In una lettere aperta WhatsApp fa sapere che in UK stanno discutendo di una legge che, per come è formulata ora, permetterebbe di costringere le aziende di messaggistica come WhatsApp a indebolire e quindi distruggere la sicurezza delle comunicazioni cifrate end-to-end.
In questo modo tutti i britannici e chiunque si scambi messaggi con loro non potrebbero più scambiare messaggi in maniera sicura.
Ci fa notare Bruce Schneier che la reazione di WhatsApp e di Signal sarà quella di cessare il loro servizio in UK piuttosto che compromettere la sicurezza dei loro utenti in tutto il resto del mondo.
Il bilanciamento tra sicurezza e privacy è un mestiere complesso ma in questo caso hanno ragione WhatsApp e Signal: in UK, con una legge di questo tipo, passerebbero il segno e quindi una risposta forte è doverosa.
Capita di dover aprire un tunnel socks5 ma se poi questo tunnel deve restare aperto per ore e magari resistere a vari eventi avversi non basta il semplice comando ssh
ssh -ND 8080 root@192.168.1.1
perché se il server destinazione (il 192.168.1.1) ad esempio viene riavviato il tunnel cade. Per ovviare a questo ed altri inconvenienti basta un breve script che si occupa di verificare che il tunnel sia aperto e, in caso contrario, che lo apra e che faccia tutto questo all'infinito. Quantomeno fino a quando non lo blocchiamo a mano noi.
Questo è lo script bash
#!/bin/bash
# Script che apre e tiene aperto un tunnel socks5
# porta utente e ip o dns sono hardcoded ma volendo potrebbero essere messi come parametri
# Ciclo while infinito
while true
do
# Il comando if verifica l exit code del comando che sta cercando qualcosa in LISTEN sulla porta 8080 che è il mio tunnel
if netstat -an | grep 8080 | grep -q LISTEN
then
# Se lo ha trovato allora entra qui e attende 1 secodo poi salta il ramo else e ricomincia il coclo infinito
sleep 1
else
# Se non lo trova allora entra qui e il comando sotto crea in background il tunnel e poi aspetta 2 secondi poi continua il ciclo infinito
nohup ssh -ND 8080 root@192.168.1.1 > /dev/null 2>&1 &
sleep 2
fi
done
Si tratta di un interessante passo avanti per migliorare la sicurezza di oggetti connessi ad internet: non necessariamente si tratta di una buona soluzione ma è meglio di niente.
L'ideale sarebbe un sistema per invogliare ad avere password sicure e uniche. Fino ad ora, la soluzione che più mi è piaciuta, che va in questa direzione è quella che ho visto su un router: una password preimpostata composta da un paio di parole e qualche numero. Viene scritta sull'etichetta del router, il fabbricante non la conosce perché è generata a caso in automatico ed è abbastanza facile da ricordare.
In questo campo le soluzioni devo necessariamente essere un compromesso tra facilità d'uso e sicurezza: se sono estremamente sicure quasi sicuramente sono troppo difficili da usare e si rischia che l'utente medio si stufi e cambi la password con 12345. Se sono troppo facili da usare sicuramente la sicurezza è troppo bassa e prima o poi qualcuno entra abusivamente nel tuo dispositivo.
Già dal cappello introduttivo al documento si capisce che nel comparto sicurezza c'è ancora tantissima strada da fare visto che le indicazioni mi paiono sostanzialmente suggerimenti di buon senso e se c'è bisogno di ricordarli vuol proprio dire che mancano le basi.
Invece che polemizzare o intristirmi riporto qui quelle indicazioni in modo che siano utili e che diventino presto la norma.
Usare prodotti testati e validati presenti in un elenco proprio dell'NSA: in pratica non la VPN che mi ha detto mio "cuggino" ma qualcosa di serio.
