Vai al contenuto

Tag: sicurezza

Pubblicato Lascia un commento per Epson XP-2200 Ubuntu 24.04 non stampa

Ho avuto parecchie difficoltà ad impostare la stamapante Epson XP-2200 via rete in Ubuntu 24.04.

Premetto che la spampanate in se funziona. La scansione funziona regolarmente usando la sua applicazione che si scarica insieme al driver sul sito Epson. Funziona anche la stampa ma da app sul cellulare quindi l'hardware è a posto e la stampante è regolarmente in rete.

Il dubbio che mi ha fatto trovare la soluzione è stato relativo alla password di amministratore della stampante (che si trova in una etichetta all'interno) e che alla prima impostazione dell'app ho inserito mentre il driver .deb non richiede.

Dall'interfaccia web della stampante, dopo aver inserito la password, si accede ai settaggi avanzati e ho impostato di consentire la comunicazione IPP non sicura e poi ho usato l'url indicato nei settaggi come URI della periferica nelle impostazione stampanti di Ubuntu ma mettendoci il prefisso ipp: ipp://192.168.xxx.xxx:631/ipp/print

Ovviamente l'ip è quello della mia stampante nella mia rete privata quindi mettete il vostro. Io ho lasciato il settaggio di default che ottiene l'ip dal router però sul router ho fissato l'ip al macaddr della stampante in modo da trasformarlo in statico. Se preferite potete impostarlo direttamente statico sulla stampante.

Come soluzione non è il massimo perché non permette praticamente nessuna personalizzazione di stampa: niente fronte/retro, niente selezione bianco/nero o colore (stampa solo a colori) e così via ma almeno stampa. L'ideale sarebbe che il driver fornito funzionasse a dovere ma questo è.

Pubblicato Lascia un commento per Il controllo dell’età su internet non funziona e fa danni

Con un esauriente articolo sull'argomento, basato sul caso reale di una legge del Regno Unito, Paolo Attivissimo fa nuovamente notare come il riconoscimento facciale in internet (e anche qualsiasi altro metodo) per identificare i minorenni non funziona. Con non funziona si intende che non raggiunge lo scopo di impedire ai minorenni di accedere ad alcuni siti perché è semplicissimo aggirare i controlli.

Con "crea danni" si intende che (elenco creato da Paolo Attivissimo):

  • Per gli adulti diventa più difficile accedere alle informazioni e ai servizi perfettamente legali e utili.
  • I cittadini vengono obbligati a creare un tracciamento dettagliato delle loro attività online legato alle proprie identità e vengono spinti verso piattaforme meno sicure.
  • Le piccole comunità online che non possono permettersi gli oneri di conformità alla legge vengono distrutte.
  • E a un’intera generazione viene insegnato che eludere la sorveglianza governativa è una competenza di base della vita [TechDirt].

Speriamo che i legislatori la smettano di inseguire il consenso con leggi inutili e pericolose ma ci credo poco.

Pubblicato Lascia un commento per Chi può usare i sistemi di sorveglianza?
Videocamera di sorveglianza via Pixabay

Le registrazioni del telefono di un agente dell'FBI e la video sorveglianza di Città del Messico sono state hackerate dal cartello della droga Sinaloa che le ha usate per raccogliere informazioni utili ad uccidere informatori dell'FBI. Commenta Bruce Schneier che, una volta che hai costruito un sistema di sorveglianza non puoi controllare chi lo usa.

Con questo non voglio concludere che non bisognerebbe mettere in piedi sistemi di sorveglianza: i benefici sono tanti quindi vanno fatti. Quello che però va sicuramente considerato è di realizzare un buon equilibrio tra la quantità di sorveglianza tecnicamente possibile e quella che invece è opportuno realizzare in modo da non dare troppo potere a chi la userà illegalmente perché è impossibile evitare che succeda.

Ovviamente anche di gestire la sicurezza informatica di questi impianti al meglio ma questo dovrebbe essere ovvio e scontato anche se alle volte non è così.

Pubblicato Lascia un commento per La disinformazione sul blackuot in Spagna

La disinformazione sul blackout in Spagna del 28 Aprile 2025 viene ben spiegata in questa sezione di un articolo di Wikipedia.

Che la causa possa essere un cyberattacco Russo è disinformazione. Questa falsa notizia viene fatta circolare dicendo che proviene dalla CNN e dalla presidente della commissione europea Ursula von der Leyen ma non è vero.

Anche il "raro fenomeno atmosferico" che causa una "vibrazione" o un incendio è disinformazione.

Quello che al momento si sa sono solo alcuni dati tecnici su orari, disconnessioni che si sono attivate per protocolli di sicurezza e alcune informazioni su anomalie già presenti dalla mattina del 28 raccolte da sensori di Bob Marshall (CEO di Whisker Labs) ma su questo non ho trovato fonti dirette dell'interessato.

L'unica vera certezza è che la disinformazione crea grandi danni: ricordatevi sempre, prima di farvi un idea, di cercare bene le informazioni e di verificare le fonti.

Pubblicato Lascia un commento per Il nucleare è una pessima idea da tutti i punti vista

Il nucleare è una pessima idea sotto tutti i punti di vista: non sono le esatte parole del Professor Nicola Armaroli (dirigente di ricerca presso il CNR) ma è quello che dice durate l'audizione parlamentare del quale vedete il video qui sopra.

Se si tratta di sicurezza energetica l'uranio, che è la fonte di alimentazione delle centrali nucleari, è prodotto al 43% dal Kazakistan e non esiste altra fonte di energia così concentrata (e quindi non sicura). La tecnologia è quasi totalmente Russa e Cinese e non c'è nulla di sicuro nell'affidarsi a loro.

La Francia, che è il campione del nucleare in Europa, ha solo centrali molto vecchie (quasi 40 anni di età media) e non ne ha nessuna in costruzione. EDF è stata nazionalizzata nel 2022 per problemi economici e la Corte dei Conti francese ha bloccato, proprio problemi di costi, i progetti di nuove centrali. Il nucleare costa troppo, soprattutto rispetto alle fonte rinnovabili. Peggio ancora il nucleare SMR o, addirittura, la fusione ancora non esistono e quindi non si hanno certezze sui costi.

Nel Regno Unito e in Germania nel 2024 la produzione di energia da fonti rinnovabili ha superato quella da fonti fossili. La Cina installa nuove centrali nucleari: in 32 anni ne ha installate per 57GW mentre solo nel 2024 ha installato 357GW di rinnovabili quindi anche chi installa nuovo nucleare lo fa in così minima quantità rispetto alle rinnovabili da renderlo trascurabile.

Anche facendo finta che non costi di più e che non sia estremamente insicuro come approvvigionamento se il programma del governo è di installare tra gli 8 e i 16GW e prendiamo un valore intermedio di 12GW quante centrali dovremmo installare? Un reattore SMR medio è da 100MW quindi ne servirebbero 120. In un paese come l'Italia che è al 95% del territorio a rischio idrogeologico e considerando anche il rischio sismico che è elevato non si capisce dove posizionare un reattore nucleare. Figuriamoci costruirne 120.

Sicuramente ad oggi l'Italia non è in grado di funzionare con sole fonti rinnovabili ma lo sviluppo delle reti intelligenti e dell'accumulo cambieranno a breve questa situazione mentre realizzando centrali nucleari corriamo il rischio di avere degli oggetti superati e molto costosi e se si vuole abbassare il costo delle bollette elettriche questa non è certo la via da prendere. Da considerare anche che queste ipotetiche centrali nucleari non saranno pronte che tra 15/20 anni, potrebbero addirittura costare di più delle attuali mentre abbiamo già ora disponibili soluzioni rinnovabili consolidate che costano notevolmente meno.

