Mi ha molto colpito la notizia della pubblicazione del lavoro scientifico “Deriving genomic diagnoses without revealing patient genomes” sulle pagine di Science – riportata poi dal magazine generalista Engadget – dove un gruppo di ricercatori di Stanford (USA) si è posto il problema di tutelare la riservatezza del dato genomico dei pazienti relativi ad uno specifico studio medico / scientifico.
Uno dei problemi principali della bioinformatica, oggi, è la gestione dell’enorme quantità di dati disponibili in termini di volume, assieme alla difficoltà di approvvigionamento di dati clinici nei casi in cui si vada a studiare qualcosa afferente la sfera umana. Pazienti e volontari (tipicamente persone sane che sono usate come ‘controllo’ nell’esperimento) donano infatti il proprio materiale genetico, e hanno diritto alla riservatezza di questo patrimonio informativo e alla sua tutela.
Le password sono tra le gioie ed i dolori dell’informatica moderna. Ogni sito, servizio on-line, dispositivo hardware in questo mondo iperconnesso va protetto… e la combinazione nome-utente e password è il minimo che si può fare per tenere una parvenza di sicurezza dei propri affari.
Una buona norma è quella di avere una password diversa per ognuno dei servizi che usiamo.
Un’altra sarebbe(*) quella di utilizzare il meno possibile le funzioni di autenticazione mediante ‘token’ erogati da servizi di terze parti. Per fare un esempio immaginiamo di utilizzare le nostre credenziali di accesso a Facebook per registrarci su Pinterest o in un qualunque altro social network. Evidenziando il fatto che Facebook ed i gestori di questo tipo di autenticazione possono legalmente cancellare il nostro account a loro insindacabile giudizio o scomparire … in caso di compromissione dell’account ‘principale’ avremo poi a cascata la compromissione degli accessi a tutti i servizi abbinati a queste credenziali.
Insomma l’uso di un password manager (come il mai troppo lodato – e da me adorato – 1password o il giovane Enpass o l’open source KeePass) è più che consigliato. Queste applicazioni ci permettono la memorizzazione di un altissimo numero di elementi e offrono funzionalità di generazione di password secondo diversi algoritmi.
Mi rendo però conto che per alcune persone o situazioni la spesa economica e di tempo per la configurazione del tutto possa non valere l’impresa… Magari abbiamo pochi servizi da proteggere, o non ci fidiamo di un software sviluppato da ignoti (nel mio caso non ho consigliato LastPass proprio per questa ragione). In queste situazioni possiamo utilizzare un piccolo ma validissimo espediente mnemonico per la generazione di password efficaci.
La vignetta riportata, dell’ottimo XKCD, spiega in maniera visiva e super-efficace il meccanismo (l’algoritmo) alla base di questo metodo.
Date le potenze di calcolo oggi disponibili, la nostra password diventa progressivamente più sicura man mano che i caratteri che la compongono crescono. Secondo le mie ultime letture oggi 12/13 caratteri costituiscono il minimo sindacale per una password ‘sicura’… Quindi è meglio cominciare ad utilizzare password con 16 o più caratteri.
Ma come fare per ricordare sequenze di oltre 16 caratteri ? Semplice, dovremo ricordare delle frasi… Ma non citazioni di libri, film o poesie,… opere note e sicuramente nei dizionari dei malintenzionati. Dovremo usare frasi generate in maniera casuale ed estremamente personale.
Sulla tecnica ci sono diversi ottimi articoli ed approfondimenti on-line… ad esempio su il Post si parla di generatori di poesie, o possiamo arrivare a meravigliarci dell’idea di Mira Modi teenager statunitense che ha stupito il mondo con il suo Diceware che ha reso una valida fonte di reddito.
Senza arrivare a questo livello di sofisticazione ti sintetizzo in parole povere il tutto: per generare una password efficace andremo a generare la nostra ‘frase’ – o meglio una sequenza di parole – partendo da un ricordo o un’esperienza strettamente personali…
cozze-sandalo_Pescara!
Ecco una password di 22 caratteri facile da ricordare!
Il trigger mnemonico è la vacanza a Pescara dove abbiamo mangiato un buon piatto di spaghetti alle cozze e comprato quel sandalo estivo che adoriamo indossare. La punteggiatura (lo spazio è un carattere che evito perché non so mai se il sistema che memorizzerà la password sarà in grado di gestirlo correttamente) è lasciata alla tua immaginazione o preferenza.
Come vedi non è una scienza oscura, ma un banale esercizio di memoria la cui imprevedibilità sfugge alle risorse di calcolo attualmente disponibili (e immaginabili).
Spero che quest’articolo ti sia stato utile! Buon lavoro…
—
(*) dico sarebbe perché pur essendo studiati per la massima sicurezza nello scambio di dati questi meccanismi hanno un singolo anello debole messo in bella evidenza, la credenziale di accesso centrale – come la password di Facebook nell’esempio da me fatto – che rimane sempre troppo esposto agli attacchi e costituisce un bottino altamente desiderato e remunerativo per i criminali.
Meno di un’ora fa è stata rilasciata la versione 4.7.3 di WordPress che risolve 6 problemi di sicurezza e 39 miglioramenti di manutenzione. Qui la lista completa delle modifiche fatte.
Come sempre verificate che i backup siano a posto e aggiornate… Io ho già aggiornato una dozzina di siti senza il minimo problema!
