Vai al contenuto

Quando si acquista da un negozio online ci sono una serie di accortezze per limitare i rischi di frode nei quali si incorre pagando con carta di credito e spero che li conosciate anche perché non è di questo che volevo parlare.

Ci sono dei casi, rari fortunatamente, nei quali si deve pagare con carta di credito: non si è fisicamente presenti presso il venditore che avrebbe il POS per effettuare il pagamento e il venditore non è attrezzato per farvi pagare online con un form web dove poter inserire in sicurezza i dati della carta.

Analizziamo la situazione: tanto per cominciare vi dovete fidare totalmente del venditore. Meglio se lo conoscete di persona e se avete anche già acquistato da loro.

Smarcato il problema "fiducia" restano le misure di sicurezza. I dati della carta non vanno trasmessi usando un canale insicuro, non cifrato, perché si corre il rischio che un qualunque soggetto terzo possa intromettersi e salvarsi i dati della carta. Un email (sempre che non sia cifrata) non è un canale sicuro. Anche una telefonata non è un canale sicuro: so che magari è un pelo paranoico ma le telefonate sono intercettabili abbastanza facilmente e qualcuno potrebbe anche ascoltarvi .

Un sistema di messaggistica cifrato end-to-end è una buona opzione cancellando subito dopo il messaggio, ci sono alcune criticità potenziali ma a grandi linee è una buona opzione.

Bisogna tener presente che la sicurezza assoluta non esiste: anche un form web https di una banca potrebbe essere insicuro. Basta che ci andiate su con un cellulare o un pc infettato da un keylogger che vi ruba i tasti che premete o, molto più banalmente, qualcuno che con una buona videocamera (e basta un buon cellulare) vi fa un video riprendendo i dati che inserite.

In una lettere aperta WhatsApp fa sapere che in UK stanno discutendo di una legge che, per come è formulata ora, permetterebbe di costringere le aziende di messaggistica come WhatsApp a indebolire e quindi distruggere la sicurezza delle comunicazioni cifrate end-to-end.

In questo modo tutti i britannici e chiunque si scambi messaggi con loro non potrebbero più scambiare messaggi in maniera sicura.

Ci fa notare Bruce Schneier che la reazione di WhatsApp e di Signal sarà quella di cessare il loro servizio in UK piuttosto che compromettere la sicurezza dei loro utenti in tutto il resto del mondo.

Il bilanciamento tra sicurezza e privacy è un mestiere complesso ma in questo caso hanno ragione WhatsApp e Signal: in UK, con una legge di questo tipo, passerebbero il segno e quindi una risposta forte è doverosa.

L'algoritmo a chiave pubblica CRYSTALS-Kyber è raccomandato dal NIST nel processo di selezione della crittografia post-quantica.

Dei ricercatoti hanno pubblicato un attacco Side-Channel basato sul consumo di corrente e si supponeva che questo algoritmo fosse resistente a questo tipo di attacco.

La parte interessante, fa notare Bruce Schneier, non è tanto l'attacco in se ma che abbiano usato una tecnica di machine learning per istruire il sistema su come portarlo a termine: effettivamente è importante notare che una tecnica relativamente nuova come quella del machine learning possa essere usata per trovare vulnerabilità e, ovviamente di contro, anche per forzare un sistema.

L'ente spaziale europeo ESA ha annunciato che lancerà un satellite che sarà completamente riprogrammabile da terra. Giustamente ci fa notare Bruce Schneier che questo significa hackerabile.

Anche dando per scontato strong encryption e un buon sistema di gestione delle chiavi resta comunque un bersaglio interessante.

La banca d'Inghilterra rende omaggio ad Alan Touring dedicandogli la nuova banconota da 50 sterline.

Alan Touring è stato un matematico e crittografo e, con il su lavoro a Bletchley Park durante la seconda guerra mondiale, ha contribuito a ridurne la durata. Come "premio" per tutto quello che ha fatto è stato perseguitato per la sua omosessualità fino a portarlo al suicidio. Ci sono voluti diversi anni prima che L'UK rilasciasse ufficialmente delle scuse (purtroppo, ovviamente, postume).

Molto più significativo delle scuse, doverose, è questo tributo sulla banconota da 50 sterline.

