Ricerca in FOLBlog

Internet

Apr 142014
 

lo scorso 7 aprile è stata scoperta l’esistenza di Heartbleed, probabilmente la più seria minaccia ai nostri dati mai comparsa su Internet.

Ecco come funziona (semplificando al massimo), quali siti colpisce e in che modo possiamo proteggere i nostri dati online e i nostri social network.

 

Che cosa è Heartbleed

Heartbleed (cuore che sanguina in inglese) è un vulnerabilità informatica.
In pratica, una falla in una componente chiave dei sistemi che garantiscono la sicurezza delle comunicazioni su Internet, e precisamente in uno dei meccanismi più diffusi per criptare i dati inviati online (OpenSSL).

Quindi, in questo caso, il semplice fatto di avere l’antivirus installato ed aggiornato non ci mette al riparo.

 

Che cosa fa Heartbleed

Come detto, colpisce OpenSSL, un sistema di cifratura (SSL) delle comunicazioni online usato dalla maggior parte dei server.
OpenSSL è utilizzato per codificare (crittografare) i dati inviati da un computer e che viaggiano nella rete per raggiungere un altro computer (il nostro o un server): nel computer di destinazione, OpenSSL esegue il processo inverso permettendo la decodifica dei i dati.

È un processo totalmente trasparente all’utente che riconosce l’invio dei dati in modo codificato solo dalla presenza di un lucchetto nella barra degli indirizzi del browser (di solito prima dell’URL del sito): significa che un servizio di crittografia SSL è abilitato.
clip_image002

clip_image004

 

Come funziona l’attacco

OpenSSL ha una funzionalità chiamata Heartbeat (battito del cuore) che viene utilizzato dai gestori dei server per avere conferma che tutto sta funzionando a dovere.
Per dirla in termini elementari è come se un computer chiedesse, ad intervalli di tempo regolari, al sistema responsabile “Sei vivo?” e ricevesse la risposta “Sì sto bene”.

Si è scoperto che Heartbeat può essere ingannato dall’invio di un codice modificato da un hacker: in questo caso quando questi gli invia il “Sei vivo?”, Heartbeat risponde inviando anche altri pacchetti di memoria presenti sul server in quel momento.
Se si tratta di un server presso il quale ci si autentica inserendo username e password (come Gmail, Facebook, Twitter, ecc), quei pacchetti di memoria potrebbero contenere dati di nomi utente e password.

 

Quali siti sono colpiti

Sono potenzialmente a rischio tutti i server che utilizzano OpenSSL e con il tool Heartbeat installato e funzionante. Si stima siano i due terzi del totale.

Tra questi ci sono Google, Facebook, Dropbox e Yahoo.

Altri siti che utilizzano differenti sistemi SSL (quali ad esempio Microsoft, Amazon, Linkedin e PayPal) sono invece al riparo dalla minaccia..

Non sono a rischio neppure i siti di home banking, protetti solitamente da protocolli proprietari.

 

Cosa fare

E’ meglio cambiare le password sei servizi indicati di seguito, dato che hanno dichiarato di aver corretto la falla.
Nel caso specifico di Heartbleed, prima di cambiarla è bene chiedere all’operatore se la falla di OpenSSL è stata corretta: altrimenti il cambiamento è inutile.

Questi alcuni siti e la situazione attuale (work in progress):

