Google Titan Security Key

Google Titan Security Key

SICUREZZA SICUREZZA SICUREZZA…….

La parola piu’ utilizzata e letta su ogni articolo, anche non a carattere tecnico, che si intenda la sicurezza nelle citta’, oppure quella sui social media, ma ancor di piu’ il peso di questa parola lo si nota attorno a tutto cio che gravita’ sui nostri device, sia quelli personali, sia quelli che utilizziamo quotidianamente in ufficio.

Questo perche’ oggi la SICUREZZA colpisce/interessa tutti in ogni istante della nostra vita. Ogni giorno usiamo , centinaia di volte al giorno, device tecnologici di ogni tipo (SmartTV, SmartPhone, IoT, Router, AccessPoint….) e per ognuno di questi, teoricamente, dovremmo poter essere in grado di sapere cosa e come fare per proteggere i nostri dati e la nostra identita’ tecnologica, che sempre di piu’ rappresentera’ noi stessi, chi siamo, cosa facciamo, come lo facciamo…….

Ma nella realta’ chi di noi ha veramente le conoscenze ed il desiderio di doversi occupare quotidianamente della propria sicurezza; la maggior parte di noi stenta a ricordarsi di cambiare la password dell’account di posta oppure dell’utenza per l’home banking etc……, tutto questo perche’ preferiamo pensare che non saremo certo noi a diventare vittime di un qualsiasi hacker che sicuramente ha altri interessi piu’ importanti. Purtroppo non e’ cosi, oggi giorno siamo tutti collegati e la singola persona, il dipendente “qualunque”, potrebbe essere l’anello debole della catena che permette all’hacker di entrare nell’infrastruttura che vuole colpire e da li, piano piano scalare fino ad avere cio che gli serve…..

Il discorso e’ troppo lungo, ed e’ gia stato trattato in altri articoli, nella sezione (manco a dirlo) ūüėČ “sicurezza” di questo blog ed altri arriveranno. Fatto sta che per poter aumentare (garantire e’ una parola che non esiste, nulla e’ sicuro al 100%) il nostro livello di sicurezza possiamo per lo meno attivare, li dove ci e’ possibile, quelle funzioni denominate¬†accesso a due fattori, sui nostri account di posta, sul nostro profilo FB …etc….

L’accesso a due fattori (2FA) esiste gia da un po’ di tempo ed √® considerato uno dei metodi pi√Ļ sicuri per proteggere i propri dati online da eventuali malintenzionati. Tuttavia, neanche questo sistema pu√≤ considerarsi impenetrabile ed anch’esso si evolve, da una prima modalita’ tramite invio di codice SMS, sino alla sua versione migliore tramite l’uso di Security Key, tra le piu’ usate ad esempio la Yubico

Anche questa tecnologia deve comunque tenersi sempre aggiornata, ed e’ notizia di questi ultimi giorni che anche Big G ha creato una Security Key dal nome “Titan Security Key“, in pratica e’ stata annunciata come una chiavetta per autenticarsi con la massima sicurezza ed a prova di phishing (ad oggi una delle vulnerabilita’ peggiori sul web).

In soldoni, la Titan Security Key, che inizialmente era disponibile solo per i clienti Cloud americani, oggi e’ in vendita sul Google Store per chiunque la volesse acquistare.
E’ un dispositivo di sicurezza utilizzato per gli account che sfruttano il doppio fattore di autenticazione, che permette di autenticare gli accessi tramite Bluetooth o USB.

Il dispositivo funziona con i browser pi√Ļ diffusi (incluso chiaramente Chrome) e pu√≤ essere sfruttato all’interno di un crescente ecosistema di servizi che supportano lo standard FIDO, uno standard di autenticazione compatibile con numerose app e browser (gli account Google supportano le chiavi di sicurezza e altri accessi FIDO gia dal 2014),¬†di conseguenza, il dispositivo pu√≤ essere utilizzato anche per accedere a servizi diversi da Google (Facebook, Twitter, Dropbox, Gmail….. e molti altri ), anche se questi potrebbero non essere in grado, in questo momento, di usufruire appieno del firmware speciale sviluppato da Google ed inserito nelle Titan Security Key.

