Archivi categoria: Sicurezza

Come rendere ancora più sicuri Linux e WordPress.

31 articoli — pagina 1 di 4

La schermata di attivazione del servizio "Two-step verification"

Dropbox e l’autenticazione multifattoriale

Come già presente per Google e LastPass, anche Dropbox ha attivato l’autenticazione multifattoriale, anche se per ora in via sperimentale ma accessibile a chiunque voglia implementarla. Si tratta in sostanza di inserire — oltre la password — anche un’ulteriore piccola serie numerica di sei cifre, generata da un’applicazione installata sullo smartphone o inviata da Dropbox stessa al proprio telefonino tramite SMS. Io, ovviamente, ho attivato il servizio e vi dico che funziona, comprese le applicazioni del mio PlayBook che usano Dropbox.

Continua a leggere

TrueCrypt insicuro? Ad oggi ancora no

Tra gli avvisi di Google Alert che ricevo settimanalmente ce n’è uno dedicato a TrueCrypt. Nell’email di oggi c’era un titolo davvero interessante: “Disco Cifrato? Recupero password garantito”. TrueCrypt, che appunto serve a cifrare interi dispositivi o a creare porzioni di disco cifrate, sembrerebbe essere arrivato al suo capolinea. L’articolo di Punto informatico mi ha dato a questa impressione: leggendolo sembra che non ci sia niente da fare e ottenere la passphrase di un disco cifrato con un programma di casa Passware parrebbe un gioco da ragazzi.

Se però si dà una lettura alla pagina dedicata a TrueCrypt di Passware Kit Forensic (il “super programma” che «decrypts TrueCrypt and FileVault volumes in minutes», sic!), ci si accorge dove sta la sua forza: o nell’impreparazione di chi usa TrueCrypt (e qui si può intervenire solo chiedendo/obbligando gli utenti a leggere i manuali) o in fattori esterni a TrueCrypt (crash del sistema operativo, riavvio forzato, spegnimento non corretto del PC). Infatti la pagina di Passware Kit Forensic dice esattamente:

NOTE: If the target computer is turned off and the TrueCrypt/BitLocker volume was dismounted during the last hibernation, neither the memory image nor the hiberfil.sys file will contain the encryption keys. Therefore, instant decryption of the volume is impossible. In this case, Passware Kit assigns Brute-force attacks to recover the original password for the volume.

Smontare, quindi, correttamente un disco cifrato, quando non lo si usa, porta l’utilità di quel software prossima allo zero. E in ogni caso, vanno sempre lette e comprese le istruzioni all’uso, nella consapevolezza che anche un buon software come TrueCrypt ha i suoi limiti.

Gerix Wi-Fi Cracker NG in beta pubblica

La nonna mentre testa la vulnerabilità della rete.
La nonna mentre testa la vulnerabilità della rete.

Gerix Wifi Cracker New Generation. Il software che saprebbe usare anche tua nonna! Questo lo slogan scelto da Emanuele Gentili per la sua nuova creazione: un’interfaccia grafica per gli strumenti di penetration testing nei confronti di reti wireless di cui si vogliono scoprire le vulnerabilità. Lo strumento di base utilizzato per fare il test è il noto Aircrack-ng, un potente strumento a riga di comando, già contenuto com’è ovvio in Bact|Track, in grado di spezzare la sicurezza di una rete WEP in meno di due minuti e di quelle WPA e WPA2, anche se con più difficoltà. Questi e tanti altri strumenti, purtroppo, vengono utilizzati anche da cracker e lamer per eseguire attacchi a scopo criminale: noi, per difenderci con efficacia, dobbiamo conoscere quali siano i loro strumenti, come funzionano e metterli in pratica per scoprire prima di loro le nostre vulnerabilità, che purtroppo esistono sempre anche se non sono state ancora scoperte.

L’interfaccia, destinata ai meno avvezzi ma anche non, tenta di diminuire le difficoltà d’uso di Aircrack-NG e prende il nome di Gerix Wi-Fi Cracker NG, in onore alla sua società di consulenza per la sicurezza informatica di privati e soprattutto di aziende, dove la rete è un elemento vitale per la sua attività. Chi volesse partecipare alla fase di test prima del rilascio definitivo può trovare tutte le informazioni in questa pagina.

Ponete attenzione al fatto che strumenti di questo tipo sono veramente potenti e un uso illecito è sanzionato penalmente. Essi sono stati ideati per fare il test della propria rete o delle reti di cui il proprietario ha chiesto di fare il test, dietro la compilazione di appositi moduli specifici e ben articolati¹. A voi la responsabilità di farne un buon uso, diretto esclusivamente alla sicurezza.

[1] Alla fine del test, poi, i professionisti della sicurezza rilasciano un rapporto dettagliato con tutte le vulnerabilità scovate.

TrueCrypt 6.2a

truecryptIl 15 giugno scorso è stata rilasciata la versione 6.2a di TrueCrypt. Consigliato come sempre l’aggiornamento di questo genere di applicazioni, visto che hanno a che fare con la sicurezza.

Per chi scarica la versione per Ubuntu, riporto i passaggi per effettuarne l’aggiornamento:

  1. scaricare il pacchetto dalla pagina Downloads
  2. decomprimerlo
  3. eseguire il file estratto in un terminale con ./truecrypt-6.2a-setup-ubuntu-x86
  4. sulla finestra che appare fare clic su Install TrueCrypt, quindi accettate la licenza
  5. sulla finestra di Gdebi fare clic su Installa pacchetto.

Se desiderate conservare il file .deb, al punto 4 scegliete di estrarre il file e spostatelo da /tmp alla directory di vostra scelta.

sicurezza-pc-dati

Ubuntu e la sicurezza dei nostri dati

Avevo già segnalato il blog di Nicola dal titolo “Blender e d’intorni” in un articolo di un anno fa. Ho appena letto 1, invece, che ha preparato una serie di cinque documenti su come mettere in sicurezza i nostri dati utilizzando gli strumenti che Ubuntu già ci mette a disposizione.

Scrive bene, Nicola, e presenta sempre ottimi contenuti: ve lo consiglio! E siccome la sicurezza è uno dei temi cari a questa mezza cartuccia di blog (il mio, s’intende! :P), non posso che segnalarvelo.

Aggiornamento
Nicola ha reso disponibile nel suo blog una versione in PDF impaginata diversamente. Correte a prelevarla! :)
Aggiornamento 2
Attualmente non risulta raggiungibile il file PDF dal blog di Nicola. Potete prelevarlo da qui.

Note

  1. Tramite Feedly, un’ottima “interfaccia” per Google Reader, cui aggiunge tantissime funzionalità, anche dal lato social.

Perché usare la crittografia (a.k.a. Casa Lastknight 1)

Di crittografia in questo blog se n’è parlato: è un argomento che mi interessa particolarmente e che, per chi non lo sapesse, mi spinse a fare i miei primi passi nel mondo dell’”editoria sul web” (cominciai con un piccolo sito su PGP, sito che non esiste più se non nel mio archivio). E mentre oggi cercavo alcune cosucce, mi è capitato tra le mani la prima puntata di Casa LastKnight, il video podcast di Matteo G.P. Flora, esperto di sicurezza informatica e computer forensics. Ricordo che quella puntata, pubblicata più di un anno fa e incentrata appunto sulla crittografia, mi piacque per la chiarezza espositiva, per il modo affabile della “conversazione” e anche perché ribadiva concetti a me cari.

Oggi l’ho rivista con piacere e la pubblico in Ubuntu block notes, così le diamo di nuovo slancio e nel frattempo ci rinfreschiamo un po’ le conoscenze su un argomento delicato come quello proposto da Matteo.

TrueCrypt 6.1a

tc.pngQuasi quasi mi sfuggiva! È disponibile già da molti giorni la nuova versione di TrueCrypt per il nostro pinguino, così come per i sistemi operativi alternativi. L’aggiornamento introduce migliorie, correzioni di errori e una sicurezza aumentata. Quindi l’upgrade è caldamente consigliato!

Per il changelog fate clic qui, mentre il download è disponibile qui. Vi ricordo che l’archivio compresso per Ubuntu contiene un file eseguibile che, una volta lanciato, vi consente di decomprimere il .deb. In sostanza, scaricate il file, decomprimetelo e da terminale eseguite il file decompresso con

./truecrypt-6.1a-setup-ubuntu-x86

Alla domanda se installarlo ho preferito rispondere di creare il file .deb. Spostate, quindi, il .deb da /tmp alla home con

mv /tmp/truecrypt_6.1a-0_i386.deb ~/

Quindi potete installarlo al solito con

sudo dpkg -i truecrypt_6.1a-0_i386.deb

Gufw, una GUI per il firewall

Ho scritto più volte sulla gestione delle regole del firewall impostate in iptables condividendo con voi un file con alcuni parametri già pronti. Questo file mi ha sempre soddisfatto pienamente: lo modifico lì dove mi serve, aggiungo e tolgo regole a seconda dei casi specifici. Il tutto, ovviamente, avviene in ambiente testuale e bisogna sapere di preciso cosa scrivere.

Diversamente da ciò, si può operare su queste regole per il firewall tramite interfacce grafiche: ne esistono diverse e proprio oggi, leggendo ubuntugeek.com, ne ho provata una, Gufw, un acronimo per Gui for Uncomplicated FireWall.

Installazione e uso di Gufw

Per utilizzarlo è necessario prelevare il file deb dal sito dell’applicazione. Una volta scaricato e installato, troverete Gufw sotto Sistema > Amministrazione > Firewall Configuration. Ecco come si presenta una volta avviato:

Il firewall risulta disattivato, nel senso che non sono state impostate regole diverse da quelle predefinite: il firewall di Linux, cioè Netfilter, è sempre attivo, ma le regole predefinite semplicemente chiudono le porte, senza impostarle come invisibili, vale a dire “stealth”, cosa che con Gufw possiamo fare in un lampo. Per fare una prova, potete recarvi su GRC ShieldsUP e se attivate Gufw il PC risulterà “Stealth”, cioè invisibile, e passerà il test. Se, al contrario, lo disattivate, il PC risulterà “Closed”, senza passare il test: questo significa che le porte hanno risposto alle richieste effettuate, anche se comunque non hanno concesso di entrare. Con alcune regole precise, invece, il PC risulterà invisibile perché le porte risulteranno non presenti.

Attivate, dunque, Gufw, che si presenterà così:

Niente di più facile! Nella scheda “Semplice” potete scegliere se permettere o bloccare una determinata porta o un servizio e se su TCP o su UDP. Nella scheda “Preconfigurata”, invece, potete selezionare alcuni servizi già pronti per essere permessi o impediti, oppure potete direttamente bloccare o sbloccare l’accesso di programmi come Transmission, Deluge o Azureus:

Nella scheda “Avanzate” avete libertà di impostare con più precisione il vostro firewall, tramite range di indirizzi IP e porte.

Il programma, una volta avviato e impostato nelle regole, scrive i parametri e può anche essere chiuso. Le regole continueranno a funzionare, senza necessità di tenere avviato Gufw. Nella scheda delle impostazioni ecco cosa trovate:

A me sta risultando molto comodo, ad esempio, aprire la porta 21 del servizio FTP quando mi serve, anziché aprire il file di testo contenente le regole e riavviare il firewall.

Come già detto, esistono altre interfacce che svolgono lo stesso lavoro e Gufw mi sembra una di quelle da consigliare per la sua semplicità e immediatezza di utilizzo.

FoolDNS e la privacy

L'immagine di apertura del sito di FoolDNS

Se siete stufi del costante tracciamento della vostra navigazione e della onnipresente pubblicità in rete (spesso con animazioni Flash davvero pesanti per chi come me ha un vecchissimo PC), allora cambiate il vostro DNS server. È nato da poco (ed è ancora in fase di beta a invito) FoolDNS, un DNS server che non solo tutela la vostra privacy durante la navigazione, ma blocca tutti i circuiti pubblicitari che non aderiscono a stretti rigori etici imposti dal nuovo servizio:

Ogni volta che aprite una pagina web, ogni volta che appare un banner, ogni volta che eseguite particolare codice, una buona parte di vostre informazioni personali passano di mano: non le state dando al sito che visitate, ma a network che le utilizzano. Spesso senza che voi ne sappiate la destinazione.
FoolDNS blocca la maggior parte di questi tentativi di intrusione nella vostra privacy. [...]
Enormi circuiti acquisiscono senza il nostro consenso informazioni di navigazione, riuscendo anche a triangolare le nostre preferenze su vari siti. Acquisendo informazioni e know-how su chi siamo, cosa facciamo, che siti navighiamo. Tutto senza il nostro esplicito consenso. [...]
FoolDNS memorizza l’IP che effettua le query al DNS per 90 minuti o 1Mb di log, quale dei due sia superiore. Trascorso questo periodo (in realtà anche meno di 60 minuti a regime) i log del servizio DNS vengono epurati dell’IP e permangono nelle statistiche di utilizzo con il solo nome richiesto. Le statistiche di utilizzo saranno pubbliche.

Per poter partecipare alla beta di questo servizio, è sufficiente inoltrare la vostra adesione da questa pagina (troverete un indirizzo email) e, se sarà accolta la vostra richiesta, vi saranno inviate tutte le informazioni necessarie. I benefici, comunque, non si fermano solo a quelli elencati: nel sito trovate tutti i dettagli.