· Google Vulnerabilità corretta, cambiare password

· Facebook Vulnerabilità corretta, cambiare password

· YouTube Vulnerabilità corretta, cambiare password

· Yahoo! Vulnerabilità corretta, cambiare password

· Amazon Non a rischio

· Wikipedia Vulnerabilità corretta, cambiare password

· LinkedIn Non a rischio

· eBay Non a rischio

· Twitter Non a rischio

· Craigslist In attesa di risposta

· Bing Vulnerabilità corretta, cambiare password

· Pinterest Vulnerabilità corretta, cambiare password

· Blogspot Vulnerabilità corretta, cambiare password

· CNN In attesa di risposta

· Live Non a rischio

· PayPal Non a rischio

· Instagram Vulnerabilità corretta, cambiare password

· Tumblr Vulnerabilità corretta, cambiare password

· Espn.go.com Vulnerabilità corretta, cambiare password

· WordPress In attesa di risposta

· Imgur In attesa di risposta

· Huffington Post In attesa di risposta

· Reddit Vulnerabilità corretta, cambiare password

· MSN Non a rischio

· Netflix Vulnerabilità corretta, cambiare password

· Weather.com Vulnerabilità corretta, cambiare password

· IMDb Non a rischio

· Yelp Vulnerabilità corretta, cambiare password

· Apple Non a rischio

· AOL In attesa di risposta

· Microsoft Non a rischio

· NYTimes In attesa di risposta

· Bank of America Non a rischio

· Ask Non a rischio

· Fox News Non a rischio

· Chase Non a rischio

· GoDaddy Vulnerabilità corretta, cambiare password

· About Non a rischio

· BuzzFeed In attesa di risposta

· Zillow Non a rischio

· Wells Fargo Non a rischio

· Etsy Vulnerabilità corretta, cambiare password

· XVideos In attesa di risposta

· Walmart Non a rischio

· CNET Non a rischio

· Pandora Non a rischio

· xHamster In attesa di risposta

· PornHub In attesa di risposta

· Comcast In attesa di risposta

· Stack Overflow Vulnerabilità corretta, cambiare password

· Salesforce Non a rischio

· Daily Mail In attesa di risposta

· Vimeo Vulnerabilità corretta, cambiare password

· Condui In attesa di risposta

· Flickr Vulnerabilità corretta, cambiare password

· Zedo Non a rischio

· Forbes Non a rischio

· LiveJasmin In attesa di risposta

· USPS Vulnerabilità corretta, cambiare password

· Indeed In attesa di risposta

· Hulu Non a rischio

· Answers Non a rischio

· HootSuite Non a rischio

· Amazon Web Services In attesa di risposta

· Adobe In attesa di risposta

· Blogger Vulnerabilità corretta, cambiare password

· Dropbox Vulnerabilità corretta, cambiare password

· Reference.com Non a rischio

· AWeber Non a rischio

· UPS Non a rischio

· Intuit In attesa di risposta

· NBC News In attesa di risposta

· USA Today Non a rischio

· Outbrain Vulnerabilità corretta, cambiare password

· The Pirate Bay In attesa di risposta

· The Wall Street Journal In attesa di risposta

· Bleacher Report In attesa di risposta

· Constant Contact Non a rischio

· Wikia Vulnerabilità corretta, cambiare password

· CBSSports Non a rischio

· Publishers Clearing House In attesa di risposta

· Washington Post Vulnerabilità corretta, cambiare password

· Target Non a rischio

· Drudge Report In attesa di risposta

· TripAdvisor Non a rischio

· FedEx Non a rischio

· Capital One Non a rischio

· wikiHow Non a rischio

· Googleusercontent.com Vulnerabilità corretta, cambiare password

· Groupon Non a rischio

· Best Buy In attesa di risposta

· AT&T In attesa di risposta

· Home Depot In attesa di risposta

· Trulia Non a rischio

· TMZ In attesa di risposta

· Feedbin Vulnerabilità corretta, cambiare password

· Pinboard Vulnerabilità corretta, cambiare password

· GetPocket Vulnerabilità corretta, cambiare password

· IFTTT Vulnerabilità corretta, cambiare password

· ManageWP Non a rischio

· PayScale Non a rischio

· OKCupid Vulnerabilità corretta, cambiare password

· Dillard’s Non a rischio

· NetZero Non a rischio

· Classmates Non a rischio

· MyPoints Non a rischio

Per verificare la sicurezza del protocollo SSL su altri siti è possibile utilizzare il servizio Qualsys che sottopone ad analisi il sito e restituisce un voto che va da A+ (il migliore) a F (il peggiore)

  • Facebook
  • Twitter
  • Delicious
  • StumbleUpon
  • Wikio
  • Reddit
  • Technorati
  • Segnalo
  • Live
  • Add to favorites
  • Email
  • RSS
Gen 292013
 

image

In molti siti web si fa uso di applicazioni Java per offrire contenuti interattivi.

Java non ha mai brillato dal punto di vista della sicurezza e pochi giorni fa è stata scoperta una nuova, grave falla di sicurezza che permetterebbe l’esecuzione di comandi arbitrari sui computer vulnerabili tramite il browser; la falla potrebbe essere sfruttata da qualche malintenzionato per commettere reati informatici (furto di identità o di dati sensibili, cancellazione di dati personali, ecc.).

Ad essere affetta da questa temibile falla di sicurezza è la versione 7 della piattaforma Java.

Oracle ha prontamente rilasciato un aggiornamento di Java (Java 7 Update 11) che modifica le impostazioni di sicurezza di default, impostandole su un livello più alto (High), in modo che l’utente venga avvisato della presenza di un’applet Java e possa consentire o meno la sua esecuzione.

Il fatto che  Java 7 Update 11 chieda agli utenti una conferma prima di procedere con l’esecuzione di un’applet all’interno del browser, non è una soluzione al problema, pur rappresentando un passo avanti.

Gli utenti che fanno uso di applicazioni Java per desktop (si pensi ai tanti applicativi che consentono un’interazione con l’Amministrazione Pubblica, ad esempio) possono invece stare tranquilli e continuare ad utilizzare le loro applicazioni Java.

