Zoom ha annunciato che il piano gratuito non fruirà più della cifratura end-to-end.
Autore: Matteo
Le passphrase: sempre più in prima linea nella sicurezza informatica.
Le passphrase: sempre più in prima linea nella sicurezza informatica. 30 Maggio 2020 Sicurezza informatica Torno a stressare su un argomento che mi sta a cuore: le passphrase. Ne ho già parlato e ho già ribadito che dovremmo imparare a usarle in luogo delle semplici password. Girovagando nel web ho incontrato questo sito che (in inglese) spiega perfettamente la differenza fra passphrase e password, anche sotto un profilo squisitamente tecnico. Lifewire ne ha pure scritto nel dicembre del 2019 e ha persino fornito i link a tre diversi generatori di passphrase, fra cui il primo e più noto, Diceware, che consente di creare passphrase usando vocaboli italiani. Pertanto, ove possibile, quando vi viene chiesto di scegliere una password per il vostro nuovo account, usate una passphrase e se il sito non vi consente di inserire più di 20 o 30 caratteri, fareste bene a diffidarne poiché è bene che le password abbiano una lunghezza minima ma non una massima e una passphrase altro non è se non una password lunghissima che comprende anche gli spazi. Una passphrase è per sempre (come i diamanti). Articolo precedenteArticolo successivo
Cifratura dei miei files con CZIP X – come la uso quotidianamente
CZIP X è un’applicazione per la cifratura che protegge i miei files quando li devo conservare in cloud. Vi spiego come la uso nell’attività quotidiana.
… e poi una mattina scopri che ti stanno violando l’account.
Come si dice? “Capita anche ai migliori” e a me è capitato proprio ieri mattina, quando improvvisamente né il telefono né i miei computer riuscivano ad accedere al mio account Outlook, dunque nemmeno a OneDrive e agli altri servizi collegati. La mia password non veniva più riconosciuta e tutto era assolutamente inspiegabile. La prima cosa che si farebbe a questo punto, sarebbe cliccare su “Ho dimenticato la password” e confidare nell’invio di un link per il recupero o il ripristino della password. Normalmente questa è un’operazione che spesso si fa a occhi chiusi poiché si è convinti di aver comunicato correttamente un indirizzo e-mail alternativo. Fortunatamente Microsoft è un’azienda seria, attentissima alla protezione dei propri utenti, e prima di inviare il link per il ripristino, mostra una schermata che avvisa a quale indirizzo e-mail sarà indirizzato il link. Nel mio caso, in luogo dell’indirizzo alternativo che aveva comunicato all’iscrizione, ho ritrovato l’indirizzo go*****@sina.cn. Invece che proseguire con il recupero, colpito dal fatto che fosse registrato un indirizzo e-mail non mio, ho cliccato sul link “non possiedo queste informazioni“; a quel punto mi è stato chiesto di confermare quella scelta con un codice via SMS sul cellulare e solo dopo ho potuto indicare a quale indirizzo e-mail inviare il link per il recupero password. Effettuata tutta l’operazione e creata una nuova password (meglio: una passphrase), ho fatto alcune riflessioni. Se fossi stato sbadato o un po’ meno sveglio, probabilmente avrei inviato il link per il recupero della password a quell’indirizzo cinese e avrei messo tutto (ribadisco: TUTTO) nelle mani di un perfetto sconosciuto. Ancora fortunatamente, io salvo su OneDrive solo archivi cifrati con CZIP X (https://czip.it), pertanto, quand’anche fosse entrato, l’estraneo si sarebbe ritrovato una serie di archivi inutilizzabili senza la corretta chiave per la decifratura; tuttavia ho capito che non vi è stato alcun accesso abusivo ma solo una serie di tentativi d’accesso, tutti falliti, che hanno indotto l’account a autoproteggersi. Assicuratomi che tutto fosse a posto, sono andato a verificare nel pannello di gestione della sicurezza del mio account e ho scoperto questo: Tutto è iniziato alle 18.39 di sabato 23 maggio – poi non ho toccato computer e telefono fino a lunedì mattina – e subito noto l’origine del tentativo d’accesso fallito: Ucraina. La puzza di proxy, però, si avvertiva forte e, infatti… L’estraneo ha usato un proxy pubblico ucraino. Un cinese che usa un proxy Ucraino? E perché no? A me, però, non interessa capire da dove è arrivato l’attacco e come diavolo ha fatto ad alterare l’indirizzo e-mail per il recupero della password; mi interessa, piuttosto, incrementare la protezione dei miei dati, quindi ho iniziato a cambiare tutte le password dei miei account, anche quelli che nulla c’entrano con l’account Microsoft. Questa è l’occasione per ribadire le regole fondamentali per la tutela dei propri account: cambiare spesso le password e preferire l’uso di passphrase in luogo delle combinazioni alfanumeriche complesse; attivare l’autenticazione a due fattori (2FA); verificare che il proprio account non sia stato in qualche modo manomesso – almeno una volta al mese bisogna rivedere le impostazioni della sicurezza; verificare che il nostro indirizzo e-mail non sia rimasto coinvolto in un data breach. Ecco, l’ultimo punto… Andando sul sito https://haveibeenpwned.com/ ho scoperto che il mio indirizzo di outlook.com è coinvolto nel data breach del sito Slickwraps.com, un sito dal quale acquistai nel 2018 una skin per personalizzare il mio Galaxy S9+. Il data breach risale al febbraio 2020 ma tutto ciò mi consente di aggiungere una nuova regola alla quattro precedenti: 5) quando si acquista da un sito con e-commerce proprietario (non e-bay o Amazon, quindi), meglio usare un indirizzo e-mail creato apposta per l’acquisto oppure chiedere la cancellazione dell’account subito dopo l’acquisto. Sia la mia esperienza un monito per tutti quelli che… “chi vuoi che s’interessi dei miei dati?“
Malware attraverso PEC: come comportarsi per evitare disastri?
Nel corso delle ultime settimane i professionisti, le pubbliche amministrazioni e chiunque sia munito di una casella di posta elettronica certificata (PEC) stanno subendo una serie di attacchi attraverso semplici allegati a messaggi e-mail. Sebbene i tentativi di attacco via e-mail esistano da anni e siano sempre riconoscibili per la presenza di dettagli che esulano dalla “normalità” del destinatario (es.: messaggi da banche di cui non si è clienti che annunciano il blocco del conto corrente), questa nuova ondata di attacchi è davvero maligna e pericolosa.
Piccole, incredibili, sbadataggini e GDPR.
[dropcap]D[/dropcap]alle mie parti esiste un proverbio dialettale che afferma che “u scarparu camina ch’i scarpi rutti“, il che dal dialetto reggino si traduce come “il calzolaio cammina con le scarpe rotte“. Penso che nessun proverbio sia più adeguato per la mia categoria professionale quando si parla di trattamento dei dati personali. In quanto avvocati, dovremmo ben conoscere la normativa vigente – il Regolamento Generale per la Protezione Dati n. 670/2016/UE (“RGPD” o “GDPR” per gli amici) e il Decreto Legislativo n. 101/2018 – e, in quanto avvocati dell’era telematica, dovremmo ben conoscere gli strumenti e i servizi informatici che quotidianamente usiamo in ambito professionale. Nonostante tutto, però, le parole spese in centinaia di eventi formativi negli ultimi anni, sembrano essere volate via come foglie trasportate dal vento della superficialità e dell’incompetenza tecnica. Con un piede quasi nel 2020 mi sono letteralmente stufato di sottolineare che certi servizi online che usavamo serenamente anche per lavoro, dal 25 maggio 2018 non sono più adeguati o, comunque, devono essere impiegati in modo diametralmente opposto rispetto al passato. Molto probabilmente a qualcuno sembrerà una pignoleria ma il “trattamento dei dati personali” non è una meravigliosa informativa, magari a fumetti, da esibire per farsi dire “che bravo che sei a trattare i miei dati” ma implica uno studio ragionato di tutto il sistema con cui tratteremo i dati personali che raccogliamo durante l’attività professionale. Non per nulla il GDPR esprime un principio fondamentale quale “privacy by design” che possiamo riassumere come: prenditi un giorno e verifica con quali strumenti riceverai e maneggerai i dati personali, in primis quelli dei tuoi clienti che ti hanno conferito un mandato a rappresentarli in giudizio e non. Attenzione perché la questione è a