Sicurezza e Anonimato – Proviamo a discuterne

La regola d’oro della sicurezza e dell’anonimato è che per quanto tu possa essere bravo ed attento non avrai mai la certezza di essere protetto da tutti i tipi di attacchi e/o di non lasciare tracce delle tue scorribande su internet. Suona quindi come un no-brainer dopo aver preso tutte le protezioni del caso, continuare a stare MANZI.

Sicurezza

Ma Partiamo dalle basi: Quale sistema è più sicuro contro virus e malware? La risposta ovvia sembrerebbe essere “Linux” ma in realtà non è proprio così, come si può evincere da qui i vari sistemi operativi sono tutti egualmente bucabili, quindi ciò che fa la differenza è la diffusione, ed essendo windows il più diffuso è evidente che sarà quello più attaccato. Si può dire dunque che se siamo su windows dovremo difenderci da moltissimi attacchi (ma lo sappiamo, no?) mentre su linux e os x potremo stare relativamente tranquilli, ma questo può generare un falso senso di sicurezza che alla fine potrebbe rivelarsi fatale. Approfitto di questo ottimo thread su HWU:  per partire a fare alcune considerazioni, seguite il link per approfondimenti.

1. E’ fondamentale scaricare ASAP gli aggiornamenti di windows update perchè tappano le varie falle che sono presenti nel codice. Se per qualsiasi motivo non lo fate (ad esempio perchè non avete windows originale) bè sappiate che è come andare in guerra contro gli zerg in mutande.
2. Secunia da questo sito potete fare uno scan per controllare di avere l’ultima versione disponibile installata di tutti i programmi più diffusi (e che sono per questo motivo i più attaccati) .
3. Per vedere se avete l’ultima versione di flash player installata: https://www.adobe.com/software/flash/about/
4. Installate un buon antivirus. E qua più di tanto non posso dire, la diatriba se valga la pena di prendere un antivirus a pagamento, è infinita. Quali sono i migliori antivirus free? a voi l’ardua senteza. Per quello che mi riguarda installate Avira e dategli una configurazione strong.
5. Firewall: se sapete bene cosa fare usate Comodo se no andate su Private Firewall senza pensarci 2 volte.
6. Antispyware: Malwarebytes + SuperAntispyware e PREGATE perchè a quanto pare non basta un singolo programma e non si è mai sufficientemente protetti..qua le guide: Malwarebytes, SuperAntispyware.
7. Usate PeerBlock (prima noto come PeerGuardian) per bloccare indirizzi ip malevoli/potenzialmente intrusivi AD AREA, no veramente blocca un sacco di roba e forse lo troverete troppo overkill…
8. Usate una sandbox come sandboxie qua la guida.
9. Tenetevi aggiornati sulle NEWS inerenti la sicurezza.
10. Non usate Adobe Reader! Usate un altro programma per leggere i pdf tipo pdf-xchange-viewer, Adobe è pieno di buchi e magari vi prendete qualcosa mentre aprite un pdf online seguendo un link di un sito.
11. Se siete molto paranoici e non vi accontentate dello scan del vostro antivirus qua trovate vari link a siti che fanno scansioni e una ben più utile lista di siti a cui è possibile mandare singoli file per farli esaminare da 40+ antivirus contemporaneamente, siti come VirusTotal per capirci.
12. Hijack this: Tutorial, Analisi Log.
13. Ci sarebbe poi la questione rootkit…ma al momento non ne capisco molto. L’unica cosa che so è che sono i più cattivi e bastardi. Si posizionano in parti di difficile accesso dell’hd, sono invisibili, sono cryptati, sono polimorfici (nel senso che l’algoritmo di cryptazione viene costantemente cambiato), sono aggiornati ogni giorno per combattere contro le innovazioni dei produttori di antivirus che cercano di stargli dietro…insomma sono un incubo.

Ma veniamo all’anonimato:

