World Password Day

Oggi celebriamo la giornata modiale delle password (il primo giovedì del mese di maggio).

Oggigiorno le password mostrano sempre più la loro inadeguatezza a garantire la sicurezza degli accounts utenti e dei loro dispositivi; sistemi esposti in rete (e spesso abbandonati al loro destino) vengono compromessi tramite bot automatici che tentano combinazioni brute-force o attacchi a dizionario, spesso andati a bersaglio. Sono disponibili in rete gigantesche collezioni di password “reali” utilizzate da persone; tentandole tutte, quasi certamente si avrà accesso al sistema.

Nella maggioranza dei casi è sufficiente tentare le prime cento password più usate dagli utenti poco consapevoli.

Quantomeno è necessario adottare sistemi OTP; non che siano la panacea di tutti i mali, ma realizzano certamente un ulteriore livello di sicurezza.

Rimane imprescindibile il controllo dei log ed il blocco automatico di tentativi plurimi di accesso, oltre che una lunghezza e complessità adeguata della password; purtroppo tali password non sono assolutamente ricordabili a mente. Non vi consiglio neanche di memorizzarle utilizzando i vari servizi on-line; non fidatevi della insicurezza altrui, fatevi bastare la vostra.

Svizzera sospende il voto elettronico

La Posta Svizzera, realizzatore del sistema di e-voting adottato da alcuni cantoni della Confederazione Elvetica, lo ha sospeso con effetto immediato.

Ciò si è reso necessario a seguito di un recente contest di sicurezza pubblico, a seguito del quale sono emerse problematiche nel codice sorgente e nei processi di certificazione e convalida.

Tra l’altro, erano già sorte polemiche su falle trovate nel codice, segnalate e (probabilmente) non rimosse.

Direi che la decisione presa da Posta Svizzera è doverosa e responsabile; ritengo che potranno avere benefici dai risultati delle analisi, svolte da moltissimi hacker, ricercatori ed esperti internazionali.

Questo dimostra ancora una volta che è difficilissimo, se non impossibile, scrivere software sicuro al 100%; in ambiti estremamente rilevanti, come un sistema di e-voting, meglio non rischiare e continuare ad usare carta e lapis.

ASUS LiveUpdate compromesso

Kaspersky ha scoperto uno dei maggiori incidenti di sicurezza occorsi ad un fornitore di software, persino superiore a quello capitato a CCleaner.

Il servizio LiveUpdate di ASUS, che consente ai loro acquirenti di aggiornare il software dei propri devices, è stato compromesso da sconosciuti – dalle notevolissime risorse e capacità tecniche – sfruttandolo per installare un trojan malevolo – chiamato shadow hammer – targetizzato per attivarsi su specifici devices ASUS.

Il fatto, di per se clamoroso, è ulteriormente aggravato dal fatto che la compromissione è stata scoperta, dopo vari mesi, da Kasperky invece che dalla stessa ASUS.

Consiglio a tutte le organizzazioni che posseggono dispositivi ASUS di farne controllare la sicurezza, in quanto si potrebbe configurare un classico data breach.

Mai come in questo caso si evincono due aspetti rilevanti:

  • sui devices “in produzione” o interessati al trattamento dei dati personali, utilizzare solo il software minimo necessario (e LiveUpdate, come molte altre utility, non lo è);
  • gli antivirus sono sempre meno efficaci a rispondere alle nuove tipologie di minacce cyber; occorre sviluppare nuovi software con A.I. che riescano ad intercettare comportamenti “ambigui” del software, anche se firmato con certificati autentici (come in questo caso).

Ritengo che ci saranno degli sviluppi clamorosi alla vicenda.

Facebook, passwords in chiaro

Giunge notizia che Facebook abbia mantenuto, per anni, milioni di password dei suoi utenti in chiaro, alla portata dei suoi dipendenti.

Nel post ci illustrano come sia importante, per Facebook, la sicurezza dei propri utenti, come essi debbano cambiare spesso la propria password, e bla bla bla.

Purtroppo la memorizzazione delle password in chiaro è una pratica difficile a morire; da essa scaturiscono enormi problemi di sicurezza a danno degli utenti, specialmente quando le stesse credenziali consentono (come avviene con Facebook) di autenticarsi ad innumerevoli servizi esterni.

Per non parlare di coloro che utilizzano sempre la stessa password.

Perchè aggiornare il sistema operativo?

Domanda ricorrente: ma perchè debbo aggiornare i miei rodati PC Windows XP, che funzionano benissimo, con l’ultima versione di Windows? Windows 10 non ci gira, quindi debbo anche riacquistare l’hardware!

Risposta: perchè spesso vengono alla luce gravissime falle nel sistema operativo, come questa a danno di Windows 7 32 bit – peraltro ancora aggiornato sino a gennaio 2020.

Ovviamente tutti gli OS Microsoft – ma anche tutti gli altri OS – che non siano più mantenuti ed aggiornati, non sono adeguati a mantenere in sicurezza gli eventuali dati personali contenuti nel sistema informativo.

A meno che non siate una banca e Microsoft vi offra ancora supporto – a caro prezzo – per Windows XP “Bancomat OS”.