È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate qui sul sito della RSI (si apre in una finestra/scheda separata) e lo potete scaricare qui.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, Google Podcasts, Spotify e feed RSS.

Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle fonti di questa puntata, sono qui sotto.

---

[CLIP: rumore di tastiera vecchio stile con “beep” multiplo di errore di immissione]

Addio, rumorosa e frustrante digitazione di password complicate: Google, Microsoft, Apple e molte altre aziende del settore informatico stanno spingendo gli utenti ad abbandonare le password in favore delle passkey, promettendo maggiore facilità d’uso e sicurezza. Questa facilità e sicurezza, però, si conquistano solo dopo aver imparato cosa sono e come funzionano queste passkey.

La transizione è inevitabile, per cui se volete conoscere questa novità, capire perché è davvero necessaria e adottarla in maniera indolore, o almeno in modo da ridurre il più possibile la scomodità, siete nel posto giusto; state ascoltando la puntata del 20 ottobre 2023 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica e dedicato in questo caso, appunto, alle passkey. Io sono Paolo Attivissimo.

[SIGLA di apertura]

A partire dal 10 ottobre scorso, Google sta cominciando a chiedere agli utenti di passare dalle password alle passkey [immagine qui accanto]. Microsoft ha incluso il supporto alle passkey nell’aggiornamento di settembre di Windows 11, e Apple lo integra già a partire da iOS 16 e macOS 13.

Nonostante l’assonanza, una passkey è molto differente da una password. La password è una sequenza di caratteri che dobbiamo immettere per accedere a un account o a un servizio. La passkey, invece, non si deve digitare: è un codice custodito in parte sul nostro dispositivo e in parte sul server che gestisce un servizio online. Le due parti sono protette dalla crittografia a chiave pubblica, secondo uno standard aperto adottato da quasi tutte le principali aziende informatiche.

Il vantaggio principale delle passkey è che per accedere a un’app o a un sito non abbiamo più bisogno di digitare una password. Se accediamo usando uno smartphone, è sufficiente sbloccarlo usando il nostro PIN o l’impronta digitale o il riconoscimento facciale (o, per i più paranoici, un cosiddetto token di sicurezza hardware). Se accediamo usando invece un computer, è sufficiente avere il nostro smartphone nelle vicinanze del computer: sul telefono comparirà una richiesta di sblocco, e se la accettiamo il computer verrà autorizzato. Non ci servono più codici supplementari ricevuti via SMS o generati da app separate per l’autenticazione a due fattori.

L’altro vantaggio fondamentale è che le passkey resistono alle tecniche di furto più diffuse, come il phishing o il keylogging. Nel phishing, la vittima viene convinta con l’inganno a immettere la password in un sito che sembra quello reale ma è in realtà una copia gestita dai truffatori; nel keylogging, l’aggressore intercetta tutto quello che scriviamo con la tastiera e quindi riceve anche la password. Ma se usiamo le passkey, non c’è più nulla di intercettabile. Se un sito che usiamo viene attaccato, non è più possibile rubarne l’archivio delle password, perché non c’è: al suo posto ci sono le passkey parziali, che però sono inutilizzabili senza la parte di passkey che risiede sul nostro dispositivo.

Le passkey eliminano anche uno dei pericoli più frequenti delle password: dimenticarsela. Qui non c’è più nulla da dimenticare, perché è tutto memorizzato nel nostro dispositivo. Di conseguenza, viene eliminato anche un altro rischio ricorrente, ossia l’abitudine diffusissima di usare la stessa password dappertutto, col risultato che se un aggressore scopre la password di uno dei nostri account ha automaticamente le password di tutti gli altri. Con le passkey, invece, ogni servizio ha automaticamente una credenziale differente.

Una volta tanto, insomma, siamo di fronte a un’innovazione tecnologica che ci chiede di fare meno cose di prima in cambio di maggiore sicurezza. Ma in pratica, come funziona?

Passkey in pratica: proteggere un account Google

Moltissimi utenti hanno un account Google, per cui descrivere come si migra dalle password alle passkey per il proprio account Google su un computer, tablet o smartphone è un buon esempio generale.

Per prima cosa entrate nel vostro account Google con un browser (per esempio Chrome o Safari), dando la password come consueto. Nella sezione Sicurezza troverete l’opzione Inizia a utilizzare le passkey. Cliccando su Usa passkey verrà creata una passkey per il vostro account Google. Tutto qui.

Da quel momento in poi non avrete più bisogno di digitare la vostra password di Google su quel dispositivo e sarà sufficiente usare il suo sistema di sblocco, che può essere un PIN, un sensore di impronte digitali o una telecamera con riconoscimento facciale.

Per chi ha uno smartphone Android, la passkey di Google normalmente è già stata generata automaticamente e non occorre fare nulla.

Per gli iPhone, invece, è necessario prima attivare il Portachiavi di iCloud e l’autenticazione a due fattori. Se non sono attivi, l’iPhone invita automaticamente ad attivarli. Poi si va nell’account Google, sempre nella sezione Sicurezza, e si clicca su Usa passkey.

La procedura per Windows 11 è sostanzialmente la stessa, con la differenza che si può scegliere dove viene salvata la passkey: sul computer stesso oppure su un altro dispositivo collegato. Se la si salva su un altro dispositivo, per usare la passkey quel dispositivo dovrà essere fisicamente vicino al computer. Se la si salva localmente, per usare la passkey bisognerà digitare il PIN di accesso a Windows oppure usare il riconoscimento facciale o l’impronta digitale.

Per chi usa Linux e ChromeOS, invece, il supporto alle passkey è normalmente limitato a quelle passkey salvate su un dispositivo esterno (per esempio un telefono o una chiave hardware).

Non vi preoccupate se vi perdete qualche passaggio di queste istruzioni effettivamente piuttosto complicate: le trovate descritte in dettaglio presso Disinformatico.info.

È importante ricordare che le passkey normalmente si affiancano alle password e non le sostituiscono; diventano però il primo metodo di autenticazione che viene proposto. Questo vuol dire che per ora è ancora possibile accedere agli account protetti da passkey anche usando le password di quegli account e di conseguenza, le password vanno ancora custodite con attenzione e devono essere ancora robuste e differenti, ma non è più necessario usarle.

L’altra questione importante da ricordare è che al momento molti siti non supportano ancora le passkey. Fra quelli che le supportano ci sono per esempio 1Password, Amazon, Okta, PayPal, Shopify, Kayak, iCloud, eBay, Uber, Adobe, Nintendo, TikTok e GitHub, ma a volte lo fanno solo in alcuni paesi [dopo la chiusura di questo podcast si è aggiunto anche WhatsApp su Android]. 

Non c’è comunque bisogno di rincorrere le notizie e gli aggiornamenti: se un sito o un’app inizia a supportare le passkey, il vostro dispositivo ve lo segnalerà automaticamente la prossima volta che vi accederete. In ogni caso, un elenco aggiornato dei siti che adottano le passkey è disponibile presso Passkeys.directory, mentre l’elenco dei dispositivi e browser supportati è presso il sito Passkeys.dev.

Le paure più frequenti

Le passkey sono un concetto nuovo, a differenza delle password, per cui è comprensibile che ci sia una certa riluttanza mista a diffidenza e che circolino molte preoccupazioni. Per esempio, si teme che se si perde il dispositivo sul quale risiede una passkey di un account diventi impossibile accedere a quell’account, ma in realtà si può continuare ad accedervi tramite la tradizionale password, almeno per ora, e si possono sempre usare i codici di recupero d’emergenza che ogni utente prudente dovrebbe aver salvato.

