Frequently Asked Questions
Generale
Typosquatting
Descrizione
Il typosquatting è un genere di attività fraudolenta attuata da alcuni anni. Chi "tende la trappola" del typosquatting confida nei possibili errori di digitazione che possono verificarsi durante l'apertura di connessioni remote. L'inganno viene attuato registrando nomi di dominio molto simili a nomi già in uso, per esempio:
domain name originale:
- .cert.garr.it domain
name simili:
- .cert.gar.it
- .cert.garr.ir
- .cer.garr.it
Chi opera queste registrazioni elabora un numero elevato di permutazioni del domain name, poi ne effettua delle registrazioni DNS con wildcard in modo che qualsiasi hostname venga risolto (generalmente in uno stesso indirizzo IP).
Il sistema a cui si viene diretti è una specie di honeypot in grado di rispondere ai tipi di client più comuni (www, webmail, ssh). E' disponibile una lista di alcuni domini vittime del typosquatting.
Scopo
Il typosquatting e' attuato per i seguenti scopi:
- carpire credenziali di accesso (phishing) per ogni tipo di servizio (ssh, webmail ecc..)
- indurre la navigazione su siti web malevoli
- indurre al download di malware
Azioni di contrasto
Procedura di contestazione presso il Register: nic.it
Se vi accorgete che sono stati registrati nomi di dominio simili al vostro, quello che potete fare è compilare un modello di opposizione come questo:
Modello Indicativo di Opposizione (pdf)
Questo modello deve essere compilato, per ogni dominio da contestare, dal rappresentante legale del Vostro ente ed inviato al Registro, via fax (n. 0503153448) e via posta prioritaria (l'indirizzo del Registro è indicato nel modulo). La richiesta che invierete verrà analizzata dallo studio legale del Registro del ".it". Tale procedura Vi consentirà di rappresentare al Registro l'esistenza di un pregiudizio a causa della registrazione e/o assegnazione del nome a dominio riguardante il Vostro ente all'attuale Registrante. Con l'attivazione di tale procedura, l'attuale Registrante, pur rimanendo nella piena titolarità del nome a dominio, non può realizzare la modifica del Registrante del nome a dominio stesso, quindi cedere il dominio, se non a favore della parte che ha introdotto la procedura. Il dominio risulterà in sostanza momentaneamente "congelato". L'opposizione è condizione necessaria per l'introduzione della procedura di riassegnazione di un nome a dominio, quindi è il primo passo da fare. Dopo qualche giorno dall'invio della richiesta di contestazione, riceverete comunicazione da parte del Registro circa lo stato dell'opposizione sul nome a dominio che riguarda il Vostro ente.
- Segnalazione di attività illecita (phishing) presso l'host provider
- Filtraggio a livello IP:
l'applicazione di filtri a livello IP o di typo-list che blocchino la risoluzione dei domini fasulli possono essere soluzioni tampone e applicabili solo su scala locale (gli utenti che si collegano da reti esterne non sono protetti).
- Utilizzo di tool residenti su client:
si tratta di strumenti ancora in fase di sviluppo http://blogs.techrepublic.com.com/security/?p=543 Microsoft URLtracer
Informazione degli utenti circa l'esistenza della minaccia.
Informazioni dalla rete
Gli avvocati si danno al typosquatting
Typosquatting, domini, accesso agli atti
Accesso ai domini in typosquatting, sospensiva respinta
Abbiamo ricevuto una email nella quale veniamo avvisati che nomi a dominio di nostro interesse, sotto TLD internazionali (tipo .asia), stanno per essere registrati da altri. Ci viene quindi proposto di procedere noi per primi alla registrazione dietro pagamento. Come suggerite di agire?
Slamming (Domain Name Registration Scam)
:: Descrizione
Questo tipo di comunicazione costituisce un noto tentativo di truffa attuato ormai da vari anni anche verso molti utenti GARR.
La segnalazione quindi NON e' attendibile: stanno solo cercando di vendervi la registrazione di quei domini, con la scusa di "proteggerli" da un acquirente che in realta' non esiste.
Ecco un esempio dei nomi a dominio proposti:
- garr.asia garr.biz
- garr.com.cn
- garr.com.tw
- garr.com.hk
- garr.hk garr.tw
- garr.in
- garr.net.cn
- garr.org.cn
- garr.tel garr.at
:: Azioni di contrasto
La politica che suggeriamo e' semplicemente quella di non dare seguito alla richiesta.
In nessuno dei casi verificatisi sino ad oggi i domini segnalati sono stati assegnati.
:: Informazioni dalla rete
http://www.caslon.com.au/domainsprofile11.htm
http://www.domainscams.co.uk/
Ho notato numerosi tentativi illeciti di connessioni ssh sui miei sistemi, quali difese posso attuare?
SSH brute-force attack
:: Descrizione
L'attacco brute-force ssh e' un'attivita' illecita praticata da anni in maniera sistematica. Vi sono periodi di diversa intensita', il trend e' comunque in crescita. La miglior difesa resta la scelta di password complesse. Questo tipo di attacco puo' colpire anche sistemi diversi da host linux, come router o iMac.
:: Scopo
Ottenere un accesso al sistema.
:: Azioni di contrasto
- Eseguire un censimento preventivo dei server ssh tramite scansioni sulla propria rete;
- Controllare periodicamente i log;
- Educare gli utenti alla scelta di password complesse;
- Usare nomi utente difficili da indovinare;
- Disabilitare l'accesso via SSH per l'account root (e' il target del 25% degli attacchi);
- Disabilitare l'autenticazione basata su password e attivare quella basata su coppie di chiavi;
- Consentire l'accesso (con filtri basati su IP address) ai soli sistemi di fiducia;
- Cambiare la porta associata di default al server SSH (22/tcp);
- Utilizzare TCP Wrapper o iptable per bloccare gli indirizzi IP a seguito di ripetuti tentativi di accesso falliti e/o tool come BlockHosts, DenyHosts, fail2ban.
Nel caso l'attacco venga rilevato mentre e' in corso consigliamo di filtrare l'IP sorgente (sul router di bordo o sull'host vittima) in attesa che l'abuso termini.
Come posso individuare sistemi infetti dal virus Conficker situati dietro server NAT, senza avere informazioni complete circa le connessioni sospette?
Rilevare il virus Conficker.
