Possiamo definirle “peggiori” perché portano ad un numero maggiore di incidenti fatali, questo ci dicono i dati ed è oggettivo. Non significa però che quelle scelte siano “peggiori” da altri punti di vista.

Prendersi più rischi della media, facendo il possibile per mitigarli ma accettando comunque un rischio superiore a quello degli altri sportivi, è una scelta consapevole. Ciascuno fa il proprio compromesso tra rischi e benefici.

La domanda è: i piloti più esperti stanno scegliendo coscientemente di accettare più rischi rispetto ai piloti meno esperti (magari per ottenere di più dai loro voli) oppure si stanno prendendo più rischi senza esserne pienamente coscienti?

Quanti dei piloti esperti sanno di appartenere ad una categoria che corre più rischi rispetto ai piloti meno esperti? Quanti, invece, pensano che il fatto di essere esperti li faccia volare più sicuri rispetto ai piloti meno esperti?

Insomma, si tratta di una scelta consapevole o meno?

Personalmente credo di no. Credo che nessuno o quasi tra i piloti esperti abbia coscienza di appartenere ad una categoria che, dati alla mano, rischia di più rispetto ai piloti meno esperti. Credo che quasi tutti si sentano protetti dalla propria esperienza.

C’è però un’altra domanda che dovremmo farci, perché non c’è nulla di più personale delle scelte e non c’è nulla di più individuale del rischio che deriva dalle proprie scelte: come facciamo a sapere se queste statistiche non sono condizionate da pochi piloti che rischiano tanto?

Se sono in pochi a rischiare tanto allora il problema è tutto sommato circoscritto. Se invece la maggior parte dei piloti esperti si sta pendendo inconsapevolmente dei rischi abbiamo un altro tipo di problema, che va affrontato in un modo diverso.

Quando parliamo di incidenti fatali (questi sono i dati che stiamo usando) non è credibile che si tratti di una ristretta minoranza che rischia di più e sposta la media verso l’alto. Parlando in modo molto concreto: non sarebbe un andamento che si sostiene nel tempo proprio perché stiamo parlando di incidenti fatali. La statistica dovrebbe rientrare rapidamente.

Non è neanche credibile che dopo più di otto anni dall’attestato (ricordiamo i numeri del precedente post) solo una minoranza di piloti inizi improvvisamente a rischiare molto più degli altri.

Realisticamente i piloti esperti, in modo generale e diffuso, si prendono progressivamente più rischi di quelli non esperti senza esserne pienamente consapevoli.

Chi legge starà già pensando a diversi meccanismi psicologici del tutto plausibili per cui questo può succedere, ma prima di passare alle ipotesi cercherei di restare ancorato a quello che ci dicono i dati, almeno fino a che sarà possibile. Da un certo punto in avanti non sarà più possibile usare i dati e a quel punto faremo quello che potremo, ma non siamo ancora a quel punto.

Dobbiamo prima sciogliere una semplificazione fatta all’inizio: <<se tra le scelte includiamo la scelta del mezzo … >>

La scelta del mezzo è una scelta diversa dalle altre, quindi è il momento di considerarla separatamente.

Per farlo prendiamo qualche altra tabella dal documento tedesco a cui faceva riferimento il post precedente. Occhio: le ho tradotte con un traduttore automatico quindi ci sono termini buffi come “volo di fondo”, ma ci capiamo lo stesso. Nel post precedente c’è il link al documento originale in tedesco per chi vuole consultarlo.

Partiamo confrontando la classe del mezzo con cui è avvenuto l’incidente con la tipologia di volo.

Abbiamo un totale di 5 incidenti con mezzi EN-A. Abbiamo un totale di 2 incidenti avvenuti durante un volo didattico e 26 in volo stanziale. Possiamo quindi essere matematicamente sicuri del fatto che la maggior parte degli incidenti avvenuti durante voli stanziali NON sono avvenuti con EN-A ma con mezzi di classi superiori.

Sappiamo che un volo stanziale è meno impegnativo e comporta meno scelte rispetto ad un volo di cross. Si vola in località abituali con un atterraggio a portata di mano, non ci sono difficoltà ignote, non c’è la necessità di azzardare per coprire distanze o fare atterraggi fuoricampo. Nei voli di cross, in cui le scelte giocano un ruolo maggiore, la probabilità di incidente è più alta, circa il doppio stando ai dati. Nei voli stanziali le scelte contano meno e vediamo di più gli effetti della componente “mezzo” .

Sebbene i piloti di EN-A siano quasi la metà (47%) e passino la maggior parte del proprio tempo in voli stanziali, la gran parte degli incidenti in voli stanziali avviene con mezzi di classi superiori pilotati da piloti mediamente più esperti.

Questo ci dice che la sicurezza passiva del mezzo ha un ruolo non trascurabile.

Per provare a capire qualcosa in più sul ruolo del mezzo passiamo alle tabelle sulle cause.

22 incidenti sono avvenuti per cause che non possiamo associare al comportamento del mezzo (atterraggio in acqua, errore nel girarsi in decollo, collisione, acro, dust devil, pioggia, nodi, cause ignote), questi incidenti per il momento non ci interessano perché vogliamo capire qualcosa di più sui comportamenti dei mezzi.

Tutti gli altri incidenti, che sono 26, sono avvenuti per cause legate al comportamento del mezzo, vediamoli:

• 13 incidenti sono avvenuti a seguito di chiusura asimmetrica e solo uno di questi riguarda un EN-A
• 6 incidenti sono avvenuti a seguito di chiusura frontale, nessuno con EN-A.
• 7 incidenti avvenuti a seguito di stallo o negativo di cui solo uno con EN-A

Gli incidenti in cui il comportamento del mezzo conta sono per circa due terzi (19) legati a chiusure. Nella metà (9) di questi incidenti da chiusura, la chiusura è stata seguita da una cravatta seguita da spirale. Nessuno di questi casi di cravatta si è verificato con EN-A.

Nel post precedente abbiamo visto che i piloti che volano con mezzi di categorie superiori ad EN-A sono mediamente più esperti ma hanno mediamente più incidenti, ora abbiamo visto che questo succede anche in voli stanziali dove l’influenza delle scelte conta meno e il mezzo conta di più. Ci siamo anche fatti un’idea di dove si concentrano i problemi legati al mezzo: chiusure e cravatte.

