Connect with us

Articoli

Un pericoloso scambio di identità

Il servizio EKS di Amazon Web Services utilizza il sistema di identità AWS IAM per gestire gli utenti e li traduce nel sistema di ruoli e permessi tipici di Kubernetes. Questa traduzione, però, nasconde un punto debole

Avatar

Pubblicato

il

Amazon Web Services è il cloud di Amazon, una delle principali piattaforme cloud disponibili. La quantità di servizi che offre è enorme, praticamente qualsiasi cosa si possa immaginare nel mondo del cloud computing, e sono solitamente indicati con delle sigle. S3, per esempio, è un semplice storage cloud. EC2 offre macchine virtuali. Mentre EKS (Elastic Kubernetes Service) è l’implementazione in chiave Amazon di Kubernetes. Naturalmente, nella logica di Amazon, tutti i vari servizi sono interconnessi, in particolare per quanto riguarda l’autenticazione. Su Kubernetes è, infatti, presente un meccanismo di autenticazione basato su utenti e ruoli, per cui a ogni utente vengono assegnati dei token identificativi e una serie di autorizzazioni per l’accesso a specifiche risorse. Questo permette di definire con estrema precisione quali attività possano essere svolte da ciascun utente, rendendo l’ambiente molto sicuro, perché non è necessario dare a qualcuno più permessi di quanti ne servono. L’aspetto interessante è che già da prima che esistesse Kubernetes, il sistema di autenticazione di Amazon, AWS IAM, funzionava con la stessa logica.

 

DOVE RISIEDE LA VULNERABILITÀ

Per evitare di dover ripetere tutto due volte, cosa piuttosto complicata in aziende con centinaia o migliaia di dipendenti, Amazon ha deciso di integrare il proprio IAM con la sua implementazione di Kubernetes, così è possibile utilizzare le utenze AWS preesistenti, magari già in uso per accedere a servizi come S3 o CloudFront, per accedere anche alle risorse allocate sul cluster Kubernetes. È quindi stato pubblicato il modulo AWS IAM authenticator for Kubernetes, che permette l’utilizzo del sistema di autenticazione di Amazon per accedere alle risorse di un cluster Kubernetes (uno qualsiasi, in realtà, non necessariamente EKS). Kubernetes è infatti open source, quindi chiunque può realizzarsi un cluster sul proprio hardware, e Amazon ha rilasciato come open source anche la propria implementazione, col nome di “EKS Anywhere”. E chiunque può decidere di utilizzare come autenticatore il servizio IAM di Amazon, su qualsiasi cluster Kubernetes. Semplicemente, Kubernetes continua a gestire i suoi ruoli e permessi come al solito, ma per l’autenticazione di un accesso non si fa il classico scambio di chiave direttamente in Kubernetes: l’utente si autentica su Amazon e riceve un token di autorizzazione temporaneo, che viene poi utilizzato nelle varie chiamate alle KubeAPI per collegare l’attività all’utente. Il modulo  aws-iam-authenticator si occupa proprio di mettere in relazione i ruoli nativi di Kubernetes con l’autenticazione di Amazon. Ed è in questa “traduzione” che è stato trovata una vulnerabilità, a meno di un anno dalla pubblicazione di EKS Anywhere.

Figura 1 – Il problema è che il nome utente viene cercato come lowercase, quindi è possibile che due nomi, che differiscono solo per le maiuscole, vengano confusi. [Fonte]

 

UN DIZIONARIO PER LA TRADUZIONE

La procedura di autenticazione percorre sostanzialmente sei passi:

  1. L’utente invia una richiesta alle API di EKS, per ottenere delle risorse Kubernetes (per esempio, “kubectl get pods”). La richiesta include un token di autorizzazione nell’intestazione, che è una stringa base64 di AWS Security Token Service.
  2. Il server riceve la richiesta, estrae il token, e lo invia nel corpo della richiesta verso il server di AWS IAM.
  3. Il server di autenticazione di AWS IAM riceve il token dal server API, lo decodifica e lo verifica. Se è corretto, il server IAM invia la richiesta di autenticazione firmata ad AWS STS.
  4. AWS STS riceve la richiesta e contolla la firma. Se la firma è valida, poi invia i dettagli dell’identità IAM dell’utente come risposta alla chiamata GetCallerIdentityResponse (chiamata che IAM fa a STS).
  5. L’autenticatore IAM riceve la risposta della propria chiamata GetCallerIdentityResponse da STS e traduce l’identità IAM collegata a quel token in un serviceaccount di Kubernetes, basandosi sulle regole scritte nella ConfigMap aws-auth. L’identità Kubernetes che viene riconosciuta grazie a questa ConfigMap deve ovviamente essere presente nel cluster, e avere delle regole RBAC che le permettano l’accesso a delle risorse. AWS IAM passa l’identità Kubernetes corrispondente alla propria alle API di EKS.
  6. Il server delle API riceve l’identità, controlla i permessi tramite RBAC, e verifica se la richiesta (“get pods”, nell’esempio) è autorizzata per questo serviceaccount. In caso positivo, esegue la richiesta e restituisce il risultato direttamente al chiamante.

