Ancora sul backup

Spesso mi capita di “snobbare” le sollecitazioni verso l’esecuzione costante dei backup con un pensiero subdolo: “A me queste cose non capitano, non posso prendere virus, non sono così a rischio”.

Ieri sera ho impiegato, purtroppo senza successo, diverse ore per tentare di recuperare il contenuto dello smartphone di una collega che si era bloccato mentre eseguiva il cambio della password. Una operazione in teoria elementare, semplice, senza complicazioni. Se non fosse che su quel telefono era installato anche un sistema di sicurezza aziendale che, molto probabilmente, riscontrando una qualche anomalia si è chiuso a guscio (giustamente!!! il suo mestiere è proteggere i dati) facendo fallire il cambio password. Risultato finale: telefono funzionante ma password sempre errata. Ho tentato varie strade, nessuna di queste però con successo. L’unico modo per restituire il telefono alla piena funzionalità è stato quello di ripristinarlo ai valori di default di fabbrica e ricominciare come se fosse appena uscito dalla scatola.

Con questa operazione, ovviamente, sono andati perduti i contenuti memorizzati all’interno del telefono (nello specifico: foto, SMS, alcuni documenti, etc etc). Alla mia domanda: “Quando hai fatto l’ultimo backup?” la sua risposta atterrita è stata: “Mai!”. Da qui scaturisce il ragionamento di oggi: purtroppo le cose possono andare male per mille motivi e non solo perché prendiamo un virus. Magari una nostra mossa maldestra, magari per disattenzione, magari per una rottura accidentale, magari per uno scherzo che finisce male…

Dobbiamo prendere coscienza del valore dei nostri dati: le foto, i documenti sono importanti, per alcuni MOLTO importanti. Pensiamo un po’ quanto può essere importante in un futuro non troppo lontano il nostro cryptowallet, ossia il nostro borsellino elettronico…

1 Comment

Filed under cloud, Sicurezza

La falsa sicurezza

Ransomware

Da qualche tempo ed in particolare negli ultimi giorni si parla sempre più spesso di Ransomware, ossia di particolari programmi malevoli che si inseriscono nei computer degli ignari uton.. emh utenti, ne cifrano il contenuto (in tutto o parte di esso) e poi chiedono un riscatto per “rilasciare” i file, ossia farli tornare in chiaro utilizzabili dal legittimo proprietario.

Questa speciale variante di virus è particolarmente fastidiosa perché difficilmente debellabile dopo l’infezione e perché priva l’utente dei suoi file senza molte speranze di recupero. Infatti non è così scontato, anzi lo è sempre meno, che pagando il riscatto richiesto si ottenga in cambio la “chiave” per sbloccare i file. Il malefico meccanismo quindi, deve essere affrontato preventivamente seguendo due approcci paralleli e non mutuamente esclusivi:

  1. Attuare tutte le politiche standard di sicurezza che minimizzano il rischio di infezione. A mero titolo di esempio non esaustivo: antivirus aggiornato, firewall, non aprire allegati da mittenti sconosciuti, non aprire mail sospette anche se provenienti da mittenti conosciuti, etc etc (secondo il proprio grado di paranoia).
  2. Implementare politiche di backup dei propri dati efficienti ed efficaci ed attuarle costantemente, come se fossimo esposti a rischio permanente e perenne.

Mi voglio soffermare con questo breve ragionamento sul secondo punto: eseguire i backup (ed ogni tanto anche il restore!!). La sicurezza assoluta non esiste, però cerchiamo almeno di ottenere il giusto livello adatto alle nostre esigenze.

Molte persone pensano che i sempre più diffusi meccanismi di memorizzazione dei file in cloud (es. Dropbox, Google Drive, Mega, etc etc) tramite sistemi automatici di sincronizzazione siano equivalenti ad un backup. Personalmente non concordo con questa visione perché genera una falsa sicurezza. Il meccanismo di sincronizzazione è molto utile perché mi libera dal pensiero di aggiornare la copia sul cloud. Se però vengo contagiato da un Ramsonware (ne esistono molte varianti) e il mio file viene cifrato, il meccanismo di sincronizzazione si accorgerà che il file è cambiato e lo invierà prontamente sul cloud. Avrò quindi una copia locale compromessa e una copia remota ugualmente inutilizzabile. Non tutti i servizi di cloud storage offrono la possibilità di fare “versioning” in automatico, quindi si rischia che l’unica copia sul cloud sia criptata e di conseguenza inutilizzabile. Inoltre non sempre è possibile, se presenti, intervenire sulle modalità  di versioning (numero di versioni, data antecedente/posteriore a, etc etc), quindi se non ci accorgiamo subito del danno (ad esempio, infezione parziale) rischiamo che, se anche  il servizio di storage cloud mantiene più versioni, le stesse siano ugualmente danneggiate.