Prima considerazione: la sicurezza passiva del mezzo non è compensata da maggior capacità del pilota. Nel salire di categoria inevitabilmente diminuiamo la nostra sicurezza, indipendentemente dal nostro livello.

Non c’è nulla di male nel prendersi più rischi in modo consapevole, essere consapevoli significa non illudersi di poter mantenere lo stesso livello di sicurezza volando un mezzo meno sicuro.

Non dobbiamo volare tutti solo EN-A ma non dovremmo neppure pensare che si possa salire di categoria senza fare compromessi.

Occhio: questo non è un confronto EN-A vs “resto del mondo”. Il focus su EN-A in questo post deriva dalla granularità dei dati che abbiamo, il concetto è generale.

Questi dati non ci consentono di fare di meglio perché purtroppo in EN-B ci sono mezzi molto diversi tra loro. Se avessimo statistiche divise tra B-bassa e B-alta le differenze le vedremmo. A breve la B-bassa e la B-alta diventeranno due classi distinte e tutto sarà più chiaro.

Seconda considerazione: le cravatte a seguito di una chiusura sono diventate, negli anni, un problema sempre maggiore. L’aumento dell’allungamento e la riduzione delle linee accrescono la probabilità che la vela si incravatti dopo una chiusura. Dall’analisi degli incidenti abbiamo visto che questo capita a partire dai B di fascia alta in su. Oggi più della metà degli incidenti fatali causati da una chiusura è dovuto ad una cravatta. Certe cravatte possono portare ad accelerazioni ingestibili e irrecuperabili nel giro di pochissimi secondi. Il DHV ha adottato una linea guida molto dura nella sua comunicazione ai piloti: “se dopo una cravatta si innesca una vite, hai tre secondi di tempo per lanciare il paracadute e non morire”. Quando le accelerazioni crescono troppo, lanciare il paracadute può diventare impossibile, la tempestività è cruciale.

Purtroppo non c’è un test di certificazione per verificare la tendenza di un mezzo alla cravatta e non c’è neppure un test per verificare la reazione del mezzo quando si manifesta una cravatta. Di cravatte ne vediamo nei voli reali ma non siamo in grado di testarle durante i test di certificazione. E’ una grave carenza che è diventata un problema.

Ad oggi l’allungamento della vela è l’elemento che più ci consente di stimare questa tendenza, purtroppo per il momento non abbiamo strumenti migliori.

Cosa ci portiamo a casa in sintesi?

Prima di tutto che non c’è pasto gratis: salendo di categoria si rischia di più a parità di tutto il resto. Siamo liberi di pensare che noi, proprio noi, in realtà voliamo più sicuri con un mezzo di categoria superiore ma questa resterà una nostra convinzione personale priva di evidenze.

Un’altra cosa che ci portiamo a casa è che le certificazioni non ci danno tutte le informazioni che ci farebbe piacere avere. La B non è una classe sola ma sono di fatto due classi con profili di sicurezza molto diversi. Tra queste difference c’è il problema delle cravatte, sul quale le certificazioni purtroppo non ci dicono nulla.

A dire il vero le certificazioni di problemi ne hanno anche altri, ma per oggi mi fermerei qui.

L'articolo Le scelte: il mezzo proviene da Io Volo Libero.

Una parete della sala riunioni “Cumulonimbus” (che però ha ospitato una riunione per nulla turbolenta) è una gigantesca cartina degli spazi aerei del paese, nella foto se ne vede un pezzetto a destra.

Dopo dieci anni dal primo, c’è un nuovo database europeo di incidenti e inconvenienti in arrivo, ci sono aggiornamenti sulle certificazioni e sulla riorganizzazione delle classi, ci sono analisi statistiche sugli incidenti ed altro.

Seguirà resoconto dettagliato sulla rivista “Volo Libero”.

L'articolo ESTC Meeting 2023 – Woerden proviene da Io Volo Libero.

Nel rapporto di quest’anno spiego come le minacce stiano diventando più subdole e al tempo stesso più difficili da monitorare e misurare.

Tutti i dettagli a partire da pagina 79 del rapporto:

L'articolo Il mio contributo al rapporto clusit 2022 proviene da Io Volo Libero.

The english version of this article is here.

Le botnet sono uno dei principali canali di distribuzione di email di phishing e malware. Una botnet può essere composta da centinaia di migliaia di dispositivi compromessi (soprattutto dispositivi IoT) e il centro di comando e controllo (C&C) coordina le attività  di tutti questi dispositivi.

Un tempo i bot si collegavano direttamente al server di posta di destinazione per cercare di consegnare le mail malevole ma è facile identificare e bloccare questi tentativi. Inviare mail malevole da account legittimi è molto più efficace: la reputazione è buona (le mail arrivano da grandi operatori come Google o Microsoft), le mail malevole sono tecnicamente identiche a quelle legittime e questo rende la vita più difficile per i filtri antispam, quindi queste mail hanno maggiori probabilità  di finire nella inbox del destinatario.

Il C&C periodicamente distribuisce ai bot credenziali valide e fresche, pronte per essere abusate per l’invio di robaccia a nome dei legittimi proprietari di questi account. Ma come fanno ad ottenere le credenziali del tuo account di posta?

La prima sorgente di credenziali sono i data breach. Ce ne sono tantissimi, più di quanto immagini. Ho cancellato la sottoscrizione alle notifiche di privacyrights.org perché erano troppe: 828 database sono divenuti pubblici nel 2018 per un totale di oltre 1,3 miliardi di record. Circa 2,2 breach al giorno. Un sacco di dati.

I data breach contengono credenziali, che di solito sono un indirizzo email e una password. Troppi utenti riutilizzano la stessa password su più servizi e questo significa che tantissimi di questi record contengono credenziali valide di account di posta elettronica, pronti per essere abusati. Il C&C raccoglie e distribuisce queste credenziali ai bot.

E gli account per i quali le password nel breach non sono valide? Si può sempre indovinarle.

