Vai al contenuto

Quando si acquista da un negozio online ci sono una serie di accortezze per limitare i rischi di frode nei quali si incorre pagando con carta di credito e spero che li conosciate anche perché non è di questo che volevo parlare.

Ci sono dei casi, rari fortunatamente, nei quali si deve pagare con carta di credito: non si è fisicamente presenti presso il venditore che avrebbe il POS per effettuare il pagamento e il venditore non è attrezzato per farvi pagare online con un form web dove poter inserire in sicurezza i dati della carta.

Analizziamo la situazione: tanto per cominciare vi dovete fidare totalmente del venditore. Meglio se lo conoscete di persona e se avete anche già acquistato da loro.

Smarcato il problema "fiducia" restano le misure di sicurezza. I dati della carta non vanno trasmessi usando un canale insicuro, non cifrato, perché si corre il rischio che un qualunque soggetto terzo possa intromettersi e salvarsi i dati della carta. Un email (sempre che non sia cifrata) non è un canale sicuro. Anche una telefonata non è un canale sicuro: so che magari è un pelo paranoico ma le telefonate sono intercettabili abbastanza facilmente e qualcuno potrebbe anche ascoltarvi .

Un sistema di messaggistica cifrato end-to-end è una buona opzione cancellando subito dopo il messaggio, ci sono alcune criticità potenziali ma a grandi linee è una buona opzione.

Bisogna tener presente che la sicurezza assoluta non esiste: anche un form web https di una banca potrebbe essere insicuro. Basta che ci andiate su con un cellulare o un pc infettato da un keylogger che vi ruba i tasti che premete o, molto più banalmente, qualcuno che con una buona videocamera (e basta un buon cellulare) vi fa un video riprendendo i dati che inserite.

Gli assistenti vocali: Google Assistant, Siri di Apple, Cortana di Microsoft e altri sono decisamente poco rispettosi della privacy. Dario Bonacina ce lo spiega bene.

Purtroppo per il classico utente medio non ci sono soluzioni: se vuole un assistente vocale facile da installare, anche per chi non è un informatico, deve accontentarsi di "pagare" con la perdita di privacy.

Per chi invece ci capisce almeno un po' esistono altre soluzioni. Ad esempio Mycroft è un assistente vocale open source e particolarmente rispettoso della privacy che gira su un server nostro e locale. Quelli di Mycroft vendono pure lo smart speaker che integra tutto quello che serve: volendo può funzionare anche senza connessione ad internet.

In una lettere aperta WhatsApp fa sapere che in UK stanno discutendo di una legge che, per come è formulata ora, permetterebbe di costringere le aziende di messaggistica come WhatsApp a indebolire e quindi distruggere la sicurezza delle comunicazioni cifrate end-to-end.

In questo modo tutti i britannici e chiunque si scambi messaggi con loro non potrebbero più scambiare messaggi in maniera sicura.

Ci fa notare Bruce Schneier che la reazione di WhatsApp e di Signal sarà quella di cessare il loro servizio in UK piuttosto che compromettere la sicurezza dei loro utenti in tutto il resto del mondo.

Il bilanciamento tra sicurezza e privacy è un mestiere complesso ma in questo caso hanno ragione WhatsApp e Signal: in UK, con una legge di questo tipo, passerebbero il segno e quindi una risposta forte è doverosa.

Capita di dover aprire un tunnel socks5 ma se poi questo tunnel deve restare aperto per ore e magari resistere a vari eventi avversi non basta il semplice comando ssh

ssh -ND 8080 root@192.168.1.1

perché se il server destinazione (il 192.168.1.1) ad esempio viene riavviato il tunnel cade. Per ovviare a questo ed altri inconvenienti basta un breve script che si occupa di verificare che il tunnel sia aperto e, in caso contrario, che lo apra e che faccia tutto questo all'infinito. Quantomeno fino a quando non lo blocchiamo a mano noi.