mio avviso abbastanza sconvolgente: parecchi professionisti usano con troppa disinvoltura servizi gratuiti come Gmail e Outlook.com. Nella loro versione gratuita, molti di questi servizi spesso sfruttano server collocati negli USA e altrettanto spesso non si tengono nella giusta considerazione le conseguenze di questa circostanza ai fini del GDPR e del trattamento dei dati personali raccolti durante l’attività quotidiana. Privacy by design non è un mantra da ripetere in maniera vuota ai clienti che ci commissionano una consulenza per curare gli adempimenti collegati al trattamento dei dati personali ma è in primis un monito per noi avvocati: i primi a dare l’esempio ai nostri clienti dovremmo essere noi e, pertanto, è un controsenso andare a spiegare al cliente che i dati personali che tratta dovrebbero restare in UE per evitare complicazioni varie, se poi i primi a trasferire (spesso inconsapevolmente) i dati in nostro possesso verso server collocati fuori dall’Unione Europea. Privacy by design per l’avvocato (rectius: per ogni professionista) significa “pensare prima di agire” e, quindi, progettare il flusso dei dati personali che transitano nel suo studio e nei suoi dispositivi informatici, fissi o mobili che siano; non solo: significa anche che dobbiamo convincerci a fare un minimo investimento oggi per evitare ipotetiche sanzioni future di dimensioni colossali. ATTENZIONE, però! Il GDPR non vieta radicalmente il trasferimento extra UE dei dati personali! Se fosse stato così, Google, Apple, Amazon, Microsoft, Facebook e simili non avrebbero potuto continuare a lavorare da questa parte del globo. L’uso dei servizi e-mail gratuiti e messi a disposizione da aziende non-EU è perfettamente lecito e consentito ma il Regolamento 679/2016/UE ha posto delle condizioni ben precise e, fra queste, la più importante è che il soggetto interessato debba essere informato in modo chiaro e trasparente della circostanza per cui i suoi dati potrebbero essere trasferiti fuori dall’Unione Europea; questo implica il dover adeguare le informative fornite ai clienti indicando chiaramente la possibilità del trasferimento e, naturalmente, si dovrà registrare la specifica presa visione dell’informativa da parte del soggetto interessato – senza contare che il fornitore del servizio andrebbe nominato responsabile esterno ex art. 28 (ma questo è un argomento da discutere in altro momento). La miglior soluzione, nonché la più economica, è sicuramente quella di registrare un nome a dominio e acquistare uno spazio web in hosting, previo accertamento della collocazione della server farm in UE. Questa soluzione comporta due vantaggi contemporaneamente: da un lato si realizza un sito web per promuovere la propria attività professionale e dall’altro si può utilizzare un indirizzo e-mail professionale, basato su server collocato nel territorio dell’Unione Europea (o in Italia, addirittura). Chiarito che in ottica GDPR un professionista dovrebbe sapere dove risiede la propria posta elettronica infarcita dei molteplici dati personali che tratta, bisogna obbligatoriamente estendere il discorso ai servizi di storage online come DropBox, OneDrive, iCloud, Google Drive e simili: è possibile usarli ma il cliente (alias il soggetto interessato) dev’essere informato in modo chiaro e il titolare del trattamento (alias il professionista) deve poter dimostrare in qualsiasi istante che il soggetto interessato fosse consapevole del possibile trasferimento extra UE. In conclusione, quindi, il professionista dovrebbe avere il coraggio di investire nella propria professione e offrire ai clienti la miglior tutela possibile per i dati che gli conferiscono (anche solo con un messaggio e-mail: dopo tanti anni si è ormai abituati a usare Gmail o Outlook.com ma sarebbe opportuno pensare alla sottoscrizione di un abbonamento alle rispettive versioni “business” dei servizi che usiamo, dato che alcuni di essi consentono di scegliere il server di cui servirsi (come GSuite di Google) oppure ti indicano chiaramente, come fa Microsoft, dove sono collocati i server in funzione dell’area di residenza.
“Silenzio! Il nemico ti ascolta!”
“Silenzio! Il nemico ti ascolta!” 22 Maggio 2019 Sicurezza informatica E che “orecchie” che ha! Forse non ci rendiamo conto che abbiamo una pessima abitudine: sebbene involontariamente, tendiamo a rivelare troppi dettagli del nostro privato. Includo anche il sottoscritto poiché il rischio di predicare bene e razzolare male è sempre in agguato e, sinceramente, basta un nonnulla per lasciar trapelare elementi che permetterebbero di risalire alle credenziali dei miei account online. La vignetta di Dogmo Comics che ho scovato grazie a Marco Giannini (di Marco’s Box) riesce a spiegare con pochi tratti come qualcuno potrebbe carpire informazioni utili per violare un account: basterebbe davvero fare una semplice chiacchierata quindi fermiamoci un momento e pensiamo cosa potrebbe ricavare un malintenzionato dai social network della vittima presa di mira. Ricordate questo spot belga del 2012? Sette anni fa ci si preoccupava di come i social networks potrebbero rivelare troppi dettagli della nostra ma la situazione, evidentemente, non è migliorata e la colpa è sempre dei soliti noti: gli utenti e la loro eccessiva disinvoltura nell’uso degli strumenti informatici. La tecnica con cui è possibile carpire informazioni utili a violare l’account di un malcapitato si chiama social engineering – o “ingegneria sociale”. Non si tratta di una tecnica nata ieri e si sono scritte centinaia di pagine su essa e su come impedire che una semplice chiacchierata, dal vivo o online, si trasformi in un disastro epocale con la conseguente sottrazione, alterazione, distruzione di dati personali (magari a noi affidati da terzi). La serie Mr. Robot avrebbe dovuto insegnarvelo, d’altronde. Attenzione, però! Il social engineering non va confuso con il phishing poiché quest’ultimo è solo uno degli strumenti a disposizione del social engineer. In Wikipedia, a proposito del social engineering, leggiamo la seguente definizione: (…) è lo studio del comportamento individuale di una persona al fine di carpire informazioni utili . Il phishing, invece, viene definito come: (…) un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale. Il video tratto da Mr. Robot, quindi, è l’esempio scolastico di phishing nell’ambito di un’azione di ingegneria sociale, ove è la stessa vittima a fornire, più o meno incolpevolmente, le “chiavi” del proprio account al malintenzionato. Fermiamoci a osservare come ci comportiamo online per capire meglio in cosa sbagliamo. Se siamo appassionati di calcio, spesso scriviamo post per esaltare la squadra del cuore; se adoriamo i nostri figli, spesso scriviamo i loro nomi e indichiamo le loro date di nascita; se giunge il giorno dell’anniversario di matrimonio, spesso scriviamo un post dedicato al proprio coniuge e magari indichiamo pure il numero di anni trascorso; se siamo appassionati di serie TV, spesso scriviamo post riguardanti quella preferita; se vogliamo scrivere di qualcosa che ci sta a cuore, spesso lo facciamo senza pensarci su più di tanto. Tutte queste sono informazioni che nel 2019 dovremmo evitare di fornire pubblicamente attraverso i social network, in particolar modo se abbiamo pensato di creare credenziali d’accesso in qualche modo legate a questi dati. Una buona prassi (ma anche il buon senso) suggerirebbe di curare maniacalmente i livelli di privacy degli account social: per fare un esempio, io ho due account Instagram: uno pubblico che chiunque al mondo può seguire e uno privato in cui i potenziali follower devono inviare richiesta per poterne visualizzare i contenuti; effettivamente, ricevo spesso richieste di accesso al mio account privato ma quasi la totalità di queste viene rimbalzato poiché voglio che quell’account rimanga circoscritto alla cerchia di persone che conosco davvero, in real life. Su Twitter e