AUSTRALIA VIETA LA SICUREZZA INFORMATICA

Australian Assistance and Access Act

In un periodo in cui leggiamo quotidianamente di attacchi informatici di ogni genere, rivolti ad aziende, cosi come a privati , diventa “normale” pensare che lo standard dovrebbe essere far diventare tutti piu’ attenti e preparati nell’uso delle tecnologie, per evitare di diventare vittime.

Fa dunque ancor piu’ strano leggere una notizia che sembra voler far fare un salto indietro al processo d’informatizzazione e di gestione della privacy.
La notizia e’ quella che arriva dalla lontana Australia, infatti il parlamento Australiano ha spiazzato tutti votando una norma che, nello specifico renderebbe “obbligatorie backdoor e crittografia illegale“.

Nella pratica questa e’ a tutti gli effetti una legge che “vieta la sicurezza”; la nuova normativa impone alle società, come Facebook (che possiede anche WhatsApp), Apple o altre a cedere dati alle autorità e alle Forze di Polizia, tutto cio anche senza l’ausilio del mandato di un giudice, e nel caso in cui i dati richiesti dovessero essere crittografati, questi ultimi (le aziende) dovranno anche fornire le chiavi di decodifica.

Se gia questo non fosse abbastanza per indignarsi e gridare allo scandalo ed alla fine della “privacy” la norma aggiunge anche che dovranno essere “imposte backdoor ad uso delle autorita’ “, affinché possano accedere alle comunicazioni dei cittadini ogni qual volta lo ritengano necessario.

Ok, qualcuno potrebbe pensare “va bene ma tanto io ho il mio amico di fiducia che lavora nell’IT, lui potra’ disabilitare tutto…” , purtroppo NO, poiche’ per la nuova legge australiana è illegale per i tecnici rifiutarsi di creare queste backdoor, e lo è anche fare da consulenti o opporsi a un ordine di questo tipo.

Nel concreto, queste leggi impongono a società come Apple e tutte le altre di aggiungere le backdoor ad insaputa dell’utente, direttamente all’interno dei dispositivi e dei software che verranno autorizzati dal governo, cosi che successivamente potranno essere usati dagli investigatori per monitorare le conversazioni.

Si pongono subito due grandi questioni da affrontare :

  • problema ETICO
  • problema TECNICO

in questo articolo non verra’ analizzato il primo problema poiche’ e’ troppo personale dato che ci sono sicuramente persone che pensano nella modalita’ ” io non ho nulla da nascondere , preferisco sentirmi protetto…” lascio dunque piena liberta’ ad ognuno di riflettere soltanto sulla notizia senza fare una sterile polemica .

Quello su cui mi sento di parlare e’ l’aspetto tecnico della legge in quanto ormai sappiamo che ad oggi ogni software che utilizziamo e’ molto spesso fallace, vengono riscontrati quoitidianamente dai whitehat o da pen tester Bugs di ogni tipologia, piu’ o meno gravi (zero-days), e le aziende passano spesso molto piu’ tempo a correggere bugs che ad implementare nuove funzioni.
Visto che tutti questi bugs permettono gia cosi di poter accedere ai nostri dati personali su qualunque device in nostro possesso (smartphone, router-wifi, spazio cloud…), la presenza di backdoor preinstallate renderebbe di fatto ogni device gia pronto ad essere violato non soltanto dalla polizia, fosse anche per motivi “leciti”, ma da chiunque che tecnicamente sia in grado di scoprirle ed utilizzarle, ritrovandosi cosi una specie di autostrada verso le informazioni private di ogni cittadino.

Dovremo forse tornare a scrivere le cose sulle agendine di carta ? anche perche’ a questo punto non ha più senso scambiarsi messaggi crittografati, come per esempio sulle chat di Telegram o WhatsApp, se poi esiste il modo di bypassare la sicurezza data dalla crittografia.

La storia recente ha gia insegnato che molti tools creati dalla NSA per motivi simili, alla fine sono finiti nel mercato nero del web e venduti al miglior offerente per spinaggio industriale o per stalking etc…….

Per finire vi segnalo due ottime serie Netflix che trattano quest’argomento:

#CeDaPreoccuparsi

Navigare piu’ sicuri con una chiavetta Usb

Naviga sicuro - YubiKeys

Naviga sicuro – YubiKeys

Alle nostre password affidiamo ormai la sicurezza di tutti i nostri servizi online (social network, home banking, dischi virtuali con foto personali dati etc…) , tutto cio’ anche se siamo, in qualche modo, consapevoli della loro debolezza di fondo.
Immaginiamo seppur inconsapevolmente che, se qualcuno le dovesse rubare potrebbe avere accesso ai nostri, in totale liberta’, anonimato e senza alcun tipo di controllo.

