#DicoLaMiaSu: I governi insistono a chiedere i dati codificati degli IM. E noi ?

Chiavi-Assimetriche

UK torna a chiedere l’accesso ai dati protetti delle chat di applicazioni come WhatsApp, Telegram e simili.


Come era da previsioni, dopo che è girata la voce, poi nessuno, che io abbia letto, l’ha confermata, che l’attentatore di Londra abbia usato WhatsApp per organizzare l’attacco, il governo inglese torna alla carica con le richieste di poter accedere alle chat criptate dei vari programmi di IM come WhatsApp, Telegram etc etc.

In passato la scusa erano i pedofili, adesso la scusa sono i terroristi, cambia periodo, cambiano i soggetti, ma le richieste son sempre le stesse.
Ma d’altronde il Regno Unito ha una tradizione piuttosto forte sulla questione intercettazioni di massa. Sembra quasi che tra loro e gli Americani, ci sia un cordone ombelicale che li tiene congiunti, in queste faccende di intercettazioni di massa
: non importa quale sia il motivo; l’importante é poter controllare tutti indiscriminatamente e con il favore , almeno apparente, della legge.

Al di la della questione tecnica, che renderebbe apparentemente accontentare le richieste del Regno Unito, non riesco a capacitarmi del fatto che una volta chiarito, a fonte di prove inoppugnabili, di vari giornalisti, sia cartacei che informatici, continuino a vuole far passare come bene per il cittadino questa mania del controllo totale. È vero, rilanciando il discorso ogni volta che accade qualcosa inerente la pedofilia o il terrorismo, giocano sui sentimenti straziati o indignati del momento, ma dovrebbero aver capito, ormai, che la gente, passata l’onda emozionale, non ci casca più in quelle motivazioni di facciata, per le quali fanno queste assurde richieste.

Sembrano poi ignorare che esiste una galassia di programmi IM corredati di cifratura, per cui come pensando di poter imporre a tutti i programmatori, di questa micro galassia, di cedere alle loro richieste??? Tra le altre cose, e per fortuna, non tutti usano lo stesso sistema per garantire la codifica delle comunicazioni, per cui non posson nemmeno sperare di trovare una soluzione comune a tutti questi programmi che, una volta applicata, risolva loro il problema.

Salvo una backdoor chiaramente, ma chiunque crei programmi di IM che pretenda di vendere, o vedere installata la propria applicazione in massa, non può correre il rischio di essere sputtanati dal primo specializzato che arriva, dimostrando che hai una backdoor attiva sul tuo programma. Proprio perché ne esistono tanti, di IM, uno ci mette meno di 30 secondi per disinstallare la tua con la backdoor ed installarsene un altro !!

Insomma i governi devono mettersi in testa che su questa cosa non la spunteranno mai. Avevano qualche chance quando WhatsApp non aveva attivo ancora la possibilità di codificare i propri dati: essendo una delle poche che ancora non aveva attivato questa particolarità gli altri programmi IM potevano correre il rischio di vedersi inibire l’accesso da questo o quel paese, con la scusa della protezione del libero cittadino; ma ora che pure WhatsApp si è unita alla comunità di coloro che proteggono la privacy dei propri utenti, i vari governi, non hanno più punti, su cui fare leva, verso produttori come Telegram, Signal o altri.

Non che WhatsApp l’abbia fatto per la tutela del loro paro clienti, l’ha fatto perché si è accorta che altri IM, che prevedevano la codifica delle conversazioni, gli stavano portando via clienti. E sappiamo tutti come ragionano le aziende quando si vedono rodere il plafond di clientela: «Risolviamo il problema in qualche modo!!» sicuramente è stato l’urlo di battaglia lanciato da qualche amministratore delegato di WhatsApp!!

E l’unico modo per poter provvedere a quell’ordine era fornire un servizio, quanto meno sicuro almeno come gli altri IM in circolazione che si stavano rodendo il loro pacchetto clienti.

E di conseguenza squillino le trombe, mandate corrieri ai quattro angoli del mondo e diffondente la notizia: «WhatsApp rende disponibile la codifica delle conversazioni da questa data!!».

E questa notizia ha tagliato definitivamente le gambe a quei governi che minacciavano il blocco dell’uso di WhatsApp in questo o quel paese. Bloccare l’accesso a questa o quella applicazione perché permetteva di rendere non leggibili le conversazioni a terzi, corrispondeva a denunciare il vero scopo dei governi interessati che aveva portato al blocco.

Se vi ricordare succedeva piuttosto spesso con Telegram quando era ancora l’unica a proporre le chat codificate e succedeva in Brasile: paese noto per la sua deriva democratica. Da quando anche WhatsApp si è aggiunta al pari delle applicazioni che permettono la codifica, guarda caso, in Brasile non sono più occorsi blocchi da parte dello stato all’accesso a Telegram o altri IM: tanto ormai offrono tutti la codifica delle conversazioni per cui quel metodo non aveva più senso.

