martedì, settembre 03, 2013

Fuori luogo, seguito,..in-sicurezze

Aggiunto come commento al mio ultimo post sui viaggi, c'era l'esperienza "terrificante" di perdere il famoso smartphone, chiave digitale con effetti reali, proverò a descriverne le conseguenze.
Credo che il post scriptum, meritasse un approfondimento, una serie di notizie utili, spero per voi, raccontandovi la mia esperienza, forse, conclusa ieri.

Nelle meraviglie tecnologiche, ora, crescendo mese, dopo mese, in applicazioni (App, funzioni, sensori, interazioni etc.) c'è questo oggetto utilissimo (smartphone) che in tempi remoti era solo una specie di conchiglia con trasmissione radio, una volta con il sistema TACS, anche intercettabile con un comune scanner. Ora, il suo lontano parente, con accesso a internet, si è trasformato, nel tempo, come una segretaria, indispensabile, per esempio:
- mi ricorda i pin delle varie carte di credito e gli accessi in banca;
-mi ricorda le password dei siti;
-mi ricorda gli appuntamenti e tiene lo storico di vari calendari;
-credito dei telefoni, gestione delle SIM
-libero accesso alla posta elettronica, vari indirizzi email
-libero accesso a tutti i social networks
- mi permette di accedere ad altre App secondarie che gestiscono siti web, aggiornando informazioni.
-raccoglie le foto personali e quelle del web 
-accesso ai servizi cloud - il magazzino dati su internet, con documenti più o meno riservati, ma utili
-collegato all'account di Google, permette l'accesso ad una varietà di applicazioni, anche alla carta di credito collegata a Google per gli acquisti, e tutte le sue funzioni.
-Sincronia dati tra il tascabile-mobile e quel mondo semi-immaginario di servers (computers) sorvegliati 24/24, refrigerati, tenuti come oro nelle banche,banche dati.

Infine, ma non per ultimo, la famosa rubrica, dove ci sono sia i telefoni, con dati importantissimi, privacy e storia personale, descriverò ciò che è successo.

Finchè la "segretaria digitale" segue il suo titolare, i dati sono al "sicuro" , in maniera parziale.
L'ipotesi che qualcuno entri nel "google-account" è remota, ma possibile, come ?

a)La cosa più semplice è ricevere un email che sembra in tutto e per tutto uguale a quella del mittente (Google, servizi bancari etc.) che contenga un link di verifica dei vostri dati con una richiesta di aggiornamento, nella distrazione, nel sonno, clikkate, a questo punto vi presenta una copia del "bancomat virtuale" chiedendo nome utente e password, voi ....digitate, e il "ladro" tecnologico, un computer, ha raccolto tutto l'essenziale. La colpa è in parte vostra, non avete controllato l'indirizzo preciso del link, magari era www.mtrxuch.google/int/account ( un esempio!!!) o indirizzo secondario banca. Tale esempio, chiamato "phishing", ha una varietà di modi, fantasie, che è impossibile elencare tutte le caratteristiche.
b) Poi il secondo caso, solo in ordine di sequenza, è un attacco brutale con software, una volta raccolto l'indirizzo email, con "dizionari", provando varie combinazioni ad entrare.In questo caso,entrano in gioco due fattori, la qualità della vostra password, i controlli fatti da Google sul server d'ingresso.
c)Un altro caso, una applicazione o un sito che usate spesso, che chiede di digitare la password di google per permettere all'applicazione di interfacciare e verificare la vostra identità.Sembra tutto normale, vi fidate, poi ci cascate. Al sottoscritto questo è capitato, ma Google ha capito che la richiesta di dati, da parte di un infedele informatico in America, non poteva essere il titolare dell' account, in contemporanea, che viveva a Bologna. 
Infatti, Google (come alcune altre società) controlla la provenienza delle richieste di dati, di accessi al proprio account, al momento, non disponendo della bilocazione umana, non possono avvenire delle richieste da punti geografici distanti; Google avvisa e blocca l'accesso remoto.
In questo caso, uomo avvisato, mezzo salvato, correte al riparo, cambiate la password e sperate che non vi sia stato alcun accesso. Questo mi è accaduto Maggio dell'anno scorso.
Attualmente nessuna applicazione dovrebbe chiedere l'accesso a Google o a certi account, perchè questi giganti hanno introdotto un servizio, "oath-authenticator" (una specie di autenticazione giurata) , che genera delle chiavi nascoste scambiate tra l'applicazione che chiede l'effettiva identità e il servizio-contenitore di Google o altri, per esempio Twitter. Tutto avviene in maniera "trasparente", si è rimandati nella pagine del servizio, che chiede se volete permettere alla nuova applicazione di accedere ai vostri dati.
Il problema è DOPO, l'account di Google o di un servizio simile (Twitter, Facebook etc.) contiene decine, centinaia, di accessi autorizzati da parte di secondarie applicazioni; voi, io, autorizziamo le applicazioni, ma loro hanno la porta d'accesso senza avere la "master password" del servizio principale, Google e compagnia bella.
La cosa è più complicata a descriverla che a farla, ma la premessa era necessaria, sicuramente vi ho annoiato con queste considerazioni di uso quotidiano.
Altri modi di entrare negli account, rubare codici, sono materia di "ingegneria sociale" come venne definito in un famoso libro di un hacker Kevin Mitnik.In pratica, potrebbe anche non essere un informatico, la persona che il giorno dopo ha svuotato il conto in banca ottenendo i codici del conto on-line.Allora quando scrisse il libro, gli smartphones non c'erano, almeno non nella forma di oggi.