:: Descrizione
I log che Vi inoltriamo ci vengono inviati da enti esterni al GARR. Purtroppo le connessioni registrate in questi log non sempre sono complete di IP e porta destinazione.
Questi log vengono prodotti con una tecnica di tipo sinkhole routing attraverso la quale non vengono intercettati solo gli attacchi verso i servizi Microsoft Windows (security alert MS08-067), ma anche particolari richieste http che il virus stesso esegue per scaricare propri aggiornamenti.
Alla richiesta di maggiori dettagli ci e' stato comunicato quanto segue:
"The destination IP protocol will always be TCP (6) and the destination TCP port will always be HTTP (80) for these Conficker reports unless otherwise specified."
Non possiamo garantire che tutti i nodi segnalati siano realmente infetti, anzi siamo interessati ad avere riscontro di eventuali falsi positivi.
:: Interventi possibili
E' possibile tentare di individuare sistemi infetti nella propria rete locale tramite strumenti come nmap o tool specifici (vedi "Informazioni dalla rete") sul cui funzionamento pero' non abbiamo condotto alcun test.
esempio:
nmap -PN -T4 -p139,445 -vv --script=p2p-conficker,smb-os-discovery,smb-check-vulns
--script-args=checkconficker=1,safe=1 [target_networks]
E' anche possibile installare ngrep, un IDS come snort o un vulnerability scanner come Nessus:
- http://www.linux-tip.net/cms/content/view/372/26/
- http://doc.emergingthreats.net/bin/view/Main/2009205
- http://www.nessus.org/plugins/index.php?view=single&id=36036
- http://blog.tenablesecurity.com/2009/04/updated-conficker-detection-plugin-released.html
- http://www.confickerworkinggroup.org/wiki/pmwiki.php/ANY/NetworkDetection
- http://www.honeynet.org/node/388
La seguente pagina puo' aiutare l'utente a rilevare la presenza del virus sul suo sistema:
:: Informazioni dalla rete
- (2009-03-30) SkullSecurity - Scanning for Conficker with Nmap
- (2009-03-30) Insecure.org - How to use Nmap to scan very large networks for Conficker
Bonn University - Containing Conficker - Network Scanner in Phyton
- (2009-03-31) eEye Offers Free Utility to Detect Conficker Worm and MS08-067 Patch
- (2009-03-30) ISC Diary - Locate Conficker infected hosts with a network scan
- (2009-04-05) ISC Diary - Open Source Conficker-C Scanner/Detector Released
- (2009-09-26) ISC Diary - SANS Conficker detection hints
Qual è il virus più diffuso e come agisce?
Tratto dalla rubrica Risponde Cecchini - GARR News 2 - Luglio 2010
Quale sia il virus (o worm o trojan, genericamente detti malware) più diffuso al momento non lo so. Quello che so, però, è che quasi tutto il malware attualmente in circolazione è finalizzato alla creazione di botnet.
Ma cos’è una botnet?
Molto sinteticamente una rete virtuale di macchine compromesse (zombie), controllate da uno o più nodi esterni (Command and Control).
Una botnet può arrivare a decine di migliaia di macchine (in qualche caso si parla di milioni, ma sono sempre informazioni da prendere cum grano salis) e viene utilizzata per tutta una serie di attività criminose, quali spam, attacchi di denial of service e raccolta di dati sensibili. Non è facile accorgersi se il proprio pc è infetto, perché il malware moderno è progettato per passare inosservato, tranne ovviamente quando viene usato per una delle attività di cui sopra.
Tra i possibili sintomi: rallentamenti inspiegabili, crash, attività di rete anomala, messaggi non vostri nella cartella di posta inviata.
Bothunter e TrendMicro RUBotted sono dei tool specializzati per rilevare eventuali infezioni di questo tipo: prima di installarli, però, chiedete consiglio al vostro system manager.
Vorrei un sistema di autenticazione wireless che mi permetta di poter gestire anche altri utenti oltre a quelli della mia organizzazione. Va bene se aderisco alla Federazione IDEM?
Tratto dalla rubrica Risponde Cecchini - GARR News 2 - Luglio 2010
Aderire ad IDEM, in effetti, può consentire ai propri utenti roaming di poter accedere ad Internet senza ulteriori formalità tranne l’autenticazione con la propria home organization.
Ovviamente la cosa non è così automatica: l’organizzazione remota deve anche essa aver aderito ad IDEM e deve aver abilitato l’accesso federato al WiFi. C’è anche un’altra federazione, anzi confederazione, specificamente dedicata a semplificare la vita agli utenti roaming: Eduroam (www.eduroam.it).
Rispetto ad IDEM ha il vantaggio che non è solo italiana, ma è diffusa in tutto il mondo.
Ma allora Eduroam è in alternativa ad IDEM?
La risposta è no: è complementare.
Le due federazioni usano meccanismi differenti: portale web per IDEM e 802.1x per Eduroam, ciascuno con i suoi pregi e difetti. Eduroam è specificamente dedicata al roaming, IDEM offre molti altri servizi. In conclusione, il mio consiglio è di aderire ad entrambe!
Cosa posso fare per non correre troppi rischi in un Internet Café?
Tratto dalla rubrica Risponde Cecchini - GARR News 3 - Dicembre 2010
La stragrande maggioranza degli Internet Café utilizza sistemi operativi Windows, spesso non aggiornati con le ultime patch di sicurezza e quindi a rischio virus; senza contare che sui PC potrebbe essere installato un keylogger, capace di memorizzare tutto quello che viene digitato sulla tastiera. Anche se la sicurezza totale non è mai raggiungibile, ci sono modi per difendersi.
Prima di partire
Preparate una chiavetta USB con il software che userete durante il viaggio.
- 1. Un browser: oltretutto lo potrete personalizzare con i vostri bookmark ed estensioni preferite. Raccomando Firefox Portable (http://portableapps.com/apps/internet/firefox_portable).
- 2. Un gestore di password, se pensate di non ricordarle tutte. Consiglio Portable KeePass, (http://keepass.info/download.html, al momento l’ultima versione è la 1.18).
- 3. Una onscreen keyboard. Quella fornita con Windows non è pensata per evitare i keylogger. La migliore in circolazione è Neo’s SafeKeys (http://www.aplin.com.au/neos-safekeys-v3).
- 4. Una o più cartelle cifrate. Suggerisco FreeOTFE Explorer (http:// www.FreeOTFE.org). Potete anche creare un account di posta ad hoc e configurare i vostri account “buoni” perché gli inoltrino la corrispondenza.