Questo è lo script bash

#!/bin/bash
# Script che apre e tiene aperto un tunnel socks5
# porta utente e ip o dns sono hardcoded ma volendo potrebbero essere messi come parametri

# Ciclo while infinito
while true
do
# Il comando if verifica l exit code del comando che sta cercando qualcosa in LISTEN sulla porta 8080 che è il mio tunnel 
  if netstat -an | grep 8080 | grep -q LISTEN 
  then
# Se lo ha trovato allora entra qui e attende 1 secodo poi salta il ramo else e ricomincia il coclo infinito
    sleep 1
  else
# Se non lo trova allora entra qui e il comando sotto crea in background il tunnel e poi aspetta 2 secondi poi continua il ciclo infinito
    nohup ssh -ND 8080 root@192.168.1.1 > /dev/null 2>&1 &
    sleep 2
  fi
done

In UK, ci segnala Bruce Schneier, c'è una proposta di legge per bannare le password di default sui dispositivi IoT.

Si tratta di un interessante passo avanti per migliorare la sicurezza di oggetti connessi ad internet: non necessariamente si tratta di una buona soluzione ma è meglio di niente.

L'ideale sarebbe un sistema per invogliare ad avere password sicure e uniche. Fino ad ora, la soluzione che più mi è piaciuta, che va in questa direzione è quella che ho visto su un router: una password preimpostata composta da un paio di parole e qualche numero. Viene scritta sull'etichetta del router, il fabbricante non la conosce perché è generata a caso in automatico ed è abbastanza facile da ricordare.

In questo campo le soluzioni devo necessariamente essere un compromesso tra facilità d'uso e sicurezza: se sono estremamente sicure quasi sicuramente sono troppo difficili da usare e si rischia che l'utente medio si stufi e cambi la password con 12345. Se sono troppo facili da usare sicuramente la sicurezza è troppo bassa e prima o poi qualcuno entra abusivamente nel tuo dispositivo.

L'NSA (National Security Agency) e la CISA (Cybersecurity and Infrastructure Security Agency) hanno rilasciato un documento su come rendere più sicura una VPN.

Già dal cappello introduttivo al documento si capisce che nel comparto sicurezza c'è ancora tantissima strada da fare visto che le indicazioni mi paiono sostanzialmente suggerimenti di buon senso e se c'è bisogno di ricordarli vuol proprio dire che mancano le basi.

Invece che polemizzare o intristirmi riporto qui quelle indicazioni in modo che siano utili e che diventino presto la norma.

  • Usare prodotti testati e validati presenti in un elenco proprio dell'NSA: in pratica non la VPN che mi ha detto mio "cuggino" ma qualcosa di serio.
  • Usare sistemi di strong authentication come MFA Multi Factor Authentication
  • Applicare subito patch e update
  • Ridurre il perimetro dei potenziali attacchi eliminando tutto quello che in realtà non si usa

In realtà il documento è molto più articolato e presenta diversi altri suggerimenti meno "banali" quindi risulta utile anche a chi ha già predisposto i primi e basilari step di sicurezza

Via Bruce Schneier

Un ricercatore, Josep Rodriguez, ha scoperto alcune vulnerabilità nel protocollo NFC implementato sia nei POS dei negozi che negli ATM (gli sportelli bancomat per intenderci).

Sommando anche altri bug è stato in grado, per un particolare tipo di ATM, di ottenere soldi (jackpotting ATM). Fortunatamente si tratta di una persona responsabile quindi non ha divulgato i dettagli in attesa che gli interessati tappino le falle

Ricordate: aggiornate sempre tutto quello che è aggiornabile. In particolar modo questo suggerimento è valido per le banche che gestiscono gli ATM e le "macchinette" per i pagamenti POS dei negozi.

(Via Bruce Schneier)

Click sull'immagine per la gif animata

Segnala Bruce Schneier che c'è un kickstarting (crowdfunding) per una candela con fuoco vero controllabile via internet e, giustamente, si domanda: cosa potrebbe andare storto?

Alcuni lettori di Bruce hanno lasciato commenti particolarmente significativi:

  • Puoi verificare da remoto se casa tua ha una perdita di gas.
  • La si potrebbe chiamare candela di Darwin.
  • Prossimamente l'integrazione con svariati assistenti vocali per una migliore e più veloce esperienza di incendio.
  • Adesso avremo bisogno di una estintore IoT.
  • Tocca qui per bruciare tutti (cit. Click here to kill everybody).

