Chinese Big Brother

Chinese Big Brother

Chinese Big Brother, non stiamo parlando della versione Cinese del format TV del Grande Fratello, ma bensi del prossimo futuro che, in Cina, e’ gia semplicemente il Presente.

Cerchiamo di spiegarci meglio, tutti ormai siamo a conoscenza del “grande firewall” che protegge la nazione, cosi come ai suo tempi faceva la Grande Muraglia, oggi per il governo cinese i pericoli non arrivano piu’ dalle steppe Mongole ma dai pericoli di Internet, ma la gestione di una societa’ cosi complessa che comprende circa 1,5 Mld di persone (circa un quinto della popolazione mondiale) non e’ sicuramente semplice. Fatto sta che le liberta’ individuali sono sempre piu’ messe in disparte per quello che dovrebbe essere “il bene comune”.

A fronte di questo diktat la Cina ha gia da tempo implementato un sistema di sorveglianza globale, che si estende su tutte le sue citta’ principali che fa quasi rabbrividire.

Nella pratica, ogni singola persona e’ controllata, monitorata e seguita da migliaia di telecamere, che non lasciano scoperto nessun angolo della citta’; questo potreste giustamente dire, esiste anche in altre citta’ occidentali, da Londra ad altre citta’ americane, quello in cui i cinesi sono andati gia oltre e’ che, all’osservazione dei propri cittadini e’ stato aggiunto un sistema di RATING, ossia una sorta di punteggio/giudizio sulla civilta’ del singolo cittadino, sulla base del quale verranno EROGATI o PROIBITI determinati servizi.

Facciamo un esempio:

  1.  Compri troppi alcolici/birre !? non ti sara’ permesso di concorrere per certe cariche di responsabilita’ al lavorative o in politica;
  2. Vieni sorpreso senza biglietto su un mezzo pubblico !? Lo stato ti vietera’ di poter comprare i biglietti per la metro, il treno…etc e la tua foto campeggera’ su di un mega schermo all’entrata ed all’interno delle fermate;
  3. Salti il pagamento di una rata !? Lo stato ti precludera’ di poter avere finanziamenti o di usare carte di credito etc;

Insomma la vita di ogni persona viene passata al setaccio e “giudicata” attraverso ogni singolo istante di registrazione, nessuno sbaglio sara’ accettato o compreso, e la vita quotidiana si trasforma cosi in una sorta di accumulo di punti, in positivo o in negativo.

Un’ incubo del genere viene ben descritto nell’episodio Nosedive, della serie TV Black Mirror , ma pensare che da qualche parte nel mondo tutto cio sia la realta’, sconvolge.

Chi stesse pensando che almeno i personaggi famosi (i VIP) possono scamparla, si sbagliano, un’ esempio su tutti e’ quello capitato alla famosa imprenditrice cinese Dong Mingzhu  , la quale e’ stata messa alla gogna mediatica, ed additata pubblicamente sui cartelloni interattivi della citta’ di Zhejiang , alla stregua di un delinquente. Il suo errore? Aveva attraversato la strada, fuori dalle strisce pedonali.

La cosa “buffa” fu scoprire successivamente, che la donna neppure si trovava in quella zona della citta’, ma un’ errore di riconoscimento delle telecamere, che avevano inquadrato il viso della donna che compariva sul cartello pubblicitario di un Bus ha fatto scattare la sanzione. Ovviamente questo errore fa subito capire quanto delicato sia un sistema del genere e se tutto cio ci sta spingendo verso qualcosa di ancora piu’ estremo come il “sistema di precognizione” del crimine mostrato nel film Minority Report del 2002.

5G vantaggi e pericoli

Mobile internet and hacking concept with 5G

E’ ormai un’argomento caldo quello del 5G, e quasi sicuramente, nell’immaginario collettivo si tratta di un’ altro potenziamento per la rete mobile che ci dovrebbe permettere di scaricare video, documenti e musica più velocemente sui nuovi smartphone.

Ma se così non fosse???.

