Notizie del mondo informatico, Sicurezza

Have I been pwned in italiano con Firefox Monitor

Have I been pwned è un sito che si è fatto conoscere negli ultimi tempi grazie al suo servizio che permette di controllare on-line se i nostri dati sono stati in qualche modo violati inserendo il nostro indirizzo e-mail o la nostra password nell’apposito box (nel recente passato ne abbiamo parlato in merito a Collection #1, un archivio che si trovava nel Dark Web e che conteneva una quantità di dati impressionante).

Molti utenti ci hanno chiesto se esisteva un Have I been pwned in italiano e, così, scoperta la sua esistenza abbiamo deciso di segnalarlo: Firefox, al link Firefox Monitor, ha deciso di integrare Have I been pwned, collegandosi direttamente all’archivio del sito in questione, mantenendo l’anonimità di coloro che inseriscono i propri dati e dando consigli su come migliorare la sicurezza del proprio account e-mail.

Ma, cerchiamo di scendere maggiormente nel dettaglio, e vedere come sia possibile inserire nella ricerca di Firefox Monitor la propria e-mail in forma anonima. Lo sviluppatore Troy Hunt spiega, nel proprio blog, come Firefox Monitor utilizzi lo stesso tipo di modello del suo Have I been pwned e di iPassword (un software per la creazione e la sicurezza delle password).

Il modello in questione è denominato K-Anonimity e si basa sulla fondamentale teoria, pubblicata nel 1998 Latanya Sweeney e Pierangela Samarati, per cui ogni informazione relativa ad ogni soggetto presente nella raccolta dei dati non può distinguersi dalle altre per almeno k-1 individui i cui dati appaiono a loro volta nella collezione. Immaginiamo che un ricercatore voglia condividere i dati della sua ricerca con altre persone, ma mantenendo e garantendo l’anonimato dei soggetti a cui tali dati appartengono: esistono identificativi specifici (nome e cognome, numero di telefono, indirizzo) ed identificativi, chiamati quasi-identifiers, che solo se combinati tra loro possono indicare un individuo (gender, età, data di nascita) la K-Anonimity utilizza questi ultimi.

In termini matematici, un quasi-identifier viene definito da Latanya Sweeney come segue:

“Data una popolazione di entità U, una tavola T di entità specifiche T(A1…….,An), fc:U→T e fg: T→U’, dove U⊆U’. Un quasi-identifier di T, scritto QT, è considerato un set di attributi {Ai,…,Aj}⊆{A1,…,An} dove ∃ pi ∈ U cosicché fg (fc(pi)[QT]) = pi” (qui la relazione originale da cui abbiamo tradotto l’estratto).
Cosicché, sempre in termini matematici possiamo prendere una tavola RT (A1…….., An), dove A1 e An sono i soggetti contenuti in essa, ed QIrt, ovvero il quasi-identifier ad essa associato. Mettiamo, quindi, che la tavola RT soddisfi la K-Anonimity se e solo se ogni sequenza di valori in RT[QIrt] appare con almeno delle occorrenze k in RT[QIrt].

In altre parole, semplificando e rendendo il tutto comprensibile la K-Anonimity generalizza all’osso i dati disponibili così da creare un database anonimo, ma allo stesso tempo utile allo scopo di estrapolare informazioni statistiche. Il sito che utilizza questo tipo di modello matematico, quindi, non registrerà le informazioni complete ma le manterrà ambigue così da non poter essere in grado, in un secondo momento, di recuperarle o di collegarle ad un individuo specifico.

Nel caso di I Have been pwned, come spiega il suo ideatore Troy Hunt, il client SHA-1 genera un hash (ovvero una sorta di pacchetto criptato dei dati inseriti) estraendo i primi 5-6 caratteri di questo hash ed inviandoli all’API (ovvero all’Application Programming Interface), che sarebbe il software che controlla i vari hashes collezionati nel tempo cercando quelli uguali a quei 5 caratteri inseriti inizialmente ed inviando una risposta.

Riprendendo quanto descritto qui da Troy Hunt, la possibile ricerca di un’e-mail può richiamare quanto segue: 

Address: test@example.com
SHA-1 hash: 567159D622FFBB50B11B0EFD307BE358624A26EE
6 char prefix: 567159
API endpoint: https://[host]/[path]/567159

Quindi, l’indirizzo e-mail viene inserito e direttamente criptato diventanto qualcosa di simile all’hash qui sopra riportato. L’API prende i primi 6 caratteri di quest’ultimo ed, infine, invia la risposta in cui viene, infine, dichiarato in quali violazioni di siti web tale l’hash completo è comparso. Infatti:

if (fullUserHash === userHashPrefix + breachedAccount.HashSuffix)

if (‘567159D622FFBB50B11B0EFD307BE358624A26EE’ ===  ‘567159’+‘D622FFBB50B11B0EFD307BE358624A26EE’)

Quindi, se l’hash completo coincide con il prefisso inserito inizialmente e con il prefisso di un account che è stato aggiunto nella lista di quelli che sono stati violati, allora avremo un risultato che ci dirà che la nostra e-mail (o password) è stata a sua volta violata ed in quali siti web ciò è accaduto.

