Navigare Anonimi - I Pericoli Di Certi Servizi NBNBNB

Un hacker ci ha spiegato
come navigare senza

lasciare tracce
Il browser in modalità anonima è ok, ma non illudetevi: non ci
protegge fino in fondo.
Di Martin Pfaffenzeller
01 marzo 2018, 10:24am Facebook Twitter
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
ILLUSTRAZIONE: MOTHERBOARD | LAURA HAUSMANN
Molti di noi hanno paura dei Big Data: su Facebook c'è chi usa nomi nti per
cercare di fregare Zuckerberg, cancelliamo i cookies e cerchiamo in tutti i
modi di mandare solo email crittografate. Eppure, della navigazione
anonima sappiamo poco niente.
Matthias Marx fa parte del popolo dei paranoici. Quando era al liceo ha
hackerato l'account da amministratore dei computer della sua scuola.
Dopodiché, si è messo alla ricerca di vulnerabilità in diverse Hacking
Challenge e ha vinto una borsa di studio per un progetto di ricerca a
Wolfsburg.
Oggi, ha 29 anni e lavora in un gruppo di ricerca su sicurezza e privacy

dell'università di Amburgo. Con i colleghi dell'università di Dresda sta
sviluppando un software per la navigazione anonima comodo e veloce. Gli
abbiamo chiesto alcuni consigli per navigare in totale anonimato.
MATTHIAS MARX È UN HACKER DAI TEMPI DELLE SUPERIORI. HA REALIZZATO UN SOFTWARE PER NAVIGARE IN ANONIMO |
IMMAGINE: MATTHIAS MARX
Motherboard: Onesto, navighi sempre in anonimo?

Matthias Marx: Dipende. Quando sono in giro e uso le reti Wi-Fi pubbliche
spesso attivo un VPN o navigo con Tor per non fornire troppe informazioni
sulla mia navigazione. A lavoro e a casa non sono quasi mai in anonimo.
Quali dati forniamo quando navighiamo senza tutelarci?
Quando visitiamo dei siti, li contattiamo in maniera diretta. Loro vengono a
conoscenza del nostro indirizzo IP e capiscono più o meno dove ci troviamo.
Riescono anche a capire che browser usiamo, quanto è grande il nostro
schermo, che tipo di font usiamo, e molto altro.
Sembra noioso, ma con questi dati possiamo essere identi cati, insieme ai
nostri computer. Poiché siamo spesso su determinati siti, di noi si crea un
vero e proprio pro lo: dove lavoriamo, dove abitiamo, dove andiamo in
palestra, dove andiamo a bere il venerdì sera. Molti siti utilizzano dei servizi
di tracking e hanno dei plug-in di Facebook o di altri social network, e
questo rende ancora più facile collegare i nostri movimenti con la nostra
identità.
Quali sono gli aspetti negativi?

Nei regimi autoritari potrebbe essere possibile sapere chi, quando e dove
critica il governo. L'anonimato, in questi casi, è questione di vita o di morte.
Ma anche qui da noi ci sono delle conseguenze: se le assicurazioni, per
esempio, sapessero tutto di me, potrebbero alzare i prezzi. L'industria della
pubblicità analizza la mia cronologia e mi bombarda di pubblicità moleste.
IMMAGINE: MOTHERBOARD
I dati che vengono raccolti su di noi potrebbero nire nelle mani sbagliate:
potrebbero emergere le nostre malattie, le nostre preferenze sessuali o i
nostri irt. Io sono convinto che in una democrazia sia importante poter
esprimere il proprio parere anonimamente, senza rischiare rappresaglie.
Ora ci sono molti servizi che offrono l'anonimato online. Per esempio
Ghostery, un add-on che blocca i tracker, è piuttosto popolare come mini-
programma per il browser. Mozilla offre un browser speciale, Firefox
Quantum, che fa qualcosa di simile. Con programmi del genere si può
navigare senza lasciare tracce?
Questi add-on o plug-in bloccano i cookies, i nostri marchi di
riconoscimento in rete, e i servizi di tracking. Quindi il browser non
memorizza la cronologia. Questo ha senso, è una protezione super ciale
perché l'IP non viene nascosto. Questo signi ca che il luogo in cui ci
troviamo e i dati del browser vengono trasmessi.
Un po' più complessi sono i servizi VPN. A volte costano un paio di euro al
mese, ma almeno promettono di proteggere la localizzazione. Questo ci
rende anonimi?
Quando usiamo un servizio Virtual-Private-Network c'è un computer tra me
e il sito che viene spento. Quindi posso usare i siti di streaming, che in
alcuni paesi sono vietati. Con un VPN potremmo farci un abbonamento a
HBO e guardare Game of Thrones, oppure la Champions League nei canali in
chiaro che hanno i diritti, tipo la ORF-Mediathek austriaca. Per questo
piattaforme come Net ix cercano di bloccare i VPN più conosciuti.
Segui Motherboard Italia su Facebook e Twitter.
Quando si parla di anonimato, comunque, i VPN hanno un punto debole:

devo avere ducia nel fatto che il provider tenga al sicuro i miei dati. Ci sono
stati casi in cui il fornitore di VPN ha trasmesso non solo pubblicità ma
anche malware nei siti visitati. Forse il servizio ha interesse a vendere
direttamente i miei dati oppure collaborano con le autorità. In tal caso, se
faccio qualcosa in più che guardare delle serie, sono in pericolo.
Come si evitano questi rischi?
Io attivo molti computer allo stesso tempo e fornisco a ognuno di loro una
parte delle mie richieste. Per trarre delle conclusioni sulla mia identità
bisognerebbe unire tutti i computer coinvolti.
Tor utilizza questo principio e offre una buona protezione per l'identità, a
meno che non ci si imbatta nell'NSA. Inoltre, crittografa i dati e cambia ogni
tre minuti i tre computer intermedi. Per navigare in modo anonimo è la
scelta migliore.
L'UTILIZZO DI TOR NEL MONDO | GRAFICA: UNIVERSITÀ DI OXFORD
Molti paesi europei stanno sviluppando dei trojan di stato: un software