Uno dei punti deboli è che è possibile modificare la ConfigMap, come si farebbe con una qualsiasi altra ConfigMap:

kubectl edit configmaps aws-auth -n kube-system

Se si aggiungesse un elemento di questo tipo alla sezione mapUsers:

mapUsers: |
– userarn: arn:aws:iam::000000000000:user/testuser
username: user:

Sarebbe possibile assegnare una access key IAM arbitraria (per esempio la propria) all’utente testuser. Naturalmente, per poterlo fare bisogna prima di tutto avere l’accesso alla ConfigMap in questione, ma è possibile che un utente possa accedere al namespace kube-system senza però avere altri privilegi. Con questo meccanismo, potrebbe modificare la ConfigMap e assegnarsi un serviceaccount Kubernetes che ha maggiori privilegi, andando quindi a impersonare un altro ruolo. Ci si potrebbe chiedere: ma, se viene mappato un utente già presente nella ConfigMap, non dovrebbe generare un errore? La realtà è che questo non accade a causa di questo bug nella lettura della ConfigMap da parte del sistema di verifica dei token:

queryParamsLower.Set(strings.ToLower(key), values[0])

Come si può vedere, la chiave (l’utente) viene trasformata in minuscolo. È quindi possibile modificare la ConfigMap per sostituire l’utente “amministratore” con un piccolo trucco: basta aggiungere la propria access key per l’utente “Amministratore”. Siccome le due stringhe sono diverse, non ci sarà una sovrascrittura e nessun errore nell’inserimento. Poi, quando AWS cercherà di confrontare le varie access key, selezionerà questa stringa ma trasformandola in minuscolo, quindi dando l’accesso al service account “amministratore”.

 

LA SOLUZIONE

Amazon ha risolto il problema semplicemente aggiungendo al codice una funzione che faccia un vero controllo dei duplicati, per assicurarsi che nessuno aggiunga una seconda volta l’access key per un utente già esistente. Il nuovo codice è stato caricato su tutte le istanze EKS gestite da Amazon, e per quelle installate dagli utenti sul proprio hardware basta fare un aggiornamento di EKS Anywhere. A ogni modo, il bug era presente fin dal 2020, e non sappiamo se sia stato sfruttato da qualcuno prima che venisse scoperto e corretto, quindi conviene assicurarsi che i permessi degli utenti nel proprio cluster EKS siano rimasti come previsto. In particolare, all’amministratore basta controllare la ConfigMap aws-auth nel namespace kube-system, per assicurarsi che non ci siano “duplicati” (pur con differenze tra maiuscole e minuscole) dei nomi degli account.

Figura 2 – Il problema è stato risolto con una nuova funzione che controlla la presenza di eventuali utenti duplicati  a prescindere da maiuscole e minuscole, e segnala l’errore. [Fonte]


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

[wpdevart_facebook_comment curent_url="http://developers.facebook.com/docs/plugins/comments/" order_type="social" title_text="Facebook Comment" title_text_color="#000000" title_text_font_size="22" title_text_font_famely="monospace" title_text_position="left" width="100%" bg_color="#d4d4d4" animation_effect="random" count_of_comments="7" ]

Articoli

Crypto-simmetria  a blocchi di bit

Come occultare un testo in chiaro, rendendolo visibile solo a chi possiede le credenziali giuste. Fai tutto con un software gratuito

Avatar

Pubblicato

il

La parola simmetria evoca da sempre precisione e conformità e lo fa anche nell’ambito della crittografia. Il sistema simmetrico, infatti, prevede che un testo in chiaro venga occultato usando la stessa chiave che serve per decifrarlo. Gli attori del processo sono quattro: il mittente (A), il destinatario (B), la chiave che serve per cifrare il messaggio (C) e l’algoritmo utilizzato per nasconderlo (Z). Tutto questo porterà alla creazione di un testo illeggibile (T) a chi non ha la chiave giusta per renderlo comprensibile. Il punto forte della crittografia simmetrica sono gli algoritmi che vengono usati per nascondere il messaggio. Possiamo inserirli in due grandi insiemi: quelli che appartengono al metodo a blocchi e quelli inseriti nel gruppo dei sistemi a flussi di cifre. La differenza è che i primi cifrano un blocco al cui interno sono inseriti un determinato numero di bit, i secondi lavorano su una singola informazione.

In questa guida vedrete come creare un contenitore criptato (con il metodo a blocchi) al cui interno si può archiviare qualsiasi documento. Il tutto verrà realizzato ricorrendo a VeraCrypt, uno strumento che permette di impostare una cifratura di volumi e partizioni con diverse tipologie di algoritmi. Un software potente, considerato tra i migliori in circolazione e consigliato anche dal collettivo Anonymous.

