FIDO U2F Security Key per l’accesso a GMail e altri servizi BigG

OLYMPUS DIGITAL CAMERAHo finalmente avuto modo di testare la Security KEY che implementa lo standard FIDO U2F per l’autenticazione in 2 step senza l’utilizzo di una one time password.

La seguente chiavetta, acquistata su Amazon per meno di 5.99€ permette l’accesso a GMail e a tutti i servizi Google senza dover ricevere sul cellulare ogni volta l’SMS con il pin da inserire come secondo fattore.

Basta infatti loggarsi con la propria password, a questo punto, il server si metterà in attesa dell’inserimento della chiavetta. Questo token di autenticazione, infatti, non ha alcun bisogno di hardware e driver dedicati ma semplicemente di una porta usb. Funziona egregiamente con i tre principali OS (GNU/Linux, Windows e OSX) nelle versioni compatibili e la sua azione è istantanea: una volta infatti inserita la chiavetta, essa effettua insieme al server l’autenticazione ed in pochi secondi si è loggati nel servizio e si può rimuovere il token dalla porta usb.

Continua a leggere

Two Cents Crypto Frontend

Negli ultimi mesi, soprattutto grazie alle rivelazioni di Snowden sul controllo perpetrato dall’NSA anche a scapito degli stessi cittadini statunitensi,  gli internauti hanno aperto la propria mente riguardo la sicurezza dei propri dati e la sicurezza della trasmissione dei propri dati.

Da sempre appassionato di crittografia, ho implementato una suite di interfacce per facilitare molte azioni di cifratura che si eseguono normalmente su un sistema GNU/Linux.

La raccolta di wizard in questione si chiama Two Cents Crypto Frontend, TCCF in breve, e consente anche ai meno esperti di eseguire con semplicità i seguenti compiti:

  • Creare dischi e partizioni cifrate
  • Creare dischi cifrati contenuti in un normalissimo file
  • Cifrare e decifrare singoli file o il contenuto di intere directory tramite password
  • Eseguire la crittografia asimmetrica, firma digitale e gestione delle chiavi
  • Cancellazione sicura di file e dischi

TCCF è una collezione di script bash, quindi potete scaricare il tool ed eseguirlo direttamente, senza installarlo.

Su github trovate il source o potete scaricare la versione più recente in un unico zip.

SCARICA TCCF

Commentate o contattatemi per maggiori info o bug reporting.

Pillole di Windows Phone 8: Chambers&Capabilities

windows-phone-logo-largeIn questa serie di articoli andremo a trattare i meccanismi di sicurezza su cui è stato costruito Windows Phone e vedremo anche come effettuare l’hardening del sistema.
Purtroppo non mi è possibile testare di persona le caratteristiche più intricanti come bitlocker, le politiche di gestione delle password ed i trigger per il wipe out del dispositivo: come un errato numero di tentativi di login. Non posso testare queste features poiché non ho un account aziendale o comunque un collegamento ad Exchange Server. Se qualcuno è in grado di fornirmi le informazioni necessarie ad attivare questi sistemi di sicurezza pur da utente semplice gliene sono grato e potrò trattare meglio l’argomento.

Per il momento, partiamo con un interessante modello di progettazione: Chambers & Capabilities, per capire meglio come vive il software sul nostro smartphone.

Continua a leggere

Software pirata e sicurezza del sistema

220px-Spy_vs_spyIl software pirata costituisce una indubbia minaccia per la sicurezza di un sistema, impedisce la progressione e diffusione del software libero e, non ultimo, causa un danno alle aziende sviluppatrici laddove questo danno non è poi assorbito da effetti collaterali quali l’effettiva diffusione del software stesso come standard de facto.
Continua a leggere

Software su GitHub

code Isoftware che avevo linkato in apposite pagine su questo blog ed altri script e programmini vari per la sicurezza, la crittografia o semplici utility sono ospitati ora sul mio account GitHub.

Potete prelevare i sorgenti che desiderate direttamente dal repository del progetto. Ovviamente, se non diversamente specificato, il software è stato sviluppato e testato su piattaforma GNU/Linux.

Scarica il software da GitHub al seguente LINK

Slides sulla sicurezza

Raggiungibile dall’apposita pagina Slides&Papers, potete trovare i link ad una serie di slides sulla sicurezza che mi sto impegnando a redarre.

Le informazioni sono alla portata di tutti.

Per ulteriori spiegazioni, critiche e suggerimenti, non esitate a contattarmi

 

VAI ALLE SLIDES

Password sicure e gestori di password

slackpass_daStasera un amico mi chiedeva se era sicuro memorizzare le proprie password in un database con uno dei gestori di password  che si possono trovare in rete (KeePass è un password manager famoso ma che non ho mai usato personalmente).

Il suo problema, ovviamente molto diffuso ad oggi, è che usando un gran numero di servizi web si ritrova con un portachiavi di password piuttosto vasto e sicuramente complesso da mantenere a memoria, per non parlare poi del fatto che una password andrebbe cambiata regolarmente.

Continua a leggere