con cui si possono sorvegliare sia gli smartphone che i computer. Tor ci
tutela anche da questi?
Se i cosiddetti Trojan di stato riescono a penetrare una sola volta nei
computer, non c'è anonimato che tenga. Si appropriano dei dati ancora
prima che vengano trasmessi. Un trojan viene trasferito da un le
direttamente al computer, per esempio cliccando sull'allegato di un'email.
Oppure arriva da una falla nel sistema. Anche in questo caso, Tor non può
fare niente.
Tor è a prova di idiota?

Tor sembra più complicato di quanto non sia in realtà. Si può semplicemente
scaricare il browser e installarlo: è uguale a Firefox e lo si può usare allo
stesso modo.
Può succedere che faccia qualcosa di sbagliato che mi penalizza?

Questo è possibile. Tor rende anonimo l'indirizzo IP, che rende pubblica la
nostra collocazione. Ma gli altri dettagli possono comunque rivelare la
nostra identità: i font installati, il tipo di browser e la grandezza delle
nestre di navigazione. Il browser Tor indica infatti che è buona norma non
tenere la nestra a schermo intero, ed è meglio seguire il consiglio.
Comunque, non bisogna loggarsi con l'account Facebook o Google se si

vuole navigare in anonimo con Tor, anche con un account falso. Il servizio
connette la nostra navigazione semplicemente con l'IP e i dati del browser
con cui normalmente siamo loggati. In questo modo è possibile risalire
all'identità.
I ricercatori dell'università di Dresda al Chaos Communication Congress
parlano del loro software:
Non dovremmo nemmeno visitare dei siti privi del protocollo "https",
altrimenti l'ultima connessione del computer del network di Tor può leggere
i miei dati. Dovremmo agire così anche quando non navighiamo con Tor. In
questo caso ci sono le estensioni del browser.
Se vogliamo davvero restare anonimi, non dovremmo nemmeno aprire né
scaricare pfd, word e altri tipi di documenti. Il download va spesso al di fuori
del browser. Per esempio Word o Acrobat accedono al documento e
forniscono il nostro indirizzo IP.
Esiste un'alternativa a Tor?

Se vogliamo avere più di un nodo, per essere sicuri di navigare davvero in
anonimo, allora dobbiamo usare Tor. Al momento non c'è quasi alternativa.
Secondo te perché è così poco

diffuso?
La guida di Motherboard
Molti non sono consapevoli di per non farsi hackerare
lasciare dietro di sé così tante LORENZO FRANCESCHI-BICCHIERAI
E JOSEPH COX
tracce. Altri lo sanno ma credono

che usare Tor sia una roba da
scienziati, e allora non lo installano.
Altri ancora non lo trovano abbastanza comodo, quindi non lo usano per
navigare. Ci sono dei motivi tecnici per questo. Esistono diversi livelli di
crittogra a attorno ai dati, il che signi ca che Tor ne invia volumi molto
grandi e la velocità di trasmissione è spesso bassa.
Per questo quando guardiamo dei video in HD dobbiamo aspettare un po'
prima che si carichino, e può essere irritante. Per la navigazione normale,
però, è abbastanza veloce. Unica cosa: ci sono dei siti che bloccano gli
accessi dal network di Tor. Per esempio, Wikipedia non permette di editare.
E se voglio navigare veloce ma anche in anonimo?

Ci stiamo lavorando. Vogliamo sviluppare un processo che l'utente può
attivare direttamente dal proprio internet provider quando accede alla rete:
un pulsante per tutte le evenienze. Questo processo offre una semplice
protezione contro il tracking. Ci mettiamo contro una serie di grosse
aziende.
Inoltre stiamo sviluppando un processo di anonimizzazione che somiglia a

Tor. Ma i dati vengono trasmessi più in fretta, perché solo dei computer
potenti e collaudati possono diventare parte della rete. Lo stesso vale per
tablet e smartphone.
Segui Martin su Twitter.
Questo articolo è apparso originariamente su Motherboard Germania.
TAGGED: TECH, MOTHERBOARD, HACKER, HACKING, TOR, NSA, VPN, ANONIMATO
Tieniti informato sulle nostre migliori storie!
La tua email Iscriviti
Guarda anche
Il creatore di 'Call of Salveenee'

FROM VICE MEETS - ITALIA
Una hacker ci ha spiegato
come navigare con il Wi-Fi
pubblico senza farci
fregare
Perché fare acquisti utilizzando reti non protette e ritrovarsi la carta
svuotata il giorno dopo non è il massimo.
Di Anna Biselli
27 agosto 2018, 12:49pm Facebook Twitter
IMMAGINE: IMAGO | WESTEND61
Controllare l'email in metro, caricare una foto con il wi- di un bar, cercare
un ristorante dalla rete dell'albergo quando si è in vacanza: ci sono molti
buoni motivi per utilizzare gli hotspot, e per questo molti tengono la
funzione wi- dei loro smartphone sempre attiva. Ma chi gestisce queste
reti potrebbe intercettare il traf co dati, a volte i malintenzionati che
rubano password o infettano con dei malware.
C'è di buono che con un paio di trucchi gratuiti ci si può facilmente tutelare.
Come si fa, ce lo ha spiegato Elektra Wagenrad, attiva da anni nella comunità
Freifunk, che costruisce reti indipendenti. In un colloquio con Motherboard
ci ha spiegato come ci si tutela al meglio usando il wi- non protetto e
perché anche uno smartphone non connesso è sottoposto a rischi.
Motherboard: Ti occupi da anni di tecnologie per la libertà della rete e