 

IL RE DELLA CRITTOGRAFIA

Gli algoritmi che usano la cifratura a blocchi sono davvero tanti. Uno dei più importanti è l’AES, vale a dire l’Advanced Encryption Standard. Questo applica una serie di operazioni matematiche in sequenza su una base di dati, sfruttando quello che gli analisti conoscono come Principio di confusione e diffusione. Confusione perché garantisce che tra testo cifrato e chiave crittografica ci sia un livello di correlazione basso, così da ridurre al minimo la possibilità che un attaccante colleghi questi due elementi. Diffusione, invece, si riferisce alla capacità di rendere impermeabile l’algoritmo ad attacchi che sfruttano una base statistica.

 

CREARE UN CONTENITORE CRIPTATO PER DOCUMENTI

INSTALLAZIONE FACILE
VeraCrypt può essere installato su Linux, Windows e Mac. In questo tutorial, abbiamo usato una macchina con Linux Mint e da Terminale abbiamo inserito i comandi che seguono seguiti dalla pressione del tasto Invio: sudo add-apt-repository; ppa:unit193/encryption; sudo apt-update; sudo apt install veracrypt.

 

CONTENITORE O VOLUME?
Premiamo Create Volume, quindi scegliamo la voce Create an encrypted file container. Questa funzione permette di generare un contenitore criptato al cui interno archiviare i documenti. Se invece vogliamo sfruttare un intero volume formato da un disco fisso, spuntiamo Create a volume within a partition/drive.

 

STANDARD O NASCOSTO?
Con la voce Standard VeraCrypt volume viene creato un contenitore che decriptiamo con una password o un file chiave. Se scegliamo Hidden VeraCrypt Volume, realizziamo un doppio container nascosto. Il primo serve da specchietto per le allodole, il secondo da vera cassaforte. Se qualcuno ci estorce la prima password, non sarà comunque in grado di accedere all’archivio nascosto contenuto nel box fasullo.

 

CRIPTAGGIO A CASCATA
Il passo successivo richiede di scegliere un file o un drive da usare come contenitore. Possiamo crearne uno nuovo di qualsiasi formato. In seguito scegliamo l’algoritmo di criptaggio tra i tanti disponibili. Possiamo utilizzare una struttura a cascata con AES, Twofish, Serpent, che lavora criptando con tutti e tre. Scegliamo l’algoritmo di hash tra SHA-512, Whirlpool, SHA-256 o Streebog.

 

ENTROPIA PER LA SICUREZZA
Impostiamo ora la dimensione e la chiave, il filesystem e diamo il via alla formattazione e alla preparazione del container. VeraCrypt sfrutta l’entropia generata dal movimento casuale del mouse: spostiamolo quindi senza sosta fino a quando la barra sotto Randomness Collected From Mouse Movements non è completa.

 

DECRIPTAZIONE VELOCE
Completata la formattazione, il volume criptato è pronto all’uso. Per decriptarlo premiamo il pulsante Select File. Nella finestra centrale scegliamo un numero a caso nella colonna Slot (nel nostro caso 5), quindi premiamo Mount. Si apre la finestra in cui dobbiamo inserire la password. Dopo averla inserita, facciamo clic su OK.

 

Leggi anche: “Metti al riparo i tuoi archivi


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Articoli

Un’eredità eccessiva e pericolosa!

OverlayFS, molto usato sui server Unix moderni, permette di unire più cartelle creando filesystem virtuali. Il problema è che vengono ereditati tutti i permessi dei vari file, anche quelli che permettono a un utente di diventare root…

Avatar

Pubblicato

il

Uno dei punti di forza dei sistemi GNU/Linux è la rigorosa gestione dei permessi per l’esecuzione dei programmi. Una volta, su questi sistemi esistevano sostanzialmente due sole modalità: quella privilegiata e quella non privilegiata. I file eseguibili dei programmi privilegiati avevano un particolare bit tra i loro metadati, chiamato convenzionalmente SUID. Quando un file eseguibile ha questo bit impostato viene eseguito con i permessi dell’utente che ne è proprietario, a prescindere da chi lo abbia lanciato. Se, per esempio, un eseguibile è proprietà dell’utente root ma viene eseguito da un utente comune, verrà comunque avviato con privilegi di root. Questo bit viene impostato come “vero” solo per alcuni particolari software “sicuri” che ne abbiano davvero bisogno, se si impostasse per qualsiasi programma non ci sarebbe più una separazione tra i privilegi degli utenti. Chiaramente, si tratta di un meccanismo un po’ rigido: il bit può essere attivo oppure no, i privilegi sono da utente normale oppure da root, non ci sono mezze misure. Un modo per limitare parzialmente il potere di SUID è rendere proprietario del file non l’utente root ma un altro utente che, tramite i gruppi a cui appartiene, possa avere accesso a un set limitato di file. Per esempio, se si avvia il server web Apache a nome dell’utente www-data, che appartiene al gruppo www-data, si avrà accesso opzione predefinita per mettere in piedi una applicazione server: i container. Ormai è quasi impossibile trovare del software open source che non venga pubblicato con almeno un’immagine docker. I container sono estremamente utili non soltanto perché separano i vari eseguibili, impedendo che un eventuale attacco su un programma possa ripercuotersi su altri software o sul sistema in generale, ma anche perché permettono di avere diverse versioni dello stesso software sul sistema, senza causare conflitti tra le dipendenze. Un container è autonomo: contiene tutte le librerie necessarie per il funzionamento del programma. Se ce ne sono di più sullo stesso sistema, ciascuno di essi contiene tutte le librerie necessarie a se stesso. Naturalmente, questo comporta un importante consumo di spazio: molte librerie e molti eseguibili saranno sempre gli stessi tra tutti i vari container, ed è uno spreco occupare il doppio, il triplo o anche più dello spazio. Ed è per risolvere questo problema che esiste OverlayFS.

