Verso la fine di maggio 2016 lo stesso hacker che la settimana prima aveva venduto i dati di otre 164 milioni di utenti LinkedIn ha dichiarato di avere disponibili per la vendita email e password di oltre 360 milioni di utenti MySpace, cosa che si può definire tranquillamente come uno dei peggiori leak di password della storia.
Il suddetto hacker vendeva a questo punto un “pacchetto” di oltre 427 milioni di accoppiate username / password tra MySpace e LinkedIn per 2800 dollari USA in bitcoin, 6,56 US$ al MILIONE DI CREDENZIALI.
Tralasciando i tecnicismi sulla protezione delle password, questo dovrebbe dare agli utenti una chiara percezione del perchè è così importante cambiare le proprie password con una certa regolarità, e non affidarsi a password semplici.
A livello conoscitivo, riportiamo qui di seguito le 55 password più ricorrenti in detto “pacchetto”, nel tentativo di farvi capire quanto è semplice a fronte di una password simile penetrare nel vostro account.
Dovrebbe essere evidente per tutti infatti che queste saranno le prime password attualmente presenti in qualunque dizionario di password guessing di qualunque tool, e pertanto se usate una password come “password1” o “asdasd5” questa verrà rilevata istantaneamente.
Mi è stato chiesto come un tecnico vede i social network.
Sapete che c’è?
non so dirvelo, perchè non sono una questione “tecnica” per me.
Vedete, a volte fa bene ricordarsi da dove si e’ partiti. Fa bene sapere chi, come, cosa, quando, ma fa bene anche ricordare quali erano le speranze di un tempo, e confrontarle con la realtà di oggi, altrimenti si entra in un girone infernale dove succede sempre che si stava meglio quando si stava peggio.
E allora oggi voglio ricordarmi chi c’era e come eravamo, per vedere se davvero poi non c’è’ nulla di meglio da allora.
In fondo un po’ di “am’arcord” si può concedere anche ad un informatico come me.
Torniamo indietro a un po’ di tempo fa (be, va bene, un po’ TANTO, magari). Stavo finendo gli ultimi anni della scuola, un ITIS con specializzazione informatica, quando venni in contatto con un attrezzo oggi sulla via dell’estinzione.
Un Modem.
Era uno scatolotto rosso-arancio, grosso quanto un odierno hard disk esterno multimediale da alcuni terabyte, da attaccare da una parte a una seriale , configurare in base alla nazione tramite una serie di microinterruttori, e dall’altra parte aveva una presa per il telefono… quadrata!
E chi aveva mai visto una spina quadrata per il telefono? Telefono da noi voleva dire “tripolare SIP”, quelle spine grosse con tre barrette di ferro grandi quanto una penna che uscivano fuori!
Ma quell’oggetto prometteva di COLLEGARSI AD ALTRI COMPUTER!!!
Una cosa magica! Pensate, si poteva fare parlare un computer (non parlate di PC, al tempo si parlava di IBM-Compatibili, non di PC) con un altro! E andava velocissimo, ben 300 bit al secondo! Bastavano pochi secondi per caricare una videata di testo 80×24, quella che serviva per i terminali remoti!
Non voglio tediarvi con particolari storici più o meno buffi e “robbbe da smanettoni” (con 3 “b” ovviamente) che servirebbero solo a dimostrare la mia età o a far pensare che voglia appuntarmi medaglie dal vago sapore di “io c’ero”, la cosa importante fu che quel “coso” mi permise una magia.
Collegarmi a una bullettin board.
E, soprattutto, incontrare su quella “rete telematica” delle PERSONE.
PERSONE vere, sapete? Altri smanettoni come me, e’ vero, ma di pirati con la benda all’occhio o di orchi mangiabambini non ce n’erano, o quanto meno si nascondevano bene.
Nonostante gli avvisi saggi del tipo “diventerai cieco a forza di passare il tuo tempo davanti a quell’affare” ci scoprii un mondo fatto di PERSONE, persone VERE, che, al contrario di quel che dicevano tutti, non si nascondevano dietro un monitor per celare la loro identità. Oh, siamo seri, c’erano anche quelli, ma venivano individuati in fretta e altrettanto in fretta esclusi. E poi chissà perché si deve sempre diventare ciechi e non sordi, inoltre io ero già miope come una talpa, quindi rischiavo poco, no?