Durante il viaggio
Usate il browser sulla vostra chiavetta. Se proprio non fosse possibile:
- disabilitate AutoComplete (IE) o Remember passwords (Firefox);
- cancellate la history e la cache a fine sessione.
Alla fine, fate logout da tutte le sessioniche avete aperto e chiudete il browser. Usate sempre connessioni cifrate per trasmettere dati personali. Quando dovete digitare una password, componetela sulla keyboard online e trascinatela con il mouse, non usate cutand- paste. Quando questo sistema non funziona, usate l’Injection Mode di SafeKeys. Il trascinamento va impiegato anche con KeePass. Un’alternativa casalinga, meno sicura, è aprire notepad, scrivere la password con inframezzati un certo numero di caratteri a caso, e ricomporla selezionando e copiando quelli giusti.
Appena tornati
Verificate con un buon antivirus che la chiavetta non sia stata infettata. Prima di inserirla nel computer, per maggiore sicurezza, disabilitate l’autorun (cfr. ad esempio http://www.troublefixers.com/quickly-disable-autoplay-any-disk-drive).
Se poi pensate che quanto sopra sia troppo lavoro, state alla larga da Internet e pensate a divertirvi!
Come posso essere sicuro che i miei messaggi di posta elettronica siano protetti e giungano solo ai destinatari desiderati?
Tratto dalla rubrica Risponde Cecchini - GARR News 3 - Dicembre 2010
I problemi di sicurezza della posta elettronica sono ben noti: il mittente è banalmente falsificabile e i messaggi, una volta spediti, possono essere letti o modificati da terze parti.
I sistemi crittografici, quali PGP e i certificati digitali x.509, gestiti da molti client di posta, si propongono di garantire l’integrità del messaggio e la sua non ripudiabilità (ovvero la sicurezza dell’identità del mittente). Anche la posta certificata si basa su certificati x.509, è però non standard e inadatta ad un uso generale.
I certificati x.509 fanno uso di metodi crittografici detti “asimmetrici”: a ogni certificato x.509, che contiene informazioni pubbliche, quali nome e cognome del proprietario, è associata una chiave privata, nota solo al titolare, con cui è possibile firmare digitalmente un messaggio. Se poi il mittente possiede il certificato (pubblico) del destinatario, può cifrare il messaggio, proteggendolo da occhi indiscreti.
La sicurezza dipende dalla lunghezza della chiave privata (almeno 1024 bit) e da quanto scrupolosamente è conservata: chi la conosce, infatti, può impersonare il titolare. Perchè il sistema funzioni, é essenziale possedere i veri certificati digitali dei corrispondenti, altrimenti sarà sempre possibile per chi abbia cattive intenzioni spacciarsi per qualcun altro grazie a certificati contraffatti.
Per questo, tutti i certificati sono firmati digitalmente da un’entità super partes: la Certification Authority (o CA), che ne garantisce l’attendibilità. Una volta sicuri dell’autenticità del certificato di una CA, è facile verificare tutti quelli delle entità (persone e siti web) per cui essa garantisce: il controllo è fatto automaticamente dal client di email (o dal browser, se ci colleghiamo ad un sito protetto), cui però va indicato quali sono le CA di fiducia.
I certificati delle CA più diffuse sono già preconfigurati in questi programmi, mentre se vogliamo verificare un certificato garantito da una CA non presente, dovremo aggiungerne il certificato all’elenco. É quindi sicuramente più semplice usare certificati emessi da CA preinstallate: per questo, il GARR, tramite il Terena Certificate Service (http://ca.garr.it/TCS), offre gratuitamente agli appartenenti ad organizzazioni che hanno aderito alla Federazione IDEM, certificati personali emessi da Comodo CA.
In pratica
- 1. Procuratevi un certificato x.509 e installatelo.
- 2. Indicate nelle preferenze che volete firmare tutti i messaggi. Da questo momento i vostri corrispondenti potranno verificare l’autenticità e l’integrità di ciò che spedite (e voi non potrete più negare di averlo fatto...).
Ottenuti i certificati dei destinatari (basta che vi inviino un mail firmato), potete anche cifrare la corrispondenza: non avrete la certezza che sia letta solo da loro, ma che solo questi la capiscano, sì.
Ma è vero che un computer Mac è più sicuro di un Pc?
Tratto dalla rubrica Risponde Cecchini - GARR News 4 - Giugno 2011
Molti pensano di sì, guardate, ad esempio, i risultati di un’indagine fatta da un produttore di antivirus.
In realtà non è proprio così. La scrittura e diffusione di malware, oggi, è un’attività economica, spesso molto redditizia, saldamente in mano ai cyber-criminali, che quindi si rivolge alle piattaforme più diffuse (leggi Windows). La relativa scarsezza di malware per sistemi non Windows non è imputabile quindi ad una loro maggiore “impenetrabilità”, ma banalmente alla loro minore appetibilità.
Detto per inciso, Windows 7 non è niente male dal punto di vista della sicurezza, il vero problema, al solito, sono gli utenti... Se non mi credete, leggetevi questo articolo, in cui una giornalista di CNET ha posto questa stessa domanda a una trentina di esperti del settore, che, praticamente all’unanimità, concordano con quanto appena scritto.
Sempre su questo tema, Sophos, che distribuisce un antivirus gratuito per Mac, ha pubblicato un rapporto in cui afferma di aver ricevuto, nei primi 15 giorni di vita del prodotto, 50.000 segnalazioni di malware su 150.000 utenti (http://goo.gl/QFZJr). Niente male! Le stesse considerazioni valgono per gli smartphone, che sono dei computer a tutti gli effetti, e la cui esplosiva diffusione, insieme al fatto che spesso contengono dati molto interessanti per i malintenzionati, li rende sempre più appetibili. A detta di Denis Maslennikov di Kaspersky Lab, a fine 2010 erano presenti 153 famiglie e più di 1.000 varianti di malware “mobile” (http://goo.gl/ SZtts).
Nell’agosto del 2010 è stato trovato il primo virus per Android, e, di recente, il primo per iPhone (solo quelli sottoposti a jailbreak, ovvero modificati per utilizzare applicazioni non ufficiali).
Sulla stessa linea McAfee e AVG, nelle loro previsioni per il 2011, ritengono probabile un incremento delle minacce per OS-X e smartphone, proprio a causa del diffondersi di queste piattaforme.