I dati così criptati sono possibilmente vulnerabili tramite attacchi di tipo Brute Force (dove vengono utilizzati dei programmi che tentano ogni possibile combinazione di caratteri, numeri e simboli oppure delle liste di possibili chiavi d’accesso per trovare una password). Per evitare tutto questo Firefox Monitor non archivia alcun risultato nel suo database, ma lo salva nella sessione criptata del client.

MA, VEDIAMO IN PRATICA COSA UN UTENTE, UNA VOLTA INSERITA LA PROPRIA E-MAIL IN FIREFOX MONITOR, SI TROVERA’ DAVANTI

Nell’immagine sottostante viene mostrato il risultato: abbiamo inserito un’e-mail che, a quanto pare, nel 2008 è stata violata durante un attacco al sito di MySpace. Il sito ed il resto del mondo, però, hanno scoperto che tale violazione era avvenuta solamente nel 2016: ciò significa, purtroppo, che i dati di questa e-mail sono rimasti alla mercé della compravendita per degli anni (la presenza di spam continuo nella suddetta casella e-mail potrebbe, per il suo possessore, esserne stata una spia d’avvisaglia).

Cosa fare, a questo punto, se scopriamo che la nostra e-mail è comparsa in qualche violazione dati?

  1. La prima cosa da fare è modificare la propria password seguendo delle semplici regole qui elencate e spiegate. La nuova password dovrà essere alfanumerica, possibilmente anche simbolica, ed unica (in questo l’uso di software, da mantenere puntualmente aggiornati, per la gestione delle password come LastPass, Keepass o lo stesso 1Password a cui ha collaborato lo stesso ideatore di I have been pwned sono l’ideale).
  2. Se nella violazione dati emerge che anche alcuni dati finanziari possano essere stati esposti bisognerà avvertire la propria banca dell’accaduto e tenere sotto controllo i propri movimenti.
  3. Se possibile ed offerto dal sito ospitante utilizzare il doppio fattore di identificazione che, di norma, coincide con un sms inviato al nostro numero di cellulare dal provider oppure con un token fisico i cui numeri randomici vengono inseriti su richiesta al momento del login.
  4. Evitare di utilizzare Wi-fi pubblici presenti in bar, ristoranti, piazze, etc. per fare shopping o accedere ai nostri account, ma, nel caso lo facessimo, utilizzare un VPN che schermi in qualche modo i nostri comportamenti.
  5. Evitare di connettersi a siti web che non utilizzino il protocollo HTTPS (qui spieghiamo il perché).
  6. Mantenere sempre le nostre app ed i nostri software aggiornati, sia sul nostro computer, che sullo smartphone, che sul tablet.
  7. Fare attenzione alle e-mail di scam e phishing (i quali funzionano un po’ come l’andare a pesca: si utilizza un’esca, come un falso login o sito internet, e si aspetta che il pesciolone di turno abbocchi. Questo tipo di attacco si ritrova spesso all’interno di e-mail, come abbiamo già accennato in passato, dove per esempio vengono inseriti dei link a dei siti internet che si pensano essere siti ufficiali ed, in realtà, poi si rivelano connessioni a tutt’altro sito internet; qui ne abbiamo descritto un esempio).
  8. Esiste la possibilità di usare e-mail temporanee (10minutemail e nada), anziché le proprie, soprattutto se vogliamo acquistare da alcuni siti senza caricare le nostre credenziali. Attenzione, però, per operazioni importanti è meglio utilizzare la propria regolare e-mail.

Infine, segnaliamo la possibilità di richiedere a Firefox Monitor l’iscrizione per ricevere avvisi di future ed ulteriori violazioni creando un proprio account per tenere d’occhio uno o più indirizzi e-mail.

ARTICOLI CORRELATI:

Sono stato fregato? (Have I been pwned?)
Collection #1: Have I been Pwned? Milioni di password rivelate: come, quando, perché e cosa fare…
VPN: come scegliere?
Share the love
Precedente Come evitare i trackers Successivo Linux: “oh no, something has gone wrong!” Ma cosa?

Comincia la discussione

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *