Google Titan Security Key

Google Titan Security Key

SICUREZZA SICUREZZA SICUREZZA…….

La parola piu’ utilizzata e letta su ogni articolo, anche non a carattere tecnico, che si intenda la sicurezza nelle citta’, oppure quella sui social media, ma ancor di piu’ il peso di questa parola lo si nota attorno a tutto cio che gravita’ sui nostri device, sia quelli personali, sia quelli che utilizziamo quotidianamente in ufficio.

Questo perche’ oggi la SICUREZZA colpisce/interessa tutti in ogni istante della nostra vita. Ogni giorno usiamo , centinaia di volte al giorno, device tecnologici di ogni tipo (SmartTV, SmartPhone, IoT, Router, AccessPoint….) e per ognuno di questi, teoricamente, dovremmo poter essere in grado di sapere cosa e come fare per proteggere i nostri dati e la nostra identita’ tecnologica, che sempre di piu’ rappresentera’ noi stessi, chi siamo, cosa facciamo, come lo facciamo…….

Ma nella realta’ chi di noi ha veramente le conoscenze ed il desiderio di doversi occupare quotidianamente della propria sicurezza; la maggior parte di noi stenta a ricordarsi di cambiare la password dell’account di posta oppure dell’utenza per l’home banking etc……, tutto questo perche’ preferiamo pensare che non saremo certo noi a diventare vittime di un qualsiasi hacker che sicuramente ha altri interessi piu’ importanti. Purtroppo non e’ cosi, oggi giorno siamo tutti collegati e la singola persona, il dipendente “qualunque”, potrebbe essere l’anello debole della catena che permette all’hacker di entrare nell’infrastruttura che vuole colpire e da li, piano piano scalare fino ad avere cio che gli serve…..

Il discorso e’ troppo lungo, ed e’ gia stato trattato in altri articoli, nella sezione (manco a dirlo) 😉 “sicurezza” di questo blog ed altri arriveranno. Fatto sta che per poter aumentare (garantire e’ una parola che non esiste, nulla e’ sicuro al 100%) il nostro livello di sicurezza possiamo per lo meno attivare, li dove ci e’ possibile, quelle funzioni denominate accesso a due fattori, sui nostri account di posta, sul nostro profilo FB …etc….

L’accesso a due fattori (2FA) esiste gia da un po’ di tempo ed è considerato uno dei metodi più sicuri per proteggere i propri dati online da eventuali malintenzionati. Tuttavia, neanche questo sistema può considerarsi impenetrabile ed anch’esso si evolve, da una prima modalita’ tramite invio di codice SMS, sino alla sua versione migliore tramite l’uso di Security Key, tra le piu’ usate ad esempio la Yubico

Anche questa tecnologia deve comunque tenersi sempre aggiornata, ed e’ notizia di questi ultimi giorni che anche Big G ha creato una Security Key dal nome “Titan Security Key“, in pratica e’ stata annunciata come una chiavetta per autenticarsi con la massima sicurezza ed a prova di phishing (ad oggi una delle vulnerabilita’ peggiori sul web).

In soldoni, la Titan Security Key, che inizialmente era disponibile solo per i clienti Cloud americani, oggi e’ in vendita sul Google Store per chiunque la volesse acquistare.
E’ un dispositivo di sicurezza utilizzato per gli account che sfruttano il doppio fattore di autenticazione, che permette di autenticare gli accessi tramite Bluetooth o USB.

Il dispositivo funziona con i browser più diffusi (incluso chiaramente Chrome) e può essere sfruttato all’interno di un crescente ecosistema di servizi che supportano lo standard FIDO, uno standard di autenticazione compatibile con numerose app e browser (gli account Google supportano le chiavi di sicurezza e altri accessi FIDO gia dal 2014), di conseguenza, il dispositivo può essere utilizzato anche per accedere a servizi diversi da Google (Facebook, Twitter, Dropbox, Gmail….. e molti altri ), anche se questi potrebbero non essere in grado, in questo momento, di usufruire appieno del firmware speciale sviluppato da Google ed inserito nelle Titan Security Key.

Come accennato prima, esistono due versioni della Titan Security Key di Google: una è USB mentre l’altra e’ dotata di connettività Bluetooth.
In entrambi i casi la chiavetta andra’ accoppiata con i propri account seguendo le indicazioni fornite da Google all’interno della confezione.

La versione USB, dunque la chiavetta fisica in se, è di piccole dimensioni, mentre la seconda versione, altrettanto piccola, essendo basata su tecnologia Bluetooth, a differenza della precedente non richiede l’inserimento fisico nel dispositivo (PC/Mac), ma è sufficiente la pressione del pulsante, presente su una delle facce, ed un accoppiamento via/Bluetooth per poter inviare i token di accesso/login nel momento desiderato.
La funzionalità del Token di sicurezza è la medesima della versione USB e, nella confezione è fornito un cavetto USB utile per la configurazione iniziale.

Ad oggi, dalle stime di Google soltanto il 10% degli account Google hanno attivato il sistema di autenticazione a due fattori sui relativi device. Una percentuale davvero bassa e sicuramente molte persone non gradiranno dover pagare un’oggetto per aumentare la loro sicurezza, poiche’ ci si aspetta che essa debba essere garantita e gratuita.

Molti ancora non vorranno doversi portare (seppur davvero piccolo e leggero) dietro l’ennesimo device/oggetto; ma al momento e’ un piccolo prezzo da pagare nella fase di adeguamento che subira’ Internet come lo conosciamo oggi, poiche’ quando nacque alla fine degli anni 60 (parlando di ARPANET) i protocolli creati all’inizio e che ancora sostengono il core dell’infrastruttura che chiamiamo Internet non erano pensati per i livelli di sicurezza richiesti oggi.

Concludo aggiungendo che per coloro che usano molti dei servizi offerti da Google per il proprio lavoro professionale, i token di sicurezza Titan sono compatibili con il Programma di protezione avanzata, il più potente strumento per la sicurezza offerto da Google per preservare gli Account Google (come giornalisti, attivisti, dirigenti aziendali e team di campagne elettorali) dal rischio di attacchi mirati.

AUSTRALIA VIETA LA SICUREZZA INFORMATICA

Australian Assistance and Access Act

In un periodo in cui leggiamo quotidianamente di attacchi informatici di ogni genere, rivolti ad aziende, cosi come a privati , diventa “normale” pensare che lo standard dovrebbe essere far diventare tutti piu’ attenti e preparati nell’uso delle tecnologie, per evitare di diventare vittime.

Fa dunque ancor piu’ strano leggere una notizia che sembra voler far fare un salto indietro al processo d’informatizzazione e di gestione della privacy.
La notizia e’ quella che arriva dalla lontana Australia, infatti il parlamento Australiano ha spiazzato tutti votando una norma che, nello specifico renderebbe “obbligatorie backdoor e crittografia illegale“.

Nella pratica questa e’ a tutti gli effetti una legge che “vieta la sicurezza”; la nuova normativa impone alle società, come Facebook (che possiede anche WhatsApp), Apple o altre a cedere dati alle autorità e alle Forze di Polizia, tutto cio anche senza l’ausilio del mandato di un giudice, e nel caso in cui i dati richiesti dovessero essere crittografati, questi ultimi (le aziende) dovranno anche fornire le chiavi di decodifica.

Se gia questo non fosse abbastanza per indignarsi e gridare allo scandalo ed alla fine della “privacy” la norma aggiunge anche che dovranno essere “imposte backdoor ad uso delle autorita’ “, affinché possano accedere alle comunicazioni dei cittadini ogni qual volta lo ritengano necessario.

Ok, qualcuno potrebbe pensare “va bene ma tanto io ho il mio amico di fiducia che lavora nell’IT, lui potra’ disabilitare tutto…” , purtroppo NO, poiche’ per la nuova legge australiana è illegale per i tecnici rifiutarsi di creare queste backdoor, e lo è anche fare da consulenti o opporsi a un ordine di questo tipo.

Nel concreto, queste leggi impongono a società come Apple e tutte le altre di aggiungere le backdoor ad insaputa dell’utente, direttamente all’interno dei dispositivi e dei software che verranno autorizzati dal governo, cosi che successivamente potranno essere usati dagli investigatori per monitorare le conversazioni.

Si pongono subito due grandi questioni da affrontare :

  • problema ETICO
  • problema TECNICO

in questo articolo non verra’ analizzato il primo problema poiche’ e’ troppo personale dato che ci sono sicuramente persone che pensano nella modalita’ ” io non ho nulla da nascondere , preferisco sentirmi protetto…” lascio dunque piena liberta’ ad ognuno di riflettere soltanto sulla notizia senza fare una sterile polemica .

Quello su cui mi sento di parlare e’ l’aspetto tecnico della legge in quanto ormai sappiamo che ad oggi ogni software che utilizziamo e’ molto spesso fallace, vengono riscontrati quoitidianamente dai whitehat o da pen tester Bugs di ogni tipologia, piu’ o meno gravi (zero-days), e le aziende passano spesso molto piu’ tempo a correggere bugs che ad implementare nuove funzioni.
Visto che tutti questi bugs permettono gia cosi di poter accedere ai nostri dati personali su qualunque device in nostro possesso (smartphone, router-wifi, spazio cloud…), la presenza di backdoor preinstallate renderebbe di fatto ogni device gia pronto ad essere violato non soltanto dalla polizia, fosse anche per motivi “leciti”, ma da chiunque che tecnicamente sia in grado di scoprirle ed utilizzarle, ritrovandosi cosi una specie di autostrada verso le informazioni private di ogni cittadino.

Dovremo forse tornare a scrivere le cose sulle agendine di carta ? anche perche’ a questo punto non ha più senso scambiarsi messaggi crittografati, come per esempio sulle chat di Telegram o WhatsApp, se poi esiste il modo di bypassare la sicurezza data dalla crittografia.

La storia recente ha gia insegnato che molti tools creati dalla NSA per motivi simili, alla fine sono finiti nel mercato nero del web e venduti al miglior offerente per spinaggio industriale o per stalking etc…….

Per finire vi segnalo due ottime serie Netflix che trattano quest’argomento:

#CeDaPreoccuparsi

Facebook Bug Bounty

Facebook Bug-Bounty

Forse non molti sanno che in un periodo cosi proficuo per attacchi hacking di ogni tipo, i colossi del web, tra cui Facebook, hanno istituito interessanti premi per chiunque voglia testare la sicurezza dei loro sistemi, ed affiliati quali:

 

  • Instagram
  • Internet.org/Free Basics
  • Oculus
  • Onavo
  • Progetti open source di Facebook (ad es. osquery)
  • WhatsApp

 

Migliori spiegazioni le potete trovare alla seguente pagina https://www.facebook.com/whitehat
che riporta in modo chiaro quali sono le regole e le modalita’ di svolgimento del “Programma” WHITEHAT

Nella pratica, possiamo dire che i responsabili della sicurezza di Facebook, Instagram e compagnia bella hanno deciso che il miglior modo per verificare il loro buon operato e’ quello di lasciare “carta bianca” a tutti coloro (hacker, whitehat, pirati informatici …) che sono interessati a bucare uno dei due miliardi di account dei loro social.

La ricompensa base e’ di 500 $ ma ben piu’ alta e’ la posta se qualcuno dovesse trovare bug ben piu’ importanti come degli zero-day.

Per exploit di alto impatto , la ricompensa dovrebbe essere di, 40.000 $ se, per impadronirsi dell’account, l’attacco non richiedera’ la ben che minima interazione del proprietario, Si scende invece a 25.000 $ se l’attacco e’ in grado di andare a segno con l’interazione da parte del proprietario dell’account (magari anche solo con un click sul link sbagliato ricevuto via mail…..phishing a go-go).

Buona caccia…..

#FacebookBugBounty

Scopri chi ti chiama – Stop anonimato

Whooming AntiStalker

Whooming Servizio AntiStalker

Oggi giorno gli episodi di stalking stanno diventando quasi una quotidianita’, ma e’ possibile risalire alla persona che ci fa una chiamata anonima e ci disturba continuamente?
Proviamo a fare un po’ di chiarezza.  Le chiamate anonime sono così definite perché, per l’appunto, non viene mostrato il numero di chi ci sta chiamando.

Per fortuna scoprire il numero di una chiamata anonima, oggi, non è piu’ una cosa impossibile, anzi, grazie ad alcuni servizi disponibili gratuitamente in Rete è diventato piuttosto semplice, ma bisogna fare degli opportune differenze.

Quando e se le chiamate anonime sono utilizzate per disturbarci in maniera insistente o addirittura per minacciarci, il consiglio è ovviamente quello di andare immediatamente a denunciare alle autorità competenti (magari dopo aver registrato le conversazioni e aver appuntato l’orario in cui sono state ricevute), mentre per i casi isolati, quelli non troppo seri, è possibile affidarsi ai servizi che stiamo per descrivervi.

Whooming è un servizio tutto italiano che permette di svelare il numero di chi chiama nascondendo il proprio numero. Questo servizio funziona sia per le utenze di linea fissa sia per i cellulari usando la tecnica dell’inoltro di chiamata: in sostanza la telefonata viene dirottata verso Whooming, che ne identifica l’autore.

Il servizio e’ utilizzabile gratuitamente ma, in questo caso, i numeri di chi effettua le telefonate anonime verranno mostrati soltanto 24 ore dopo l’avvenuta chiamata. Se si vogliono risultati istantanei occorrera’ acquistare una ricarica online dal valore di almeno 10 €.

Se sei interessato, puoi attivare Whooming sul tuo cellulare o sul tuo telefono di casa semplicemente collegandoti alla pagina iniziale del servizio e creando un account, Registrandovi con il vostro indirizzo email oppure premendo sul bottone di Facebook e autenticavi tramite il vostro profilo social.

Una volta terminata la procedura di registrazione ed effettuato l’accesso seguite la procedura di configurazione guidata che vi verra’ proposta.

Ci vorrà poco per configurare il tutto, del resto non dovrete far altro che fornire il vostro numero di cellulare, indicare la nazione di appartenenza del vostro operatore telefonico etc…..

Dopo aver fornito tutte le informazioni richieste, dovrete attivare la deviazione delle chiamate verso il numero di Whooming dal vostro telefono e verificare che tutto funzioni a dovere chiamandovi dal vostro stesso numero o telefonandovi da un’altra linea e rifiutando poi la chiamata.

Per attivare la deviazione delle chiamate dovrete digitare alcuni codici che sono spiegati all’interno del portale di Whooming.

Dopo aver configurato Whooming sul vostro telefonino, potrete scoprire il numero di una chiamata anonima semplicemente rifiutando la telefonata e collegandovi al sito Internet del servizio, nella sezione Elenco chiamate, oppure scaricando l’applicazione di Whooming per Android.

Fra i servizi a pagamento di Whooming ci sono anche “Parla con lo stalker” che svela in tempo reale il numero di chi chiama con l’anonimo senza che il mittente della telefonata si accorga di nulla e Registra la chiamata con lo stalker che registra le conversazioni permettendo di scaricarle sul computer.

Attivando questa funzionalità si ingannerà lo stalker che sentirà il telefono della vittima libero quando in realtà Whooming ne ha già rintracciato il numero (ed il nome se presente in Rubrica) e sta richiamando l’utente con il numero in chiaro dello stalker.

Quest’ultima funzione può tornare utile nei casi seri, quelli in cui si subiscono minacce o attività di stalking telefonico vero e proprio. Come accennato prima, però, nelle situazioni più delicate è bene rivolgersi alle autorità.

Altra novità di rilievo è “protezione Facebook” un semplice messaggio che pubblicheremo sulla nostra bacheca finalizzato a scoraggiare gli stalker o eventuali persone pronte a infastidirci.

Whooming offre fondamentalmente due tipi di servizio: uno free che permette semplicemente di svelare il numero del mittente anonimo e consultare gli altri che ci hanno chiamato e uno premium che ci permette di aver il numero di chi ci chiama via SMS (20 centesimi), parlare con questo (20 cent/minuto) e registrare la chiamata (10 cent/minuto). Insomma ottimo il servizio gratuito e ancora meglio i servizi a pagamento, utili per combattere lo stalking.