Al momento in cui scrivo, l’unico modo per mettere al sicuro il proprio browser dai rischi derivanti dai bug in Java è quello di disattivare il plugin installato nel browser e che consente l’esecuzione delle applets.

Oracle spiega come disattivare, in uno colpo solo, Java per tutti browser installati nel proprio PC.
Abilitare Java

Di seguito, invece, è spiegata la procedura per disabilitare i plugin Java in ciascuno dei browser più diffusi.

Leggi il seguito »

  • Facebook
  • Twitter
  • Delicious
  • StumbleUpon
  • Wikio
  • Reddit
  • Technorati
  • Segnalo
  • Live
  • Add to favorites
  • Email
  • RSS

Apple, Valve & Steam: cui prodest?

 Scritto da alle 12:33 del 14/04/2012  Nessuna risposta »
Apr 142012
 

ValveSteam

Secondo AppleInsader, pare che Valve (proprietaria della famosissima piattaforma per la vendita ed il gaming online Steam) ed Apple siano in procinto di stringere un accordo che potrebbe portare a potenziare l’offerta di videogames per Mac.
Lo si dedurrebbe dalla visita che Tim Cook ha effettuato presso la sede di Bellevue.

Si tratta ovviamente di rumors, ma un’eventuale collaborazione tra i due a chi gioverebbe?

A guadagnarci sarà certamente Apple: entrerebbe dalla porta principale in un settore (quello dei videogames hi-end) dove la sua presenza ora è molto marginale, ampliando l’offerta attuale e aumentando l’appeal della piattaforma OSX per quella parte di utenti che, usando il computer anche come serio strumento ludico, finora hanno scartato a priori l’ipotesi di uno switch.

C’è da attendersi che anche Valve ci guadagni, dato che avrebbe accesso a quella parte di utenti che ora è quasi fuori dai giochi; ma che comunque rappresenta una minoranza rispetto a tutto il mercato del settore ludico.
Valve, insomma, ci guadagnerebbe ma non così tanto quanto Apple.

Un ragionamento a parte, a mio parere, va fatto per quanto riguarda gli utenti, che vanno anzitutto distinti tra utenti OSX e utenti Windows.

Gli utenti OSX ci guadagnerebbero parecchio perché, presumibilmente, avrebbero finalmente accesso ad una più vasta scelta di titoli.

Per quanto riguarda il resto degli utenti, un’eventuale intesa tra Apple e Valve potrebbe non essere del tutto positiva.

I prezzi dei videogames infatti, potrebbero tendere ad un incremento:
in primo luogo a causa dell’ingresso di un nuovo soggetto (Apple) che, lecitamente, pretenderebbe la propria fetta di guadagni;
in secondo luogo per il rischio che l’azienda di Cupertino adotti il medesimo approccio avuto nel settore degli ebooks.

I prezzi degli ebooks, infatti, verrebbero schiacciati verso l’alto in virtù di alcune clausole contrattuali presenti negli accordi tra Apple ed alcuni editori.
Secondo il Dipartimento di Giustizia americano (che ha avviato un apposito procedimento), in quel caso, si configurerebbe una sorta di cartello tra Apple ed alcuni editori, teso a fissare a tavolino il prezzo finale di vendita degli ebook, scoraggiando la concorrenza con evidente danno per i consumatori finali.[1]

I rapporti di forza tra Apple e Valve nel settore dei videogames sono così diversi da scongiurare un simile rischio?
Apple riuscirà a convincere Valve a dividere con lei la torta dei guadagni o il prezzo dei videogames subirà le conseguenze negative derivanti dall’ingresso nella “filiera” di un nuovo soggetto?

Se la collaborazione tra i due vedrà la luce, ognuno di noi potrà valutarne le conseguenze.
Personalmente spero che, nel caso che un accordo vada in porto, lo store Steam riservato agli utenti OSX stia ben separato da quello degli altri utenti in modo da consentire (eventualmente) agli utenti Mac di continuare ad acquistare i medesimi contenuti a prezzo superiore e vivere felici, come spesso accade attualmente.


[1] Su The Wall Street Journal è presente un approfondimento sulla questione

  • Facebook
  • Twitter
  • Delicious
  • StumbleUpon
  • Wikio
  • Reddit
  • Technorati
  • Segnalo
  • Live
  • Add to favorites
  • Email
  • RSS
Mar 232012
 

114b62c199e8a50d6443dd467764cc71d8f45b5d

In un articolo di qualche mese fa, parlavo di un’alternativa ai tradizionali abbonamenti dati per tablet e smartphone per collegarsi ad Internet in mobilità.

In particolare, in quel periodo, mi aveva colpito un’offerta Vodafone relativa all’acquisto di un modem router WiFi (Huawei R201) con abbonamento di 3 mesi incluso.

