Candy Box!

Con questo messaggio vorrei chiudere, sino alla fine dell’estate, la breve serie degli articoli del Venerdì consacrati a dei giochi.

Per durare sino a Settembre, dovevo trovare un gioco che possa tenere occupati a lungo: per fortuna c’è!

Semplice nell’interfaccia (testo ed un po’ di ASCII ART), Candy Box è lungo da portare a termine, e non del tutto immediato da capire. Bisogna avvicinarlo con curiosità ed un po’ di pazienza, ed allora sarà in grado di soprendere, ed intrigare!

Candy-Box

Candy Box: http://candies.aniwey.net/

Bombermine

Oggi internet (quasi) non funziona: un operatore malese l'ha (proprio) mandato in crisi.
E ciò nonostante, tu? Tu non cogli l'occasione per anticipare l'ora dell'aperitivo. Tu.
Sei al computer. Tu.

E la tua connessione funziona, almeno un po' (eh, mi leggi…). Tu.

Non sono coincidenze, queste, sono segni, segni che indicano. Tu. Te. Tu. (lo so che è sbagliato, ma serve per coerenza, se no si rovina l'anafora: cosa sarà mai il rispetto dei casi rispetto ad una bella figura retorica?).

Devi agire, devi assumere il tuo ruolo come protagonista. … Ma chi, egli? NO! TU!

Approfitta della tua connessione e gioca, tu che puoi, con il gioco della settimana!

Ci starebbe bene una sigla, qui. (Non è che la faresti? Eh, certo, non io… TU! Vabbe', dai, ne parliamo dopo).

Da un grande classico, Super Mario, proposto Venerdì scorso, passiamo ad una creazione recente. O quasi, dato che il gioco di oggi esiste da più di un paio d'anni: Bombermine.

Bombermine

Sappi che si tratta di un altro gioco da navigatore, un altro gioco che può mettere un po' sotto sforzo la tua macchina (controlla o, se non altro, elimina i programmi non necessari).

Girerai nel mondo che ti si presenta (usando le frecce) e lasciando delle bombe lungo il tuo percorso (con la barra spaziatrice). Non dovrai farti colpire dalle bombe, né le tue né quelle degli altri giocatori.

Eh sì, perché a differenza dei giochi precedenti, qui non sei da solo: il tuo obiettivo, anzi, è farli finire vittima del tuo fuoco.

Ecco, abbastanza spiegazioni: scegli di giocare come ospite (Play as Guest), individua il server con la minore latenza, chiedi, eventualmente, di iniziare il gioco con la modalità "tutorial" ed inizia a correre e disseminare le tue bombe!

Tu. Ma quasi quasi, forse, pure io.

Bombermine: http://bombermine.com/

Parole d’ordine: come si bucano, creano e conservano

Scegliere una parola d’ordine

Esistono attualmente due scuole di pensiero a proposito della scelta di parole d’ordine sicure.

La prima consiglia di sostituire l’idea di parola d’ordine con una frase d’ordine: sarà quindi più lunga di una sola parola, sarà organizzata sintatticamente, e, se personale, non sarà facile da indovinare. Edward Snowden ha illustrato questo approccio proponendo a titolo di esempio “Margaret Tatcher is 110% sexy”: si tratta di una frase che include numeri e simboli, lettere maiuscole e minuscole e (se consentito) spazi; una parola d’ordine scelta in questo modo raggiunge un alto livello di entropia ed è molto difficile da bucare.

La seconda, invece, spiegata da in questo testo da Bruce Schneier, propone di partire da una frase memorizzabile e personale, ed elaborarla. In questo modo “Cappuccetto rosso è nel bosco con il lupo” (che non è una frase personale) potrebbe diventare “cr3NELbcILl”.

Usare un programma per gestire le parole d’ordine

Sempre diverse e complesse: gestire in maniera efficace le parole d’ordine rischia di essere impegnativo.
Per questo esistono dei programmi appositi, dei gestori di password (ma anche di altre informazioni che si vogliono conservare in maniera riservata) che custodiscono ed eventualmente generano, delle parole d’ordine sufficientemente complesse, e devono chiaramente anche proteggerle salvandole in maniera cifrata.

Le soluzioni possibili sono numerose, ma non tutte quelle che si pubblicizzano rispettano i criteri richiesti. Ecco quindi una lista di alune possibilità: solitamente riescono a coprire la maggior parte delle piattaforme, e tutte potrebbero, in una versione o un’altra, costare qualcosa.

1Password

È il programma più affermato su OS X, molto comodo, non economico.

Il codice sorgente non è libero, ma una gli autori del programma si sono interrogati in maniera interessante sul rischio che il programma sia compromesso dalle attività della NSA (leggi). Gli schemi che adotta, invece, sono liberi: in questo modo è facile, quando si vuole cambiare, importare i dati in un altro programma.

https://agilebits.com/onepassword

Password Safe

Creato originariamente da Bruce Schneier per Windows, adattato anche ad altri sistemi operativi.

Il suo codice sorgente è libero.

http://www.pwsafe.org/

KeePass e KeePassX

La soluzione probabilmente più diffusa in ambito open source. KeePass è un programma per Windows che può girare su GNU / Linux e OS X tramite mono.

Per superare questa limitazione si può usare KeePassX.

Pass

Per utenti non alle prime armi: una soluzione da riga di comando, che usa GPG per cifrare i dati e Git per salvarli.

http://www.passwordstore.org/

Dashlane

Si tratta probabilmente del sistema migliore per i meno attenti, a condizione di uno sforzo iniziale. Il programma, oltre a salvare le parole d’ordine, grazie a delle estensioni dei navigatori, completa i formulari in linea in maniera automatica. Offre il servizio di sincronizzazione automatica via internet, adotta dei buoni metodi di cifratura (o almeno dice: non è un programma libero, per cui non si può controllare), ed avvisa quando un servizio è vittima di un problema di sicurezza.

https://www.dashlane.com/

Lastpass

Si tratta di un servizio che permette di salvare in linea le tue parole d’ordine, e quindi di sincronizzarle con i tuoi diversi apparecchi.
Il difetto di questa architettura è di accumulare un “tesoro” di informazioni riservate, un tesoro di dimensioni mondiali: non sembra avere avuto conseguenze, ma è già successo che i suoi dati siano stati messi parzialmente in pericolo (qui la notizia).

pwgen

Qualunque soluzione scegli, questo programma da riga di comando può essere utile per generare delle parole d’ordine complesse.

Per generare una parola d’ordine [1] di 15 lettere [15] che includa maiuscole [c], numeri [n], simboli [y] che sia casuale [s], basta questo comando:

pwgen -cnsy 15 1

Più informazioni, ovviamente, digitando man pwgen.
A questo proposito, però, gradisco un contributo: il programma non è, da quel che mi risulta, installato sulle versioni di OS X così come preparate da Apple. Ho il dubbio che possa far parte di quello installato con gli strumenti da riga di comando (altrimenti arriva con Homebrew, direttamente o via dipendenze): qualcuno mi può fornire riscontro?

Di seguito, un articolo di Bruce Schneier che illustra il suo approccio, fornisce dei consigli, e, soprattutto, spiega come vengono bucate le parole d’ordine. Una lettura molto utile ed interessante, tenendo tuttavia presente che il caso che illustra è “limite”: niente ansia quindi, lo scenario descritto è quello di una compromissione già in corso o di un attacco mirato su una persona, non il quotidiano di ogni utente.

Scegliere delle parole d’ordine sicure

di , https://www.schneier.com/blog/archives/2014/03/choosing_secure_1.html

Le password: per quanto in generale siano poco sicure, non ce ne libereremo tanto presto. Ogni anno bisogna gestirne sempre di più, ed ogni anno aumentano le risorse per bucarle: serve una strategia.

La maniera migliore per capire come scegliere una buona parola d’ordine è capire come vengono bucate.

Bucare una parola d’ordine

In linea generale l’attacco più frequente è quello noto come attacco offline ad indovinare.

In questo caso, un aggressore recupera una lista di parole d’ordine cifrate da un servizio che richiede autenticazione. Il suo obiettivo è ottenere da quel documento le parole d’ordine non cifrate, ed potere usarle per autenticarsi. Come farlo? Tira ad indovinare e poi controlla se ci è riuscito. La velocità dei tentativi è limitata solo dalla capacità del computer di gestirli, è un attacco che può essere svolto con parallelizzazione, ed ottiene una conferma immediata. Sì, ci sono delle maniere per contrastare questo attacco, ed è per questo che possiamo ancora usare dei PIN di quattro lettere per i bancomat, ma questo è il modello.

Ci sono dei programmi commerciali che bucano le password, venduti principalmente alle forze di polizia. Ci sono anche degli strumenti da smanettoni. E funzionano molto bene.

I fattori determinanti del processo sono principalmente due, indipendenti l’uno dall’altro: potenza ed efficienza.

La potenza è semplicemente la capacità di calcolo. Con computer più veloci si possono verificare più parole d’ordine al secondo; un programma dice di gestirne addirittura otto milioni, in un secondo. Questi “cracker“ possono girare per giorni interi, su più di una macchina. Per un indagine di polizia di alto livello, possono anche girare per mesi.

Efficienza invece è l’abilità di elaborare delle ipotesi intelligenti. Non ha senso provare ogni singola combinazione di otto lettere da “aaaaaaaa” a “zzzzzzzz” una dopo l’altra. Sono 200 miliardi di parole d’ordine possibili, e la maggior parte di queste non sono affatto verosimili. Per bucare una password si provano prima le combinazioni più frequenti.

Una parola d’ordine tipica è formata da una radice ed un’appendice. La radice non è necessariamente una parola presente nel dizionario, ma di solito è qualcosa di pronunciabile. L’appendice è o un suffisso (il 90% delle volte) o un prefisso (il 10% delle volte). Un programma di estrazione password che ho visto iniziava con un dizionario di circa mille parole comuni: cose come “letmein” (lasciamientrare), “temp”, “123456”, così via. Poi combinava ciascuna di queste con cento suffissi comuni: “1”, “4u”, “69”, “abc”, “!”, e via dicendo.
Con queste sole centomila combinazioni, è riuscito a recuperare circa un quarto di tutte le parole d’ordine che doveva ottenere.

In questo genere di operazioni si usano più dizionari: parole inglesi, nomi, parole straniere, combinazioni fonetiche frequenti, eccetera. Questo per la radice della parola d’ordine.
Per i suffissi, invece, si usano dizionari con diversi casi di maiuscole e sostituzioni frequenti: “$” al posto di “s”, “@” per “a”, “1” per “l” e simili. Questa strategia di tentativi riesce a bucare rapidamente circa due terzi di tutte le parole d’ordine.

Gli estrattori moderni combinano parole diverse dai loro dizionari.

Quello che è stato notevole di tutte queste sessioni di estrazione sono le parole d’ordine che sono state rivelate. Delle combinazioni come “k1araj0hns0n” (“Kiara Johnson“ senza spazio e con sostituzione di “i” e “0”), “Sh1a-labe0uf” (“Shia LaBeouf”, nome di un attore) “Apr!l221973,” (una data in formato statunitense, 22 Aprile 1973), “Qbesancon321”, “DG091101%”, “@Yourmom69“, “ilovetofunot“, “windermere2313”, “tmdmmj17”, e “BandGeek2014”. Ed anche: “all of the lights“ (sì, su molti siti è consentito usare gli spazi), “i hate hackers“, “allineedislove“, “ilovemySister31”, “iloveyousomuch“, “Philippians4:13” (coordinate di un versetto della Bibbia), “Philippians4:6-7” (due versetti), and “qeadzcwrsfxv1331”. “gonefishing1125” è stata un’altra parola d’ordine indovinata. Pochi secondi dopo vera vista apparire sullo schermo, è stato osservato “Non la troveresti mai usando un attacco di forza bruta”.

Ecco perché l’approccio spesso evocato (anche nelle vignette di XKCD, come questa) di generare delle parole d’ordine fomando delle stringhe di parole singole, come “correcthorsebatterystaple“ non è più una buona tecnica. I metodi di estrazione ci sono arivati.

L’aggressore raccoglierà ogni informazione accessibile sull’autore della parola d’ordine. Un buon estrattore proverà nomi ed indirizzi della rubrica, date significative ed ogni altra informazione personale di cui disponga. I CAP sono appendici comuni. Se può, l’aggressore indicizzerà il disco fisso del suo obiettivo e creerà un dizionario a partire da ogni stringa stampabile, compresi i documenti cancellati. Se hai mai salvato la tua parola d’ordine in un’e-pistola, in un documento nascosto da qualche parte, o in un programma salvato nella RAM, questo approccio lo recupererà. E questo accelererà l’estrazione della tua password.

Nel 2013, il giornale Ars Technica ha dato un documento con 16.000 parole d’ordine cifrate a tre esperti, chiedendo loro di bucarne il più possibile. Il vincitore ne estrasse il 90%, il perdente il 62%. Abbiamo visto lo stesso genere di cose nel 2012, nel 2007 e prima ancora. L’unica novità, se ce n’è una, è che il processo diventa più rapido e veloce di quanto pensi la gente.

Praticamente ogni combinazione che possa essere ricordata, può anche essere bucata.

La soluzione

C’è ancora un approccio che resta valido. A suo tempo, nel 2008, lo descrissi, chiamandolo “lo schema Schneier“:

Dunque, se vuoi che la tua parola d’ordine sia difficile da indovinare, devi scegliere qualcosa che sfuggirà a questo attacco. Il mio consiglio è di prendere una frase e trasformarla in una parola d’ordine. Qualcosa del tipo “Cappuccetto rosso è nel bosco con il lupo” potrebbe diventare “cr3NELbcILl”. Questa parola d’ordine, di undici caratteri, non sarà nel dizionario di nessuno. Ovviamente questa non la userò, perché oramai è pubblica. Scegli la tua frase, qualcosa di personale.

Ecco alcuni esempi:

WIw7,mstmsritt… = When I was seven, my sister threw my stuffed rabbit in the toilet (ossia “Quando avevo sette anni, mia sorella mise il mio coniglio di peluche nel water”).

Wow…doestcst = Wow, does that couch smell terrible (“Oh, caspita, quel divano ha un pessimo odore”).

Ltime@go-inag~faaa! = Long time ago in a galaxy not far away at all (“Tanto tempo fa in una galassia non lontana per niente”).

uTVM,TPw55:utvm,tpwstillsecure = Until this very moment, these passwords were still secure (“Fino a questo momento, queste parole d’ordine sono ancora sicure”).

Questo, per dare un’idea. Si tratta di combinare una frase propria, non con alcuni trucchi memorizzabili per modificare quella frase e farne una parola d’ordine sufficientemente lunga. Ovviamente, il sito per il quale viene usata dovrà accettare i carattteri non alfanumerici ed una lunghezza libera. Altrimenti è molto più difficile.

Una soluzione ancora migliore è usare delle parole d’ordine casuali, alfanumeriche, con simboli se consentit, ed un programma di gestione di parole d’ordine, come Password Safe. Indica quanti caratteri vuoi (di solito per me è dodici) e ti darà una parola d’ordine del tipo “y.)v|.7)7Bl”, “B3h4[%}kgv)”, e “QG6,FN4nFAm_”. Il programma consente il copia ed incolla, per cui non dovrai praticamente mai scrivere queste password tu stesso. Consiglio Password Safe per Windows perché ne ho scritto la prima versione, conosco la persona che mantiene il codice, ed ho fiducia nella sua sicurezza. Ci sono delle versioni di Password Safe per altri sistemi operativi, ma non ho avuto niente a che vedere con quelle. Ci sono altri programmi di gestione password in giro, per chi vuole esplorare un po’.

Non si tratta poi solamente di scegliere una parola d’ordine sicura:

Non riutilizzare mai una parola d’ordine importante. Se Never reuse a password you care about. Anche se scegli una parola d’ordine sicura, il sito potrebbe esporla per incompetenza. Qualcuno potrebbe recuperare la tua parola d’ordine da un sito ed usarla per un altro: questa è l’ultima cosa che vuoi.