Il tag Bluetooth di Wiliot

Un produttore di chip, Wiliot, ha creato un tag bluetooth delle dimensioni di un francobollo che funziona senza batteria.
L'energia la ricava dalle onde elettromagnetiche che ci circondano.
Non avendo l'ingombro, il costo e la durata limitata della carica dovute alla batteria si aprono scenari di utilizzo interessanti:


  • Ogni oggetto può essere tracciato lungo tutta la filiera produttiva
  • In aggiunta alle etichette classiche si potranno avere etichette bluetooth molto più dettagliate
  • Le istruzioni d'uso potranno essere lette dagli elettrodomestici (lavatrice che saprà come lavare un capo perché se lo fa dire direttamente)
  • Gli oggetti smarriti saranno più facilmente rintracciabili, col cellulare, se si trovano nelle vicinanze (chiavi smarrite in casa ad esempio)

Potendo inoltre abbinarlo a sensori le possibilità sono ancora maggiori:

  • Un oggetto è troppo caldo, sensore di temperatura, e ti avvisa
  • Un contenitore è vuoto, sensore di pressione, e ti ricorda di comprare il contenuto
  • Tanti sensori di temperatura per mappare ambienti in modo da studiare ottimizzazioni del riscaldamento e raffrescamento

La fantasia non ha limiti e sicuramente verranno fuori altri e inediti potenziali utilizzi.

Via Quinta e The Verge

Grazie ad una nuova legge dello stato della California avremo maggior sicurezza sui dispositivi IoT.

Questa legge impone a tutti gli oggetti connessi di avere un ragionevole livello di sicurezza: dato che i produttori di dispositivi IoT devono aggiornare il loro software per poter vendere in California e che non ha senso mantenere un ramo "sicuro" per la California e uno "insicuro" per tutti gli altri, questo miglioramento sarà per tutti.

Via Bruce Schneier

In riferimento a notizie circolate oggi (ieri: martedì 27 novembre), EOLO apprende con stupore che l’amministratore delegato della società, è stato sottoposto alla misura cautelare degli arresti domiciliari per una vicenda chiarita 2 anni fa presso le sedi competenti.

L’azienda e i suoi soci rinnovano la fiducia sia nei confronti del proprio top management che nelle autorità competenti, certi che la vicenda verrà chiarita nell’interesse di tutte le parti coinvolte.

Interessante articolo di Bruce Schneier sull'uso dei dati personali degli IoT (per esempio videocamere di sorveglianza ma anche aspirapolvere e altro). I produttori di questi oggetti non pubblicano nulla sulla trasparenza nell'uso dei nostri dati e non commentano al riguardo quando interpellati.
Siete sempre convinti che sia bello, comodo e fantastico avere il proprio sistema di allarme, con magari videocamere interne, connesso via internet al sito del produttore?
Segue una traduzione molto libera del breve articolo di Bruce.

I dispositivi IoT sono dispositivi di sorveglianza e i produttori generalmente li usano per raccogliere dati sui loro clienti. La sorveglianza è ancora il modello di business di Internet e questi dati sono usati contro l'interesse dei clienti: sia dai produttori che da qualche terza-parte al quale il produttore vende i dati. Ovviamente questi dati possono anche essere usati dalle forze dell'ordine; lo scopo dipende dalla nazione.

Niente di tutto questo è una novità e molto di questo è spiegato nel mio (ndt suo: di Bruce) libro Data and Goliath. Quello che è comune per le aziende di Internet è di pubblicare un "rapporto sulla trasparenza" che indica almeno le informazioni generali su come le forze dell'ordine usano questi dati. Le aziende IoT non pubblicano questi report.
TechCrunch ha chiesto informazioni ad alcune di queste aziende e, fondamentalmente, ha scoperto che nessuno parla.

Via BoingBoing

1

Un aspirapolvere potrebbe essere trasformato in una spia e questo può succedere perché, prima di tutto, c'è la mania di avere tutto quanto connesso ad internet ( IoT ) e poi perché qualcuno ha avuto la strana idea di dotarlo di un microfono.

A questo punto, dato che spesso la sicurezza informatica di questi oggetti è molto bassa, succede che vengano trovati sistemi per manometterli e trasformarli in dispositivi di sorveglianza. In questo caso bisogna poter mettere fisicamente le mani sull'aspirapolvere quindi il tipo di attacco è limitato: se hai un malintenzionato in casa il problema maggiore non è l'aspirapolvere.