Terminati i tre mesi di abbonamento compresi nell’offerta, mi son messo alla ricerca di un abbonamento ad Internet per tablet che soddisfacesse le mie esigenze: considerando copertura e costi, ho scelto un abbonamento TIM per un anno.

Nasceva la necessità di configurare il mini-router brandizzato Vodafone affinché funzionasse con la SIM TIM.

L’operazione è molto semplice.

  1. Collegare il PC (o il tablet o lo smartphone) al router WiFi
  2. Nel browser inserire l’indirizzo 192.168.0.1 (oppure vodafoneinternetkey.wifi) e premere invio per visualizzare l’interfaccia di configurazione del router 3G
    image
    inserire la password di configurazione (se non l’avete cambiata è “admin”) e premere il pulsante Accesso
  3. Cliccare sulla voce Banda larga cellulare per far comparire la videata con le impostazioni di connessione
    image
  4. La prima cosa da fare è memorizzare il PIN della SIM (solitamente 0000): inserire il PIN nel campo Codice PIN per la SIM, spuntare l’opzione Archivia PIN.
  5. Nella sezione Connessione banda larga cellulare occorre modificare le impostazioni come segue:
    – selezionare la voce “Manuale” nelle Impostazioni Connessione
    – inserire ibox.tim.it nel campo APN
    – Selezionare la voce Password non codificata (PAP) nel campo Sicurezza
    – Lasciare invariate le altre impostazioni e premere il pulsante OK in fondo alla pagine.

Alla fine, dovreste ritrovare i campi della schermata compilati come nell’immagine precedente.

Tutto qui; da questo momento in poi, a patto che vi siate ricordati di farvi attivare la SIM recandovi presso un centro TIM (non come il sottoscritto…), sarete in grado di utilizzare la il modem router WiFi Huawei R201 brandizzato Vodafone per collegarvi ad internet utilizzando una SIM di TIM.

Per configurare l’accrocchio con SIM di altri operatori, suppongo che non ci siano difficoltà superiori: dovrebbe essere sufficiente impostare l’APN relativo all’operatore la cui SIM si intende utilizzare.

  • Facebook
  • Twitter
  • Delicious
  • StumbleUpon
  • Wikio
  • Reddit
  • Technorati
  • Segnalo
  • Live
  • Add to favorites
  • Email
  • RSS

Piccolo è bello

 Scritto da alle 06:27 del 28/02/2012  Nessuna risposta »
Feb 282012
 

open_hardware_logo

Devono pensarla così alcuni produttori se, dopo la londinese Berg, anche Adafruit, negozio newyorkese di open-hardware, ha progettato la sua mini stampante.

Si chiama Internet of things ed arriva in kit di montaggio (cioè te la costruisci da solo).

Ah? Cosa cosa?
Si, la costruisci da solo, con tanto di saldatore, così:

Il kit costa 90 dollari e comprende una scheda Arduino con porta ethernet integrata.

La mini stampante Internet of Things si collega con un cavo di rete al computer (niente WiFi).

Contrariamente alla Little Printer di Berg, questo mi sembra più un giocattolo, uno sfizio che qualcosa di veramente utile.

  • Facebook
  • Twitter
  • Delicious
  • StumbleUpon
  • Wikio
  • Reddit
  • Technorati
  • Segnalo
  • Live
  • Add to favorites
  • Email
  • RSS
Feb 212012
 

guida-recuperare-password-email

Avete scordato la password del vostro account email @tin.it o @Virgilio.it o @alice.it.

Esiste una procedura per recuperare la password scordata; sembra la cosa più facile del mondo, ma ad un certo punto viene richiesto di rispondere ad una domanda di verifica.
E questo è ciò che potrebbe comparire chiedendo il recupero della password:
image

Viene cioè chiesto di rispondere ad una domanda inesistente.

Questo accade perché, nel momento in cui si è registrato l’account di posta, la domanda di verifica non era prevista.
E’ stata introdotta in seguito, senza avvisare l’utente della necessità di aggiornare questi dati.

Per recuperare la password occorre procedere come segue (vi risparmio decine di minuti di attesa al 800 070707, numero verde da contattare in questi casi):

Inviare un fax al numero 02 97150219, chiedendo di impostare la nuova password che indicherete nel fax, allegando fotocopia di un documento di identità dell’intestatario dell’account.

Non avete il fax?
Capisco.
Non c’è problema.
image
Tramite Faxator si possono inviare gratuitamente fax tramite email (per iPhone esiste anche un’apposita app).

Registratevi e seguite le semplici istruzioni.

  • Facebook
  • Twitter
  • Delicious
  • StumbleUpon
  • Wikio
  • Reddit
  • Technorati
  • Segnalo
  • Live
  • Add to favorites
  • Email
  • RSS