Vai al contenuto

Categoria: Varie

Pubblicato Lascia un commento per Proposta di legge in UK per bannare le password di default

In UK, ci segnala Bruce Schneier, c'è una proposta di legge per bannare le password di default sui dispositivi IoT.

Si tratta di un interessante passo avanti per migliorare la sicurezza di oggetti connessi ad internet: non necessariamente si tratta di una buona soluzione ma è meglio di niente.

L'ideale sarebbe un sistema per invogliare ad avere password sicure e uniche. Fino ad ora, la soluzione che più mi è piaciuta, che va in questa direzione è quella che ho visto su un router: una password preimpostata composta da un paio di parole e qualche numero. Viene scritta sull'etichetta del router, il fabbricante non la conosce perché è generata a caso in automatico ed è abbastanza facile da ricordare.

In questo campo le soluzioni devo necessariamente essere un compromesso tra facilità d'uso e sicurezza: se sono estremamente sicure quasi sicuramente sono troppo difficili da usare e si rischia che l'utente medio si stufi e cambi la password con 12345. Se sono troppo facili da usare sicuramente la sicurezza è troppo bassa e prima o poi qualcuno entra abusivamente nel tuo dispositivo.

Pubblicato Lascia un commento per Topolino ha il Green Pass: cos’è la chiave privata?

Si parla molto di Green Pass intestati a "persone" improbabili. Quello che preferisco citare è Mickey Mouse: Topolino.

Uno dei metodi per produrre un Green Pass di questo tipo che risulti essere valido ad un controllo è di rubare la chiave privata usata per firmarlo. A questo punto, chi non mastica crittografia ad ogni pasto, si sarà chiesto come funziona questo strano sistema denominato crittografia a chiave pubblica/privata e subito dopo avrà abbandonato l'idea di capirne i dettagli pensando che sia troppo complicato.

Si tratta sicuramente di un sistema complicato ma l'idea alla base è è molto semplice ed è anche affascinante. Nella lunga e complessa pagina di wikipedia dedicata all'argomento, tra le tante informazioni, c'è anche la spiegazione:

Il principio generale della crittografia asimmetrica ha una solida base matematica che lo giustifica; tale base, riassunta e semplificata all'estremo, si fonda sull'uso di un problema complesso, ovvero un'operazione matematica semplice da eseguire, ma difficile da invertire, cioè dal cui risultato è difficile risalire agli argomenti di partenza. L'esempio classico è il problema della fattorizzazione di un numero (trovare i numeri primi che lo producono se moltiplicati tra loro: ad esempio, è facile moltiplicare 17×23 ottenendo 391, ben più difficile è per esempio fattorizzare il numero 377 nei fattori primi 13 e 29) usata nel primo e più famoso sistema crittografico a chiave pubblica: RSA.

Come vedete la spiegazione (semplificata) è di facile comprensione ed è affascinante nella sua semplicità

Pubblicato Lascia un commento per Il nuovo satellite dell’ESA sarà completamente hackerabile da terra

L'ente spaziale europeo ESA ha annunciato che lancerà un satellite che sarà completamente riprogrammabile da terra. Giustamente ci fa notare Bruce Schneier che questo significa hackerabile.

Anche dando per scontato strong encryption e un buon sistema di gestione delle chiavi resta comunque un bersaglio interessante.

Pubblicato Lascia un commento per Vulnerabilità di NFC nei POS e negli ATM

Un ricercatore, Josep Rodriguez, ha scoperto alcune vulnerabilità nel protocollo NFC implementato sia nei POS dei negozi che negli ATM (gli sportelli bancomat per intenderci).

Sommando anche altri bug è stato in grado, per un particolare tipo di ATM, di ottenere soldi (jackpotting ATM). Fortunatamente si tratta di una persona responsabile quindi non ha divulgato i dettagli in attesa che gli interessati tappino le falle

Ricordate: aggiornate sempre tutto quello che è aggiornabile. In particolar modo questo suggerimento è valido per le banche che gestiscono gli ATM e le "macchinette" per i pagamenti POS dei negozi.

