Archivio tag: Sicurezza

La sicurezza su Linux e WordPress

TrueCrypt insicuro? Ad oggi ancora no

Pubblicato il da
1

Tra gli avvisi di Google Alert che ricevo settimanalmente ce n’è uno dedicato a TrueCrypt. Nell’email di oggi c’era un titolo davvero interessante: “Disco Cifrato? Recupero password garantito”. TrueCrypt, che appunto serve a cifrare interi dispositivi o a creare porzioni di disco cifrate, sembrerebbe essere arrivato al suo capolinea. L’articolo di Punto informatico mi ha dato a questa impressione: leggendolo sembra che non ci sia niente da fare e ottenere la passphrase di un disco cifrato con un programma di casa Passware parrebbe un gioco da ragazzi.

Se però si dà una lettura alla pagina dedicata a TrueCrypt di Passware Kit Forensic (il “super programma” che «decrypts TrueCrypt and FileVault volumes in minutes», sic!), ci si accorge dove sta la sua forza: o nell’impreparazione di chi usa TrueCrypt (e qui si può intervenire solo chiedendo/obbligando gli utenti a leggere i manuali) o in fattori esterni a TrueCrypt (crash del sistema operativo, riavvio forzato, spegnimento non corretto del PC). Infatti la pagina di Passware Kit Forensic dice esattamente:

NOTE: If the target computer is turned off and the TrueCrypt/BitLocker volume was dismounted during the last hibernation, neither the memory image nor the hiberfil.sys file will contain the encryption keys. Therefore, instant decryption of the volume is impossible. In this case, Passware Kit assigns Brute-force attacks to recover the original password for the volume.

Smontare, quindi, correttamente un disco cifrato, quando non lo si usa, porta l’utilità di quel software prossima allo zero. E in ogni caso, vanno sempre lette e comprese le istruzioni all’uso, nella consapevolezza che anche un buon software come TrueCrypt ha i suoi limiti.

Offuscare le email: lo shortcode per WordPress

Pubblicato il da
5

WordPress ha una funzione poco nota, messa alcuni giorni fa in evidenza da WP Recipes e poi ripresa da Panese. La funzione si chiama antispambot e serve ad offuscare gli indirizzi email ai crawler finalizzati allo spam.

Vorrei spendere, però, qualche parola in più sul suo funzionamento.
Continua a leggere

Bloccare nomi di dominio via file hosts

Pubblicato il da

Una delle esigenze di cui si può aver bisogno nella nostra esperienza di navigatori sul Web è quella relativa al blocco di un nome di dominio o alla sua deviazione verso un altro. I motivi di ciò possono essere diversi, ma probabilmente il principale riguarderà la sicurezza.

Effettuare questa operazione non richiede particolari capacità e possiamo scegliere se bloccare tout-court un nome di dominio (per “nome di dominio” si intende un indirizzo web del tipo facebook.com) o deviarlo verso un altro (ad esempio, deviare la richiesta del dominio facebook.com verso google.it). Vediamo come si fa.

Noi sappiamo che il sistema, per accedere a un indirizzo Internet, interroga uno dei server (detti server DNS) equipaggiato con un database per la conversione del nome di dominio alfanumerico a indirizzo IP. Questi server, quindi, forniscono al sistema che lo richiede l’indirizzo IP del dominio che si vuole raggiungere. Ma prima di interrogare il server DNS il sistema guarderà in un file presente nel sistema operativo in uso per vedere se già lì è presente la regola per la conversione da indirizzo alfanumerico a indirizzo IP. Noi quindi interverremo in questo file per bloccare un determinato dominio.

Facciamo conto che vogliamo bloccare il nome di dominio facebook.com.

Blocco del dominio

Dal terminale si digita:

sudo nano /etc/hosts

Il file è già popolato con delle righe. Alla fine di esse, in una nuova riga digitiamo:

127.0.0.1 facebook.com

Stiamo così dicendo falsamente al sistema che il nome di dominio facebook.com corrisponde all’IP 127.0.0.1, numero che com’è noto identifica il computer su cui stiamo operando, cioè localhost.

Salviamo il file con CTRL+O (Control + lettera O) e usciamo con CTRL+X.

Svuotiamo la cache del browser, chiudiamolo e riapriamolo. Nella barra degli indirizzi del browser digitiamo ora facebook.com: il browser, puntando ora a quel numero, mostrerà una pagina bianca. Il dominio è quindi bloccato.

Chi ha un server Apache installato in locale può anche dire al sistema di visualizzare un avviso o anche una semplice icona in modo da capire visivamente che il blocco è operativo.

Ulteriori regole di risoluzione possono essere aggiunte, ma ogni regola dovrà essere posta su una riga separata.

Deviazione del dominio

L’operazione appena effettuata è essa stessa una deviazione. Quindi, se lo si vuole, si può sostituire all’indirizzo IP di localhost un indirizzo di un altro dominio; possiamo cioè far sì che chi tenta di andare su facebook.com si trovi davanti la pagina di google.it. Per far ciò basta sostituire all’IP 127.0.0.1 l’IP di Google. Ad esempio:

74.125.39.103 facebook.com

E così per ogni dominio che si vuole bloccare. Per conoscere l’IP corrispondente al dominio da far visualizzare si può usare nslookup:

nslookup google.it

Downside

Il lato negativo di questo sistema (per entrambe le modalità su esposte) è che, se fate questa operazione per inibire a qualcuno l’accesso a un sito e questi sappia come rimettere le cose a posto, il lavoro diventa inutile.

L’intento del post, però, non è tanto quello del controllo parentale o dell’inibizione a terzi di un certo dominio, quanto quello di sapere che con una semplice modifica possiamo bloccare per noi stessi un dominio pericoloso o con cui non vogliamo proprio avere alcun contatto.

Autenticazione multifattoriale con Perfect Paper Passwords

Pubblicato il da

Qualche mese fa ho scritto un post sul plugin One-Time Password che ha lo scopo di rendere più sicura l’autenticazione nella propria area amministrativa di WordPress mediante l’uso dell’omonima tecnica detta One-Time Password. In breve, con questo sistema possiamo autenticarci alla Bacheca di WordPress usando una password usa-e-getta che può sostituire la password di WordPress (ottimo in caso di utilizzo in un Internet Cafè) o aggiungersi ad essa.

Oltre a questo plugin, ne esiste un altro che fa qualcosa di molto simile: Perfect Paper Passwords. Con esso avrete a disposizione una password usa-e-getta che si aggiunge (e non si sostituisce) a quella di WordPress.

Autenticazione forte

Sappiamo che per autenticarsi a un sistema informatico con ragionevole sicurezza è buona cosa utilizzare un’autenticazione a due fattori:

  • qualcosa che si sa (username e password)
  • qualcosa che si ha (un oggetto, che può essere un token, una smartcard, una chiavetta USB, la SIM del telefono, la biometria o anche un semplice taccuino con password usa-e-getta.

Questo è anche il sistema usato da molte banche per i loro servizi online. In questo modo, anche se un malintenzionato dovesse entrare in possesso delle vostre credenziali, non potrebbe accedere al sistema perché non ha il secondo fattore di autenticazione, il quale appunto cambia continuamente.

Questo plugin vi dà la possibilità di implementare in WordPress il sistema OTP in modo facile e gratuito.
Continua a leggere

Password OTP (usa e getta) per WordPress

Pubblicato il da

Se vi è mai capitato di voler accedere al vostro blog mentre vi trovavate in un ambiente non sicuro e non lo avete fatto perché giustamente non vi fidavate, sappiate che potete far uso del metodo della One Time Password 1 (OTP), oggi disponibile anche per WordPress. Probabilmente conoscerete già questo sistema perché molte banche lo fanno usare ai loro clienti (mi riferisco a quelle specie di chiavette che generano numeri). In breve, si tratta di accedere a un ambiente amministrativo (nel nostro caso alla Bacheca di WordPress) usando non l’unica password che abbiamo precedentemente scelto noi, ma una password che può essere usata una sola volta, quindi una password “usa e getta”. La volta successiva che ci vogliamo autenticare alla Bacheca inseriremo un’altra password, diversa dalla precedente.

È evidente la scomodità di dover sempre digitare una password diversa e non memorizzabile, ma è un piccolo prezzo da pagare se si vuole accedere senza paura in ambienti non sicuri al pannello amministrativo di WordPress. Se il keylogger 2 del PC condiviso che stiamo usando nell’Internet Café ha memorizzato la One Time Password, possiamo stare sicuri che essa è ormai inservibile.

Un sistema del genere certamente può dare una mano per aumentare la garanzia di sicurezza della nostra Bacheca anche se vi accediamo sempre e solo dalla nostra Linux box (su cui non girano malware 3 di sorta), ma tornerà utile soprattutto a chi è sempre in viaggio e fa uso del PC in ambienti non adeguatamente protetti (o di cui noi non ci fidiamo).

Continua a leggere

Note

  1. One-Time Password
  2. Keylogger
  3. Malware

Timeo Danaos et dona ferentes

Link

Alessandro Bottoni ha scritto un suo interessante punto di vista sulla possibilità, a partire dal prossimo gennaio, di collegarsi alle reti Wi-Fi senza restrizioni e senza controlli.

Ho la netta sensazione che uno come Bruce Schneier potrebbe esprimersi con argomentazioni simili alle sue.

Aggiornamento dell’11 novembre 2010. Mi fa piacere che Bruce Schneier, nell’intervista rilasciata a Stefania Maurizi, abbia confermato questo mio pensiero.