Mi è piaciuto molto quello che il direttore del GCHQ Jeremy Fleming ha dichiarato: ha detto che questo tributo è importante non solo in considerazione del suo genio scientifico ma ne conferma lo status di una delle più iconiche figure LGBT+ del mondo.

Dopo 50 anni il messaggio "cifrato 340" (chiamato così perché è lungo 340 caratteri) è stato decifrato.

In un intervista ad uno dei ricercatori scopriamo che in realtà il killer dello zodiaco aveva commesso un errore durate la cifratura e, questo errore, ha reso così difficile la decifrazione che ci sono voluti 50 anni.

Una parte del meccanismo di cifratura prevedeva di scrivere una lettera, scendere di una riga e spostarsi di due colonne, scrivere la lettera successiva. Ad un certo punto della cifratura ha commesso un errore: invece di andare avanti di due colonne si è spostato solo di una.

Lo scopo di questo meccanismo di cifratura differente rispetto a quello del precedente messaggio era di renderlo più difficile. Il ricercatore spiega che secondo lui l'errore è stato involontario, se se ne sia accorto o meno comunque non l'ha corretto pensando che una complicazione in più avrebbe reso il lavoro di decifrazione più complesso (ma non immaginando quanto). Il motivo è che il messaggio conteneva informazioni che Zodiac voleva che si sapessero (non era lui che aveva chiamato in TV) e non avrebbe avuto senso rendere la cifratura così forte da volerci 50 anni per risolverla.

Via Bruce Schneier

Il procuratore generale William Barr ha tenuto un discorso sulla cifratura dove il punto più importante, secondo Bruce Schneier e anche secondo me, è che finalmente c'è l'ammissione che introdurre delle backdoor per garantire l'accesso alle forze dell'ordine diminuisce la sicurezza.

Barr rimane convinto che ne valga la pena ma non è questo il punto: fino ad ora era sempre stato detto che le backdoor di stato si sarebbero potute aggiungere senza diminuire la sicurezza.

Ora finalmente si può iniziare un dibattito politico serio. Aggiungere le backdoor permette alle forze dell'ordine di intercettare i cattivi ma, diminuendo il livello di sicurezza, permette anche ai cattivi di sorvegliare noi.

Quello che il procuratore Barr dice è che si tratta di "cybersecurity di consumo" e non "codici di lancio nucleari": è vero ma non dimentichiamo che le persone che usano questa famosa "cybersecurity di consumo" sono anche legislatori, amministratori delegati, le stesse forze dell'ordine per non parlare del personale addetto alle centrali nucleari o ai codici di lancio giusto per fare un esempio. Argomentare poi che queste persone posso essere dotate di strumenti di comunicazione sicuri (senza le backdoor) è un esercizio che si ritorce contro a chi lo propone visto che, a questo punto, anche i criminali possono usarle strumenti senza backdoor quindi torneremmo tutti al punto di partenza avendo solamente peggiorando la sicurezza generale.

C'è veramente da sperare che finalmente ora il dibattito possa spostarsi dal precedente "finta sicurezza" vs privacy al reale dibattito sicurezza vs sicurezza e, secondo Bruce Schneier la sicurezza complessiva è molto più importante dell'esigenza delle forze dell'ordine di intercettare e va difesa anche a costo di rinunciare all'accesso tramite backdoor delle forze dell'ordine. Questo, tra i vari motivi, perché tutti questi strumenti di comunicazione proteggono anche i codici di lancio delle armi nucleari citati dal procuratore Barr.

Image credit TorrentFreak

Se avete l'esigenza di esporre un servizio web di casa vostra e volete farlo in maniera sicura gestendo voi direttamente il tutto per avere il massimo controllo una soluzione è il reverse proxy con autenticazione.

Per fare un esempio potreste voler pubblicare in internet una ip cam di sorveglianza che guarda l'esterno di casa. Il modo più facile è di impostare una regola sul vostro router per aprire la porta della videocamera ma questo presenta almeno un paio di problematiche che portano a sconsigliarlo. La più ovvia è che la videocamera potrebbe non avere l'impostazione per proteggerla con password e non è bello che chiunque possa guardare fuori da casa vostra. Una seconda considerazione è sul grado di sicurezza della vostra ip cam: potrebbe avere dei bug che permettono ad un malintenzionato di prenderne il controllo o, anche se non ne avesse, in futuro potrebbero saltarne fuori e il produttore quasi certamente non pubblicherà un aggiornamento per tappare la falla.

La soluzione reverse proxy con autenticazione è indubbiamente più complessa ma permette di avere il pieno controllo della parte che si pubblica in internet e di poter quindi tenere aggiornati tutti i componenti alle ultime versioni: un sistema correttamente configurato e mantenuto aggiornato è una buona garanzia di sicurezza.

Cosa serve per realizzarlo? Prima indico un breve elenco di oggetti che servono e poi qualche dettaglio sulle configurazioni.

Elenco:

  • Un ip pubblico (niente NAT/Carrier Grade NAT altrimenti non siete raggiungibili dall'esterno)
  • Un router che possa tenere aggiornato un dns dinamico con il vostro ip (o un ip pubblico statico)
  • Un server sempre acceso da adibire a reverse proxy

Per accedere in maniera sicura bisogna esporre il servizio in HTTPS quindi usiamo Let's Encrypt per avere un certificato gratuito per il dns che abbiamo impostato nel nostro router.

Se utilizzare una Debian con Apache come web server allora dovete abilitare i vari moduli proxy e un idea di settaggi del reverse proxy potrebbe essere:

<VirtualHost *:443>
          SSLEngine on
          SSLCertificateFile /etc/letsencrypt/live/tuo.dominio.it/fullchain.pem
          SSLCertificateKeyFile /etc/letsencrypt/live/tuo.dominio.it/privkey.pem
          ServerAdmin tuaemail@example.it
          ServerName tuo.dominio.it
          ProxyPass / http://192.168.1.100/
          ProxyPassReverse / http://192.168.1.100/
          <Proxy *>
                    AuthType Basic
                    AuthName "Restricted Access"
                    AuthUserFile "/cartella/dove/metti/il/file/passwordapache"
                    Require user nomeutente
          </Proxy>
          </VirtualHost>
<VirtualHost *:80>
          ServerName tuo.dominio.it
          Redirect permanent / https://tuo.dominio.it/
</VirtualHost>

Come vedete ho messo un rediret permenent per HTTP (porta 80) in modo che se anche cerchi di accedere senza l'HTTPS vieni rediretto sul sito sicuro. Nella sezione sopra, quella HTTPS (porta 443), ho indicato le posizioni dei certificati, l'ip interno del web server da esporre (da notare che può essere anche solo HTTP ma verso l'esterno viene fatto transitare HTTPS), come AuthName non mettete nulla di personale perché è visibile a chiunque prima dell'autenticazione e poi c'è il file dove salverete utente e password.

Fatto in questo modo potete accedere da internet al vostro servizio web semplicemente con https://tuo.dominio.it/ vi apparirà la richiesta di nome utente e password e tutto quanto transiterà in maniera cifrata.

   Il senato degli USA ha appena approvato l'uso di Signal per il suo staff.

Signal è un sistema di messaggistica (sul quale è anche basato whatsapp) senza backdoor e senza nessuna grande azienda alle spalle sulla quale sia possibile fare pressione per farne installare.

Bruce Schneier dice che forse è ottimista ma crede che abbiamo appena vinto la guerra della cifratura: una parte molto importante del governo degli USA sta dando priorità alla sicurezza rispetto alla sorveglianza.

Sono d'accordo con lui e sono contento.

4

La maglietta di TorrentFreakStefano Quintarelli ci avvisa che è in arrivo una nuova opzione in un client BitTorrent: la cifratura.

Cifrando le comunicazioni l'ISP non ha più modo di sapere che cosa siano i nostri dati e quindi la Net Neutrality o ce la danno oppure ce la prendiamo noi cifrando (a suon di mazzate?)

Ovviamente al povero ISP resta l'opzione di un cap sulla banda ma questo è un altro discorso: nel frattempo si dovranno adeguare al fatto che la rete vuole essere neutrale, poi vedremo anche il resto 😉

(Via TorrentFreak)