AVG, in particolare, afferma che nel primo trimestre di questo anno, lo 0,22% delle applicazioni Android scaricate è malware (da questo punto di vista Android, vista la sua natura più o meno open source, è “avvantaggiato” rispetto all’IOS).
Naturalmente, vista la provenienza non proprio neutrale delle notizie, è bene recepirle cum grano salis, e forse non c’è proprio bisogno di precipitarsi ad acquistare un antivirus per il proprio smartphone - se ne volete uno gratis, date un’occhiata a Lookout (www.mylookout.com). Almeno per il momento, penso siano sufficienti alcune elementari regole di igiene che valgono per qualunque piattaforma: mantenete aggiornato il sistema operativo e fate attenzione da dove scaricate le applicazioni.
Tenete presente anche che gli MMS possono contenere malware, che viene attivato quando si clicca per visualizzare un file (esattamente come gli allegati alle e-mail). Sono comunque sicuro che la situazione peggiorerà...
Sono sempre più comuni i casi di modifica delle risposte DNS. Cosa si può fare per proteggere la sicurezza e la net neutrality?
Tratto dalla rubrica Risponde Cecchini - GARR News 4 - Giugno 2011
Il Domain Name System (DNS) è il meccanismo che traduce gli indirizzi internet dalla forma “umana” (ad es., www.facebook.com) a quella utilizzabile dalle apparecchiature di rete (ad es., 66.220.153.19).
Il DNS è invisibile per gli utenti finali, ma è uno degli elementi essenziali per il funzionamento di Internet. Come quasi tutti i protocolli “storici”, il DNS è stato progettato senza particolare attenzione ai problemi di sicurezza.
La conseguenza è che risulta abbastanza facile realizzare attacchi al traffico Internet che provochino il suo reindirizzamento all’insaputa dell’utente (DNS poisoning). Ad esempio: penso di collegarmi alla mia banca mentre in realtà mi ritrovo in un sito costruito a sua imitazione, con lo scopo di carpire i miei dati. Attenzione: non sto parlando di phishing, quando cioè sono invogliato a cliccare su di un indirizzo fasullo.
Nel caso di DNS poisoning ho proprio digitato quello corretto: è il meccanismo di traduzione che è stato imbrogliato.
Un’altra possibilità, anche questa sempre più frequentemente sfruttata, è la realizzazione di filtri per impedire l’accesso a determinati siti. L’esempio più classico è il Great Firewall of China (http://goo.gl/4LBFH), che i più curiosi possono sperimentare in azione chiedendo, ad esempio, la traduzione dell’indirizzo di Facebook inserendo il comando: “dig @dns1.chinatelecom.com.cn. www.facebook.com.” in una finestra di terminale unix dal quale si otterrà tutta una serie di risposte false. E non pensate che la cosa non vi riguardi perché anche l’Italia, purtroppo, non è esente da queste tecniche.
Per chi volesse saperne di più rimando a due eccellenti articoli (http://goo.gl/UDDX1 e http://goo.gl/qGnaE).
DNSSEC è uno dei protocolli che sono stati suggeriti per rendere più sicuro e affidabile il DNS ed evitare quanto descritto prima. DNSSEC autentica con metodi crittografici il colloquio tra i vari name server, in modo che, per i domini abilitati, le risposte giungano sempre dai server “giusti”.
Naturalmente le cose non sono così facili come sembrano: affinché il meccanismo funzioni bene, vista la natura, distribuita sì, ma anche gerarchica, del DNS, è necessario che tutti i server della gerarchia utilizzino questo nuovo protocollo. Recentemente, due passi molto importanti sono stati fatti con l’abilitazione del Root Level e di .com.
Con quest’ultimo sono circa 25 i Top Level Domain abilitati, tra cui .edu, .org e .net, siamo però ancora ben lontani dall’adozione universale. Molto rimane ancora da fare: ci sono grossi problemi organizzativi, tecnici e, ovviamente, politici.
Anche da noi, sia pur lentamente, le cose si stanno muovendo e mi auguro che ci siano presto buone nuove.
Come si può riconoscere una email di phishing?
Tratto dalla rubrica Risponde Cecchini - GARR News 5 - Dicembre 2011
Qualche mese fa, dei messaggi come quello mostrato qui sotto sono stati inviati ad un migliaio di nostri colleghi (al posto dei puntini c’era il nome dell’istituzione). Pensavo che nessuno avrebbe avuto problemi a classificarlo come una delle tante varianti di messaggi di phishing, eppure, almeno in 5 o 6 - e non stiamo parlando di abitanti delle foreste amazzoniche - hanno aperto il link e fornito i dati del loro account. Evidentemente c’è ancora molta strada da fare nell’educazione dei nostri utenti. Ecco alcune semplici regole per capire se il mail che state leggendo è un tentativo di phishing o no.
Sospettate sempre di richieste urgenti di informazioni finanziarie
A parte le vincite di milioni di euro o provvigioni favolose per il trasferimento di eredità di ricche vedove tramite il vostro conto corrente, un caso abbastanza comune è un mail da un vostro conoscente che vi scrive di trovarsi all’estero, di essere stato derubato e vi prega di spedirgli un po’ di soldi per potersi comprare il biglietto di ritorno. Ricordate che, a meno che il messaggio non sia firmato digitalmente, non c’è nessuna sicurezza sull’identità del mittente
Diffidate se ci sono link cliccabili.
Banche e altre organizzazioni commerciali, di solito, non inseriscono link nei loro messaggi. Se ci sono link, esaminateli con grande attenzione, tenendo conto che quello che vedete non è necessariamente l’indirizzo che si aprirà nel browser. Se posizionate il mouse sul link, in basso apparirà l’indirizzo reale (attenzione, non sempre funziona!). Verificate che inizi con ‘’https://’’ e che sia autentico, non, ad esempio, www.paypal.finto.tw o www.ebbay.it (cioè quasi uguale a quello vero), o addirittura numerico.
In ogni caso è sempre buona norma non cliccare sui link, ma digitarli direttamente nel browser. Se invece avete cliccato, controllate l’indirizzo che appare nella barra: inizia con https? è quello esatto? le informazioni nella finestra che si aprirà quando cliccate sul lucchettino o simbolo equivalente corrispondono a quello che vi aspettate?
