Tensioni Digitali

La tensione internazionale sale… e l’Agenzia per la Cybersicurezza Nazionale inizia a diramare qualche circolare e consiglio a chi si ritrova, per scelta o designazione, a dover gestire qualche sistema informatico.

Posto che non tutti gestiamo impianti strategici per la Nazione, ciascuno gestisce qualcosa di delicato e fondamentale. Se non ci credi, pensa a cosa non potrebbe fare la tua azienda nel momento in cui le cose che tu fai non le possa fare nessuno, e le cose che gestisci si rompano d’improvviso.

Relativamente alla guerra oggi in corso in Ucraina, sono stati recentemente diramati due bollettini con delle linee guida abbastanza chiare su cosa tener d’occhio:

Insomma, non è il momento di abbassare la guardia. Buon lavoro a tutti!

VULNERABILITÀ COMUNI DI WORDPRESS E PREVENZIONE ATTRAVERSO LE MIGLIORI PRATICHE DI SCRITTURA DEL CODICE

La scorsa settimana sulle pagine del blog di Wordfence — una delle principali realtà a livello mondiale che si occupa di sicurezza per l’ecosistema di siti web realizzati con WordPress e/o WooCommerce — è stato pubblicato un whitepaper che raccoglie una serie di consigli, considerazioni e tecniche di sviluppo software allo stato dell’arte che si propone di aiutare gli sviluppatori a scrivere codice più sicuro e maggiormente mantenibile.

Con una base di installato in continua crescita (si parla mentre scrivo di una stima del 42% dei siti web realizzati), oltre 50000 plugin open-source e disponibili nei repository ufficiali, oltre a temi e a plugin e temi ‘premium’ venduti da aziende ad-hoc, il problema non è certo banale ed è bene che qualcuno si prenda la briga di offrire un aiuto di questo tipo.

Se sei interessato all’argomento il documento è disponibile (senza richiesta di iscrizione a newsletter o fornitura di dati personali !!!) sul loro sito web:
Common WordPress Vulnerabilities and Prevention Through Secure Coding Best Practices →

Buona lettura!

Dov’è di Apple ti aiuta a non perdere il tuo iPhone / iPad / Mac, ma occhio al phishing!

Se sei un proprietario di dispositivi Apple (computer, smartphone, tablet o cuffie della famiglia AirPods) immagino saprai che hai a tua disposizione un potente alleato per l’individuazione del tuo dispositivo grazie ad iCloud e ai servizi di geolocalizzazione raccolti, da qualche tempo, nell’applicazione Dov’è.

Ti consiglio di prendere il tempo necessario a configurarlo e a capirne le potenzialità. Dai casi in cui esci di casa e ti dimentichi di aver preso il cellulare (capitato spesso dopo i leggeri pranzi domenicali dalla nonna con un sacco di parenti), a quando ti cade di tasca (per fortuna in auto!) a quando – sfiga! — ti viene rubato il tuo laptop con Dov’è ci vogliono pochi clic per (cercare di) individuare il tuo disposivo…

Accedi all’omonina sezione di iCloud.com oppure su un altro tuo dispositivo (che usa le stesse credenziali Apple di quello disperso) ed in un attimo potrai vedere con un’ottima approssimazione dove si trova [*]

Questa funzionalità ti permette anche di mandare un messaggio sul dispositivo in modo che un “buon samaritano” che lo ritrovi possa contattarti e restituirtelo…

Ma permette anche – entro certi limiti – di cancellare preventivamente il contenuto dello stesso in modo che i dati non vengano carpiti in qualche modo (anche se, usando FaceID, Touch ID o semplicemente inserendo un codice di blocco del dispositivo tutto il contenuto del telefono viene cifrato e non è possibile una facile lettura dello stesso).

Ma perché ti ho detto di prestare attenzione ai tentativi di phishing ?

La scorsa settimana hanno rubato l’iPhone ad un conoscente dell’amico Enrico Ferraris, arrivato a casa è stata impostata l’opzione Lost Mode da FindMy con l’indicazione del numero di cellulare di contatto. L’iPhone era offline ed è rimasto in attesa di attivazione.