Ad un’analisi piu’ attenta dobbiamo meglio specificare che il 5G non serve realmente agli smartphone. Certo, verrà usata anche come infrastruttura per la comunicazione mobile al posto del 3G e in parte del 4G, ma il vero punto della questione è altrove. La forza di questa nuova implementazione avra’ altre caratteristiche in quanto, mentre il 3G e il 4G sono le tecnologie che ci hanno portato Internet sui nostri smartphone, creando per la prima volta una connessione tra gli uomini e la Rete, in qualsiasi momento H24, il 5G è pensato invece per connettere le macchine ad Internet.

Con l’avvento del 5G, la rete mobile avrà la potenza per gestire milioni di piccoli dispositivi (IoT),  sempre connessi,  che genereranno una ulteriore mole di dati che andranno anch’essi trasferiti a centrali di analisi nel cloud. Non è un caso che le sperimentazioni attualmente in progetto siano proprio improntati nel rendere hi-tech le attività industriali molto complesse.

Ma le grandi promesse dell’avvento del 5G sono accompagnate anche da grandi sfide. La piu’ grande tra le promesse fatte dal 5G e’ quella di poter rendere tutto super-connesso, aumentando le prestazioni, i rendimenti ed il controllo; tutto bello ed interessante ma esponenzialmente piu’ pericoloso dal punto di vista di possibili attacchi hacking.

Attacchi, fraudolenti, compiuti tramite “malware” o “ransomware” di ogni tipologia ormai non si contano e riempiono le pagine delle cronache di citta’ di tutto il mondo, si va da intere amministrazioni cittadine bloccate con richiesta di riscatto, porti o aeroporti, ospedali etc…. tutti fatti accaduti negli ultimi due anni in citta’ importanti americane come europee ed i danni sono incalcolabili, sia per gli affari che per la sicurezza delle persone.

Immaginatevi un’ ospedale bloccato, con strumentazioni per esami clinici di ogni tipo fermi e, cartelle cliniche impossibili da aprire perche’ digitali e quindi crittografate del ransomware, etc… etc…., peggio di un film di Hitchcock.

Tutto questo perche’ mettere online tutte le funzioni chiave di una struttura significa dover trovare un modo per proteggerle sia da chi vuole prenderne il controllo, sia da chi vuole semplicemente bloccarle.

Vi ricordate quel caso del pilota della Germanwings che fece schiantare l’aereo? Dopo quel tragico evento qualcuno ipotizzo’ di mettere su ogni aereo un sistema di controllo da terra che potesse permettere di prendere il totale controllo di un aereo per farlo atterrare in sicurezza. Certo l’intento e’ piu’ che giusto, ma il problema sarebbe dover garantire al 100% che nessuno possa inserirsi in un sistema del genere per, invece, creare incidenti disastrosi o minacciarli in cambio di denaro. Ve lo immaginate essere su un’aereo che non puo’ atterrare perche’ gestito da terra da qualche criminale che aspetta di essere pagato, con tutti i passeggeri in ostaggio ed il pilota tagliato fuori da ogni possibilita’ di controllo?? Beh un vero e proprio incubo.

Purtroppo, la messa in sicurezza non è semplice e, nonostante il fatto che con l’arrivo del 5G ci si dovrebbe poter liberare di alcuni vecchissimi sistemi come l’ SS7, una tecnologia usata da 40 anni dagli operatori per gestire la sicurezza delle connessioni ma che non usava la crittografia o ancora il seppur piu’ moderno Diameter, che non sembra essere all’altezza del compito, non basteranno, per lo meno nell’immediato, a garantire completamente l’alto tasso di sicurezza che servira’ per tenere al sicuro i dati di societa’, enti e privati (pensate alle case domotiche).

Molti esperti hanno pubblicato test e studi, lamentando di come si stia dando troppo valore alla gestione di questi dati ed alla loro sicurezza semplicemente perche’ saranno crittografati, ma anche la crittografia ha mostrato molte lacune, e sono moltissimi gli eventi negativi che impattano su errori di programmazione e/o l’implementazione dell’uso di sistemi crittografati in ogni ambito, commerciale e non.

Si spera che per quando il 5G sarà una realtà affermata, le cose saranno state implementate a dovere.