Il backup invece permette di salvare i file ad intervalli regolari, con politiche che posso decidere autonomamente, su dispositivi non necessariamente sempre collegati al mio computer. Se sono bravo a definire la mia strategia di backup (una volta a settimana, due volte al giorno, un backup ogni ora, ovviamente il tutto in base alle personali esigenze di ciascuno), anche se sono colpito da un Ramsonware, avrò modo di ripartire con una copia utilizzabile dei miei dati. Ovviamente tutto ha un costo, quindi la scelta di effettuare i backup comporta costi di archiviazione (disco rigido, storage in cloud, virtual machine remota, nastri, etc etc), costi di gestione/manutenzione (ad esempio, effettuare un backup  a freddo, ossia con tutto fermo, comporta di interrompere le attività e anche questo ha un costo; programmare delle politiche di backup adeguate ha un costo; verificare i backup ha un costo; pianificare ed eseguire i test periodicamente ha un costo; etc etc). Su Linux io uso Back-in-Time, un programma per effettuare i backup analogo al famoso Time-Machine del mondo MacOS. Questo programma, molto semplice da usare, permette di attuare pratiche di backup efficaci ed efficienti ed è adatto all’utilizzo da parte di chiunque: permette di schedulare i backup o di eseguirli manualmente, memorizza i backup in maniera incrementale rispetto ad un primo backup “full” per contenere l’occupazione degli spazi di archiviazione, permette di cifrare i backup ed ha molti altri parametri personalizzabili. Consiglio agli amici “pinguini” di provarlo a prescindere dalla minore paura di essere contagiati da un Ramsonware.

Leave a Comment

Filed under cloud, Sicurezza

Hash o cifratura? Questo è il dilemma

Parafrasando la celebre frase di Amleto, ci può capitare nella vita informatica di affrontare un problema di sicurezza: memorizzare una informazione importante in maniera quanto più sicura possibile.

Le tecniche che ci vengono messe a disposizione sono principalmente due: l’hashing e la cifratura.

Entrambi generano una versione dell’informazione oscurata, incomprensibile. La differenza sostanziale risiede nella capacità di risalire al testo originario partendo dal risultato offuscato. Con l’hashing questa cosa è impossibile, mentre con il testo cifrato è possibile (conoscendo la chiave e il metodo di cifratura).

Questa piccola ma sostanziale differenza aiuta a scegliere l’uno o l’altro metodo in funzione dell’utilizzo dell’informazione offuscata.

Facciamo un paio di esempi pratici. Le password degli utenti Linux sono memorizzate ottenendo il risultato di un hash sulla password in chiaro più un salt, ossia un testo random aggiunto alla password in chiaro. Al momento del login, il sistema operativo accetta la password in input dall’utente, riapplica lo stesso algoritmo di hashing e confronta i due risultati: se uguali allora l’utente è autorizzato a proseguire, altrimenti viene negato l’accesso. Questo meccanismo comporta una sicurezza elevata perché l’unico metodo a disposizione per trovare la password in chiaro sarà provare un attacco a forza bruta, reso ulteriormente arduo dal salt aggiunto.

Le mie password degli account che ho sparsi in giro per il mondo sono memorizzate in un file cifrato. Questo perché ho la necessità di leggerle e modificarle, quindi devo avere un metodo per poter tornare “indietro” alla versione “in chiaro” della mia informazione. In questo caso si utilizza un metodo di cifratura che tramite una chiave può “chiudere” (cifrare) o “aprire” (decifrare) il mio file delle password in modo tale che io possa consultarlo e/o modificarlo. Al termine delle operazioni mi sarà sufficiente “chiudere” (cifrare) nuovamente il file per garantirmi la sicurezza che nessuno potrà facilmente leggere il contenuto del mio file delle password senza sapere la chiave e il metodo di cifratura.