Usare sistemi di strong authentication come MFA Multi Factor Authentication
Applicare subito patch e update
Ridurre il perimetro dei potenziali attacchi eliminando tutto quello che in realtà non si usa
In realtà il documento è molto più articolato e presenta diversi altri suggerimenti meno "banali" quindi risulta utile anche a chi ha già predisposto i primi e basilari step di sicurezza
Un ricercatore, Josep Rodriguez, ha scoperto alcune vulnerabilità nel protocollo NFC implementato sia nei POS dei negozi che negli ATM (gli sportelli bancomat per intenderci).
Sommando anche altri bug è stato in grado, per un particolare tipo di ATM, di ottenere soldi (jackpotting ATM). Fortunatamente si tratta di una persona responsabile quindi non ha divulgato i dettagli in attesa che gli interessati tappino le falle
Ricordate: aggiornate sempre tutto quello che è aggiornabile. In particolar modo questo suggerimento è valido per le banche che gestiscono gli ATM e le "macchinette" per i pagamenti POS dei negozi.
Segnala Bruce Schneier che c'è un kickstarting (crowdfunding) per una candela con fuoco vero controllabile via internet e, giustamente, si domanda: cosa potrebbe andare storto?
Alcuni lettori di Bruce hanno lasciato commenti particolarmente significativi:
Puoi verificare da remoto se casa tua ha una perdita di gas.
La si potrebbe chiamare candela di Darwin.
Prossimamente l'integrazione con svariati assistenti vocali per una migliore e più veloce esperienza di incendio.
Un produttore di chip, Wiliot, ha creato un tag bluetooth delle dimensioni di un francobollo che funziona senza batteria. L'energia la ricava dalle onde elettromagnetiche che ci circondano. Non avendo l'ingombro, il costo e la durata limitata della carica dovute alla batteria si aprono scenari di utilizzo interessanti:
Ogni oggetto può essere tracciato lungo tutta la filiera produttiva
In aggiunta alle etichette classiche si potranno avere etichette bluetooth molto più dettagliate
Le istruzioni d'uso potranno essere lette dagli elettrodomestici (lavatrice che saprà come lavare un capo perché se lo fa dire direttamente)
Gli oggetti smarriti saranno più facilmente rintracciabili, col cellulare, se si trovano nelle vicinanze (chiavi smarrite in casa ad esempio)
Potendo inoltre abbinarlo a sensori le possibilità sono ancora maggiori:
Un oggetto è troppo caldo, sensore di temperatura, e ti avvisa
Un contenitore è vuoto, sensore di pressione, e ti ricorda di comprare il contenuto
Tanti sensori di temperatura per mappare ambienti in modo da studiare ottimizzazioni del riscaldamento e raffrescamento
La fantasia non ha limiti e sicuramente verranno fuori altri e inediti potenziali utilizzi.
Questa legge impone a tutti gli oggetti connessi di avere un ragionevole livello di sicurezza: dato che i produttori di dispositivi IoT devono aggiornare il loro software per poter vendere in California e che non ha senso mantenere un ramo "sicuro" per la California e uno "insicuro" per tutti gli altri, questo miglioramento sarà per tutti.
In riferimento a notizie circolate oggi (ieri: martedì 27 novembre), EOLO apprende con stupore che l’amministratore delegato della società, è stato sottoposto alla misura cautelare degli arresti domiciliari per una vicenda chiarita 2 anni fa presso le sedi competenti.
L’azienda e i suoi soci rinnovano la fiducia sia nei confronti del proprio top management che nelle autorità competenti, certi che la vicenda verrà chiarita nell’interesse di tutte le parti coinvolte.
Interessante articolo di Bruce Schneier sull'uso dei dati personali degli IoT (per esempio videocamere di sorveglianza ma anche aspirapolvere e altro). I produttori di questi oggetti non pubblicano nulla sulla trasparenza nell'uso dei nostri dati e non commentano al riguardo quando interpellati. Siete sempre convinti che sia bello, comodo e fantastico avere il proprio sistema di allarme, con magari videocamere interne, connesso via internet al sito del produttore? Segue una traduzione molto libera del breve articolo di Bruce.