gestisci un tuo hotspot. Quando io uso il tuo hotspot con il mio
smartphone o tablet, e tu vuoi sorvegliarmi, cosa puoi vedere?
Elektra Wagenrad: Nel momento in cui ti colleghi a un hotspot comunichi
un cosiddetto indirizzo MAC, anche quado la rete è protetta e hai dovuto
mettere una password per connetterti. Questo indirizzo appartiene al tuo
laptop o smartphone, ed è unico. Quando il gestore della rete salva questo
indirizzo, riconosce il tuo device se ti connetti nuovamente. Un gestore di
molte reti, presenti per esempio in diversi bar, può mettere a confronto i
diversi hotspot e vedere tutti i luoghi in cui il dispositivo si trovava.
Puoi anche vedere i siti che visito?

Sì. Quando ti connetti a un sito senza protocollo HTTPS posso anche vedere
cosa scrivi. Se un sito usa il protocollo HTTPS lo vedi all'inizio dell'url, dove
c'è un piccolo lucchetto.
Da cosa riconosci le reti aperte
IN VACANZA, PER ESEMPIO, L'OPEN WI-FI È MOLTO UTILE | IMMAGINE: UNSPLASH.COM | BERNARD HERMANT
Questo signi ca che quando la connessione non è sicura puoi vedere il

numero di carta di credito che digito?
Esatto. In una rete non protetta anche tutti gli altri utenti connessi alla rete
possono vedere le cose che vengono registrate nel traf co dati — anche se
non sono gli amministratori della rete. Nelle reti sicure è un'altra storia, non
è così facile. Ma l'amministratore può comunque vedere il traf co dati non
protetto da HTTPS.
Posso difendermi in qualche modo, se navigo in un sito non HTTPS?

Se vuoi davvero andare sul sicuro, usa un VPN, ovvero un Virtual Private
Network, una specie di tunnel per i tuoi dati. A quel punto non importa in
che network ti trovi: il tuo traf co non può essere spiato. Si vede solo che
c'è un dispositivo connesso al fornitore di VPN, che manda e riceve dati al
posto tuo. L'amministratore di rete può solo vedere quanti dati passano, ma
non di che tipo.
E come faccio ad avere un VPN?

Ti serve un'infrastruttura a cui connettere un tunnel cifrato e con cui
navigare. Uno dei più diffusi è OpenVPN. Se qualcuno è particolarmente
bravo può anche costruire un suo server con un OpenVPN installato a cui
connettersi con il laptop e lo smartphone. Ma il VPN deve essere
con gurato in modo che tutto il traf co internet e non solo l'accesso ai siti
avvenga attraverso il tunnel. Come ciò possa funzionare, dipende dal tipo di
dispositivo, ma su internet si trovano molti consigli in proposito.
UN VPN PUÒ ESSERE MODIFICATO IN POCHE MOSSE, QUI SIAMO SU ANDROID | IMMAGINE: SCREENSHOT
Quando hai il tuo VPN hai la sicurezza che gli altri non possono vedere nulla.
Ci sono anche fornitori di cui puoi usare l'infrastruttura, ma devi avere
ducia nel fatto che non utilizzino i tuoi dati. In questo può aiutare leggere a
fondo le policy o delle utili guide.
Che dati salvano gli hotspot?
Non è suf ciente usare il browser Tor per restare anonimi anche nelle reti
pubbliche?
Tor funziona in modo che il traf co dati è crittato attraverso i diversi nodi
della rete. In questo modo puoi rendere anonima la tua navigazione, e non
hai bisogno di darti di nessuno. Ma per farlo devi usare il browser Tor
appunto, disponibile anche per smartphone. In parte, però, è complicato. Ad
esempio le app di messaggistica non passano attraverso Tor.
I fornitori di hotspot sanno tutto quello che faccio su internet?

Dipende. Nelle reti pubbliche è obbligatorio registrarsi, bisogna fornire un
nome e un indirizzo email prima di poter accedere. Così, l'amministratore
può tracciare non solo le attività del dispositivo ma anche l'identità di chi lo
usa, anche per capire se qualcuno compie attività illegali come per esempio
scaricare le. Ma non sono tutti così, io faccio parte di un network per cui il
salvataggio dei dati è categoricamente vietato.
ELEKTRA WAGENRAD È ATTIVISTA DA ANNI NEL CAMPO DELLA LIBERTÀ DELLA RETE | IMMAGINE: ARCHIVIO PRIVATO
Che cos'è Freifunk?

Freifunk è un network di connessioni wi- che promuovono le reti open.
Vogliamo promuovere il bene comune, e non lasciare la decisione in mano ai
privati o agli stati. Costruiamo insieme le infrastrutture tecniche in forma di
antenne e router, e ci aiutiamo gli uni gli altri. Chiunque può partecipare,
non solo come cliente ma anche come collaboratore. Non vogliamo censure
né sorveglianza.
Non salvate proprio nessun dato?