Un’altra ansia frequente è che se un aggressore si impossessa di uno smartphone sul quale risiedono delle passkey e quello smartphone è stato sbloccato dall’utente, l’aggressore avrà così accesso diretto agli account gestiti dalle passkey. Ma non è così, perché se ci proverà gli verrà chiesto di nuovo di far leggere l’impronta digitale o eseguire il riconoscimento facciale o immettere il PIN.

Alcuni utenti giustamente sensibili alla privacy sono contrari alle passkey perché richiedono di fornire un’impronta digitale o una scansione del proprio volto al gestore del servizio di passkey. Ma in realtà questi dati biometrici non lasciano mai il dispositivo dell’utente, e se si usa già il sensore d’impronte o la telecamera per sbloccare il telefono tanto vale usarlo anche per le passkey. In ogni caso, se non si vogliono fornire al dispositivo né impronte né immagini del proprio volto, ci si può sempre autenticare usando la password di sblocco del dispositivo, che vale anche per le passkey.

Altri utenti non si fidano di Apple, Microsoft o Google e quindi non vogliono che la parte segreta della passkey, quella che risiede sul dispositivo dell’utente, venga trasmessa a queste aziende quando si fa la sincronizzazione dei dati o quando si copia una passkey da un dispositivo a un altro. Anche questa preoccupazione, però, è infondata, perché in realtà la parte segreta della passkey non viene mai trasmessa in forma utilizzabile da terzi, perché è crittografata end-to-end, e anche se queste aziende o altre organizzazioni fossero capaci di superare questa crittografia non potrebbero usare le passkey senza essere fisicamente vicine al dispositivo dell’utente.

Insomma, le passkey sono una tecnologia nascente ma robusta e pensata bene per le esigenze degli utenti comuni, che comprensibilmente vogliono un sistema di autenticazione semplice da usare ma resistente agli attacchi. Ed è chiaro, dalle storie quotidiane di password perse, dimenticate o rubate e di account violati o irrecuperabili, che il sistema tradizionale scricchiola da tempo sotto il peso della sua complessità eccessiva. Vale quindi la pena di provare ad abituarsi adesso alla comodità di autenticarsi semplicemente appoggiando un dito su un sensore. È sicuramente meglio che avere la stessa password dappertutto e avere come password il nome seguito dall’anno di nascita.

Non lo fa più nessuno, vero? Vero?

Fonti aggiuntive: TechCrunch, Google, Ars Technica.

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto) e qui sotto.

Le puntate del Disinformatico sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano il testo integrale e i link alle fonti di questa puntata, sono qui sotto.

---

[CLIP: “Quello che succede a Las Vegas resta a Las Vegas”, da “Una notte da leoni” (2009)]

Si dice sempre così, ma stavolta non è vero. Quello che è successo a Las Vegas al corrispondente della CNN Donie O’Sullivan sta facendo il giro del mondo, perlomeno fra gli informatici. Il giornalista è stato preso di mira da due hacker, che gli hanno scoperto le password in una manciata di minuti. E non è la prima volta che gli è capitato. Eppure Donie O’Sullivan è contento.

Questa è la storia di quello che è successo al giornalista, del motivo per cui è felice di essere stato hackerato e di come si stanno evolvendo e stanno diventando sempre più veloci le tecniche di scoperta delle password e di conseguente violazione degli account. Ma naturalmente è anche la storia di come si possono, anzi si devono, aggiornare i propri metodi di difesa da queste violazioni. In questa storia ci sono lezioni utili per chiunque abbia un account online di qualunque tipo.

Benvenuti a questa puntata del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.

[SIGLA di apertura]

Questa storia inizia ad agosto del 2019. Donie O’Sullivan è un corrispondente della CNN, e alcuni suoi account vengono violati da due hacker, Rachel ed Evan Tobac, marito e moglie. I due gli rubano circa 2500 dollari di punti fedeltà alberghieri, gli cambiano i dettagli della prenotazione di un volo aereo che deve fare prossimamente, e gli combinano altri dispetti relativamente leggeri. Sappiamo i loro nomi perché si tratta di hacker etici, ossia di persone esperte in sicurezza informatica che usano le proprie competenze a fin di bene. Sono i cofondatori di una società di sicurezza informatica, SocialProof Security, e in questo caso hanno il consenso del loro bersaglio, cioè il corrispondente della CNN, che li ha sfidati amichevolmente per vedere che cosa sarebbero riusciti a fare.

Tre anni più tardi, ad agosto 2022, i due hacker vengono ricontattati dal giornalista della CNN per un nuovo esperimento. Mentre il loro primo tentativo di tre anni prima aveva richiesto molta fatica e molto tempo, stavolta riescono a scoprire ben tredici password di Donie O’Sullivan nel giro di mezzo minuto, perché nel frattempo sono diventati disponibili nuovi strumenti di attacco.

Rachel Tobac racconta in dettaglio in una serie di tweet come ha proceduto nel suo attacco. Per prima cosa si è fatta dare il consenso esplicito del bersaglio, ossia il giornalista, e ha concordato un campo d’azione ben preciso e delimitato nel quale effettuare l’intrusione e degli obiettivi e limiti altrettanto dettagliati. E poi ha sfoderato gli strumenti di lavoro.

Il primo di questi strumenti si chiama OSINT, che sta per open source intelligence. Non è uno strumento in senso stretto: è una serie di tecniche di ricerca tramite Google e altri motori di ricerca e anche all’interno dei social network allo scopo di acquisire informazioni di contorno sul bersaglio: indirizzi di mail, nomi di account, numeri di telefono e altri dati personali potenzialmente utili. Queste informazioni sono spesso disponibili online, e quindi si possono ottenere senza neanche interagire con il bersaglio e pertanto senza allarmarlo. Inoltre Rachel prova a usare le procedure di recupero sugli account del bersaglio, per vedere se lasciano trapelare qualche altra informazione: cose come indirizzi di mail parziali, numeri di telefono o caselle di mail d‘emergenza, oppure le ultime quattro cifre di una carta di credito o un suggerimento per ricordare la password dimenticata.

Rachel prende le informazioni di contatto di Donie che ha trovato con questa ricognizione e le usa per fare una ricerca nel secondo strumento a sua disposizione, che è una serie di breached password repository. Questi sono strumenti relativamente nuovi e straordinariamente potenti, che vanno spiegati bene, perché una volta che vi sarà diventato chiaro come funzionano probabilmente correrete a cambiare il vostro metodo di gestione delle password, come ho fatto anch’io. 

---

Un breached password repository è un deposito pubblico di password violate. Ogni tanto le aziende che forniscono servizi su Internet di qualunque genere, dai grandi nomi come Netlog, Yahoo o LinkedIn fino ai negozietti online, vengono attaccate dai criminali informatici, che rubano i loro archivi di dati dei clienti. In questi archivi sono conservati i nomi utente, gli indirizzi di mail e le password di ciascun utente; vengono rubati solitamente per estorcere denaro, sotto la minaccia di pubblicarli causando un danno d’immagine costosissimo all’azienda attaccata. Se l’azienda non paga, i dati vengono pubblicati online per punizione.