Dopo un paio di giorni verso le 19.30 circa arriva conferma di attivazione lost mode via e-mail. Alle 22.30 arriva questo SMS sul cellulare che avevano indicato nell’avviso:

L’SMS è stato visto non appena svegli al mattino dopo e il proprietario ha subito cliccato sul link proposto, ma vedendo la richiesta di credenziali contenuta nello stesso si è insospettito…

Il dominio apple-maps.report riportava ad una pagina esteticamente identica a iCloud.com sia da desktop sia da mobile. Gli è bastato un attimo di mente fredda (certo non agevolato dall’essere appena svegli e da un tentativo di phishing così mirato) per non cadere nel tranello.

Dopo qualche ora il dominio veniva già indicato come fraudolento dai principali browser, e tutto si è risolto in maniera abbastanza positiva: il telefono è rimasto irrintracciabile e amen, ma almeno le credenziali di accesso (ed i dati custoditi) sono rimasti al sicuro.

Chiudo questo pistolotto con la preghiera di stare SEMPRE attenti quando CHIUNQUE ci chiede di fornire le nostre credenziali di accesso a siti / servizi telematici.

Come configurare e migliorare il firewall di macOS

macOS, come tutti i sistemi *nix, ha un grado di sicurezza maggiore della media (anche se oggi la media sono proprio questi sistemi). Da sempre integra al suo interno, all’interno delle Preferenze di sistema, sezione Sicurezza & Privacy, un firewall … purtroppo disattivato di default.

Il primo passo da fare, quindi, è andarlo ad abilitare. Una volta sbloccato il pannello (cliccando sul lucchetto in basso a sinistra), potremo andare a personalizzare il suo comportamento secondo le nostre esigenze.

Come possiamo vedere, quello su cui abbiamo controllo è il comportamento del nostro sistema rispetto alle connessioni in ingresso.
Cosa farà il nostro Mac quando dalla rete (locale e internet) gli arriveranno richieste di connessione?

A seconda delle risposte che sceglieremo qui sopra si avrà un comportamento più o meno permissivo, e potremo anche andare a personalizzare aggiungendo regole per ciascuna applicazione installata nel nostro sistema tramite il pulsante + e andandola a cercare nella sua posizione di installazione.

Non è finita qui.

I più attenti di voi adesso si faranno una domanda. E come mi comporto con le connessioni “in uscita” ? Cioè tutte quelle che partono dal nostro computer senza che noi le si conosca?

Niente. Di base il nostro Mac a questo non ha risposte. Eppure, vista l’immane mole di dati trasmessa qualche domanda dovremmo farcela.
Per capire la vastità del problema, usando lo strumento di monitoraggio fornito dall’applicazione Little Snitch diamo uno sguardo al mio sistema che, nel momento in cui scrivo, è acceso da poco meno di 24 ore.

Negli ultimi tre anni, data di prima installazione del programma, per poco più di 8TB di dati scaricati, sono stati uploadati dati in uscita per oltre tre volte… E dalle freccettine potete vedere come i dati vadano praticamente in tutto il mondo (!!!!).

Ci sono vari modi per porre un qualche controllo su tutto questo traffico in uscita, si possono autorizzare o meno, in maniera granulare, tutte le applicazioni e i processi di sistema che fanno ‘chiamate di rete’ verso server remoti utilizzando applicazioni firewall di tipo software di “terze parti” dalla configurazione più o meno complessa.

Tra i più noti cito Radio Silence, Hands off!, Little Snitch (che uso dalla versione 2 se non ricordo male e con cui ho ottenuto la mappa qui sopra) e ultimo – ma non per efficacia – il gratuito Lulu appena aggiornato per macOS 11 ‘Big Sur’ che non manco mai di installare e configurare sugli altri Mac di casa, di amici, parenti e colleghi al lavoro.

Lulu che richiede di autorizzare, o meno, un processo di sistema fornendo informazioni sullo stesso.

Spero che questo piccolo articolo torni utile, assicurandovi che questi pochi passaggi possono veramente aiutare a tenere al sicuro il vostro Mac.

Seggiolino auto anti-abbandono, quale ho scelto?

Stamattina mi è capitato di parlare con un collega con cui, in tempi pre-COVID-19, ero solito scambiare due chiacchiere alla macchinetta del caffè parlando di lavori e figli (quasi coetanei).

Come tutti, piano piano riprendiamo le normali attività post quarantena nazionale e lui, come me, si ritrova solo in questi giorni a dover riprendere l’automobile e a fronteggiare l’acquisto del dispositivo / seggiolino anti-abbandono di minore (sotto i 4 anni) previsto da una discussa e francamente assurda Legge dello Stato.

Fatta la premessa che qualunque dispositivo aggiuntivo al seggiolino che io abbia visto immesso sul mercato:

  • NON ha una omologazione (a differenza, per esempio di un casco da moto);
  • che tutti i siti dei produttori pubblicano un PDF come “Certificato di Conformità” dove dichiarano al Ministero la cosa SENZA che tale documento sia almeno firmato e datato digitalmente;
  • il pieno rispetto dei principi enunciati dalla legge è praticamente non ingegnerizzabile in un UNICO prodotto, ma richiede sempre l’attenzione del genitore;
  • che un genitore attento – appunto – non lascia nessuno in auto abbandonato a se stesso

… ebbene, io ho perfezionato l’acquisto del dispositivo aggiuntivo per il nostro seggiolino Foppa-Pedretti già a marzo subito dopo il 7, data di inizio delle sanzioni in caso se ne fosse sprovvisti, e in piena emergenza sanitaria.

Il mio primo consiglio è stato quello di riscattare subito i 30€ di bonus per l’acquisto dell’oggetto sul sito creato ad-hoc dal Governo: https://www.bonuseggiolino.it. La procedura è stata veloce ed indolore e non ha richiesto neanche lo SPID o simili per essere conclusa.
Ho fatto questo perché avevo letto diverse testimonianze di persone che avevano acquistato il dispositivo già a novembre 2019 e poi richiesto la cifra come rimborso, e a marzo ancora dovevano vedere esaudita la propria richiesta.

Fatto questo bisogna verificare il modello che più piace presso i rivenditori/produttori e qui prendere nota di un loro codice identificativo. Questo codice identificativo va poi riportato sul sito del Bonus Seggiolino sopra riportato, abbinato al proprio bonus in modo da ottenere un secondo codice – possiamo pensarlo alla somma de “identificativo” del nostro bonus più l'”identificativo” del venditore – che va riportato in fase di check-out sul carrello dell’e-commerce dove faremo l’acquisto.

E veniamo al dispositivo che ho scelto.

Ho preso un MyMi … composto da un classico cuscino da posizionare sulla seduta del seggiolino auto del bambino, una app da installare sul cellulare e da un dongle da agganciare al portachiavi in caso non si abbia uno smartphone (ad esempio lo si dia in uso ad un nonno non tecnologico che ci aiuta a prendere/portare il bimbo a scuola o dal dentista).
Tra i bonus la lavabilità del prodotto e – sopratutto – l’uso di comunissime batterie, sostituibili dall’utente. Quando tra un anno mio figlio non avrà bisogno del cuscinetto (*) potrò rivendere / regalare il dispositivo a chiunque lasciando un oggetto pienamente operativo.

L’app è perfettibile, ed un figlio impaziente e vivace (* = impossibile quindi da dimenticare in auto) non mi hanno permesso un pieno addomesticamento delle funzionalità proposte.

Ad acquisto effettuato, un altro amico mi ha parlato di Tata, un progetto tutto italiano, vincitore anche di un premio in Germania. Il prodotto mi è sembrato più curato e convincente, con il vantaggio di costare anche 10€ in meno del ‘mio’ MyMi.


A posteriori – anche solo per il risparmio – penso che prenderei quest’ultimo se dovessi perfezionare oggi l’acquisto. Spero che queste brevi note siano utili a qualche altro genitore, e se ci fossero domande i commenti qui sotto sono sempre aperti per il dialogo ed il confronto.

una precisazione

In merito ai cuscini e alla loro compatibilità con i seggiolini auto. Il mio seggiolino auto (Foppa Pedretti, ma ho visto che è una pratica diffusa) esplicita chiaramente che anche l’uso di una semplice mussola inficia la sicurezza del tessuto anti-scivolamento che ricopre il seggiolino così come è stato omologato, sconsigliandone l’uso. E mi chiedo cosa possa accadere in caso di incidente con danno al minore, per avere usato una mussola decadono i miei “diritti”?

Tornando al discorso, solo comprando cuscini e seggiolini dello stesso marchio questa clausola viene meno, avendo trovato sulle istruzioni e certificati del cuscino/dispositivo anti-abbandono esplicitamente espressa la piena compatibilità tra i due prodotti.

A me è sembrata l’ennesima tacca sulla barra delle cose a sfavore dell’implementazione di questo strumento di sicurezza e ho semplicemente deciso di fregarmene. Tu magari la potresti pensare diversamente…

Letture suggerite del 15 gennaio 2020

JETPACK, *IL* PLUGIN PER WORDPRESS

Jetpack è IL plugin che non deve mancare nelle mie installazioni di WordPress. Sarà perché sono un utente della prima ora, sarà perché il suo sviluppo segue molto – molto – da vicino quello della piattaforma… non c’è un mio sito che non lo usi.

Nasce dallo spin-off della piattaforma commerciale WordPress.com, ponendosi come primo tassello per la vendita di servizi software associati alla piattaforma di blogging pubblicazione online più diffusa al mondo. Permette infatti l’attivazione di un impressionante numero di funzionalità (sharing su altri social, utilizzo di CDN, back-up, generazione sitemap, generazione statistiche dei visitatori, scrittura MarkDown e LaTeX e molto altro) in maniera semplice ed integrata, e allo stesso tempo fornisce un punto d’accesso verso servizi premium offerti da Automattic quali CDN evoluto, sistemi antispam e ‘di sicurezza’, back-up, supporto tecnico e tanto altro.

Per molti il plugin offre troppe funzionalità e addirittura il suo (ab)uso rallenta le performance dei siti web che lo utilizzano. Nella mia esperienza, invece, tutto questo non si è mai rivelato un problema… forse perché non ho mai scelto hosting economici e anzi sino ad oggi ho premiato quelli che fornivano un supporto ‘preferenziale’ al nostro CMS.

Certo è che è l’aspetto filosofico che ogni tanto mi fa nascere una smorfia sulla faccia. Jetpack come un cavallo di Troia per vendere un servizio commerciale. Poi però mi riprendo e penso che da 15 anni non ho mai avuto un’email o un pop-up nella dashboard che mi inviti insistentemente a pagare qualcosa, ne che pubblicizzasse con estrema enfasi i benefici possibili.

Quando poi leggo changelog come quello dell’ultimo aggiornamento di due giorni fa, allora il sorriso mi torna ad illuminare il volto:

In addition to Jetpack 7.9.1, we worked with the WordPress.org Security Team to release patched versions of every version of Jetpack since 5.1. Most websites have been or will soon be automatically updated to a secured version. Versions released today include 5.1.1, 5.2.2, 5.3.1, 5.4.1, 5.5.2, 5.6.2, 5.7.2, 5.8.1, 5.9.1, 6.0.1, 6.1.2, 6.2.2, 6.3.4, 6.4.3, 6.5.1, 6.6.2, 6.7.1, 6.8.2, 6.9.1, 7.0.2, 7.1.2, 7.2.2, 7.3.2, 7.4.2, 7.5.4, 7.6.1, 7.7.3, 7.8.1, 7.9.1. If you are running any of these versions, your website is not vulnerable to this issue. But, if you’re not running the latest and greatest—7.9.1—your site is missing other security enhancements!

Quante software house si preoccupano di patchare tutte quelle versioni di un proprio software?

Letture suggerite del 30 Ottobre 2019