In linea di principio, qualcuno potrebbe hackerare uno dei nodi della rete e
prendere tutti i dati. Ma ci assicuriamo che ciò non avvenga. Salviamo solo
un paio di dati: un indirizzo email, un nome per il nodo e un soprannome per
il gestore. I dati degli utenti non li salviamo, non ci interessa. Non lo
facciamo per interessi economici.
Come si riconosce un tentativo di phishing?
Sulle reti pubbliche può succedere anche altro, tipo l'intercettazione di

dati sensibili?
Il fornitore dell'hotspot può estorcere le richieste DNS. Mettiamo il caso che
tu voglia connetterti con un sito, per esempio quello della tua banca. Per
farlo, il tuo device deve capire quale indirizzo IP appartiene al dominio, per
poter contattare il server giusto. Qualcuno potrebbe intercettare questa
richiesta e ricondurti a un altro indirizzo. E se questo sito ha lo stesso
aspetto di quello della tua banca, probabilmente non te ne accorgi. Un
malintenzoinato potrebbe, per esempio, rubarti la password, perché la
metteresti sul suo sito e non su quello della banca. Questo è il phishing.
Come me ne accorgo?
Una forma di tutela è il protocollo HTTPS. Quando un sito a cui accedi —
non importa se con una rete crittata o no — cambia protocollo
all'improvviso e il tuo browser mostra un avviso, dovresti prenderlo sul
serio.
Ho sentito che con le reti non protette è possibile anche installare dei
malware, funziona con queste stesse meccaniche?
Sì può succedere, se aggiorni un software o ne installi uno nuovo. Ma
normalmente programmi e aggiornamenti hanno dei certi cati dif cili da
falsi care. Inoltre, il tuo device dovrebbe mostrarti degli avvisi di sicurezza.
Se non conosci ancora il certi cato, però, qualcuno può af bbiartene uno
falso. Se vuoi essere davvero sicuro, dovresti installare programmi soltanto
sulle reti di cui ti di davvero.
Nessun hotspot è davvero sicuro
SU WIGLE.NET SI PUOSSONO VEDERE DOVE SI TROVANO LE SSID | IMMAGINE: SCREENSHOT | WIGLE.NET
Come capisco se mi posso dare di una rete? Per esempio, come faccio a
sapere se Starbucks mi vuole far installare un malware...
Non è possibile. La spiegazione è molto semplice: immagina una grossa rete
di wi- , come per esempio quella della conferenza re:publica. Ti connetti
una sola volta con un preciso nome del network. Dietro questo nome si
nascondono molti punti d'accesso diversi, perché un solo punto d'accesso
non potrebbe far connettere così tante persone.
Quando sei in giro, il tuo device si connette automaticamente, ora a un
punto d'accesso ora all'altro. L'obiettivo è avere sempre una connessione
ottimale. Una volta autenticato al network "re:publica", il device si
connetterà in automatico, se è impostato così.
Posso impedire al mio telefono di connettersi automaticamente alle reti

che non conosce?
Dipende dal sistema operativo, non sempre è possibile. A volte lo si può fare
nelle impostazioni generali, altre volte no. Puoi solo disattivare il wi- in
generale, se non lo vuoi usare.
Puoi sapere delle cose su di me anche se non mi connetto al tuo hotspot?

Se hai la funzione wi- attivata, certo che sì. Molti smartphone e laptop
cercano continuamente nei loro dintorni attivamente delle reti. Per farlo
mandano nomi di reti che già conoscono, SSID, per fare i cosiddetti active
scan. Questo tipo di immissione di dati è un broadcast, come una radio, e
tutti possono leggerlo. Attraverso le banche dati pubbliche si può capire
dove c'è qualche SSID, e sapere in che hotel hai trascorso le ultim vacanze.
Per evitarlo, dovresti disattivare completamente il wi- .
Tu le usi le reti aperte?
Sì, con qualche precauzione uso solo reti aperte. Ovviamente non clicco su
siti per i quali ricevo degli avvisi. Poi ho un sistema che impedisce ai miei
dipositivi di connettersi alle reti non sicure.
TAGGED: TECH, MOTHERBOARD, PHISHING, VPN, SICUREZZA, IT-SICHERHEIT, SICUREZZA ONLINE
Guarda anche
l'unico modo sicuro per
usare l'online banking
Se usi app per l'online banking spesso, forse è meglio tenersi in
guardia.
Di Martin Pfaffenzeller
10 maggio 2018, 8:48am Facebook Twitter
IMMAGINE: SHUTTERSTOCK
Vincent Haupert guarda il suo smartphone e controlla i dati di trasferimento

nell’app della Sparkasse [la sua banca]. Destinatario: uf cio delle imposte.
Importo: 10 centesimi. Tutto come desiderato. Inserisce uno dei suoi TAN
(ovvero un codice che si utilizza una sola volta per transazione e che viene
fornito sotto forma di liste di codici dall'istituto bancario) nella app della
banca e in ne la app annuncia che l’operazione è stata eseguita con
successo.
Ma quando poi Haupert esamina il saldo del suo conto, vede che l’app gli ha
addebitato circa 100 volte in più di quello che aveva indicato. Per l’esattezza
13 euro e 37 centesimi, e per di più il destinatario era un altro. C’è solo una
spiegazione: qualcuno ha hackerato lo smartphone e manipolato il
trasferimento.
Segui Motherboard Italia su Facebook e Twitter.
Quello che sembra l’incubo peggiore per chiunque abbia un conto online è,
invece, parte di un esperimento. Haupert, infatti, studia da anni presso
l’università di Erlangen-Norimberga i punti deboli delle app bancarie.
L’hacker che è riuscito a manipolare l'operazione è lui stesso.
Dopo aver reso pubblico il suo esperimento nell’autunno del 2015, Haupert
ha avuto diversi scontri con gli sviluppatori di Sparkasse. In seguito, la banca
ha aggiornato l’app in modo che l'hack di Haupert non funzionasse più, e ha
inviato diversi comunicati di stampa vantandosi dell'ef cienza dei suoi
tecnici. Haupert, a sua volta, ha di
nuovo studiato l’app e ha trovato Un hacker ci ha spiegato
un'altra breccia. O almeno, questo è come navigare senza
lasciare tracce
ciò che ha affermato al Chaos
MARTIN PFAFFENZELLER
Communication Congress 2015.
Da allora, Haupert è considerato un

esperto di sicurezza dell’online banking. Infatti, dà consigli alla polizia
federale tedesca e scambia opinioni con i programmatori che stanno
lavorando alle app delle banche. In una lunga chiacchierata con
Motherboard, l’hacker ci ha spiegato quali sono le cose che un cliente
dovrebbe fare per risultare il più protetto possibile.
Motherboard: Tu usi l’online banking?