Molti utenti usano password molto semplici: la password più usata nell’intero pianeta è ‘123456’, seguita da ‘password’, al terzo posto abbiamo ‘123456789’, poi ‘12345678’ e via così. All’ottava posizione troviamo ‘sunshine’, seguita da ‘qwerty’, poi ‘iloveyou’, ‘princess’ … Moltissime password sono parole presenti nei dizionari, moltissime sono nomi di persona, date, combinazioni di questi due o variazioni semplici come ad esempio ‘monkey2018’.

Non servono tanti tentativi per indovinare la password di moltissimi account di posta, con poche migliaia di tentativi se ne trovano moltissime e se hai a disposizione una botnet puoi fare centinaia di migliaia di tentativi contemporaneamente, ciascuno da un diverso indirizzo IP, senza neanche allertare i sistemi di protezione basati sul ‘rate-limiting’.

Tutto chiaro?

Ora: cosa puoi fare per prevenirlo e rilassarti un po’?

Primo: usa una password diversa per ogni servizio. I data breach succedono continuamente, se vai su haveibeenpwned.com e inserisci il tuo indirizzo email probabilmente scoprii che le tue credenziali sono già  pubbliche. Se usi la stessa password ovunque, un singolo data breach compromette tutti i tuoi account, quindi non farlo. Usa una password diversa per ogni servizio.

A questo punto puoi essere tentato di scegliere una tecnica ‘smart’ per generare tante password diverse dalla stessa radice. Ad esempio monkey_linkedin, monkey_facebook_2019 e così via.

Non è così smart. Queste variazioni vengono tutte tentate e scoperte nel giro di minuti quando si può fare centinaia di migliaia di tentativi contemporaneamente. Non pensare di poter contrastare gli attacchi a forza bruta con le tue limitate risorse di memoria cerebrale.

Entropia è la parola chiave. Ti dirò qualcosa che non ti piacerà : se puoi memorizzarla è a bassa entropia e se è a bassa entropia può essere scoperta facilmente. Questo significa che se puoi memorizzarla non è sufficientemente robusta. Tutto qui.

L’unico modo di avere password che non possono essere scoperte facilmente è di avere password ad alta entropia, questo significa che non puoi memorizzarle. Mi dispiace ma qualcuno doveva dirtelo.

Un password manager è la soluzione migliore: con uno sforzo minimo puoi gestire centinaia di password ad alta entropia, resistenti ad attacchi a forza bruta e tutte diverse tra loro.

Posso capire che un password manager possa essere un grande ostacolo per tua zia e (ma non voglio aprire una discussione), personalmente penso che per alcune persone una alternativa decente possa essere quella di scrivere le password su carta. Si, sono più vulnerabili ma sono offline e alla fine è molto meglio rispetto ad avere una password debole.

La sicurezza è compromesso. Scegli il tuo compromesso ma non ignorare questo: se la puoi memorizzare, non è abbastanza robusta.

L'articolo Come le credenziali della tua posta finiscono in cattive mani e come vengono monetizzate proviene da Io Volo Libero.

La prima cosa da fare è mettersi in sicurezza. Vediamo come.

Attrezzatura necessaria:
– 6mt di cordino da ancoraggio statico, in dyneema va benissimo, questi cordini hanno un carico di tenuta di parecchie centinaia di kg
– 1 moschettone rapido, anche vecchio purché in buono stato

Tagliate due pezzi da 1mt di cordino così che vi resti un pezzo da 4mt e due da 1mt.

Legate i tre cordino ad anello. Occhio ai nodi che fate, vi considero persone adulte che sanno quello che fanno.

Agganciate il moschettone al cordino lungo. Tenete il tutto a portata di mano.

Questo video è a titolo informativo, non è un corso. Prima di adottare questo sistema provatelo, verificate di aver capito bene come utilizzarlo e prendete le vostre decisioni.

Ricordatevi che il pilota è l’unico responsabile della propria sicurezza.

L'articolo Atterraggio di emergenza su alberi: come mettersi in sicurezza proviene da Io Volo Libero.

Il Security Summit, organizzato dal Clusit, è il più importante evento di sicurezza in Italia. Il mio intervento era sulla protezione dalla minacce ancora non note che arrivano via mail e metteva l’accento sul rapporto tra pragmatismo e sicurezza.

In questo post ripercorro gli argomenti di questa presentazione.

Complessità 

I problemi di sicurezza che oggi abbiamo sono principalmente dovuti alla grande complessità  dei sistemi che usiamo, questa complessità  crea una superficie d’attacco molto grande. Associamo questa grande superficie d’attacco ad una grande motivazione a violare i nostri sistemi, principalmente legata al business del ransomware e del phishing, e capiamo perché oggi le nuove minacce, ancora non note, sono all’ordine del giorno. Abbiamo visto 30mila nuove varianti di ransomware nel corso del 2016, cioè decine di nuove minacce al giorno e i sistemi di sicurezza per essere efficaci devono riuscire ad intercettarle pur non conoscendole.

I sistemi di sicurezza, in informatica come nel mondo fisico, devono essere mantenuti più semplici possibile perché la complessità  è nemica della sicurezza. Riduce l’affidabilità  e aumenta la superficie d’attacco.

Alcune soluzioni proposte da molti vendor sono più orientate ad esigenze di marketing che ad esigenze di sicurezza. Le sandbox basate su virtual machine, ad esempio, sono sistemi ancora più complessi di quelli che vogliono difendere: un sistema windows virtualizzato in un ambiente instrumentato con software aggiuntivo che cerca di osservare il malware senza a sua volta essere osservato. Tutto questo deve essere fatto con tempi di analisi brevi, tipicamente entro i due minuti, per non gravare eccessivamente sui workflow aziendali.

Il malware, i cui autori hanno a disposizione le stesse identiche sandbox che usiamo noi e sulle quali il malware può essere testato prima di essere rilasciato, hanno imparato velocemente ad ingannare le sandbox. Se la sandbox ha solo un paio di minuti per dare un responso, il malware una volta infettato il pc ha tutto il tempo che vuole per manifestarsi, quindi gli basta aspettare un po’ per non essere identificato dalla sanbox. Le sandbox hanno iniziato a far credere al malware che sia trascorso più tempo di quello che è realmente trascorso, cosa molto più facile a dirsi che a farsi, e il malware ha imparato ad usare proprio questa caratteristica per accorgersi di essere in una sandbox. Questo esempio semplificato per dire che l’eterna contesa tra attaccante e difensore si è semplicemente spostata in un diverso ambiente senza cambiarne le dinamiche di fondo. In questo nuovo ambiente però è chi difende a giocare in svantaggio.

Eppure la sandbox è un forte argomento di marketing perché la complessità  è un argomento che vende di più del pragmatismo.

Pur essendo uno strumento eccezionale per l’analisi e lo studio del malware, quando la sandbox basata su virtual machine è usata come filtro mostra diverse debolezze ed offre una superficie di attacco discreta. Proprio qualche giorno fa al Pwn2Own, una competizione di sicurezza informatica, un team è riuscito, attraverso un click su un link fatto su una macchina windows virtualizzata in vmware, ad uscire dalla vm e compromettere l’host. Il tutto con un semplice click su un link. Immagina un malware che compromette la sandbox per infettare tutti i file che vengono analizzati …

Quindi: usiamo la complessità  dove serve e con prudenza, sapendo che ogni aumento di complessità  riduce la sicurezza, quindi ha un costo.

Proteggersi da file malevoli

Per quanto riguarda l’analisi dei file, nel mio intervento ho ripercorso il ragionamento dalla casella numero zero. Analizziamo il problema ricominciando dal punto di partenza e aggiungiamo complessità  fino a che serve.

Partiamo dall’approccio “firewall”. Vi ricordate quando sul firewall si chiudevano selettivamente le porte? Tutte aperte tranne quelle che decidevamo di chiudere. Poi abbiamo invertito la logica: tutto chiuso e si apre solo quello che serve. Solo questo semplice cambio di paradigma ha migliorato drasticamente la sicurezza.

Facciamo lo stesso ragionamento. Abbiamo bisogno di eseguibili allegati alle mail? Di .exe, di .js, eccetera? No, non ne abbiamo bisogno, l’esperienza di oltre un miliardo di mail al mese ci dice che questi file non servono, toglierli non impatta sui workflow aziendali, quindi blocchiamoli senza neanche stare ad analizzarli.
Il tuo tecnico del reparto IT ha bisogno di riceve file jar? Ok, mettiamo una eccezione per lui. Approccio firewall. Tutto bloccato e si sblocca selettivamente.

Soluzione estremamente semplice, banale, per togliere la maggior parte dei vettori di attacco. Restano però i documenti. Documenti office, file pdf, ormai questi formati sono così complessi da poter contenere codice in grado di fare di tutto. Come ci comportiamo? Di sicuro non possiamo bloccarli.

Ok, è il momento di salire un gradino di complessità . Un passo in direzione di una maggiore complessità  giustificato da un’esigenza reale. Facciamolo.

Andiamo ad analizzare il documento. Contiene codice o no? Se no, passa. Approccio firewall.
E se lo contiene? Mica possiamo bloccare tutti gli spreadsheet con una macro! Giusto.

Altro gradino di complessità  giustificato, quindi facciamolo.
Ora che sappiamo che c’è del codice, rimbocchiamoci le maniche e andiamo a vedere cosa fa. Fa calcoli in uno spreadsheet, automazioni di altro tipo ma normali in un documento? Ok, definiamo un set di automazioni sicure e lasciamole passare. Approccio firewall. Questa analisi può essere fatta in modo rapido e sicuro, facciamola.

Ottimo, abbiamo fatto passare i documenti con macro innocue. Gli altri però mica possiamo bloccarli tutti, rischiamo di creare qualche disservizio.

Ok, altro gradino di complessità . Questi file che abbiamo classificato come “sospetti” allora li “puliamo”. Siamo in grado di rimuovere il contenuto “attivo”, la macro, l’oggetto ocx embedded, il codice javascript in un pdf. Togliamo questo codice e consegnamo un documento inerte. Utilizzabile come documento ma senza codice.

Ci siamo. Non ci restano che le ultime rifiniture: prevedere cosa fare con i documenti criptati che non possiamo analizzare (facile, li blocchiamo perché oggi sono il veicolo principale di ransomware), e cosa fare nel malaugurato caso in cui un malware riesca a mandare in crash la mia sandbox per cercare di non essere scoperto: in questo caso lo categorizziamo come “indeterminato” e di default rimuoviamo tutto il contenuto attivo. Semplice buona pratica di programmazione prevedere anche il caso in cui qualcuno riesca a sabotare la tua sandbox (eppure vediamo in circolazione sandbox che in queste condizioni lasciano passare il malware che è riuscito a metterle in crisi).

Infine, rendiamo configurabili dall’amministratore i comportamenti in caso di contenuto sospetto, sicuro, criptato e indeterminato, così che possa decidere lui stesso cosa far passare, cosa bloccare e cosa “pulire”. Facciamo anche in modo che ogni volta che modifichiamo un file ne conserviamo la copia originale così che se dovesse mai servire possa essere recuperata.

A questo punto l’obiettivo è raggiunto, abbiamo protetto dagli attacchi via file anche non noti e lo abbiamo fatto con una soluzione più semplice possibile. Un’analisi e una pulizia selettiva veloci, che si fanno mentre la mail viene analizzata dai sistemi antispam, e che non richiedono di caricare i propri file su una sandbox di terze parti in cloud, con problemi di compliance e privacy, con ritardi che impattano sui workflow. Risultato raggiunto con complessità  e superficie d’attacco minima.

Proteggersi dai link malevoli

Quindi? Bisogna evitare assolutamente e in qualunque caso qualunque complessità ? No. Semplicemente usare la complessità  ove serve, senza avere alcun timore a farlo ma considerandolo un costo che deve essere giustificato.

Ad esempio, la complessità  è più che giustificata per proteggersi dalle url malevole.

