Bloccare l’accesso al file wp-login.php

È da molti mesi che riscontro tentativi continui di accesso non autorizzato alla dashboard di WordPress: qualcuno/qualcosa tenta senza sosta di indovinare il nome utente dell’amministratore e della sua password. Me ne accorgo dalle segnalazioni che mi arrivano tramite il plugin Limit login attempts.

Il plugin, che pare non essere più mantenuto (e per questo motivo cerco un’alternativa), fa bene il suo lavoro ma, nonostante ciò, non è bello per me ricevere tutte quelle email giornaliere da parte sua. Per cui ho deciso di risolvere alla base il problema.

Continua a leggere Bloccare l’accesso al file wp-login.php

Nuova chiave OpenPGP 0xE350BA44

Dopo anni di onorato servizio ho mandato a riposo la mia vecchia chiave DSA 0x4397C730, una chiave a 1024 bit, che già da un pezzo desideravo sostituire con una più forte. Insieme ad essa ho revocato anche l’altra chiave RSA a 2048 bit, creata più per test che per vero utilizzo.

Continua a leggere Nuova chiave OpenPGP 0xE350BA44

Dropbox e l’autenticazione multifattoriale

La schermata di attivazione del servizio "Two-step verification"

Come già presente per Google e LastPass, anche Dropbox ha attivato l’autenticazione multifattoriale, anche se per ora in via sperimentale ma accessibile a chiunque voglia implementarla. Si tratta in sostanza di inserire — oltre la password — anche un’ulteriore piccola serie numerica di sei cifre, generata da un’applicazione installata sullo smartphone o inviata da Dropbox stessa al proprio telefonino tramite SMS. Io, ovviamente, ho attivato il servizio e vi dico che funziona, comprese le applicazioni del mio PlayBook che usano Dropbox.

Continua a leggere Dropbox e l’autenticazione multifattoriale

TrueCrypt insicuro? Ad oggi ancora no

Tra gli avvisi di Google Alert che ricevo settimanalmente ce n’è uno dedicato a TrueCrypt. Nell’email di oggi c’era un titolo davvero interessante: “Disco Cifrato? Recupero password garantito”. TrueCrypt, che appunto serve a cifrare interi dispositivi o a creare porzioni di disco cifrate, sembrerebbe essere arrivato al suo capolinea. L’articolo di Punto informatico mi ha dato a questa impressione: leggendolo sembra che non ci sia niente da fare e ottenere la passphrase di un disco cifrato con un programma di casa Passware parrebbe un gioco da ragazzi.

Se però si dà una lettura alla pagina dedicata a TrueCrypt di Passware Kit Forensic (il “super programma” che «decrypts TrueCrypt and FileVault volumes in minutes», sic!), ci si accorge dove sta la sua forza: o nell’impreparazione di chi usa TrueCrypt (e qui si può intervenire solo chiedendo/obbligando gli utenti a leggere i manuali) o in fattori esterni a TrueCrypt (crash del sistema operativo, riavvio forzato, spegnimento non corretto del PC). Infatti la pagina di Passware Kit Forensic dice esattamente:

NOTE: If the target computer is turned off and the TrueCrypt/BitLocker volume was dismounted during the last hibernation, neither the memory image nor the hiberfil.sys file will contain the encryption keys. Therefore, instant decryption of the volume is impossible. In this case, Passware Kit assigns Brute-force attacks to recover the original password for the volume.

Smontare, quindi, correttamente un disco cifrato, quando non lo si usa, porta l’utilità di quel software prossima allo zero. E in ogni caso, vanno sempre lette e comprese le istruzioni all’uso, nella consapevolezza che anche un buon software come TrueCrypt ha i suoi limiti.

Gerix Wi-Fi Cracker NG in beta pubblica

La nonna mentre testa la vulnerabilità della rete.
La nonna mentre testa la vulnerabilità della rete.

Gerix Wifi Cracker New Generation. Il software che saprebbe usare anche tua nonna! Questo lo slogan scelto da Emanuele Gentili per la sua nuova creazione: un’interfaccia grafica per gli strumenti di penetration testing nei confronti di reti wireless di cui si vogliono scoprire le vulnerabilità. Lo strumento di base utilizzato per fare il test è il noto Aircrack-ng, un potente strumento a riga di comando, già contenuto com’è ovvio in Bact|Track, in grado di spezzare la sicurezza di una rete WEP in meno di due minuti e di quelle WPA e WPA2, anche se con più difficoltà. Questi e tanti altri strumenti, purtroppo, vengono utilizzati anche da cracker e lamer per eseguire attacchi a scopo criminale: noi, per difenderci con efficacia, dobbiamo conoscere quali siano i loro strumenti, come funzionano e metterli in pratica per scoprire prima di loro le nostre vulnerabilità, che purtroppo esistono sempre anche se non sono state ancora scoperte.

L’interfaccia, destinata ai meno avvezzi ma anche non, tenta di diminuire le difficoltà d’uso di Aircrack-NG e prende il nome di Gerix Wi-Fi Cracker NG, in onore alla sua società di consulenza per la sicurezza informatica di privati e soprattutto di aziende, dove la rete è un elemento vitale per la sua attività. Chi volesse partecipare alla fase di test prima del rilascio definitivo può trovare tutte le informazioni in questa pagina.

Ponete attenzione al fatto che strumenti di questo tipo sono veramente potenti e un uso illecito è sanzionato penalmente. Essi sono stati ideati per fare il test della propria rete o delle reti di cui il proprietario ha chiesto di fare il test, dietro la compilazione di appositi moduli specifici e ben articolati¹. A voi la responsabilità di farne un buon uso, diretto esclusivamente alla sicurezza.

[1] Alla fine del test, poi, i professionisti della sicurezza rilasciano un rapporto dettagliato con tutte le vulnerabilità scovate.

TrueCrypt 6.2a

truecryptIl 15 giugno scorso è stata rilasciata la versione 6.2a di TrueCrypt. Consigliato come sempre l’aggiornamento di questo genere di applicazioni, visto che hanno a che fare con la sicurezza.

Per chi scarica la versione per Ubuntu, riporto i passaggi per effettuarne l’aggiornamento:

  1. scaricare il pacchetto dalla pagina Downloads
  2. decomprimerlo
  3. eseguire il file estratto in un terminale con
    ./truecrypt-6.2a-setup-ubuntu-x86
  4. sulla finestra che appare fare clic su Install TrueCrypt, quindi accettate la licenza
  5. sulla finestra di Gdebi fare clic su Installa pacchetto.

Se desiderate conservare il file .deb, al punto 4 scegliete di estrarre il file e spostatelo da /tmp alla directory di vostra scelta.

Ubuntu e la sicurezza dei nostri dati

Avevo già segnalato il blog di Nicola dal titolo “Blender e d’intorni” in un articolo di un anno fa. Ho appena letto 1, invece, che ha preparato una serie di cinque documenti su come mettere in sicurezza i nostri dati utilizzando gli strumenti che Ubuntu già ci mette a disposizione.

Scrive bene, Nicola, e presenta sempre ottimi contenuti: ve lo consiglio! E siccome la sicurezza è uno dei temi cari a questa mezza cartuccia di blog (il mio, s’intende! :P), non posso che segnalarvelo.

Aggiornamento
Nicola ha reso disponibile nel suo blog una versione in PDF impaginata diversamente. Correte a prelevarla! :)
Aggiornamento 2
Attualmente non risulta raggiungibile il file PDF dal blog di Nicola. Potete prelevarlo da qui.

Note

  1. Tramite Feedly, un’ottima “interfaccia” per Google Reader, cui aggiunge tantissime funzionalità, anche dal lato social.

Perché usare la crittografia (a.k.a. Casa Lastknight 1)

Di crittografia in questo blog se n’è parlato: è un argomento che mi interessa particolarmente e che, per chi non lo sapesse, mi spinse a fare i miei primi passi nel mondo dell'”editoria sul web” (cominciai con un piccolo sito su PGP, sito che non esiste più se non nel mio archivio). E mentre oggi cercavo alcune cosucce, mi è capitato tra le mani la prima puntata di Casa LastKnight, il video podcast di Matteo G.P. Flora, esperto di sicurezza informatica e computer forensics. Ricordo che quella puntata, pubblicata più di un anno fa e incentrata appunto sulla crittografia, mi piacque per la chiarezza espositiva, per il modo affabile della “conversazione” e anche perché ribadiva concetti a me cari.

Oggi l’ho rivista con piacere e la pubblico in Ubuntu block notes, così le diamo di nuovo slancio e nel frattempo ci rinfreschiamo un po’ le conoscenze su un argomento delicato come quello proposto da Matteo.

TrueCrypt 6.1a

tc.pngQuasi quasi mi sfuggiva! È disponibile già da molti giorni la nuova versione di TrueCrypt per il nostro pinguino, così come per i sistemi operativi alternativi. L’aggiornamento introduce migliorie, correzioni di errori e una sicurezza aumentata. Quindi l’upgrade è caldamente consigliato!

Per il changelog fate clic qui, mentre il download è disponibile qui. Vi ricordo che l’archivio compresso per Ubuntu contiene un file eseguibile che, una volta lanciato, vi consente di decomprimere il .deb. In sostanza, scaricate il file, decomprimetelo e da terminale eseguite il file decompresso con

./truecrypt-6.1a-setup-ubuntu-x86

Alla domanda se installarlo ho preferito rispondere di creare il file .deb. Spostate, quindi, il .deb da /tmp alla home con

mv /tmp/truecrypt_6.1a-0_i386.deb ~/

Quindi potete installarlo al solito con

sudo dpkg -i truecrypt_6.1a-0_i386.deb