Vai al contenuto

Grazie ad una nuova legge dello stato della California avremo maggior sicurezza sui dispositivi IoT.

Questa legge impone a tutti gli oggetti connessi di avere un ragionevole livello di sicurezza: dato che i produttori di dispositivi IoT devono aggiornare il loro software per poter vendere in California e che non ha senso mantenere un ramo "sicuro" per la California e uno "insicuro" per tutti gli altri, questo miglioramento sarà per tutti.

Via Bruce Schneier

In riferimento a notizie circolate oggi (ieri: martedì 27 novembre), EOLO apprende con stupore che l’amministratore delegato della società, è stato sottoposto alla misura cautelare degli arresti domiciliari per una vicenda chiarita 2 anni fa presso le sedi competenti.

L’azienda e i suoi soci rinnovano la fiducia sia nei confronti del proprio top management che nelle autorità competenti, certi che la vicenda verrà chiarita nell’interesse di tutte le parti coinvolte.

Interessante articolo di Bruce Schneier sull'uso dei dati personali degli IoT (per esempio videocamere di sorveglianza ma anche aspirapolvere e altro). I produttori di questi oggetti non pubblicano nulla sulla trasparenza nell'uso dei nostri dati e non commentano al riguardo quando interpellati.
Siete sempre convinti che sia bello, comodo e fantastico avere il proprio sistema di allarme, con magari videocamere interne, connesso via internet al sito del produttore?
Segue una traduzione molto libera del breve articolo di Bruce.

I dispositivi IoT sono dispositivi di sorveglianza e i produttori generalmente li usano per raccogliere dati sui loro clienti. La sorveglianza è ancora il modello di business di Internet e questi dati sono usati contro l'interesse dei clienti: sia dai produttori che da qualche terza-parte al quale il produttore vende i dati. Ovviamente questi dati possono anche essere usati dalle forze dell'ordine; lo scopo dipende dalla nazione.

Niente di tutto questo è una novità e molto di questo è spiegato nel mio (ndt suo: di Bruce) libro Data and Goliath. Quello che è comune per le aziende di Internet è di pubblicare un "rapporto sulla trasparenza" che indica almeno le informazioni generali su come le forze dell'ordine usano questi dati. Le aziende IoT non pubblicano questi report.
TechCrunch ha chiesto informazioni ad alcune di queste aziende e, fondamentalmente, ha scoperto che nessuno parla.

Via BoingBoing

Se ti si guasta il nuovo Mackbook pro non puoi riparartelo da solo, non puoi farlo riparare da tuo "cuggino" e neppure da un tecnico più o meno esperto a meno che non sia autorizzato da Apple.

Se ci provi smette di funzionare: Stefano Quintarelli fa notare che in pratica lo compri ma non è del tutto tuo.

Comincia ad assomigliare a quello che succede con i brani musicali acquistati online: non li acquisti realmente nel senso che comunemente si dà al termine ma compri solamente un diritto (oltretutto spesso anche temporaneo) ad ascoltarli. Stesso discorso per gli ebook visto che può anche capitarti di veder sparire dal tuo device un ebook che pensavi di aver "acquistato" e non puoi neppure lamentarti perché è tutto regolare.

La direzione che stiamo prendendo è questa. Temo che sia inevitabile: forse, in alcuni casi, può anche andare bene ma io devo dire che la cosa non mi piace.

Picture credit moosticks

Una sentenza canadese impone, a chi va a caccia di pirati e per farlo ha bisogno della collaborazione degli ISP per recuperare il nome associato ad un indirizzo IP, di pagargli un compenso ragionevole.

Mi sembra ragionevole: se, come in questo caso, si vuole far causa a 55'000 "pirati" non si può pretendere che gli ISP lavorino gratis. Il pirati l'ho virgolettato perché dover definire in questo modo così tante persone deve quantomeno far venire il dubbio che ci sia qualcosa di sbagliato alla base.

Via Stefano Quintarelli e engadget

Una ricerca effettuata da sanvine, una società canadese di consulenze sulla banda larga, mette in possibile correlazione il recente aumento del traffico BitTorrent con l'aumento di player nel settore dello streaming online legale.