Come accennato prima, esistono due versioni della Titan Security Key di Google: una √® USB mentre l‚Äôaltra e’ dotata di connettivit√† Bluetooth.
In entrambi i casi la chiavetta andra’ accoppiata con i propri account seguendo le indicazioni fornite da Google all‚Äôinterno della confezione.

La versione USB, dunque la chiavetta fisica in se, è di piccole dimensioni, mentre la seconda versione, altrettanto piccola, essendo basata su tecnologia Bluetooth, a differenza della precedente non richiede l’inserimento fisico nel dispositivo (PC/Mac), ma è sufficiente la pressione del pulsante, presente su una delle facce, ed un accoppiamento via/Bluetooth per poter inviare i token di accesso/login nel momento desiderato.
La funzionalità del Token di sicurezza è la medesima della versione USB e, nella confezione è fornito un cavetto USB utile per la configurazione iniziale.

Ad oggi, dalle stime di Google soltanto il 10%¬†degli account¬†Google¬†hanno attivato il sistema di autenticazione a due fattori sui relativi device. Una percentuale davvero bassa e sicuramente molte persone non gradiranno dover pagare un’oggetto per aumentare la loro sicurezza, poiche’ ci si aspetta che essa debba essere garantita e gratuita.

Molti ancora non vorranno doversi portare (seppur davvero piccolo e leggero) dietro l’ennesimo device/oggetto; ma al momento e’ un piccolo prezzo da pagare nella fase di adeguamento che subira’ Internet come lo conosciamo oggi, poiche’ quando nacque alla fine degli anni 60 (parlando di ARPANET) i protocolli creati all’inizio e che ancora sostengono il core dell’infrastruttura che chiamiamo Internet non erano pensati per i livelli di sicurezza richiesti oggi.

Concludo aggiungendo che per coloro che usano molti dei servizi offerti da Google per il proprio lavoro professionale, i¬†token di sicurezza Titan sono compatibili con il Programma di protezione avanzata, il pi√Ļ potente strumento per la sicurezza offerto da Google per preservare gli Account Google (come giornalisti, attivisti, dirigenti aziendali e team di campagne elettorali) dal rischio di attacchi mirati.

Vault 7 – il Cyber arsenale della CIA

vault7-cyber arsenale

vault 7-cyber arsenale CIA

Aprile/Maggio 2017 – Wikileaks (per quei pochi che ancora non sapessero cosa fa¬†clicca qui) rilascia una sfilza di nuovi documenti provenienti dagli archivi dell’intelligence Americana (CIA).

Il team di Wikileaks ha quindi risvegliato nuovamente l’interesse pubblico sulle azioni “nascoste” (ormai sappiamo tutti di essere sempre spiati) dell’intelligence USA, questi nuovi documenti sono un primo estratto di un ben piu’ vasto archivio di documenti, contenente strumenti e procedure CIA, che coprono almeno 3 anni di attivita’ nel periodo 2013-2016.

Al suo interno sono riportati molte procedure/attivita’ segrete quali:

  • chiavi di accesso (backdoor) a molti sistemi informatici
  • sistemi per aggirare molti protocolli di rete ritenuti sicuri
  • moltissimi exploit per eludere antivirus (aziendali e privati)

Vault 7¬†(wikileaks-link)¬†, cosi’ si chiama questa prima porzione di documenti rilasciata, che contiene oltre 7.800 pagine e 943 allegati che coprono il periodo 2013-2016. I documenti sono stati redatti, prima di essere pubblicati (quasi una novita’ x Wikileaks) , cosi da preservare eventuali dati che potrebbero mettere nei guai i contractor o gli hacker che erano o sono ancora a contratto con la CIA.

RIASSUMENDO
Quello che si apprende da Vault 7 spiega in pratica che la CIA possiede strumenti per violare smartphone Android e IOS, puo’ effettuare la decifratura delle conversazioni protette dai protocolli di tutti i sistemi di messenger (Telegram e Whatsapp inclusi), ed e’ in grado di ascoltare le conversazioni che vengono svolte, ad esempio, davanti ad una Smart-TV equipaggiata di microfono, e molto altro ancora che riguarda i device che usiamo quotidianamente e su cui riversiamo ogni tipo di dato riguardante le nostre vite personali e professionali.