(Via Bruce Schneier)

Pubblicato Lascia un commento per Downgrade forzato di OpenSSL con PHP nuovo

Generalmente quando si aggiorna una Linux ci si aspetta un upgrade e non un downgrade come mi è capitato su delle Debian Buster 10.9 (ma discorso analogo anche su delle Ubuntu LTS).

La causa è di una versione di PHP più aggiornata di quella standard della distribuzione che richiede un downgrade di alcuni pacchetti: niente di grave. Lasciategli fare il downgrade e, al amassimo, controllate che fili tutto liscio.

Se invece non avete installato un PHP più aggiornato allora non vi capiterà di vedervi apparire un downgrade.

Pubblicato Lascia un commento per Onore ad Alan Touring, padre dell’informatica: 50 sterline

La banca d'Inghilterra rende omaggio ad Alan Touring dedicandogli la nuova banconota da 50 sterline.

Alan Touring è stato un matematico e crittografo e, con il su lavoro a Bletchley Park durante la seconda guerra mondiale, ha contribuito a ridurne la durata. Come "premio" per tutto quello che ha fatto è stato perseguitato per la sua omosessualità fino a portarlo al suicidio. Ci sono voluti diversi anni prima che L'UK rilasciasse ufficialmente delle scuse (purtroppo, ovviamente, postume).

Molto più significativo delle scuse, doverose, è questo tributo sulla banconota da 50 sterline.

Mi è piaciuto molto quello che il direttore del GCHQ Jeremy Fleming ha dichiarato: ha detto che questo tributo è importante non solo in considerazione del suo genio scientifico ma ne conferma lo status di una delle più iconiche figure LGBT+ del mondo.

Pubblicato Lascia un commento per Syncthing per smartphone e computer: alternativa a Dropbox

Sono ormai alcune settimane che ho iniziato ad usare Syncthing (Open Source) per tenere sincronizzati file e cartelle tra i miei vari computer, server e smartphone e devo dire che come alternativa a Dropbox è veramente interessante.

Il compito che svolge è simile da Dropbox ma ci sono alcune differenze.

Syncthing non ha un server proprio dove custodisce una copia online dei dati come fa Dropbox quindi niente interfaccia web per la gestione dei propri file ma anche niente limiti di spazio. Si può tenere in sincronia tutti i file che si vuole e il limite è dato solo dallo spazio disco dei vostri dispositivi.

La gestione del versioning dei file è decisamente più articolata e flessibile ma come contro, ovviamente, utilizza il vostro spazio disco. Basta avere l'accortezza di attivare un versioning molto esteso solo su un computer con molto spazio storage per aggirare il problema: per esempio su uno smartphone solitamente non è il caso di sprecare spazio.

Il client Android ha il vantaggio di salvare una copia locale così da avere i dati disponibili anche offline ma, di contro, non è possibile selezionare una scheda sd come destinazione

Ci sarebbero svariate altre caratteristiche e informazioni interessanti ma mi sono limitato a citare i principali pro e contro di Syncthing rispetto a Dropbox.

Pubblicato Lascia un commento per Vulnerabilità contigue

Leggo da Bruce Schneier di un talk di Maggie Stone (Google’s Project Zero) sulle vulnerabilità zero day che sono parenti stretti di precedenti vulnerabilità molto simili.

I cattivi dopo aver visto che un loro attacco viene neutralizzato da una patch riescono in breve a scoprire una nuova falla contigua alla precedente e la sfruttano subito. Secondo la Stone questo accade perché le risorse impiegate per risolvere i problemi di sicurezza sono troppo scarse e quindi si limitano a tappare la specifica falla.

In questo modo è facile trovare un buco contiguo al precedente che la patch non copre.

Questa modalità di operare, rincorrendo e riparando i singoli casi, non funziona. Bisognerebbe aggredire la causa principale che porta ad avere tutto quel gruppo di singoli specifici problemi. Si tratta di un investimento iniziale maggiore ma poi non si sarebbe costretti ad inseguire tutti i successivi zero day.