Se ci sono form da riempire con vostre informazioni, si tratta quasi sicuramente di un tentativo di phishing.
Questo tipo di informazioni non viene mai legittimanente richiesto per mail, bensì collegandosi ai siti web ufficiali e con connessioni cifrate (l’indirizzo inizia con “https”). Altre considerazioni più ovvie:
- il testo sembra uscito da google translate?
- il mittente è plausibile? (nell’esempio di sopra, perché il “Webmail di sistema” ha come indirizzo
Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. ?) - perché i nostri italianissimi system manager ci scrivono in inglese?
Infine, come regole generali, tenete aggiornato il browser e il client di posta se non usate webmail e abilitate sempre le protezioni antifrode.
Quale grado di riservatezza è garantito dai sistemi di storage online attualmente più diffusi?
Tratto dalla rubrica Risponde Cecchini - GARR News 6 - Maggio 2012
I sistemi di storage online possono aggiungere ulteriori rischi di sicurezza e privacy. Se trasferisco i miei dati in un sito esterno, su cui non ho nessun controllo e senza sapere con sicurezza come siano protetti, compio sostanzialmente un "atto di fede" nei confronti del fornitore del servizio.
Non è necessariamente una cosa negativa, basta essere ben consci dei pro e dei contro. E in questo non siamo purtroppo aiutati dalle controparti, che hanno ogni interesse a tenerci all'oscuro dei rischi. Una recente indagine su circa 400 persone ha, infatti, rilevato che i documenti sulle policy di
Facebook e Google sono molto meno comprensibili di quelli di banche e agenzie governative [v.gd/WQvXLp]. Il World Privacy Forum ha individuato una serie di suggerimenti da tenere presenti nella scelta di un fornitore di servizi Cloud [v.gd/ePK41z].
Sono regole tutto sommato ovvie, ma non fa male elencarle esplicitamente: le condizioni del servizio devono essere chiare; il fornitore del servizio deve dichiarare quali diritti avanza sull'utilizzo o la diffusione dei vostri dati; deve essere espresso cosa succede ai vostri dati se decidete di terminare il contratto; le variazioni alle condizioni di fornitura devono essere opportunamente pubblicizzate.
E comunque, la regola d'oro finale è: non trasferite mai niente che non volete venga a conoscenza di terze parti. Per un elenco più esaustivo dei rischi, consiglio il rapporto del WPF [v.gd/OGbs7T] e il wiki di OWASP [v.gd/6VBg8R].
Tanto per essere più concreti, vediamo qualche caso tra i moltissimi esistenti che forniscono anche un piano gratuito: Amazon Cloud Drive, Dropbox, SpiderOak e Wuala.
Il primo è scelto come cattivo esempio, gli altri perché, oltre al classico backup, consentono la sincronizzazione su più computer (molto comoda!) e hanno dei client Linux.
Amazon Cloud Drive si riserva il diritto di accedere, mantenere, utilizzare e rivelare informazioni sul vostro account e sui vostri file. In compenso non garantisce nulla sulla loro sicurezza. Per quanto riguarda le variazioni alle condizioni di fornitura, saranno pubblicate da qualche parte su Amazon.com, con effetto immediato, e l'accesso al servizio dopo la pubblicazione è da intendersi come loro implicita accettazione.
Gli altri tre servizi sono migliori. I dati sono conservati cifrati, ma con una differenza importante: Dropbox ha accesso ai dati in chiaro, anche se giura che lo farà solo in casi estremi; con Spider Oak e Wuala, invece, i dati sono cifrati sul computer dell'utente e quindi senza che nessun altro possa utilizzarli [v.gd/T4Kfn3], a meno che la NSA non abbia qualche asso nella manica...[ v.gd/PHlWdj].
È interessante notare che Dropbox ha spiegato meglio la propria policy dopo un incidente di sicurezza durante il quale tutti potevano vedere i file di tutti [v.gd/8XOzwv].
In ogni caso, se volete salvare su Dropbox dati riservati, vi consiglio di cifrarli preventivamente con TrueCrypt [v.gd/he3Caz]. Per un confronto più dettagliato su questi e altri servizi analoghi posso consigliarvi questa lettura: v.gd/0Wm4My.
In conclusione, la protezione della vostra privacy non è certo la preoccupazione principale dei fornitori di storage online. In fin dei conti, molti fanno soldi proprio utilizzando le informazioni su di voi che riescono a recuperare.
Se la comodità di tenere sincronizzati i dati sui vostri PC giustifica qualche rischio in più, le due soluzioni di sopra potrebbero fare al caso vostro.
ANTIVIRUS PER SMARTPHONE: SERVONO VERAMENTE?
Tratto dalla rubrica Risponde Cecchini - GARR News 10 - Giugno 2014
Una premessa: mi riferirò solamente a smartphone non rooted (o jailbreaked), supponendo che in questi casi il proprietario sia abbastanza smaliziato da sapersi rispondere da solo... Per chi non ha voglia di leggersi il resto, la risposta veloce è no in entrambi i casi: IOS (Apple) e Android, il primo no più deciso del secondo.
Con questo non voglio dire che il rischio di infezioni sia nullo, ma semplicemente che un comportamento attento è sufficiente. Un antivirus comunque può essere utile, a dispetto dell'aumento del consumo di risorse (la batteria!) che il suo uso comporta. Un discorso diverso va fatto per i rischi alla privacy: ci sono stati casi clamorosi di recente, ad esempio [v.gd/rKDQZ3], ma di questo parlerò in un'altra occasione. Teniamo presente che negli smartphone, a differenza di windows, le infezioni possono verificarsi solamente installando un'applicazione
IOS :: Apple controlla molto attentamente il suo app store e la struttura del sistema operativo non dovrebbe lasciare spazio per virus e trojan (maggiori dettagli qui: [v.gd/HZDztq]). Ovviamente sviste e bug sono sempre possibili, ma le probabilità, almeno per ora, mi sembrano trascurabili. Qui un'opinione diversa: [v.gd/niYUL7].
Android :: Anche in questo caso, se ci si limita a repository ”ufficiali“, come Google Store o Amazon, i rischi che si corrono sono minimi. Basta comunque seguire poche e semplici regole:
- accendete il bluetooth solo quando serve;
- leggete attentamente la descrizione e i commenti dell'applicazione che state per installare, magari verificando lo sviluppatore;
- fate molta attenzione ai permessi che l'applicazione richiede quando sta per essere installata (ad es.: perché un gioco vuole poter spedire sms?).
