Sotto stretta sicurezza

In questo blog si è parlato in abbondanza di HTTPS e a piena ragione: la sicurezza dei nostri dati è una cosa importante che non va presa alla leggera.
Non ci stancheremo di ripetere che la privacy è un diritto di tutti e, di conseguenza, è un dovere della comunità IT fare tutto il possibile per renderla tecnicamente fattibile.

Il protocollo HTTPS è un passo in questa direzione: Google non è stata la prima a impegnarsi in questo senso, ma il suo peso specifico nel panorama tecnologico fa sì che ogni suo movimento sia il più rilevante, nonché quello che riceve la più ampia risonanza.
Questo post sul loro blog di sicurezza ha fatto notizia ed è una delle dichiarazioni giustamente più citate.
In particolare, mi piace focalizzare l’attenzione sulla immagine che mi sembra la più rappresentativa: un giorno tutte le pagine HTTP saranno trattate come Not secure. Ovvero, non sarà più HTTPS a essere una sicurezza in più, ma HTTP a esserne una in meno! Leggi tutto “Sotto stretta sicurezza”

Motori di ricerca aggiunti a Chrome

I browser che si basano su Chromium, incluso Google Chrome, aggiungono automaticamente alla lista dei motori di ricerca gli URL dei siti che si visitano che rispondono a determinate caratteristiche.

Questo potrebbe essere un comportamento poco simpatico e comunque lesivo della propria privacy. Se un utente cancella la storia dei siti che ha visitato e la cache del browser, i dati dei motori di ricerca aggiunti automaticamente rimangono registrati e devono essere cancellati espressamente in un altro modo. Leggi tutto “Motori di ricerca aggiunti a Chrome”

Adobe Acrobat per Chrome

L’aggiornamento di Acrobat Reader DC 15.023.20053 contiene molte correzioni di problemi della sicurezza e un regalo: l’opportunità di installare un plugin per Chrome, perché noi ci fidiamo di Adobe, vero?

NO!

Leggi tutto “Adobe Acrobat per Chrome”

Identificare il computer di un client http

Spesso crediamo che l’attivazione della modalità incognito o l’utilizzo di un browser differente siano sufficienti a proteggere l’identità di chi accede ad un sito.

Purtroppo è vero in alcuni casi, ma non in tutti. Leggi tutto “Identificare il computer di un client http”

Spam a colori

Diversi miei conoscenti, in numero basso ma comunque preoccupante, mi hanno contattato, pressoché nella stessa giornata, chiedendomi lumi su dei messaggi di posta elettronica che sospettavano essere phishing, ma che erano passati liberi e belli attraverso i filtri anti-spam. Tagliando corto, adesso bisogna fare anche l’analisi cromatica… Leggi tutto “Spam a colori”

On-line un beneamato c***o

<TL;DR> I servizi on-line in Italia sono spesso tutto tranne che on-line </TL;DR>


Quante volte vi è capitato di sentirvi dire “si fa tutto on-line” per poi scoprire che la realtà non è esattamente quella?

Prendiamo due casi reali: nel primo una persona anziana poco avvezza all’uso di Internet cambia il proprio conto corrente e deve chiedere all’INPS di versare la pensione sul nuovo conto. Nel secondo caso la necessità è quella di prenotare una visita specialistica.

Andiamo con ordine.

  1. La pensione, l’INPS e la banca on-line.

Leggi tutto “On-line un beneamato c***o”

DNS server alternativi

Il sistema dei nomi a dominio è una delle tecnologie essenziali per il funzionamento del servizio Internet come viene percepito dagli utenti.

Le connessioni ad Internet in cui c’è solamente l’apparecchio del provider forniscono come server DNS quello del provider stesso, ma non è obbligatorio (non per ora…) utilizzare per forza quel server. Leggi tutto “DNS server alternativi”

Internet e la sottile arte del plagio…

Nell’agosto scorso avevo raccontanto in un post la ridicola vicenda di un famoso locale di Milano che aveva utilizzato per un evento che stava organizzando il nome e la locandina di un altro evento simile organizzato tempo prima da un altro locale. La cosa si è poi risolta in modo positivo con le scuse e la rimozione di quello che era stato plagiato.

bressanini-vs-superdiiperdi-1Qualche giorno fa, però, mi imbatto nuovamente in una situazione molto simile Leggi tutto “Internet e la sottile arte del plagio…”

Una firma contro le bugie del TG1 e della LAV

scienza-vs-ignoranzaMi capita raramente di guardare con interesse una raccolta di firme online, ma la lettera aperta scritta da Pro-Test Italia al direttore del TG1 Rai in relazione ad un servizio andato in onda Martedì 22 Novembre nel telegiornale delle 8:00 è una delle poche che merita attenzione perchè non è assolutamente accettabile che una televisione pubblica Leggi tutto “Una firma contro le bugie del TG1 e della LAV”

L’Internet delle cose hackerate

Nel gennaio 2014 scrivevo a proposito dell’Internet delle cose insicure.

In fondo all’articolo citavo una notizia, rivelatasi al tempo infondata, di un botnet di 100.000 frigoriferi connessi.

Purtroppo non abbiamo dovuto attendere molto prima che qualcuno lo facesse davvero, così lo scorso settembre il blog di Brian Kerbs è stato attaccato con un DDoS di 630 Gbs, una potenza di fuoco doppia rispetto al DoS più potente registrato prima di quell’evento. Leggi tutto “L’Internet delle cose hackerate”

Corriere e Gazzetta KO a ferragosto

gazzaVerso le otto e mezza di questa mattina il sito della Gazzetta mostrava una pagina nera con una GIF animata e del testo in inglese e il sito del Corriere restituiva un errore 403.

corriere

Una rapida analisi rivelava che i due domini (ma non quelli di altre testate del gruppo) avevano subito un DNS hijacking. Leggi tutto “Corriere e Gazzetta KO a ferragosto”

I nomi a dominio

Il sistema dei nomi a dominio (Domanin Name System) è dato per scontato da molti utenti (e altrettanti tecnici), ma ha delle regole di funzionamento molto precise.

La gestione amministrativa dei nomi a dominio si divide in tre livelli:

  1. IANA gestisce i root name server
  2. I registrar rivendono i nomi, generalmente di secondo livello
  3. Le entità (persone, società, organizzazioni), acquistano (meglio sarebbe dire “affittano”) i nomi e ne fanno l’uso che credono.

Se dovessimo adottare un’analogia di mercato dei beni, IANA è il produttore o il grossista e i registrar sono i supermercati o i negozianti. È possibile che tra il registrar e il titolare finale del dominio ci siano uno o più intermediari.

Prima di addentrarci nella spiegazione della parte amministrativa è meglio spiegare come funziona tecnicamente il sistema dei nomi a dominio.

Il sistema dei nomi serve, principalmente (non solo, ma per lo scopo di questo articolo ci limitiamo a questo) a convertire un nome comprensibile dagli utenti come siamogeek.com in un indirizzo IP utilizzabile per l’accesso ai server. Risolvere è l’azione di convertire un nome in un indirizzo.

Per fare ciò è stato implementato un sistema di database gerarchico distribuito che si basa sul concetto di delega. Vedete il sistema gerarchico come le radici di un albero.

In cima ci sono i root DNS, ovvero i DNS che devono essere noti per poter risolvere un nome. Ogni server DNS che vuole risolvere un nome deve conoscere l’indirizzo IP (di certo non il nome…) di almeno un root DNS. IANA mantiene un elenco scaricabile in veri formati dei root DNS. Certo, per accedere al sito di IANA dovete avere un server DNS funzionante che vi risolve i nomi.

I root DNS non contengono l’elenco di tutti i possibili nomi a dominio attivi, ma solamente gli indirizzi dei DNS delegati per essere l’autorità (authoritative DNS) in merito ai domini di primo livello.

I livelli di un nome a dominio si leggono da destra verso sinistra, quindi i domini di primo livello sono quelli geografici (IT, UK, GR, US, JP, detti anche ccTLD) e quelli generici (COM, ORG, NET, INFO, ROCKS, ORIENTEXPRESS, detti anche gTLD).

A loro volta, i Registrar delegati per la gestione dei domini di primo livello avranno nel loro DNS, referenziato dai root DNS, gli indirizzi IP dei DNS delegati per la gestione di ciascun secondo livello. In questo caso, i DNS del Registrar contengono l’elenco di tutti i nomi a dominio di secondo livello registrati da loro.

I singoli gestori dei domini di secondo livello (siamogeek.com è un dominio di secondo livello) possono creare i nomi che vogliono al di sotto (ovvero a sinistra) del nome che hanno acquistato, quindi io posso creare pippo.siamogeek.com, jarjarabrams.siamogeek.com, chebruttoesempio.siamogeek.com, eccetera.

Come fa un computer su cui un utente scrive pippo.siamogeek.com a trovare l’indirizzo associato?

Il computer si rivolge ad un programma che si chiama server DNS o anche resolver; il programma può girare sul computer stesso, sul un altro computer della LAN, presso il provider di connettività, o presso uno dei fornitori pubblici di risoluzione nomi, per il momento non ci interessa dove sia, anche se ha una certa rilevanza per altre ragioni.

Il resolver accetta la richiesta “dimmi che IP ha pippo.siamogeek.com” e spezza il nome a partire da destra.

Il primo livello è COM, quindi il resolver interroga i root DNS per sapere l’IP del DNS autoritario per il primo livello COM.

Ottenuto quell’IP, il nostro resolver si collega all’autoritario di COM e chiede l’IP del DNS autoritario per SIAMOGEEK.COM.

Con in mano questa informazione, il resolver chiede al DNS di SIAMOGEEK.COM quale accidenti sia l’IP di PIPPO.SIAMOGEEK.COM (e si becca un errore di nome inesistente, Murphy sghignazza).

Fermi. No, non avviene tutto questo cinema per ogni singola risoluzione dei nomi, sennò sarebbe un macello.

Ad ogni richiesta (query) ai server DNS assieme all’informazione viene consegnato un numero espresso in secondi che rappresenta la durata (TTL, Time To Live) dell’informazione. Il resolver non dovrebbe ripetere la medesima richiesta se la durata non è scaduta. Ecco motivata la cosiddetta propagazione delle modifiche ad DNS.

Visto questo funzionamento del DNS, vien da sé che l’associazione di un indirizzo ad un nome è monodirezionale, ovvero quando viene indicato che pippo.siamogeek.com ha indirizzo 1.2.3.4 non è automatico l’inverso; per avere la risoluzione inversa (rDNS) si usa sì il DNS, ma in un altro modo, che vedremo in un altro articolo.

Ora che abbiamo capito come funziona tecnicamente la risoluzione dei nomi, torniamo alla parte amministrativa.

IANA è un’organizzazione americana senza fini di lucro che gestisce i domini di primo livello (TLD).

I TLD geografici (ccTLD) sono di due lettere latine ASCII secondo lo standard ISO 3166-1 alpha-2 oppure IDN di lunghezza variabile. Alcuni Registrar nazionali (si pensi a TO, TV, ME, PW…) hanno aperto la possibilità a tutti di registrare un dominio.

I TLD generici (gTLD) erano in origine COM, NET, ORG, INT, EDU, GOV, MIL a cui si aggiunge ARPA usato ora per usi tecnici della gestione del DNS.

Recentemente è stato ha deciso di aprire il mercato dei gTLD a chi vuole riservarne uno per sé o per rivenderlo. La lista (http, ftp) dei gTLD cambia molto rapidamente.

Per ora, IANA impone che i domini siano almeno di secondo livello e vieta l’utilizzo dei dotless domain.

Siamo arrivati alla fine del nostro calvario cammino: l’acquisto di un nome a dominio.

Come detto in apertura, tecnicamente si tratta più di un affitto o di una tariffa per un servizio che un passaggio definitivo di proprietà, ma lasciamo da parte i cavilli.

Un qualsiasi Signor Nessuno che voglia registrare il suo bel nome a dominio deve rivolgersi ad uno dei tanti Registrar, scegliere il nome che desidera (ovviamente non deve essere già registrato da altri), compilare i pochi (o tanti, dipende dal registrar) dati richiesti, pagare e… voilà! Dopo qualche minuto (o qualche ora, se state registrando un .IT) il vostro nome a dominio è online e noto a tutto il mondo.

Dal punto di vista del mero mantenimento del nome, vi dovete solo ricordare di rinnovare la registrazione prima della scadenza, applicare ogni ragionevole sicurezza al vostro account presso il Registrar (se vi rubano quello, vi rubano tutti i nomi a dominio associati) e non cadere nelle trappole delle mail di chi vi vuole rubare soldi per chiedervi fantomatiche “registrazioni”.

Le email ai tempi del ransomware

Credo che oramai più o meno tutti gli utenti un minimo esperti abbiano capito cosa è un ransomware e anche che non si clicca mai su link o files allegati a email che contengono informazioni inesatte (numeri di partita iva errati, codici cliente errati, ecc) o incomplete (nessuna indicazione del nome dell’azienda o della persona a cui è destinata la mail, per esempio, ma un semplice “Spett.le utente@dominio.tld, ecco la sua fattura in allegato”).

Leggi tutto “Le email ai tempi del ransomware”

Flightradar24 e voli in ritardo

Con la versione gratuita di Flightradar24 è possibile ottenere più informazioni sul ritardo di un volo rispetto a quelle che vengono normalmente fornite in aeroporto.

Lo scenario tipico è quello di una persona in aeroporto che ha già superato il controllo di sicurezza e vede il proprio volo in ritardo prima di 20 minuti e poi di 40 e si chiede cosa stia succedendo. Leggi tutto “Flightradar24 e voli in ritardo”

Tecnica anti-anti-phishing

Poco fa ho ricevuto una mail di phishing con l’aspetto di una comunicazione di una nota banca italiana.

Copio l’URL verso cui voleva farmi andare la mail, lo visito in incognito per verificare se sia già bloccato.

Visto che non era ancora bloccato, decido di segnalarlo a Google e a Netcraft. Leggi tutto “Tecnica anti-anti-phishing”

Per una politica che rispetti la scienza

Nel 2013, in vista delle elezioni politiche, avevo partecipato ad un interessante progetto, insieme agli amici Marco Camisani Calzolari e Walter Vannini, con lo scopo di monitorare le proposte delle forze politiche sul tema “digitale“.
Ora, in vista di altre elezioni guardo con ancora più interesse un nuovo progetto, ideato e realizzato con il supporto di Pro-Test Italia, sicuramente molto più ambizioso, che riguarda però il mondo della scienza: PagellaScientifica.it. Leggi tutto “Per una politica che rispetti la scienza”

Nuovi piani tariffari di GitHub

GitHub ha annunciato un cambio dei piani tariffari: in sostanza la tariffa ora si basa sugli utenti e non più sul numero di repository privati che si possono creare.

Per i singoli utenti o le piccole realtà questa è un’ottima notizia perché si può ora utilizzare GitHub per gestire tutti i progetti non pubblici e non solo quelli che, in qualche modo, giustificano i costi. Leggi tutto “Nuovi piani tariffari di GitHub”