I dispositivi IoT sono dispositivi di sorveglianza e i produttori generalmente li usano per raccogliere dati sui loro clienti. La sorveglianza è ancora il modello di business di Internet e questi dati sono usati contro l'interesse dei clienti: sia dai produttori che da qualche terza-parte al quale il produttore vende i dati. Ovviamente questi dati possono anche essere usati dalle forze dell'ordine; lo scopo dipende dalla nazione.
Niente di tutto questo è una novità e molto di questo è spiegato nel mio (ndt suo: di Bruce) libro Data and Goliath. Quello che è comune per le aziende di Internet è di pubblicare un "rapporto sulla trasparenza" che indica almeno le informazioni generali su come le forze dell'ordine usano questi dati. Le aziende IoT non pubblicano questi report. TechCrunch ha chiesto informazioni ad alcune di queste aziende e, fondamentalmente, ha scoperto che nessuno parla.
Un aspirapolvere potrebbe essere trasformato in una spia e questo può succedere perché, prima di tutto, c'è la mania di avere tutto quanto connesso ad internet ( IoT ) e poi perché qualcuno ha avuto la strana idea di dotarlo di un microfono.
A questo punto, dato che spesso la sicurezza informatica di questi oggetti è molto bassa, succede che vengano trovati sistemi per manometterli e trasformarli in dispositivi di sorveglianza. In questo caso bisogna poter mettere fisicamente le mani sull'aspirapolvere quindi il tipo di attacco è limitato: se hai un malintenzionato in casa il problema maggiore non è l'aspirapolvere.
Durante un upgrade da Debian 8 a Debian 9 potrebbe capitarvi che il server non torni raggiungibile.
Se avete un accesso diretto (tastiera e monitor oppure una console di un server virtuale) usatelo e verificate che sia tutto a posto lato network.
Con un networkctl ottenete la lista delle interfacce di rete e poi verificate che nel file /etc/network/interfaces il nome sia lo stesso: se non lo fosse allora sistematelo e riavviate il network con un systemctl restart networking.service.
Già che ci siete verificate anche che il servizio di rete sia abilitato allo startup controllando cosa dice un systemctl status networking.service perché potrebbe essere disabled.
Oggi non lo è più: complici i cambiamenti iniziati con la vendita legale di musica via mp3 con tariffe flat e, soprattutto, complice il miglioramento delle connessioni internet è adesso molto facile fruire di film, serie tv e tanto altro con una tariffa flat decisamente ragionevole.
Scrivevo, allora, che se ci fosse stata una tariffa flat dal costo ragionevole l'avrei utilizzata e difatti è andata così. Mi sono abbonato a Netflix.
Confermo quello che scrivevo anni fa: ci saranno sempre i download illeciti di film ma i tempi sono ormai maturi perché la maggior parte della fruizione di contenuti video passi per canali legali.
Breve post a mo di appunto su come sistemare la vulnerabilità chiamata shellshock in un server Debian 7 Wheezy.
Verificate che sia vulnerabile e scaricate il pacchetto deb come indicato qui.
Inserite temporaneamente il repository di sviluppo (sid) e aggiornate la libreria libc6 come indicato qui. Come detto in un commento anche per me ha funzionato installando libc6 e non libc6-amd64.
Ricordatevi di togliere il repository sid una volta terminato.
Ora che avete il pacchetto libc6 aggiornato potete installare il deb bash scaricato prima: se cercate di installarlo senza aggiornare la libc6 vi segnala errore.
Per non nascondermi troppo tengo il bluetooth del mio E61 aperto.
Chiunque sia nei paraggi e abbia il bluetooth acceso può vedermi online e volendo può mandarmi un messaggio.