In particolare l'interessante ragionamento è che iniziano ad esserci diversi fornitori di serie tv e affini e ciascuno ha contenuti in esclusiva che risultano interessanti per il pubblico. In questo scenario l'utente medio è disposto a pagare per abbonarsi ad alcuni ma non a tutti e il resto lo scarica pirata via BitTorrent.

Scrivevo che io mi sono abbonato a Netflix e, per quello che serve a me, è sufficiente ma per altri potrebbe non bastare ma, nel contempo, la spesa totale potrebbe essere troppa.

Via TorrentFreak

Impostazione di Google Calendar per bloccare l'aggiunta automatica degli inviti

A Paolo Attivissimo è capitato di ricevere una notifica di Google Calendar che non aveva impostato lui: una nuova frontiera dello spam.

Può succedere perché c'è un impostazione nei settaggi di Google Calendar che governa l'aggiunta automatica di inviti: in pratica, dato che l'impostazione predefinita accetta automaticamente tutti gli inviti, potresti trovarti invitato ad un evento e quindi vederti arrivare la notifica.

Basta cambiare questa funzionalità impostandola su "No, mostra solo gli inviti a cui ho risposto" per evitare questa particolare forma di spam.

1

Un aspirapolvere potrebbe essere trasformato in una spia e questo può succedere perché, prima di tutto, c'è la mania di avere tutto quanto connesso ad internet ( IoT ) e poi perché qualcuno ha avuto la strana idea di dotarlo di un microfono.

A questo punto, dato che spesso la sicurezza informatica di questi oggetti è molto bassa, succede che vengano trovati sistemi per manometterli e trasformarli in dispositivi di sorveglianza. In questo caso bisogna poter mettere fisicamente le mani sull'aspirapolvere quindi il tipo di attacco è limitato: se hai un malintenzionato in casa il problema maggiore non è l'aspirapolvere.

Bruce Schneier si domanda perché un aspirapolvere debba essere dotato di microfono e pure io me lo chiedo. In più mi chiedo anche il perché di questa mania di avere tutto connesso: soprattutto visto che quasi nessuno si cura della sicurezza di questi oggetti.

Evitare il traffico usando Google Maps è particolarmente utile e permette di risparmiare un sacco di tempo che altrimenti si passerebbe inutilmente in coda. Vi spiego come faccio io compresa una lamentela per il comportamento del tasto di centratura.

Prima di partire aprite l'applicazione Google Maps sul cellulare, predisponente un livello di zoom abbastanza ampio da contenere un pezzo significativo del vostro percorso che comprenda anche le strade alternative che potreste prendere in caso di traffico o incidenti, attivate ovviamente il layer del traffico in tempo reale e poi centrate la mappa sulla vostra posizione con il relativo tasto.

Ora partite e tenete d'occhio ogni tanto la mappa, che si sposta seguendo il vostro movimento, per capire se potete proseguire lungo la vostra solita strada o se è meglio deviare per evitare code o incidenti.

Detta così sembra facile e difatti fino a un po' di tempo fa lo era ma Google ha cambiato il comportamento del tasto di centratura: ora vi porta anche ad un livello di zoom molto stretto vanificando lo scopo che abbiamo.

L'unico sistema che ho trovato per ottenere la sola centratura, senza la variazione del livello di zoom, è di spostare la mappa cercando di centrala manualmente. Se la si rilascia quando è circa centrata si dovrebbe notare che l'ultimo piccolo spostamento per centrarla lo esegue da sola. A questo punto usando il tasto di centratura non varia lo zoom e, apparentemente, non esegue proprio nulla. In realtà la mappa rimane centrata seguendo i vostri spostamenti. La difficoltà è quella di riuscire nella centratura manuale: solitamente dopo un bel training e comunque ogni volta dopo svariati tentativi (nei quali, quanto fallite, parte lo zoom) si riesce. Se però avete un cellulare datato e poco potente il risultato è che prima di riuscirci l'applicazione va in crash e vi lascio immaginare i commenti indirizzati a Google.

Se conoscete qualche trucco più efficace per avere la centratura senza la variazione dello zoom scrivetemelo nei commenti.

Spostare manualmente la mappa mentre si guida è da escludere: un occhiata al volo alla mappa va bene ma smanacciare il telefono mentre si è al volante no.

Se anche voi usate da sempre FoxyProxy per gestire i proxy di Firefox vi sarete accorti che per un po' di tempo non era stato aggiornato per essere compatibile con la nuova tipologia di plugin di Firefox. Nel frattempo mi sono arrangiato a mano e poi ho dimenticato di controllare.

Ora mi sono accorto che è stato aggiornato (in realtà totalmente riscritto) e quindi possiamo tornare ad usarlo.

Se avete l'esigenza di esporre un servizio web di casa vostra e volete farlo in maniera sicura gestendo voi direttamente il tutto per avere il massimo controllo una soluzione è il reverse proxy con autenticazione.

Per fare un esempio potreste voler pubblicare in internet una ip cam di sorveglianza che guarda l'esterno di casa. Il modo più facile è di impostare una regola sul vostro router per aprire la porta della videocamera ma questo presenta almeno un paio di problematiche che portano a sconsigliarlo. La più ovvia è che la videocamera potrebbe non avere l'impostazione per proteggerla con password e non è bello che chiunque possa guardare fuori da casa vostra. Una seconda considerazione è sul grado di sicurezza della vostra ip cam: potrebbe avere dei bug che permettono ad un malintenzionato di prenderne il controllo o, anche se non ne avesse, in futuro potrebbero saltarne fuori e il produttore quasi certamente non pubblicherà un aggiornamento per tappare la falla.

La soluzione reverse proxy con autenticazione è indubbiamente più complessa ma permette di avere il pieno controllo della parte che si pubblica in internet e di poter quindi tenere aggiornati tutti i componenti alle ultime versioni: un sistema correttamente configurato e mantenuto aggiornato è una buona garanzia di sicurezza.

Cosa serve per realizzarlo? Prima indico un breve elenco di oggetti che servono e poi qualche dettaglio sulle configurazioni.

Elenco:

  • Un ip pubblico (niente NAT/Carrier Grade NAT altrimenti non siete raggiungibili dall'esterno)
  • Un router che possa tenere aggiornato un dns dinamico con il vostro ip (o un ip pubblico statico)
  • Un server sempre acceso da adibire a reverse proxy

Per accedere in maniera sicura bisogna esporre il servizio in HTTPS quindi usiamo Let's Encrypt per avere un certificato gratuito per il dns che abbiamo impostato nel nostro router.

Se utilizzare una Debian con Apache come web server allora dovete abilitare i vari moduli proxy e un idea di settaggi del reverse proxy potrebbe essere:

<VirtualHost *:443>
          SSLEngine on
          SSLCertificateFile /etc/letsencrypt/live/tuo.dominio.it/fullchain.pem
          SSLCertificateKeyFile /etc/letsencrypt/live/tuo.dominio.it/privkey.pem
          ServerAdmin tuaemail@example.it
          ServerName tuo.dominio.it
          ProxyPass / http://192.168.1.100/
          ProxyPassReverse / http://192.168.1.100/
          <Proxy *>
                    AuthType Basic
                    AuthName "Restricted Access"
                    AuthUserFile "/cartella/dove/metti/il/file/passwordapache"
                    Require user nomeutente
          </Proxy>
          </VirtualHost>
<VirtualHost *:80>
          ServerName tuo.dominio.it
          Redirect permanent / https://tuo.dominio.it/
</VirtualHost>

Come vedete ho messo un rediret permenent per HTTP (porta 80) in modo che se anche cerchi di accedere senza l'HTTPS vieni rediretto sul sito sicuro. Nella sezione sopra, quella HTTPS (porta 443), ho indicato le posizioni dei certificati, l'ip interno del web server da esporre (da notare che può essere anche solo HTTP ma verso l'esterno viene fatto transitare HTTPS), come AuthName non mettete nulla di personale perché è visibile a chiunque prima dell'autenticazione e poi c'è il file dove salverete utente e password.

Fatto in questo modo potete accedere da internet al vostro servizio web semplicemente con https://tuo.dominio.it/ vi apparirà la richiesta di nome utente e password e tutto quanto transiterà in maniera cifrata.

Può capitare che una macchina virtuale vada completamente distrutta e quindi l'unica opzione si di rifarla da zero.

Come vedete anche dalla comunicazione qui sopra viene giustamente ricordato di fare i backup dei dati critici ma, in alcuni casi, potrebbe essere utile anche un backup dell'intero sistema operativo.

Se ricostruire un server e ricaricarci i dati critici da un backup è più facile e veloce che mettere in piedi, mantenere e gestire un sistema di backup dell'intero server e poi ripristinare da uno di questi backup l'intera macchina allora non è il caso di pensarci.

Fate voi le valutazioni del caso a seconda di quello che serve a voi.

Come avevo preannunciato in dicembre 2016 ho finalmente implementato l'https su questo blog.

A parte l'accesso amministrativo che richiede un autenticazione e quindi mandare le credenziali in chiaro (con http) non è sicuro, il resto non ha un motivo pratico per richiedere la cifratura delle comunicazioni.

Il motivo è un altro. A tendere tutti i siti web dovrebbero passare ad https e questo porterà all'abitudine di aspettarsi che un sito sia https. Questo aiuta ad essere sicuri che il sito che si sta visitando sia realmente quello che ci aspettiamo.

In realtà anche un malintenzionato può mettere in piedi un sito truffa in https ma almeno dovremo solo controllare il nome del sito a destra del lucchetto per essere sicuri che corrisponda a quello sul quale volevamo andare.

Anche google dice ormai che nei risultati delle ricerche verranno penalizzati i siti che non saranno in https quindi conviene non rimanere indietro.

Ora veniamo a qualche informazione tecnica che potrebbe esservi utile per la

MIGRAZIONE DA HTTP A HTTPS

Il passaggio, che è sempre un pre requisito ogni volta che si mette mano al proprio blog, è quello di fare un backup completo: sia del database che della /var/www del blog (o della cartella dove risiede)

Come segnalato all'inizio con il link al mio vecchio post il primo passaggio è quello di richiedere il certificato.

Se nei vostri vecchi post avevate delle immagini e i link erano con indicato http avrete un problema: i browser segnaleranno qualcosa che non va. Per sistemare ho usato un plugin wordpress che si chiama Search & Replace e ho sostituito src="http:// con src="// togliendo così il riferimento e lasciando il default del sito. Ovviamente nelle impostazioni generali dovrete cambiare l'indirizzo del blog mettendo https.

Anche da altre parti potrebbe essere rimasto qualche riferimento ad immagini http. Tipicamente nelle colonne laterali ma si tratterà di pochi link che dovrete controllare a mano e sistemare senza la necessita di tool automatizzati come per le immagini dei post che invece potrebbero essere tante.

Che dati bisogna backuppare?

La domanda sembra banale ma non lo è visto che nasconde delle insidie.

In un mondo perfetto tutti i dati dovrebbero essere salvati ma nella vita reale è importante scegliere perché, se si esagera, va poi a finire che c'è così tanta roba da salvare che passa la voglia oppure finisce lo spazio per i backup.

Come primo passaggio consiglio di suddividere i vostri dati in due grandi categorie: la prima comprende quelli che, se persi, non sareste più in grado di riavere (foto personali, documenti personali) e la seconda tutto il resto e quindi quei dati che potete scaricare o ricreare senza troppa fatica (app del telefono, programma del computer, foto pubbliche per esempio quelle che usate come sfondi ecc. ecc.)

La prima categoria dovete backupparla, la seconda no.

Ora che abbiamo il criterio su cosa va backuppato dobbiamo applicarlo a tutti i nostri supporti che contengono dati: attenzione a non dimenticarne. Ad esempio avremo sicuramente dei dati sul telefono e su tablet e computer ma ci sono anche dei dati sul cloud; ad esempio potreste avere Dropbox: non commettete l'errore di pensare che su un sistema remoto di archiviazione i dati siano al sicuro e non serva il backup.

Queste sono solo delle indicazioni di massima ma vi saranno utili per scoprire cosa backuppare.

Foto credit Evan Dennis

Durante un upgrade da Debian 8 a Debian 9 potrebbe capitarvi che il server non torni raggiungibile.

Se avete un accesso diretto (tastiera e monitor oppure una console di un server virtuale) usatelo e verificate che sia tutto a posto lato network.

Con un networkctl ottenete la lista delle interfacce di rete e poi verificate che nel file /etc/network/interfaces il nome sia lo stesso: se non lo fosse allora sistematelo e riavviate il network con un systemctl restart networking.service.

Già che ci siete verificate anche che il servizio di rete sia abilitato allo startup controllando cosa dice un systemctl status networking.service perché potrebbe essere disabled.

Ricordatevi di fare il backup dei vostri dati e di farlo regolarmente.

Come tutti sanno "i backup non servono a nulla" e difatti è così ma solo fino a quanto non ti accorgi che hai perso dei dati. In quel momento ti rendi conto che, se avessi fatto regolarmente il backup, ora potresti recuperali.

Detta così aiuta poco perché l'argomento è veramente ampio ma conto di sviscerarlo per bene trattando tutti gli aspetti. Tanto per capirci: quali dati backuppare, quando backupparli, con che strumento backupparli, dove conservare i backup, in quante copie conservare i backup, per quanto tempo conservare i backup e forse anche altro.

Per iniziare vale il suggerimento del titolo: quale che siano i vostri dati salvatene subito una copia, fatelo regolarmente e possibilmente su un supporto diverso da quello dove risiedono: i dati sono su un computer? Salvate una copia su una chiavetta usb o su un dvd.

Si tratta solo di una indicazione rapida e per nulla completa ma è meglio di nulla: per il resto seguiranno altre interessanti informazioni.

   Il senato degli USA ha appena approvato l'uso di Signal per il suo staff.

Signal è un sistema di messaggistica (sul quale è anche basato whatsapp) senza backdoor e senza nessuna grande azienda alle spalle sulla quale sia possibile fare pressione per farne installare.

Bruce Schneier dice che forse è ottimista ma crede che abbiamo appena vinto la guerra della cifratura: una parte molto importante del governo degli USA sta dando priorità alla sicurezza rispetto alla sorveglianza.

Sono d'accordo con lui e sono contento.

1

Dieci anni fa scrivevo di tariffe flat per scaricare legalmente e sembrava quasi un utopia.

Oggi non lo è più: complici i cambiamenti iniziati con la vendita legale di musica via mp3 con tariffe flat e, soprattutto, complice il miglioramento delle connessioni internet è adesso molto facile fruire di film, serie tv e tanto altro con una tariffa flat decisamente ragionevole.

Scrivevo, allora, che se ci fosse stata una tariffa flat dal costo ragionevole l'avrei utilizzata e difatti è andata così. Mi sono abbonato a Netflix.

Confermo quello che scrivevo anni fa: ci saranno sempre i download illeciti di film ma i tempi sono ormai maturi perché la maggior parte della fruizione di contenuti video passi per canali legali.

Il co-inventore delle onnipresenti batterie agli ioni di litio John Goodenough ha annunciato che sta lavorando ad un nuovo tipo di batteria basata su un elettrolita allo stato solido di vetro drogato con litio o sodio che dovrebbe avere una capacità tre volte superiore alle attuali batterie agli ioni di lito e decine di volte più veloce per la ricarica (minuti invece che ore)
Oltre ai vantaggi di dimensione e velocità ci sono anche altri vantaggi: azzerati i rischi di surriscaldamento e esplosione ed eliminata la dipendenza da materiali rari (come il litio) in quanto è utilizzabile anche il sodio che è particolarmente disponibile e una temperatura di esercizio tra -20°C e +60 °C
Tutto questo apre interessanti accelerazioni sul calo di costo delle automobili elettriche che, se questa nuova batteria passasse realmente in produzione, subirebbe una brusca accelerazione arrivando al traguardo di pareggiare il costo di un auto a combustibile fossile molto prima di quando previsto.

Dei tre componenti basi della batteria, dice Goodenough, resta solo da risolvere un problema sul catodo perché anodo ed elettrolita pare siano già a posto e poi potranno passare a produrre celle più grandi.
Via Stefano Quintarelli e IEEE Spectrum