Il bug permette la copia di un file eseguibile SUID da un filesystem dell’utente al filesystem principale, mantenendo il bit SUID. FONTE: https://www.wiz.io/blog/ubuntu-overlayfs-vulnerability

Millefoglie

OverlayFS è un meccanismo di memorizzazione dei file pensato per l’union mounting: si tratta di unire virtualmente più cartelle, facendole apparire come una sola. Il vantaggio è che si possono creare più cartelle con versioni differenti dello stesso software, da montare volta per volta a seconda della versione necessaria in un filesystem completo. Immaginiamo di avere bisogno di MySql 5 in un container e MySql 8 in un altro container, ma per il resto dello stesso sistema di base. Il grosso del sistema può risiedere in una cartella, poi basta averne una per MySql 5 e una per MySql 8. In un container verrà montata la cartella della versione 5 sopra il sistema base, e viceversa nell’altro. In questo modo si risparmia lo spazio che verrebbe sprecato mantenendo sul disco due volte i file del sistema base. Naturalmente, è un po’ più complesso di così, si possono di fatto avere più versioni degli stessi file con una sorta di logica incrementale: quando si fanno modifiche a un container vengono memorizzati solo i file cambiati rispetto all’immagine docker di partenza, sempre per risparmiare spazio. La domanda che si ci potrebbe porre è: cosa succede ai permessi di file e cartelle, capabilities incluse, una volta che vengono montati dentro altre cartelle? Si può immaginare che vengano ereditate, ma è chiaro che si tratti di una situazione complessa, con tanti container che montano gli stessi file in modo diverso. Il problema nasce dal fatto che un malintenzionato potrebbe abusare di OverlayFS per fare in modo che il kernel copi dei file eseguibili con capabilities da amministratore da un punto di mount realizzato appositamente a delle cartelle sul filesystem principale. Facendo la copia, un sistema GNU/Linux non patchato manterrebbe la capability sul file, offrendo quindi al malintenzionato un file con capability da amministratore sul filesystem principale. Siccome OverlayFS può essere usato tramite FUSE anche da utenti semplici, senza alcun privilegio, questo significa che il malintenzionato deve solo crearsi un filesystem (lower, nell’esempio) su un proprio sistema e inserire un eseguibile con capability da amministrazione:

setcap cap_sys_admin +eip lower/suid

Poi deve solo copiare quel filesystem sul sistema da attaccare e montarlo (nella cartella upper):

mount -t overlay overlay -o rw,

lowerdir=lower,upperdir

=upper,workdir=workdir mount

 

A quel punto si può accedere al file eseguibile dal sistema vittima:

touch mount/suid

getcap lower/suid

E si scopre che la capabilities sono rimaste intatte:

lower/suid = cap_dac_override,

cap_sys_admin+eip

 

 

Vulnerabilità

Nessuna delle modifiche da parte degli sviluppatori di Ubuntu ha introdotto vulnerabilità di per se, ma nel 2020 era stata scoperta proprio una vulnerabilità in overlayFS che permetteva l’impostazione di attributi speciali ai file. Il fix è stato applicato alla linea originale di overlayFS, ma non alla versione modificata da Ubuntu. Nello specifico, quando si tratta di gestire i permessi di un file la versione originale chiama una funzione di servizio che è stata realizzata appositamente per assicurarsi che non vengano dati più permessi a file che non dovrebbero averli. Invece, la versione di ubuntu utilizza direttamente la chiamata di sistema __vfs_setxattr_noperm. Il problema è proprio che il flusso di Ubuntu non prevede dei controlli, che invece nel Linux “originale” sono stati inseriti, per evitare di trasferire le capabilities da un filesystem all’altro.

Un dettaglio che è importante ricordare è che questa vulnerabilità ha un impatto su OverlayFS in sé, ma non su docker o più in generale sui container. Un sistema che utilizza docker non è di per se stesso vulnerabile, lo è solo per il fatto che ha certamente lo stack di overlayfs e quindi chi accede al sistema host potrebbe montare filesystem OverlayFS. Ma chi ha accesso solo a un container non può comunque uscire e danneggiare il sistema host.

 

La soluzione

Le patch per l’implementazione di Ubuntu sono state rilasciate a un mese dalla scoperta delle vulnerabilità, e sono disponibili per le release da Ubuntu 20.04 al più recente 23.10. Purtroppo è vulnerabile anche Ubuntu Bionic (18.04) ma, non essendo più supportata, per questa non è disponibile alcuna patch.

 

Il codice di Ubuntu contiene ancora la chiamata al kernel vulnerabile, mentre in overlayfs mainstream è stata sostituita con un controllo.

 

Leggi anche: “Utenti Ubuntu sotto attacco


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Articoli

SMS truffa: come evitare le nuove minacce

Ecco alcuni utili consigli per proteggerti dalle insidie dei truffatori che, nel 2024, stanno esplorando nuove vie attraverso messaggi ma non solo

Avatar

Pubblicato

il

Ormai gli SMS sono sempre menu utilizzati per tenerci in contatto con amici e parenti, dato che sono stati quasi completamente sostituiti dalle app di messaggistica istantanea come WhatsApp, Telegram e compagnia. Tuttavia, rimangono ancora uno strumento molto utilizzato da aziende, istituiti bancari e altre attività commerciali, che adottano l’invio dei messaggini per finalità di marketing: per inviare avvisi agli utenti o, ancora, per questioni di sicurezza (i cosiddetti codici OTP). Purtroppo, però, questo proliferare di SMS di questa tipologia ha iniziato ad ingolosire anche malintenzionati, che sfruttano il circuito per cercare di truffare gli ignari utenti che li ricevono.

Finti SMS bancari

Quante volte abbiamo ricevuto SMS da istituti bancari o dalle Poste italiane in merito a fantomatici conti corrente bloccati o transazioni non autorizzate? Oppure ci siamo ritrovati ad aver vinto grandissimi premi o avere un pacco che non riescono a consegnarci?
Probabilmente innumerevoli volte, e se ci fate caso sono sempre seguiti da un invito a fare clic su un determinato link da cui procedere per poter “risolvere il problema”, che ovviamente ha il solo scopo di rubare i vostri dati e svuotare magari il vostro conto corrente. Nella maggior parte dei casi si tratta di SMS mal realizzati e quindi facilmente individuabili come “fake”, ma purtroppo negli ultimi anni le tecniche di phishing tramite messaggi di testo sono diventate sempre più accurate e possono ingannare davvero chiunque. Non a caso, si stima che ogni anno vengano sottratti in maniera illecita diversi milioni di euro a utenti ignari o poco esperti in materia di sicurezza informatica.

 

Tra le truffe più gettonate nell’ultimo anno c’è quella degli SMS relativi a pacchi in arrivo e da monitorare tramite un link ovviamente fasullo, oppure quello di spedizioni bloccate e da riscattare tramite un’operazione economica.

 

Come riconoscere una truffa

Nonostante le tecniche utilizzate da questi malintenzionati siano sempre più sofisticate, tanto che ormai sia gli SMS truffa che quelli veri finiscono per comparire nella medesima chat, è comunque possibile riconoscere un tentativo malevolo ponendo l’attenzione verso alcuni particolari.

Per prima cosa, solitamente tutti gli SMS truffa sono sempre seguiti da un invito urgente a fare clic su un link per proseguire con una fantomatica procedura, che sia per “sbloccare” un conto corrente o per richiedere il premio che abbiamo vinto (ovviamente non per davvero).

Spesso, è facile individuare questo tipo di SMS a causa degli errori grammaticali, poiché la maggior parte delle volte si tratta di individui che si trovano in ogni parte del mondo e che non conoscono l’italiano, per cui si affidano a strumenti di traduzione automatica, che ovviamente non sono perfetti. Anzi, spesso traducono in un italiano a dir poco “maccheronico”.

Se, però, per un fortuito caso il testo dell’SMS non presentasse evidenti errori, e procedessimo comunque all’apertura del link presente facendo tap di esso, in automatico, si aprirebbe una schermata del browser che avrà lo scopo di raffigurare nella maniera più fedele possibile la pagina della banca, delle Poste Italiane o di qualsiasi altra sia l’azienda utilizzata come specchietto per le allodole. La pagina che si apre, ovviamente, avrà lo scopo di chiederci di inserire le nostre credenziali o lasciare i nostri dati sensibili.

Tranquilli, la semplice apertura del link non comporterà alcun problema, poiché non sarà in grado di mettere in atto alcune truffa in automatico, infatti il suo scopo è quello di rubare i dati che andremo a digitare nei campi appositamente proposti.

Per essere sicuri che la pagina sia “fake”, una volta aperta ci basterà pigiare sulla barra degli indirizzi (posta in alto o in basso, in base al dispositivo che utilizziamo) e controllare in maniera accurata che il link utilizzato combaci con quello “ufficiale”.

Solitamente non è nemmeno necessario fare un confronto con l’indirizzo ufficiale, in quanto la maggior parte delle volte vengono utilizzi indirizzi totalmente “fake” con nomi molto diversi da quelli originali (per ovvi motivi), ma per sicurezza, diamo comunque un’occhiata all’indirizzo del sito ufficiale (lo recuperiamo facilmente “googlando”) per avere la conferma di quanto abbiamo scoperto.