Certo sappiamo che esiste gia un metodo, a oggi ampiamente diffuso, per proteggersi da questo scenario fin troppo comune e si chiama “autorizzazione a due fattori” (in gergo 2FA) o “verifica in due passaggi” . Questo si basa su un assunto molto semplice, ossia, per poter accedere a un servizio, l’utente deve conoscere qualcosa, ovvero la/le propria password (primo fattore), e possedere qualcosa, come un cellulare (secondo fattore). Ad oggi il sistema 2FA più diffuso, disponibile per le maggiori piattaforme, passa per l’invio di un codice speciale tramite SMS, da inserire in aggiunta alla password (vedi Gmail). Un procedimento noioso, che diventa inutile se per un qualche motivo non abbiamo a portata di mano il dispositivo autorizzato a ricevere il codice, oppure semplicemente abbiamo cambiato numero di cellulare e non abbiamo aggiornato il profilo (tragedia).

Sicurezza via USB
La svedese Yubico ci propone una soluzione diversa, infatti al sistema incentrato sullo smartphone, essa sostituisce con una pennina USB, da usare come secondo fattore. Il prodotto in questione si chiama Yubikey e ne esistono diversi modelli, distinti per caratteristiche e protocolli supportati. Il funzionamento è semplice, quando ci si collega ad un servizio online, come ad esempio Gmail, basta digitare la password e poi toccare la pennina inserita in una delle porte USB del computer. Il sistema remoto riconosce la presenza del dispositivo e consente l’accesso dell’utente. Alla base del procedimento c’è un protocollo open source, chiamato Fido U2F (Universal Two Factor), che la Yubico ha sviluppato in collaborazione con Google. Il protocollo e’ OPEN dunque, qualsiasi sviluppatore può abilitarlo per il proprio servizio online.

Le nostre prove hanno confermato la semplicità del procedimento di autenticazione ma, come sempre non e’ tutto oro cio che luccica, ed in questo caso c’è una complicazione da non sottovalutare ossia che, l’impostazione iniziale della Yubikey va fatta per ogni servizio, con procedure quasi mai identiche e spesso nascoste fra le mille opzioni specifiche per la singola piattaforma. Certamente nulla che non possa riuscire anche all’utente medio, magari con l’aiuto delle guide in linea di fornite dalla stessa Yubico, ma comunque un procedimento in più che potrebbe scoraggiare chi non utilizza la verifica in due passaggi per ragioni di pigrizia. Dovremmo pero’ ricordarci tutti che e’ proprio la pigrizia la componente preferita da chi vuole rubarci i dati.

Compatibilità e versioni disponibili
Fra i maggiori browser, Chrome di Google è attualmente l’unico che è compatibile nativamente con Yubikey (dalle versione 41 in poi). Per Safari e Firefox esistono dei plugin specifici da installare per attivare il supporto alle chiavine di Yubico. Quanto ai servizi online, la compatibilità è completa per Google, Dropbox e Salesforce. Per WordPress, la nota piattaforma di blogging, è disponibile un plugin di compatibilità. Niente da fare al momento per i servizi Apple: l’azienda ad oggi non ha mostrato alcuna intenzione di adottare il protocollo Fido U2F sviluppato da Yubico e Google.

La Yubikey Edge, che supporta FIDO U2F, costa 34€, Il modello superiore, Yubikey Neo, aggiunge la possibilità di abilitare la verifica in due passaggi anche tramite NFC su alcuni smartphone Android, costa 59€. Entrambe sono acquistabili online su Amazon Italia.

Ma qualcuno si stara’ chiedendo, “cosa succede nel caso la Yubikey venga smarrita o rubata ???”, beh! nessuna paura poiche’ si può accedere ai vari account tramite il sistema 2FA basato sull’invio di un codice SMS, che è comunque buona norma mantenere attivo, ed una volta entrati sarà possibile cancellare l’associazione con la chiavetta che non è più in nostro possesso. L’alternativa, come per le chiavi dell’auto, è possederne due (entrambe da autorizzare su tutti i servizi, però) e lasciarne una in un posto sicuro.

Speriamo che l’argomento di questo articolo, oltre ad avervi ato una buona alternativa nella gestione della vostra privacy, vi abbia anche fatto riflettere sull’importanza, sempre maggiore, di mantenere alti i livelli di sicurezza di vostri dati personali.