Poi addirittura venne Videotel , e sembrava che si fosse aperto un mondo, dove c’erano addirittura persone normali, non solo informatici sfigati come me!
Iniziava un sogno strano. La chiamavamo “telematica popolare” Ed era un sogno, un sogno fatto di persone che si parlavano, si raccontavano “i trucchi”, si incontravano in giro per l’Italia viaggiando in treno (purché all’arrivo ci fosse la birra e soprattutto gli amici che non si era mai visto in volto), si facevano scherzi (rimase nel mito la “favola” del matrimonio annunciato da due di questi, con lui italiano e lei greca, senza che si fossero mai visti, con tanto di inviti mandati per matrix, che oggi chiamereste email).
Ma soprattutto si sognava e si costruiva.
Si sognava un mondo in cui tutti a casa avrebbero avuto un computer attaccato a una linea, magari ad altissima velocità ( che so, 2400 bit al secondo). Si sognava un mondo in cui si sarebbe potuto mandare un messaggio di testo, qualcosa di simile a una lettera, a un amico dall’altra parte del mondo. E vedere una risposta in poche ore. Si sognava un mondo nuovo dove le persone avrebbero potuto scrivere su una bacheca elettronica e scambiarsi idee. Magari non solo le impostazioni da usare in Olanda per i modem USRobotics, ma anche la ricetta della torta di riso.
Ci sarebbe piaciuto poterci scambiare foto, magari quelle del nostro incontro a casa del “Bluto” (e chi si conosceva coi nomi anagrafici?) con quello dell’incontro dei ragazzi francesi a casa di “Robyspier”.
Anche solo per dirci “ciao, siamo veri anche noi, non solo un messaggio di testo, guardateci, sorridiamo!”
Pensavamo che i maiali che cercavano sesso virtuale sarebbero stati un male che si sarebbe estinto da solo se solo fossimo riusciti a dare più servizi alla persona della strada.
Pensavamo che un sogno così avrebbe cambiato il mondo se solo fossimo riusciti a realizzarlo.
Poi accaddero varie cose, belle e brutte.
Accadde quasi in contemporanea che le forze dell’ordine ci dichiararono fuorilegge solo perché gli americani avevano deciso che i loro smanettoni erano cattivi (là si chiamavano “hacker”), e quindi eravamo cattivi anche noi.
Fu uno shock.
Si videro dischi fissi con anni di lavoro volare fuori dalle finestre, sequestri storici di malvagi modem collegati a linee pagate in cooperativa, intere Bullettin Board System (oggi li chiamereste blog?) stroncate da una visita alle 4 del mattino dei carabinieri.
Fidonet, quel prototipo di “telematica popolare”, sostanzialmente moriva in quei giorni.
Restava il limitatissimo Videotel, che permetteva a chi sapeva come farlo di parlare ancora un po’ con “gli altri fuori dall’Italia” tramite Itapac, ma il sogno italiano della telematica popolare sostanzialmente finiva in manette. Poco conta che di quei processi, che io sappia, nessuno finì con una condanna e ben pochi arrivarono al processo vero e proprio.
Ma mentre si tentava di ucciderla, la “telematica popolare” rinasceva in altro modo.
Gli americani, che prima ci avevano spiegato cosa significava “crackdown”, ci avevano insegnato cos’era l’”underground” e perché era meglio stare là che non in mezzo alla gente a cui volevamo dare questa benedetta “telematica popolare” di cui a nessuno fregava nulla e che TUTTI SAPEVANO essere piena solo di pervertiti…
ora si erano però inventati un altro sogno, protetto, nel mondo delle università.
Non era molto diverso da Fidonet alla fin fine, se non dal lato tecnico (che, chiariamo, per noi era IL lato VERAMENTE IMPORTANTE). C’erano sempre degli smanettoni fuori di testa che volevano fare parlare dei computer. Si potevano trasferire addirittura dei file. E i tizi “di la’”, al contrario di noi, usavano macchine Unix, NATE per lavorare “in rete”.
