusione parte da un numero imprecisato (teoricamente infinito) “x” della conversazione pubblica e arriva fino a “2” nella conversazione intima (ovviamente parliamo di partecipanti e non di rischio diffusione o intercettazione).

Se, dunque, in analogico possiamo assumere come valore minimo teorico di diffusione il numero “2“, in digitale questo valore minimo dev’essere almeno “3” (i due dialoganti/intimi più colui che gestisce il canale). Questo vuol dire almeno due cose: la prima è che non esistere la condizione di “intimità” in una chat; la seconda che, come conseguenza della prima, la nostra soglia di prevenzione della privacy è diventata un po’ più “lasca”.

Ora, possiamo fare tutti i ragionamenti che vogliamo, sulla proprietà, sui sistemi e anche sulla criptazione o qualcos’altro, ma fondamentalmente dobbiamo sempre fidarci di qualcuno che è “altro” rispetto al nostro interlocutore intimo. In sostanza sta a noi scegliere se questo “altro” debba essere Zuckerberg (Messenger, WhatsApp, Instagram), Durov (Telegram), Google (Hangout e Yahoo! Messanger), Microsoft (MSN MessangerSkype) oppure un’organizzazione no-profit come Open Whisper Systems che gestisce l’open source Signal.

Ecco forse sta proprio qui la chiave di volta: fidarsi di chi  non crede che tutti gli scambi debbano essere per forza di natura economica, di chi non venderà i dati appena possibile, di chi non capitalizzerà il successo e di chi da anni si batte per una rete paritaria e democratica.

 

 

La nostra sicurezza nelle chat

In una ricerca pubblicata qualche giorno fa, Amnesty International ha stilato una classifica di 11 aziende (Apple, Blackberry, Facebook, Google, Kakao Corporation, LINE, Microsoft, Snapchat, Telegram, Tencent e Viber Media), proprietarie di applicazioni di messaggistica istantanea, che hanno maggior rispetto per la privacy dei loro clienti.

<img class=”wp-image-4163 alignleft” src=”http://www this content.vitocola.it/wordpress/wp-content/uploads/2016/10/prism2-300×225.jpg” alt=”prism” width=”440″ height=”330″ srcset=”http://www.vitocola.it/wordpress/wp-content/uploads/2016/10/prism2-300×225.jpg 300w, http://www.vitocola.it/wordpress/wp-content/uploads/2016/10/prism2.jpg 700w” sizes=”(max-width: 440px) 100vw, 440px” />Peccato che sia in testa che in coda alla classifica ci siano gli stessi nomi che dal 2007 al 2013 erano presenti nel famoso caso PRISM.  Amnesty International non ignorava la cosa e ha chiarito di essersi interessata alle aziende “commerciali” con le applicazioni più diffuse. Ecco perché, per esempio, non c’è Signal che appartiene a un gruppo non-profit.

In sostanza Amnesty classifica quelle aziende con più attinenza e rispetto della propria policy in modo da consigliarci un male minore.

I criteri indagati sono stati 5 (1-riconoscere le minacce online alla libertà di espressione e diritto alla privacy come i rischi per i suoi utenti attraverso le sue politiche e le procedure; 2- applica la crittografia “end-to-end” di default; 3-sensibilizza gli utilizzatori sulle minacce alla loro privacy e alla libertà di espressione; 4-rivela i dettagli del richieste del governo per i dati utente; 5-pubblica i dati tecnici del suo sistema della crittografia) ma nessuna analisi tecnica è stata condotta sulla sicurezza globale del servizio di messaggistica.

Precisiamo che neanche con la crittografia “end-to-end”  si è al riparo dagli spioni, poiché sarebbe sempre possibile entrare in possesso delle chiavi crittografiche private con un po’ di “social engineering”, ad esempio, fingendosi uno dei destinatari, oppure assicurandosi il controllo di un nodo della connessione, o anche semplicemente accedendo ai dati di backup del cloud, ecc…., più o meno quello che la NSA faceva con x-keyscore.

Dunque, forse, sarebbe stato più utile considerare “se, dove e come” queste aziende conservano i dati dei clienti.

overall-ranking

Per farla breve ne viene fuori che WhatsApp (il più utilizzato sia per numero di ore che per frequenza di utilizzo e che usa lo stesso protocollo di Signal) è la chat più sicura di tutte, superando anche la concorrente Telegram che, invece, dal 2015  ha messo in palio 300mila dollari per chiunque riesce a superare il proprio sistema di sicurezza.

Ultima cosa importante del documento di Amnesty è che solo la metà delle aziende intervistate, rende pubblico un report sulla quantità di dati degli utenti che viene dato ai governi in seguito a esplicite richieste.

Ma allora, qual è l’app di messaggistica più sicura?

 

ALLO di Google neanche a parlarne. A parte la crittografia traballante c’è quel forte interesse (comune a tutte le aziende) a far soldi con i dati degli utenti che qui viene affinata ancor di più attraverso la “machine learning”. Si tratta di un servizio di profilazione avanzato degli utenti con il quale Google capisce sia il testo che le immagini contenute nei messaggi. In tal modo l’app riesce sia a suggerire frasi automatiche in risposta a delle immagini inviate che consigliare dei risultati di ricerca con una geolocalizzazione rapida su Maps in funzione del contenuto del testo digitato.  Dunque tutto il contrario della privacy dell’utente.

WhatsApp è la più popolare in assoluto, supera il miliardo di utenti e, come dice Amnesty, usa una crittografia end-to-end.  Il problema serio è rappresentato dalla raccolta di dati e metadati (la lista dei contatti, numeri di telefono e a chi si scrive) che Facebook può utilizzare per i propri fini e anche consegnarli alle autorità qualora venissero richiesti. Se poi si sceglie di salvare i contenuti delle conversazioni su cloud si completa il quadro del rischio per l’utente.

Telegram usa il protocollo MTProto definito, però, “traballante” da Thaddeus Grugq. A suo demerito va detto che salva tutti i dati sui propri server in chiaro e a suo merito i “bot” e le api libere per poterli creare, ma sopratutto i “canali” con i quali è possibile comunicare istantaneamente con un grandissimo numero di utenti.

Il migliore è sicuramente Signal e non perchè  l’abbia detto Snowden un anno fa, piuttosto per la sua filosofia di base che lo rende più sicuro.  signalIntanto è un sistema aperto e questo già basta a garantire sulla sicurezza da solo. Anche se può sembrare un ossimoro, in realtà  quando i codici sorgenti sono aperti, chiunque può migliorarli creando patch e sviluppi alternativi attraverso collaborazioni diffuse e riutilizzo del codice.

Inoltre Signal non raccoglie dati e metadati degli utenti da nessuna parte, ma annota soltanto i tempi di connessione. Anche quando chiede di condividere i contatti (in modo da trovare chi usa la stessa app) tutta l’operazione viene subito cancellata dai server.  Non essendo presente la funzione di backup della chat, nel caso si cambiasse smartphone, si dovrà spostare tutto a mano.

E’ stata creata da Open Whispers System, una società no profit che si finanzia solo con le donazioni volontarie. L’unico neo di questa app è quella di essere poco diffusa (sembra che sia stata scaricata da poco più di 1 milione di utenti contro il miliardo di utenti dichiarato da WhatsApp) e probabilmente resterà tale proprio a causa della sua filosofia sulla sicurezza che la rende poco user friendly.

La cassetta degli attrezzi di Snowden

Telefonate e SMS
Basta installare l’app Signal in modo da criptare tutte le conversazioni, così anche se venissero intercettate non si comprenderebbe nulla.

Notebook
Criptare l’hard disk l’hard disk in modo da rendere illeggibili tutti i dati nel caso venisse rubato o cadesse in mani sbagliate.

User e password
KeePassX è un buon software che consente di creare password sicure, ognuna dedicata a un solo sito Internet, ma senza il problema di doverle memorizzare. Siccome è molto diffusa l’abitudine di utilizzare la stessa password per registrarsi in tutti i siti internet, capita sovente che anche quella usata per Gmail, sia la stessa registrata tanti anni prima in un sito che adesso non si visita più e che potrebbe essere hackerato.

sicur2Identificazione
Conviene utilizzare l’identificazione a due fattori, cioè oltre alla password anche un mezzo alternativo di identificazione, per esempio un sms, così se qualcuno si impossessa della password, avrà bisogno anche del telefono. Gmail, Facebook, Twitter, Dropbox, GitHub, e tanti altri già lo fanno (qui una lista di chi offre tale servizio).

Browser
TOR  Browser è un ottima strada per accedere a un dato su Internet senza lasciare traccia. Può anche aiutare ad aggirare la censura quando siete in una rete in cui alcuni siti sono bloccati. E’ sicuramente il progetto più importante sotto dal punto di vista della privacy ma non è a “prova di bomba”. Resta comunque una buona misura di sicurezza per dissociare la propria posizione geografica dall’attività su Internet. La cosa più importante è che la rete TOR è gestita da volontari e chiunque può attivare un nodo della rete TOR, sia che si tratti di un nodo d’ingresso, che di uno intermedio o di uscita, basta voler accettare qualche rischio.