 

#NavigasicuroconYubikey

ZyXEL NSA-325 v2

nsa325_v2-1_300Un NAS facile facile

Lo ZyXEL NSA-325 v2 e’ un NAS ideato per l’utenza domestica e/o per i piccoli uffici. Date le sue caratteristiche ci consente di far fronte alle piu’ comuni necessita’ di backup e storage dei dati. Le sue funzioni prevedono l’utilizzo di diversi protocolli di rete, per l’interfacciamento e lo scambio dei files con PC ed anche Smartphones, quali FTP, HTTP, CIFS/SMB, iTunes e molto altro.

Com’e’ fatto

Lo ZyXEL 352 si presenta visivamente con uno chassis in platica dalle dimensioni abbastanza ridotte. Sulla parte frontale si trova il tasto di accensione, piu’ una porta USB 3.0; troviamo anche il coperchio (frontalino) che chiude i due alloggiamenti interni per i dischi fissi da 3,5 pollici o da 2,5, con gli appositi adattatori.
Sul retro, invece, ci sono due porte USB ed una porta Ethernet LAN ed il connettore per l’alimentazione.

PRESTAZIONI

Lo ZyXEL NSA325 v2 integra un potente processore da 1.6 GHz e 512 MB di memoria RAM, e può gestire due Hard Disk SATA III tramite un potente controller capace di lavorare in modalità RAID 0/1. Il NAS è dotato di connettività Gigabit per la connessione alla rete LAN domestica, e di 2 porte USB 2.0 ed 1 porta USB 3.0 a cui collegare direttamente periferche quali memorie di massa o fotocamere digitali.

INTERFACCIA INTUITIVA

Grazie ad un’interfaccia estremamente semplice ed intuitiva, è possibile accedere velocemente ai contenuti del NSA 325 v2, vedere le preview dei file, assistere a slideshow automatici degli album fotografici o ascoltare le playlist delle canzoni preferite dopo averle create facilmente in pochi minuti.

CONNESSIONE AD APPARATI MOBILE

Quando si è a casa propria, l’App multimediale zMedia progettatata da ZyXEL per essere utilizzata su Smartphone o Tablet Apple ed Android, permette di ascoltare la propria musica, vedere i film e le foto, ma anche di configurare il sistema, impostare le code di download/upload dei file e verificarne lo status, senza per questo dover accendere il PC di casa.

MANAGEMENT DEI DATI

I filesystem supportati vanno dall’ EXT4 al 2, quindi non si avranno problemi di compatibilita’, tra le altre funzionalita’ a cui potrete accedere per una completa gestione dei dati sono :

  • Backup:
    – Pulsante One-touch copy/sync per apparati esterni USB
    – Pianificazione Backup:
    – Instant/Scheduled backup
    – NSA verso NSA sincronizzazione e backup
    – NSA verso hard disk esterno USB
  • Dropbox
  • Apple Time Machine
  • Download/Upload:
    – Auto-download da servizi FTP/HTTP/P2P
    – Scheduled download
    – One-click hosting sites download
    – Auto-upload foto e video su YouTube/Flickr/FTP server
  • File system:
    – HD interni: EXT4
    – HD esterni: NTFS, EXT2, EXT3, EXT4, FAT32, ReiserFS, XFS
  • RAID 0, 1, JBOD
  • Online firmware upgrade
  • Self-Monitoring Analysis and Reporting Technology (S.M.A.R.T.)
  • Controllo alimentazione:
    -Ibernazione degli HD Interni
    – Schedulazione power on/off/reboot
    – Wake-on-LAN
    – Recupero automatico del sistema in caso di mancanza di energia
    – Auto shutdown e monitoring con UPS APC USB
  • Controllo termico:
    – Ventilazione a velocità variabile
    – Impianto allarme Alte Temperature
    – Auto shutdown in caso di Alte Temperature

GIUDIZIO

Il prezzo si aggira attorno ai 97 € (senza dischi), a mio parere un NAS con un ottimo rapporto qualita’/caratteristiche tecniche/prezzo, che offre molteplici funzioni ed e’ adatta, principalmente, agli utenti domestici. In un epoca in cui i dati che ognuno di noi produce, o ha necessita’ di salvare, sono in costante aumento, i servizi cloud rappresentato una buon supporto aggiuntivo al backup ma credo (come gia spiegato in precedenti articoli come “cloud si o cloud no?“) sia sempre meglio avere i propri dati al sicuro a casa e poi in copia all’esterno.