A dir la verità non mi è mai capitato eccetto questa mattina quando ne ho ricevuto uno da uno sconosciuto: ho accettato il messaggio e ho scoperto che conteneva un file di una applicazione. Il file in questione è uwcqja8s.sis
Fortunatamente non è riuscito ad installarsi (forse perché preparato per una versione di symbian diversa dalla S60 third edition che usa il mio Nokia E61).
Il nome sembra casuale quindi non fateci affidamento: la cosa migliore da fare è sempre quella di non installare nulla che non provenga da fonte più che certa.
A qualcuno di voi è mai capitato di ricevere qualcosa di strano da uno sconosciuto via bluetooth?
Spesso capita che mi segnaliate che l'ADSL non va più oppure che ha iniziato ad andare male.
Cose tipo: "cade spesso la linea" oppure "prima andavo più veloce ora vado piano"
La maggior parte di queste segnalazioni mi arrivano tramite un articolo che ho scritto per DynamicK diverso tempo fa ma che riguardava un problema specifico che ormai è rientrato.
Dato che i problemi sono reali e un utente che prima navigava e scaricava tranquillamente si trova ad avere una linea decisamente peggiore rispetto a prima ho pensato di darvi un infarinatura su alcune delle possibili cause.
La rete in rame di Telecom Italia è piuttosto vecchia e spesso malconcia: non è strano che possa capitare che uno o più cavi in rame che portano l'ADSL nelle case subisca un degrado. Infiltrazioni di acqua, topi che rosicchiano i cavi (non ridete: è capitato) semplice usura che crea un brusco calo della qualità del cavo e altro.
In queste condizioni è normale che la qualità del vostro collegamento peggiori: che si può fare? Nulla 🙁
Forse, tra tanto tempo, verrà sfilato il rame per essere sostituito con la fibra ottica e questo risolverà.
Un altra situazione che può portare ad un brusco degrado è l'aumento delle ADSL attivate dai vicini di casa.
I cavi in rame, prima di diramarsi verso i singoli appartamenti, viaggiano in grandi fasci tutti insieme. Anche se ci sono parecchi cavi non è possibile attivare molte ADSL perché, oltre un certo numero, creano interferenza l'una con l'altra (ho semplificato un po' e ho omesso che esistono tecniche per ridurre molto questo problema)
Anche in questo caso non c'è molto da fare se non sperare nell'arrivo della fibra.
Tutto questo succede per qualsiasi operatore (esclusi i pochissimi fortunati utenti Fastweb raggiunti in fibra fino all'edificio) perché i cavi sono sempre di proprietà di Telecom Italia sia per le ADSL Telecom Italia che per quelle di tutti gli altri operatori.
Non fatevi quindi venire l'idea di risolvere cambiando operatore perché, se il problema è di degrado o affollamento, non risolvereste nulla!
Questi sono due possibili motivi: ce ne possono essere altri, magari legati ad altri tipi di interferenze, ma il grosso è per questi due.
Se invece la vostra ADSL è sempre andata male da quando ve l'hanno attivata, oltre ai questi motivi, può anche essere che siate distanti dalla centrale telefonica (basta anche 800/900 metri se i cavi sono vecchi) e quindi il cavo, più di quello, non regga.
Se avete domande al riguardo, dubbi o volere esporre il vostro problema i commenti sono aperti!
Per me che è una passione non è un problema il crearmi una cultura digitale ma non tutti sono appassionati di questi argomenti e non devono essere obbligati ad esserlo.
Che invece si debba creare una cultura digitale per tutti è corretto: si tratta del futuro e non si può scappare.
Leggo un passaggio del Corriere della Sera di ieri che dice:
La ricetta di Pileri è radicale: «Bisogna rendere progressivamente obbligatoria l' erogazione di alcuni servizi via Internet, dandosi precise scadenze temporali: per esempio porsi l' obiettivo di mettere tutte le ricette mediche digitali in rete entro il dicembre del 2012. La stessa cosa si potrebbe fare, in ambito scolastico, rendendo obbligatorie le transazioni con la scuola. Evidentemente è necessario aiutare i soggetti come gli anziani che non sanno usare la rete».