E se proprio volessi un antivirus?
anche essere utile: molti, ad esempio, possono servire anche nel caso di perdita del telefono (parlerò anche di questo in un'altra occasione) o a verificare che le applicazioni non violino la privacy del proprietario.
AV TEST ha pubblicato da poco un rapporto sulle prestazioni di un gran numero di antivirus: [v.gd/y7gLbY]. I prodotti che mi sembrano più interessanti, ma non li ho provati tutti, sono questi:
- Lookout: permette anche di localizzare il telefono smarrito;
- Avira antivirus security: permette di cancellare i dati da remoto;
- Malwarebytes Anti-Malware;
- AVG Antivirus Free: con possibilità di localizzazione e cancellazione dati da remoto.
Cosa posso fare per proteggere il mio PC?
Tratto dalla rubrica Risponde Cecchini - GARR News 8 - Maggio 2013
Vi propongo un elenco di punti da verificare per essere ragionevolmente sicuri di aver fatto il possibile per proteggere il proprio pc (e anche voi stessi). Ovviamente, l’aver risposto sì a tutte le domande non vi esime dal tenere un comportamento prudente.
1. È stato installato un antivirus ed è configurato in modo da aggiornarsi almeno una volta al giorno?
Se la vostra organizzazione non vi fornisce un antivirus, tovate un consiglio su quelli gratuiti in un mio precedente articolo (QUAL È UN BUON ANTIVIRUS GRATUITO PER WINDOWS?). È opportuno eseguire periodicamente anche un programma anti-spyware, ad esempio Malwarebytes o SpyBot.
2. State utilizzando un personal firewall?
Quello fornito con Windows (da Vista in su) va benissimo. Ci sono comunque molte altre soluzioni, ad esempio Comodo o ZoneAlarm, entrambi eccellenti.
3. Il sistema è configurato in modo da installare automaticamente gli aggiornamenti?
Specialmente quelli di sicurezza. È importante anche mantenere aggiornati i programmi applicativi, in particolare Adobe Reader, Java e Adobe Flash. E comunque, meno programmi esterni installate, meglio è, anche dal punto di vista delle prestazioni.
4. Avete disabilitato autorun?
Secondo un rapporto Microsoft (un po’ datato è vero), autorun è responsabile di circa della metà delle infezioni di Windows. Per disabilitarlo potete usare Disable Autorun.
5. Usate password di buona qualità e differenti da sito a sito?
Un buon password manager è di grande aiuto: il mio consiglio è di usare LastPass o KeePass, entrambi multipiattaforma. Se poi è possibile, valutate l’impiego di un’autenticazione a due fattori: Google, Microsoft, Apple e Wordpress, tra i più grossi, già lo consentono.
6. Quando trasferite informazioni personali (ad esempio durante un login), verificate che l’indirizzo inizi con https e che il certificato presentato dal server sia valido?
valido? L’estensione per Firefox e Chrome HTTPS Everywhere può essere di aiuto. Ricordatevi anche del log out quando avete finito, in particolare se state usando una postazione pubblica. Sul vostro PC attivate sempre il blocco con password dopo un congruo periodo di inattività.
7. Siete consapevoli dei rischi di una connessione a una rete WiFi, particolarmente se aperta (ad es. rete civica, hotspot)?
In questo caso usate una VPN o almeno solo connessioni cifrate.
8. Avete verificato quali cartelle sono in condivisione?
Una cosa è se siete a casa vostra (state usando WPA2, vero?), un’altra se siete in un Internet café. Infine, se, nonostante tutte le vostre cure e precauzioni, vi siete beccati un virus, in un mio precedente articolo (SOSPETTO CHE IL MIO PC ABBIA PRESO UN VIRUS, COSA POSSO FARE PER DISINFETTARLO?) trovate qualche indicazione su cosa fare.
Tutti i prodotti che elenco sono gratuiti per uso personale, per altri scopi è necessario verificare caso per caso.
Quali sono le più gravi debolezze di una VPN (Virtual Private Network)?
Tratto dalla rubrica Risponde Cecchini - GARR News 8 - Maggio 2013
Credo che praticamente tutti concordino sull’importanza, se non necessità, delle VPN: attenzione però ai loro punti deboli, per non cadere in errori da eccesso di confidenza.
Una VPN è un obiettivo molto appetitoso perché permette di accedere direttamente alla rete interna dell’organizzazione e se, come spesso accade, gli strumenti di intrusion detection sono esterni al server VPN, non sono in grado di verificarne il traffico cifrato. I principali tipi di VPN sono essenzialmente due: uno basato su IPSec e l’altro su SSL/TLS. Il primo opera al livello rete (livello 3 OSI), il secondo utilizza il TCP/IP; il primo richiede client specifici, il secondo un normale browser web.
Come al solito, l’anello più debole della catena è l’utente, il metodo con cui si autentica e come vengono conservate le credenziali di accesso. Chi si connette usa il proprio pc, che viene quasi sempre impiegato anche per altri usi: non è certo impossibile che ospiti un virus o un trojan, che così possono avere accesso alla rete interna dell’organizzazione. Passando al meccanismo di autenticazione, e questo ovviamente è un discorso molto più generale, se si continuano ad usare le classiche username e password, si è vulnerabili quanto meno, ma non solo, ad attacchi di phishing (COME SI PUÒ RICONOSCERE UNA EMAIL DI PHISING?). E ancora: dove e come sono conservate le credenziali di accesso? Qualche volta la configurazione del client permette lo scambio di dati simultaneo sia sulla rete interna privata, sia su quella pubblica (split tunnelling). Le prestazioni sono migliori, ma un attaccante dalla rete pubblica che riesca a compromettere la macchina otterrebbe un accesso immediato alla rete interna.