E che in rete, al contrario dei nostri piccoli accrocchi in DOS, funzionavano bene.
Ma allora il sogno non era poi così morto!
Bastava nascondersi, dire che “noi eravamo quelli buoni”, “eravamo quelli universitari”.
Poco conta che in realtà non fossimo mai stati cattivi, si poteva ripartire.
Nascosti, a testa bassa, sapendo che le manette erano sempre dietro l’angolo, ma una speranza c’era ancora.
Poi erano diventati molto più frequenti i modem 2400 bps, e si vociferava di modem 9600. C’era chi diceva che i modem 33.600 bps erano fattibili, e con quelli avresti potuto fare vedere immagini in tempo reale.
Zitti zitti, di nascosto, si tentava di ritrovare i vecchi amici fuori dall’Italia, impresa tra l’arduo e l’impossibile… ma mentre ricercavi Viper, WhiteKnight, CrockMan e RedStar (che non avrei mai più rivisto, anzi, per meglio dire, riletto) incontravi persone nuove.
Parlavano di Internet. Un mondo nuovo.
Che Gibson e Sterling non fossero poi così matti? (se non sai chi sono, li trovi qui, e qui.)
Poi due “piccoli grandi uomini” (mai abbastanza ringraziati) trovarono la chiave di svolta. Si chiamavano Tim e Robert, un inglese e un francese. Lavoravano a Ginevra al CERN, quindi ci si collegava “bene” con loro.
Oh, sembrava una scemata tecnica di quelle che facevano sognare solo noi “pervertiti del bit”, ma si chiamava HTML.
Era nato il web. E in pochi anni, quello che noi avevamo sognato, era realtà.
Linee da 57.600 bit al secondo non erano più una rarità, avere un dominio o almeno una pagina web era cosa ormai di poche lire, una email ti costava solo 50.000 lire l’anno. Nascevano i siti web, e molti di noi diventavano non più dei “mascalzoni tecnologici” ma degli “esperti di compiuters” (con la I e la S ovviamente). A volte ne facevi pure un lavoro.
Poi, l’altro regalo arrivò, o meglio era già arrivato ma noi italiani ce ne accorgemmo un po’ dopo.
Veniva dalla Finlandia, e si chiamava Linux.
HEY, anche noi squattrinati potevamo mettere su un server Unix!!! Come quelli fighi di oltreoceano!!! Bellissimo!
Da lì in poi il sogno era diventato “quotidiano”, ed ogni giorno si rafforzava, arrivava più gente, si facevano più cose e più belle. Avere un sito era sempre meno roba da smanettoni e più roba da “chi aveva delle cose da dire”.
Poi il web e’ diventato interattivo (oppure, per me, un tizio dall’improbabile nome di Rasmus Lerdorf aveva inventato un linguaggio di programmazione che permetteva di fare altre cose assolutamente fighissime come cambiare al volo le pagine HTML! Yay! )
E oggi vedo facebook. Twitter. I blog. E qualcuno mi chiede cosa ci vedo nei Social network.
I dati di SplashData relativi al 2016 delle “25 password più popolari”, continuano a mostrare risultati sempre più sconfortanti sulla pessima abitudine di usare le stesse password per tutto e tutti, oltretutto totalmente prevedibili.