Come proteggerci dagli SMS truffa

Purtroppo, non esiste un vero e proprio modo per proteggerci dagli SMS truffa, in quanto per evitare che ci intasino l’archivio dei messaggini dovremmo necessariamente bloccare la ricezione di tutti gli SMS. Tuttavia, con qualche piccolo accorgimento, possiamo comunque rimanere al sicuro.

Per prima cosa, non rispondiamo mai agli SMS di questo tipo, neanche per chiederli di smettere di riceverli e, ovviamente evitiamo di cliccare sui link che ci vengono proposti, o se lo facciamo non procediamo con altri tap o con l’inserimento di dati sensibili.

Anche se un clic su link di per sé non comporta alcun rischio, è sempre meglio diffidare, perché magari potremmo finire per inserire dati personali al suo interno, magari in buona fede. Non dobbiamo nemmeno mai condividere il nostro numero di telefono o il nostro indirizzo e-mail, soprattutto quando si tratta di fortunose vincite o per partecipare a “offerte” mirabolanti.

Inoltre, qualora si trattasse di SMS provenienti da numeri ben visibili (quindi con un mittente), possiamo sfruttare la funzione integrata nell’app Messaggi del nostro smartphone per segnalarli come spam e bloccarli.

Per finire, è sempre consigliabile aggiornare il sistema operativo dello smartphone qualora fossero disponibili degli update inviati dal produttore, poiché spesso aiutano a risolvere eventuali problemi di sicurezza. Ad esempio, sulla piattaforma Android vengono rilasciate le patch di sicurezza a livello mensile da parte di Google, che poi le varie aziende procedono a loro volta a rilasciare sui propri modelli. Su iPhone, invece, Apple rilascia aggiornamenti costanti per i propri dispositivi, solitamente a cadenza mensile.

 

Chi gestisce i messaggini con l’app ufficiale di Google per dispositivi Android, sa che la stessa è in grado di studiare le abitudini degli utenti e individuare i messaggi spam ricevuti da mittenti sconosciuti o improbabili.

 

Leggi anche: “Segnalata campagna SMS Phishing clonazione green pass


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Articoli

I pericoli dell’informatica spiegati ai bambini da Kaspersky

Avatar

Pubblicato

il

By

L'Alfabeto della Cybersecurity di Kaspersky

Per i genitori è di fondamentale importanza essere consapevoli delle minacce alla sicurezza informatica che coinvolgono i propri figli piccoli, data la diffusa accessibilità a smartphone e tablet anche da parte dei più piccoli.

Difatti, secondo la ricerca Tempi Digitali realizzata da Save The Children, in Italia per il 58% dei bambini tra 6 e 10 anni e il 71% tra 11 e 14 i videogame sono il passatempo preferito, esponendoli a possibili attacchi da parte dei criminali informatici. Per esempio, nel 2022, le soluzioni di sicurezza Kaspersky hanno rilevato più di 7 milioni di attacchi ai popolari giochi per bambini, con un aumento del 57% dei tentativi rispetto all’anno precedente. Oltre al gaming, anche il download delle app dagli store ufficiali può essere fonte di pericolo per i più piccoli: dal 2020 al 2022 i ricercatori di Kaspersky hanno stimato che sono state scaricate 4,8 milioni di app infette, che iscrivevano gli utenti a loro insaputa a servizi a pagamento.

Una corretta educazione digitale dei più piccoli diventa fondamentale man mano che essi crescono e sviluppano una maggiore consapevolezza di sé, inclusa quella del proprio spazio personale, della privacy e dei dati sensibili, sia offline che online. Per dare un contributo alla formazione dei minori, Kaspersky ha presentato L’Alfabeto della Cybersecurity, un libro per spiegare in modo semplice i concetti chiave della sicurezza IT ai bambini. Per saperne di più e per scaricare il libro in PDF, visitate l’URL https://www.kaspersky.it/blog/cybersecurity-alphabet/

Continua a Leggere

Articoli

Occhi e articolazioni più protetti al PC

Come tutte le attività prolungate, anche stare al computer può creare dei disagi fisici. Questa semplice applicazione Open Source aiuta a prevenirli

Avatar

Pubblicato

il

Se lavoriamo molto al computer corriamo il rischio di stancarci troppo la vista (astenopia) e anche di arrivare a sviluppare il disturbo degli arti superiori da lavoro (o RSI da Repetitive Strain Injury). Safe Eyes è un semplice programma che lavora in background e ci avvisa quando è meglio fare una pausa, consigliando anche delle azioni come chiudere gli occhi, farli ruotare o rilassarci appoggiandoci allo schienale della sedia, per ridurre il rischio di questi problemi. Il fatto che sia attivo in background lo rende un compagno discreto e ci sono varie possibilità di personalizzazione per adattarlo alle nostre esigenze. Per poterlo usare dobbiamo avere attivata la compatibilità con il formato Flatpak che possiamo facilmente ottenere seguendo le istruzioni riportate nel primo passo.

 

Flatpak. Eseguiamo sudo apt install flatpak e sudo apt install gnome-software-plugin-flatpak, confermando in entrambi i casi con S e INVIO. Eseguiamo quindi flatpak remote-add –if-notexists flathub https://flathub.org/repo/flathub.flatpakrepo.