Certo, poi non è che sparirebbero i problemi, ma almeno i cattivi dovrebbero impegnarsi per scoprire una nuova classe di vulnerabilità e i buoni una nuova soluzione per correggere il problema: insomma, la solita caccia del gatto al topo ma sicuramente la sicurezza complessivamente ne gioverebbe.

Image credit Blue Solution Blog

Pubblicato Lascia un commento per Cinque gradi in meno di temperatura passando da Debian Stretch a Buster

Quello che vedete sopra è il grafico del monitoraggio della temperatura della scheda madre di un pc portatile (adibito a "server" casalingo) prima, durante e dopo l'upgrade dalla versione Stretch di Debian alla versione Buster.

Si tratta di circa 5 gradi in meno e, per un vecchio portatile (che era rimasto spento alcuni anni), avere una motherboard più fresca è un ottimo sistema per farlo durare ancora alcuni anni.

Ricordatevi di tenere aggiornate le vostre macchine GNU/Linux based: tra i vari vantaggi potreste anche aggiungere, come è capitato a me, una migliorata efficienza energetica.

Pubblicato Lascia un commento per Un errore di Zodiac ha creato una cifratura che ha retto per 50 anni

Dopo 50 anni il messaggio "cifrato 340" (chiamato così perché è lungo 340 caratteri) è stato decifrato.

In un intervista ad uno dei ricercatori scopriamo che in realtà il killer dello zodiaco aveva commesso un errore durate la cifratura e, questo errore, ha reso così difficile la decifrazione che ci sono voluti 50 anni.

Una parte del meccanismo di cifratura prevedeva di scrivere una lettera, scendere di una riga e spostarsi di due colonne, scrivere la lettera successiva. Ad un certo punto della cifratura ha commesso un errore: invece di andare avanti di due colonne si è spostato solo di una.

Lo scopo di questo meccanismo di cifratura differente rispetto a quello del precedente messaggio era di renderlo più difficile. Il ricercatore spiega che secondo lui l'errore è stato involontario, se se ne sia accorto o meno comunque non l'ha corretto pensando che una complicazione in più avrebbe reso il lavoro di decifrazione più complesso (ma non immaginando quanto). Il motivo è che il messaggio conteneva informazioni che Zodiac voleva che si sapessero (non era lui che aveva chiamato in TV) e non avrebbe avuto senso rendere la cifratura così forte da volerci 50 anni per risolverla.

Via Bruce Schneier

Pubblicato Lascia un commento per Alt-Tab per cambiare applicazione in Ubuntu
Ubuntu 20.04 Focal Fossa

Per cambiare focus da un applicazione aperta ad un altra ho sempre usato Alt-Tab ma con l'upgrade da Ubuntu 18.04 LTS a 20.04 LTS questa scorciatoia da tastiera ha smesso di funzionare.

Al suo posto la nuova scorciatoia è Super-Tab ma questo comportamento è configurabile.

Basta aprire Impostazioni, Scorciatoie da tastiera e l'impostazione è "Evidenzia le applicazioni": cliccando sopra l'attuale scorciatoia è possibile cambiarla rimettendo il buon vecchio Alt-Tab

Pubblicato Lascia un commento per La scienza è importante ed è bella
Esperimento di Cavendish via Wikipedia

La scienza è importante e vedere che c'è chi come Paolo Attivissimo fa di tutto per aiutarci a capirlo mette buon umore.

Se siete curiosi di leggere una bella storia sulla scienza che ha anche la morale di farci capire che è alla portata di tutti capire il suo metodo, apprezzarlo e rimanere meravigliati da quanto sia bello allora dovete leggere la storia dell'uomo che ha pesato il mondo.