Viviamo oggi in un mondo sempre connesso, e questo equivale a vivere in una casa affacciata sulla strada, esposti al bello ma anche al brutto del mondo. I rischi per la nostra sicurezza sono maggiori che vivendo al 70° piano di un condominio di un mega-grattacielo.
La ‘porta di casa’ della nostra vita on-line è il modem-router … quell’oggetto misterioso che il nostro fornitore di telefonia/internet ci fitta a 2€ al mese (a meno che non ti sei fatto due conti e hai preferito comprartelo da solo) e che ci permette di accedere “ad Internet” rimanendo sempre acceso, e mai più configurato né controllato dopo la prima connessione del nostro pc.
Purtroppo questo è un lusso che non possiamo più concederci: l’uso massivo di credenziali di accesso standard (‘admin’ e ‘password’ se non ‘12345’), l’uso in grande serie di chip provenienti dallo stesso produttore, tool di amministrazione semplificata [Genie di Netgear, per fare un esempio] e poi insicurezze varie a livello del software di sistema (il famigerato firmware), sono tutti atteggiamenti analoghi a lasciare la porta di casa aperta, o a dare una copia delle chiavi a chiunque.
È questo che fai per casa tua ?
Io credo di no! Per questo consiglio sempre a familiari, amici o clienti di aggiungere al proprio flusso informativo qualcosa che li avverta dei cambiamenti a cui i propri dispositivi vengono sottoposti dal produttore, e ad applicare tutti gli aggiornamenti di sicurezza non appena se ne ha notizia.
Negli scorsi giorni ho appreso, ad esempio, che centinaia di migliaia di modem/router NETGEAR sono vulnerabili e permettono la scoperta della password impostata sul dispositivo sia se connessi alla rete LAN casalinga.
Negli scorsi giorni ho appreso, ad esempio, che centinaia di migliaia di modem/router Netgear sono vulnerabili e permettono la scoperta della password impostata sul dispositivo sia se connessi alla rete LAN casalinga (pensiamo ad un figlio che vuole bypassare le limitazioni sui contenuti o ad un collega/dipendente che vuol fare lo stesso), sia ad un attaccante esterno… Un vero e proprio Password Bypass.
Dopo varie segnalazioni Netgear pare essersi decisa a correre ai ripari, e ha dedicato una pagina del suo supporto tecnico alla pubblicazione di un aggiornamento del firmware per alcuni dei modelli interessati e ad una spiegazione e di come mitigare il problema un restante gruppo di dispositivi.
La pagina in oggetto è la seguente: Web GUI Password Recovery and Exposure Security Vulnerability, mentre i modelli coinvolti – al momento in cui scrivo – sono i seguenti:
R8500
R8300
R7000
R6400
R7300DST
R7100LG
R6300v2
WNDR3400v3
WNR3500Lv2
R6250
R6700
R6900
R8000
R7900
WNDR4500v2
R6200v2
WNDR3400v2
D6220
D6400
Se possiedi uno di questi dispositivi, il mio consiglio è quello di aggiornare al più presto!
Oggi mi è capitato di fare una lettura interessante su Medium. In quello che viene definito una ‘proof of concept’ lo sviluppatore Harmen Stoppels ha mostrato quali e quante informazioni il browser concede a delle form da compilare, anche quando queste chiedono solo pochi campi. Un sito web maliziosamente può ottenere un gran numero di informazioni, anche se apparentemente ti può chiedere solo la classica triade nome, cognome, indirizzo e-mail. Il tutto è spiegato in questo video
A meno che tu non viva sul lato oscuro della Luna, in questi giorni avrai senz’altro sentito parlare dello scandalo nel mondo della politica, finanza e dello “star system” dovuto alla fuga di informazioni riservate dalla Mossack Fonseca, uno studio legale e di consulenza finanziaria Panamense, che detiene una posizione di rilievo nel mercato delle transazioni bancarie di quel paese. Alla base di questa fuga di notizie pare esserci una compromissione di uno dei server aziendali che ospitava delle vecchie antiche installazioni di Drupal (ma si parla anche di qualche sito basato su WordPress [via →].
Alcuni passaggi dell’articolo hanno catturato la mia attenzione, questo il primo:
Because WordPress and Drupal are so mundane nowadays, people easily forget that they are continuously online targets for malicious activities like data breaches and DDoS platforms. Likely in most cases there is little value in breaches to attackers, but given the ease of hacking online web services automatically – they’re truly a honey pot waiting to be opened.
Probabilmente la tua azienda non sarà depositaria di informazioni così preziose (e confidenziali) come quelle detenute dallo studio panamense. Ma nondimeno sono informazioni di tua proprietà, e non c’è alcun motivo o bisogno per cui queste debbano essere in mano a terzi non autorizzati.
Using closed source software can limit access to updates and so on, which makes Open Source stronger as there are no excuses for not doing security patches – they’re available for anyone.
La negligenza di non tenere aggiornato il software è la stessa sia per i prodotti commerciali che per quelli open source.
Amen. Questo è il motivo per cui mantengo sempre i miei siti (ed i software dei miei computer) sempre aggiornati, scelgo con cura quali plugin utilizzare e quali evitare, e cerco di lasciare una traccia quanto più piccola (mi è) possibile contro le scansioni dei software malevoli. Sii sempre preparato, assicurati di avere sempre un backup (ripristinabile!) di database e file del tuo sito web e … aggiorna appena puoi!
E se non ti senti sicuro di farlo da solo, non esitare a chiedere (il mio) aiuto!