 

Installazione facile. Colleghiamoci all’indirizzo https://bit.ly/45oYjSz e facciamo click su Install. Apriamo la cartella Scaricati e facciamo un doppio click sul file ottenuto, poi premiamo su Installa nella schermata che appare e infine facciamo click su Apri.

 

Impostazioni generali. Il programma lavora in background, quindi l’interfaccia è molto semplice. Possiamo però impostare fattori come la durata delle due tipologie di pause e l’intervallo tra di esse nel pannello Preferenze.

 

Le pause perfette per noi. Facendo click sulla scheda Pause possiamo invece vedere le pause brevi e lunghe che abbiamo impostato e modificarle facendo click sulla ghiera accanto a esse. Il segno + in basso ci consente di aggiungere nuovi tipi di pausa.

 

Estensioni. Ci sono anche delle utili estensioni come quella che disattiva Safe Eyes quando il nostro sistema è inattivo o che fa emettere un avviso sonoro dopo le pause in modo che possiamo essere avvisati anche se ci siamo allontanati dal computer.

 

Leggi anche: “Ububtu senza Flatpak o no?


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Articoli

Intelligenza artificiale per tutti!

Un sistema pratico e semplice per consultare la nostra IA preferita senza dover neanche aprire un browser e, con alcuni servizi, senza bisogno di registrazione

Avatar

Pubblicato

il

Bavarder in francese significa chiacchierare e sicuramente questa applicazione ci permette di farlo con una serie di importanti servizi di Intelligenza Artificiale in modo facile e veloce. Dopo averla installata dobbiamo solo inserire in una finestra quel che ci serve sapere per ottenere ogni risposta, che poi possiamo copiare e incollare dove vogliamo. Oltre che in italiano, possiamo parlare all’IA in varie altre lingue: basta scrivere in quella che vogliamo usare. Per utilizzare Bavarder non serve dare i propri dati ma per alcuni provider come OpenAI GPT 3.5 Turbo ci viene chiesta una chiave API che dobbiamo ottenere registrandoci sul sito del servizio di Intelligenza Artificiale e inserire nella sezione Fornitori delle preferenze del programma. Ci sono comunque ottimi sistemi come BAI Chat che si possono usare senza alcuna registrazione.

 

IN PRATICA

Flatpak
Eseguiamo sudo apt install flatpak e sudo apt install gnome-software-plugin-flatpak, confermando in entrambi i casi con S e INVIO. Eseguiamo quindi flatpak remote-add –if-notexists flathub  https://flathub.org/repo/flathub.flatpakrepo.

 

Installazione
Apriamo la pagina https://flathub.org/apps/io.github.Bavarder.Bavarder e facciamo click su Install. Apriamo la cartella Scaricati, facciamo un doppio click sul file, premiamo su Installa nella schermata che appare e facciamo click su Apri.

 

Scegliamo il provider
Si apre così l’interfaccia di Bavarder. Scegliendo Providers dal menu principale possiamo selezionare che servizio di IA usare. L’impostazione predefinita è https://openassistant.io/it ma ci sono anche altri progetti molto validi.

 

Interroghiamo l’IA
Scriviamo la nostra richiesta e facciamo click sulla freccia blu (Chiedi) per farla all’Intelligenza Artificiale. Dopo una breve attesa vedremo la risposta nel riquadro in basso. Se non ci soddisfa proviamo a formulare la diversamente la domanda.

 

Una risposta per tutto
Le risposte variano in base al servizio scelto ma sono in genere precise. Se quella che otteniamo è piuttosto lunga possiamo scorrere il testo con la barra laterale oppure ingrandire la finestra a tutto schermo.

 

Copia facile
L’icona dei fogli in basso a destra ci consente di copiare la risposta negli appunti, funzione disponibile anche per le domande. Possiamo nascondere, massimizzare e ridimensionare la finestra facendo click con il tasto destro sull’icona a hamburger.

 

Menu principale
Se invece vogliamo un’immagine della nostra interazione con l’IA possiamo selezionare Cattura schermata dallo stesso menu, che è il principale. Qui possiamo anche definire il posizionamento di Bavarder sul nostro spazio di lavoro.

 

Controlli da tastiera
La risposta si può anche semplicemente copiare con i tasti Maiusc + Ctrl + C. Possiamo vedere le altre scorciatoie premendo i tasti Ctrl + ? oppure selezionando Keyboard shortcuts dal menu principale.

 

 

Più risposte alla stessa domanda
Non possiamo far rigenerare la risposta al nostro input ma possiamo aprire una nuova finestra dal menu principale (o premendo Ctrl + N) e porre di nuovo la domanda per confrontare le due versioni.


Confrontiamo due servizi
Possiamo anche chiedere la stessa cosa a una seconda Intelligenza Artificiale, per esempio per scoprire con CatGPT cosa ci direbbe un gatto a proposito della filosofia di Ubuntu. Con l’IA si può fare di tutto.