#HASHTAG come si usa!

Che cosa e' un hashtag

Che cosa e’ un hashtag

Negli ultimi anni tutti noi siamo stati coinvolti, chi piu’ chi meno, dall’invasione dei social network, insieme ai social network ha spopolato un “carattere speciale”: il # (cancelletto).
Questo simbolo, che d’ora in poi chiameremo tag, è comparso per la prima volta sulla chat “Internet Realy Chat” allo scopo di etichettare gruppi ed argomenti, ma la sua popolarità è legata sicuramente in modo molto piu’ forte alla nascita di Twitter, che li ha usati fin da subito come modo per contrassegnare le parole chiave, raggruppare i messaggi (tweet) e indicizzare i contenuti in modo semplice. Facebook invece solo dal 2013 ne ha deciso finalmente l’introduzione.

L’hashtag è una funzionalità semplice, tanto semplice quanto difficile da utilizare in modo corretto, insomma non è pane per tutti, però conoscerlo meglio aiuta ad utilizzarlo meglio, soprattutto se lo si usa per descrivere parole chiave o topic in un Tweet ed il suo intento principale è quello di categorizzarle/i ed aiutare a mostrarle/i nel motore di ricerca di Twitter.

Ad esempio, se su Facebook si scrive un aggiornamento di stato con dentro#NuovoHashtag, il post finirà all’interno di un feed dedicato, consultabile da chiunque all’indirizzo : https://www.facebook.com/hashtag/NuovoHashtag.

COSA COMPORTANO GLI HASHTAG
Prima di iniziare ad usare gli hashtag è bene essere a conoscenza di alcune implicazioni che il loro uso comporta:

  • – su Twitter se si usa un hashtag in un account pubblico, chiunque compia una ricerca per l’hashtag appena inserito potrà trovare il post nel quale è contenuto;
  • – una volta che un hashtag è stato inserito non può più essere rimosso o controllato e quindi può trasformarsi in un successo, ma anche in un colossale flop;
  • – su Facebook cliccando su un hashtag è possibile visualizzare solo il post dei propri amici o di chi ha impostato un livello di privacy pubblico. Quindi chi vuole essere rintracciato deve pubblicare un hashtag in un messaggio pubblico;
  • – su Facebook gli hashtag sono cliccabili anche se sono stati pubblicati tramite un altro servizio (Es. Instagram, Twitter).

 

PERCHE’ USARE GLI HASHTAG
Gli hashtag si usano principalmente per seguire o tracciare un evento oppure per incrementare la propria popolarità. Oppure è possibile usare gli hashtag su Facebook per visualizzare tutti i post che sono attinenti o legati ad un argomento, infatti Facebook trasforma automaticamente i tag in link.
Con un click è possibile visualizzare una lista di post di altre persone in cui il tag è contenuto (differenza di Facebook rispetto a Twitter).

COME USARE HASHTAG
Non esistono delle regole precise per usare gli hashtag, ma solo dei piccoli accorgimenti che ne permettono un uso efficace e che potrebbero renderli molto seguiti se non addirittura virali.
La prima cosa da fare è essere molto specifici e attinenti: se si vuole esprimere la propria opinione su un argomento pubblico l’hashtag deve essere il più correlato possibile all’argomento stesso.
Se, ad esempio, si vuole parlare di Beppe Grillo molto semplicemente si può utilizzare l’hashtag #beppegrillo oppure #grillo e così via.
Una cosa sicuramente da non fare è quella di non “farsi prendere la mano” e inserire troppi hashtag tutti insieme: il numero consigliato è compreso tra uno e tre. Più si è stringati più si risulta chiari e specifici.
Per essere ulteriormente sicuri del successo del proprio post è meglio usare hashtag già affermati piuttosto che cercare di inventarne uno nuovo (no ai neologismi).
L’hashtag non deve essere usato solo perché di moda, ma sarebbe l’ideale se fosse inserito in un contesto, buona norma sarebbe includerlo in una frase che ne chiarisca l’utilizzo, in modo da avere una comunicazione migliore: NO: #biscottoallacannella, SI: Sto mangiando un #biscottoallacannella in macchina.