Gestire bene le password per evitare guai

Il 6 Giugno del 2016 qualcuno ha preso il controllo degli account Twitter e Pinterest di marck Zuckerberg: se la notizia suona già strana così, scoprire che tutti e due gli account avevano la stessa password e pure molto banale (dadada) è ancora più strano. 
Per evitare che facciate la stessa fine di Zuckerberg, abbiamo pensato di darvi alcuni consigli.
Cominciamo dai fondamentali...
Le 3 regole d'oro per quanto riguarda le password sono:
1. Usa password lunghe e difficili
2. Cambia spesso le password dei tuoi account.
3. Usa password diverse per account diversi. 
Ma, c'è un ma...
L'autenticazione tramite password è, in realtà, un sistema di protezione intrinsecamente debole. Partiamo dal primo punto.
1. usa password lunghe e difficili

Siamo abituati a consigliare l'utilizzo di password lunghe almeno 8 caratteri, comprendenti maiuscole, minuscole, numeri e caratteri speciali. Il consiglio deriva dal fatto che così si rendono più difficili gli attacchi "brute-force", attacchi nei quali un software tenta di indovinare" la password provando tutte le combinazioni.

Gestire bene le password per evitare guaiIl "ma" in questo caso risiede nel fatto che siamo essere umani e necessitiamo di avere password che possiamo ricordarci e quindi finiamo solitamente per usare password che hanno un senso compiuto e una lunghezza limitata: se le password sono parole di senso compiuto, il brute-force è anche più semplice. Invece di tentare tutti i caratteri "a caso", l'attacco può essere portato usando dizionari, che usano appunto parole di senso compiuto. Questo restringe notevolmente il campo delle possibilità e facilita il successo del brute-force.

Oltre a questo, ai tempi non si era valutato che i software di brute-forcing potessero arrivare ad una tale capacità di calcolo da potersi confrontare con password lunghe, riducendo oltretutto il tempo necessario all'individuazione della password. 

Non solo: se pensiamo che aggiungere numeri alle password ci mette al sicuro, questo è vero, ma solo in parte. Infatti aggiungere date di nascita, anniversari ecc.. è del tutto inutile, perché nell'era di Facebook e dei social in genere, sfidiamo chiunque di voi a non aver mai postato la data del vostro compleanno o anche solo una foto che vi ritrae festeggianti davanti alla torta con indicata ben in vista la vostra età.

Infine, anche il vecchio trucco di usare numeri al posto delle lettere (ad esempio il 3 al posto della E) non vale più: i dizionari dei cyber-criminali tengono ormai già conto di questa trucchetto.
2. Cambia spesso le password dei tuoi account. (Gestire bene le password per evitare guai)
Su questo punto, il furto dell'account di Zuckerberg, è istruttivo: la violazione dei suoi account è avvenuta a causa del furto delle sue credenziali Linkedin nel 2012. Zuckerberg aveva infatti usato la stessa password e email per svariati suoi account. I cyber-criminali non hanno fatto altro che ottenere credenziali del 2012 e provarle, scoprendo così che 4 anni dopo queste erano ancora valide e su più account.(Gestire bene le password per evitare guai).
3. Usa password diverse per account diversi. (Gestire bene le password per evitare guai)
Sempre più spesso si usano le credenziali rubate da altri siti per violare gli account. Il fenomeno è diventato molto preoccupante anche a causa della pubblicazione nel dark web (anzi, è più corretto parlare di vendita nel dark web) di database di credenziali rubate da Adobe, Linkedin, MySpace, Tumblr ecc..

Per sapere se le vostre credenziali possono essere state rubate o meno, un sito utile è haveibeenpwned.com, dove potrete verificare se la vostra mail è ricompresa in qualche database di account dei quali è stato segnalato il furto.