Ma la sicurezza informatica non è l’unico punto critico per il 5G. Anche la semplice copertura del segnale potrebbe rappresentare per gli operatori uno scoglio importante. Infatti, le frequenze usate, sono ideali per quello che riguarda il trasferimento ad altissima velocità dei dati, ma poco adatte agli ambienti “affollati” di ostacoli come quelli cittadini. E’ proprio a causa del numero elevato di antenne che serviranno ad implementare la struttura del 5G, per coprire in maniera efficace una città, che i produttori stanno preparando sistemi che possono essere incorporati ovunque, dai lampioni alle pareti degli edifici, passando per semafori e qualsiasi altro possibile “punto di appoggio”.

Il problema della scarsa penetrazione e capacità di rimbalzo delle onde radio usate dal 5G porterà a costi molto elevati nella creazione dell’infrastruttura che dovrebbe far diventare smart le nostre città.
Gli alti costi potrebbero ulteriormente lievitare anche a causa di dispute geo-politiche come quella tra il governo statunitense e l’azienda cinese Huawei, che al momento è una delle aziende più avanti nella sperimentazione 5G e nella produzione dell’hardware necessario a implementarlo. Senza di loro, o con una forte limitazione della
loro presenza negli Stati alleati degli Stati Uniti, l’adozione del 5G sarà sicuramente rallentata.

Probabilmente si dovrebbe parlare anche dei possibili rischi inerenti alla salute nell’utilizzo delle frequenze necessarie all’uso di questa implementazione tecnologica ma qui il discorso dovra’ attendere parecchio tempo e molti studi futuri, dei quali noi saremo le cavie.

Staremo a vedere !!!

Sneaky Phishing rompe la doppia autenticazione SMS

Sneaky Phishing vs 2FA

I ricercatori del Certfa Lab hanno individuato una campagna di sneaky phishing,  che potremmo tradurre genericamente come il phishing “subdolo”, che e’ in grado di compromettere i sistemi di protezione di accesso ai servizi on-line basati sulla doppia autenticazione con SMS.

Come abbiamo gia descritto in un recente articolo, anche i migliori sistemi di autenticazione online , tramite il 2FA, ossia il sistema di autenticazione a doppio fattore, soprattutto quello per cui interagiamo con il servizio a cui vogliamo collegarci tramite il doppio uso di Login+SMS codice, e’ ormai a rischio, motivo per cui sono nate le chiavette come la Yubikey o, piu’ recentemente, la Titan Security Key di Google.

Ma oggi purtroppo nuovi pericoli affliggono la gestione di accesso tramite SMS, infatti sono arrivate nuove tipologie di attacco informatico che possono invalidare il livello di sicurezza di questo sistema.

Oggi parleremo della truffa chiamata “Sneaky phishing”. Prima di questo nuovo attacco informatico, l’autenticazione a due fattori (two-factor authentication) era considerata il sistema di protezione più sicuro per proteggere i propri account, soprattutto quelli per l’accesso ai servizi di home banking, e proprio l’autenticazione basata su SMS negli ultimi tempi è stata colpita da vari attacchi “man-in-the-middle” e “man-in-the-browser”, nonché da frodi nello scambio di SIM di famosi provider di telefonia mobile.

L’attacco Sneaky phishing è stato creato attorno alla vecchia idea di inviare un falso allarme di accesso non autorizzato ad un account vittima, utilizzando un indirizzo generico ma dall’aspetto plausibile, come ad esempio:
” notifications.mailservices@gmail.com ”

L’inganno iniziale di questo attacco , che quindi sfrutta in partenza la tecnica del Phishing , sfrutta il fatto che Google, ma anche Yahoo e tutti gli altri grandi nomi di Internet, inviano spesso avvisi di sicurezza per informare i proprio utenti di un accesso sospetto ai rispettivi account da computer o dispositivi diversi da quelli utilizzati normalmente .

All’interno di questi messaggi possono trovarsi diverse altre tecniche di cattura dei dati di accesso per la violazione di un’account, quali ad esempio:

  • pagine e file di phishing ospitate su sites.google.com, un sottodominio di Google
  • invio dell’avviso e-mail come immagine cliccabile dell’add-on Screenshot di Firefox, piuttosto che come URL in modo da bypassare i sistemi di anti-phishing
  • tracciamento di chi ha aperto le e-mail incorporando un minuscolo pixel 1×1 cosiddetto “beacon” che viene ospitato e monitorato da un sito web esterno

…..etc……etc……..

