Il taccuino di Armando Leotta Rotating Header Image

wi-fi

Cara Google, sui tuoi server anche la mia chiave WPA2 wi-fi?

Oggi è entrato in casa l’ennesimo gioiellino Android, un Galaxy Nexus: benvenuto ICS, Ice Cream Sandwich.

Pensavo di fare un classico unpacking riassumendo le prime impressioni su questo splendido apparato ma sono stato distratto.

Appena acceso ho effettuato la sincronizzazione e profilazione dell’account Gmail via 3G.

Splendido, funzionava tutto al primo tentativo senza alcuno sforzo.

Appena arrivo in casa, aggancia il wi-fi immediatamente: spettacolo.

Uh che strano, non mi chiede la password.

Clicca per ingrandire

La “perplessità” nasce dal fatto che la password c’è eccome e quel telefono ancora con la pellicola sullo schermo di sicuro non la conosce dovrebbe conoscere.

La connessione è perfettamente funzionante.

Controllo il pannello di configurazione della rete wifi e scopro un ulteriore tassello: le reti “fuori portata“.

Clicca per ingrandire

Apparecchio nuovo: quali sarebbero le reti “fuori portata“?

Facile: reti utilizzate in vacanza e distanti da me in questo momento tra i 500 e gli 800 Km!

Cliccando su una delle reti “fuori portata” si vede che ha associata una passphrase:

Clicca per ingrandire

 

Cara Google, magari sarà scritto in qualche meandro remoto delle condizioni contrattuali e d’uso del sistema operativo e/o dei servizi offerti.

Certo è che non capisco perchè tu debba annotare sui TUOI server gli access point ai quali IO mi collego e, peggio, perchè salvi anche la relativa passphrase.

Posso capire il servizio lamer proof ma salvarsi le mie passphrase sui tuoi server, onestamente, non mi piace neanche un po’.

P.S.: Finalmente hanno capito che può essere utile effettuare un banale screenshot senza dover rootare il dispositivo

Decreto Pisanu esce dalla porta ma…

Ricorderete che il decreto milleproroghe, tra l’altro, comprendeva l’abrogazione di alcuni comma dell’art. 7 del decreto Pisanu (commi 4 e 5 relativi all’obbligo di identificazione degli utenti tramite documento di identità ed all’obbligo di conservazione dei registri di log).

Per quanto d’accordo con la necessità di abolire le storture tutte italiane che il decreto ha causato, sono dell’opinione che è bene non fare nemmeno l’errore opposto.

Sono stato sempre sostenitore dell’accesso libero ad internet ed alle informazioni in essa contenute e veicolate.

Libero da legacci burocratici e normativi improbabili ed insostenibili; un accesso dunque disponibile ed accessibile a tutti in modo semplice, gratuito ed immediato.

Non a caso, però, non ho utilizzato il termine anonimo. Free, nel senso più ampio del termine ma non anonimo.

Questa è una cosa che ho sempre ritenuto essenziale, tant’è che ho mostrato alcune perplessità verso l’annunciata abrogazione tout court.

In rete in questi giorni non si parla d’altro: il Senatore Malan e ed il suo emendamento al disegno di legge di conversione del Milleproroghe. Su Wired e sul sole24ore si pone l’attenzione sull’emendamento del Senatore

“Entro trenta giorni dalla data di entrata in vigore della legge di conversione del presente decreto, con decreto del Ministro dell’interno, sentito Il Garante per la protezione dei dati personali, sono stabilite le ipotesi in cui si rende necessario il tracciamento di dati identificativi del dispositivo utente o la preventiva identificazione, anche indiretta, dei soggetti che utilizzano postazioni pubbliche non vigilate, ovvero punti di accesso pubblici a tecnologia senza fili, per accedere alla rete internet

che affiderebbe, di fatto, al Viminale il compito di stabilire con un DM da emanarsi entro trenta giorni dall’entrata in vigore della legge di conversione, le ipotesi nelle quali sarà necessario identificarsi prima di accedere ad una rete Wifi.

Si possono fare mille osservazioni ma la prima che mi viene in mente è che, con tutto il tempo avuto a disposizione, si potevano fare per tempo le modifiche piuttosto che assistere al balletto del wi-fi.

Secondariamente, a volersi imporre un cauto ottimismo, si potrebbe leggere nelle parole “anche indiretta” quel tipo di identificazione a monte (vedi sms/MMS o mail, ad esempio) che potrebbe garantire l’accesso libero ma non anonimo.

Su questo si potrebbe (e dovrebbe, a mio avviso) parlare e confrontare.

L’altra variabile è che, lo stesso Senatore Malan, intervenendo nel blog di Mantellini, ha affermato di averli ritirati.

Bene, pericolo scampato (per ora).

P.S.: free <> anonimo

Firesheep e la scoperta dell’acqua calda: più hijack per tutti

E’ sempre oppurtuno adottare un linguaggio consono al contesto in cui ci si trova ad interagire.

Il must di questi giorni è “le reti wi-fi open sono insicure: stanne lontano!“.

Verissimo ma noi addetti ai lavori lo diciamo da anni. Per quanto mi riguarda, una parte dei corsi di sicurezza che tengo fanno sempre riferimento a questo aspetto.

Leggere che l’emergenza è il rilascio di un’estensione di firefox (Firesheep) che, notiziona, permette di  rubare l’identità e le credenziali digitate in qualsiasi dispositivo navighi utilizzando il punto di accesso non adeguatamente  protetto, onestamente mi fa sorridere vista anche la natura a mio avviso dimostrativa molto più vicina ad un proof-of-concept che ad un tool malevolo.

L’informazione è fuorviante: quanto riesce a fare questa estensione con una semplicità disarmante è possibile da sempre a parità di condizioni.

Cosa c’è di nuovo allora?

C’è che adesso migliaia di wannabe e script kiddie (in più) senza necessariamente spiccate competenze tecniche si divertiranno a rubare l’identità a coloro che usano hot spot non opportunamente protetti: adesso il messaggio è abbastanza chiaro per acquisire una tardiva consapevolezza?

La carta dei cento e la proposta Cassinelli

wifizonelogo300Leggo con piacere dell’iniziativa “La carta dei cento per il libero Wi-Fi” e della proposta bipartisan dell’On. Cassinelli.

Credo che a monte di entrambe ci sia la consapevolezza di salvaguardare lo sviluppo e la libertà in Rete senza che la stessa possa in alcuni casi degeneare in visioni anarchiche, pericolose o irresponsabili.

Dal blog dell’On. Cassinelli:

Ritengo, però, che la novità più importante prevista nella proposta di legge sia la seguente: non sarà più necessario presentare fisicamente un documento, ma il riconoscimento dell’utente potrà avvenire in maniera indiretta ed automatica. Cioè, anche nei casi in cui sarà stabilita la necessità dell’identificazione, questa potrà svolgersi con procedure indipendenti dall’interazione personale utente-operatore, quindi preservando il carattere di immediatezza delle moderne tecnologie, senza però mettere in alcun modo a repentaglio la sicurezza pubblica.

Credo che questo sia il passo determinante, consapevole e decisivo. Altrettanto lodevole l’ipotesi concreta dell’identificazione, nei casi ritenuti necessari, tramite SMS e la conseguente associazione all’intestatario della SIM.

Credo sia solo un passo ma è sicuramente nella direzione giusta.

Il mio personale apprezzamento all’On. Cassinelli per la proposta di legge nonchè ad Alessandro Giglioli, Guido Scorza, Sergio Maistrello e  Raffaele Bianco (e tutti gli altri giornalisti, blogger, imprenditori coinvolti) che hanno contribuito all’iniziativa Carta dei cento a cui nel mio piccolo aderisco condividendone pienamente i contenuti.

Falla in WPA: cautela, non allarmismi

Si legge su alcuni siti che è emersa una falla nel WPA, sistema crittografico usato nelle reti wi-fi.

Ho commentato su Zeus News  e su Punto-Informatico questa notizia che riassumo brevemente.

Dei ricercatori tedeschi hanno sottolineato la possibilità in alcune stringenti ma verosimili condizioni che tramite attacchi del dizionario o chopchop modificato per il TKIP (il protocollo oggettivamente incriminato, non il wpa) si possono decifrare pacchetti corti come ARP e ARP response.

Questo è possibile in quanto il TKIP è stato progettato come soluzione legacy per quegli apparati aggiornabili che funzionavano solo con il WEP. Pertanto, di quest’ultimo si porta dietro alcune criticità (come il cipher RC4 e l’ICV (con MICHAEL e non con CRC32) ad ogni pacchetto cifrato.

Per il resto, nulla di nuovo sotto al sole se non un livello di attenzione che la problematica merita anche da parte dei non addetti ai lavori.

Attendiamo fiduciosi il paper della PacSec di Tokyo per leggere i dettagli dello studio presentato dai due ricercatori.

Nel frattempo, se non potete disabilitare il TKIP e usare solo AES-CCMP, abbassate il rekeying time del TKIP a 60-120 secondi al massimo, per ora…

P.S.: avete il TKIP ancora abilitato? AES o direttamente WPA2 😉