Questi dati vengono trovati e raccolti da questi repository, che li mettono a disposizione degli utenti, che così possono sapere per esempio se un certo loro account è mai stato violato e quindi cambiare password per tempo, e li offrono anche ai ricercatori e agli esperti di sicurezza ma anche, inevitabilmente, ai criminali informatici. Un esempio di questi repository pubblici è Haveibeenpwned.com; un altro, quello usato da Rachel in questo caso, è Dehashed.com. 

Potete usarli anche voi, per esempio digitando uno dei vostri indirizzi di mail nelle loro caselle di ricerca, per sapere se quel vostro indirizzo è mai stato violato.

Va chiarito che spesso le password degli utenti non finiscono in questi depositi per colpa degli utenti: ci finiscono per colpa della gestione inadeguata della sicurezza dei siti ai quali gli utenti si affidano. In altre parole, potete essere la persona più attenta e blindata del mondo e usare le password più complicate dell’universo, ma se il sito nel quale le usate è un colabrodo, la vostra password finirà lo stesso in questi depositi, senza che abbiate alcuna colpa.

A questo punto, insomma, Rachel, l’hacker etica, ha recuperato da questi depositi alcune password di Donie, la sua vittima. Ma molte sono in forma protetta, ossia sono degli hash, perché ormai quasi tutti i siti hanno imparato a non custodire le password dei clienti in chiaro e a tenere soltanto questa forma protetta, che ha il grosso vantaggio di consentire di verificare molto facilmente se una password digitata è quella giusta e di rendere estremamente difficile il percorso inverso, ossia scoprire la password partendo dal suo hash. Tecnicamente un hash è una funzione non invertibile: dalla password si può ottenere facilmente l’hash corrispondente, ma non si può fare il contrario. O meglio, lo si può fare solo con moltissimo tempo e tantissima potenza di calcolo, per cui normalmente non ne vale la pena.

Rachel usa poi un terzo strumento: una rainbow table, ossia un software che contiene, in forma già precalcolata o facilmente calcolabile, le password corrispondenti a molti di questi hash, e così riesce a recuperare alcune delle password del suo bersaglio, ma non tutte. Il tempo di calcolo necessario per recuperare queste password mancanti facendo tutti i tentativi possibili normalmente sarebbe infinitamente lungo, ma Evan, socio e marito di Rachel, usa le informazioni raccolte da Rachel per ridurre il numero di tentativi, e riesce così a scoprire anche quelle password.

Il suo trucco, spiegato in dettaglio in una sua serie di tweet pubblici, è relativamente semplice: sa che quasi sempre gli utenti usano password che sono solo delle leggere varianti di quelle usate in passato. Un esempio classico è la password pippo01, che quando scade diventa pippo02, e così via. Per cui Evan dice a un altro software, Hashcat, di provare tutte le permutazioni leggermente differenti delle vecchie password di Donie scoperte nei depositi da Rachel.

Con queste tecniche e questi strumenti, i due hacker riescono a trovare ben tredici password del bersaglio nel giro di mezzo minuto.

[CLIP: Rachel Tobac: I was able to find 13 of his passwords within 30 seconds.]

Entrano nei suoi account sotto i suoi occhi, accedendo ai suoi profili sui social network, ai siti dedicati ai viaggi, e altro ancora.

[CLIP: Is this a password that you use now? O'Sullivan: Yeah.]

L’esistenza di questi depositi di vecchie password cambia profondamente il lavoro del criminale informatico e lo facilita moltissimo. Al tempo stesso, questi depositi sono utili per allertare gli utenti onesti di eventuali violazioni, per cui sarebbe deleterio chiuderli o bandirli, e quindi è probabile che ce li terremo, nel bene e nel male, per molto tempo.

Inevitabilmente, un criminale informatico molto determinato, che ha come obiettivo una vittima ben precisa, può usare questi depositi per conoscere le abitudini passate di quella vittima in fatto di password e avere indizi preziosi per indovinare le sue password correnti. Questo è un appiglio che in passato non c’era. E allora come ci si difende? 

---

I consigli dei due hacker a fin di bene sono molto pratici. Per prima cosa, non dobbiamo usare la stessa password dappertutto, come fanno ancora moltissimi utenti, neppure per i siti che consideriamo frivoli o poco importanti, perché se uno qualsiasi dei servizi che usiamo viene violato, anche senza alcuna colpa da parte nostra, l’aggressore tenterà per prima cosa quella password su tutti i principali siti e quindi ci ruberà tutti i profili.

Questo è un consiglio che viene dato da tempo immemorabile; quello che cambia oggi è che ormai non basta più usare password leggermente differenti nei vari siti oppure aggiornare periodicamente le proprie password seguendo uno schema abituale, perché le nostre abitudini ci tradiranno. Non c’è niente da fare: servono password lunghe, completamente casuali, e tutte differenti tra loro. Un incubo.

L’unico modo pratico per rispettare questi consigli, a questo punto, è usare un cosiddetto password manager: un’app che generi e custodisca le nostre password e le digiti automaticamente per noi quando ci servono. Ce ne sono moltissime, fornite da vari produttori, come per esempio 1Password, e anche integrate nel browser o nel sistema operativo, come per esempio l’Accesso Portachiavi in macOS e sugli smartphone e tablet Apple oppure la Gestione credenziali in Windows 11.

La seconda raccomandazione della coppia di informatici è usare l’autenticazione a due fattori, ossia la ricezione di un codice temporaneo supplementare ogni volta che si entra nel proprio profilo su un nuovo dispositivo, e applicare questa autenticazione a tutti i propri account. Questo rende quasi impossibile il furto o la violazione dei nostri account.

Rachel e Evan concludono i loro consigli con una soluzione vecchio stile, adatta a chi trova troppo complicato usare un password manager: un quadernetto in cui scrivere tutte le proprie password. Il quadernetto va tenuto sotto chiave, per esempio in un cassetto, e le password che contiene devono essere tutte differenti, lunghe e complicate. Se non siete persone particolarmente esposte, questo approccio analogico può essere sufficiente e soprattutto utilizzabile in pratica. Aggiungendo l’autenticazione a due fattori la protezione sarà comunque adeguata.

Insomma, non rimandate la messa in sicurezza dei vostri profili: procuratevi subito un password manager o un’agendina e cominciate subito a cambiare le vostre password. Perché non tutti gli hacker sono etici e simpatici come Evan e Rachel, e non vorrei trovarmi a raccontare in questo podcast la vostra storia di hackeraggio subìto per colpa di qualche azienda maldestra nel custodire i vostri dati.

You should probably change your passwords. Here’s why 👇. https://t.co/AjwQuo6PmL pic.twitter.com/OpT8R9Hx9W

— CNN (@CNN) October 21, 2022

Fonti aggiuntive: CNN (trascrizione del servizio); Rachel Tobac “hackera” Jeffrey Katzenberg; conferenza di Rachel Tobac a Context ’22.

Già sentire che Apple, Google e Microsoft si alleano per fare qualcosa insieme fa notizia. Se poi l’alleanza in questione ha lo scopo di abolire definitivamente le password, la notizia diventa quasi incredibile. Ma stavolta pare proprio che si faccia sul serio e che ci si possa preparare alla scomparsa delle password, che verranno sostituite da un sistema semplice e universale chiamato FIDO. Provo a raccontarvi come funzionerà e come un sistema più semplice possa essere più sicuro di quello complicato attuale.

Ci sono tre modi fondamentali per autenticarsi informaticamente: qualcosa che sai (per esempio una password o un PIN), qualcosa che hai (un dispositivo, tipo una tessera o smart card) e qualcosa che sei (un’impronta digitale oppure un altro dato biometrico, come per esempio il volto).

Proteggere i propri dati e i propri account usando soltanto il “qualcosa che sai”, ossia le password, come facciamo oggi, è scomodo, macchinoso e profondamente insicuro. Molti utenti cercano di ridurre questa scomodità utilizzando password facili da ricordare (e quindi facili da indovinare per i ladri) e adoperando la stessa password dappertutto, col rischio di vedersi rubare tutti gli account in caso di furto di quella singola password.

Alcuni utenti usano l’autenticazione a due fattori: per collegarsi a un account su un dispositivo nuovo devono digitare non solo la password ma anche un codice usa e getta, ricevuto tramite mail o SMS o generato da un’app sullo smartphone. Questo migliora parecchio la sicurezza, perché il ladro deve scoprire la password e anche intercettare questo codice usa e getta: deve insomma scoprire il “qualcosa che sai” e impossessarsi fisicamente di un “qualcosa che hai” (ossia lo smartphone della vittima sul quale arriva il codice). Ma questo sistema è macchinoso, richiede che l’utente si ricordi la password e digiti anche un codice distinto per ciascun servizio, e comunque i ladri informatici di oggi sanno creare trappole per carpire anche questi dati.

Microsoft, Google e Apple propongono invece, tramite il sistema FIDO, di lasciar perdere le password e i codici da digitare manualmente e di usare al loro posto una chiave digitale unica, valida per tutte e tre queste aziende e probabilmente anche per molti altri fornitori di servizi che si accoderanno a questa alleanza di giganti informatici. Questa chiave è un codice crittografico estremamente complesso che viene conservato sullo smartphone, sul tablet o sul computer dell’utente (o anche su tutti questi dispositivi contemporaneamente) e, volendo, viene conservato anche su Internet, e che l’utente non ha mai bisogno di digitarlo. FIDO è un sistema di sicurezza completamente passwordless, ossia senza password.

In pratica, se voglio accedere a un mio account, mi basta il “qualcosa che sei”, per esempio il sensore d’impronta o il riconoscimento facciale del mio dispositivo. Tutto qui. Il volto o l’impronta non vengono trasmessi via Internet: restano nel dispositivo.

Se cambio o perdo il mio dispositivo, posso recuperare questa chiave usando un altro dispositivo già autenticato sul quale ho già la medesima chiave. Anche qui, niente password di recupero. Il sistema FIDO resiste ai furti perché non posso essere indotto con l’inganno a digitare password o codici nel sito dei truffatori, visto che non ho nulla da digitare.

Inoltre quando accedo a un sito usando un nuovo dispositivo, il mio smartphone o altro dispositivo che contiene la mia chiave deve essere fisicamente nelle immediate vicinanze di quel nuovo dispositivo mentre lo autorizzo. Questa vicinanza viene verificata tramite una trasmissione Bluetooth. E così se voglio, per esempio, leggere la mia posta di Gmail sul computer di qualcun altro, devo solo visitare Gmail con quel computer, scrivere il mio indirizzo di mail e poi toccare il sensore d’impronta o guardare la telecamera del mio smartphone per autenticarmi.

Il controllo di vicinanza tramite Bluetooth impedisce a un ladro remoto di entrare nel mio account convincendomi con l’astuzia a confermare il suo accesso sul mio smartphone, e durante questo scambio di dati via Bluetooth il mio telefonino verifica anche che il computer si stia collegando al sito vero e non a un sito truffaldino che gli somiglia nel nome e nella grafica. In caso di furto del telefonino, il ladro dovrebbe riuscire a scavalcare il sensore d’impronta o il riconoscimento facciale per poter tentare di usare la chiave.

Tutto questo dovrebbe funzionare con qualunque sistema operativo (Windows, iOS, Android o altri), con qualunque browser moderno e con qualunque dispositivo recente.

Troppo semplice per essere sicuro? Troppo bello per essere vero? Lo scopriremo presto. La FIDO Alliance, che coordina lo sviluppo di questo sistema e include anche Intel, Qualcomm, Amazon e Meta oltre a banche e gestori di carte di credito, prevede che FIDO comincerà ad entrare in funzione entro la fine del 2022. In Giappone, già circa 30 milioni di utenti Yahoo sono già passwordless.  

È vero che si sente parlare di eliminazione delle password da almeno un decennio, ma la collaborazione di Apple, Google e Microsoft e il fatto che con il sistema FIDO tutto il necessario è già nelle mani di alcuni miliardi di utenti, che non devono comprare dispositivi appositi, potrebbero fare davvero la differenza.

Maggiori dettagli sul sistema FIDO sono reperibili sul sito Fidoalliance.org, nel blog ufficiale di Google e sul sito di Microsoft.

Fonte aggiuntiva: Ars Technica.

Segnalo qui brevemente la soluzione di un problema che mi ha fatto perdere un bel po’di tempo stamattina con Thunderbird, perché dopo l’aggiornamento più recente non ne voleva sapere di accedere a quasi tutti i miei account Gmail. Compariva questa simpatica schermata, che non portava da nessuna parte: i link non erano cliccabili e i menu a tendina non funzionavano.

Ho provato di tutto, dalla disattivazione dell’autenticazione a due fattori all’abilitazione delle “app insicure” alle password una tantum app-specifiche agli account di recupero: niente da fare. Poi, grazie a un po’ di ricerca online, ho trovato questo suggerimento su Reddit: bisogna verificare che Thunderbird accetti i cookie (in Preferenze - Privacy e sicurezza - Accetta i cookie dai siti). Funziona tutto.

Tuttavia il rimedio potrebbe avere vita breve: Google ha annunciato tempo fa che “a partire dal 30 maggio 2022, ​​Google non supporterà più l'uso di app di terze parti o dispositivi che chiedono di accedere all'Account Google utilizzando solo il nome utente e la password.” 

Se state accedendo ad account Gmail usando l’opzione “Accesso app meno sicure”, tenete presente che quest’opzione scomparirà il 30 maggio prossimo. La soluzione, descritta qui, consiste nell’impostare il proprio account di mail in modo che usi OAuth2. O almeno così pare. Vedremo cosa succede dopo il 30 maggio.

 

2022/04/11: Mozilla Italia, nei commenti qui sotto, segnala una miniguida molto utile e pubblica maggiori informazioni qui.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

David Colombo. Credit: Bloomberg.

Ultimo aggiornamento: 2022/02/04 11:30.

Un diciannovenne tedesco, David Colombo, ha fatto prendere uno spavento a tanti possessori di auto elettriche Tesla: ha dichiarato pubblicamente, pochi giorni fa, di essere riuscito a prendere il controllo remoto di una ventina di queste automobili, che come tante auto moderne sono costantemente connesse a Internet. 

So, I now have full remote control of over 20 Tesla’s in 10 countries and there seems to be no way to find the owners and report it to them…

— David Colombo (@david_colombo_) January 10, 2022

Ha detto di aver fatto sbloccare le loro portiere, abbassare i finestrini, suonare il clacson. Colombo ha anche affermato di essere riuscito ad accedere a molti dati personali dei proprietari di questi veicoli e ad attivare la funzione di guida senza chiave, quella che consente di condurre il veicolo anche se il guidatore non ha con sé la speciale chiave o tessera elettronica che sblocca l’auto. 

Ma niente panico: David Colombo si è comportato in maniera responsabile e non ha divulgato al mondo i dettagli della sua tecnica. Però li ha comunicati a Tesla e soprattutto ai gestori di TeslaMate, che è una popolare app di telemetria, realizzata da privati non associati a Tesla. Infatti la falla non era nel software originale di Tesla, ma nell’app non ufficiale (TeslaMate), che non custodiva correttamente le chiavi digitali dei proprietari che si affidavano all’app e in particolare non proteggeva adeguatamente la cosiddetta API Key.

Dopo che Tesla e TeslaMate hanno corretto l’errore che aveva consentito a Colombo di prendere il controllo delle auto, il giovane informatico ha pubblicato il metodo di intrusione che aveva utilizzato, spiegando che le auto erano vulnerabili soltanto se i proprietari usavano l’app TeslaMate. Tutti quelli che usavano soltanto l’app ufficiale di Tesla non erano a rischio. Colombo ha ribadito che la colpa della vulnerabilità era principalmente degli utenti incauti.

Gli errori dell’app non ufficiale, comunque, erano piuttosto grossi: il pannello di controllo dell’app consentiva l’accesso anonimo e l’uso di password predefinite che molti utenti non cambiavano.  Quando Colombo si è accorto della situazione, ha avviato una scansione di tutta Internet alla ricerca di pannelli di controllo di TeslaMate accessibili da remoto e ne ha trovati parecchi nel Regno Unito, in Europa (Germania, Belgio, Finlandia, Danimarca, Italia, Irlanda, Francia, Austria e Svizzera), in Canada, in Cina e negli Stati Uniti.

A quel punto il suo problema principale è diventato quello di allertare i proprietari senza violare la loro sicurezza, ma si è dovuto arrendere di fronte all’impossibilità di farlo in troppi casi. E così ha pubblicato la sua generica segnalazione iniziale.

Sia Tesla, sia TeslaMate hanno reagito molto rapidamente, correggendo il problema nel giro di poche ore, ma episodi come questo sottolineano la delicatezza dei veicoli connessi a Internet di qualunque marca: se non vengono adottati standard elevati di sicurezza e se non si educano gli utenti ad essere altrettanto diligenti nell’uso delle password e di app non ufficiali, incidenti come questo capiteranno ancora. 

Siate prudenti e, se avete un’auto iperconnessa o comunque comandabile da remoto, custodite la sua password con la stessa attenzione con la quale custodite le sue chiavi. La gestione remota è una grande comodità, ma comporta anche nuove abitudini di sicurezza.

Fonti: David Colombo (comunicazione personale), TechCrunch, Bloomberg, Business Insider.

Bitdefender ha effettuato un sondaggio sulle pratiche di base di sicurezza informatica in 11 paesi, e i risultati sono piuttosto deludenti: c’è ancora tanta strada da fare. Per esempio, il 50% degli intervistati ha ammesso disinvoltamente di usare la stessa password per tutti gli account. Un altro 32% ha detto di usare solo poche password, che adopera più volte su vari account.

Il sondaggio (PDF scaricabile, in inglese; comunicato stampa riassuntivo in italiano) si basa su un campione di 10.124 intervistati in Australia, Stati Uniti, Regno Unito, Francia, Germania, Italia, Spagna, Paesi Bassi, Romania, Svezia e Danimarca, di età fra 18 e 65 anni.

Sempre a proposito di password, più di una persona su quattro usa password banali (tipo 1234) come PIN di blocco del cellulare, e più di una persona su dieci non usa nessun PIN. Gli uomini tendono a usare password semplici più delle donne (31% contro 23%). Poi chiediamoci come mai i furti di account sono così frequenti.

Per quanto riguarda gli antivirus, più di uno su tre (35%) non ne usa sul proprio smartphone e il 30% ritiene che i telefonini non ne abbiano bisogno. Eppure il 66% dice di aver avuto almeno una minaccia informatica su quello stesso cellulare negli ultimi 12 mesi.

Il sondaggio copre anche l’uso degli smartphone e degli altri dispositivi digitali connessi da parte dei bambini (36% è senza supervisione) e molti altri aspetti della vita digitale.

Nel comunicato stampa sono disponibili anche i dati riferiti all’Italia. Qualche esempio: le piattaforme maggiormente utilizzate sono WhatsApp e Facebook (nessuna sorpresa); fra i 18 e 24 anni spadroneggiano Instagram e TikTok, nella fascia 25-34 si usano maggiormente Instagram e Netflix, e dai 45 ai 65 anni prevalgono Gmail e Facebook. Gli smartphone più diffusi sono gli Android. Un quarto degli utenti non usa un antivirus sul proprio dispositivo mobile; un quinto abbondante (23%) usa una password semplice per gli account online mentre il 22% usa una password semplice o non ha affatto una password.

Incastrato dal formaggio: nel Regno Unito, uno spacciatore è stato identificato online e condannato grazie a una foto delle sue dita che impugnavano un pezzo di Stilton, pubblicata online.

Il trentanovenne Carl Stewart, residente a Liverpool, è stato arrestato, si è dichiarato colpevole di spaccio di stupefacenti e condannato a tredici anni e sei mesi di reclusione. Tutto, secondo il resoconto della polizia del Merseyside, partendo da una singola fotografia di una sua mano.

La foto era stata postata su EncroChat, un servizio di messaggistica oggi scomparso, da un utente che si faceva chiamare Toffeeforce e che usava EncroChat per i suoi traffici illeciti. Una tipica foto da social network: una mano che, in un supermercato della catena Marks & Spencer, mostra alla fotocamera un pezzo di formaggio confezionato. 

Stewart non ha considerato che l’immagine aveva una risoluzione sufficiente a consentire di estrarne le impronte digitali e del palmo della mano e identificarle come appartenenti a lui. Questo ha permesso agli inquirenti di associare l’account su Encrochat alla sua identità e quindi di incriminarlo.

Non è la prima volta che vengono estratte impronte digitali dalle fotografie, come nota The Register: l’esperto di biometrica Jan Krisller lo aveva fatto nel 2014, a titolo dimostrativo, con una foto di una mano dell’allora ministro della difesa tedesco Ursula von der Leyen.

A parte la stranezza divertente di leggere in un rapporto di polizia che uno spacciatore di stupefacenti “è stato smascherato dal suo amore per il formaggio Stilton”, episodi come questi ci ricordano la differenza fondamentale fra impronta digitale e password, spesso dimenticata da chi si affida a sensori d’impronta e simili: la password è una cosa che puoi cambiare e tieni segreta, l’impronta digitale è fissa e la mostri letteralmente a tutti. E si può estrarre da una foto fatta con uno smartphone.

 

Fonte aggiuntiva: Snopes/Associated Press.

Una volta tanto posso segnalare un archivio strapieno di password, pubblicato su Internet, senza che ci sia alcun pericolo di sicurezza informatica. Anzi, questo archivio è stato pubblicato allo scopo di aumentare la sicurezza.

Si tratta infatti della raccolta delle centomila password più popolari, classificate dal sito Have I Been Pwned (pronunciato powned) di Troy Hunt, che raccatta su Internet gli elenchi di password rubate e li analizza per vedere quali password vengono utilizzate maggiormente dagli utenti.

L’elenco è scaricabile qui presso il National Cyber Security Centre britannico.

Se una delle vostre password figura in questo elenco, la raccomandazione dell’NCSC è di cambiarla immediatamente. La ragione di questa raccomandazione così tassativa è in questo post dell’ente: in sintesi, gli aggressori sanno benissimo quali sono le password più usate e quindi tentano di entrare nei sistemi o di rubare account provando prima di tutto queste password popolari.

Certe password, fra l’altro, sono molto popolari: nelle compilation di password rubate collezionate da Troy Hunt la password 123456 è stata trovata 23 milioni di volte. Persino una password abbastanza insolita (in apparenza) come oreocookie compare oltre 3000 volte.

Elenchi come questi rafforzano la sicurezza anche in modo preventivo: possono essere infatti usati come base per delle denylist, ossia degli elenchi di password che gli utenti non possono proprio usare nel sistema informatico nel quale operano.

Queste sono le prime venti password più popolari secondo questa classifica: ci sono alcuni classici senza tempo, come le intramontabili qwerty e password, e spiccano quelle “originali” come 1q2w3e4r5t (primi cinque caratteri della prima e seconda fila di tasti).

123456
123456789
qwerty
password
111111
12345678
abc123
1234567
password1
12345
1234567890
123123
000000
iloveyou
1234
1q2w3e4r5t
qwertyuiop
123
monkey
dragon

Mi è stato segnalato un sito di commercio online italiano che ha definitivamente risolto il problema degli utenti che dimenticano le password usando una soluzione decisamente originale: non controlla la password.

Incuriosito e leggermente incredulo che qualcuno possa commettere uno scivolone del genere, vado alla home page del sito, clicco su Login e mi registro. 

Il sito è perentorio: la password deve essere lunga almeno sei caratteri e deve contenere almeno un numero. Perché la sicurezza è una cosa seria. Va bene: immetto una password conforme.

Ricevo dal sito la mail che mi invita a cliccare su un link o immettere un codice per confermare e attivare il mio account. Faccio quanto richiesto, e mi scollego.

L’account funziona: posso entrare e vedere il mio profilo. Posso scegliere prodotti e metterli nel carrello.

Faccio logout, rientro facendo login, scrivo il mio indirizzo di mail e lettere a caso nel campo della password, ed ecco che mi ritrovo nel mio account.

Ma dai, sarà un errore mio. Magari il sito usa un cookie per fare a meno di digitare la password. Però la password me l’ha chiesta.

Provo con un altro browser, che non ho mai usato per fare login a quel sito. Scrivo il mio indirizzo di mail, scrivo lettere a caso nel campo della password.... e sono dentro di nuovo.

Provo a questo punto su un altro computer. Vado alla home page, clicco su Login, immetto il mio indirizzo di mail e tre caratteri random nel campo della password, violando quindi anche la regola dei sei caratteri minimi obbligatori... e sono di nuovo nel mio account.

Posso vedere i dati del mio profilo: nome, cognome, indirizzo di casa, numero di telefono. Se avessi fatto ordini, probabilmente potrei vedere anche quelli.

Ho trovato sul sito l’indirizzo del responsabile della protezione dei dati (DPO) e gli ho scritto oggi quanto segue:

Buongiorno,

sono Paolo Attivissimo, giornalista informatico. Vi segnalo che è possibile entrare nel vostro sito di e-commerce [omissis] digitando qualunque cosa al posto della password, anche semplicemente tre lettere a caso.

Questo consente a chiunque di accedere ai dati personali dei vostri clienti semplicemente conoscendone l'indirizzo di mail.

Ritengo che questo configuri una grave violazione della sicurezza e della privacy dei vostri clienti, con potenziali ripercussioni in termini di GDPR.

Vi invio questa segnalazione affinché possiate rimediare. Qualora dovessero trascorrere 15 giorni di calendario dalla segnalazione senza un vostro riscontro, riterrò assolto il mio dovere di "responsible disclosure" e mi riserverò a quel punto l'opzione di pubblicare i dettagli la notizia nell'interesse dei vostri clienti.

Ho pubblicato un articolo preliminare, senza citare il vostro nome, presso Disinformatico.info.

Cordiali saluti
Paolo Attivissimo
Lugano, Svizzera

Vediamo che succede.

2021/02/21 19:50. Stando alle prime indicazioni, il problema riguarda gli account creati di recente; gli utenti che hanno account sul sito da parecchio tempo segnalano che per loro le password sbagliate vengono rifiutate.

2021/02/21 20:30. Ora il sito non accetta più qualunque cosa al posto della password, ma in compenso non accetta neanche la password effettiva dell’account che ho creato. Ho cliccato su “Ho dimenticato la password” per resettarla e mi è arrivato correttamente via mail il link per resettarla. L’ho cambiata e ora non mi accetta neppure questa.

2021/02/22 16:20. Oggi ho ricevuto una mail dal DPO che mi ha ringraziato per la segnalazione, che è stata presa in carico dall’azienda. Sono in corso verifiche e l’accesso, mi dice sempre il DPO, è ora possibile soltanto immettendo nome utente e relativa password. Dice inoltre che mi aggiornerà sui risultati delle verifiche. Ho fatto di nuovo il reset della password e ora entro correttamente soltanto con la mia password effettiva.

2021/02/22 20:05. Su richiesta dell’azienda, ho modificato l’immagine che rappresenta il tentativo di login.

Ultimo aggiornamento: 2021/02/13 15:20.

Ancora una storia di password a spasso (spassword?) per oggi, e poi smetto.

Chiedo a @forza_italia se è normale che login e password della loro intranet siano a) ovvie oltre ogni dire b) pubblicate e reperibili su Google. pic.twitter.com/u6MEofYX8q

— Paolo Attivissimo (@disinformatico) January 24, 2021

Da fonte attendibile mi arriva la conferma che login e password pubblicate su Google sono valide. Magari sono io che sbaglio e a loro va bene così. Vediamo se mi rispondono.

 

2021/01/28 13:45. Ho risollecitato pubblicamente, visto che non ho avuto risposta e la password non è cambiata e resta pubblicamente disponibile. 

 

2021/01/28 14:50. Una prima risposta è arrivata:

Grazie per la segnalazione, Giulio. Rispondo "solo" ora al buon Paolo, ma quando si lavora succede. L'accesso intranet è molto semplice perché essa è la base operativa per accedere a materiali utili online e offline e non contiene doc riservati. Da qui la facilità d'ingresso. 🙂

— Antonio Palmieri (@antoniopalmieri) January 28, 2021

Grazie della risposta. Ma in questo caso, qual è il senso di avere una login e una password? Non sarebbe più semplice eliminarle del tutto?

— Paolo Attivissimo (@disinformatico) January 28, 2021

Ci sto pensando.

— Antonio Palmieri (@antoniopalmieri) January 28, 2021

 

2021/02/13 15:20. La password è stata cambiata, per cui adesso posso anche rendere pubblica la situazione precedente: la login di Azzurranet era forza, e la password era italia. Ed era così dal 2017, a giudicare dai dati pubblicati e reperibili in Google con una semplice ricerca.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Un documento PDF pubblico su Senato.it contiene login e password per richiedere un certificato digitale per “corrieri fiduciari”. Le stesse istruzioni sono presenti su molti altri siti istituzionali dell’UE, facilmente reperibili con una ricerca in Google.

Non capisco il senso di mettere una password su una procedura, se poi si pubblica quella password. Dove sto sbagliando?

 

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Il 22 gennaio scorso, a seguito di una segnalazione confidenziale, ho scritto questo tweet:

Io avrei una domanda per i responsabili di un sito della Regione Veneto, che pubblicano le istruzioni di accesso al server in un documento pubblicamente accessibile da Internet. Con tanto di password. In chiaro. Provo ad avvisare via mail il DPO.

— Paolo Attivissimo (@disinformatico) January 22, 2021

Ho cercato sul sito della Regione Veneto e ho trovato l’indirizzo del responsabile della protezione dei dati personali (DPO), ossia dpo[chiocciola]regione.veneto.it. Gli ho scritto subito questa mail:

Buongiorno,

sono un giornalista informatico, collaboratore della Radiotelevisione
Svizzera. Vi segnalo questo vostro documento, accessibile via web,
contenente le credenziali di accesso.

http://repository.regione.veneto.it/[OMISSIS].doc

Credo sia opportuno rimuoverlo e aggiornare le credenziali citate,
specificamente la password, qualora sia ancora corrente.

Cordiali saluti

Paolo Attivissimo

Sul sito, a quell’URL, c’era infatti un documento Word, scritto da andrea-altinier, contenente login e password per accedere al repository del sito. Non ne riporto il testo e l’URL completo per ovvie ragioni.

Il documento è stato sostituito il giorno stesso con una nuova versione priva di dati sensibili e oso sperare che anche la password sia stata cambiata, perché il documento originale risaliva al 18 luglio 2012 (il che significa che nel 2012 era valido e a qualcuno pareva sensato mettere online la propria password).

Ma la rimozione di un documento accessibile via web non comporta automaticamente la scomparsa di tutte le copie di quel documento, e in più non posso sapere se la password è ancora valida, perché provarla potrebbe essere considerata una violazione di domicilio informatico. Non ho ricevuto una parola di risposta dal DPO, ma pazienza.

Continua insomma la litania dei siti che pubblicano disinvoltamente le proprie password in documenti accessibili a chiunque, senza pensare che qualunque documento visibile verrà indicizzato da Google e sarà quindi facilmente scopribile. I livelli di inettitudine e di incoscienza necessari per fare queste cose sono agghiaccianti. E non è ancora finita.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Ultimo aggiornamento: 2021/01/24 16:45. 

Poi la gente si chiede come mai i siti vengono “hackerati” così spesso e immaginano chissà quali acrobazie hanno fatto i criminali per violarli. Magari, in realtà, hanno semplicemente trovato con Google un documento PDF messo online che contiene login e password.

È quello che è successo al Touring Club Italiano qualche giorno fa. Sul suo sito www.bandierearancioni.it c’era un documento (qui), in formato PDF, che conteneva dettagliate istruzioni su come accedere all’area riservata del sito e quali credenziali inserire.

Ho segnalato la cosa pubblicamente al Touring Club Italiano:

Uhm... @TouringClub, pubblicare su Internet un PDF contenente le istruzioni e la password per accedere alle aree riservate di un vostro sito non è molto prudente. Spero che le abbiate cambiate.

Possiamo parlarne?

— Paolo Attivissimo (@disinformatico) January 21, 2021

Ho ricevuto risposta:

@disinformatico grazie per la segnalazione. Il nostro ufficio tecnico sta risolvendo il problema. Un saluto cordiale.

— TouringClubItaliano (@TouringClub) January 22, 2021

Il documento è stato rimosso, per cui ne posso parlare pubblicamente.

Il problema è che quella login e quella password sono pubblicati da vari altri siti, non solo in PDF ma esplicitamente su pagine web pubbliche, e sono facilmente reperibili in Google. Per cui è sostanzialmente inutile che io li mascheri. Posso solo sperare che nel frattempo i responsabili abbiano cambiato login e password (ovviamente non ho potuto verificarlo). I documenti sembrano risalire ad alcuni anni fa, per cui c’è qualche speranza. Ma va considerato che all’epoca quella password era sicuramente valida ed era pubblicata.

 

 

In ogni caso, questa vicenda è un buon promemoria del fatto che le password non si mettono mai online in cartelle pubblicamente accessibili contando sul fatto che tanto nessuno ne conosce il link, perché se sono pubblicamente accessibili verranno esplorate dai motori di ricerca e il link verrà pubblicato.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Stefan Thomas. Credit: NYT.

Se la storia di un britannico che ha buttato in discarica un disco rigido contenente oltre 200 milioni di euro in bitcoin è da incubo, non è da meno, ed è forse peggiore, quella di Stefan Thomas. Un disco rigido perso in discarica è perso: non ce l’hai più sotto il naso. Ma nel caso di Stefan Thomas la fortuna in bitcoin, circa 240 milioni di dollari, è davanti a lui che gli fa marameo.

Thomas è un programmatore che vive a San Francisco. Più di dieci anni fa, spiega il New York Times, è stato pagato per un lavoro con 7002 bitcoin. All’epoca ciascuno di quei bitcoin valeva pochi dollari. Oggi ne vale oltre 30.000.

Thomas ha salvato quegli spiccioli in un portafogli digitale IronKey, una chiavetta ultrasicura protetta da una password... e poi ha perso il foglietto sul quale aveva scritto la password.

La chiavetta è ancora nelle sue mani, ma il contenuto è inaccessibile senza password. Cosa peggiore, dopo dieci tentativi falliti il dispositivo bloccherà completamente l’accesso e non consentirà altri tentativi. A Thomas ne sono rimasti soltanto due.

La vicenda di Stefan Thomas è arrivata all’attenzione di vari esperti informatici, compreso Alex Stamos, professore a Stanford e grandissimo esperto di sicurezza informatica, che ha mandato un tweet a Thomas con una considerazione molto allettante: per 220 milioni di dollari in Bitcoin criptati non è il caso di fare dieci tentativi di indovinare la password. Semmai si assoldano dei professionisti che si comprino delle chiavette uguali e investano sei mesi a cercare una via per accedere ai dati o almeno rimuovere il limite di tentativi. Stamos si offre di organizzare il tutto in cambio del 10%, che sono 22 milioni di dollari.

Quello di Thomas non è l’unico caso di criptovalute inaccessibili: si stima che i bitcoin bloccati o dimenticati in tutto il mondo ammontino a circa 140 miliardi di dollari.

Ultimo aggiornamento: 2020/10/23 14:35.

Victor Gevers, un ricercatore di sicurezza olandese molto noto nel settore (@0xDUDE), ha dichiarato di essere riuscito a entrare nell’account Twitter personale del presidente degli Stati Uniti, Donald Trump, semplicemente indovinandone la password dopo cinque tentativi.

Secondo Gevers, la password di Trump era maga2020! e l’autenticazione a due fattori era disattivata. Il ricercatore dice di aver allertato il governo statunitense del problema. Tutta la vicenda è pubblicata su de Volkskrant e su Vrij Nederland (entrambi in inglese).

La Casa Bianca smentisce, e Twitter dice di non aver visto prove a sostegno (che, sia chiaro, non è una smentita categorica). Però Gevers ha mostrato a de Volkskrant delle comunicazioni ricevute dal Secret Service statunitense sulla vicenda, e dichiara di avere messo al sicuro un file che contiene le prove della vicenda e altre informazioni importanti e di tenerlo come garanzia che non gli succeda nulla di “inatteso”. La sua cautela è tipica del settore della sicurezza informatica, ma è anche basata su un precedente: Gevers e altri erano infatti già entrati nell’account di Trump nel 2016, quando la password era yourefired.

All’epoca, dice Gevers, avevano avvisato le autorità statunitensi. Ma a quanto pare l’avviso non è servito a nulla, perché la sicurezza dell’account di Trump  era ancora un colabrodo.

Ci sono alcuni punti ancora da chiarire nella notizia: altri ricercatori stanno facendo le pulci alle dichiarazioni di Gevers e hanno notato delle apparenti incoerenze, due delle quali però sono già state risolte (conta dei caratteri anomala nello screenshot (anche qui) e lunghezza insufficiente). 

Si obietta inoltre che gli account Twitter legati alle elezioni presidenziali statunitensi hanno delle protezioni speciali, ma allo stesso tempo va notato che la presunta violazione riguarda l’account personale di Trump (@realdonaldtrump, non @POTUS) e che l’autenticazione potrebbe essere stata disattivata durante il recente ricovero in ospedale del presidente USA. E la reputazione di Gevers, che ha al suo attivo una lunga carriera di divulgazione responsabile di problemi di sicurezza, è fortissima.

In ogni caso, storie come questa ricordano l’importanza della sicurezza degli account. Anche se non siete presidenti degli Stati Uniti, se gestite un account dal quale dipende la vostra reputazione o quella dell’azienda per la quale lavorate, usate password uniche, lunghe e non ovvie, e attivate l’autenticazione a due fattori. Altrimenti ci vuole poco per rovinarvi.

Ultimo aggiornamento: 2020/09/28 13:25.

Oggi (27/9) mi è stato segnalato che c‘è un sito di e-commerce italiano che custodisce (si fa per dire) i dati dei propri clienti senza usare password. Basta tirare a indovinare il numero di login, e si entra.

A ogni cliente viene infatti semplicemente assegnato un numero di login progressivo. Per vedere i dati degli altri basta digitare quel numero.

Digitando un numero di login esistente (i numeri sono a sei cifre e sono sequenziali) si entra nell’account senza ulteriori formalità.

Si leggono i dati dell’utente.

I dati di tutti non sono solo visibili a chiunque tramite una semplice enumerazione dei login (ossia tentandoli tutti in automatico, uno dopo l'altro), ma sono anche modificabili. Senza password. Un utente mi ha dato il permesso di provare a cambiare i dati del suo account. Sì, sono modificabili.

La Privacy Policy dice che i dati "Saranno custoditi con le misure... di sicurezza adeguate" (ho alterato il testo per non consentire di identificare il sito, ma il senso è quello). Certo, come no. E la policy dice che l'azienda, in caso di violazione dei dati personali, notificherà entro 72 ore al Garante Privacy.

C’è un cordialissimo servizio di assistenza clienti:

Vediamo se funziona, anche se quello che ha bisogno di aiuto non sono io, ma il DPO del sito. Gli ho scritto questo: “Buongiorno, sono un giornalista informatico. Mi è stato segnalato che tutti i dati dei vostri clienti sono accessibili e modificabili semplicemente digitando i loro numeri di login. Chiunque potrebbe entrare e vedere, cancellare o alterare uno per uno i dati dei vostri clienti. Sono a disposizione per eventuali chiarimenti.”

Messaggio inviato. Giusto per chiarezza: per colpa dell’incredibile incompetenza di chi ha creato questo sito, chiunque potrebbe entrare nel sito e acquisire, cancellare o alterare sistematicamente tutti i dati dei clienti.

Vediamo che succede fra 72 ore.

2020/09/28 13:25

Stamattina mi ha scritto il direttore commerciale dell’azienda, in risposta alla mia segnalazione, dicendo che la sua software house è già stata incaricata di bloccare l’accesso all’area clienti, che adotterà nome utente e password, e che i suoi consulenti hanno avuto l’incarico di attivare la procedura di data breach secondo policy aziendale e GDPR.

In effetti accedendo all’area clienti ora si vede questo:

Nessuno dei clienti del sito con i quali sono in contatto ha segnalato finora di aver ricevuto notifiche sull’accaduto.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Normalmente, se qualcuno vi contatta via Internet dicendo che ha un file ZIP protetto da password che contiene le chiavi di accesso di un grossa somma in bitcoin ma sfortunatamente non ricorda più la password e vuole il vostro aiuto per recuperarla, la risposta giusta è chiudere subito la conversazione e scappare via il più rapidamente possibile.

Ma non è andata così a Michael Stay, un esperto di sicurezza informatica che diciannove anni fa ha pubblicato un articolo scientifico nel quale ha spiegato una tecnica per decrittare i file ZIP protetti da password. A ottobre 2019, racconta Wired, ha ricevuto un messaggio tramite LinkedIn da uno sconosciuto russo che gli ha spiegato di aver acquistato circa 10.000 dollari in bitcoin a gennaio 2016, quando questa criptovaluta valeva poco, e di aver salvato i codici di accesso di questi bitcoin in un file ZIP di cui aveva purtroppo dimenticato la password.

Quei bitcoin, a ottobre scorso, valevano ben 300.000 dollari. Se Michael Stay fosse riuscito a trovarne la password, il misterioso interlocutore lo avrebbe compensato lautamente.

L’affare puzzava di losco lontano un miglio, ma Stay non è un dilettante e ha compiuto le opportune verifiche. L’interlocutore aveva ancora il laptop originale sui quale aveva generato il file ZIP e sapeva quale crittografia e quale software erano stati usati (la 2.0 Legacy e Info-ZIP). Questo indicava che era quasi sicuramente il legittimo proprietario del file. Inoltre il committente aveva preso delle precauzioni tecniche affinché Michael Stay non potesse scappare con i soldi una volta decifrato il file: gliene aveva fornito solo una parte (gli header).

Soprattutto, queste premesse tecniche riducevano parecchio il numero di possibili password da tentare per forza bruta, ma si trattava comunque di qualche quintilione. Nel sistema americano, un quintilione è 1 seguito da diciotto zeri: 1.000.000.000.000.000.000. Un miliardo di miliardi. Grosso modo lo stesso numero di granelli di sabbia di tutti i deserti del mondo messi insieme.

Stay ha fatto due conti e ha visto che un tentativo per forza bruta del genere, impensabile anche solo pochi anni fa, era fattibile con i computer e i processori grafici di oggi, a patto di noleggiare tanta potenza di calcolo e scrivere un programma apposito. Il tutto sarebbe costato circa 100.000 dollari, compreso l’onorario dell’esperto.

Il committente ha accettato il preventivo e così Stay ha scritto un programma di decrittazione nel corso di alcuni mesi, l’ha messo all’opera sui processori a noleggio di un’azienda specializzata... e dopo dieci giorni di tentativi il programma è fallito.

Ma Stay non si è dato per vinto: ha riesaminato il programma e ha trovato un minuscolo errore. Lo ha corretto ed è riuscito a recuperare la password, come spiega nel proprio resoconto scritto e in una conferenza alla DEF CON:


Il committente ha pagato l’onorario, che grazie alle ottimizzazioni è risultato inferiore al preventivo (circa 25.000 dollari in tutto), e si presume che abbia felicemente incassato i propri bitcoin.

Morale della storia: se avete dei dati preziosi in un file protetto da una password che non ricordate, non arrendetevi e non cancellate il file. È sempre possibile che venga trovata una falla nel sistema di protezione o che l’evoluzione frenetica della potenza di calcolo renda fattibile un tentativo per forza bruta che oggi pare impensabile. Meglio ancora: segnatevi le password da qualche parte ed eviterete tanti problemi.