Presumibilmente è stato così per la maggior parte dei loro bersagli, nella pratica i criminali hanno utilizzato una pagina web di phishing costruita ad hoc che imitava l’accesso 2FA del fornitore del servizio on-line utilizzato dalle vittime per dirottarle usando le tecniche di Phishing viste sopra.

COME DIFENDERSI ??

I sistemi di autenticazione a due o più fattori rimangono ancora i più efficaci sistemi per proteggere i propri account on-line, ma quanto successo , e si e’ dimostrato, con questa campagna di sneaky phishing conferma che l’SMS non è più l’opzione migliore per effettuare la verifica di accesso. Google, ad esempio, non la propone più ai suoi nuovi utenti, a meno che non sia stata impostata su vecchi account Gmail, ma spinge perche’ vengano usati sistemi di token hardware FIDO U2F, in quanto può essere bypassato solo accedendo fisicamente alla secure key.

Qualcuno potra’ obiettare che anche il token puo’ essere violato, se ad esempio viene perso o rubato ed a quel punto l’ultimo baluardo rimarrebbe la “robustezza” della nostra password…..si torna sempre li….l’errore umano.

Ma almeno percentualmente il sistema a doppio fattore gestito con un token hardware rimane, al momento, il sistema piu’ efficace di protezione dei nostri dati.

Torniamo adesso a parlare di quelli che possono essere degli utili consigli per difendersi :

  • prima di tutto, nel momento in cui riceviamo una e-mail, a prima vista lecita, dove ci viene richiesta un’autenticazione, verifichiamone sempre la provenienza e il contesto e poniamoci velocemente alcune domande: 1) Ho cambiato qualche parametro nei settaggi del mio account? 2) Sto creando un account o mi sono registrato ad un nuovo servizio? Se la risposta sara’ “niente di tutto questo” Allora lnon rimane che cestinarla immediatamente, poiche’ si trattera’ sicuramente di una e-mail potenzialmente pericolosa;
  • disabilitiamo il caricamento in automatico delle immagini. Molti fornitori di webmail offrono questo tipo di funzionalità, sfruttiamola;
  • se pensiamo di utilizzare applicazioni di terze parti per l’autenticazione, verificatene sempre la provenienza, usate soltanto URL/store ufficiali per i vostri download;
  • nel caso in cui, a maggior ragione, la sicurezza sia qualcosa di imprescindibile (in ambito personale o lavorativo), valutate l’idea di utilizzare dei token fisici come quelli descritti qui

Quello che bisogna ricordarsi sempre e’ che il Business del crimine e’ sempre pronto e molto spesso un passo avanti a tutti e chi ci lavora si allena quotidianamente…….fatelo anche voi 😉

La UE ricompensa chi scova bug

Bug Bounty UE Environment

Ormai e’ una tendenza che trova sempre maggiori conferme ogni giorno che passa, infatti e’ di pochissimi giorni la nuova interessante notizia (per chi lo e’ gia e per chi vorrebbe diventare un Bug Bounty), che imparare a scovare i bug nel codice e’ un lavoro molto remunerativo.

Proprio pochi giorni fa avevamo pubblicato l’articolo FB Bug Bounty e scopriamo con interessato stupore che anche la UE ha deciso di istituire qualcosa di simile.

Come gia ampiamente affermato “non esiste software esente da bug” , non lo sono i progetti a codice chiuso e, chiaramente, non lo sono nemmeno quelli Open Source, ma con l’ovvio vantaggio che chi sa e puo’ fare, diventa facilmente un “revisore” di codice ad uso e consumo di tutti coloro che quel software decidono di usarlo.

Insomma e’ un po’ come quando si parla della Blockchain e si dice “ecco il codice, la transazione e’ li pubblica, verificatela”, o come quando si scrivono le pagine di Wikipedia, se si scrive qualcosa di inesatto, ci sara’ qualcun’altro che leggendo fara’ la correzione etc…..