Facebook
Non è necessario condividere tutto e in ogni caso la condivisione deve essere selettiva. Non è necessario che tutti sappiano tutto di noi. Non è necessario mettere il nome da nubile della propria madre se lo si è utilizzato anche per recuperare la password di Gmail.
La condivisione è una buona cosa, ma deve essere fatta volontariamente e consapevolmente. Le informazioni condivise devono essere reciprocamente vantaggiose e non semplicemente cose che ti vengono prese.

sicur1Internet
Consideriamo che usando Internet ci vengono rubate informazioni silenziosamente, in modo invisibile, a ogni click. Delle informazioni personali vengono sottratte a ogni pagina che visitiamo: vengono raccolte, intercettate, analizzate e registrate. E’ importante assicurarsi che le informazioni che vengono raccolte su di voi, lo siano per vostra scelta.
Potremmo usare un plugin come HTTPS Everywhere  (già installato su TOR), per servirci di comunicazioni cifrate e sicure in modo che i dati scambiati restino protetti.

Adblock
Certi provider, come Comcast, AT&T e altri, inseriscono annunci pubblicitari durante le connessioni in chiaro (http) servendosi di Javascript  o Flash e proprio in quel momento stiamo aprendo le porte del browser ad un probabile attacco. Allora non ci resta che bloccare preventivamente questi annunci.

Script
E’ necessario disabilitarli (su Firefox è disponibile il plugin “noscritp”).

Virtual machine
E’ sempre preferibile utilizzare una macchina virtuale  (un programma che crea un sistema operativo separato da quello installato sul computer) che simula un secondo computer, perchè se questo se viene infettato, lo si distrugge semplicemente cancellando il file che lo contiene e se ne ricrea uno nuovo, senza che il sistema operativo originale subisca danni e che i virus si propaghino sul computer.

Sandbox
E’ un sistema che isola un certo programma dal vostro sistema operativo e, come per la macchina virtuale, lo si può distruggere se infettato dai virus (per esempio il progetto chromium).

Smartphone e sicurezza
Molti dimenticano che tutti i telefoni cellulari lasciano una registrazione permanente di tutti gli spostamenti, fornendo informazioni anche quando non li si usa. Questo non vuol dire che si devono bruciare ma che si deve pensare al fatto di averlo con se, quindi se dovete andare in un certo posto e non volete essere associati a quel luogo basta non portarselo dietro.

sicur3Sorveglianza di massa.
Il “Mixed routing”  (l’invio di proprie comunicazioni attraverso più macchine reali o virtuali) è una delle cose più importanti di cui abbiamo bisogno nel campo delle infrastrutture Internet. Non abbiamo ancora risolto il problema di come separare il contenuto della comunicazione dalla traccia che la comunicazione lascia. Per avere una privacy reale bisogna ottenere la separazione tra il contenuto e la traccia della comunicazione. Il problema con le comunicazioni di oggi è che il provider sa esattamente chi siamo. Sa esattamente dove viviamo. Conosce il numero della nostra carta di credito, l’ultima volta che è stata utilizzata e il montante della transazione.
Abbiamo bisogno di strumenti che possano connettersi anonimamente a Internet. Meccanismi che consentano che ci si associ privatamente. Soprattutto, abbiamo bisogno di sistemi che permettano la difesa della privacy nei pagamenti e nella consegna delle merci, che sono le basi del commercio.

[tratto dall’intervista di Micah Lee a Edward Snowden]

Warnings for internet users

Uno studio dei ricercatori della North Carolina State University dimostra come la gran parte degli utenti di Internet non sia in grado di distinguere un pop-up vero da uno falso (cioè quelli progettati per ingannare gli utenti in download di software nocivi).

Michael S. Wogalter, professore di psicologia alla North Carolina State University, sottolinea come lo studio dimostri “quanto sia facile ingannare le persone sul Web”.

L’inchiesta ha esaminato le reazioni degli studenti di fronte a pop-up veri e a pop-up falsi. Le differenze tra il vero e il falso messaggio sono state così sottili da ingannare ben il 63% del campione, quindi tutte persone a rischio e che potenzialmente potrebbero aprire le porte dei propri computer a software maligni (come spyware o virus).

Stranamente, dice David Sharek coautore dello studio, l’opzione semplice di chiudere la finestra del messaggio, non è stata quasi mai scelta.

Wogalter spiega, infine, che i risultati dello studio sottolineano la necessità di educare gli utenti di Internet ad essere più cauti:

“Siate diffidenti quando si apre un pop-up e chiudete la casella invece di fare clic su OK”.

[via il disinformatico]