IL PERICOLO VIEN DALLA…RICARICA!

ormai viviamo in un’epoca dove dipendiamo dalla tecnologia e il cellulare, da semplice strumento di comunicazione telefonica oggi è diventato uno strumento con cui facciamo di tutto: navighiamo in internet, facciamo foto, ascoltiamo musica, effettuiamo le operazioni bancarie… Tralasciando il problema del furto dei dati mediante mail di phishing e simili (di cui ne ho parlato il precedenza nel blog), un ulteriore pericolo sta nascendo dalle porte di ricarica!

Ovviamente quando il cellulare inizia a scaricarsi in zona critica, siamo pronti a ricaricarlo in mille modi (Caricabatterie, powerbank) ma sempre più spesso accade, soprattutto in treno o nelle stazioni/aeroporti, di trovare delle stazioni di ricarica. Fin qui tutto apparentemente normale, attacco il cavo lato USB alla porta sulla parete, attacco la microUSB o la USB-C al cellulare e il gioco è fatto, ma….

Il classico cavo USB che usiamo per la ricarica del cellulare è composto da 4 cavi:

  • Dati ( Verde e Bianco)
  • Alimentazione 5Vcc (Rosso +5V e GND Nero)

Se il malintenzionato di turno decidesse di applicare qualche sistema miniaturizzato dietro alla presa a muro, nessuno se ne accorgerebbe. Il cellulare si ricarica ma il device inizia a dialogare con il nostro cellulare e da li può portar via una mole di dati non indifferente. Questo tipo di attacco, chiamato juice jacking purtroppo sta diventando sempre più frequente tanto che l’allarme viene lanciato nientemeno che dall’FBI.

Ricordatevi che nella migliore delle ipotesi vengono rubati i nostri dati personali ma, se viene installato software malevolo, il nostro device potrà essere usato anche per altri scopi sempre poco nobili (ricordatevi che il cellulare è perennemente attaccato a internet, mediante connessione dati SIM o tramite il WiFi di casa/ufficio)

HTTP e HTTPS

Quando digitiamo un indirizzo internet spesso mettiamo solo il nome del sito con il classico “www” davanti ma se andiamo a vedere bene, la stringa completa che il browser usa è http://www.sito.ext

Ma che cos’è quel http:// che compare davanti? La sigla significa HyperText Transfer Protocol che in informatica rappresenta un protocollo di trasmissione dati tipico delle architetture server-client secondo specifiche dettate dal consorzio W3C (World Wide Web Consortium). Nella norma, il protocollo http utilizza la porta TCP 80.

Essendo un protocollo di trasmissione appare evidente che qualcuno chiama (messaggio http di richiesta, tipicamente il client) e qualcuno ascolta per rispondere successivamente (il server, messaggio http di risposta). Le connessioni vengono generalmente chiuse una volta che la richiesta (o una serie di richieste correlate) è stata soddisfatta. Questo comportamento rende il protocollo HTTP ideale per il World Wide Web, in cui le pagine molto spesso contengono dei link a pagine ospitate da altri server. Questo diminuisce il numero di connessioni attive limitandole a quelle effettivamente necessarie aumentando l’efficienza (minor carico e occupazione) sia sul client che sul server.

Il problema però è che http è un protocollo senza sicurezza… Le informazioni sono trasmesse in senza crittografia. Se notate, l’URL del mio sito non è http ma https: quella s finale sta per secure perchè la comunicazione è protetta grazie all’impiego di determinati certificati (come quello SSL, acronimo di Secure Socket Layer) che garantiscono:

  • l’identità dei dati
  • la loro riservatezza
  • la cifratura del traffico
  • la verifica di integrità del traffico

inoltre la porta standard per la comunicazione è la 443 TCP.

Ma come faccio per dotare il sito di un certificato SSL? il mondo open source ci viene in aiuto grazie a Let’s Encrypt. Sono forniti da un’autorità garante no profit: essi sono ottimi per gli e-commerce e per altri portali di carattere commerciale dove sono previste transazioni in denaro ma per contro non forniscono una protezione completa, in quanto sono in grado di proteggere solo l’utente: non è previsto alcun tipo di validazione (semplicemente il lucchetto verde vicino all’url del sito) e non sono previsti controlli della proprietà del dominio da parte dello sviluppatore che attiva il certificato.

Pertanto prestate attenzione ai siti dove vi collegate, soprattutto se dovete effettuare transazioni finanziarie o inserire dati personali identificativi/sensibili… ma soprattutto attenzione se il protocollo da https diventa improvvisamente http, potrebbe essere segno di un attacco Man In The Middle (ma di questo parleremo in un altro post).