Le “password Vincenti” del 2016 sono:
123456 =
password =
12345 +2
12345678 -1
football +2
qwerty -2
1234567890 +5
1234567 +1
princess +12
1234 -2
login +9
welcome -1
solo +10
abc123 -1
admin NEW
121212 NEW
flower NEW
passw0rd +6
dragon -3
sunshine NEW
master -4
hottie NEW
loveme NEW
zaq1zaq1 NEW
password1 NEW
Ovviamente abbiamo una netta predominanza di password in lingua inglese , ma andando a spulciare vecchi elenchi troviamo anche genialate tipicamente italiane come:
pippo
pluto
paperino
juventus4ever
maggicaroma
supercazzola
cambiami
cambiami1
maradona
h4x0r
caz2o
sormej0
e tanti, tanti altri esempi di italica furbizia (non mi metto a riportarle tutte, il senso l’avete capito). Purtroppo in tanti pensano di migliorare la situazione aggiungendo un singolo numero o un segno di punteggiatura a una delle 1000 password piu’ usate al mondo…
Altro fatto sconsolante e’ che da quando abbiamo cominciato a monitorare le password (il 2012) l’elenco e’ cambiato pochissimo, il che vuol dire che non solo esiste il problema, ma che gli utenti CONTINUANO A METTERE SE STESSI E I LORO DATI ( e talvolta il conto in banca) IN PERICOLO.
Ci permiettiamo di darvi un consiglio:
Controllate la vostra password (e già il fatto che sia UNA non è molto sicuro) su un qualunque password checker, ce ne sono a moltissimi su internet, per esempio quello di Kaspersky, l’antivirus che al momento installiamo di più. Ora, capisco benissimo che nel mondo di oggi ognuno di noi è costretto a ricordare TROPPE password e username, e che la tentazione di usare sempre le stesse, e facilmente ricordabili, è fortissima.
Come fare quindi?
Esistono software chiamati “password wallet” che possono aiutarvi tantissimo in questo.
Ovviamente state mettendo tutte le uova in un paniere, e quindi QUEL PANIERE va protetto al massimo, ma oggi si può. Quasi tutti i password wallet degni di questo nome possono essere connessi a sistemi One Time Password o di autenticazione forte, per cui non basta sapere la vostra username e password per accedervi, ma anche avere “qualcosa” che avrete solo voi (tipo una chiavetta o un apposito programma sul cellulare, come i sistemi di accesso al web banking), addirittura ce ne sono che leggono impronte digitali o cose anche più fantascientifiche.
E costano tra poco e nulla, molti sono anche gratuiti e open source.
Insomma, comunque meglio di avere il nome del gatto come password ovunque!
Volete sapere come rendere più sicura la vostra azienda e magare fare formazione su questi temi (per voi o i vostri dipendenti)? Contattateci e vi metteremo al sicuro!
Ultimamente ci si trova un po’ bombardati di avvisi che parlano dei nuovi “virus su Facebook”, forse è meglio fare un poco di chiarezza. Per prima cosa va segnalato che il sistema non è nuovo, e con Facebook ha poco a che spartire se non per il metodo di diffusione, insomma, i fantomatici “Virus su Facebook” non esistono. Detto ciò, questo “oggetto” si propaga attraverso alcuni semplici passaggi
Vi propone un filmato in cui un vostro amico vi ha taggato, spesso con immagini di tipo erotico e/o simile, con intestazioni allarmistiche del tipo “Ciao!! TUONOME Guarda ti hanno ripreso in questo video” oppure “Ciao, come stai? ma dimmi TUONOME sei proprio tu in questo video?” con il chiaro intento di farvi cliccare sul filmato , che in realtà è un link esterno a Facebook.
La navigazione viene portata all’esterno di Facebook su una pagina malevola che provvede a tentare l’intrusione sul vostro PC o smartphone.
Sul vostro profilo compare il messaggio di cui sopra con taggati un numero considerevole dei vostri amici
Attenzione che esistono varianti che passano non per la bacheca ma per i messaggi privati di Facebook messenger. Ora, sicuramente un buon antivirus ci aiuta molto a evitare problemi di questo genere (si, ce ne sono anche per gli smartphone). Sicuramente la funzione più efficace che ci potrebbe salvare in questi casi è quella dell’URL / Web filtering. Questa funzione è presente normalmente anche sui firewall più basici in maniera molto più efficace che sulle varie suite antivirus. Purtroppo però il web filtering viene spesso considerato fastidioso perché non permette di vedere questo o quel sito e se, come accade normalmente è stata disabilitato (o ci siamo abituati ad ignorarne gli avvertimenti), difficilmente potrà venire in vostro aiuto.
Come si può risolvere il “Virus su Facebook”?