Pubblicato Lascia un commento per Due raccomandazioni di sicurezza valgono più di tutte le altre messe insieme: patch e MFA

Tra le svariate decine di indicazioni da seguire per migliorare la sicurezza informatica ce ne sono due che da sole valgono più di tutte le altre messe insieme: si tratta di applicare regolarmente le patch e di usare MFA e non solo la password.

Ce lo ricorda Bruce Schneier citando Roger Grimes.

Pubblicato Lascia un commento per Sicurezza dei sistemi di votazione: elettronici e tradizionali

Sento spesso parlare sostituire il sistema di votazione tradizionale fatto di schede scritte e controllate a mano con un più moderno sistema di votazione elettronica senza che chi ne parla sia realmente a conoscenza delle implicazioni sulla sicurezza delle votazioni.

Un esperto che spesso ne parla, ma con cognizione di causa, è invece Bruce Schneier e questa volta lo ha fatto insieme ad un gruppo di 20 esperti di cybersicurezza del voto.

Il riassunto di quanto espongono è che ogni sistema ha i suoi vantaggi e svantaggi e le sue vulnerabilità, anche quello tradizionale.

Se si vuole adottare un sistema elettronico ottimale ed affidabile di voto la soluzione che propongono è quella di usare la scheda elettorale cartacea e di leggerla tramite scansione elettronica. Di conservare separatamente ed in modo sicuro le schede che poi passeranno per un processo rigoroso di audit che avviene dopo le elezioni ma prima della certificazione.

A chi non è esperto di sicurezza informatica potrà sembrare strano che un sistema "elettronico" di votazione si basi ancora sulla vecchia scheda cartacea ma i rischi e, soprattutto, la mancanza di alcune garanzie fondamentali impediscono di avere un sistema interamente digitale.

Pubblicato Lascia un commento per LibreWolf: un browser basato su Firefox e focalizzato su privacy, sicurezza e libertà

Leggendo un post di Stefano Quintarelli ho scoperto questo interessante browser: LibreWolf.

Si tratta di un browser basato su firefox e focalizzato sulla privacy, sulla sicurezza e sulla libertà.

Si può installare su svariate piattaforme e sicuramente lo proverò.

Pubblicato Lascia un commento per Pagare in sicurezza con carta di credito a distanza

Quando si acquista da un negozio online ci sono una serie di accortezze per limitare i rischi di frode nei quali si incorre pagando con carta di credito e spero che li conosciate anche perché non è di questo che volevo parlare.

Ci sono dei casi, rari fortunatamente, nei quali si deve pagare con carta di credito: non si è fisicamente presenti presso il venditore che avrebbe il POS per effettuare il pagamento e il venditore non è attrezzato per farvi pagare online con un form web dove poter inserire in sicurezza i dati della carta.

Analizziamo la situazione: tanto per cominciare vi dovete fidare totalmente del venditore. Meglio se lo conoscete di persona e se avete anche già acquistato da loro.

Smarcato il problema "fiducia" restano le misure di sicurezza. I dati della carta non vanno trasmessi usando un canale insicuro, non cifrato, perché si corre il rischio che un qualunque soggetto terzo possa intromettersi e salvarsi i dati della carta. Un email (sempre che non sia cifrata) non è un canale sicuro. Anche una telefonata non è un canale sicuro: so che magari è un pelo paranoico ma le telefonate sono intercettabili abbastanza facilmente e qualcuno potrebbe anche ascoltarvi .

Un sistema di messaggistica cifrato end-to-end è una buona opzione cancellando subito dopo il messaggio, ci sono alcune criticità potenziali ma a grandi linee è una buona opzione.

Bisogna tener presente che la sicurezza assoluta non esiste: anche un form web https di una banca potrebbe essere insicuro. Basta che ci andiate su con un cellulare o un pc infettato da un keylogger che vi ruba i tasti che premete o, molto più banalmente, qualcuno che con una buona videocamera (e basta un buon cellulare) vi fa un video riprendendo i dati che inserite.

1

Pubblicato 1 commento su Frenata interamente elettrica: risparmio ed ecologia

Le automobili elettriche hanno un doppio sistema di frenata: la prima parte è gestita ricaricando il pacco batterie facendo rallentare e fino anche fermare l'auto (frenata rigenerativa), la seconda parte è il classico freno meccanico che conosciamo.

Già ora molti automobilisti elettrici usano un impostazione e uno stile di guida detto "One Pedal" che consiste nel usare solo il pedale dell'acceleratore senza necessità di usare il freno (salvo ovviamente casi di emergenza) e difatti l'usura dell'impianto frenante delle BEV è praticamente zero e, di conseguenza, anche l'inquinamento dovuto alle polveri sottili delle pastiglie dei freni è quasi azzerato.

Ora la tedesca ZF ha presentato un sistema innovativo di frenata interamente elettrica. La forza frenante è generata da quattro motori elettrici: uno per ruota. La sicurezza è garantita dalla stessa tecnologia di ridondanza usata sugli aerei e l'efficienza è stata testata ed è superiore ai freni tradizionali.

I vantaggi di questa soluzione sono interessanti. Prima di tutto si va verso la semplificazione che è sempre utile. L'efficienza di questo sistema permette un maggior recupero di energia durante la frenata. Come già detto ecologicamente è ottimo eliminando del tutto l'inquinamento causato dalle pastiglie dei freni. La manutenzione, che già è minima per le BEV, viene così ulteriormente ridotta.

In tema di semplificazioni sto aspettando alcune soluzioni che credo siano a portata di mano: 4 motori, uno per ruota, eliminando del tutto trasmissione/differenziale, eliminazione della batteria di servizio da 12V e batterie più piccole insieme a sistemi di ricarica wireless ad induzione in movimento come già si vedono ora in fase sperimentale sulla Brebemi.

Via Viaelettrico

Pubblicato Lascia un commento per Usare il machine learning per scoprire i tasti premuti

Un team di ricercatori di un università britannica ha istruito un modello di machine learning per identificare i tasti premuti di un portatile grazie al suono che producono e con un accuratezza del 95%

Questo risultato è stato raggiunto usando il microfono di un normale cellulare per catturare il suono. Hanno anche provato con l'audio di una call conference con Zoom e hanno comunque ottenuto la notevole percentuale di accuratezza del 93%

Chi è nelle condizioni di dover temere simili attacchi può adottare alcune contromisure: usare un software che riproduce suoni di tasti premuti oppure confondere l'ascolto con un altro metodo: usare un rumore bianco.

Via Schneier e bleepingcomputer

Pubblicato Lascia un commento per In UK discutono di una legge che distruggerebbe la cifratura end-to-end

In una lettere aperta WhatsApp fa sapere che in UK stanno discutendo di una legge che, per come è formulata ora, permetterebbe di costringere le aziende di messaggistica come WhatsApp a indebolire e quindi distruggere la sicurezza delle comunicazioni cifrate end-to-end.

In questo modo tutti i britannici e chiunque si scambi messaggi con loro non potrebbero più scambiare messaggi in maniera sicura.

Ci fa notare Bruce Schneier che la reazione di WhatsApp e di Signal sarà quella di cessare il loro servizio in UK piuttosto che compromettere la sicurezza dei loro utenti in tutto il resto del mondo.

Il bilanciamento tra sicurezza e privacy è un mestiere complesso ma in questo caso hanno ragione WhatsApp e Signal: in UK, con una legge di questo tipo, passerebbero il segno e quindi una risposta forte è doverosa.

Pubblicato Lascia un commento per Un buon intento potrebbe diventare un pessimo affare: interoperabilità messaggistica

L'interoperabilità dei sistemi di messaggistica è un ottimo obbiettivo perché impedisce che un utente sia bloccato da un software di messaggistica e, di conseguenza, favorisce sia la libertà che la concorrenza. Anche Bruce Schneier afferma che in teoria è un bene.

Dei ricercatori hanno valutato che l'interoperabilità porta ad una superficie di attacco maggiore su parecchi aspetti. In pratica succede che la sicurezza complessiva diventa pari a quella della piattaforma peggiore: un brutto livellamento verso il basso diventa il risultato dell'applicazione di un principio che dovrebbe essere buono.

Pubblicato Lascia un commento per Lockdown Mode di Apple riduce la superficie di attacco

Apple ha introdotto il "Lockdown Mode" pensato per un ristretto numero di utenti: quelli che per motivi particolari sono potenziali vittime di attacchi informatici mirati.

Il punto interessante è il cambio di paradigma (anche se per un caso molto particolare): tipicamente si sacrifica la sicurezza per facilitare l'usabilità. In questo caso è il contrario; l'usabilità ne viene compromessa ma in cambio il perimetro dei potenziali attacchi viene ridotto.

Via Bruce Schneier

Pubblicato Lascia un commento per MFA 2FA Autenticazione a due Fattori: attivatela come regalo di Natale
Token RSA

L'autenticazione a più fattori (Multi Factor Authentication: MFA) o, nel caso più semplice a due fattori (2FA) è un sistema più sicuro per loggarsi, ad esempio, sulla propria casella email. Si basa sul concetto di dover usare due (o più) sistemi diversi di autenticazione: una cosa che sai (la classica password) e una cosa che hai (una sim telefonica sulla quale ricevi un sms, un telefono con un app che ti fornisce una chiave usa e getta, un "cosino" con numeri che ogni tot secondi cambiano, o addirittura una cosa che sei come impronta digitale o dell'iride).

Qualche giorno fa mi è arrivata l'email di Google che mi invitava ad attivare MFA su un mio storico indirizzo gmail che praticamente non uso più avvisandomi che entro il 14 dicembre sarebbe diventata obbligatoria. Ottimo reminder che mi è stato utile per attivare subito questo importante meccanismo di sicurezza.

Se avete dei dubbi riguardo alle difficoltà che potreste incontrare non posso dirvi che non ce ne saranno ma sicuramente posso affermare che Google si è impegnata molto per ridurle al minimo. Vi faccio un paio di esempi: se avete un app di posta che supporta MFA sarà sufficiente attivarla e mettere il "secondo fattore" (esempio un codice) la prima volta e poi, per sempre, quell'app funzionerà come prima, senza chiedere password o altro. Secondo esempio un app che non supporta MFA: in questo caso Google vi fornisce una password generata automaticamente da inserire nell'app (che la salva) e, da quel momento, continuerà a funzionare come prima senza chiedere password o altro e, questa password, sarà valida solo per quell'app.

Spero di avervi convito ad attivare MFA quantomeno sugli accessi più importanti come email, siti di e-commerce che salvano i dati della vostra carta di credito o altro che riguarda soldi o dati critici.

Pubblicato Lascia un commento per Proposta di legge in UK per bannare le password di default

In UK, ci segnala Bruce Schneier, c'è una proposta di legge per bannare le password di default sui dispositivi IoT.

Si tratta di un interessante passo avanti per migliorare la sicurezza di oggetti connessi ad internet: non necessariamente si tratta di una buona soluzione ma è meglio di niente.

L'ideale sarebbe un sistema per invogliare ad avere password sicure e uniche. Fino ad ora, la soluzione che più mi è piaciuta, che va in questa direzione è quella che ho visto su un router: una password preimpostata composta da un paio di parole e qualche numero. Viene scritta sull'etichetta del router, il fabbricante non la conosce perché è generata a caso in automatico ed è abbastanza facile da ricordare.

In questo campo le soluzioni devo necessariamente essere un compromesso tra facilità d'uso e sicurezza: se sono estremamente sicure quasi sicuramente sono troppo difficili da usare e si rischia che l'utente medio si stufi e cambi la password con 12345. Se sono troppo facili da usare sicuramente la sicurezza è troppo bassa e prima o poi qualcuno entra abusivamente nel tuo dispositivo.

Pubblicato Lascia un commento per Hardening della VPN

L'NSA (National Security Agency) e la CISA (Cybersecurity and Infrastructure Security Agency) hanno rilasciato un documento su come rendere più sicura una VPN.

Già dal cappello introduttivo al documento si capisce che nel comparto sicurezza c'è ancora tantissima strada da fare visto che le indicazioni mi paiono sostanzialmente suggerimenti di buon senso e se c'è bisogno di ricordarli vuol proprio dire che mancano le basi.

Invece che polemizzare o intristirmi riporto qui quelle indicazioni in modo che siano utili e che diventino presto la norma.

  • Usare prodotti testati e validati presenti in un elenco proprio dell'NSA: in pratica non la VPN che mi ha detto mio "cuggino" ma qualcosa di serio.
  • Usare sistemi di strong authentication come MFA Multi Factor Authentication
  • Applicare subito patch e update
  • Ridurre il perimetro dei potenziali attacchi eliminando tutto quello che in realtà non si usa

In realtà il documento è molto più articolato e presenta diversi altri suggerimenti meno "banali" quindi risulta utile anche a chi ha già predisposto i primi e basilari step di sicurezza

Via Bruce Schneier

Pubblicato Lascia un commento per Il nuovo satellite dell’ESA sarà completamente hackerabile da terra

L'ente spaziale europeo ESA ha annunciato che lancerà un satellite che sarà completamente riprogrammabile da terra. Giustamente ci fa notare Bruce Schneier che questo significa hackerabile.

Anche dando per scontato strong encryption e un buon sistema di gestione delle chiavi resta comunque un bersaglio interessante.

Pubblicato Lascia un commento per Vulnerabilità contigue

Leggo da Bruce Schneier di un talk di Maggie Stone (Google’s Project Zero) sulle vulnerabilità zero day che sono parenti stretti di precedenti vulnerabilità molto simili.

I cattivi dopo aver visto che un loro attacco viene neutralizzato da una patch riescono in breve a scoprire una nuova falla contigua alla precedente e la sfruttano subito. Secondo la Stone questo accade perché le risorse impiegate per risolvere i problemi di sicurezza sono troppo scarse e quindi si limitano a tappare la specifica falla.

In questo modo è facile trovare un buco contiguo al precedente che la patch non copre.

Questa modalità di operare, rincorrendo e riparando i singoli casi, non funziona. Bisognerebbe aggredire la causa principale che porta ad avere tutto quel gruppo di singoli specifici problemi. Si tratta di un investimento iniziale maggiore ma poi non si sarebbe costretti ad inseguire tutti i successivi zero day.

Certo, poi non è che sparirebbero i problemi, ma almeno i cattivi dovrebbero impegnarsi per scoprire una nuova classe di vulnerabilità e i buoni una nuova soluzione per correggere il problema: insomma, la solita caccia del gatto al topo ma sicuramente la sicurezza complessivamente ne gioverebbe.

Image credit Blue Solution Blog

Pubblicato Lascia un commento per App centralizzate o su server proprietario
sync image by Chris Veight

Un applicazione per smartphone intelligente ha dei dati salvati in modo da poterli usare anche da altri dispositivi: l'esempio più facile è un blocco note che viene usato dall'app sul telefono ma anche da computer e da tablet.

L'approccio più tipico e facile è di avere un server centrale di proprietà di chi sviluppa e rende disponibile l'applicazione al quale si collegano tutti i dispositivi in modo da tenere aggiornati i dati. Si tratta della soluzione più facile per l'utente che deve solamente avere un account che poi imposta sui vari dispositivi per trovare tutti i suoi dati su tutti i dispositivi.

Una seconda possibilità è di poter impostare l'utilizzo di un proprio server per sincronizzare i dati. Questa opzione richiede competenze e risorse dell'utilizzatore che non sono più da utente e richiede anche che il software per implementare il server sia disponibile. Di contro ci sono notevoli vantaggi dal punto di vista della sicurezza (i miei dati sono solo su miei dispositivi/server) e della continuità del servizio (se chiudono il server centrale io continuo ad avere il tutto funzionante perché uso un mio server)