Conclusioni
Oggi giorno e’ praticamente impossibile fare a meno delle innumerevoli, ottime e comode tecnologie che ci circondano e sempre piu’ ci affiancheranno nella nostra vita a 360 gradi; l’importante e’ continuare ad imparare, essere sempre curiosi di sapere come funziona una certa tecnologia, cosa puo’ fare e come possiamo essere noi a controllarla e non il contrario. Aggiornare sempre le versioni dei nostri sistemi ed ogni tanto, quando possibile rimanere un po’ anche offline, non puo’ far male a nessuno.

“don’t be evil”

Nuovo Raspberry Pi Zero a 11$ con Wifi e Bluetooth

Raspberry Pi Zero W

Raspberry Pi Zero W

Lo scorso mese di Febbraio, in occasione del quinto compleanno del progetto Raspberry Pi il team del progetto ha deciso di presentare al suo pubblico un nuovo membro della famiglia, il Raspberry Pi Zero W.

Come forse √® intuibile dal nome, si tratta di una variante dell’originale Raspberry Pi Zero alla quale √® stato aggiunto un modulo WIFI ed il Bluetooth.

Il team ha dunque creato quella che possiamo considerare a tutti gli effetti come un’evoluzione naturale del Raspberry Pi Zero, che sin dal suo lancio nel corso del 2015, ha rappresentato l’alternativa low-cost perfetta per coloro che volevano sviluppare progetti di domotica o di IoT. Tuttavia l’evoluzione del mercato ha richiesto l’inclusione di un modulo di connettivit√† wireless che ormai rappresenta una feature essenziale per molti sviluppatori, malgrado esso incrementi leggermente i consumi energetici.

Con il Raspberry Pi Zero W è possibile sviluppare piccoli box di retrogaming che possono essere aggiornati tramite WIFI e controllati con un device Bluetooth. Nello stesso modo è possibile collegare Raspberry Pi Zero W ad un termostato per monitorare i consumi e controllare il riscaldamento da un altro edificio. Indipendentemente dalla natura del progetto a cui si sta lavorando, la connessione wireless è quindi diventata una funzionalità chiave.

Raspberry Pi Zero W utilizza il medesimo chip wireless (nello specifico il Cypress CYW43438) del Raspberry Pi 3 Model B, cosi da offrire il supporto al WIFI 802.11n e al Bluetooth 4.0. Il team ha inoltre collaborato con Kinneir Dufort e T-Zero in modo da offrire già al momento del lancio dei case originali per la nuova arrivata.

Per questo nuovo lancio e’ stata anche pianificata al meglio la distribuzione e sono stati aggiunti nuovi reseller online in modo da evitare di terminare le scorte in magazzino come successe nel 2015 per il lancio del Raspberry Pi Zero.
Il prezzo del Raspberry Pi Zero W √® di 11 euro (escluse le spese di spedizione o l’acquisto di uno dei box) e in Italia √® gi√† possibile ordinarlo tramite lo store Kubii.

Scopri chi ti chiama – Stop anonimato

Whooming AntiStalker

Whooming Servizio AntiStalker

Oggi giorno gli episodi di stalking stanno diventando quasi una quotidianita’, ma e‚Äô possibile risalire alla persona che ci fa una chiamata anonima e ci disturba continuamente?
Proviamo a fare un po’ di chiarezza. ¬†Le chiamate anonime sono cos√¨ definite perch√©, per l‚Äôappunto, non viene mostrato il numero di chi ci sta chiamando.

Per fortuna scoprire il numero di una chiamata anonima, oggi, non √® piu’ una cosa impossibile, anzi, grazie ad alcuni servizi disponibili gratuitamente in Rete √® diventato piuttosto semplice, ma bisogna fare degli opportune¬†differenze.

Quando e se le chiamate anonime sono utilizzate per disturbarci in maniera insistente o addirittura per minacciarci, il consiglio è ovviamente quello di andare immediatamente a denunciare alle autorità competenti (magari dopo aver registrato le conversazioni e aver appuntato l’orario in cui sono state ricevute), mentre per i casi isolati, quelli non troppo seri, è possibile affidarsi ai servizi che stiamo per descrivervi.