Vincent Haupert: Certo, non solo è molto comodo ma è anche molto sicuro
— se lo si fa in maniera corretta. E in più ti eviti la la in banca. Quando ho
vissuto in Brasile, per esempio, usavo praticamente solo l’online banking.
Ma faresti volentieri a meno dell’app della Sparkasse, giusto?

Tutte le procedure TAN fatte via app forniscono una possibilità di attacco
per gli hacker —indipendentemente da quale sia la tua banca. E comunque
non sono le app i punti deboli: quelle, in parte, sono programmate in
maniera piuttosto solida. È il sistema operativo dello smartphone ad essere
il problema. Se, infatti, è infetto da un malware, qualsiasi app può incrinarsi.
Perché la procedura con il token mobile è la più sicura
Quindi tu come fai l’online banking?

Io seguo la procedura con il token mobile. Per usarla è necessario un piccolo
dispositivo in cui si inserisce la propria carta di credito. Il dispositivo è
simile a una calcolatrice. Di solito, l’IBAN del destinatario e l’importo della
transazione vengono trasmesse alla app tramite un codice criptato. Prima di
concludere il versamento, inoltre, è possibile controllarne i dettagli e,
poiché il dispositivo lavora of ine, la possibilità di infezione da malware è
praticamente eliminata.
È quindi il modo più sicuro?

Sì, perché il processo non può essere manipolato e puoi a malapena copiare
il numero della carta. Ma il processo TAN è sicuro se lo si fa bene: è
necessario, ad esempio, confrontare i dettagli del pagamento sullo schermo
del generatore TAN con quelli della fattura originale. E questo non succede
sempre.
QR e fotoTAN
Quanto sono sicuri i nuovi metodi come il QRcode o fotoTAN, in cui il TAN
è generato da un codice matrix a schermo?
Se veramente sono coinvolti due dispositivi, è sicuro. Anche se, se si esegue
la scansione dello schermo del computer con uno smartphone, in teoria,
rimane la possibilità che un utente malintenzionato abbia infettato entrambi
i dispositivi con software dannosi, ma è piuttosto improbabile.
Alcune banche offrono dei dispositivi proprietari per fotografare il codice e

generare il TAN. Poiché il dispositivo non ha interfacce in cui è possibile
manipolare il processo, la sicurezza è simile a quella del token mobile.
Una nuova normativa europea renderà la vita più semplice agli hacker
Se è facile aumentare la sicurezza con la procedura con il token mobile,

perché molte banche promuovono le app?
Le banche amano giusti carsi con il fatto che nora non ci sono stati danni
del genere. Le procedure TAN basate su app rappresentano un mercato
relativamente piccolo. Secondo uno studio, solo il 5-8 percento dei tedeschi
utilizza questo metodo. Un quarto usa le vecchie liste TAN e poco meno di
un terzo usa il token mobile o il token via SMS. Ovviamente, per un hacker, il
gioco non vale la candela.
Gli attacchi di social engineering come le email di phishing sono ancora il

miglior metodo. Qui, i truffatori ngono di essere un rappresentante del
servizio clienti o un parente per ingannare le vittime nel fare trasferimenti
agli account degli aggressori stessi. E ovviamente anche le migliori
procedure di TAN in questi casi non servono a niente.
Perché dici “ancora”?

Perché un nuovo regolamento dell’UE sancirà la ne delle liste TAN e del
token via SMS. La commissione europea ha pubblicato la direttiva nella
Gazzetta Uf ciale a marzo, e entrerà in vigore 18 mesi dopo, il 14 settembre
2019. A quel punto le banche dovranno modi care le procedure TAN e
rischiano di nire solo con processi basati sulle app. E questo è un vantaggio
per gli hacker.
E perché le banche non passano alla procedura con token mobile?

In passato le banche regalavano i token mobile, ed è per questo che oggi
molte persone li usano. Oggi non è più così e i token hanno un prezzo
aggiuntivo. Questo spaventa i clienti. Inoltre, le banche credono che il token
mobile sia scomodo e temono che potrebbero perdere clienti se
proponessero quello come unico modo.
Detto questo, le banche non pubblicizzano la sicurezza del processo a token

mobile perché così facendo metterebbero in cattiva luce le app. E chi vuole
la versione meno sicura di una cassaforte quando si tratta di soldi?
Lascia stare il cash, passa alle criptovalute. Così le emozioni forti le vivi per
le oscillazioni e non per i tentativi di hacking.
Perché i telefoni Apple sono più sicuri
C’è una differenza se uso uno smartphone con iOS o con Android?
Il problema generale è che le banche si rivolgono a molti dispositivi con
sistemi operativi diversi tra di loro. Per Android esistono diverse versioni
perché i produttori come Samsung o Huawei adattano il sistema operativo ai
propri dispositivi. I produttori dovrebbero pertanto aggiornare la sicurezza
dell’app regolarmente. Ma questo succede spesso troppo tardi.
Quindi è meglio usare un iPhone per pratiche del genere?
iOS è un po’ meglio. Non perché sia più sicuro o meno vulnerabile ma
perché Apple può chiudere le lacune in maniera più veloce. E questo perché
la società offre solo pochi dispositivi diversi e fornisce sempre lo stesso
software.
Perché presto il login diventerà più sicuro
Con la maggior parte delle banche che impone una password di 5-6 cifre,
un’altra vulnerabilità dell’online banking è il login. Quanto è insicuro?
Chiunque acceda al mio conto bancario può facilmente scoprire quanto
guadagno, dove vivo, dove faccio acquisti, cosa e dove ordino su internet.
Tutto questo può facilmente creare un pro lo completo di me. Tuttavia, la
maggior parte dei conti bancari è ben protetta in questo senso: dopo che
sbagli PIN un po’ di volte, l’accesso viene negato e devi sbloccarlo con un
TAN.
La situazione è diversa se qualcuno ottiene la mia password. Questo può

succedere se un truffatore copia il sito della mia banca e io vi accedo.
Pertanto, si dovrebbe sempre inserire l’URL del sito della banca da soli,
senza fare af damento a eventuali collegamenti esterni nelle mail.
Come potrebbero migliorare i login le banche?
Un’autenticazione a due fattori, come fa Google con alcuni dei suoi prodotti.
Qui, l’utente ha bisogno di un secondo elemento oltre la password. Qualcosa
come un codice che viene visualizzato per pochi secondi sullo smartphone.
E non conosco nessuna banca che lo offre. Ma sempre per la nuova direttiva
UE, le banche, in futuro, dovranno chiedere un TAN per il primo accesso e
gli accessi a lunga distanza l’uno dall’altro.
Questo articolo è apparso originariamente su Motherboard DE.
TAGGED: TECH, MOTHERBOARD, HACKING, ONLINE BANKING
Guarda anche
Alessandro Proto: l'impostore
FROM VICE MEETS
come creare una password
a prova di bomba
Sulla sicurezza delle password girano molti falsi miti. Un hacker che
ha piratato Facebook, CIA e FBI ci ha spiegato come fare.
Di Daniel Mützel
10 luglio 2017, 9:03am Facebook Twitter
Tra i numerosi miti a proposito delle regole per creare una buona password
circolano spesso informazioni infondate. Per questo abbiamo chiesto a uno
che se ne intende abbastanza, visto che ha già hackerato la CIA, l'FBI e gli
Hells Angels.
Per Matthias violare password è un'attività routinaria. L'hacker di 28 anni,

conosciuto con lo pseudonimo di "unnex" domina tutti gli arcani dei
computer e dei sistemi informatici da anni. Il suo palma res è a dir poco
spettacolare: Facebook, Paypal, Interpol, NSA, CIA, FBI, Bundeswehr e Hells
Angels, ha messo tutti in ginocchio picchiando come un pazzo sulla sua
tastiera grande quanto l'organo di una chiesa.
Eppure, la minaccia degli hacker non è appannaggio delle grandi istituzioni

e gli utenti lambda dovrebbero conoscere i principi di base delle best
practice in materia di sicurezza informatica. Raramente è così. Oggi
hackerare un account facebook, un account di posta elettronica o un conto
online non è così dif cile, come provano gli articoli che postiamo
regolarmente qui su Motherboard. Ovviamente è importante che il grande
pubblico impari a utilizzare delle password sicure. Se non sarà così, la
riservatezza delle informazioni personali di tutti sarà compromessa.
La maggior parte delle password che utilizziamo tutti i giorni sono degli
inviti a essere hackerati. In Germania, per esempio, la password più
utilizzata da svariati anni è "Hello", seguita da "password" e "hello123", il che
dimostra a che punto sia terribile la mancanza di un'educazione in questo
senso. Molti utenti si prendono la licenza poetica con dei meravigliosi
"iloveyou" o "vivaipony", nascondendo dietro un velo di candore la loro
relazione naif con la tecnologia.
Ma adesso è il tempo di ascoltare l'esperto. Matthias Ungethuem ci ha

spiegato come costruire una password a prova di bomba, e ha destrutturato
tutti i miti che circolano in proposito.
Matthias Ungethuem. Immagine : Mario Ast. Foto utilizzata con il permesso
di Matthias.
Motherboard: Quante password hai craccato nella vita?

Matthias Ungethuem: Dif cile da dire. Un numero molto grande. Che si
tratti di lavoro o di attività personali, passo praticamente le mie giornate a
violare password. Sono esperto in test di sicurezza e veri co costantemente
la stabilità di database privati.
Quali sono i più grandi miti sulle password ritenute "solide"?

Ce ne sono tre, principalmente. Da una parte ci sono degli utenti convinti di
non essere bersaglio di hacking, e non si prendono la briga di inventare delle
password leggermente elaborate. Inutile dire che fanno un sacco di cazzate.
Gli attacchi, generalmente, sono orientati verso grossi siti web, non verso
persone speci che. Una volta che l'attacco è riuscito, gli hacker
attaccheranno gli account in massa, senza pietà. Non decideranno di salvare
l'uno o l'altro con cura dopo aver esaminato i dati.
Secondo mito: bisogna cambiare molto frequentemente le password di tutti

i propri account. No, non è così automatico. Modi care costantemente le
proprie password può essere un segno di incertezza. Alcune aziende
chiedono ai loro dipendenti di modi care la password dell'intranet una volta
a settimana, il che sarebbe una buona idea se solo tutti avessero una
memoria d'elefante. Questo fatto in realtà spinge molti impiegati a scrivere
le proprie password su un foglio di carta che lasciano bene in vista sulla
scrivania. La tastiera diventa l'equivalente dello zerbino sotto cui si
nascondono le chiavi di casa. Lo fanno tutti, è super-pericoloso e anche
stupido.
E il terzo mito?
Questo è senza dubbio il più pericoloso: alcune persone pensano che
concepire una password sensata, o generata secondo certe regole (un
algoritmo semplice, per esempio) è un'ottima idea. Invece no. Se lo fate, fate
un regalo enorme agli hacker, perché il principio basilare del cracking è
trovare una coerenza interna. Più la struttura della password è logica, più è
facile craccarla, più si è vulnerabili.
Ma come fa un hacker a sapere secondo quali regole io compongo la mia

password? Le possibilità sono in nite.
In realtà no, la varietà dei sistemi utilizzati dalle persone è piuttosto ridotta.
Le possibilità di trovare un sistema iper-originale, unico, è davvero remota.
Da parte loro, gli hacker utilizzano quelle che chiamano "liste del dizionario":
le liste di parole che contengono degli enormi archivi lessicali, delle
espressioni idiomatiche, delle liste di nomi e delle password ibride. Una
password ibrida è una password composta da numerose parti, di cui alcune
hanno un senso e altre no, è il tipo di password più utilizzato. MarkusX1 per
esempio, o qwerty493. La maggior parte delle password è costruita così, e
non sono per niente robuste.
Da dove inizi per craccare una password?

In genere utilizzo una scheda gra ca molto potente, come la Radeon RX 580
Gaming X 8G di MSI. Costa circa 300 euro. Uno degli algoritmi migliori per
le password è SHA1. La scheda gra ca crea circa 4,3 miliardi di opzioni
cifrate da SHA1 al secondo. L'esempio qui sopra, "MarkusX1" sarà craccata in
14 ore circa.
Screenshot : Matthias Ungethuem
Bisogna distinguere tra le password a cui si accede tentando di connettersi
all'account via interfaccia e le password frammentate che si tenta di violare.
Quando si cerca di volare una password frammentata si può lasciar lavorare
la macchina da sola, senza bisogno di connessione internet. Se volete
craccare un account Facebook il vostro successo dipenderà in parte dalla
velocità della vostra connessione internet.
Ok. Allora qual è il segreto di una password ottimale?

Deve essere di 16 caratteri, di cui caratteri speciali, numeri, maiuscole e
minuscole. Non deve avere senso né essere composta in maniera
algoritmica. Poi non deve mai essere trasmessa in chiaro senza cifratura, né
essere digitata su un sito non sicuro (privo del protocollo https, per
esempio). In ne, non bisogna mai scriverla, deve restare nella vostra testa.
Quando si rispettano queste regole alla lettera, si è davvero tutelati?

Voglio dire, se si ha un sistema capace di lanciare 4,3 miliardi di attacchi al
secondo, nessuna password memorizzabile sarà mai ababstanza lunga e
solida per tenere il colpo.
Puoi valutare la robustezza della tua password da solo. Basta prendere il
numero di caratteri possibili e fattorizzarli con la lunghezza della password.
Per esempio, "password" contiene solo lettere dell'alfabeto, e il numero di
caratteri possibili è 26. Fai 26 per 8 (il numero di caratteri) e hai 208 miliardi
di combinazioni possibili. Se aggiungi i maiuscoli, arrivi a 52 caratteri
possibili (da a a z, e da A a Z). "PassWoRd" contiene dunque 52 possibilità per
8, che fa 53 milioni di combo possibili.
Basta paragonare i numeri ottenuti con le performance della tua
attrezzatura. La mia carta gra ca produce 4,3 miliardi di attacchi al secondo,
il che mi permette di craccare la parola "password" in 48 secondi. Per
"PassWord" mi servono circa tre ore. Più il numero di caratteri possibili
(minuscoli, maiuscoli, numeri, caratteri speciali) è elevato, e più la password
è lunga più le possibilità aumentano, e chi attacca impiegherà più tempo per
craccare la password.
In pratica non esistono password totalmente sicure, solo password che

resistono più a lungo.
Esatto.
Un trucco può essere pensare a una frase facile da memorizzare, e poi

creare una password che parta dalla prima lettera di ogni parola, lasciando
anche i numeri. Per esempio "L'1 gennaio 20$$, le macchine prenderanno il
controllo della terra", che fa L1g2$$LMPICDT. Tu che ne pensi?
Se la password ha un senso, sia a livello logico che di contenuto, ed è un
grosso problema. Non sono il primo e nemmeno l'ultimo a utilizzare le liste
di password complesse per generare questo tipo di codice. Di solito,
funziona.
Recentemente c'è una nuova moda: smetterla di pensare in termini di

password e inventare una frase segreta, ovvero una sequenza di parole
apparentemente non legate tra loro ma di cui è possibile ricordarsi grazie
alla mnemotecnica. Tipo: "Rozana Mars Gesù Karate". Le frasi segrete sono
molto più lunghe di una password classica e ci vuole molto più tempo per
craccarle. Che dici?
Mi sembra ancora peggio del metodo precedente; è molto facile creare una
lista di parole che permettano di scoprire questo tipo di frasi segrete,
soprattutto quando un po' di hacker si associano mettendole in comune.
Siamo realisti, nessuno può ricordare password da 15 parole complesse

differenti. Cosa pensi dei database di gestione delle password?
La centralizzazione delle password non mi disturba per principio. Ma
quando la chiave principale del database viene craccata, sei fottuto. Chi
attacca ha accesso alla totalità delle password, per lui è una festa, piange di
gioia. Anche se ci hai messo tutta la creatività del mondo, non servirà a
niente. Si tratta di una soluzione estremamente rischiosa, secondo me.
Metti tutte le uova nello stesso paniere, la tua password principale deve
essere più complessa della complessità stessa.
E anche l'autenticazione a due fattori è una cazzata?