L’attacco più frequente oggi è una mail proveniente da un mittente legittimo (il suo account è usato abusivamente), con un testo breve e estremamente generico, che contiene un link ad un sito legittimo (infettato 5 minuti fa) su cui è stato depositato un malware che si installa semplicemente visitando quella pagina. Fai un click e hai il ransomware.

Questo tipo di attacco è un bel problema perché una mail fatta in questo modo potrebbe anche non essere identificata come malevola. Quindi nel momento in cui la mail transita, noi riscriviamo la url così che invece di puntare a quella pagina punti alla nostra sandbox, vedremo che qui una sandbox complessa è giustificata. Prendiamoci tempo perché il tempo è dalla nostra, più tempo passa e più è facile che riuciremo ad identificare come malevolo quel sito legittimo appena infettato, quindi riscriviamo la url e basta, l’analisi la positicipiamo all’ultimo istante possibile: al momento del click.

Quando il click arriva, il browser dell’utente atterra sulla sandbox che, solo in questo momento, visita la pagina e la analizza. Segue i redirect, la visita da più località  per evidenziare tecniche di evasione, valuta come si presenta ai motori di ricerca, cerca segni di infezione, tentativi di phishing, eccetera.

Non lesiniamo complessità  perchè qui è utile e paga. Soprattutto qui è la sandbox a giocare in vantaggio: il malware non può aspettare a manifestarsi, qui l’infezione la deve fare subito al caricamento della pagina. Inoltre per nascondersi alle sandbox le tecniche disponibili sono poche e noi, visitando la pagina in più modalità  e da più posti, siamo in grado di scoprirle. Questo è un enorme vantaggio: il solo mettere in atto una tecnica di evasione rivela la presenza del malware, anche di quello più sofisticato e ancora ignoto, rendendolo estremamente vulnerabile alla nostra analisi.

Qui si che la complessità  è giustificata.

Per chi vuole approfondire, qui c’è la spiegazione di come funziona l’analisi dei file e qui quella delle url.

L'articolo Approccio pragmatico alla sicurezza proviene da Io Volo Libero.

Oggi per avere password sicure (e diverse tra loro) per i tanti servizi che usiamo, il keyring è indispensabile. Io uso Keepass.

Ci sono però un paio di password che bisogna comunque memorizzare:
1) la password del keyring stesso (qui ovviamente il keyring non può aiutarti)
2) la password di accesso al computer (il keyring lo apro dopo essermi loggato e sarebbe scomodo usare il keyring su telefono per accedere al pc)

Per queste due password da qualche anno uso un sistema semplice e ingegnoso che si chiama Off The Grid, gentilmente offerto dal buon Steve Gibson.

Perché usare un sistema diverso da una password mnemonica? Perché qualunque password che si riesce a memorizzare per definizione ha una bassa entropia, quindi è poco sicura.

Il keyring è un compromesso importante, un paniere all’interno del quale mettiamo tutte le nostre uova, qui abbiamo le password di tutti i nostri account, le nostre identità  digitali. Usiamo il keyring proprio per avere password sicure e diverse tra loro, direi che non è il caso di proteggerlo con una password debole.
La password che useremo quindi non può essere facilmente memorizzabile.

Non vanno bene neanche le frasi lunghe composte da tante parole, l’entropia di una frase è bassa anche se i caratteri sono tanti. Tutto quello che riesci a memorizzare facilmente ha una bassa entropia, su questo ci dobbiamo rassegnare.

Come si può avere una password lunga, complessa, quindi non memorizzabile, in modo comodo? Entra in gioco la genialità  di Off The Grid.

Il concetto è molto semplice, pensa al cifrario di Cesare che era un sistema semplicissimo per tradurre una lettera in un’altra lettera:

Testo in chiaro: a b c d e f g h i l m n o p q r s t u v z

Testo cifrato:   D E F G H I L M N O P Q R S T U V Z A B C

Nel cifrario di Cesare ogni lettera viene tradotta in un’altra lettera, un concetto molto semplice. Ad ogni lettera della prima riga sostituiamo la lettera della seconda riga. Semplice ma poco sicuro.

Facciamo un esempio: codifichiamo la parola “ciao”. La c diventa F, la i diventa N e così via fino ad ottenere FNDR. Questo cifrario è debole perchè ogni lettera si mappa sempre nello stesso modo. la c diventa sempre F, la i diventa sempre N. Quindi non è difficile ricostruire la password originale.

Off The Grid estende questo concetto per renderlo più flessibile e comodo, soprattutto estremamente più sicuro anche se concettualmente stiamo sempre usando uno strumento che converte un testo in un altro testo. Ogni lettera viene mappata in un’altra lettera ma non sempre la stessa. La differenza principale è questa.

Come funziona

Off The Grid è una griglia piena di caratteri scelti a caso. La stampi e te la metti nel portafogli oppure la fotografi e ti tieni la foto sul telefono, o entrambe le cose.

La griglia serve, come il cifrario di Cesare, a tradurre la tua password memorizzabile in una password diversa, con un’entropia molto più grande quindi non indovinabile né craccabile a forza bruta.
A differenza del cifrario di Cesare, ti consente di generare una password anche molto più lunga di quella memorizzata.
Tutto questo con un procedimento semplice e rapido anche se a prima vista non sembra. Devi provare per credere.

Prima di vedere come funziona riassumiamo ancora i vantaggi:
1) consente di generare velocemente una password lunga e complessa (ad alta entropia) a partire da una password facilmente memorizzabile
2) consente di cambiare periodicamente la password senza cambiare la password memorizzata

Il principio è molto semplice.
La griglia ha un carattere per cella, i caratteri sono assolutamente casuali e il sito di Steve Gibson offre un generatore di griglia ad alta entropia che puoi usare per ottenere subito la tua griglia.
Con un paio di regole semplici “navighi” all’interno della griglia usando come guida la tua password e da questa “navigazione” emerge la password ad alta entropia.

Per navigare, come ogni buon esploratore, devi scegliere tre cose:
1) Il punto di partenza: una cella a tua scelta da cui parte la tua navigazione nella griglia.
2) Il percorso. Ad esempio: si scende lungo la colonna fino a trovare la lettera cercata (la prossima lettera della tua password memorizzata) e poi si scorre verso destra lungo la riga fino a trovare la prossima lettera. Ripeterai questa sequenza più volte fino alla fine della password memorizzata.
3) L’obiettivo finale, cioè quali caratteri prendere per comporre la password: ad esempio ogni volta che ti fermi, prendi il carattere che è nella cella a destra di quella in cui ti sei fermato.

Questi tre punti sono il tuo algoritmo per navigare la griglia usando la password memorizzata come guida. Password e algoritmo sono il tuo segreto, li puoi variare a piacere. La griglia può cambiare ma loro no. Impari una volta e sei a posto per sempre.

Facciamo un esempio: la password che hai in memoria è amazon (e qui già  puoi intuire come usare la griglia per generare una password diversa per ogni sito internet).

La cella di partenza qui è la terza della prima fila partendo da sinistra.
L’algoritmo di navigazione è: scendi fino a trovare la prossima lettera, poi a destra fino a trovare la successiva, e via così

Come puoi vedere dall’immagine (presa dal sito di Steve, come tutte le altre) una volta capito il concetto, la navigazione è molto semplice, con un minimo di pratica diventa automatica. Navigherai la griglia come un provetto marinaio.

Se vuoi una password lunga, ogni volta che ti fermi prendi due lettere invece di una, oppure anche tre. Scegli tu, è una scelta da fare solo una volta.

Ecco. Con questo sistema puoi generare una password lunga a piacere e ad altissima entropia ricordandone una facilmente memorizzabile. Puoi cambiare la password quando vuoi semplicemente stampando una nuova diversa griglia, il resto non cambia.

La password che ottieni sarà  lunga e casuale, una password coi baffi. Una password così è difficile da memorizzare ma usandola tutti i giorni in realtà  dopo un po’ io riesco a memorizzarla. Certo, se vado in ferie per due settimane, quando torno l’ho dimenticata. Questo comunque è sufficiente per non dover tirare fuori la griglia ad ogni occasione.

Autenticazione a due fattori

Questa griglia è, di fatto, un “second factor authentication” cartaceo. Alta crittografia e bassa tecnologia.
A partire dalla password che conosci, grazie alla griglia ottieni la tua password complessa. Ti serve una cosa che sai (la password che memorizzi) e una cosa che hai (la griglia).

Se hai usato un conto di online banking sai che il “second factor” è un fattore di sicurezza molto importante. Non basta indovinare o sottrarti con l’inganno la password, serve anche il “second factor” che può essere un token elettronico, una tesserina piena di codici usa e getta, un sms ricevuto sul telefono. Off The Grid è più sicuro di tutti questi sistemi, e anche più semplice.

Cambiare la password

Altro vantaggio di Off The Grid è che cambiando la griglia cambia completamente la tua password. Dal momento che la griglia traduce la tua password memorizzata nella password complessa e sicura che vai da utilizzare, basta cambiare griglia per avere una nuova fiammante password pur mantenendo invariata la password memorizzabile.
Questo è molto importante perché così si elimina alla radice il principale lato negativo dei cambi di password frequenti: spingono a usare password facili da memorizzare e quindi deboli.
Con questo sistema hai una password lunga, complessa, la puoi cambiare frequentemente, non hai bisogno di alcun dispositivo elettronico. Cosa vuoi di più?

Trovo questo sistema non solo geniale ma anche pratico e comodo. L’ho adottato anni fa e non l’ho più abbandonato.

Per tutti gli altri dettagli, le varianti e gli approfondimenti tecnici fai riferimento al sito originale di Steve Gibson.

L'articolo Off The Grid: un sistema semplice per una password veramente sicura proviene da Io Volo Libero.

I CMS sono uno dei principali problemi di sicurezza del web. Sono centinaia i siti basati su WordPress, Joomla e altri CMS che vengono ogni giorno compromessi e utilizzati per diffondere malware.

Personalmente sto passando a Jekyll per siti che non hanno esigenze specifiche, Jekyll infatti funziona un po’ come un semplice CMS ma genera pagine statiche una-tantum. Dateci un occhio, è interessante, ma non è l’argomento di questo articolo.

Per chi è costretto ad usare un classico CMS con i suoi svariati ettogrammi di codice php che viene eseguito ad ogni richiesta, la prima cosa da fare è avere backup quotidiani. La seconda è mantenerlo sempre aggiornato. La terza è avere un sistema per accorgersi immediatamente di una eventuale compromissione. Oggi parliamo di questo.

Per compromissione intendiamo la seguente cosa: l’attaccante riesce, sfruttando una qualche vulnerabilità , a caricare del proprio codice php sul server per poi eseguirlo. Quello che farà  questo codice non ci interessa, ci interessa accorgerci velocemente della cosa.

In linea generale quando si parla di sicurezza prediligo soluzioni semplici, anzi semplicissime. La più semplice soluzione possibile per gestire una problematica è quella giusta, ogni complessità  aggiuntiva aggiunge superficie d’attacco e potenziali problemi quindi bisogna pesare accuratamente i vantaggi e gli svantaggi prima di decidere se adottarla.

La mia soluzione per la “early detection” di una eventuale compromissione è molto semplice (parliamo di sistemi Unix): cambiare l’owner dei file così che qualunque cosa viene scritta dal CMS abbia un owner diverso da quello da me impostato.

Mi spiego.

In una situazione “tipica” i permessi di un file sono questi: -rw-r–r–  1 www-data www-data
I file creati dal CMS, o da un hacker che lo ha compromesso, avranno lo stesso owner.

Cambiamo un po’ le cose, e facciamo diventare i permessi così: -rw-rw-r–  1 user  www-data

Nel primo caso l’owner è l’utente www-data e il gruppo www-data. Nel secondo caso l’owner è diverso. Cambiano anche i permessi associati al gruppo che diventano uguali a quelli che aveva l’owner.

Riassumendo, ambiamo cambiato l’owner da www-data (o qualunque altro utente associato al web server) ad un utente diverso (ad esempio il tuo) mantenendo il gruppo, e abbiamo dato al gruppo i permessi che aveva l’owner.

A questo punto se il CMS crea un nuovo file, questo file avrà  un owner diverso e sarà  facilmente identificabile da uno script che ogni ora “pattuglia” il sito alla ricerca di file che non dovrebbero essere stati scritti. Da questo “pattugliamento” sono da escludere, naturalmente, le cartelle dove il CMS ha tutto il diritto di scrivere file (come le cartelle della cache, dove il CMS può salvare dati ma da qui non può essere eseguito codice – già  che ci sei verifica adesso di aver configurato il virtualhost per non eseguire codice in queste cartelle).

A questo punto puoi mettere un cron che controlla se nelle cartelle in cui il codice può essere eseguito, c’è qualcosa che non ha l’owner giusto e avvertirti.

A quel punto saprai cosa è stato scritto e quando e potrai recuperare il backup più recente o fare un confronto per vedere cosa è successo e rimettere ordine.

Naturalmente quando aggiorni il CMS o i plugin, i permessi cambieranno, stavolta legittimamente, quindi devi avere uno script per rimetterli a posto.

Qui c’è un abbozzo di script da usare come guida:

#!/bin/bash
BASE="/home/utente/www/sito1 /home/utente/www/sito2"
if [ $# -gt 0 ]; then
 BASE=$1
fi
PATHS="."
for B in $BASE;
do
 echo
 echo "Checking site $B ..."
 for D in $PATHS;
 do
   sudo find $B/$D -type d -print0 | while IFS= read -r -d '' f;do
     if ! ls -ald "$f" | tr -s " " | grep "^.....w[sSx]... .*utente www-data " > /dev/null; then
       echo "Folder $f"; 
       sudo chown utente.www-data "$f"; 
       sudo chmod g+wx "$f";
     fi
   done
   sudo find $B/$D -type f -print0 | while IFS= read -r -d '' f;do
     echo "$f" | grep -v "\(/wp-admin/includes/file.php\|wp-content/cache\)" >/dev/null &&
     if ! ls -al "$f" | tr -s " " | grep "^.....w.... .*utente www-data " > /dev/null; then
       echo "File $f"; 
       sudo chown utente.www-data "$f"; 
       sudo chmod g+w "$f"; 
     fi
   done
 done
done

E qui un abbozzo di guida per lo script di monitoring:

#!/bin/bash
BASE="/home/utente/www/sito1 /home/utente/www/sito2"
PATHS="."
chars=0;
for B in $BASE;
do
 find -L "$B/$D" -user www-data -print | grep -v "\(wp-content/cache\|/wp-admin/includes/file.php\|wp-content/uploads\|\/cache\/\)"
done

Meglio prevenire che curare ma, se dovesse capitare comunque, grazie alla “early detection” e ai backup giornalieri potrai velocemente scoprire il fattaccio, capire cosa esattamente è stato fatto e ripristinare solo i file toccati.

L'articolo Come accorgersi subito della compromissione del sito proviene da Io Volo Libero.

Scenario B: Salgo in decollo insieme ad altri piloti, le condizioni non sono buone. Si decide di valutare un po’ la situazione. Intanto qualcuno tira fuori la vela dalla sacca. La situazione meteo non migliora, anzi va peggiorando.

L’esperienza ci insegna che, a parità  di condizioni meteo, nello scenario A è più probabile che il pilota faccia una valutazione oggettiva della situazione e rinunci al volo mentre nello scenario B è più probabile che uno dei piloti che ha la vela già  fuori dalla sacca decida di decollare “prima che peggiori” perché “tanto vado giù subito”, e che tutti gli altri lo seguano a ruota.

Ciascuno di questi fattori contribuisce ad aumentare i rischi che siamo disposti a prenderci:
1) Essere in decollo. Ormai siamo qui, un voletto vogliamo strapparlo, fosse anche una planata.
2) Essere in gruppo. La responsabilità  di una decisione pesa meno se presa dal gruppo, quasi non ci sembra di averla presa noi. Può succedere che alla decisione ci si arrivi lentamente: parola dopo parola ciascuno sembra spostare l’asticella un pochino più in basso e alla fine le condizioni diventano “sufficienti per volare in sicurezza” e la decisione è presa. Può invece succedere che uno dei piloti ostenti sicurezza e inizi a prepararsi, trascinando in questo modo gli altri.
3) La vela fuori dalla sacca. Quante volte ti è capitato di vedere un pilota ripiegare la vela in decollo per rinunciare al volo?

Cosa possiamo fare?
1) Se sali in decollo in condizioni meteo dubbie sii pronto a rinunciare. Prendi coscienza di questa possibilità  sin da prima di salire.
2) Siamo esseri sociali. Nel nostro percorso di crescita, fin da neonati, apprendiamo per imitazione, osservando le persone che ci circondano (famiglia, amici). Questo istinto all’imitazione tende a sopprimere la nostra indipendenza di giudizio. Non facciamoci influenzare e prendiamo le decisioni come se fossimo da soli.
3) Tira la vela fuori dalla sacca solo quando hai deciso che è possibile volare in sicurezza.

L'articolo Scenari proviene da Io Volo Libero.

Sono atterrato a Praga alle 16 (volo easyjet che è costato 50 euro, una iscrizione alla FIVL – i soldi degli iscritti vengono sempre spesi con parsimonia). In attesa dell’ultimo della banda (arrivo previsto per le 20) abbiamo visitato rapidamente Praga. Città  splendida con un’atmosfera incredibilmente coinvolgente, non riescono a farla sfumare neanche le varie telefonate sui casi di malfunzionamento del paracadute di soccorso che si sono accavallati negli ultimi giorni. Altri argomenti per il meeting di domani.

Dopo un paio di ore di navetta arriviamo a ČernའDůl, circa 130km a nordest di Praga,  verso le 22.30. Ci aspetta un piccolo e accogliente albergo dal costo irrisorio (neanche 15 euro al giorno) in un paesaggio che, almeno al buio, sembra particolarmente bello. Siamo ai piedi di una montagna, tra un bosco e un fiume. Accanto all’albergo (dove non manca la connessione wifi) c’è un bracere attorno al quale ci raccogliamo a cuocere salsicce e a bere ottime birre.

Mentre il tasso alcolico e la stanchezza salgono di pari passo, entro a vedere il simulatore di parapendio che Ulrich sta assemblando. Domani mattina proverò questa ultima versione che ha anche il controllo di beccheggio e rollio. Adesso però i dialoghi si svolgono in un mix di almeno quatro lingue diverse, è il segnale che è ora di andare a dormire.

L'articolo La sicurezza quest’anno è ceca proviene da Io Volo Libero.

Qualche giorno fa dovevo andare a Pavia per consegnare un ricorso (magari parlerò anche di questo) e per pigrizia non ho voluto spostare il seggiolino della marmocchia dalla mia auto a quella di Barbara, così sono andato con la sua: una Opel Corsa del 1815 circa che abitualmente usiamo solo per percorrere i 2km che ci separano dalla stazione.

Poco dopo la partenza sentivo i freni fischiettare anche quando non frenavo ma non mi sono preoccupato, l’auto ha qualche annetto e qualche km sulle spalle, circa 130mila ma non sono poi tanti, in fondo la mia ne ha 240mila e sta benone, conto di farla trottare per altri 100mila. In superstrada l’auto tirava un po’ a destra: ho pensato che i pneumatici probabilmente erano un po’ sgonfi e che li avrei gonfiati a Pavia.

Mentre viaggio in tangenziale a circa 80km/h, ben distante dalle auto che mi precedono come d’abitudine (mica per nulla sono consigliere alla sicurezza), trovo il solito “tappo” di auto ferme. Lascio l’acceleratore e premo progressivamente il freno.
Niente.
Premo un po’ più a fondo, niente.
Le auto si fanno vicine e affondo completamente il freno come se stessi tirando un calcio frontale (mae-gheri per i cultori delle arti marziali giapponesi). Ventisette anni di karate servono a qualcosa e l’affondo produce un qualche risultato: l’auto però sembra frenare solo a destra e parte di imbardata, sbandando e sgommando cerca di mettersi di traverso. Lascio il freno e la recupero, poi provo di nuovo a frenare progressivamente. Stavolta funziona.
Le auto sono ripartite, rallento e mi accodo a bassa velocità . Faccio qualche prova e vedo che per frenare devo pompare con il freno. Una situazione simile a quella che mi era accaduta molti anni fa scendendo dallo Stelvio: arrivato in valle il liquido dei freni che si era surriscaldato aveva prodotto delle bolle e per frenare bisognava pompare con il pedale. Solo che stavolta ero in piano e non toccavo i freni da venti minuti.

Guardingo, procedo lentamente mantenendo distanze ancora maggiori e usando prevalentemente il freno motore. I freni ora funzionano bene. Proseguo con cautela fino a Pavia per non arrivare tardi dal giudice di pace, poi controllerò.

Uscito dal tribunale mi rimetto in macchina, mi fremo al primo distributore e controllo le gomme: avevano bisogno di un po’ d’aria, chissà  che la sbandata non dipendesse da quello. I freni ora funzionano ma procedo sempre molto lentamente e ben distante da tutti, arrivo in ufficio e consegno le chiavi al meccanico della porta accanto.

Il responso sarà  che una pinza del freno tendeva a bloccarsi. Con ogni probabilità  in tangenziale stava frenando la ruota, i freni si sono quindi surriscaldati producendo la stessa situazione dello Stelvio. A quel punto mi sono ricordato dei segnali che avevo sottovalutato: il fischio dei freni e l’auto che tirava a destra. Sottovalutare questi segnali mi ha fatto rischiare grosso, l’ampia distanza di sicurezza ha fatto la differenza dandomi il tempo e soprattutto lo spazio per recuperare la situazione. Anche per strada “stai lontano dalla roba dura” è una regola valida.

Questo evento mi ha stimolato una riflessione sulle differenze e le similitudini tra la sicurezza nel volo e la sicurezza su strada.

Nel volo la sicurezza dipende prevalentemente da fattori soggettivi: la nostra preparazione, la cura dei materiali, la scelta di quando e se decollare, il dove andare, i margini di sicurezza che decidiamo di tenere mentre voliamo… La componente soggettiva è prevalente: si può sintetizzare dicendo che il volo è tanto sicuro quanto vuoi renderlo tu. Non esiste nel mondo reale il “vuoto d’aria” o “il colpo di vento improvviso”, sono invenzioni dei giornalisti. La componente più variabile nel volo è quella meteorologica ma le previsioni oggi sono talmente accurate da non dare alcuna scusa. Prima di decollare sappiamo anche qual’è la quota massima che riusciremo a fare, se ci informiamo.

In auto il discorso è diverso perché la sicurezza dipende anche da fattori esterni, ad esempio un sacco di pezzi di metallo che ti sfrecciano intorno muovendosi secondo logiche al di fuori del tuo controllo. Se un’auto che stai incrociando sbanda e ti prende in pieno puoi fare poco e non esiste l’equivalente di un bollettino meteo per cose di questo tipo. Questo è il motivo per cui ho venduto la moto e per cui generalmente uso la macchina piccola solo per spostamenti molto brevi su strade a scorrimento lento.

Anche la manutenzione è diversa: un controllo completo dello stato di tutti gli elementi di un parapendio è cosa facile (oltre che poco costosa, per favore fate sempre le revisioni periodiche, anche le prestazioni ne gioveranno) mentre in un’auto ci sono molti più elementi che possono non funzionare. La macchina di Barbara è vecchiotta ma fa manutenzione regolarmente e ha appena passato la revisione. Ho esperienze, dirette e indirette, di problemi meccanici più gravi di questo su auto nuove o quasi.

La conclusione? Se siamo vololiberisti e automobilisti prudenti abbiamo più probabilità  di avere incidenti stradali che di volo. Non contiamo solo sulla sicurezza passiva (che comunque è cosa buona) ma guidiamo e voliamo in modo responsabile e prudente, non facciamoci fregare dalla routine e dalle abitudini che possono farci abbassare la soglia di vigilanza. L’auto è un mezzo così “normale” che tendiamo a sottovalutarne la pericolosità . Se in volo non sottovaluto alcun segnale perché lo faccio in auto?

L'articolo Ascoltare i segnali proviene da Io Volo Libero.