Whooming è un servizio tutto italiano che permette di svelare il numero di chi chiama nascondendo il proprio numero. Questo servizio funziona sia per le utenze di linea fissa sia per i cellulari usando la tecnica dell’inoltro di chiamata: in sostanza la telefonata viene dirottata verso Whooming, che ne identifica l’autore.

Il servizio e’ utilizzabile gratuitamente ma, in questo caso, i numeri di chi effettua le telefonate anonime verranno mostrati soltanto 24 ore dopo l‚Äôavvenuta chiamata. Se si vogliono risultati istantanei occorrera’ acquistare una ricarica online dal valore di almeno 10¬†‚ā¨.

Se sei interessato, puoi attivare Whooming sul tuo cellulare o sul tuo telefono di casa semplicemente collegandoti alla pagina iniziale del servizio e creando un account, Registrandovi con il vostro indirizzo email oppure premendo sul bottone di Facebook e autenticavi tramite il vostro profilo social.

Una volta terminata la procedura di registrazione ed effettuato l’accesso seguite la procedura di configurazione guidata che vi verra’ proposta.

Ci vorr√† poco per configurare il tutto, del resto non dovrete far altro che fornire il vostro numero di cellulare, indicare la nazione di appartenenza del vostro operatore telefonico etc…..

Dopo aver fornito tutte le informazioni richieste, dovrete attivare la deviazione delle chiamate verso il numero di Whooming dal vostro telefono e verificare che tutto funzioni a dovere chiamandovi dal vostro stesso numero o telefonandovi da un’altra linea e rifiutando poi la chiamata.

Per attivare la deviazione delle chiamate dovrete¬†digitare alcuni codici che sono spiegati all’interno del portale di Whooming.

Dopo aver configurato Whooming sul vostro telefonino, potrete scoprire il numero di una chiamata anonima semplicemente rifiutando la telefonata e collegandovi al sito Internet del servizio, nella sezione Elenco chiamate, oppure scaricando l’applicazione di Whooming per Android.

Fra i servizi a pagamento di Whooming ci sono anche “Parla con lo stalker” che svela in tempo reale il numero di chi chiama con l‚Äôanonimo senza che il mittente della telefonata si accorga di nulla e Registra la chiamata con lo stalker che registra le conversazioni permettendo di scaricarle sul computer.

Attivando questa funzionalit√† si inganner√† lo stalker che sentir√† il telefono della vittima libero quando in realt√† Whooming ne ha gi√† rintracciato il numero (ed il nome se presente in Rubrica) e sta richiamando l’utente con il numero in chiaro dello stalker.

Quest‚Äôultima funzione pu√≤ tornare utile nei casi seri, quelli in cui si subiscono minacce o attivit√† di stalking telefonico vero e proprio. Come accennato¬†prima, per√≤, nelle situazioni pi√Ļ delicate √® bene rivolgersi alle autorit√†.

Altra novit√† di rilievo √® “protezione Facebook” un semplice messaggio che pubblicheremo sulla nostra bacheca finalizzato a scoraggiare gli stalker o eventuali persone pronte a infastidirci.

Whooming offre fondamentalmente due tipi di servizio: uno free che permette semplicemente di svelare il numero del mittente anonimo e consultare gli altri che ci hanno chiamato e uno premium che ci permette di aver il numero di chi ci chiama via SMS (20 centesimi), parlare con questo (20 cent/minuto) e registrare la chiamata (10 cent/minuto). Insomma ottimo il servizio gratuito e ancora meglio i servizi a pagamento, utili per combattere lo stalking.

Rintraccia il tuo Android

Rintracciare il proprio Smartphone Android

Rintracciare il proprio Smartphone Android

N.B.: spiare le attivit√† di altre persone √® un reato punibile dalla legge. Questo breve tutorial √® stato scritto a puro scopo illustrativo e con l’unica finalita’ di spiegare come rintracciare il “proprio” cellulare a seguito di un furto, dunque io non mi assumo alcuna responsabilit√† circa l‚Äôuso, potenzialmente improprio, che potresti fare delle indicazioni presenti in esso.

PREMSESSA
Vorresti ‚Äúrintracciare‚ÄĚ il tuo stesso cellulare per poterlo comandare da remoto in caso di furto o smarrimento?

I)
Allora ti consiglio di provare Cerberus, un’applicazione antifurto robusta e affidabile che permette di monitorare qualsiasi smartphone Android da remoto e comandarlo via Web o via SMS (esclusivamente in quei casi in cui la connessione Internet non fosse disponibile). Costa 4,99 euro ma è disponibile in una versione di prova gratuita che consente di provarla per 7 giorni.

Per scaricare Cerberus sul tuo telefono, cercalo direttamente sul Play Store ed installalo. Dopodich√© avvia l‚Äôapplicazione, premi sul pulsante per creare¬†un account Cerberus e compila il modulo che ti verra’ proposto inserendo¬†tutti i dati¬†richiesti.

Ad operazione effettuata, premi su Abilita amministratore dispositivo e Concedi permesso Superuser (solo se hai un terminale sbloccato tramite root) per consentire a Cerberus di prendere il controllo del telefono. Scegli quali funzioni di monitoraggio attivare dal menu configurazione principale ed il gioco è fatto.

Da questo momento in poi potrai monitorare il tuo stesso smartphone collegandoti al sito Internet di Cerberus oppure scaricando il client del servizio  su un altro terminale Android.

Il pannello di amministrazione di Cerberus √® estremamente intuitivo, tra le funzionalita’ a cui avrai accesso ci saranno, ad esempio, la visualizzazione con relativa posizione geografica del tuo smartphone (in tempo reale o all‚Äôultima localizzazione effettuata, grazie alla cronologia degli spostamenti memorizzata automaticamente dalla App), oppure¬†potrai impostare la riattivazione automatica del GPS in caso di disattivazione (richiede lo sblocco utenza root) e potrai comandare la fotocamera per realizzare foto e video che ritraggono l‚Äôambiente circostante, cosi da poter capire esattamente dove si trova il device o scoprire, ad esempio, l‚Äôidentit√† della persona che ti ha sottratto il telefono.

Inoltre con Cerberus si potra’ registrare l‚Äôaudio dal microfono dello smartphone, visualizzare un messaggio di avviso personalizzato sullo schermo di quest‚Äôultimo e molto altro ancora. Insomma provatelo e non ve ne pentirete !!

II)
Un’altra ottima applicazione con la quale potrete rintracciare un¬†cellulare Android per finalit√† di antifurto √® Lost Android, che inoltre √® completamente gratuito.
Una volta installata, questa App permette di comandare lo smartphone da remoto tramite Web o tramite SMS per accedere a una vasta gamma di funzioni. Come di consueto per App di questo tipo e livello, per poterne sfruttare appieno le potenzialità, raccomandiamo vivamente di impostarla come Device Administator, così facendo, sarà possibile usufruire completamente di funzioni avanzate quali:

  • localizzazione del terminale da remoto;
  • attivazione e disattivazione di Wi-Fi e GPS;
  • far suonare l‚Äôallarme;
  • visualizzare, durante il boot, sul lockscreen o come semplice popup, un messaggio di avviso;
  • rintracciare il ladro¬†monitorando l‚Äôinserimento di una nuova SIM da parte del malintenzionato,
  • dirottare i servizi di controllo remoto tramite SMS,¬†visualizzando un messaggio di errore sul display che, alla pressione del pulsante OK, scatter√† una foto con la fotocamera frontale, per cercare di catturare l‚Äôidentit√† del malintenzionato;
  • recuperare la lista di chiamate e SMS effettuati
  • blocco del device tramite PIN;
  • formattazione della scheda sd;
  • wipe della memoria interna del device, altrimenti detto ripristino alle impostazioni di fabbrica, con cancellazione di dati, account, password, app installate, e cos√¨ via….

 

Ricordo in fine che installazioni di App specifiche a parte, e’ comunque possibile localizzare e comandare da remoto il proprio¬†smartphone anche con l’utilizzo di¬†Gestione Dispositivi Android,¬†il servizio antifurto di Google fornito gratuitamente con tutti i dispositivi Android.