I sistemi per rimediare sono sempre i soliti:
tentare con un buon antivirus
cambiare le password
cancellare i messaggi che avete involontariamente propagato
in casi estremi fare un ripristino dai backup.
Il “Virus su Facebook”, cosa posso fare per evitarlo?
Sicuramente il rimedio migliore a questo genere di contrattempi è … quello di non lasciarsi imbrogliare!
Ecco alcuni consigli per ridurre al minimo le probabilità di essere colpiti.
Prima di cliccare su qualcosa, consigliamo sempre di vedere se il link su cui stiamo cliccando ci porterà davvero dove dice. Come si fa? Per fare questo ormai tutti i browser moderni, da Edge a Firefox, da Opera a Chrome, ci fanno vedere nell’angolo in basso a sinistra della videata il VERO link dove andremo a finire. Se questo non corrisponde al posto su cui pensiamo di dovere andare ALLA LETTERA, cliccarci sopra non è mai una buona idea. in questo caso poi contattare l’amico che ci ha mandato il messaggio o ci ha taggati e chiedergli “Hey, che cosa sarebbe questa roba?” costa poco e funziona molto bene.
In caso di guai, comunque rivolgersi a un professionista è sempre la scelta giusta. Per chi vuole approfondire un pò, qui vi riporto il link al sito della Polizia di Stato dove se ne parla, magari usatelo per provare a vedere come si confronta un link “vero” con la descrizione del link che compare sulla pagina.
Di per se uno potrebbe anche pensare che questo non si un male, anzi, che sia una tutela corretta nei confronti degli utenti, e per molti punti di vista non possiamo che approvare anche noi.
in effetti cosa dice questa roba?
Che se voglio profilarti (tradotto : fare in modo che
se cerchi sul servizio X dei nuovi paperotti di
gomma per il bagnetto poi quando entri su quello
Y ti venga proposta la pubblicità per acquistare
paperotti di gomma) almeno devo avere la buona
grazia di dirtelo prima, dirti come tratto i tuoi dati
e darti una scappatoia per permetterti di non
subire questo trattamento.
Non solo nulla di male, ma anzi, una certa attenzione all’utente che alla fin fine non fa male , vero?
Peccato che, come al solito, viviamo in Italia, e quindi tra il dire e il fare c’è di mezzo ben più che “e il”…
Cosa devo fare infatti io, titolare del sito XYZ (compreso il blog dei gatti di famiglia) per essere a norma?
Pubblicare una mia Privacy policy. che va scritta e messa bene in evidenza.
Inserire sul mio sito un qualche sistema che permetta di accettare o rifiutare l’invio di cookie (i pezzettini di software che permettono di identificarmi) da parte del sito
Se il mio sito non usa solo “Cookie tecnici” ma anche “Cookie di profilazione” devo notificare la mia Privacy Policy (il documento che ho scritto al punto 1) al garante della privacy
e qui inizia a cascare l’asino…
perché che cosa sarebbe un “cookie tecnico” e un
“cookie di profilazione” diventa veramente un
inferno da capire.
Parliamoci chiaro:
non esiste un sito oggi, che non utilizzi in qualche
modo dei cookie che potrebbero venire
considerati “di profilazione”:
volete usare Google Analytics per vedere le statistiche del vostro sito ? potrebbe essere considetto un cookie di profilazione. Google Fonts? idem. i pulsanti per dire “mi piace questo articolo” su Facebook ? pure.
Per assurdo, anche il fatto di permetterti di registrarti sul mio sito per mille motivi , compreso amministrarlo, e permetterti di “essere ricordato”, si fa con un cookie che potrebbe venire considerato “di profilazione”.
e a questo punto si inizia a diventare matti perché ci sono due “cosucce” che non sono state considerate finora, cioè
comunicare la propria Privacy Policy al garante non è gratis, ma una operazione che costa 150 € a botta di “diritti di segreteria”
se non lo fai e il garante pensa che tu usi cookie di profilazione, le multe sono cifre astronomiche: si parla di 120/150.000 €. e prima paghi e poi si discute
nonostante mille interpretazioni diverse, visto la brillante assenza di comunicazioni ufficiali del garante in merito, nessuno può veramente darti la certezza di cosa il garante consideri “cookie di profilazione”
insomma, se uso un sistema che permette a Google o a Facebook di profilare passando per il mio sito, devo o non devo spendere 150 € MINIMO di bolli solo per mandare via telematica e firmata digitalmente questa benedetta “privacy policy” ? e se voglio permettere al mio utente di registrarsi e di farsi ricordare?