Io non sarei capace di alfabetizzare chi parte praticamente da zero tipo anziani o anche giovani che non hanno dimestichezza con le nuove tecnologie ma credo che ci sia gente in grado di farlo.
L'altro dubbio è la reale penetrazione della banda larga in Italia: ora come ora è scarsa e dubito che si possa pianificare di spegnere dei servizi erogati nel vecchio stile per passarli in digitale senza avere certezze sulla diffusione della banda larga.
Cosa vogliamo fare: obbligare a comunicare con la scuola solo eletronicamente per poi accorgerci che molti genitori si possono connettere ad interent solo con un vetusto modem 56k?
Portiamoli quindi avanti insieme questi due progetti: servizi migrati su internet e diffusione della banda larga.
Magari sarà già stato pianificato proprio così ma non vorrei che poi le due cose, all'atto pratico, le portassero avanti con velocità diverse!
Mi viene da piangere a vedere l'upload: 3Mbit?
Quasi li batte EOLO che deve lottare con la trassmissione su frequenze non licenziate!
Secondo me hanno paura anche perché, con la fibra, non ci sono più motivi tecnici che obblighino a bande asimmetriche.
Al limite c'è la considerazione di carattere generale che il normale uso è circa, in proporzione, 10 di download contro 1 di upload. Al limite quindi avrebbero dovuto offrire una 50/5.
Il vizio del ragionamento sopra è nell'evoluzione: in un futuro, per come stanno andando le cose, si andrà sempre di più verso un uso simmetrico.
Secondo voi è paura come dico io, miopismo o cosa altro?
Proseguo con la mia rubrica con periodicità casuale. Per chi si fosse perso le puntate precedenti in questa rubrica guardo le domande che mi formulate indirettamente cercando con Google e do una risposta.
Difatti:
dd-wrt su vecchio pc
E' un ottima cosa. Un vecchio pc, con una scheda di rete aggiuntiva e la versione X86 di DD-WRT diventa un ottimo router. Occhio ai consumi che un router, tipicamente, sta acceso sempre: togliete tutto quello che non serve e magari riducete clock e volt del processore (sempre se sapete quello che fate)
come adattare un cordless wi fi per skype
Molto difficile. Il problema è che Skype non usa il protocollo standard SIP che è quello che quindi si trova sui cordless (WiFi) VoIP. Recentemente Skype ha annunciato di voler supportare SIP e, da prima, esistono soluzioni di terze parti per poter usare un account Skype via SIP ma non si tratta di soluzioni semplici.
limitare connettività internet
Ci vuole un firewall. Spesso anche i router più semplici ed economici hanno un firewall che implementa anche alcune funzionalità base di limitazione degli accessi ad internet (a determinati pc e/o in determinati orari). Per una regolazione più accurata ci vuole un firewall più potente.
Torno di nuovo con un post con le domande che mi formulate indirettamente cercando con Google.
Questa volta ne tratto una sola visto che richiede una risposta articolata, eccola:
obbligo ultimo miglio telecom
C'è, nel senso che Telecom Italia è obbligata, per legge, a portare la linea telefonica in ogni abitazione italiana. Il costo è a carico vostro e se ci sono difficoltà il costo sale.
Può anche portarvi la linea con una borchia GSM, quindi vi scordate internet. Questo in casi estremi.
Telecom ha anche delle tempistiche da rispettare ma non è nuova a disattenderle: ci sono utenti che aspettano da mesi/anni. (Merlinox ad esempio: qui)
L'altra possibilità, nel caso incappiate nella testardaggine di Telecom Italia, è di trovare un buon fornitore di connettività senza fili (WiMax o Hiperlan2 ma obbligatoriamente con antenna fissa sul tetto per avere la qualità necessaria) e poi usare il VoIP per avere quindi connessione ad internet e telefono fisso.