Quello che mi lascia più perplesso, al di la dei governi che tentano di mettere il naso nelle nostre chiacchierate con gli amici, è il fatto che poi lo stesso popolo che richiede servizi di cifratura per le loro chiacchierate, non facciano assolutamente nulla per proteggere loro altre fonti di informazioni, come la posta elettronica o i propri siti, personali o aziendali che siano.

Contrariamente a quanto si pensa l’arrivo delle app di IM non ha reso l’uso della posta elettronica meno intenso, tutt’altro. Specialmente a livello di lavoro, il volume della posta elettronica non ha subito alcuna flessione. Eppure sappiamo che quasi tutti i governi accedono alle nostre email leggendosi quello che vogliono quando vogliono. Come esiste la codifica delle conversazioni esistono anche metodi per proteggere anche le nostre email. Solo che il popolo è pigro per cui continua a farsi legger le email, ma vanta di avere il sistema per chattare più sicuro che esista al momento.

Sull’onda delle richieste di governi come quello del Regno Unito, nascono poi delle aziende che offrono email sicure con codifica, a patto che l’altro utente usi lo stesso servizio, o accetti di ricevere una mail con un allegato ed una password per leggere l’allegato.

Quello che mi fa sorridere è che queste aziende, per esempio la ProtonMail non fanno altro che fare quello che l’utente potrebbe fare da solo: ossia usare strumenti come GPG per proteggere la propria privacy anche nella corrispondenza elettronica. Ti fornisce una chiave, e tu la usi in maniera trasparente per mandare mail codificate alla tua controparte. Cosa che potresti fare da solo e con qualunque provider, per assurdo con la peggiore in assoluto, in fatto di violazione, delle tue mail: ossia il servizio posta di Google: gmail.

Però piuttosto che mettesti li a studiare 30 minuti come si genera una chiave come usarla, preferiamo dare mandato, in modo silente, a qualcun altro che lo faccia per noi. Risultato? Vuoi una casella con accesso codificato che abbia un minimo di spazio per tenere tutta la tua mail di lavoro?

PAGA. Quando potresti farlo gratuitamente se solo ti prendessi la briga di studiare 30 minuti il metodo usato dalla stessa ProtonMail.

«Chi è causa del suo mal, pianga se stesso» cita un vecchio adagio, ed in questo caso mai fu più vero!! Pagate la ProtonMail, Safe-Net od altre aziende che hanno capito che siete disposti a pagare, piuttosto che imparare a questo punto sono solo affari vostri !!

Io continuo a farlo per conto mio, ed a titolo gratuito, però mi spiace vedere buttare via i soldi, indipendentemente che siano di una azienda o di un privato.

 

#DicoLaMiaSu: Ransomware WannaCry: alcune consdierazioni.

WannaCry

Oviamente fuori dal coro!!


Continuo a leggere in giro, a proposito del famigerato WannaCry, di attacchi… forse chi fa notizie dovrebbe darsi una ripassata al vocabolario; a me il vocabolario da questa definizione di attacco:


attacco s. m. (der. di attaccare) (pl. -chi). — (…) 3. Assalto con forze militari, azione offensiva svolta decisamente, con impeto e grande impiego di forze allo scopo di sopraffare e disorganizzare il nemico: preparare un a.; (…)


La chiave sta nel di sopraffare un nemico. Ora, salvo che chi abbia avviato questa campagna di infezione, non ce l’abbia con il mondo intero, allora la definizione di attacco non torna. Avrebbe avuto senso se avesse colpito un solo specifico paese, oppure un solo e specifico settore, ma così non è stato. L’infezione ha colpito di tutto e di tutti, quindi di parlare, o meglio di straparlare, di attacco direi che non sia proprio il caso.

L’unico motivo che, io, vedo in questa campagna di infezione è quello solito di chi avvia questo genere di cose: i soldi. Sebbene a giudicare dai conti fatti, dai soliti analisti, pare non gliene siano arrivati poi così tanti, almeno rispetto al numero di macchine infettate.

Poi, il fatto che questa specifica infezione, avesse due peculiarità mi fa po’ pensare:

  • un dominio che faccia da killer switch (interruttore di spegnimento);
  • che abbia usato una falla chiusa, sebbene da poco, da Microsoft con una patch addirittura estesa a sistemi non più supportati come Windows XP.

Per il primo punto, in soldoni per chi non sia del mestiere, praticamente il virus, una volta avviato, verifica la presenza di un dominio specifico attivo, per capirci qualcosa come killerswitch.com, se esiste allora si ferma e non combina danni, se non lo trova allora prosegue la sua azione iniziando a criptare tutti i file previsti.

Per il secondo punto, l’untore, ha ben pensato di usare una vulnerabilità corretta da poco, parliamo di circa metà marzo, giocando sul fatto che molte aziende ed ancora più privati, non sono avvezzi ad applicare gli aggiornamenti di sicurezza in Windows.