oggi, a nostro avviso, non c’è una risposta possibile e seria a questa domanda, ma solo mille interpretazioni differenti più o meno autorevoli o più o meno sbandierate, ma chi dovrebbe dire l’ultima parola (e quindi rischiare di smettere di incassare a pioggia 150 € di diritti di segreteria o 150.000 € di multa) se ne sta tranquillamente zitto e anche nelle sue FAQ ben si guarda da dare risposte certe.
In giro si parla di una voce delle FAQ che dice :
14. Chi è tenuto a fornire l’informativa e a richiedere il consenso per l’uso dei cookie?
Il titolare del sito web che installa cookie di profilazione.
Per i cookie di terze parti installati tramite il sito, gli obblighi di informativa e consenso gravano sulle terze parti, ma il titolare del sito, quale intermediario tecnico tra queste e gli utenti, è tenuto a inserire nell’informativa “estesa” i link aggiornati alle informative e ai moduli di consenso delle terze parti stesse.
Il che sembrerebbe dare finalmente l’agognata “liberatoria” a chi semplicemente usa tutti quei Cookie di Profilazione “degli altri” (cioè praticamente tutti noi) ma poi subito dopo…
15. L’uso dei cookie va notificato al Garante?
I cookie di profilazione, che di solito permangono nel tempo, sono soggetti all’obbligo di notificazione, mentre i cookie che hanno finalità diverse e che rientrano nella categoria dei cookie tecnici, non debbono essere notificati al Garante.
insomma, il cane si morde di nuovo la coda, e dà
ben poche certezze.
Intanto comunque sarà il caso di ricordarsi che almeno la privacy policy e la possibilità di blocco dei cookie non possono essere evitati, e che magari potrebbe essere una buona occasione per verificare se si è fatta manutenzione al proprio sito.
Perché con 150.000 € di possibile multa, in un paese dove prima paghi poi discuti con lo stato, non è facile fare di conto.
Se vuoi saperne di più puoi andare alla nostra pagina dedicata a questi servizi! oppure contattarci per una consulenza utilizzando il form sottostante.
RIPE Network Coordination Center, l’ente che gestisce l’infrastruttura di Internet in europa, ha iniziato a distribuire gli ultimi “sgoccioli” di indirizzi IPv4 disponibili.
Per chiarire, l’indirizzo IP è, semplificando terribilmente, l’equivalente internet dell'”indirizzo di casa”, e senza quello non ci si collega a Internet, esattamente come senza un indirizzo di casa il postino non saprebbe come consegnarvi la posta. Per ovviare alla fine degli IPv4 sono anni ormai che è disponibile (almeno in via teorica) l’IPv6, protocollo che aumenta il numero di indirizzi disponibili in modo gigantesco, ma che, pur restando compatibile col 4, presenta fortissime differenze rispetto alla versione precendente.
Per spingere verso l’adozione di IPv6 RIPE NCC ha iniziato a fare pagare (e non poco) gli indirizzi IPv4, unico modo riconosciuto valido per spingere la gente fuori dall’inerzia, da quell’atteggiamento del tipo “tanto io ce l’ho, cavoli degli altri, perche’ devo preoccuparmene?” o peggio ancora “IP? rete? perche’ dovrebbe riguardarmi?”
La risposta è che adesso, se continuate a non fare niente in merito, semplicemente pagherete questo privilegio. e sempre di più man mano che passa il tempo. Peraltro mentre chi e’ in IPv6 raggiunge senza problemi chi è in IPv4, il viceversa non e’ sempre garantito, quindi rimanere in IPv4 significa trovarsi man mano in una internet sempre più piccola mentre la “internet versione 6” continua a crescere.
