Sicurezza - Comportamenti

Oggi e' l'ultimo lunedi' di Agosto, e molti tra una settimana saranno tornati nei loro uffici.
Riprenderanno tutte le attivita', riapriranno negozi e locali e sara' piu' probabile trovarsi ad andare in giro accompagnati dal proprio portatile, ovviamente lasciato in bella mostra su un tavolo mentre ci si fa i fatti propri.

E qui e' il caso di fare attenzione.
Gia' un annetto fa, ad un BarCamp, consideravamo quanto sarebbe facile farsi un discreto quantitativo di soldi con le attrezzature (mica solo portatili) che siamo ormai abituati a lasciare in giro senza "guardia"...
In un posto come un BarCamp, chi si stupisce se qualcuno gira con un portatile sottobraccio?
E se il mio e' piu' che riconoscibile, molti altri sono completamente anonimi, possono essere di chiunque, anche di quel blogger sconosciuto che sta andando via...

Momento!
Non era un blogger, era un ladro!

Ecco, queste cose non succederebbero se si prendesse la sana abitudine di mettere "in sicurezza" il proprio portatile quando si e' fuori casa.

In primo luogo, dato che la posta la teniamo tutti sempre aperta, sarebbe il caso di mettere lo Screen Saver, possibilmente protetto da password, per evitare che il primo curioso possa avere accesso alle nostre conversazioni private (o nel peggiore dei casi spacciarsi per noi facendo chissa' che cosa).

In secondo luogo, se proprio proprio non vogliamo passare tutto il tempo con il portatile addosso (o se dobbiamo necessariamente lasciarlo in carica o attaccato ad un cavo di rete), con la modica cifra di una decina di Euro possiamo prenderci i cavetti d'acciaio della Kensington, che permettono di ancorare il portatile ad un tavolo, uno scaffale, a qualunque cosa abbia delle "gambe" (meglio se oggetti pesanti o inchiodati al suolo).

Certo, il Kensington Lock e' spezzabile con un comune tronchese (pochi millimetri di spessore), ma una persona che armeggia attorno a quegli affari con un tronchese si nota, e quindi resta un ottimo deterrente.

Insomma, tra una settimana riprenderemo la malsana abitudine di lasciare il nostro portatile incustodito...
Iniziamo a prendere provvedimenti subito o vogliamo aspettare che il portatile ce lo asportino? :-)

[ispirazione: The Unofficial Apple Weblog]

 Ok, quando ho letto il titolo ci sono quasi rimasta male...
Poi ho pensato ad un giorno, tempo fa, in cui sono letteralmente impazzita cercando di indovinare una password impostata da una persona di mia conoscenza, e che pensava di averla dimenticata...

Anzi, per essere precisi, questa persona era convinta di aver impostato una password (forse perche' il sistema gliela chiedeva).
Peccato che la password non ci fosse, e che io a battere "invio" ci abbia pensato solo dopo un'ora di Brainstorming col malcapitato proprietario del computer.

Soprattutto poi su Windows Xp, dove un account senza password non puo' essere utilizzato da remoto, l'utilizzo di password "vuote" (cioe' nulle) puo' essere piu' sicuro che non infilare una password stupida come "1234" (dopo la cambio, prometto...), ovviamente a patto che il computer sia a casa vostra, in un ambiente dove voi avete il controllo delle persone che accedono e che quindi possono "toccare" il vostro computer.

[Microsoft Security, via Lifehacker]

In Italia la diffusione del Wi-Fi non e' certo altissima, tantomeno lo e' quel minimo di cultura che secondo me e' necessaria quando si vuole proporre uno strumento per l'utilizzo (davvero, me ne rendo conto anche con il Supporto del Nabaztag, la gente qui di Wireless sa veramente troppo poco...).

Resta comunque interessante questa riflessione di Bruce Schneier su Wired, secondo cui una rete Wireless completamente aperta non e' poi tanto insicura come vogliono far credere.
Schneier punta sul fatto che un potenziale Hacker, che voglia fare qualcosa di illegale, andrebbe a farlo da un bar, un pub, o comunque un altro posto che, oltre alla connettivita', fornisse anche una sedia, magari al caldo.
Certo meglio che piazzarsi in macchina sotto casa tua.