Gestire bene le password per evitare guai
Nella foto il numero di account di cui si è denunciato il furto, divisi per servizio, nel 2016 e ospitati sul sito haveibeenpwned
Tutto questo serve a fare un bilancio assolutamente realistico della sicurezza delle vostre password: le tre regole d'oro valgono e sono la forma minima di sicurezza che dovrete tenere di conto se vi preme la sicurezza dei vostri account.
Qui vi consigliamo alcuni strumenti utili:
1. Usa un password manager
cioè un software che permette di memorizzare le credenziali di accesso ai vari servizi e le inserisce automaticamente quando serve. Non servirà ricordarsi molte password, ma anzi, una sola, la master password che permette l'accesso al programma.
2. Usa un generatore di password (Gestire bene le password per evitare guai)
esistono software che possono produrre password molto molto complesse e quindi, almeno potenzialmente, più resistenti ad attacchi da brute-force. Di solito la generazione di password è una caratteristica già ricompresa nei password manager.
3. Usa l'autenticazione a due fattori (Gestire bene le password per evitare guai)
se ogni tanto capita di dover usare computer occasionali (in biblioteca, università, negli internet point) dovremmo aprire il password manager su quei pc per avere le nostre password. In questo caso corriamo un rischio gravissimo, ovvero il rischio del furto della master password. Gestire bene le password per evitare guaiIn questo caso adottare il sistema di autenticazione a due fattori riduce molto il rischio. Ci sono molte modalità: la scansione dell'iride o delle impronte digitali, il riconoscimento facciale/vocale, ma il metodo più facile e diffuso è il ricorso allo smartphone. In questo caso basta avere un software che genera codici univoci in maniera periodica e che li invia via sms: per ogni sessione di lavoro sul password manager riceverete via sms un codice diverso da affiancare alla master password e senza il quale non sarà possibile accedere al gestionale delle password (Google Authenticator è un esempio di questo tipo di software).

Cryptolocker alert: Italia sotto attacco. Campagna di diffusione via PEC

E' in corso una campagna di diffusione via PEC

Cryptolocker alert: Italia sotto attacco

Il ransomware Cryptolocker è ormai una nostra vecchia conoscenza. L'ultima versione, che si presenta col nome Crypt0L0cker, viene distribuita a più riprese con incessanti campagne di spam che prendono di mira Stati (tavolta Continenti) diversi, con una particolare attenzione per l'Europa e per l'Australia. In questi giorni è in corso una vasta campagna di distribuzione in Europa.

 

Stiamo ricevendo infatti, in questi giorni, moltissime richieste di aiuto per la decriptazione e di queste una buona quota proviene da vittime italiane. La stessa cosa, che ci dà appunto conferma della campagna di distribuzione, sta facendo Lawrance Abrams di BleepingComputer, anch'esso sommerso di richieste di aiuto. Conferma che il sito ID Ranmsomware (utile a individuare il tipo di ransomware di cui si è rimasti vittima caricando un file criptato e la richiesta di riscatto) ha registrato dati allarmanti: se a Gennaio il numero si assestava intorno a 100, in pochi giorni a metà Febbraio si sono registrati oltre 400  invii relativi a Crypt0L0cker.  Abrams ha poi chiesto al Microsoft Malware Protection Center conferma dell'effettiva campagna di distribuzione e i dati ottenuti sono chiarissimi, come si può vedere nella foto sotto.

cryptoloker-alert-europe-map

Fonte: Microsoft Malware Protection Center

Fonte: Microsoft Malware Protection Center

Fonte: Microsoft Malware Protection Center

La campagna contro l'Italia...

Unendo le nostre segnalazioni a quelle di un altro sito informativo italiano, Ransomware.it, possiamo affermare che il tramite privilegiato di diffusione sono email di SPAM: la cosa è non è nuova, anzi comunissima. La novità è che le email di invio sono PEC (probabilmente per darsi un tono di "ufficialità" apparente), quindi teoricamente validate legalmente, recanti in allegato delle fatture. L'oggetto della mail è del tipo "Invio fattura n.XXXXXX" e contiene un allegato .js il cui nome è solitamente fattura_xxxxxx.js (dove xxxxxx sono 5 numeri).
Il testo della email è:"In allegato originale del documento in oggetto, non sarà effettuato alcun invio postale, se non specificatamente richiesto. Il documento dovrà essere stampato su formato cartaceo e avrà piena validità fiscale e, come tale, soggetto alle previste norme di utilizzo e conservazione."

Fonte: Ransomware.it

Fonte: Ransomware.it

Perchè questa campagna è così pericolosa?

La cosa è molto pericolosa, dato che la Posta Elettronica Cerificata è ritenuta molto sicura: viene validata legalmente, deve essere firmata tramite firma digitale depositata e ha lo stesso valore di un documento legalmente registrato.  E' molto probabile quindi che stiano avvenendo furti di credenziali di PEC. Le mail dalle quali, per ora, si sono registrati invii sono:

531608465@legalmail.it,
409018@legalmail.it ,
posta-certificata@legalmail.it,
posta-certificata@sicurezzapostale.it
Alcune recano regolari firme  digitali, altre no. FATE MOLTA ATTENZIONE!