 

Leggi anche: “Creare l’immagine con l’IA


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Articoli

Trucca il tuo YouTube!

Grazie a questa applicazione possiamo attivare alcune funzionalità premium del Tubo.

Avatar

Pubblicato

il

LibreTube è un’applicazione straordinaria per dispositivi Android che consente di fruire di tutti i video di YouTube senza essere interrotti da annunci pubblicitari, di ascoltare musica persino quando il telefono è in modalità standby e di scaricare brani direttamente sul tuo dispositivo. Fondamentalmente, questa app ti offre accesso alle funzionalità di YouTube che normalmente richiederebbero un abbonamento a pagamento. Dopo aver installato e avviato l’app sul tuo dispositivo, avrai accesso a una serie di opzioni che ti consentiranno di godere di contenuti audiovisivi di alta qualità in modo illimitato. In questa guida, ti presenteremo le caratteristiche più interessanti di LibreTube, che ti invitiamo a provare immediatamente.

 

INSTALLIAMO IL PROGRAMMA

Puntiamo il nostro browser al seguente link  e clicchiamo sul pulsante Download posto in basso nella finestra. Verrà avviato il download del file com.github.libretube_43.apk. A questo punto dobbiamo trasferire l’apk dal nostro PC sul dispositivo Android.

 

 

Per il trasferimento del file possiamo usare WhatApp Web per inviare un messaggio a noi stessi allegando il file. Spostiamoci ora sullo smartphone e tappiamo sul file APK in modo da installarlo. Se durante il setup di LibreTube ci viene richiesto di abilitare l’installazione da origini sconosciute, dobbiamo attivare l’opzione da Impostazioni/Applicazioni/ Accesso speciale all’app/Installa app sconosciute (il percorso può variare in base al modello di smartphone).

 

 

ATTIVIAMO LE FUNZIONI PREMIUM DEL TUBO

Per riprodurre un video in modalità “solo audio” occorre avviare il contenuto e selezionare Solo audio. Appare così la schermata di riproduzione musicale con quattro pulsanti: elenco brani, velocità di riproduzione, modalità video e condivisione. Tappando sulla copertina del brano si avrà accesso a diverse voci, tra cui Scarica e Aggiungi a playlist. Da Impostazioni/Generale/Modalità solo audio si ha la possibilità di trasformare l’intero YouTube in “solo audio”.

Da Impostazioni/Aspetto possiamo personalizzare la grafica dell’applicazione. Per impostare, ad esempio, un tema chiaro o scuro spostiamoci in Tema dell’app; da Icona possiamo cambiare l’icona dell’app LibreTube, da Barra di navigazione modificare i pulsanti (e l’ordine) presenti in basso (quelli di default sono: Pagina principale, Iscrizioni e Raccolta). Dalla sezione Disposizione, infine, possiamo modificare la disposizione degli elementi presenti in LibreTube, come il layout dei video e del player.

 

Per scaricare un video sul proprio dispositivo e rivederlo in un secondo momento dobbiamo tappare su Scarica presente all’interno della schermata di riproduzione. Verrà aperto un popup dove al posto di Senza video imposteremo la qualità del video che andremo a scaricare, e in Senza audio la qualità audio. Fatto ciò, tappiamo su Scarica per avviare il download. Il contenuto scaricato sarà raggiungibile dalla voce Raccolta, scegliendo la sezione Scaricamenti.

 

Durante la visualizzazione di un video, possiamo creare una nuova playlist tappando Salva e selezionando Crea playlist. In Nome playlist inseriamo il nome della playlist e tappiamo su Crea playlist. Scegliamo Aggiungi a playlist per aggiungere il video. Per entrare nella raccolta appena creata tappiamo su Raccolta e apriamo la playlist per vedere i video inseriti. Per eliminare l’intera playlist dobbiamo tappare sulla piccola icona a forma di cestino. Da Impostazioni/Backup e ripristino/Playlist è possibile importare o esportare una playlist.

 

 

Da Impostazioni/Riproduttore possiamo attivare la modalità Gesti che ci permette di controllare alcune funzionalità dell’app. Sempre dalla stessa finestra possiamo: attivare la voce Controllo pinch per usare il pinch to zoom per ingrandire il video a tutto schermo; Doppio tocco per cercare che permette, toccando due volte a sinistra o a destra, di riavvolgere o avanzare la posizione del lettore; Picture in Picture, per continuare a vedere il video anche quando si esce dall’app (rimane una finestra piccola sullo schermo che riproduce il video).

 

Spostiamoci in Impostazioni/Backup e ripristino. Dalla sezione Backup dell’app selezioniamo Backup: verrà aperto un popup dal quale scegliere cosa salvare (cronologia delle visualizzazioni, iscrizioni, segnalibri, playlist, preferenze, ecc…). Tappiamo su Backup per confermare. La procedura appena vista permette di salvare i dati e le impostazioni dell’app; per ripristinare un backup, basta accedere alla sezione Ripristina e selezionare l’archivio creato in precedenza.

 

Leggi anche: “YouTube occhio alle nuove truffe


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Trending