1. Incominciamo col dire che c’è un trade off tra i vantaggi che internet può dare e la ricerca dell’anonimato, una cosa così insomma: <Anonimato ———-|———- Vantaggi> spostate la barra centrale a vostro piacimento. Più utilizzate i servizi che offre internet (soprattutto tutte le cose “2.0”) e più volenti o nolenti lascerete in giro migliaia di tracce. La scelta sta a voi.
2. Si può dunque ampliare il discorso e dire: tenetevi per voi i vostri cazzo di dati privati! Producete il minor numero di contenuti che vi riguardano: no info personali (nome, cognome, data di nascita sono già di per se sufficienti a dare informazioni molto utili a chi vuole clonare carte di credito), no foto!!!, no posizioni politiche, orientamenti sessuali etc etc, fidatevi o prima o poi ve ne pentirete. E ricordatevi che mettere una cosa su internet è facile, togliera è tutta un altra storia, basta pensare ai casi di “forza chiara” o del video porno di belen: se non sono riusciti a togliere definitivamente cose così grosse che scendevano nel penale (video di sesso con minori…) figuratevi cosa si potrà fare con altre cose magari molto meno pesanti…
3. Limitate al minimo indispensabile le iscrizioni a siti che richiedono l’inserimento veritiero di dati sensibili, sia per ridurre il numero di enti che possiedono tali dati sia perchè può sempre accadere che qualcuno hacki quel particolare sito ed entri in possesso delle vostre informazioni sensibili.
4. Utilizzate username diversi per siti diversi!: se utilizzate il nick SuperMario55 sia sul sito della bocciofila a cui siete iscritti sia su adultgayfriendfinder capite che avete un problema. Ancora senza ricorrere a questi esempi estremi se avete un nick unico o poco usato con un semplice search su google del vostre username altri internauti possono scoprire vita morte e miracoli di voi.
5. Avete avuto la pessima idea di iscrivervi su facebook(http://arstechnica.com/business/news/2012/02/nearly-3-years-later-deleted-facebook-photos-are-still-online.ars)/twitter/myspace e ora questi siti grondano di vostre informazioni che vengono rivendute a terzi a vostra insaputa, vengono utilizzate per fare profiling e vendervi un sacco di cazzate, vengono rubate da apps di terze parti a causa di falle nel codice grosse come grattacieli e tra un po’ saranno liberamente accessibili dall’FBI? Bene è giunto il momento di quittare tutta quella merda. Potete farlo manualmente, potete usare una macro, oppure potete affidarvi a web 2.o suicide machine (non ho mai utilizzato il programma quindi non assicuro che funzioni o che non rubi tutti i vostri dati etc, siate sgamati…)
6. Non usate google! Usate DuckDuckGo o IxQuick Perchè? Bè leggete qua: http://donttrack.us/
7. Il vostro ip corrisponde al luogo dove vivete? http://www.whatsmyip.org/more-info-about-you/ avete sbagliato qualcosa con i proxy servers 😀
8. Scaricate torrents da tracker pubblici e credete che sia sicuro/nessuno vi possa scoprire? Forse questo sito vi farà cambiare idea…
9. Mozilla ha una funziona di “Geolocation”, eliminatela: nella barra degli indirizzi digitate “about:config” trovate la voce “geo.enabled” e disattivatela.
10. Usate Tor per navigare in rete con il massimo livello di anonimato, ociò che ci sono tutte un tot di comportamenti da tenere per far funzionare veramente la cosa! Esiste anche i2p2.
11. Valutate l’opzione di utilizzare un servizio professionale di proxy come BtGuard, chiaramente costa, ma la qualità si paga.
12. Per finire scollegate sempre la vostra webcam o copritela con un post-it se l’avete integrata (come nei portatili) perchè non si sa mai: Quando la Webcam ti spia.
13. MANCA TUTTA LA PARTE SUI COOKIES

Argomento passwords:

1. Quanto è sicura la mia password? Qua avrete la vostra risposta (siate furbi non mettete proprio la vostra password, non si sa mai^^). Al momento il sito usa come termine di paragone un bruteforce da 250 milioni di tentativi al secondo (numero a cui si può giungere tramite hash tables e una GPU abbastanza potente). Attenzione a non fare passwords composte da parole (soprattutto inglesi) perchè se vi fanno un dictionary attack siete fregati anche se la vostra password è sufficientemente lunga da poter essere sicura dal punto di vista degli anni necessari per essere crackata da un bruteforce.
2. Installate e usate LastPass: grazie a questo programma potrete evitare di ricordarvi 100 combinazioni diverse di user/pw e avrete una sicurezza SUPERIORE rispetto a far gestire la cosa dai vostri browser che sono molto più bucabili/attaccabili. Oltre a questi innegabili vantaggi c’è anche quello che potrete usare password veramente potenti e diverse tra loro su ogni sito (avere pw diverse è fondamentale perchè se un sito viene compromesso la vostra pw potrebbe essere rubata e utilizzata su altri siti su cui siete iscritti, ma se avete pw diverse siete in una botte di ferro).
3. Security Exploded: sito uber-creepy che contiene un sacco di programmini per hackarvi le vostre proprie passwords, giusto per farvi capire quanto siete vulnerabili…lol, troverete cose tipo il Facebook Password Decryptor
4. Attenzione alle passwords di default presenti sui vostri vari accessori  tecnologici: http://defaultpassword.com/
5. Password più comunemente usate: http://xato.net/passwords/more-top-worst-passwords, se siete ancora convinti di essere degli individui con una testa pensante unica, che siate un unico bellissimo fiocco di neve  bè…questi dati dovrebbero almeno instillarvi qualche dubbio:

• 4.7% of users have the password password;
• 8.5% have the passwords password or 123456;
• 9.8% have the passwords password, 123456 or 12345678;
• 14% have a password from the top 10 passwords
• 40% have a password from the top 100 passwords
• 79% have a password from the top 500 passwords
• 91% have a password from the top 1000 passwords

Quindi con un dizionario di 1000 password scopate gratis il 91% degli utenti…

“You are not a beautiful or unique snowflake. You’re the same decaying organic matter as everything else. “

“If you ask someone to name a vegetable, 98 percent of the time, that person will tell you a carrot.Tell someone to pick an even number between 50 and 100, where both digits are different, most commonly people will pick the number 68.Think of a card.The most common choices predictably are nine of diamonds, ace of spades, queen of hearts, or the six of clubs.” EVEN THE WAY PEOPLE MISSPELL WORDS IS CONSISTENT.

Un framework per creare passwords sufficientemente sicure:

1. Questo framework è valido se utilizzate LastPass (anche perchè c’è un trade-off tra non prevedibilità di una password e sua facilità di memorizzazione che grazie a questi programmi ci interessa relativamente) e se potete salvare le vostre password dentro un txt cryptato come Maxa. Buona practice è quella di tenere il txt cryptato in una chiavetta usb esterna al pc.
2. Usate password diverse per ogni sito/sistema (ecco un buon motivo per usare LastPass)
3. Non salvate le pws nei browsers! Sono molto vulnerabili se salvate li dentro!
4. La tua password deve avere più di 15 caratteri per essere resistente ad attacchi offline tramite RainbowTables. Create password LUNGHE.
5. Attenzione ai dictionary attacks: se la tua password è lunga ma formata da parole (soprattutto se inglesi) essa risulterà molto meno resistente di quello che potrebbe sembrare. Se proprio volete usare parole di senso compiuto usate parole italiane o ancora meglio dialettali, se proprio volete andare in overkill mixate inglese italiano dialetto.
6. La casualità è l’assenza di ordine, è evidente dunque che il linguaggio umano non è casuale e di conseguenza nemmeno le password create dal linguaggio umano sono casuali.
7. Dato che il 75% di tutte le pws usa lettere minuscole e che il 60% di tutte le pws è fatto esclusivamente di lettere minuscole vi consiglio di usare differenti tipi di character set, ce ne sono 5: lettere minuscole, lettere maiuscole, numeri (pochi non oltre il 10% della lunghezza della pw dato che ci sono solo 10 cifre), simboli presenti sulla tastiera (inclusa la punteggiatura), simboli non presenti sulla tastiera (65,535 caratteri/simboli diversi provenienti da varie lingue, l’unicode insomma^.^)
8. Solo il 3% delle pws usa lettere maiuscole, quindi usatele! Ma non all’inizio della pw tipo Ariannasoramia!, perchè è troppo prevedibile e questa informazione viene implementata nei programmi che crackano le pws in modo intelligente (non bruteforce).
9. Il numero 1 è più usato degli altri e il pattern più usato è passwordebole12, evitate ^.^.
10. Usate gli spazi!
11. Usate ripetizioni per allungare la vostra pw.
12. Inserite la vostra password tra 2 simboli, tipo (pw)
13. Attenzione alle domande segrete per recuperare la vostra pw, è abusabilissimo, io di solito metto come domanda segreta “giao scemiii” e come risposta 200 lettere a caso.

Facciamo un esempio, partiamo da una parola semplice, sedia, e trasformiamola in una password invincibile. Sedia –> diase –> diase-diase –> diase-DIASE –> (diase-DIASE) –> (9diase-DIASE9) –> (9diase – DIASE9). Nell’ultimo passaggio ho aggiunto 2 spazi, vediamo cosa dice How Secure Is My Password: It would take a desktop PC About 633 quadrillion years to hack your password. Non male. Aggiungiamo un altra ripetizione (9diasediase – DIASE9), It would take a desktop PC About 5 octillion years to hack your password. Ancora potete usare anche questo programma: http://rumkin.com/tools/password/passchk.php

.