Facebook, invece, la situazione è controversa: il primo permette di avere account privati ma sono gestiti in modo da renderli pressoché inutili, quindi su Twitter non scrivo mai informazioni attinenti il mio privato; sul secondo, invece, sebbene sia possibile limitare di molto l’accesso a determinati contenuti pubblicati, il sistema di tag nelle fotografie sembra congenitamente fallato e attraverso un’app permetterebbe di accedere ai contenuti di una persona che non ci ha concesso l’amicizia – magari fossero solo questi i problemi di privacy di Facebook! Chi conosce troppo della nostra vita costituisce una potenziale minaccia per la sicurezza dei nostri account online. Riguardiamo la vignetta di Dogmo Comics: questa pone l’accento su una questione apparentemente banale e alla quale non diamo il giusto peso. Quando registriamo un nuovo account per un servizio online, ci ritroviamo spesso a riempire un modulo in cui si deve dare risposta ad alcune “domande di sicurezza” per l’eventuale recupero della password o per l’eventuale sblocco dell’account. Domande come: Qual è il nome da nubile di tua madre? oppure Qual è la targa del tuo veicolo? oppure ancora Qual è la tua squadra preferita? Chi mi conosce da tanto tempo saprebbe rispondere a tutte le tre domande precedenti e gli si spianerebbe un’autostrada per l’accesso abusivo all’account cui queste domande sono associate. Così come già in passato ho scritto che bisogna sradicare il concetto di password sicura, oggi mi ritrovo a ribadire quel concetto e ad aggiungere che dovremmo curare maggiormente l’aspetto della sicurezza informatica: se siamo titolari di un trattamento di dati personali, il Regolamento UE n. 679/2016 – l’arcinoto GDPR – pone sul nostro groppone una responsabilità non indifferente nei confronti dei soggetti che ci affidano i loro dati personali. La professionalità, quindi, non si dovrebbe dimostrare (soltanto) mettendo in piedi un bel sito web ma passa anche per l’attenzione che mettiamo nel prevenire al massimo le violazioni. L’esempio l’abbiamo avuto circa due settimane fa in occasione della violazione dei sistemi informatici del gruppo Visura s.p.a. da parte di Anonymous Italia: di tutto il materiale pubblicato, ciò che colpiva maggiormente era l’elenco delle password usate dai Colleghi del Foro di Roma. In particolare mi ha colpito il fatto che parecchi usassero “avvocato” o “forzaroma“, termini che potrebbero essere associati a un avvocato romano fin troppo semplicemente per chi è esperto di queste cose. Il consiglio odierno è quello di fare attenzione LEGGI TUTTO
GDPR: alcune riflessioni.
Ormai manca meno di una settimana all’entrata in vigore del Regolamento UE n. 679/2016, il famigerato GDPR. Meglio: il regolamento è già in vigore da due anni e il 25 maggio 2018 diventerà semplicemente efficace. Due anni di tempo per adeguarsi alla nuova normativa europea sul trattamento dei dati personali e cos’hanno fatto i soggetti interessati in questo arco di tempo? Niente. Assolutamente niente.
Alzati e aggiorna!
[dropcap]C[/dropcap]apita spesso di ritrovarmi in studi di colleghi o uffici di altro genere e di lanciare un’occhiata ai monitor dei computer che trovo accessi. Chiamatela pure monomania o perversione però è uno dei metodi con cui riesco a farmi un’idea dell’ambiente in cui mi trovo e della cura che presta ai dettagli da parte di chi vi lavora. Purtroppo spesso il panorama è desolante e non perché più di una volta mi sia imbattuto in PC ministeriali con il gioco del Solitario in piena esecuzione, quanto, piuttosto, nell’osservare il livello di aggiornamento degli stessi.
Italia indietro con il digitale? Colpa della scarsa alfabetizzazione!
Se l’Italia non brilla per innovazione digitale, la causa potrebbe avere radici sociali e culturali: la scarsa alfabetizzazione informatica dei cittadini.
