Nuova chiave OpenPGP 0xE350BA44

Dopo anni di onorato servizio ho mandato a riposo la mia vecchia chiave DSA 0x4397C730, una chiave a 1024 bit, che già da un pezzo desideravo sostituire con una più forte. Insieme ad essa ho revocato anche l’altra chiave RSA a 2048 bit, creata più per test che per vero utilizzo.

La nuova chiave è la seguente:

pub   4096R/0x2E15B621E350BA44 2014-08-17
      Impronta digitale della chiave = 3CEA 2AAB 56A7 929A A0E9  2AAA 2E15 B621 E350 BA44

Questa chiave è stata firmata con le due precedenti, per cui se avevate firmato le vecchie potete firmare anche la nuova, dopo l’opportuno controllo del fingerprint.

Per scaricare la nuova chiave, la si può importare da terminale con:

gpg --keyserver pgp.mit.edu --recv-key 0x2E15B621E350BA44

o dalla propria applicazione per la gestione delle chiavi, cercando l’ID 0x2E15B621E350BA44

A seguire pubblico la dichiarazione firmata sia con le vecchie chiavi che con la nuova, scaricabile anche in formato testo:

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

Sunday, 17 Aug 2014

For a number of reasons, I've recently set up a new OpenPGP key, and will be transitioning away from my old ones.

The old keys will continue to be valid for some time, but I prefer all future correspondence to come to the new one. I would also like this new key to be re-integrated into the web of trust. This message is signed by both keys to certify the transition.

The old keys were:

pub   1024D/0x4397C730 2006-09-24
      Key fingerprint = 84E2 2BC8 ABE3 DCC0 9F15  E511 4357 7ECD 4397 C730

and:

pub   2048R/0xFEBCB2E9 2008-01-03
      Key fingerprint = FBB5 04E0 36EB CD6A C217  7005 2FBC 61A5 FEBC B2E9

The new key is:

pub   4096R/0xE350BA44 2014-08-17
      Key fingerprint = 3CEA 2AAB 56A7 929A A0E9  2AAA 2E15 B621 E350 BA44

To fetch my new key from a public key server, you can simply do:

  gpg --keyserver pgp.mit.edu --recv-key E350BA44

If you already know my old key, you can now verify that the new key is signed by the old one:

  gpg --check-sigs E350BA44

If you don't already know my old key, or you just want to be double extra paranoid, you can check the fingerprint against the one above:

  gpg --fingerprint E350BA44

If you are satisfied that you've got the right key, and the UIDs match what you expect, I'd appreciate it if you would sign my key:

  gpg --sign-key E350BA44

Lastly, if you could upload these signatures, i would appreciate it. You can either send me an e-mail with the new signatures or you can just upload the signatures to a public keyserver directly:

  gpg --keyserver pgp.mit.edu --send-key E350BA44

Please let me know if there is any trouble, and sorry for the inconvenience.

Regards,
Aldo
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
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=Pn+n
-----END PGP SIGNATURE-----

Per approfondire

Dropbox e l’autenticazione multifattoriale

La schermata di attivazione del servizio "Two-step verification"

Come già presente per Google e LastPass, anche Dropbox ha attivato l’autenticazione multifattoriale, anche se per ora in via sperimentale ma accessibile a chiunque voglia implementarla. Si tratta in sostanza di inserire — oltre la password — anche un’ulteriore piccola serie numerica di sei cifre, generata da un’applicazione installata sullo smartphone o inviata da Dropbox stessa al proprio telefonino tramite SMS. Io, ovviamente, ho attivato il servizio e vi dico che funziona, comprese le applicazioni del mio PlayBook che usano Dropbox.

Continua a leggere Dropbox e l’autenticazione multifattoriale

TrueCrypt insicuro? Ad oggi ancora no

Tra gli avvisi di Google Alert che ricevo settimanalmente ce n’è uno dedicato a TrueCrypt. Nell’email di oggi c’era un titolo davvero interessante: “Disco Cifrato? Recupero password garantito”. TrueCrypt, che appunto serve a cifrare interi dispositivi o a creare porzioni di disco cifrate, sembrerebbe essere arrivato al suo capolinea. L’articolo di Punto informatico mi ha dato a questa impressione: leggendolo sembra che non ci sia niente da fare e ottenere la passphrase di un disco cifrato con un programma di casa Passware parrebbe un gioco da ragazzi.

Se però si dà una lettura alla pagina dedicata a TrueCrypt di Passware Kit Forensic (il “super programma” che «decrypts TrueCrypt and FileVault volumes in minutes», sic!), ci si accorge dove sta la sua forza: o nell’impreparazione di chi usa TrueCrypt (e qui si può intervenire solo chiedendo/obbligando gli utenti a leggere i manuali) o in fattori esterni a TrueCrypt (crash del sistema operativo, riavvio forzato, spegnimento non corretto del PC). Infatti la pagina di Passware Kit Forensic dice esattamente:

NOTE: If the target computer is turned off and the TrueCrypt/BitLocker volume was dismounted during the last hibernation, neither the memory image nor the hiberfil.sys file will contain the encryption keys. Therefore, instant decryption of the volume is impossible. In this case, Passware Kit assigns Brute-force attacks to recover the original password for the volume.

Smontare, quindi, correttamente un disco cifrato, quando non lo si usa, porta l’utilità di quel software prossima allo zero. E in ogni caso, vanno sempre lette e comprese le istruzioni all’uso, nella consapevolezza che anche un buon software come TrueCrypt ha i suoi limiti.

Gerix Wi-Fi Cracker NG in beta pubblica

La nonna mentre testa la vulnerabilità della rete.
La nonna mentre testa la vulnerabilità della rete.

Gerix Wifi Cracker New Generation. Il software che saprebbe usare anche tua nonna! Questo lo slogan scelto da Emanuele Gentili per la sua nuova creazione: un’interfaccia grafica per gli strumenti di penetration testing nei confronti di reti wireless di cui si vogliono scoprire le vulnerabilità. Lo strumento di base utilizzato per fare il test è il noto Aircrack-ng, un potente strumento a riga di comando, già contenuto com’è ovvio in Bact|Track, in grado di spezzare la sicurezza di una rete WEP in meno di due minuti e di quelle WPA e WPA2, anche se con più difficoltà. Questi e tanti altri strumenti, purtroppo, vengono utilizzati anche da cracker e lamer per eseguire attacchi a scopo criminale: noi, per difenderci con efficacia, dobbiamo conoscere quali siano i loro strumenti, come funzionano e metterli in pratica per scoprire prima di loro le nostre vulnerabilità, che purtroppo esistono sempre anche se non sono state ancora scoperte.

L’interfaccia, destinata ai meno avvezzi ma anche non, tenta di diminuire le difficoltà d’uso di Aircrack-NG e prende il nome di Gerix Wi-Fi Cracker NG, in onore alla sua società di consulenza per la sicurezza informatica di privati e soprattutto di aziende, dove la rete è un elemento vitale per la sua attività. Chi volesse partecipare alla fase di test prima del rilascio definitivo può trovare tutte le informazioni in questa pagina.

Ponete attenzione al fatto che strumenti di questo tipo sono veramente potenti e un uso illecito è sanzionato penalmente. Essi sono stati ideati per fare il test della propria rete o delle reti di cui il proprietario ha chiesto di fare il test, dietro la compilazione di appositi moduli specifici e ben articolati¹. A voi la responsabilità di farne un buon uso, diretto esclusivamente alla sicurezza.

[1] Alla fine del test, poi, i professionisti della sicurezza rilasciano un rapporto dettagliato con tutte le vulnerabilità scovate.

TrueCrypt 6.2a

truecryptIl 15 giugno scorso è stata rilasciata la versione 6.2a di TrueCrypt. Consigliato come sempre l’aggiornamento di questo genere di applicazioni, visto che hanno a che fare con la sicurezza.

Per chi scarica la versione per Ubuntu, riporto i passaggi per effettuarne l’aggiornamento:

  1. scaricare il pacchetto dalla pagina Downloads
  2. decomprimerlo
  3. eseguire il file estratto in un terminale con ./truecrypt-6.2a-setup-ubuntu-x86
  4. sulla finestra che appare fare clic su Install TrueCrypt, quindi accettate la licenza
  5. sulla finestra di Gdebi fare clic su Installa pacchetto.

Se desiderate conservare il file .deb, al punto 4 scegliete di estrarre il file e spostatelo da /tmp alla directory di vostra scelta.

Ubuntu e la sicurezza dei nostri dati

Avevo già segnalato il blog di Nicola dal titolo “Blender e d’intorni” in un articolo di un anno fa. Ho appena letto 1, invece, che ha preparato una serie di cinque documenti su come mettere in sicurezza i nostri dati utilizzando gli strumenti che Ubuntu già ci mette a disposizione.

Scrive bene, Nicola, e presenta sempre ottimi contenuti: ve lo consiglio! E siccome la sicurezza è uno dei temi cari a questa mezza cartuccia di blog (il mio, s’intende! :P), non posso che segnalarvelo.

Aggiornamento
Nicola ha reso disponibile nel suo blog una versione in PDF impaginata diversamente. Correte a prelevarla! :)
Aggiornamento 2
Attualmente non risulta raggiungibile il file PDF dal blog di Nicola. Potete prelevarlo da qui.

Note

  1. Tramite Feedly, un’ottima “interfaccia” per Google Reader, cui aggiunge tantissime funzionalità, anche dal lato social.

Perché usare la crittografia (a.k.a. Casa Lastknight 1)

Di crittografia in questo blog se n’è parlato: è un argomento che mi interessa particolarmente e che, per chi non lo sapesse, mi spinse a fare i miei primi passi nel mondo dell'”editoria sul web” (cominciai con un piccolo sito su PGP, sito che non esiste più se non nel mio archivio). E mentre oggi cercavo alcune cosucce, mi è capitato tra le mani la prima puntata di Casa LastKnight, il video podcast di Matteo G.P. Flora, esperto di sicurezza informatica e computer forensics. Ricordo che quella puntata, pubblicata più di un anno fa e incentrata appunto sulla crittografia, mi piacque per la chiarezza espositiva, per il modo affabile della “conversazione” e anche perché ribadiva concetti a me cari.

Oggi l’ho rivista con piacere e la pubblico in Ubuntu block notes, così le diamo di nuovo slancio e nel frattempo ci rinfreschiamo un po’ le conoscenze su un argomento delicato come quello proposto da Matteo.

TrueCrypt 6.1a

tc.pngQuasi quasi mi sfuggiva! È disponibile già da molti giorni la nuova versione di TrueCrypt per il nostro pinguino, così come per i sistemi operativi alternativi. L’aggiornamento introduce migliorie, correzioni di errori e una sicurezza aumentata. Quindi l’upgrade è caldamente consigliato!

Per il changelog fate clic qui, mentre il download è disponibile qui. Vi ricordo che l’archivio compresso per Ubuntu contiene un file eseguibile che, una volta lanciato, vi consente di decomprimere il .deb. In sostanza, scaricate il file, decomprimetelo e da terminale eseguite il file decompresso con

./truecrypt-6.1a-setup-ubuntu-x86

Alla domanda se installarlo ho preferito rispondere di creare il file .deb. Spostate, quindi, il .deb da /tmp alla home con

mv /tmp/truecrypt_6.1a-0_i386.deb ~/

Quindi potete installarlo al solito con

sudo dpkg -i truecrypt_6.1a-0_i386.deb

Gufw, una GUI per il firewall

Ho scritto più volte sulla gestione delle regole del firewall impostate in iptables condividendo con voi un file con alcuni parametri già pronti. Questo file mi ha sempre soddisfatto pienamente: lo modifico lì dove mi serve, aggiungo e tolgo regole a seconda dei casi specifici. Il tutto, ovviamente, avviene in ambiente testuale e bisogna sapere di preciso cosa scrivere.

Diversamente da ciò, si può operare su queste regole per il firewall tramite interfacce grafiche: ne esistono diverse e proprio oggi, leggendo ubuntugeek.com, ne ho provata una, Gufw, un acronimo per Gui for Uncomplicated FireWall.

Installazione e uso di Gufw

Per utilizzarlo è necessario prelevare il file deb dal sito dell’applicazione. Una volta scaricato e installato, troverete Gufw sotto Sistema > Amministrazione > Firewall Configuration. Ecco come si presenta una volta avviato:

Il firewall risulta disattivato, nel senso che non sono state impostate regole diverse da quelle predefinite: il firewall di Linux, cioè Netfilter, è sempre attivo, ma le regole predefinite semplicemente chiudono le porte, senza impostarle come invisibili, vale a dire “stealth”, cosa che con Gufw possiamo fare in un lampo. Per fare una prova, potete recarvi su GRC ShieldsUP e se attivate Gufw il PC risulterà “Stealth”, cioè invisibile, e passerà il test. Se, al contrario, lo disattivate, il PC risulterà “Closed”, senza passare il test: questo significa che le porte hanno risposto alle richieste effettuate, anche se comunque non hanno concesso di entrare. Con alcune regole precise, invece, il PC risulterà invisibile perché le porte risulteranno non presenti.

Attivate, dunque, Gufw, che si presenterà così:

Niente di più facile! Nella scheda “Semplice” potete scegliere se permettere o bloccare una determinata porta o un servizio e se su TCP o su UDP. Nella scheda “Preconfigurata”, invece, potete selezionare alcuni servizi già pronti per essere permessi o impediti, oppure potete direttamente bloccare o sbloccare l’accesso di programmi come Transmission, Deluge o Azureus:

Nella scheda “Avanzate” avete libertà di impostare con più precisione il vostro firewall, tramite range di indirizzi IP e porte.

Il programma, una volta avviato e impostato nelle regole, scrive i parametri e può anche essere chiuso. Le regole continueranno a funzionare, senza necessità di tenere avviato Gufw. Nella scheda delle impostazioni ecco cosa trovate:

A me sta risultando molto comodo, ad esempio, aprire la porta 21 del servizio FTP quando mi serve, anziché aprire il file di testo contenente le regole e riavviare il firewall.

Come già detto, esistono altre interfacce che svolgono lo stesso lavoro e Gufw mi sembra una di quelle da consigliare per la sua semplicità e immediatezza di utilizzo.