Leave a Comment

Filed under cloud, Linux, Sicurezza

Come installare e configurare Telegram

Telegram

Ho già espresso in precedenti occasioni (ad esempio, qui) la mia personale ammirazione per Telegram, un programma per scambiarsi messaggi di testo e file di qualsiasi tipologia.

Oggi vorrei brevemente raccontare come si installa e come muovere i primi passi in questo fantastico software.

Continue reading

Leave a Comment

Filed under Sicurezza, Spunti di riflessione

Perché uso Telegram invece di Uotszapp

Telegram

Ebbene si, io preferisco Telegram. Chi non sa cosa sia può farsi una rapida idea sul sito  https://telegram.org/. In poche parole si tratta di uno strumento per messaggistica… ma non solo.

I motivi per cui lo preferisco? Eccone alcuni:

    1. E’ più sicuro di Uotszapp. Non c’è, al momento, nessun attacco riuscito alla piattaforma Telegram, mentre sull’altra…. (cfr., per esempio, http://bit.ly/1MguFOf e http://bit.ly/1MQUANd). → W la sicurezza!!
    2. E’ multi-dispositivo. Posso installare ed utilizzare contemporaneamente Telegram sul mio smartphone, sui miei PC, sul mio tablet. Indistintamente e contemporaneamente posso avere conversazioni passando dall’uno all’altro dispositivo (utile, ad esempio, quando si scarica la batteria dello smartphone). → W la comodità!!
    3. Posso inviare file (foto, documenti, musica, video, qualsiasi file fino a 1,5 GB direttamente al mio/ai miei destinatari(o). → W l’efficienza!!
    4. E’ più veloce di Uotszapp. Vi invito a scrivere una chat sul PC ed osservare la stessa chat sullo smartphone: quando premete INVIO sul PC per mandare il messaggio istantantaneamente appare anche sullo smartphone (questo grazie al protocollo super-efficiente che è stato inventato proprio per Telegram). Allo stesso modo viene consegnato al destinatario! → W la velocità!!
    5. Telegram ha i canali, (cfr. http://tchannels.me/ )che sono una specie di gruppi ai quali ci si può iscrivere (se pubblici) ma solo in lettura, eliminando quindi l’effetto “puttanaio” delle conversazioni incrociate/multiple. E, ovviamente, chiunque può crearsi i suoi canali!!! W la chiarezza!!
    6. Il client Telegram è OpenSource… e non devo aggiungere altro! → W l’apertura!!
    7. Telegram ha le conversazioni segrete con autodistruzione (sono sempre stato patito per “Mission: impossible!”). Sono conversazioni cifrate tra 2 dispositivi mobili che non passano per nessun server e che possono avere un timer di autodistruzione… → W la privacy!!
    8. Telegram è programmabile! Chiunque può interagire con Telegram tramite le API e tramite i BOT, che sono degli account speciali con dietro un programma che interagisce con i nostri comandi (cfr. https://storebot.me/ ) → W l’interoperabilità!!
    9. Telegram è gratuito. Gli sviluppatori hanno sempre dichiarato che non intendono far soldi con questa applicazione e che quindi rimarrà gratuita per sempre e non contiene pubblicità. → W il risparmio!!

 

 

Mia figlia aggiungerebbe anche un decimo motivo, che riguarda gli stickers (cfr. http://telegramstickers.altervista.org/ ), una serie di emoji evoluta personalizzabile e realizzabile da chiunque.

L’obiezione che mi viene sempre mossa quando ne parlo è la seguente: “Ma chi lo usa? Quanti ce l’hanno?”. La risposta è: “Al momento meno persone di Uotszapp, ma poiché non costa nulla, cosa ti impedisce di installartelo ed iniziare ad usarlo in parallelo all’altro?”.

In genere, chi ha il tempo e la buona volontà di studiare e approfondire la questione, subito dopo diventa “promoter” di Telegram e invita i suoi contatti all’utilizzo.

Se invece non avete voglia di provare qualcosa di nuovo e vi sta bene seguire la moda… no problem, mica vi devo convincere!!

1 Comment

Filed under Sicurezza, Spunti di riflessione, Tempo