Tag Archives: sicurezza

La falsa sicurezza

Ransomware

Da qualche tempo ed in particolare negli ultimi giorni si parla sempre più spesso di Ransomware, ossia di particolari programmi malevoli che si inseriscono nei computer degli ignari uton.. emh utenti, ne cifrano il contenuto (in tutto o parte di esso) e poi chiedono un riscatto per “rilasciare” i file, ossia farli tornare in chiaro utilizzabili dal legittimo proprietario.

Questa speciale variante di virus è particolarmente fastidiosa perché difficilmente debellabile dopo l’infezione e perché priva l’utente dei suoi file senza molte speranze di recupero. Infatti non è così scontato, anzi lo è sempre meno, che pagando il riscatto richiesto si ottenga in cambio la “chiave” per sbloccare i file. Il malefico meccanismo quindi, deve essere affrontato preventivamente seguendo due approcci paralleli e non mutuamente esclusivi:

  1. Attuare tutte le politiche standard di sicurezza che minimizzano il rischio di infezione. A mero titolo di esempio non esaustivo: antivirus aggiornato, firewall, non aprire allegati da mittenti sconosciuti, non aprire mail sospette anche se provenienti da mittenti conosciuti, etc etc (secondo il proprio grado di paranoia).
  2. Implementare politiche di backup dei propri dati efficienti ed efficaci ed attuarle costantemente, come se fossimo esposti a rischio permanente e perenne.

Mi voglio soffermare con questo breve ragionamento sul secondo punto: eseguire i backup (ed ogni tanto anche il restore!!). La sicurezza assoluta non esiste, però cerchiamo almeno di ottenere il giusto livello adatto alle nostre esigenze.

Molte persone pensano che i sempre più diffusi meccanismi di memorizzazione dei file in cloud (es. Dropbox, Google Drive, Mega, etc etc) tramite sistemi automatici di sincronizzazione siano equivalenti ad un backup. Personalmente non concordo con questa visione perché genera una falsa sicurezza. Il meccanismo di sincronizzazione è molto utile perché mi libera dal pensiero di aggiornare la copia sul cloud. Se però vengo contagiato da un Ramsonware (ne esistono molte varianti) e il mio file viene cifrato, il meccanismo di sincronizzazione si accorgerà che il file è cambiato e lo invierà prontamente sul cloud. Avrò quindi una copia locale compromessa e una copia remota ugualmente inutilizzabile. Non tutti i servizi di cloud storage offrono la possibilità di fare “versioning” in automatico, quindi si rischia che l’unica copia sul cloud sia criptata e di conseguenza inutilizzabile. Inoltre non sempre è possibile, se presenti, intervenire sulle modalità  di versioning (numero di versioni, data antecedente/posteriore a, etc etc), quindi se non ci accorgiamo subito del danno (ad esempio, infezione parziale) rischiamo che, se anche  il servizio di storage cloud mantiene più versioni, le stesse siano ugualmente danneggiate.

Il backup invece permette di salvare i file ad intervalli regolari, con politiche che posso decidere autonomamente, su dispositivi non necessariamente sempre collegati al mio computer. Se sono bravo a definire la mia strategia di backup (una volta a settimana, due volte al giorno, un backup ogni ora, ovviamente il tutto in base alle personali esigenze di ciascuno), anche se sono colpito da un Ramsonware, avrò modo di ripartire con una copia utilizzabile dei miei dati. Ovviamente tutto ha un costo, quindi la scelta di effettuare i backup comporta costi di archiviazione (disco rigido, storage in cloud, virtual machine remota, nastri, etc etc), costi di gestione/manutenzione (ad esempio, effettuare un backup  a freddo, ossia con tutto fermo, comporta di interrompere le attività e anche questo ha un costo; programmare delle politiche di backup adeguate ha un costo; verificare i backup ha un costo; pianificare ed eseguire i test periodicamente ha un costo; etc etc). Su Linux io uso Back-in-Time, un programma per effettuare i backup analogo al famoso Time-Machine del mondo MacOS. Questo programma, molto semplice da usare, permette di attuare pratiche di backup efficaci ed efficienti ed è adatto all’utilizzo da parte di chiunque: permette di schedulare i backup o di eseguirli manualmente, memorizza i backup in maniera incrementale rispetto ad un primo backup “full” per contenere l’occupazione degli spazi di archiviazione, permette di cifrare i backup ed ha molti altri parametri personalizzabili. Consiglio agli amici “pinguini” di provarlo a prescindere dalla minore paura di essere contagiati da un Ramsonware.

Leave a Comment

Filed under cloud, Sicurezza

Hash o cifratura? Questo è il dilemma

Parafrasando la celebre frase di Amleto, ci può capitare nella vita informatica di affrontare un problema di sicurezza: memorizzare una informazione importante in maniera quanto più sicura possibile.

Le tecniche che ci vengono messe a disposizione sono principalmente due: l’hashing e la cifratura.

Entrambi generano una versione dell’informazione oscurata, incomprensibile. La differenza sostanziale risiede nella capacità di risalire al testo originario partendo dal risultato offuscato. Con l’hashing questa cosa è impossibile, mentre con il testo cifrato è possibile (conoscendo la chiave e il metodo di cifratura).

Questa piccola ma sostanziale differenza aiuta a scegliere l’uno o l’altro metodo in funzione dell’utilizzo dell’informazione offuscata.

Facciamo un paio di esempi pratici. Le password degli utenti Linux sono memorizzate ottenendo il risultato di un hash sulla password in chiaro più un salt, ossia un testo random aggiunto alla password in chiaro. Al momento del login, il sistema operativo accetta la password in input dall’utente, riapplica lo stesso algoritmo di hashing e confronta i due risultati: se uguali allora l’utente è autorizzato a proseguire, altrimenti viene negato l’accesso. Questo meccanismo comporta una sicurezza elevata perché l’unico metodo a disposizione per trovare la password in chiaro sarà provare un attacco a forza bruta, reso ulteriormente arduo dal salt aggiunto.

Le mie password degli account che ho sparsi in giro per il mondo sono memorizzate in un file cifrato. Questo perché ho la necessità di leggerle e modificarle, quindi devo avere un metodo per poter tornare “indietro” alla versione “in chiaro” della mia informazione. In questo caso si utilizza un metodo di cifratura che tramite una chiave può “chiudere” (cifrare) o “aprire” (decifrare) il mio file delle password in modo tale che io possa consultarlo e/o modificarlo. Al termine delle operazioni mi sarà sufficiente “chiudere” (cifrare) nuovamente il file per garantirmi la sicurezza che nessuno potrà facilmente leggere il contenuto del mio file delle password senza sapere la chiave e il metodo di cifratura.

Leave a Comment

Filed under cloud, Linux, Sicurezza

Come installare e configurare Telegram

Telegram

Ho già espresso in precedenti occasioni (ad esempio, qui) la mia personale ammirazione per Telegram, un programma per scambiarsi messaggi di testo e file di qualsiasi tipologia.

Oggi vorrei brevemente raccontare come si installa e come muovere i primi passi in questo fantastico software.

Continue reading

Leave a Comment

Filed under Sicurezza, Spunti di riflessione

[The password saga] Il doppio passo

Qualche giorno fa è stata pubblicata la classifica delle password più scadenti dello scorso anno 2014 (cfr. http://bit.ly/badpassword2014)

Per ovviare a questa evidente debolezza umana, molti servizi online hanno iniziato ad offrire la possibilità di attivare l’autenticazione a due passaggi.

Continue reading

Leave a Comment

Filed under Sicurezza, Spunti di riflessione

I miei (piccoli) Big Data

Ho preso spunto da un fatto che mi è accaduto personalmente per cercare di sperimentare un minimo di analisi e rappresentazione di una discreta quantità di dati.

Il fatto è il seguente: sin dai primi mesi dell’anno è in corso un attacco informatico di tipo brute-force a tutti i siti realizzati con WordPress per tentare di carpire la password di amministratore. Per limitare e contrastare questo tipo di attacco ho messo in atto una serie di contromisure, tra cui l’installazione di un plugin che rende difficile (se non impossibile) per un sistema automatico eseguire il tentativo di login con prospettive di successo. Questo plugin mi avvisa tramite email, oltre che scrivere il record in un log, per ogni tentativo fraudolento non andato a buon fine. Dal momento che l’ho attivato ho sottoposto la mia casella di posta ad un super-lavoro. Non immaginavo certo che un sito microscopico e sconosciuto come il mio fosse oggetto di tante “attenzioni”.

Ho iniziato quindi a pensare che potevo visualizzare su una mappa di Google i vari punti del mondo da dove partivano gli attacchi. Non sono un programmatore sopraffino, quindi ho iniziato a cercare qualcuno che avesse realizzato un qualcosa di simile per capire e studiare la realizzazione. Mi sono imbattuto nel progetto Rastrack (http://rastrack.co.uk/) e ho contattato l’autore che mi ha dato delle utili indicazioni su quali API di Google Maps utilizzare.
Per pigrizia non mi ero ancora messo all’opera quando l’altro giorno, tra un tweet ed un altro, mi sono imbattuto in un articolo di “Che Futuro” che trattava di strumenti utili per l’analisi e la visualizzazione dei dati. Colto da una irrefenabile curiosità, mi sono addentrato nei meandri e ho scoperto che esiste Fusion Table,  un add-on di Google Drive che faceva proprio al caso mio.

Caricando il file degli attacchi (in un successivo articolo spiegherò come l’ho realizzato sul mio Raspberry PI) ho ottenuto questo risultato:

Dopo questa prima “fatica”, mi sono accorto che potrebbe essere utile avere una sorta di “classifica” degli attacchi, classifica realizzabile secondo vari parametri. Ad esempio, una mia personale curiosità riguarda la collocazione geografica degli attacchi. Detto fatto, con lo strumento ho realizzato con un paio di click questo grafico.

Anche sapere quale è il giorno preferito per gli attacchi non è male….

Beh, niente di che ma più che sufficienti per la mia curiosità! Mi riprometto di industrializzare l’estrazione e la normalizzazione dei dati per poter offrire una mappa sempre aggiornata.

 

Leave a Comment

Filed under Raspberry PI, Spunti di riflessione