Cosa succede quando si perde o viene rubato lo smartphone ?

Domanda da un milione di euro o da poche centinaia di euro, ma comunque il potenziale è esplosivo.
A me è successo 2 volte nel giro di dieci giorni,in terra straniera.
In teoria, con le persone esperte, si può essere rovinati.
La prima volta nel Parco , probabilmente caduto mentre passeggiavo, il Huawei da poco comprato a seguito della rottura dell'originale, conteneva tutte, tutte le informazioni,sincronia con internet e contatti.
Può essere caduto nell'acqua o nel prato, oppure raccolto da un ragazzo, non lo saprò mai; appena resomi conto, ho fatto il classico giro a ritroso, sperando forse che abbaiasse, ma non rispondeva più.
A questo punto ho chiesto agli amici di farmi accedere ad un computer e fare una certa operazione.
Installato vi era androidlost , ricordandomi la password di google speravo di aver disconnesso dall'account di Google e poi di aver cancellato tutto il telefono da remoto. A questo punto, tiravo il fiato, poi verificavo tutto il resto, rubrica, email, siti internet, nulla di anormale.
Un altra cosa intelligente, sarebbe stata cambiare immediatamente password principale (google), purtroppo non trovandomi di fronte al mio computer, non lo potevo fare.
Se la persona, malintenzionata, ipoteticamente, avesse raccolto l'oggetto, era solo una questione di tempo, avrebbe forse, anche dopo,potuto compiere danni collaterali, leggere e-mail, accedere a siti, chi ha fantasia horror, può sbizzarirsi. 
Mentre vi parlo, ho fatto il test, mandato allarme , richiesto la lista di ultime chiamate fatte, poi visualizzato in mappa lo smartphone, ovvio, mi sono fermato quà perchè questo "device" non è perso:
Vi è un altra spiegazione perchè, non è successo nulla, molto semplice, la differenza linguistica, tra i caratteri alfabetici latini e il cirillico; anche questo mi ha salvato.
Ho vissuto senza  smartphone una settimana o poco più, a disagio, non ricevendo dati aggiornati, non potendo consultare, ovvio non potendo telefonare, soprattutto nel momento di maggior bisogno,cambio casa in terra straniera. La segretaria, ho capito, una volta ottenuta, è una sorta di dipendenza, relegare "tutto" il ricordabile alla memoria digitale in tasca. Mi sono sentito "perso" al quadrato,senza mappe consultabili on-line, possibilità di chiamate, tracciabilità; poi ho capito anche che se volevo sentirmi libero, anche questo era necessario.Era una scelta o un'imposizione ?
Si poteva usare il wi-fi della scuola o dei locali, ma con una certa prudenza, non avere una rete propria, quando e come si voleva.
Alla fine, passando e ripassando, ne ho comprato un altro, un Lenovo S720, non commercializzato in Italia, discreto e sorprendente. 
Passato  pochi giorni dall'installazione, sincronizzazione, in un autobus, al momento di partire per visite fuori città, uscito, mi accorgo della sua scomparsa.
Questa volta la situazione era forse peggiore, l'ambiente urbano, non sapere in quale internet caffè e dove,come, agire. Non posso entrare nei dettagli, ma devo ringraziare una persona che mi ha aiutato, permesso l'accesso al computer e ripetere la stessa operazione di pochi giorni prima.
A quel punto, ho deciso di non comprare più smartphone, coprendomi di ridicolo da parte dei conoscenti e amici. 
Tutto risolto ?
Nò.
Scopro pochi giorni fà, che google aveva da poco installato di "default", in maniera automatica, un applicazione sui dispositivi mobili, google.android.apps.enterprise.dmagent (link accorciato).
Scopro che nelle foto backup del telefono c'è una immagine non scattata da me, in un luogo dove non sono stato, in una data in cui non c'ero; il ragazzo che avete visto nel precedente post scriptum, probabile nuovo "proprietario".
Scopro che i miei contatti sono stati violati, cancellati, [MI SCUSO PUBBLICAMENTE SE NON VI POTRO TELEFONARE!] inizio a sospettare che l'account sia ancora "attivo" in qualche modo, infatti dopo l'accesso ai dati di Google, in un paio di pagine particolari,
 https://www.google.com/android/devicemanager e https://www.google.com/settings/account
 questi telefoni avevano avuto accesso a internet, con la possibilità di arrecarmi danni collaterali.
Il problema principale è che certe "sincronizzazioni dati" sono automatiche; se uno possiede cinque smartphones, cancella o modifica un indirizzo o un nome in rubrica, avviene automaticamente in tutti gli altri.
E poi tutti i servizi di messaggistica istantanea ? Whatsapp, Talk, etc.? 
Praticamente si è persa la propria privacy e identità digitale.
A questo punto torna l'opzione, niente smartphone, perchè il rischio è peggiore delle utilità di averlo.
Se posso fare un paragone, "Essendoci ladri o furti di codici di carte di credito, evito la carta di credito!", le similarità sono evidenti, anche se il potenziale danno del furto dello smartphone può essere peggiore.Le carte di credito hanno limiti giornalieri, sms o messaggi di avviso, possibilità di rivalsa, nonostante i milioni di euro di danni, le carte di credito e gli utenti aumentano.