Sì. Dipende tutto dalla natura del secondo fattore: può essere attaccato in
parallelo. Un sms per esempio può essere intercettato, se l'hacker ne ha
voglia.
Parlando di password, guarda il nostro racconto di quella volta che hanno

quasi trasformato MySpace in una fabbrica di zombie:
Mi sto deprimendo. Quindi non esiste nessuna regola che possa
trasformare una sequenza di caratteri memorizzabile in una password
solida?
No, è un approccio sbagliato. La password non deve essere basata su nessun
motivo ricorrente, nessuna regola logica. L'uomo sarà sempre meno dotato
della macchina. Dai non ti deprimere, basta memorizzare. Non è niente di
inumano. L'ultimo consiglio che posso dare è di utilizzare la tastiera nella
sua totalità. Prendi dei caratteri a destra o a sinistra, ma anche al centro,
ancora meglio se usi anche i caratteri delle altre lingue, come quelli cirillici o
ebraici. Questa cosa fa veramente strippare gli hacker.
Ti faccio un esempio di una password che segue tutte queste
raccomandazioni: ß@h/9#02'+a!(DkÄ. Quanto tempo ci vuole per
hackerarla?
Così a naso ci sono 37 combinazioni possibili a 10^30, ovvero un numero a
32 cifre. Con la mia attrezzatura un hacker avrebbe bisogno di 273 miliardi di
anni per craccarla. Direi una buona password.
Grazie Mathias. Ricapitolando: serve una password di 16 caratteri tra cui

quelli speciali, le maiuscole, le minuscole, i numeri; le password non
devono seguire alcuna logica ed essere totalmente destrutturate. Ma se le
scrivete da qualche parte in chiaro o la mettete su un sito non sicuro,
tutto questo non serve a niente.
TAGGED: TECH, MOTHERBOARD, HACKING, CIA, FBI, NSA, INTERVISTE, PASSWORD
Guarda anche

Navigare Anonimi - I Pericoli Di Certi Servizi NBNBNB

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Navigare Anonimi - I Pericoli Di Certi Servizi NBNBNB

Caricato da

Copyright:

Formati disponibili

Un hacker ci ha spiegato

come navigare senza

01 marzo 2018, 10:24am Facebook Twitter

Oggi, ha 29 anni e lavora in un gruppo di ricerca su sicurezza e privacy

Motherboard: Onesto, navighi sempre in anonimo?

Quali sono gli aspetti negativi?

Segui Motherboard Italia su Facebook e Twitter.

Quando si parla di anonimato, comunque, i VPN hanno un punto debole:

Molti paesi europei stanno sviluppando dei trojan di stato: un software

Tor è a prova di idiota?

Può succedere che faccia qualcosa di sbagliato che mi penalizza?

Comunque, non bisogna loggarsi con l'account Facebook o Google se si

Esiste un'alternativa a Tor?

Secondo te perché è così poco

tracce. Altri lo sanno ma credono

E se voglio navigare veloce ma anche in anonimo?

Inoltre stiamo sviluppando un processo di anonimizzazione che somiglia a

Segui Martin su Twitter.

Questo articolo è apparso originariamente su Motherboard Germania.

Tieniti informato sulle nostre migliori storie!

La tua email Iscriviti

Il creatore di 'Call of Salveenee'

27 agosto 2018, 12:49pm Facebook Twitter

Motherboard: Ti occupi da anni di tecnologie per la libertà della rete e

Puoi anche vedere i siti che visito?

Da cosa riconosci le reti aperte

Questo signi ca che quando la connessione non è sicura puoi vedere il

Posso difendermi in qualche modo, se navigo in un sito non HTTPS?

E come faccio ad avere un VPN?

Che dati salvano gli hotspot?

I fornitori di hotspot sanno tutto quello che faccio su internet?

Che cos'è Freifunk?

Non salvate proprio nessun dato?

Sulle reti pubbliche può succedere anche altro, tipo l'intercettazione di

Nessun hotspot è davvero sicuro

Posso impedire al mio telefono di connettersi automaticamente alle reti

Puoi sapere delle cose su di me anche se non mi connetto al tuo hotspot?

Tieniti informato sulle nostre migliori storie!

La tua email Iscriviti

10 maggio 2018, 8:48am Facebook Twitter

Vincent Haupert guarda il suo smartphone e controlla i dati di trasferimento

Segui Motherboard Italia su Facebook e Twitter.

Da allora, Haupert è considerato un

Motherboard: Tu usi l’online banking?

Ma faresti volentieri a meno dell’app della Sparkasse, giusto?

Perché la procedura con il token mobile è la più sicura

Quindi tu come fai l’online banking?

È quindi il modo più sicuro?

Alcune banche offrono dei dispositivi proprietari per fotografare il codice e

Se è facile aumentare la sicurezza con la procedura con il token mobile,

Gli attacchi di social engineering come le email di phishing sono ancora il

Perché dici “ancora”?

E perché le banche non passano alla procedura con token mobile?

Detto questo, le banche non pubblicizzano la sicurezza del processo a token

Perché presto il login diventerà più sicuro

La situazione è diversa se qualcuno ottiene la mia password. Questo può

Questo articolo è apparso originariamente su Motherboard DE.

Tieniti informato sulle nostre migliori storie!

La tua email Iscriviti

10 luglio 2017, 9:03am Facebook Twitter

Per Matthias violare password è un'attività routinaria. L'hacker di 28 anni,

Eppure, la minaccia degli hacker non è appannaggio delle grandi istituzioni

Ma adesso è il tempo di ascoltare l'esperto. Matthias Ungethuem ci ha