Quando l’hacking diventa filosofia: piccolo dizionario dell’hacktivism

Lo stile di vita di un hacker: le sue abitudini ed i suoi scopi… I corsari del web sono spesso spinti da motivazioni ideologiche e fanno parte di gruppi come Anonymous.

«Tango down». Due parole senza alcun senso per i profani, una firma inconfondibile per gli hacktivist, presa in prestito dal gergo militare, che sta ad indicare il successo di un attacco informatico.

Sappiamo effettivamente molto poco sullo stile di vita di un hacker: le sue abitudini ed i suoi scopi sono spesso un mistero per chi non è ferrato in materia d’informatica. Lo stesso termine “hacktivist“, unione delle parole “hacker” e “activism”, è poco noto ai non addetti ai lavori. Nell’immaginario comune l’hacker è ancora l’individuo emarginato e sociopatico che dalla sua stanza penetra nei sistemi di sicurezza di grandi aziende ed enti governativi allo scopo di sottrarre denaro o dati sensibili. Nulla di più lontano dalla realtà.

Perché se da una parte è tristemente conclamata l’esistenza dei cracker (questo il termine che designa i tipici cybercriminali), l’hacker è un individuo che all’opposto è guidato in tutto e per tutto dall’etica, come recita la stessa definizione di Wikipedia: “un hacker è una persona che si impegna nell’affrontare sfide intellettuali per aggirare o superare creativamente le limitazioni che gli vengono imposte, non limitatamente ai suoi ambiti d’interesse (che di solito comprendono l’informatica o l’ingegneria elettronica), ma in tutti gli aspetti della sua vita.“

Gli hacker individuali si dividono tra grey-hat, spinti esclusivamente dal desiderio di penetrare un sistema, e white-hat, che collaborano con aziende o forze dell’ordine per fermare le intrusioni informatiche.

I pirati che occupano l’area grigia sono anche definiti ethical hacker: la loro specialità sta nell’individuare falle di programmi e sistemi, compresi i social network. I più competenti in materia si forgiano del nome di QPS (Quiet, paranoid, skilled hacker): creano da soli il software d’attacco senza lasciare tracce e non sono spinti da motivi economici, bensì dalla perenne sfida che l’informatica lancia loro.

I pirati bianchi, invece, collaborano con società ed enti governativi, testando i sistemi per scoprire le vulnerabilità, e vengono spesso assoldati in operazioni online per combattere il cybercrimine.

Fra gli hacker individuali il più temibile è indubbiamente il cyber warrior, un informatico che solitamente agisce su commissione percependo una retribuzione per attaccare specifici bersagli. I corsari del web sono spesso spinti da motivazioni ideologiche e fanno parte di gruppi come Anonymous. Pare addirittura che ultimamente sul web si sta diffondendo la minaccia del ransomware, un attacco informatico con richiesta di riscatto in denaro per il ripristino dei sistemi colpiti.

Ma gli hacker non sempre agiscono da soli: nell’ambito della filosofia hacktivist, molti hacker si riuniscono per trasformare l’azione diretta tradizionale nel suo equivalente elettronico. Ecco che allora le manifestazioni in piazza si traducono nel netstrike, il corteo telematico; l’occupazione di stabili in disuso, nel cybersquatting, l’appropriazione di un dominio rispondente a persone o marchi famosi allo scopo di rivenderlo a cifre esorbitanti; il volantinaggio all’angolo delle strade diventa un invio massivo di e-mail di partecipazione e di protesta e il banchetto delle petizioni è soppiantato dalla petizione on line. I tazebao scritti a mano diventano pagine web e le scritte sui muri e i graffiti sono sostituiti dal defacciamento temporaneo di siti web. In omaggio all’etica primigenia dell’hacking, gli hacktivisti mettono sempre a disposizione di chiunque risorse informative e strumenti di comunicazione, per non contravvenire mai al principio che vede il web libero ed accessibile a chiunque (il loro utopistico proposito è proprio quello di eliminare ogni sorta di barriera e rendere l’esperienza online alla portata di tutti).

Le pratiche hacktivist quasi sempre si concretizzano nella realizzazione di server indipendenti e autogestiti mirati ad offrire un ampio spettro di servizi, ad esempio mailing list, spazi web, ftp server, circuiti di peer to peer, archivi di video e foto digitali. L’hacking è dunque ben più di una mera scorribanda online da parte di teppisti senza scrupoli: si può parlare, indubbiamente e concretamente, di una filosofia del terzo millennio. E il mondo dell’informatica è da sempre nelle mani degli hacker. Che lo distruggono e al contempo rivoluzionano.

(fonte: http://www.mycryptodata.com/quando-lhacking-diventa-filosofia-piccolo-dizionario-dellhacktivism)

Le peggiori password del 2013 e come scegliere quella giusta!

Contrariamente a quanto si possa credere, la scelta  di una password “debole” è una delle principali cause delle violazione di dati, siamo infatti erroneamente portati a credere che la sicurezza delle infrastrutture informatiche dipenda da altri fattori di ben altre complessità. La scelta di una password debole equivale a lasciare le chiavi nella serratura del portone di una fortezza altrimenti inespugnabile, e gli hacker lo sanno bene.

Proprio la conoscenza delle password più utilizzate è alla base della creazione dei dizionari utilizzati in attacchi di tipo brute-force, in cui sono provate in maniera esaustiva tutte le possibili combinazioni di codici segreti. Il fattore umano rappresenta da sempre l’anello debole della catena di sicurezza, sempre più spesso clamorosi attacchi si scoprono possibili grazie a cattive abitudini delle vittime.

Discutendo sull’utilizzo scorretto delle password, consideriamo che la quasi totalità degli utenti utilizza password semplici da ricordare (e.g. Nome di familiari, informazioni personali), e cosa ancor più grave utilizza le medesime credenziali per accedere a più servizi in rete.

Quest’ultimo caso è molto frequente, un comportamento pericoloso da evitare, un hacker scoprendo la nostra password potrebbe avere accesso alla nostra esperienza digitale (e.g. Email, servizi web.)

Il documento cui si fa riferimento, 25 Worst Passwords of the Year, è in realtà uno studio condotto su base annua sulle password utilizzate dagli utenti e rese note a seguito di una violazione di dati, si ritiene quindi interessante condividere con voi qualche osservazione comparando i dati relativi alle password utilizzate nell’ultimo biennio.

Basta una rapida occhiata per rendersi conto della gravità del problema, proprio le password di una semplicità disarmante sono quelle più utilizzate degli utenti. Altra riflessione che va fatta è che i dati raccolti nel 2013 sono condizionati dalla presenza delle password trafugate in occasione della violazione dei server dell’azienda Adobe, avvenuta nell’Ottobre 2013, in cui furono esposti i dati di milioni di utenti.

La lista del 2013 include password come “adobe123″ e “photoshop”, perché utilizzate dagli utenti delle piattaforme Adobe; altro errore comune è utilizzare password semplici da ricordare che includano il nome dell’applicazione cui consentono l’accesso (e.g. Facebook123).

Nel 2012 le tre “peggiori” password furono “password”, “123456” and “12345678”, quest’anno il termine “password” ha perso la vetta della classifica a vantaggio di “123456.”, ma voi realmente pensate che sia cambiato molto dalla prospettiva dell’attaccante? Davvero troppo facile indovinare le password di milioni di utenti, cosa ne pensate? Se la vostra password è inclusa nell’elenco correte a cambiarla!

Come scegliere una password robusta?

Di seguito qualche  suggerimento utile per la scelta di password robuste:

  • Utilizzare password con una lunghezza superiori ai 7 caratteri;
  • Utilizzare password composte da caratteri maiuscoli, minuscoli, numeri e simboli (e.g. #, $, @);
  • Utilizzare almeno un carattere minuscolo ed uno maiuscolo, almeno un numero e possibilmente caratteri speciali. In questo modo aumenteremo quello che in gergo si definisce lo “spazio delle chiavi”, ovvero le possibili password che l’utente può scegliere;
  • Un suggerimento potrebbe essere quello di usare numeri in luogo di lettere, ad esempio cambiando la  “i” in “1”, “E” in “3”, “A” in “4” (oppure in @), “S” in “5”, “G” in “6”, “O” in “0. Anche così aumenteremo lo spazio delle chiavi.
  • Evitare l’uso di parole di senso compiuto usate comunemente, sono le prime parole a essere utilizzate dagli applicativi che basandosi su dizionari internazionali provano tutte le parole in essi inclusi;
  • Evitare i nomi dei familiari, le date di nascita dei parenti più stretti, e qualunque termine che sia legato ad informazioni personali facilmente ottenibili da un attaccante;
  • Mai usare password contenenti porzioni dell’ID utente o dell’indirizzo e-mail;
  • Non utilizzare la stessa password per numerosi servizi on-line;

E ora che avete scelto una password robusta, non vi resta che proteggerla seguendo qualche semplice regola:

  • Non condividere la propria password;
  • Non trascrivere la password su di un foglio di carta, potrete far peggio solo lasciandolo in prossimità del vostro PC;
  • Non digitare la password alla presenza di estranei;
  • Non archiviare le password in un file presente sul vostro pc;
  • Non memorizzare la password nel vostro browser;
  • Cambiare periodicamente le password;

Pochi accorgimenti possono sensibilmente aumentare la sicurezza delle vostre password.

(fonte: http://www.techeconomy.it/2014/01/22/le-peggiori-password-del-2013-e-come-scegliere-quella-giusta/)

Android CyanogenMod e gli SMS cifrati

La più famosa ROM alternativa incorpora la tecnologia TextSecure nelle sue beta. I suoi 10 milioni di utilizzatori potranno godere di comunicazioni riservate

Roma – Le versioni Nightly di CyanogenMod 10.2, vere e proprie beta del più noto firmware alternativo compatibile con un gran numero di device Android, incorporano ora la tecnologia TextSecure per la cifratura dei messaggi. In questo modo gli utenti che decideranno di installare questo firmware sul proprio smartphone potranno usufruire di un meccanismo anti-sorveglianza per le proprie conversazioni scritte, che offre maggiori garanzie anche in caso di furto o smarrimento del telefono.

TextSecure utilizza l’algoritmo di cifratura Open WhisperSystems per tenere al sicuro le conversazioni in locale, una tecnologia in ascesa (acquisita da Twitter tempo addietro). Può sostituire completamente la app per gli SMS sullo smartphone, e se la controparte dispone a sua volta di TextSecure può anche garantire un canale cifrato di trasmissione del testo a prova di intercettazione (manca ancora nell’attuale implementazione una segnalazione puntuale nel caso in cui la comunicazione non sia sicura). Essendo TextSecure basato su tecnologia open source, in linea teorica è anche possibile accertare la qualità della cifratura andando a controllare il codice alla ricerca di possibili backdoor.

L’idea di introdurre una funzione di questo tipo all’interno di CyanogenMod è ovviamente un tentativo di offrire tramite la ROM alternativa capacità altrimenti non disponibili di serie dentro Android: in questo modo CyanogenMod diventerebbe una sorta di firmware per gli utenti più esigenti in cerca di funzioni avanzate, a completamento di un’offerta che si è fatta sempre più raffinata dalla prima versione e più ampia di quella offerta dal “normale” Android KitKat. Lo sviluppo di quest’ultimo ha subito nelle ultime ore una insolita accelerazione, con la pubblicazione del secondo aggiornamento in poche ore: la release 4.4.2 in distribuzione serve a sistemare alcuni problemi con la segreteria telefonica e a perfezionare le rinnovate qualità fotografiche appena ottimizzate in ottica Nexus 5. (L.A.)

Luca Annunziata, Punto Informatico – http://www.punto-informatico.it

http://punto-informatico.it/3953456/PI/Brevi/cyanogenmod-sms-cifrati.aspx