A questo punto restava l'inevitabile e tardiva opzione, cambiare password dell'account di google.(consiglio questa opzione quasi subito alla perdita o furto, oppure dopo aver operato con le nuove opzioni di Google Apps Device Policy; secondo alcuni disponibile solo a utenti business, ma questo va verificato al momento, aggiornamenti continui) .


Potrà sembrare un ipotesi assurda, ma vi assicuro che ogni volta che accade, cambiare password, si va incontro a traversie e dolori, non è la classica operazione da cinque minuti e via....
In alcuni casi, potrebbe durare giorni e mesi, aggiornare tutti i device, tutte le applicazioni, etc.etc.
Sarebbe molto più economico in ordine di tempo e denaro, accordarsi col nuovo possessore del proprio smartphone, per una cifra di rimborso, anche simbolica, disgiungere l'identità dello smartphone, poi lasciare le cose come stanno.In altre parole, dare sottocosto lo smartphone, perchè non è il pezzo, i circuiti e i giochini o i sensori a valere, ma i propri dati personali.

Attualmente, Google da tempo ha ideato il doppio passsaggio o verifica d'identità in due tempi, la propria password e il cellulare (solitamente); un opzione che sembra allungare i tempi, inoltre per le applicazioni esterne che richiedono accesso, una volta, il "google authenticator" , che genera dei codici una volta e permette nuovamente sia ai device (macchine,pc,smartpone) che alle applicazioni di interfacciare con il proprio account, vedi esempio:

 Per l'utente finale, il consumatore d'informazione,  tutte queste operazioni, di fronte alla semplicità di avere tutte le password nel browser, poter accedere da un conto ad un altro, da un account all'altro, da una casella di posta all'altra, le centinaia di siti che chiedono una password, può sembrare d'impazzire o eccessivo.
Nella realtà il procedimento è più semplice, lo dico perchè ieri l'ho fatto e oggi ho proseguito.
C'è chi consiglia Lastpass, keepass, wallet etc. applicazioni e siti che raccolgono tutte le decine e decine di passwords;c'è chi scrive un file testo e poi lo cripta con il nome del gatto o la sua data di nascita, chi lascia tutte le password nel cloud, chi usa la stessa password per tutte, l'umanità è varia ma alla fine i danni possono essere comuni.
Non esiste la soluzione perfetta, mettiamoci il cuore in pace, esistono cose prudenti e ovvie:
mettere il proprio codice fiscale come password, il nome della compagna o della macchina o della moto, è di una tale ovvietà che non bisogna essere degli hacker per tentare e aprire l'account.
Forse una cosa giusta l'ho fatta, non ho lasciato memorizzare al browser (firefox,Chrome,IExplorer o altri) la password di google. A quest'ora non saprei dove sarei!
E' ovvio, che da quache parte, occorre memorizzare  le password, ma con gli stratagemmi opportuni, in modo che non sia ovvio, dove, come, perchè. 
Esistono guide on-line per costruire password (non bisogna ragionare con la mete umana, ma pensare anche al funzionamento della macchina, dei software), utili consigli di sicurezza, non era mia intenzione in questa pagina ne fare un trattato, ne dare consigli, solo raccontare la mia esperienza e farvi riflettere.

Resta aperto il dibattito, i metodi, le sicurezze,le esperienze e chiunque volesse aggiungere consigli specifici è benvenuto.

P.S.
uno dei tanti ottimi articoli in proposito:

E una storia vera:
http://www.androidiani.com/forum/violazione-account-google-e-addebiti-non-autorizzati-tramite-play-store.html

Nessun commento:

Posta un commento

Dopo verifica, pubblicato. After checking will be published.