Categoria: Sicurezza comunicazioni

Il 10% degli utenti sceglie il nome del proprio cane o gatto come password, mentre l’8% usa ancora la  parola ‘password’. C’è chi poi rischia ancora di più, come quel 6% di persone che lascia la password appuntata su un post-it attaccato alla scrivania. Il 13% degli italiani dichiara di essere entrato in un account altrui indovinandone la password o approfittando del mancato log-out da una sessione attiva. Fra questi, un terzo (33%) è entrato in quello del partner, atteggiamento soprattutto maschile, e quasi  un quinto in quello del proprio ex (17%), questa volta però con una buona prevalenza delle donne. Uno su dieci (10%) ha, invece, cercato di indovinare la password di un collega di lavoro.

E forse indovinare non è così difficile come sembra, dal momento che addirittura l’11% dichiara di usare come password una data significativa, ad esempio l’anniversario di matrimonio, mentre l’11% ricorre alla data di nascita di un parente stretto. Il 62% cambiano la password solo quando diventa necessario, solo il 24% lo fa regolarmente, mentre il 16% dichiara di usare sempre le stesse password.

Secondo l’indagine siamo anche ben disposti a condividere le nostra password con altre persone: quasi alla metà di noi (47%) è capitato di rivelare le proprie password a qualcun altro. Sono le donne (50%) le più inclini a condividere la password e spesso accade che lo facciano con i propri partner (31%). Più della metà degli intervistati (il 61%) scrive le proprie password da qualche parte, che sia un diario (23%, con netta prevalenza delle donne), un file nel proprio PC (14%), il proprio telefono (11%), ma il 6% lascia addirittura la password appuntata su un Post-it attaccato alla scrivania (6%).

“Spesso le persone lasciano le proprie informazioni personali esposte ad attacchi online senza nemmeno rendersene conto. Atteggiamenti noncuranti in tema di sicurezza online possono causare gravi conseguenze nel caso in cui estranei riescano ad accedere alle nostre informazioni – spiega Eran Feigenbaum, Direttore della sicurezza, Google Apps – . Semplici accorgimenti come scegliere password più complicate, eseguire sempre il log-out dalle sessioni e prendere in considerazione la verifica a doppio passaggio per il proprio account possono davvero fare la differenza nel garantire la sicurezza dei nostri dati.”

Una superficialità nel gestire il Pc che trova conferma anche per il fatto che  solo il 35% degli italiani ha aggiornato il proprio software antivirus e più di uno su quattro (26%) ha cliccato su un link di spam. Inoltre al 26% degli utenti capita di abbandonare il proprio computer senza eseguire il log-out da una sessione attiva e ben il 28%  ha approfittato almeno una volta di questa leggerezza per esaminare la casella di posta del proprio partner.

Google ha anche realizzato un sito, www.google. it/BuonoASapersi , per aiutare le persone a mantenere sicure le proprie informazioni. Qui si possono trovare, in particolare, diversi consigli su come proteggere le proprie password.

La top ten delle password più utilizzate
1. Date significative (per esempio l’anniversario di matrimonio)
2. Nome di un animale domestico
3. Data di nascita di un parente stretto
4. La parola ‘Password’
5. Nome di un altro membro della famiglia
6. Nome di un figlio
7. Luogo di nascita
8. Nome del partner attuale
9. Luogo di vacanza preferito
10. Qualcosa legato alla squadra del cuore

Fonte Repubblica

Nel calderone dei nuovi canali da controllare rientra praticamente qualsiasi cosa si possa definire comunicazione digitale: posta elettronica, sistemi di archiviazione e condivisione di dati (es. Dropbox), chat (es. Google Chat); nemmeno i videogiochi si salvano, perché anch’essi si possono usare per parlare.

L’FBI vuole però più libertà di azione rispetto a quella che già ha (un concetto peraltro già espresso),  per poter agire più in fretta e con meno burocrazia tra i piedi: per esempio, è un problema la crittografia dei messaggi scambiati con Gmail. Una richiesta che solleva i dubbi di chi ci tiene alla privacy.

Se si considera questa novità un semplice adattamento ai tempi moderni, potremmo dire che è tutto normale, ma le potenziali violazioni della privacy sono dietro l’angolo. Se l’FBI vuole usare questo potere per dare la caccia a un pericoloso terrorista, crediamo che nessuno avrebbe nulla da dire. Ma se l’indagine nasce su richiesta di una casa cinematografica, per dare la caccia a qualche pirata digitale, sarebbe comunque accettabile?

Non che la violazione di copyright sia un problema da prendere sottogamba, ovviamente, ma crediamo che qui sia necessario fare davvero molta attenzione – se non altro perché il potere degli editori si è fatto sentire fin troppo spesso sulle azioni di inquirenti e giudici. Gli interessi di produttori, editori e artisti vanno difesi, ma non a ogni costo. Se il prezzo da pagare per non far morire queste aziende è una perdita delle nostre libertà civili, allora è meglio che muoiano.

Fonte Tomshw

“TOM-Skype” viene descritta dalla stessa Microsoft come una versione modificata di Skype che rispetta totalmente le disposizioni normative vigenti in Cina. Secondo Knockel, però, tale client favorirebbe le attività di monitoraggio da parte delle autorità cinesi che possono specificare una lista di parole chiave da tenere sotto controllo. In altre parole, ogniqualvolta l’utente di “TOM-Skype” digiti, nella chat testuale del programma, una frase contenente parole associate a termini solitamente usati dai dissidenti, riferibili a personalità governative, ad enti internazionali per la libertà di parola e così via, il programma consente al personale governativo di averne immedita segnalazione.

Knockel, insieme con i suoi collaboratori, ha spiegato nel dettaglio (vedere questo documento) il funzionamento del software sostenendo come sia ormai assimilabile ad una vera e propria piattaforma per il controllo delle comunicazione e per lo spionaggio di tutti i cittadini cinesi.

Il timore è che qualcosa di simile possa avvenire anche nel resto del mondo. Skype fa uso di un algoritmo attraverso il quale tutti i dati immessi all’interno del network vengono automaticamente crittografati. Alla base del processo di cifratura vi è l’impiego del noto algoritmo AES (Advanced Encryption Standard) a 256 bit e, quindi, un classico schema di crittografia asimmetrica. I server di Skype, infatti, detengono una chiave privata mentre la chiave pubblica viene distribuita ad ogni client collegato alla rete. In fase di registrazione di un account, il programma provvede a generare – sul sistema dell’utente – una coppia di chiavi privata-pubblica. La chiave privata e l’hash della password scelta dall’utente vengono conservati sul suo sistema. Il passo seguente consiste nell’instaurazione di una sessione di comunicazione cifrata AES 256 bit fra il sistema client ed il server Skype.
Per le varie comunicazioni il programma impiega la porta 80 in modo da non creare problemi a chi impiega, ad esempio, firewall aziendali. Le informazioni vengono tuttavia veicolate utilizzando un protocollo di comunicazione proprietario peer-to-peer.

Uno dei punti “strategici” alla base del funzionamento di Skype, consiste anche nell’usare la banda a disposizione sui sistemi degli utenti finali per veicolare parte delle comunicazioni attraverso la rete Skype stessa. In pratica, Skype sceglie – tra tutti gli utenti collegati – un insieme di essi che dispongano di una buona connessione a banda larga, di una CPU valida e non vincolati alla configurazione del firewall quindi assegna automaticamente loro il ruolo di “supernodo”: in questo modo la banda viene sfruttata dal network per veicolare altre comunicazioni VoIP.

Ed è proprio dall’architettura della rete Skype che derivava (almeno fino a qualche tempo fa) l’impraticabilità di un’eventuale attività di intercettazione. I dati scambiati tra i vari client sono infatti crittografati in modo trasparente per l’utente e possono seguire dei percorsi di fatto quasi casuali rendendone impossibile il recupero neppure dagli stessi amministratori della rete.

Il ricercatore Kostya Kortchinsky, attivissimo sul reverse engineering di Skype, ha recentemente dichiarato di aver scoperto come il numero dei supernodi sia sceso da 48.000 a circa 10.000. Kortchinsky sostiene che sia stata Microsoft, dopo l’avvenuta acquisizione di Skype, ad aver scelto di concentrare a sé la maggior parte dei supernodi che, secondo quanto rilevato, sarebbero macchine Linux in grado di gestire un gran numero di utenti contemporaneamente (circa 4.000 l’una). L’allestimento dei “megasupernodi” presso Microsoft, per stessa ammissione dei responsabili dell’azienda, sarebbe stato effettuato con il preciso scopo di migliorare le prestazioni della rete scongiurando incidenti come quello occorso tempo fa. Riducendo la “casualità” con cui vengono impiegati i supernodi, spiega Kortchinsky, e concentrando tali macchine presso Microsoft, però, l’azienda di Redmond potrebbe avere gioco molto più facile per “intercettare” le conversazioni.

Per Maksim Emm, direttore di Peak Systems, Microsoft avrebbe già aggiornato Skype integrandovi una tecnologia capace di rendere più semplici le attività di intercettazione. Così, le autorità governative potrebbero d’ora in avanti – ed è questa la valutazione comune a molti analisti – chiedere l’attivazione di una speciale login che permetterebbe il controllo privilegiato delle comunicazioni operate da sistemi desktop, notebook, smartphone, tablet e dispositivi mobili in generale.
La FSB russa, struttura che ha sostituito il KGB, stando alle dichiarazioni rilasciate, sembra molto ottimista giudicando Skype come una piattaforma che non fa più paura per la sicurezza del Paese. Così come sta accadendo in Francia (Skype è equiparabile ad un operatore telefonico?) anche il servizio segreto russo sta cercando di obbligare Skype all’iscrizione nel registro degli operatori telefonici. L’obiettivo è chiaro: Skype, in questo modo, sarebbe tenuto a conservare tutti i dati delle conversazioni degli utenti per un periodo pari ad almeno tre anni.

Fonte Il Software.it

Nel video Google consiglia di seguire due strade alternative: nei casi più semplici anche i webmaster possono avviare da soli una procedura di rimozione. Altrimenti, occorre rivolgersi agli esperti.

Attacchi sul web
Di recente a essere finito nel mirino dei cybercriminali è stato Chase.com di JpMorgan Chase: è risultato irraggiungibile per alcune ore, poi è stato ripristinato. I pirati informatici negli ultimi mesi hanno ampliato il raggio d’azione e la loro cassetta degli attrezzi. Lunedi scorso hanno pubblicato dati personali di persone celebri in un sito web, ma non è chiaro quanto le informazioni siano attendibili: sono entrati nella lista la first lady degli Stati Uniti Michelle Obama, il direttore dell’Fbi Robert Mueller, l’attorney general Eric Holder, l’ex segretario di Stato Usa Hillary Clinton, il capo della polizia di Los Angeles Charlie Beck, gli attori Ashton Kutcher e Arnold Schwarzenegger, il magnate Donald Trump.

Lo spazio online dove hanno reso accessibili i dati aveva come dominio di primo livello “.su”, assegnato all’allora Unione Sovietica prima che si dissolvesse e ottenibile da chiunque voglia aprire un sito web. Dai primi controlli alcuni numeri di telefono pubblicati risultano falsi. L’Fbi ha avviato indagini. Il gruppo Equifax ha spiegato che una parte dei dati su almeno quattro persone coinvolte proviene da AnnualCreditReport.com. Altre informazioni diffuse dai cybercriminali sono state raccolte su internet.

Fonte Il Sole 24 Ore

Il sistema d’attacco è di altissimo livello, in grado di rubare informazione anche da smartphone, compresi quelli basati su ios,Windows, ma anche di sottrarre dati da quello che viene inserito nella porta usb. I criminali avrebbero dei target ben precisi, verso alti funzionari e o dirigenti ai quali inviano e-mail ben architettate, frutto di una ottima ingegneria sociale. L’attacco generalmente inizia con una email. Nel messaggio di posta elettronica gli attacker allegano dei documenti word o excel e probabilmente pdf malevoli. Una volta che la vittima apre l’allegato, la macchina viene infettata e automaticamente dei moduli aggiuntivi per lo spionaggio vengono attivati. I moduli si dividono in due categorie quelli online e quelli offline.

Che sia una organizzazione criminale di alto profilo non c’è dubbio, infatti i dati rubati non vengono semplicemente raccolti, ma prima di essere inviati ad un server vengono cryptati e poi trasferiti verso server localizzati in Germania ed in Russia.

Lo scopo di questi attacchi non sarebbe chiaro, si ipotizza la vendita dei dati raccolti al migliore offerente oppure si ipotizza che dietro ci sia lo zampino di qualche governo compreso quello cinese.

Il team di Kaspersky crede che gli autori di questa complessa botnet siano di origine russa, per il particolare slang individuato nelle ricerche. Nel mirino degli attacchi ci sarebbe anche l’Italia, nello specifico la nostra diplomazia.

Fonte La Stampa

Diciamo subito che non è facile, sia chiaro. Un po’ per ironia, un po’ per scaramanzia, Tyler – su cui lavora un gruppo di programmatori vicini ad Anonymous – è stata lanciata ufficialmente tra il 21 e il 22 dicembre, in coincidenza con la profezia taroccata dei Maya, dopo mesi di annunci che non hanno aiutato a fare chiarezza né sulla tempistica né sulla sua natura.

Wired.it è andato a dare un’occhiata da dentro per capire esattamente di che si tratta. Dal punto di vista del software, Tyler si basa su RetroShare, una piattaforma di comunicazione decentralizzata open source. Il primo passo dunque è quello di scaricare il client, e di configurarlo secondo alcune indicazioni diffuse dagli ideatori del progetto. RetroShare identifica gli amici di un utente attraverso i certificati crittografici PGP, che sono creati insieme al profilo. Ciò rende le comunicazioni criptate e sicure; nel contempo significa che per diventare amico con qualcuno bisogna scambiarsi le reciproche chiavi PGP. Il PGP ( Pretty Good Privacy) è il programma di crittografia più usato al mondo, e il più vicino a un livello di sicurezza militare, almeno secondo l’esperto di cybersecurity Bruce Schneier.

RetroShare ha tutte le funzioni di un social network: si può inviare mail, chattare in due o in gruppo, scambiare qualsiasi tipo di file, accordare diversi gradi di fiducia ai propri conoscenti, navigare tra canali tematici e forum.

Nel contesto di RetroShare, Tyler è dunque un network interno, un canale, e un work in progress. Soprattutto, è una rete di utenti, e la parte più difficile finora è proprio accedervi, sia per la natura riservata del progetto e di Anonymous, sia perché il network è solo agli inizi, in una fase di pre-beta.

Al momento attuale per ottenere i contatti giusti conviene bazzicare sul canale #optyler di irc.voxanon.org, dove nei giorni scorsi si potevano incontrare utenti che cercavano disperatamente qualcuno con cui scambiare le proprie chiavi PGP e diventare amici. Il che non ha mancato di sollevare critiche sulla sicurezza del progetto. “ Per ora uno dei punti dolenti è proprio come entrare nel network senza esporre la propria chiave PGP”, spiega a Wired.it Winston Smith, il nickname di uno dei promotori del progetto: “ Anche se dovremmo risolvere il problema usando lo stesso RetroShare per questo tipo di scambio”.

Una volta entrati nella comunità di Tyler, si possono vedere i primi file caricati, i primi leaks. Di nuovo, finora nulla di clamoroso: documenti sulla polizia spagnola, o sui comportamenti di alcune telecom. Il fatto è che qui non esiste la figura del leaker, della gola profonda separata dal WikiLeaks della situazione. Qui i Bradley Manning e i Julian Assange sono entrambi nodi di un network, e i leaks circolano sullo stesso come documenti rimbalzati su un qualsiasi social. I più importanti, i più notevoli si diffonderanno naturalmente nel grafo, fino ad arrivare a essere pubblicati da più soggetti. “ Le differenze con ParAnoia (l’ altro progetto di leaking di area Anonymous, nda) ?”, spiega ancora Winston: “ ParAnoia ha un punto centrale di distribuzione, Tyler ne ha migliaia; ParAnoia pubblica informazioni edite da un gruppo ristretto. Tyler permette a chiunque di pubblicare. Le informazioni si propagano tra i nodi attraverso un sistema di raccomandazione”.

Ma prima ancora del leak, c’è la costruzione del grafo sociale. “ Il modo in cui ti relazioni con Tyler è importante, perché tu potresti essere qualcuno che vuole diffondere disinformazione o spam”, prosegue Winston: “ Dunque bisogna entrare nel network e stabilire relazioni; e quelle relazioni decideranno quanto rapidamente si diffonderà la tua informazione, se la stessa è di valore o meno, e dove ha più senso che si indirizzi”.

In questo momento dunque ci troviamo perlopiù in questa fase, la realizzazione del network. L’obiettivo del progetto è di avere, entro febbraio o marzo, una speciale versione del client di RetroShare chiamata TylerShare, configurata sulle esigenze specifiche di Anonymous e della piattaforma di leaking che si sta costruendo. Ma resa anche più facile e sicura da usare, perché finora l’accesso al network e il funzionamento dello stesso sono arcani ai più, e non privi di bachi. “ In questa fase non vogliamo che arrivi troppa gente, lo stiamo ancora testando”, spiega Winston. “ Il sistema non è ancora del tutto sicuro”, ci dicono, chiedendo riservatezza, altri due membri di Anonymous vicini a Tyler ma piuttosto critici: “ E il punto principale del progetto era proprio la sicurezza. Per ora è meglio usare ParAnoia”.

Probabilmente si capirà fra qualche mese se Tyler riuscirà a essere anche in minima parte all’altezza delle sue ambizioni. Una piattaforma di leaking ma più ancora un social network dalle molteplici funzionalità e dalla privacy iper-garantita. Basterebbe quest’ultima idea a far sperare nel suo successo.

Fonte Wired

L’architettura originaria di Skype era basata su supernodi, cioè i computer degli utenti collegati tra loro in modalità peer-to-peer. Proprio l’anno scorso Microsoft ha creato un’architettura basata sui server Linux. Secondo alcuni esperti di sicurezza, questa scelta è stata fatta dalle autorità statunitensi chiedendo all’azienda modifiche all’applicazione per semplificare le intercettazioni.

Questa scopaerta potrebbe rendere più sicuro l’invio di messaggi tra utenti e non solo, ma anche di facilitare le conversazioni segrete tra i malintenzionati. Non tutti sanno che, quando viene effettuata una chiamata VoIP, Skype trasmette dei pacchetti di dati lunghi 130 bit, mentre per ogni pausa tra una parola e l’altra viene inviato un pacchetto lungo 70 bit. 

Utilizzando un tool chiamato SkypeHide, questi ricercatori sono riusciti a sfruttare  questi 70 bit di “silenzio” per trasmettere questi messaggi criptati. Con questa tecnica è anche possibile inviare testo, audio e video con una frequenza di almeno 1 kbit al secondo durante le chiamate Skype. Normalmente, quando il client riceve i dati che corrisposdono al silenzio, li ignora.

Ma se entrambi gli utenti, sia il mittente che il destinatario, hanno installato SkypeHide, è possibile codificare e decodificare i messaggi segreti scambiati durante la conversazione.  Questa ricerca verrà presentata a giugno nel corso di una conferenza sulla steganografia che avrà luogo a Montpellier.

Fonte Zazoom

I grandi protagonisti di Internet, infatti, rivendono tutte le nostre informazioni, anche l’aver semplicemente visitato una pagina web, ad esempio per gli amici degli animali, per veicolare l’informazione al diretto interessato, et voilà, ecco comparire sulla nostra posta la pubblicità di un nuovo cibo per gatti o cani o di una pensione per i nostri amici a quattro zampe.

Se il lungo braccio dell’Authority per la privacy non riesce ancora a contenere lo straripare della Rete, ecco che la tecnologia ci corre in soccorso, offrendoci una maggior protezione nel campo della riservatezza dei dati personali. L’app in questione si chiama Privacyfix ed è integrabile sui browser Firefox e Chrome; il suo compito è quello di registrare la nostra attività in Rete, segnalando la maggiore o minore rischiosità dei nostri spostamenti dal punto di vista della privacy. L’Idea non è nuova, ma la nuova app, anziché oscurare i nostri dati o eliminarli, invia una miriade di informazioni false, tanto da confonderle con quelle di migliaia di altri utenti del web.

Ma Privacyfix ci dice anche di più, perché ci segnala una stima annua di quanto noi abbiamo fatto guadagnare a Facebook e Google, rivendendo il ‘nostro privato’ al miglior offerente, in barba alla privacy. Ad esempio, si stima che Google guadagni 14,70 dollari ogni mille ricerche, ma, in generale, chi più naviga più fa guadagnare i signori del web.

Fonte Teleborsa

Disponibile per sistemi Apple e presto anche per Android, Silent Circle è diretto a tutti coloro che vogliono essere sicuri di non essere ‘spiati’. Dai capitani d’industria ai soldati in missione, dai business man ma inevitabilmente anche a coloro che vivono ai margini del rispetto della legge. Il sistema utilizza una comunicazione VoIP che sfrutta le reti 3G, 4G, Edge e Wi-Fi. Istallando il software la comunicazione viene crittografata. Le chiavi di crittografia sono personalizzate e vengono generate e successivamente distrutte per ogni comunicazione. Il programma consente all’utente anche di impostare un tempo entro il quale i messaggi o le conversazioni salvate si autodistruggono in modo da non lasciare alcuna traccia anche sul web. Se il software è istallato sui telefoni di entrambi gli interlocutori l’intera comunicazione viene crittografata. Altrimenti, se soltanto uno dei due sta usando il software, la chiamata sarà crittografata solo verso i server di Silent Circle. Costa 20 euro, e sulla reale efficacia ancora pare non ci siano prove provate anche perchè é difficile sapere di essere intercettati. Se davvero funzionasse, come peró é lecito aspettarsi dal curriculum del suo inventore, sarebbe una piccola rivoluzione nell’ambito della tracciabilitá telefonica. Per le forze dell’ordine, alle prese con difficoltà vere e non con maghi del computer che invece operano nelle serie televisive poliziesche, il rischio é di trovarsi di fronte ad un nuovissimo ostacolo da superare. C’é da scommettere che i vari dipartimenti di sicurezza si muoveranno presto per far togliere dall’Apple Store un’applicazione che ha tutte le caratteristiche per isolare telefoni e conversazioni che potrebbero essere importanti. Nelle prossime settimane se ne saprà di più: certamente anche la cultura del sospetto e della diffidenza potrebbe dare un discreto slancio alla diffusione di un’applicazione che rappresenta un passo avanti importante rispetto alla precedente versione che si limitava a considerare i messaggi di posta elettronica. Del resto, se esiste un «app per ogni cosa» era piuttosto prevedibile che qualcuno pensasse anche all’intercettabilitá di un telefono cellulare anche se al momento funziona solamente sull’iPhone. Ma per Android, sarebbe solamente una questione di poche settimane.

Fonte Bresciaoggi