Bruce Schneier si domanda perché un aspirapolvere debba essere dotato di microfono e pure io me lo chiedo. In più mi chiedo anche il perché di questa mania di avere tutto connesso: soprattutto visto che quasi nessuno si cura della sicurezza di questi oggetti.

Durante un upgrade da Debian 8 a Debian 9 potrebbe capitarvi che il server non torni raggiungibile.

Se avete un accesso diretto (tastiera e monitor oppure una console di un server virtuale) usatelo e verificate che sia tutto a posto lato network.

Con un networkctl ottenete la lista delle interfacce di rete e poi verificate che nel file /etc/network/interfaces il nome sia lo stesso: se non lo fosse allora sistematelo e riavviate il network con un systemctl restart networking.service.

Già che ci siete verificate anche che il servizio di rete sia abilitato allo startup controllando cosa dice un systemctl status networking.service perché potrebbe essere disabled.

1

Dieci anni fa scrivevo di tariffe flat per scaricare legalmente e sembrava quasi un utopia.

Oggi non lo è più: complici i cambiamenti iniziati con la vendita legale di musica via mp3 con tariffe flat e, soprattutto, complice il miglioramento delle connessioni internet è adesso molto facile fruire di film, serie tv e tanto altro con una tariffa flat decisamente ragionevole.

Scrivevo, allora, che se ci fosse stata una tariffa flat dal costo ragionevole l'avrei utilizzata e difatti è andata così. Mi sono abbonato a Netflix.

Confermo quello che scrivevo anni fa: ci saranno sempre i download illeciti di film ma i tempi sono ormai maturi perché la maggior parte della fruizione di contenuti video passi per canali legali.


Breve post a mo di appunto su come sistemare la vulnerabilità chiamata shellshock in un server Debian 7 Wheezy.
Verificate che sia vulnerabile e scaricate il pacchetto deb come indicato qui.
Inserite temporaneamente il repository di sviluppo (sid) e aggiornate la libreria libc6 come indicato qui. Come detto in un commento anche per me ha funzionato installando libc6 e non libc6-amd64.

Ricordatevi di togliere il repository sid una volta terminato.

Ora che avete il pacchetto libc6 aggiornato potete installare il deb bash scaricato prima: se cercate di installarlo senza aggiornare la libc6 vi segnala errore.

1

BluetoothPer non nascondermi troppo tengo il bluetooth del mio E61 aperto.

Chiunque sia nei paraggi e abbia il bluetooth acceso può vedermi online e volendo può mandarmi un messaggio.

A dir la verità non mi è mai capitato eccetto questa mattina quando ne ho ricevuto uno da uno sconosciuto: ho accettato il messaggio e ho scoperto che conteneva un file di una applicazione. Il file in questione è uwcqja8s.sis

Fortunatamente non è riuscito ad installarsi (forse perché preparato per una versione di symbian diversa dalla S60 third edition che usa il mio Nokia E61).

Il nome sembra casuale quindi non fateci affidamento: la cosa migliore da fare è sempre quella di non installare nulla che non provenga da fonte più che certa.

A qualcuno di voi è mai capitato di ricevere qualcosa di strano da uno sconosciuto via bluetooth?

18

Colpa di Telecom Italia?Spesso capita che mi segnaliate che l'ADSL non va più oppure che ha iniziato ad andare male.

Cose tipo: "cade spesso la linea" oppure "prima andavo più veloce ora vado piano"

La maggior parte di queste segnalazioni mi arrivano tramite un articolo che ho scritto per DynamicK diverso tempo fa ma che riguardava un problema specifico che ormai è rientrato.

Dato che i problemi sono reali e un utente che prima navigava e scaricava tranquillamente si trova ad avere una linea decisamente peggiore rispetto a prima ho pensato di darvi un infarinatura su alcune delle possibili cause.

La rete in rame di Telecom Italia è piuttosto vecchia e spesso malconcia: non è strano che possa capitare che uno o più cavi in rame che portano l'ADSL nelle case subisca un degrado. Infiltrazioni di acqua, topi che rosicchiano i cavi (non ridete: è capitato) semplice usura che crea un brusco calo della qualità del cavo e altro.

In queste condizioni è normale che la qualità del vostro collegamento peggiori: che si può fare? Nulla 🙁

Forse, tra tanto tempo, verrà sfilato il rame per essere sostituito con la fibra ottica e questo risolverà.