Per un’analisi dettagliata delle debolezze di una VPN IPSec, vi consoglio la lettura di questo documento [v.gd/DM1mEN]
Limitandosi adesso delle SSL VPN, uno dei loro punti di forza, che cioè non richiedono client specifici e quindi possono essere utilizzate anche da postazioni pubbliche, è anche la loro maggiore debolezza. Al rischio dei trojan, di cui ho già parlato, si aggiunge quello dei keylogger (COSA POSSO FARE PER NON CORRERE TROPPI RISCHI IN UN INTERNET CAFÉ?)e della mancata disconnessione: la sessione rimasta aperta può essere utilizzata da chi successivamente ha accesso fisico alla macchina. E ancora, se l’utente non verifica con attenzione le credenziali del server VPN a cui si sta collegando (e tutti sappiamo che spesso è così), sono possibili attacchi di tipo manin- the-middle, in cui cioè l’attaccante presenta un falso VPN gateway che gli permette di carpire le credenziali dell’utente o addirittura di intercettare tutto il suo traffico. Per un’analisi critica delle VPN SSL suggerisco l’articolo di Enders e Stewart: [v.gd/a44xju].
Falsi miti sulla sicurezza
Tratto dalla rubrica Risponde Cecchini - GARR News 10 - Giugno 2014
Sono sicuro perché sono dietro un firewall (personale o aziendale)
Premesso che sull'(in)utilità dei firewall andrebbe fatto un discorso più generale, i firewall, per essere efficaci come antivirus, dovrebbero essere in grado di ispezionare il contenuto dei pacchetti in transito e verificare che non sia di tipo maligno.
La cosa è al di là delle capacità di quelli personali e di molti aziendali. Un firewall può essere in grado di bloccare alcune attività tipiche di virus, ma solo a infezione avvenuta. Per questo motivo, quasi tutti i virus moderni spengono il firewall e/o utilizzano metodi di comunicazione apparentemente legittimi (ad esempio via protocolli web).
Sono sicuro perché visito solo siti ”fidati“
Purtroppo anche siti ”fidati“, se compromessi, possono essere utilizzati per infettare i visitatori. Un esempio clamoroso è stato Yahoo, che all'inizio di questo anno, ha infettato migliaia di visitatori. Symantec ha stimato che oltre l'80% dei siti che distribuiscono malware rientrano in questa categoria.
Sono sicuro perché non scarico nulla
Come scritto sopra, si può essere infettati semplicemente navigando. I virus si diffondono anche via rete, utilizzando vulnerabilità del sistema operativo o del software: basta quindi che sulla nostra rete locale ci siano altri nodi infetti. I virus si diffondono anche via penne usb: ricordate stuxnet? Il virus che ha infettato i sistemi di controllo delle centrali nucleari iraniane, ovviamente sconnessi da Internet.
Sono sicuro: non uso Internet Explorer
Purtroppo non esistono browser completamente sicuri. Per di più, molte infezioni utilizzano software comune a tutti i browser, come Adobe Flash, Javascript e Java.
Sono sicuro perché sul browser compare il ”lucchettino“
Il lucchetto indica solo che tra il browser e il sito remoto è stata attivata una connessione cifrata, che impedisce l'intercettazione dei dati trasmessi (di solito...). Non fornisce nessuna protezione da malware, semmai impedisce ad eventuali sistemi di controllo di capire quello che sta succedendo.
Gli unici allegati che è pericoloso aprire sono gli eseguibili
In realtà tutti gli allegati possono essere pericolosi: pdf, word, excel, ecc. Ricordate che il mittente di una e-mail può essere falsificato, quindi non fidatevi solo perché pensate di conoscerlo.
Sono sicuro perché ho un antivirus
Purtroppo spesso anche gli antivirus sbagliano: segnalano come infetti file del tutto legittimi o, ancora peggio, non individuano minacce reali. Ricordate che il metodo principale di rivelazione consiste nel confrontare il file in esame con un campionario di malware noti, che deve essere quindi tenuto scrupolosamente aggiornato. Ciò nonostante, può capitare che il virus sia troppo nuovo e non sia ancora stato segnalato.
Sono sicuro perché sul mio computer non ho nulla di appetibile
Se utilizzate il computer per collegarvi al vostro conto bancario o per pagamenti online, ricordate che alcuni virus sono in grado di intercettare le credenziali (in questo caso un login a due fattori aiuta) o il numero della carta di credito. E comunque il vostro pc in quanto tale è appetibile, perché può essere utilizzato per attaccarne altri. Questo tipo di attività, dette DDoS, sono attualmente tra le più comuni.
Password: consigli per l'uso
Tratto dalla rubrica Risponde Cecchini - GARR News 11 - Dicembre 2014
Purtroppo la famigerata coppia utente/ password sembra sia destinata a dominare ancora per molti anni il reame dell'autenticazione. È persino ancora utilizzata in molte realizzazioni di sofisticati sistemi globali (ad es. Kerberos). Un po' come avere una porta blindata con serratura a toppa, vista anche la qualità delle scelte degli utenti.
Ad esempio, le tre password più comuni del 2013, ricavate dai milioni di account compromessi che si trovano in rete, sono "123456", "password" e "12345678" (le stesse del 2012) [v.gd/xofofi] - [v.gd/bojuba]
Se a questo aggiungiamo il serio rischio dovuto ai frequenti attacchi di phishing o social engineering, si arriva a un quadro non particolarmente confortante. Per cercare di minimizzare i rischi, eccovi alcuni consigli.
Usate un buon algoritmo di generazione
caratteri, di cui almeno 1 minuscolo, 1 maiuscolo, un numero e un carattere speciale. Evitate le parole di qualsiasi lingua, anche con un numero prima o dopo, e le sostituzioni banali: ”pa$$w0rd“ non è una buona password. Se avete speranza di ricordarle potete partire dalle iniziali delle parole dei vostri versi preferiti, altrimenti utilizzate un generatore casuale (tutti i password manager citati sotto ne hanno uno) o SuperGen- Pass, un bookmarklet che genera sempre la stessa password per ogni combinazione Master Password / indirizzo web.
Non usate mai lo stesso utente/password in posti diversi
Ricordate che se un vostro account viene compromesso, magari uno aperto anni fa e di cui non vi ricordate nemmeno più, o se cadete in un phishing (capita!), la stessa combinazione utente/password verrà provata dovunque, anche sul vostro nuovo gmail. Ogni anno gli account compromessi si contano a centinaia di milioni.
Utilizzate un gestore di password
A meno che non siate Pico della Mirandola, se seguite le norme di sopra avete bisogno di un buon strumento di memorizzazione. Sconsiglio i browser perché spesso poco sicuri e di non sempre facile sincronizzazione tra sistemi diversi. Qui trovate una rassegna dei migliori password manager in circolazione: [v.gd/93TdF7]. I miei preferiti sono LastPass e KeePass quest'ultimo magari insieme ad un meccanismo di sincronizzazione come Dropbox, entrambi multipiattaforma.