Non preoccuparti di aggiornare la tua parola d’ordine regolarmente. I siti che impongono di aggiornare la parola d’ordine ogni novanta giorni (o chissà quanti) fanno più male che bene. A meno che tu non abbia motivo di credere che la tua parola d’ordine è compromessa, non cambiarla.

Attenzione alla “domanda di sicurezza”. Non vuoi che sia più facile bucare quella che non la tua parola d’ordine (ricorda che le tue informazioni personali possono essere state raccolte dall’aggressore).

Davvero, usare un gestore password è una buona scelta. Oppure scrivile su un foglio che conserverai in maniera sicura.

Un ultimo consiglio: se un sito offre l’autentificazione a due fattori, prendila seriamente in considerazione. È quasi certamente un miglioramento della sicurezza.

Perché adesso tante leggi che peggiorano la sorveglianza?

Sono numerosi gli stati che discutono, in questi mesi, nuove leggi relative ai servizi segreti: Francia, Regno Unito, Svizzera, Canada ed Australia, per citare alcuni. La coincidenza può già bastare, da sola, per suscitare l'attenzione, ma porsi delle domande diventa naturale quando si nota il tenore di questi testi: gravemente lesivi dei diritti dell'uomo, liberticidi ed intrusivi, non ci saremmo aspettati di vederli proposti dopo le rivelazioni permesse da Edward Snowden. Perché, dunque?

Benjamin Bayart è stato presidente del più vecchio FAI francese ancora in esercizio, FDN, presiede FAI francese ancora in esercizio, FFDN e, più in generale, un militante che da anni lotta per la difesa delle libertà fondamentali su internet.

Per la domanda, Benjamin Bayart ha una risposta: può sembrare semplicistica e forse effettivamente non coglie appieno i molteplici fattori che sono entrati in gioco, ma credo che questa sia la sola critica che le si può rivolgere, di essere un'approssimazione per difetto, e non certo di essere falsa.

Secondo lui il convergere di numerosi calendari legislativi su questi temi è connesso a quanto avviene negli Stati Uniti d'America, dove il rinnovo di alcune sezioni del Patriot Act, pietra angolare del sistema di sorveglianza di massa operato dalla NSA è fallito e, più in generale, tutta l'architettura rischia di essere compromessa.

Qual è il legame? Il legame è la cooperazione che unisce i servizi segreti di questi paesi con la NSA, agenzia che collabora, a diversi livelli, con i suoi omologhi di 47 stati stranieri (Italia inclusa).

Grafico delle collaborazioni tra la NSA ed i servizi segreti di altri 47 nazioni. Da http://electrospaces.blogspot.it/2014/09/nsas-foreign-partnerships.html

Grafico delle collaborazioni tra la NSA ed i servizi segreti di altri 47 nazioni. Da http://electrospaces.blogspot.it/2014/09/nsas-foreign-partnerships.html

L'intesa include uno scambio di favori, una parte facilita la raccolta dati dell'altra, ed in cambio ottiene la possibilità di ricevere dati che gli Statunitensi (perché sono sempre loro ad incamerare) vogliono condividere: si tratta, da quello che possiamo dedurre, delle informazioni relative al traffico nazionale.

Se la NSA fosse gravemente indebolita, per i servizi segreti esteri nascerebbe la difficoltà di procurarsi gli stessi dati in altro modo: ecco, quindi, le leggi per consentire a livello locale i crimini commessi dalla NSA e che da due anni a questa parte stiamo scoprendo; ecco tante leggi da fermare.

Ind.ie lascerà il Regno Unito

indie

Come ho già detto altrove, le rivelazioni sulla sorveglianza di massa a livello mondiale che da due anni sembrano avere spinto alcuni politici a sposare una linea semplice: o la va, o la spacca.

È proprio questo quello che ha fatto David Cameron, cavalcando l’emozione per l’attentato di Parigi alla redazione di Charlie Hebdo, manipolando la grande reazione e inserendo nella sua campagna elettorale progetti gravemente liberticidi.

Continua a leggere →