Un altra situazione che può portare ad un brusco degrado è l'aumento delle ADSL attivate dai vicini di casa.

I cavi in rame, prima di diramarsi verso i singoli appartamenti, viaggiano in grandi fasci tutti insieme. Anche se ci sono parecchi cavi non è possibile attivare molte ADSL perché, oltre un certo numero, creano interferenza l'una con l'altra (ho semplificato un po' e ho omesso che esistono tecniche per ridurre molto questo problema)

Anche in questo caso non c'è molto da fare se non sperare nell'arrivo della fibra.

Tutto questo succede per qualsiasi operatore (esclusi i pochissimi fortunati utenti Fastweb raggiunti in fibra fino all'edificio) perché i cavi sono sempre di proprietà di Telecom Italia sia per le ADSL Telecom Italia che per quelle di tutti gli altri operatori.

Non fatevi quindi venire l'idea di risolvere cambiando operatore perché, se il problema è di degrado o affollamento, non risolvereste nulla!

Questi sono due possibili motivi: ce ne possono essere altri, magari legati ad altri tipi di interferenze, ma il grosso è per questi due.

Se invece la vostra ADSL è sempre andata male da quando ve l'hanno attivata, oltre ai questi motivi, può anche essere che siate distanti dalla centrale telefonica (basta anche 800/900 metri se i cavi sono vecchi) e quindi il cavo, più di quello, non regga.

Se avete domande al riguardo, dubbi o volere esporre il vostro problema i commenti sono aperti!

2

Tastiera con ditaPer me che è una passione non è un problema il crearmi una cultura digitale ma non tutti sono appassionati di questi argomenti e non devono essere obbligati ad esserlo.

Che invece si debba creare una cultura digitale per tutti è corretto: si tratta del futuro e non si può scappare.

Leggo un passaggio del Corriere della Sera di ieri che dice:

La ricetta di Pileri è radicale: «Bisogna rendere progressivamente obbligatoria l' erogazione di alcuni servizi via Internet, dandosi precise scadenze temporali: per esempio porsi l' obiettivo di mettere tutte le ricette mediche digitali in rete entro il dicembre del 2012. La stessa cosa si potrebbe fare, in ambito scolastico, rendendo obbligatorie le transazioni con la scuola. Evidentemente è necessario aiutare i soggetti come gli anziani che non sanno usare la rete».

Stefano Quintarelli commenta dicendo che è d'accordo: lo sarei anche io ma ho un paio di dubbi.

Io non sarei capace di alfabetizzare chi parte praticamente da zero tipo anziani o anche giovani che non hanno dimestichezza con le nuove tecnologie ma credo che ci sia gente in grado di farlo.

L'altro dubbio è la reale penetrazione della banda larga in Italia: ora come ora è scarsa e dubito che si possa pianificare di spegnere dei servizi erogati nel vecchio stile per passarli in digitale senza avere certezze sulla diffusione della banda larga.

Cosa vogliamo fare: obbligare a comunicare con la scuola solo eletronicamente per poi accorgerci che molti genitori si possono connettere ad interent solo con un vetusto modem 56k?

Portiamoli quindi avanti insieme questi due progetti: servizi migrati su internet e diffusione della banda larga.

Magari sarà già stato pianificato proprio così ma non vorrei che poi le due cose, all'atto pratico, le portassero avanti con velocità diverse!

(Photo credit: sudden ispiration)

7

AlicePhibraParte la sperimenatazione della nuova connessione in fibra ottica di Telecom Italia a Milano.

Ce lo segnala Stefano Quintarelli che pubblica il volantino.

Mi viene da piangere a vedere l'upload: 3Mbit?
Quasi li batte EOLO che deve lottare con la trassmissione su frequenze non licenziate!

Secondo me hanno paura anche perché, con la fibra, non ci sono più motivi tecnici che obblighino a bande asimmetriche.

Al limite c'è la considerazione di carattere generale che il normale uso è circa, in proporzione, 10 di download contro 1 di upload. Al limite quindi avrebbero dovuto offrire una 50/5.

Il vizio del ragionamento sopra è nell'evoluzione: in un futuro, per come stanno andando le cose, si andrà sempre di più verso un uso simmetrico.

Secondo voi è paura come dico io, miopismo o cosa altro?