Pubblicato Lascia un commento per Privacy contro sorveglianza al tempo del COVID-19
Videocamera di sorveglianza via Pixabay

Sono in atto norme drastiche sugli spostamenti delle persone, praticamente in tutto il mondo, per contenere il contagio da Coronavirus COVID-19. A supporto di queste norme, che condivido, cresce la richiesta di sorveglianza straordinaria per farle meglio rispettare.

Anche su questo sono d'accordo perché la situazione è seria e bisogna adoperarsi per evitare che peggiori ulteriormente: la privacy può essere ridimensionata.

Come però fa notare il buon Bruce bisogna assicurarsi che queste restrizioni alla privacy vengano cancellate riportando tutto alla normalità una volta che la pandemia sarà finita. L'obbiettivo è, non solo di cancellare le eccezioni alle norme sulla privacy, ma di eliminare anche i dati raccolti in modo che non vengano usati successivamente per altri scopi sia da enti governativi che privati: a pandemia finita tutto dovrà essere cancellato.

Bruce Schneier non ci crede, io neppure: voi?

Pubblicato Lascia un commento per fail2ban per aggiungere protezioni ad Apache

Se già usate fail2ban per proteggere l'accesso ssh e avete anche un web server Apache installato è una buona idea aggiungere alcuni protezioni che fail2ban è in grado di offrire per apache.

Ci sono già diversi moduli pronti che possono essere attivati con poco sforzo. Basta aggiungere un file .conf in /etc/fail2ban/jail.d con la parte di configurazione che modifica quella standard. Per esempio per aggiungere la protezione all'autenticazione di Apache il codice è

[apache-auth]

enabled = true
port = http,https
logpath = /var/log/apache2/error.log
maxretry = 3
findtime = 600

Ci sono anche altri moduli interessanti: apache-overflows apache-badbots php-url-fopen: qui trovate qualche dettaglio in più oppure direttamente sul wiki di fail2ban.

Pubblicato Lascia un commento per Riuso delle batterie delle auto
Disegno su un possibile scenario futuro

Un lungo ed interessante articolo su Vaielettrico tratta, tramite un intervista, un possibile scenario futuro ad ampio spettro sia sulla mobilità sostenibile (elettrica e idrogeno) che sul uso e riuso delle batterie delle auto e molto altro.

Questo secondo punto mi ha colpito per la semplicità della spiegazione. Migliorando il controllo sulla qualità delle celle delle batterie delle automobili si potrà arrivare ad identificare il momento giusto per smettere di usarle sull'auto (un applicazione molto usurante) prima che si degradino significativamente e iniziare la fase di riuso come accumulatori temporanei ad esempio per i pannelli fotovoltaici. Questo secondo uso è molto meno stressante per la batteria: se per un automobile era quasi a fine vita per questo utilizzo invece ha ancora parecchi anni di utilizzo. Cito la frase dell'intervistato (il professor Andrea Casalegno del dipartimento dell'Energia del Politecnico di Milano) che mi è piaciuta: perché rovinarla del tutto, se può funzionare egregiamente ancora a lungo con un servizio meno gravoso, conservando un suo valore economico?

Allungando al massimo il ciclo di vita prima del riciclo con recupero dei metalli rari si migliora notevolmente l'impatto ecologico.

Pubblicato Lascia un commento per Abbandonare Google?

Voi sareste pronti ad abbandonare Google come ha fatto il Quinta?

Io, francamente, non ancora anche se è da tempo che ci sto pensando.

Probabilmente potrei iniziare a sostituire qualcuno dei servizi che uso con delle alternative che Stefano Quintarelli segnala. Magari partendo da allwaysync.

Pubblicato Lascia un commento per Le auto elettriche fanno paura: a chi?
Tesla Model 3 (auto elettrica su wikipedia)

Ho notato che per radio passano spesso pubblicità di automobili e questa non è una novità: spesso la radio è ascoltata mentre si guida l'auto ed è quindi un buon mezzo per trasmettere pubblicità proprio di automobili.

Quello che invece mi ha colpito è che non solo si tratta di pubblicità di automobili benzina o addirittura diesel (qualche raro accenno a gpl/metano) ma addirittura quando si tratta di auto ibride ho sentito citare come un pregio il fatto di non essere ricaricabili.

Con le normative europee sempre più restrittive tutte le case produttrici hanno almeno piani a breve per veicoli elettrici e quasi tutte hanno già in vendita veicoli elettrici. Non solo: in molte hanno già annunciato che smetteranno di produrre auto con motori tradizionali a combustione.

Come mai le pubblicità sono ancora monopolio totale di auto a combustione destinate a scomparire? Voglio pensare bene: sarà perché devono comunque smaltire il parco auto vecchio e perché le elettriche, oltre a non essere ancora alternative valide per tutti i tipi di usi e per tutti, permettono guadagni minori alle case automobilistiche?

Pubblicato Lascia un commento per Le backdoor di stato diminuiscono la sicurezza

Il procuratore generale William Barr ha tenuto un discorso sulla cifratura dove il punto più importante, secondo Bruce Schneier e anche secondo me, è che finalmente c'è l'ammissione che introdurre delle backdoor per garantire l'accesso alle forze dell'ordine diminuisce la sicurezza.

Barr rimane convinto che ne valga la pena ma non è questo il punto: fino ad ora era sempre stato detto che le backdoor di stato si sarebbero potute aggiungere senza diminuire la sicurezza.

Ora finalmente si può iniziare un dibattito politico serio. Aggiungere le backdoor permette alle forze dell'ordine di intercettare i cattivi ma, diminuendo il livello di sicurezza, permette anche ai cattivi di sorvegliare noi.

Quello che il procuratore Barr dice è che si tratta di "cybersecurity di consumo" e non "codici di lancio nucleari": è vero ma non dimentichiamo che le persone che usano questa famosa "cybersecurity di consumo" sono anche legislatori, amministratori delegati, le stesse forze dell'ordine per non parlare del personale addetto alle centrali nucleari o ai codici di lancio giusto per fare un esempio. Argomentare poi che queste persone posso essere dotate di strumenti di comunicazione sicuri (senza le backdoor) è un esercizio che si ritorce contro a chi lo propone visto che, a questo punto, anche i criminali possono usarle strumenti senza backdoor quindi torneremmo tutti al punto di partenza avendo solamente peggiorando la sicurezza generale.

C'è veramente da sperare che finalmente ora il dibattito possa spostarsi dal precedente "finta sicurezza" vs privacy al reale dibattito sicurezza vs sicurezza e, secondo Bruce Schneier la sicurezza complessiva è molto più importante dell'esigenza delle forze dell'ordine di intercettare e va difesa anche a costo di rinunciare all'accesso tramite backdoor delle forze dell'ordine. Questo, tra i vari motivi, perché tutti questi strumenti di comunicazione proteggono anche i codici di lancio delle armi nucleari citati dal procuratore Barr.

Image credit TorrentFreak

Pubblicato Lascia un commento per Modificare a mano i file RRD dei grafici

Per effettuare piccole modifiche manuali al file RRD dei grafici la via più breve è di esportare il file in xml, modificarlo e poi convertirlo nuovamente in rrd e sostituirlo a quello originale.

I tool indicati nei link sono quelli originali di RRDtool.

Questo tipo di operazione è utile, ad esempio, se nei dati che generano il grafico è stato registrato un picco (che magari non era neppure reale) che rovina l'aspetto del grafico sballando la scala: sostituendo a mano i valori del picco con numeri più consoni si risolve in maniera molto rapida.

Pubblicato Lascia un commento per Cybersicurezza per l’interesse pubblico

Un interessante articolo di Bruce Schneier sull'eterna battaglia tra esperti di sicurezza informatica e politici: entrambi sono conviti di essere nel giusto e quello che Bruce Schneier propone è una nuova figura che racchiuda sia le competenze tecniche di un esperto di cybersecurity che la cognizione di causa sugli interessi pubblici di un politico.

Una figura rara ma non inesistente.

Image credit TorrentFreak