TRUFFE WEB

Ecco un altro tentativo di truffa che ogni tanto arriva per posta…

Senza nemmeno aprire la mail appare evidente subito che

  • l’oggetto è un forward di qualcosa (la dicitura iniziale FW)
  • il testo dell’oggetto è OFFESA che è una storpiatura italianizzata di non si sa bene quale termine originario

Aprendo la mail si nota inoltre che:

  • C’è un solo allegato in formato JPG (una foto!!!)
  • la mail arriva da un ipotetico indirizzo di dominio gmail (che chiunque è in grado di creare)
  • è inviata a no-reply@account.google.com (quindi non alla mail del mio amico!)

Già questo basterebbe per cestinarla, anche perché se fosse una reale citazione giudiziaria vi arriva non meno che via PEC. Ma per curiosità apriamo anche l’allegato fotografico (anche qui, il documento se fosse reale vi arriverebbe almeno con un PDF firmato digitalmente!)

Convocazione in tribunale… Dove e quando secondo loro? ah già, giusto per mettere paura a chi apre questa mail…. Generalmente chi scrive non è Sig.ra o Sig.re ma Dott.ssa o Dott.re in quanto per quelle qualifiche da dirigente si ha un titolo di studio che è riconosciuto ai fini legali…

Articolo 390. 1. CPP “Entro quarantotto ore dall’arresto o dal fermo il pubblico ministero, qualora non debba ordinare la immediata liberazione dell’arrestato o del fermato, richiede la convalida al giudice per le indagini preliminari competente in relazione al luogo dove l’arresto o il fermo è stato eseguito.” Quindi non tratta di citazione (ma viene scritto in rosso per mettere paura ed evidenziare la parola)

L’Art. 372 CPP cita “Chiunque, deponendo come testimone innanzi all’autorità giudiziaria o alla Corte penale internazionale, afferma il falso o nega il vero, ovvero tace, in tutto o in parte, ciò che sa intorno ai fatti sui quali è interrogato, è punito con la reclusione da due a sei anni.” Quindi anche qui si fa una citazione a caso per mettere sempre più paura…

Stessa solfa con l’Art. 227 “Quando la legge stabilisce che il ricovero in un riformatorio giudiziario sia ordinato senza che occorra accertare che il minore è socialmente pericoloso [224, 225, 226, 232], questi è assegnato ad uno stabilimento speciale o ad una sezione speciale degli stabilimenti ordinari. Può altresì essere assegnato ad uno stabilimento speciale o ad una sezione speciale degli stabilimenti ordinari il minore che, durante il ricovero nello stabilimento ordinario, si sia rivelato particolarmente pericoloso.”

“Stiamo intraprendendo verso di te…” Chi sei, mio fratello che mi dai del tu? Nei documenti ufficiali non si usa questo linguaggio…. comunque vediamo di cosa lo accusano: reati a sfondo pornografico e sessuale casualmente scritti in rosso (il rosso è il colore che risalta….)

La legge del marzo 2007 (quale delle tante?)….. e ecco che in rosso compare ancora la parola PEDOPORNOGRAFIA giusto per calcare ancora la mano!

Va bene, quindi? Dove e quando devo comparire? Ah no, non devo andare in tribunale, mi devo far sentire (uhè zio, fatti sentire!) via mail (nemmeno per PEC) per valutare la posizione e quindi la sanzione. Ovviamente entro 72 ore! Rigoroso!

Infine, se non rispondo il tutto va al tribunale regionale di ROMA (indovinate perchè in maiuscolo…) a cui segue una raccomandata con arresto immediato… dalla gendarmeria che è un corpo di polizia Francese…. e sarai sputtanato pubblicamente prima del processo.

Morale: la mail è stata cestinata mentre il mio amico può vivere serenamente e dormire sonni tranquilli.

La prossima volta che l’antivirus gli rileverà qualcosa, gli dirò che il PC è infetto da Trojan perché guarda i siti porno! (Per la serie sono un utonto ma sul CV scrivo che sono utente avanzato e autonomo…)

WORLD PASSWORD DAY

Oggi è il world password day, giornata nata nel 2013 da Intel per sensibilizzare le persone sull’importanza delle password.

La password è infatti la “chiave informatica” che serve ad aprire la “serratura” di un sistema. Dato lo scopo per il quale è utilizzata, la password dovrebbe rimanere segreta a coloro i quali non sono autorizzati ad accedere alla risorsa in questione (non penso che diciate a tutti dove tenete la chiave di ingresso di casa).

Dovendo proteggere dei dati dall’altra parte ci sarà qualcuno che cercherà di rubarla o di forzarla per accedere illecitamente a questi dati. Si parla perciò di password cracking il cui metodo per eccellenza è quello di generare un attacco brute force ( tentare tutte le possibili combinazioni di caratteri, e di confrontarle con un hash crittografico della password).

Risulta pertanto ovvio che il tempo per craccare una password dipende dalla complessità della password stessa… basta vedere l’immagine seguente!

Tempo necessario per forzare la password in funzione della lunghezza e complessità

Appare chiaro che la password “123456” (ancora oggi usata da 23 milioni di persone secondo un’ultima stima) o un’altri classici, rappresentati da “password” o da “qwerty” siano facilmente forzabili.

L’ideale quindi è utilizzare in una password robusta contenente

  • non meno di 9 caratteri
  • almeno una lettera maiuscola
  • almeno una lettera minuscola
  • almeno un carattere speciale

Sconsigliato inoltre l’utilizzo della stessa password su più account: se dovessero forzare la password su un account automaticamente finirebbe in un database illegale e di conseguenza anche tutti gli altri account a cui siete iscritti saranno passibili di violazione!

Anche il cambio password periodico non sarebbe male…. e ancora di più se non conservate le password su un post-it attaccato alla schermo ben visibile da chiunque passi (che sia un collega o un visitatore).

Ancora maggiore attenzione deve essere prestata a password su siti o servizi con validità legale (firma digitale, SPID,…) perchè quella è la chiave di accesso alla vostra identità digitale e qualcuno potrebbe spacciarsi per voi di con validità legale!

Per verificare se le vostre password sono a rischio potete iniziare da https://haveibeenpwned.com/ per verificare se il vostro account è stato compromesso e quindi adottare le opportune contromisure!

A proposito… guardate questa foto: la foto mostra il dipendente dell’Agenzia per la gestione delle emergenze delle Hawaii in piedi accanto alla sua scrivania. Ma dietro si nota un post-it attaccato alla parte inferiore dello schermo del computer. Scarabocchiato c’era la password….ops! Buon password day a tutti!

TRUFFE VIA WEB

Oggi siamo tutti iperconnessi (cellulare, tablet, PC,…) e siamo ci rivolgiamo al web per gestire la nostra vita, dal semplice acquisto della spesa (vedi il sito esselunga per fare un esempio) fino ai pagamenti delle bollette tramite Web-Banking. Questo però ci espone, se non siamo sufficientemente attenti, a una miriade di truffe on line il cui scopo va dal carpire i nostri dati personali al vero e proprio furto delle credenziali di carta di credito.

Spesso questo avviene tramite l’invio di una mail o di un SMS in cui si chiede di verificare le credenziali perché un servizio è bloccato. Cliccando sul link veniamo portati in un sito che assomiglia in tutto e per tutto a quello originale ma…

DA COSA POSSIAMO RICONOSCERE UN’EMAIL DI PHISHING?

Normalmente una mail contiene

  • Allegati o link
  • Errori di ortografia
  • Grammatica scadente
  • Grafica non professionale
  • Urgenza sospetta con cui viene chiesto di verificare immediatamente l’indirizzo e-mail o altre informazioni personali
  • Forme di saluto generiche come “Gentile cliente”

Vediamo un esempio pratico con questa mail

Avviso importante: attenzione alle truffe via Email

nella mail (falsa) di Aruba sopra riportata

  • cita un dominio ma riporta un indirizzo email (info@xxxx.com);
  • rimanda sul sito web ma il link porta a realcommodity.com che non è aruba.it (nel caso passa sopra il mouse e guarda in basso destra la destinazione del link come in questo esempio https://www.aruba.it)
  • Non rimanda a un sito con protocollo https:// ma ad un semplice protocollo http://
  • dice che permette di accedere al sistema senza password (in un’epoca in cui vengono chieste password sempre più complesse e autenticazione a 2 fattori)
  • riporta la parola DEFINITIVAMENTE in maiuscolo per “intimidire” la vittima.

COME POSSIAMO DIFENDERCI?

Qualora dovesse arrivare una mail con almeno 1 di queste caratteristiche

  • non rispondere all’email;
  • non eseguire, in generale, le operazioni indicate;
  • non aprire eventuali file allegati;
  • non cliccare sui link indicati;

Nel caso in cui hai effettuato acquisti o hai dei servizi, accedi solo dal sito ufficiale e verifica da li la reale situazione delle richieste.

Infine, per proteggerti da tutto questo, considera l’utilizzo di una buona soluzione di sicurezza informatica (come ad esempio Kaspersky oppure ESET) per ridurre la possibilità di incorrere nel phishing. Per chi vuole informazioni più tecniche sugli antivirus e il loro grado di sicurezza può visitare il sito di prove indipendenti AV Comparatives a questo indirizzo

Nota: non faccio nessuna pubblicità ai prodotti di sicurezza sopra riportati ma quanto scritto è frutto della mia esperienza personale dopo aver utilizzato varie soluzioni AV sia a livello casalingo che a livello aziendale.

EDIT: questo post è stato creato prima della guerra scoppiata tra Ucraina e Russia. In questo particolare momento storico non mi fiderei più ad usare un antivirus sviluppato da chi fa da consulente al ministero della difesa Russa. Pertanto da tutti i PC e dal Server ho deciso di disinstallare completamente i prodotti Kaspersky anche perchè la guerra oggi si combatte anche sulla rete… e ci vuole poco a diffondere tramite l’aggiornamento antivirus qualsiasi tipo di malware…