In effetti mi trovo assolutamente d'accordo con la questione.
Andare a cercare una rete Wireless aperta non e' una cosa facile, e spesso ci si trova a doversi appostare in maniera piuttosto scomoda (vedi anche questa mia foto).
Ed e' proprio per quello che, senza nemmeno cercarmi le reti, solitamente io mi metta ad utilizzare la mia buona, vecchia, affidabile Datacard di Tre.

Poi c'e' da considerare il discorso che e' piu' facile (umanamente parlando) trovare persone che, se si trovano ad utilizzare la tua connessione, lo fanno come se fossero ospiti in casa tua, cioe' con criterio, rispetto ed educazione.
E' una questione anche di rispetto reciproco.
Che nella maggior parte dei casi si rivela piu' che esistente (vedi quando, ai vari BarCamp, lasciamo tutti senza problemi i nostri portatili in giro, assolutamente incustoditi, e mai nulla e' sparito).

Ovviamente, noi italiani un discorso del genere non possiamo farlo.
Abbiamo una bellissima legge che, tagliando la testa al toro, rende di fatto illegale la condivisione di una rete Wireless aperta, pertanto vi rendono perseguibili se lasciate la vostra rete aperta, a meno che la rete in questione non sia FON, che finalmente viene accettata come rete aperta condivisa in modo legale anche sull'italico suolo.

A parte che il conto con la Banca di Roma non ce l'ho (ne ho due ma nessuno e' con loro), penso che questa sera il filtro anti-spam e anti-phishing di Gmail abbia fatto cilecca.
Non solo perche', appunto, il conto li' non ce l'ho, ma anche e soprattutto per il contenuto (pregevole!) della mail, che merita di essere copiato, incollato e commentato:

Caro cliente ,
Che poi, volendo, se mi conosceste davvero, io avrei un nome e cognome, e sono anche piuttosto pubblici...

Eseguiamo attualmente la manutenzione regolare delle nostre misure di sicurezza. Il suo conto stato scelto a caso per questa manutenzione, e lei sar adesso portato attraverso una serie di pagine di verifica di identit.
Le accentate le diamo per disperse, il "lei sara' adesso portato" zoppica ma forse puo' ancora reggere...

Per eseguire la manutenzione regolare per favore scatto qui
"Scatto"?!?
E che e'?
Click non si dice piu'?

Proteggere la sicurezza del suo Primo conto bancario di Scambio il nostro interesse primario, e chiediamo scusa per qualunque inconvenienza che questo pu causare
Non ce l'ho proprio il conto li', spiacente.
E poi che significa "Primo conto bancario di Scambio"?

Per favore nota:
Chi ti ha autorizzato a darmi del tu a meta' della mail?

Se facciamo no riceve la verifica di conto appropriata entro 24 ore, poi presumeremo che questo conto fraudolento e sar sospeso. Lo scopo di questa verifica assicurare che il suo conto non stato fraudolentamente usato e combattere la frode dalla nostra comunit.
Ecco, questa frase (la prima) non ha senso.
Mi spiace, ma l'ho letta TRE volte, e al massimo ho rischiato di star male dal ridere.

2007 . Tutti i diritti hanno riservato.
Il traduttore automatico scazza di brutto anche la dicitura del copyright (che, a questo punto, era meglio lasciarla in inglese...)

Considerazioni a Margine
Non so se voglio credere che qualcuno su quel "Scatto qui" abbia davvero clickato.
Anzi, so che NON ci voglio credere.
Pero' in realta' so anche che qualche fesso (non c'e' altro modo di definirlo) e' in grado di scambiare una simile oscenita' per una mail legittima.

Una questione che torna ciclicamente alla ribalta (e che ovviamente ciclicamente mi trovo a ripostare) riguarda la sicurezza informatica.
Quali sono le vere falle dei sistemi, specie quelli di autenticazione?
Si puo' pensare ai Firewall, alle applicazioni bacate, dare la colpa ai sistemisti (che tanto ogni tanto pare siano li' apposta per prendersi le colpe di tutto...), ma non e' cosi'.
Sembra infatti che, tanto per cambiare, la principale falla di sicurezza sia l'essere umano.
L'essere umano che si scrive la password da qualche parte (qualcuno ha detto "post-it sul monitor"? si, io ne ho visti).
L'essere umano che utilizza il nome del cane o del gatto come password (quando ne deve scegliere una che sia diversa dal nome utente).
L'essere umano che ci casca sempre, tra l'altro, se gli si applica un po' (basta poco) di sano "social engineering".

Come risolvere il problema?
Educando gli utenti, in primo luogo, spiegandogli cosa succede se utilizzano password deboli, e soprattutto sperare (pregare?) che questi capiscano.
Ma non e' facile (ci ho provato...)

[spunto di riflessione tratto da The Register]

Lo segnala catepol via Twitter, e ovviamente corro a vedere.
A quanto pare la gente non ha ancora compreso appieno il significato del termine "pubblico", e ha la tendenza a memorizzare le cose sbagliate nei posti sbagliati.
Se infatti andate su Google Calendar e cercate, nei calendari pubblici, la combinazione "user password" potreste anche rimanerci male:

Puntodivista Microsoft Windows Vista Installazione Internet Sicurezza

Sebbene possa essere una feature molto interessante, questa cosa mi preoccupa.
E sotto spiego anche il perche'.

Tagged Taggedmail Spam Gmail

Ok, un bel rientro a casa post-allenamenti questa sera...
Nel senso che la mia esimia Inbox mi ha riservato qualche sorpresina non esattamente di mio gradimento, nella forma di strani messaggi email (nella fattispecie tre messaggi) che mi segnalavano che due persone mi avevano "taggato".
La cosa mi ha un po' insospettita, un po' perche' la prima non la conosco neppure, non ho idea di chi diavolo sia, un po' perche' la seconda la conosco ma non la sento da una vita e mezza, e la mail era doppia (nessun servizio che si rispetti manda mail doppie).
Il link per annullare la sottoscrizione ha fatto accendere altri allarmi, dal momento che non mi ricordavo di essermi mai iscritta a quel coso.
Visitare il sito ha fugato ogni successivo dubbio: mai iscritta (non risulto nel loro database).
Quindi, com'e' che mi arrivano queste cose?

Sicurezza, Sigarette, Backdoor

Curioso articolo quello apparso oggi su The Register, secondo cui il divieto di fumare sul posto di lavoro potrebbe diventare una minaccia per la sicurezza (informatica, nello specifico) del luogo.
A prima vista, questa affermazione parrebbe una sonora cazzata, ma leggendo bene l'articolo si capisce che tanto cazzata non e'.
Infatti, da quando non si puo' piu' fumare all'interno dell'ufficio (sono in pochi ad avere un'area fumatori attrezzata), i lavoratori si arrangiano su balconi, scale antincendio, cortili, e chi piu' ne ha piu' ne metta (si, fa molto ghetto...).
E in alcuni posti (pare, almeno leggendo l'articolo di cui sopra) si ha la tendenza a lasciare le porte aperte per i poveri fumatori.
Ma non solo per loro.

La Privacy e' a Rischio!
E questo per certi versi gia' lo sapevamo tutti.
Ma non sapevamo, forse, che il maggior rischio per la privacy arriva non tanto da attacchi, programmi spia, e altre cose, bensi' da noi stessi e dai nostri "sacchi della monnezza".
Questo interessantissimo articolo di Emanuele Di Pasqua sul Corriere della Sera (online) ci spiega per benino cosa puo' succedere se non prendiamo alcune semplici precauzioni prima di liberarci dei nostri "rifiuti tecnologici".

Ecco una cosa su cui non avevo mai riflettuto, ma che, a ben pensarci, pare vera.
Secondo Slashdot, che riprende la notizia da InformationWeek, infatti, il fatto che un'azienda abbia un reparto IT, di addetti alla manutenzione delle macchine e apparati informatici insomma...
Beh, questo potrebbe causare problemi.

Human nature causes security holes

E se ci si mette lo spam e il maggiore utilizzo dell'informatica, la cosa diventa ancora peggiore...

E' da qualche tempo che medito un articolo di questo genere...
Ma proprio oggi su una Mailing List a cui sono iscritta hanno fatto notare un articolo di Punto Informatico che mi ha spinta a mettere mano alla tastiera...

L'idea per questo articolo me l'hanno data involontariamente da un cliente oggi.
Non e' successo nulla di male, pero' dal momento che io per certe cose vivo nella paranoia ho quasi preso un infarto pensando alle conseguenze possibili dell'infausto click.