A parte cio’ quale miglior modo di convincere il maggior numero possibile di programmatori (ed esperti di codice) , ad usare il proprio talento e tempo se non quello di offire delle vere e proprie “taglie” sulla testa dei Bug 😉

Questo sistema, funziona ormai talmente bene, pensiamo a coloro che scovano i famigerati zero-day per i grandi colossi (Apple, Facebook, Whatsapp, Huawei….etc), che anche la Unione Europea ha deciso di varare un proprio programma di ricompensa economica, come parte del progetto FOSSA (Free and Open Source Software Audit).

L’iniziativa è stata annunciata, con un post sul suo sito web, da Julia Reda, membro del European Pirate Party e co-fondatrice del progetto FOSSA, con il titolo:
In January, the EU starts running Bug Bounties on Free and Open Source Software

Dunque, a partire da Gennaio 2019 la Commissione Europea garantira’ finanziamenti ai progetti di “caccia al bug”, ma non per ogni progetto Open esistente al mondo, soltanto per una lista ben specifica di 15 Programmi che sono ovviamente utilizzati a livello Istituzionale ed Europeo, con ricompense che vanno da 17.000 a 90.000 euro.

La lista dei progetti open source interessati comprende parecchi software noti:

  • 7-zip
  • Apache Kafka
  • Apache Tomcat
  • Digital Signature Services (DSS)
  • Drupal
  • Filezilla
  • FLUX TL
  • the GNU C Library (glibc)
  • KeePass
  • Notepad++
  • PuTTY
  • PHP Symfony
  • VLC Media Player
  • WSO2
  • Midpoint

I ricercatori, gli sviluppatori, gli esperti di sicurezza, insomma tutti coloro i quali sono interessati a dare il loro contributo, dovranno segnalare la presenza di eventuali bug attraverso le piattaforme HackerOne e Intigriti/Deloitte.
I programmi termineranno tra il 31 luglio 2019 e il 15 aprile 2020, mentre quelli che potete leggere sulla tabella qui sotto saranno i premi in denaro per ogni software. Good Luck !!!

 

 

UE Bug Bounty Program

Google Titan Security Key

Google Titan Security Key

SICUREZZA SICUREZZA SICUREZZA…….

La parola piu’ utilizzata e letta su ogni articolo, anche non a carattere tecnico, che si intenda la sicurezza nelle citta’, oppure quella sui social media, ma ancor di piu’ il peso di questa parola lo si nota attorno a tutto cio che gravita’ sui nostri device, sia quelli personali, sia quelli che utilizziamo quotidianamente in ufficio.

Questo perche’ oggi la SICUREZZA colpisce/interessa tutti in ogni istante della nostra vita. Ogni giorno usiamo , centinaia di volte al giorno, device tecnologici di ogni tipo (SmartTV, SmartPhone, IoT, Router, AccessPoint….) e per ognuno di questi, teoricamente, dovremmo poter essere in grado di sapere cosa e come fare per proteggere i nostri dati e la nostra identita’ tecnologica, che sempre di piu’ rappresentera’ noi stessi, chi siamo, cosa facciamo, come lo facciamo…….

Ma nella realta’ chi di noi ha veramente le conoscenze ed il desiderio di doversi occupare quotidianamente della propria sicurezza; la maggior parte di noi stenta a ricordarsi di cambiare la password dell’account di posta oppure dell’utenza per l’home banking etc……, tutto questo perche’ preferiamo pensare che non saremo certo noi a diventare vittime di un qualsiasi hacker che sicuramente ha altri interessi piu’ importanti. Purtroppo non e’ cosi, oggi giorno siamo tutti collegati e la singola persona, il dipendente “qualunque”, potrebbe essere l’anello debole della catena che permette all’hacker di entrare nell’infrastruttura che vuole colpire e da li, piano piano scalare fino ad avere cio che gli serve…..

Il discorso e’ troppo lungo, ed e’ gia stato trattato in altri articoli, nella sezione (manco a dirlo) 😉 “sicurezza” di questo blog ed altri arriveranno. Fatto sta che per poter aumentare (garantire e’ una parola che non esiste, nulla e’ sicuro al 100%) il nostro livello di sicurezza possiamo per lo meno attivare, li dove ci e’ possibile, quelle funzioni denominate accesso a due fattori, sui nostri account di posta, sul nostro profilo FB …etc….