Utilizzate l'autenticazione a due fattori
L'autenticazione a due fattori al momento è il meglio che potete fare per proteggere i vostri account. Il funzionamento è semplice. Dopo aver scritto nome utente e password, viene richiesta l'immissione di un codice identificativo ogni volta diverso: da dispositivo hardware, come per i conti bancari, o spedito via sms o calcolato da un'applicazione, ad es. SAASPASS sul vostro smartphone. Ormai è disponibile quasi ovunque con modalità più o meno simili. Chiaramente la facilità d'uso diminuisce, ma sono fermamente convinto che ne valga la pena. Concludo con due suggerimenti: per sapere se uno dei vostri account è stato compromesso potete usare questo sito [v.gd/itomen] e seguite @GARR_CERT su twitter !
Protezione e privacy per smartphone Android
Tratto dalla rubrica Risponde Cecchini - GARR News 11 - Dicembre 2014
Chi usa uno smartphone sa bene quanto sia facile che arrivi a custodire una grande quantità di propri dati, personali e anche sensibili. Ecco qualche consiglio per ridurre i rischi della loro divulgazione.
Cancellazione dei dati
Avast ha fatto un esperimento comprando 20 telefoni usati su Ebay, su cui ha utilizzato normali programmi di recupero dati: ha trovato 40.000 foto, di cui diverse intime e molte centinaia di indirizzi email e messaggi [v.gd/xopufu].
Un metodo più sicuro per cancellare i dati personali è di cifrarli prima del reset (Impostazioni -> Sicurezza -> Esegui crittografia del telefono).
Backup esterni
Fate attenzione che il backup sui server Google (comodo se cambiate telefono) trasferisce, ad esempio, anche le password di tutti i sistemi wifi che avete utilizzato [v.gd/GMxOxL]. Forse a Google non interessano, ma chi altri ha accesso ai loro dati? Anche molti altri servizi di cloud storage non garantiscono molto da questo punto di vista, primo tra tutti Dropbox [v.gd/LaL8Hy].
Come capire se un’app è potenzialmente pericolosa
Si sono verificati parecchi casi di applicazioni apparentemente innocenti, ma che però fornivano a terze parti molte informazioni sull’utente [v.gd/eaeKeh]. Evitate, se possibile, di installare applicazioni da store diversi da quelli “ufficiali” e all’installazione controllate i privilegi richiesti, anche se, visto come funziona il meccanismo in Android, spesso le app devono richiederne molti di più di quelli che effettivamente usano. Ci sono molti programmi per aiutarvi a proteggervi [v.gd/imNc4] - [v.gd/depqMF], anche se i più efficaci richiedono che il telefono sia rooted. Google non aiuta certo in questo compito, vedi ad esempio la storia dell'App Ops Launcher [v.gd/Wq6zEd].
Protezione dai furti
Ci sono molti prodotti che, almeno in teoria, permettono di rintracciare e resettare un dispositivo da remoto: ad esempio Cerberus, Avast! Anti-Theft e Android Lost, oltre alla Gestione dispositivi Android di Google. Alcuni possono essere anche attivati via sms, senza bisogno di connessione dati.
Blocco schermo
Un blocco schermo è fastidioso da utilizzare, ma è sicuramente essenziale. Il più sicuro è una buona password, ma un ragionevole compromesso potrebbe essere una sequenza di sblocco non troppo banale (accoppiata ad una periodica pulizia dello schermo...).
Sospetto che il mio pc abbia preso un virus, cosa posso fare per disinfettarlo?
Tratto dalla rubrica Risponde Cecchini - GARR News 5 - Dicembre 2011
Se il vostro pc non parte più o ha un comportamento strano (ad esempio: si blocca, è molto lento, ecc). ecc., potrebbe essere stato infettato da un virus. Attenzione: può succedere anche se avete installato un antivirus.
In questo caso, con ogni probabilità, sarà stato neutralizzato e non sarà più in grado di fare il suo mestiere. È opportuno quindi fare ricorso ad un Rescue Disk: un cd rom da cui far partire il vostro pc e che vi permetta di farne scansione usando un sistema sicuramente non compromesso.
Se tutto andrà bene, il PC verrà disinfettato e si potrà riavviarlo normalmente. Alcuni dei Rescue Disk che cito, oltre all’antivirus, hanno anche delle utility per risolvere alcuni problemi che possono impedire il riavvio di Windows.
Per questi altri casi, però, ci sono distribuzioni più specializzate, di cui magari parlerò in un’altra occasione. Per creare un Rescue Disk bisogna scaricarne l’immagine ISO dal sito del produttore e masterizzarla su un CD ROM o trasferirla su una chiave usb. Si fa ripartire il PC in esame dal CD ROM (di solito si preme F12 durante la fase di avvio e si seleziona il device di boot dal menu che apparirà) e si seguono le istruzioni. Suggerisco anche di non limitarsi ad utilizzarne uno solo, specialmente se non ha trovato nulla.
Tutti i Rescue Disk, tranne Avira, devono scaricare gli ultimi aggiornamenti prima di iniziare la scansione, richiedono quindi che la macchina in esame abbia accesso alla rete. Ecco i migliori in circolazione.
Avira Antivir Rescue System. È aggiornato diverse volte al giorno e quindi già pronto all’uso, senza bisogno di accesso alla rete. Oltre all’antivirus, offre anche qualche utility per la risoluzione dei più comuni problemi di mancato avvio di Windows.
Kaspersky Rescue Disk 10. Per trasferirlo su una penna usb è disponibile un’utility specifica.
BitDefender Rescue Disk. Oltre alla scansione, si può lanciare un File Manager per fare un backup su un disco esterno.
AVG Rescue CD. C’è anche una versione già pronta per chiavi usb. Windows Defender Offline. Ancora in versione beta. Disponibile per macchine a 32 o 64 bit, in versione CD ROM o chiave usb.
E infine il mio preferito:
Trinity Rescue Kit. È meno user-friendly degli altri, ma, oltre agli antivirus (ClamAV, BitDefender, F-Prot, Avast, Vexira) ha un’infinità di altre funzionalità: recupero di password, cloning di dischi, recupero di partizioni, riparazione dei settori di boot, test hardware, ecc. Se volete mettere alla prova le vostre capacità di discernimento, provate questi due test: