Category Archives: Tech

heartbleed markloman status

#heartbleed quali password devo cambiare?

UPDATE: la vicenda sta assumendo risvolti sempre più inquietanti

“That would give the NSA access to as many as two-thirds of the encrypted servers on the web. The report also indicates that Heartbleed is far from an anomaly. One source estimates that the NSA has thousands of similar vulnerabilities on file, and the agency has persistently defended their importance in intelligence gathering.”
(The NSA has exploited Heartbleed bug for years, Bloomberg reports – the Verge)

Il 7 aprile è stato reso pubblico il BUG heartbleed e, come riportato nell’articolo, si tratta di un serio problema di sicurezza

The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library
(heartbleed.com)

Bene, vi domanderete, ne sono coinvolto? Vi riporto alcuni dati necessari al fine di inquadrare l’entità del problema.

Il bug è nella libreria OpenSSL, ovvero il codice che implementa il protocollo SSL utilizzato per crittografare il traffico tra il server e il vs browser; ogni qualvolta voi accedete ad un servizio erogato tramite https (es. https://mail.google.com) il protocollo sottostante è SSL e nella stragrande maggioranza dei casi viene utilizzata la libreria OpenSSL.

Una stima approssimata in difetto, indica in circa 500.000 siti affetti dal bug heartbleed.

Our most recent SSL Survey found that the heartbeat extension was enabled on 17.5% of SSL sites, accounting for around half a million certificates issued by trusted certificate authorities
(NetCraft: Half a million widely trusted websites vulnerable to Heartbleed bug )

Bene, ma cosa accade? Qual’è il rischio inerente il bug Heartbleed?
Attraverso questo bug è possibile accedere a blocchi di memoria del server, senza lasciar alcuna traccia nei log.
In pratica con tentativi successivi e senza che ve ne sia evidenza, è possibile recuperare le password in chiaro… si avete letto bene, si riesce ad aver accesso alle vs password da remoto.

Update: un’interessante ed esplicativa vignetta

 

Chiarita l’entità del problema, cosa fare?

Se gestite dei servizi online, è bene che verifichiate con i vs fornitori di servizio le azioni intraprese al fine di minimizzare il rischio Heartbleed. Vi segnalo un buon tool per verificare se il vs servizio online è affetto o meno dal bug: Heartbleed test – di Filippo Valsorda

Se siete solo degli utenti, è NECESSARIO cambiare le vs password di accesso ai servizi online.
Si, ma quali? Questi sono i principali servizi, estratti dall’elenco prodotto da Mashable – The Heartbleed Hit List:

  • Facebook
  • GMail
  • Yahoo
  • Soundcloud
  • Dropbox
  • Tumblr
  • Amazon Web Services

Ultima considerazione: già che ci siete, visto che state cambiando le password… non dimenticate una regola “aurea”

una password univoca per servizio

Avevate un’unica password per accedere ad ogni servizio?… bene è giunto il momento per cambiarle e diversificarle.

Ultimo consiglio, per gestire al meglio la selva di password necessaria per accedere ai vari servizi online, è comodo ed utile appoggiarsi ad un software ad hoc, come ad esempio KeePassx.

P.S.
- non mi risulta sia nota, ad oggi 10 aprile, una lista dei servizi online italiani affetti da tale bug; se ne avete evidenza, segnalatela nei commenti, grazie!

P.S. 2:
 - Attenzione, c’è una lista dei servizi affetti - musalba heartbleed-masstes, ma è datata 8 aprile; vi rammento che il bug è stato scoperto il 7 aprile, quindi ci sono servizi che risultato esenti alla data dell’8 aprile… ma non che non lo siano stati affetti precedentemente

Business Insider: How Location Data Is Being Collected And Transforming The Mobile Industry

WiFi free nei negozi: un costo o un’opportunità? Geo Loyalty e le opportunità di business

Aprire o non aprire il proprio router WiFi? Consentire o meno l’accesso di sconosciuti alla propria rete?

L’accesso alla propria rete WiFi può diventare un’opportunità per veicolare pubblicità, attrarre nuovi clienti e fidelizzarli tramite promozioni e/o buoni sconto.

“is why many retailers are rolling out free public Wi-Fi to enable in-store mobile ads.”
Business InsiderHow Location Data Is Being Collected And Transforming The Mobile Industry )

Opportunità che sta aprendo un mercato molto vasto e che vede già dei player interessanti, LoyalBlocks e Shopkick, solo per citarne alcuni. Continue reading

Confronto tra Facebook Adv e Google Analytics

#Facebook e la pubblicità: i conti non tornano

3 giugno 2012, avvio una piccola, piccola, campagna adv su Facebook, più che altro un esperimento, budget molto contenuto:

  • target sito esterno;
  • pay per click
  • 5€/giorno;
  • durata 4 giorni.

Nota su Pay per click: If you are paying on a cost per click basis, you are charged each time someone clicks on your ad or sponsored story. Campaign Cost and Budgeting

Trascorsi i 4 giorni mi metto ad analizzare traffico ed eventuali click verso il sito pubblicizzato… e li salta fuori l’altarino.