L’accesso a due fattori (2FA) esiste gia da un po’ di tempo ed è considerato uno dei metodi più sicuri per proteggere i propri dati online da eventuali malintenzionati. Tuttavia, neanche questo sistema può considerarsi impenetrabile ed anch’esso si evolve, da una prima modalita’ tramite invio di codice SMS, sino alla sua versione migliore tramite l’uso di Security Key, tra le piu’ usate ad esempio la Yubico

Anche questa tecnologia deve comunque tenersi sempre aggiornata, ed e’ notizia di questi ultimi giorni che anche Big G ha creato una Security Key dal nome “Titan Security Key“, in pratica e’ stata annunciata come una chiavetta per autenticarsi con la massima sicurezza ed a prova di phishing (ad oggi una delle vulnerabilita’ peggiori sul web).

In soldoni, la Titan Security Key, che inizialmente era disponibile solo per i clienti Cloud americani, oggi e’ in vendita sul Google Store per chiunque la volesse acquistare.
E’ un dispositivo di sicurezza utilizzato per gli account che sfruttano il doppio fattore di autenticazione, che permette di autenticare gli accessi tramite Bluetooth o USB.

Il dispositivo funziona con i browser più diffusi (incluso chiaramente Chrome) e può essere sfruttato all’interno di un crescente ecosistema di servizi che supportano lo standard FIDO, uno standard di autenticazione compatibile con numerose app e browser (gli account Google supportano le chiavi di sicurezza e altri accessi FIDO gia dal 2014), di conseguenza, il dispositivo può essere utilizzato anche per accedere a servizi diversi da Google (Facebook, Twitter, Dropbox, Gmail….. e molti altri ), anche se questi potrebbero non essere in grado, in questo momento, di usufruire appieno del firmware speciale sviluppato da Google ed inserito nelle Titan Security Key.

Come accennato prima, esistono due versioni della Titan Security Key di Google: una è USB mentre l’altra e’ dotata di connettività Bluetooth.
In entrambi i casi la chiavetta andra’ accoppiata con i propri account seguendo le indicazioni fornite da Google all’interno della confezione.

La versione USB, dunque la chiavetta fisica in se, è di piccole dimensioni, mentre la seconda versione, altrettanto piccola, essendo basata su tecnologia Bluetooth, a differenza della precedente non richiede l’inserimento fisico nel dispositivo (PC/Mac), ma è sufficiente la pressione del pulsante, presente su una delle facce, ed un accoppiamento via/Bluetooth per poter inviare i token di accesso/login nel momento desiderato.
La funzionalità del Token di sicurezza è la medesima della versione USB e, nella confezione è fornito un cavetto USB utile per la configurazione iniziale.

Ad oggi, dalle stime di Google soltanto il 10% degli account Google hanno attivato il sistema di autenticazione a due fattori sui relativi device. Una percentuale davvero bassa e sicuramente molte persone non gradiranno dover pagare un’oggetto per aumentare la loro sicurezza, poiche’ ci si aspetta che essa debba essere garantita e gratuita.

Molti ancora non vorranno doversi portare (seppur davvero piccolo e leggero) dietro l’ennesimo device/oggetto; ma al momento e’ un piccolo prezzo da pagare nella fase di adeguamento che subira’ Internet come lo conosciamo oggi, poiche’ quando nacque alla fine degli anni 60 (parlando di ARPANET) i protocolli creati all’inizio e che ancora sostengono il core dell’infrastruttura che chiamiamo Internet non erano pensati per i livelli di sicurezza richiesti oggi.

Concludo aggiungendo che per coloro che usano molti dei servizi offerti da Google per il proprio lavoro professionale, i token di sicurezza Titan sono compatibili con il Programma di protezione avanzata, il più potente strumento per la sicurezza offerto da Google per preservare gli Account Google (come giornalisti, attivisti, dirigenti aziendali e team di campagne elettorali) dal rischio di attacchi mirati.