Questa brutta abitudine, facilmente aggirabile con, almeno, l’attivazione automatica dell’installazione degli aggiornamenti di sicurezza, è il motivo per cui questo virus si sia propagato così velocemente e così a fondo: se l’aggiornamento, proposto da Microsoft, fosse stato applicato, il virus non avrebbe potuto infettare tutti i computer in questione.

C’è da considerare, poi, come si è avviata l’infezione: chi è stato e come? Nel solito modo: un impiegato distratto, oppure troppo zelante, ha deciso di cliccare su un link, apparentemente valido, all’interno di una mail, altrettanto apparentemente valida, e voilà il danno è stato fatto.

Non è una novità: la stragrande maggioranza degli attacchi ransomware iniziano così: un utente distratto clicca qualcosa che non avrebbe dovuto.

E questo è un bel problema da risolvere. Come? L’unico modo è la formazione del personale, mi riferisco alle infezioni aziendali, comprese le strutture delle PA e settori come la sanità, vedi numero infezioni, in questo caso nel Regno Unito in solo questo comparto.

So che costa tempo, e di conseguenza denaro, ma se non si addestra l’impiegato di turno a realizzare quando una mail, o un link sono a rischio, il problema si ripeterà all’infinito.

Certo delle volte uno si domanda perché diavolo un impegnato dovrebbe aprire una mail in arrivo dal Giappone quando i clienti sono tutti solo della propria regione? Oppure il solito impiegato che non si allarma quando arriva una mail, apparentemente da una banca abituale, con un testo scritto in maniera così pedestre, che nemmeno un bimbo della quinta elementare la comporrebbe in quel modo, indice che chi ha compilato la mail si è appoggiato a sistemi di traduzione automatica, di solito.

Insomma, a volte basterebbe davvero poco per limitare i danni, eppure anche quel poco non viene fatto perché l’impiegato non è stato formato,nemmeno sulle conseguenze di un simile attacco; mi riferisco a fermi macchina per la disinfezione; quando possibile il tempo per il recupero dei dati dai backup, quando invece non possibile, perché non esiste in azienda una politica di backup, il lavoro perso da ricostruire.

Insomma, resto dell’idea che la formazione del personale in prima linea, ossia l’impiegato che apre le mail tutti i giorni alla sua postazione di lavoro, sia una spesa ben giustificata. Se un titolare di azienda la vede diversamente allora sarà causa del suo male e non potrà nemmeno prendersela con l’impiegato che ha dato il via all’infezione per essere stato troppo zelante.

Esiste poi un altro problema collegato a queste situazioni: la mancanza di copie di recupero, backup, pressoché nella maggioranza delle PMI.

Il backup per la Proprietà, sino alla prima volta che ci incappa, è solo una perdita di tempo e di conseguenza di denaro. Ora, al di la che sono obbligatori per le aziende, perché si deve arrivare al punto di perdere il lavoro di svariati giorni, prima di arrivare a capire che un backup ci salverebbe quanto meno il lavoro già fatto?

E questo non vale solo per le aziende, ma anche i privati hanno le proprie cose da non perdere: le proprie benedette collezioni di foto, i documenti prodotti per le più svariate necessità, i video importantissimi delle vacanze di 5 anni fa.

Molti pensano che avere i dati in sincronia con servizi come Dropbox, GoogleDrive, OneDrive o Mega sia una protezione sufficiente. Invece sono proprio questi servizi che possono crearvi dei grossi grattacapi.

Faccio un esempio:

  1. state scrivendo una relazione tecnica, un romanzo, un diario personale. Chiaramente creato nella maggiornaza dei casi con Word.
  2. Vi beccate il virus che infetta i vostri dati. Essendo in sincronia con uno di questi servizi il virus viene replicato anche al servizio remoto immediatamente.
  3. Formattate il computer, lo pulite per bene, reinstallate le vostre tonnellate di programmi.
  4. Ricollegate il vostro servizio di sincronia… vi ricordate che il virus aveva infettato anche quelli? Ecco appena ricollegate il vostro servizio di sincronia siete belli che infettati di nuovo !!

Vi rendete conto che se l’utente non capisce questo meccanismo, rischia di reinstallare il pc un certo numero di volte, di fila, prima di capire che stia succedendo ?

Un backup è diverso da un servizio di sincronia diretto; e va gestito in modo diverso e corretto, altrimenti e come se non lo faceste !!

Che ne pensate di questa analisi? Secondo me ha una sua logica ed per questo che non smetterò mai di ripetere queste due cose:

  1. Formazione, formazione e formazione (questo per le aziende)
  2. imparare la differenze tra servizio di sincronia (dropbox) e di backup (san google in questo può essere molto di aiuto).

Meditate gente, meditate!!