Confronto tra Facebook Adv e Google Analytics

Confronto tra Facebook Adv e Google Analytics

Da un primo confronto tra i dati forniti da Facebook e il traffico misurato da Google Analytics, emerge una differenza macroscopica

Facebook 64 clicks
Google Analytics 13 clicks

il punto è che io ho pagato per clicks… e così a prima vista la discrepanza del 80%!

In pratica Facebook mi sta addebitando un costo nettamente più elevato… pago 100% ma solo il 20% sembra raggiungere il mio sito.

Cosa accade? La differenza è troppo macroscopica… prima di trarre delle conclusioni, cerco dei riscontri in rete.

Continue reading

NIC nuove regole naming

Nuova normativa naming domini .it disponibili anche le lettere accentate dal 11 luglio 2012 rischio esplosione #phishing #noaccentate

** UPDATE 27 giugno**

Il nuovo regolamento obbligherà tutti i brand italiani nel registrare tutte le combinazioni possibili onde evitare il fenomeno del phishing.
Qualche esempio:

corriere.it per evitare il phishing dovrà registrare 800 domini, fineco.it ne dovrà registrare 160, ilfattoquotidiano.it ben 262144!


dominiovocalicombinazioni
paypal.ita,y32
vodafone.it0,a,e320
fineco.iti,e,o160
unicredit.itu,i,e640
telecomitalia.ite,o,i,a51200
corriere.ito,i,e800
generali.ite,a,i400
lastampa.ita64
chebanca.ite,a640
poste.ito,e20
ilgiornale.iti,o,a,e1280
ilfattoquotidiano.iti,a,o,u262144
repubblica.ite,u,i,a2560
wired.iti,e20
nuvolaitaliana.itu,o,a,i65536
impresasemplice.iti,e,a16000
unipol.itu,i,o48

 

Chiediamo al NIC:

  • posticipare l’entrata in vigore delle nuove regole
  • di inserire un ulteriore comma nel documento che vieti la registrazione dei nomi di dominio declinati

Per fare qualche esempio, se esiste:

  • fineco.it NON deve esser possibile registrare fìneco.it e tutte le altre 158 combinazioni
  • telecomitalia.it NON deve esser possibile registrare telecomitalìa.it e le altre 51198 combinazioni
  • ilfattoquotidiano.it NON deve esser possibile registrare le altre 262144 combinazioni
  • ilgiornale.it NON deve esser possibile registrare le altre 1280 combinazioni
sostieni questa iniziativa inviando un tweet con hashtag #noaccentate

Sfido chiunque a distinguere tra www.fineco.it e www.fìneco.it
Occorre osservare che nel Regolamento v6.2 è si indicato:
1.2.3 La registrazione
5) il Registro ripudia l’accaparramento sistematico ed il cybersquatting;
(Regolamento Assegnazione v6.2)
ma non credo sia sufficiente a contrastare il fenomeno, dovrebbe esser chiaramente indicato il DIVIETO di registrazione di nomi declinati.
Grazie a Sergio Gandrus per aver stimolato questa riflessione nel thread da me aperto nel gruppo Indigeni Digitali

25 giugno

Dall’11 luglio 2012 entreranno in vigore nuove regole per il naming emesse dal NIC

La nuova versione del Regolamento Assegnazione v6.2 in vigore dall’11 luglio 2012, introduce la possibilità di registrare nomi di dominio sotto il TLD .it con lettere accentate, nello specifico saranno ammessi i seguenti caratteri

caratteri ammessi:

  • ASCII: cifre (0-9), lettere (a-z) e trattino (-)
  • NON ASCII: à, â, ä, è, é, ê, ë, ì, î, ï, ò, ô, ö, ù, û, ü, æ, œ, ç, ÿ, β

Implicitamente la nuova normativa obbliga la verifica, entro l’11 luglio, di ogni routine/libreria/funzione/codice in uso affinchè siano correttamente gestiti i nomi di dominio con lettere accentate.

Senza una verifica si incorrerà nel classico problema di e-mail bouncing, per dominio inesistente o, peggio ancora, per casi di “omonimia”… chissà se qualcuno avrà già pensato di registrare càsà.it o casà.it o càsa.it ?

Wordpress 3.4 editing dinamico

WordPress 3.4 Twitter embeds, custom captions and more


Wordpress ha appena rilasciato la versione 3.4 della piattaforma, le novità sono davvero interessanti, vediamole:

Continue reading

DNT Chrome ext

Do Not Track – ora puoi scegliere di esser tracciato o meno online

Pollicino lasciava sassolini/briciole per poter tornare a casa, consapevole del destino a cui andava incontro insieme ai suoi fratellini.
Pollicino ne aveva consapevolezza e le effimeri tracce rappresentavano per lui la salvezza…

Quanti di noi hanno consapevolezza delle innumerevoli tracce che lasciamo in giro per la rete?

Ogni sito che visitiamo raccoglie varie informazioni sia direttamente che indirettamente, tracce in parte necessarie per fornire servizi migliori, ma spesso raccolte meramente a fini di profilazione per le campagne pubblicitarie.

Come far fronte?

Continue reading