La cosiddetta “nuvola” (o cloud), ovvero il sistema di server in Internet utilizzato per l’archiviazione remota di dati, è una bellissima cosa, perché ci consente di avere una copia di sicurezza dei nostri file accessibile da ovunque ci sia una connessione Internet disponibile. L’altra faccia della medaglia, però, è che i file sono nelle “mani” di qualcun altro (o meglio sui dischi di qualcun altro) e, in qualche modo, esposti al pubblico: anche se protetti dal nostro account, qualche malintenzionato potrebbe riuscire ad accedervi e a sottrarre i file. È un’eventualità remota, ma se vogliamo essere più tranquilli possiamo aggiungere ai sistemi di sicurezza propri del cloud un’ulteriore protezione: crittografare i dati prima di salvarli in remoto, così che anche nel caso in cui qualcuno riuscisse ad accedere al nostro account non potrebbe comunque leggere il contenuto dei file criptati.

Usiamo CryptSync

Per proteggere i dati memorizzati nel cloud possiamo sfruttare l’app Open Source CryptSync, che si occupa di sincronizzare il contenuto di due cartelle crittografando quello di una delle due. Può essere utilizzata per sincronizzare una cartella locale con una in una chiavetta, oppure in un server locale o, ancora, proprio in un servizio cloud. La procedura è semplice: le app dei servizi cloud creano una cartella sul nostro PC, sincronizzata automaticamente con il servizio di archiviazione remota. Creiamo quindi una seconda cartella in cui mettere i file originali e impostiamo CryptSync affinché sincronizzi il contenuto delle due cartelle crittografando quello che poi sarà a sua volta sincronizzato con il cloud. I documenti verranno crittografati e compressi, permettendoci anche di risparmiare un po’ di spazio. Per accedere ai file, dovremo utilizzare un’utility per la gestione dei file compressi, come WinRar o 7-Zip, e inserire la password che abbiamo impostato in CryptSync.

IN PRATICA

CryptSync è un’utility disponibile gratuitamente: accediamo al sito e scarichiamo la versione più recente (disponibile a 32 o 64 bit), procedendo poi alla sua installazione. Avviamo l’app per accedere  all’interfaccia di CryptSync e abilitiamo l’avvio automatico con Windows.

Per attivare la sincronizzazione fra le due cartelle premiamo, sempre dalla schermata principale, il pulsante New Pair: comparirà una nuova finestra dove potremo impostare la cartella originale e quella da crittografare. Per selezionarle, premiamo il pulsante con i tre puntini sulla destra.

Come cartella di destinazione (cioè quella in cui il contenuto sarà crittografato) selezioniamone una all’interno di quella creata dal nostro servizio cloud. In questo caso abbiamo scelto di usare il servizio cloud Microsoft, OneDrive.

Inseriamo la password che ci servirà per accedere ai file criptati. L’opzione Encrypt Filename cripta anche i nomi di file e cartelle, ma poi non potremo riconoscerli se non aprendoli uno per uno. Lasciamo le altre opzioni invariate.

La sincronizzazione delle cartelle avviene automaticamente a ogni cambiamento, oppure manualmente premendo il pulsante Sync Files. Nella cartella di destinazione di CryptSync appariranno i file originali ma criptati, a cui potremo accedere con l’app 7-Zip.

Aprendo i file criptati con 7-Zip potremo decomprimerli e decifrarli contemporaneamente, inserendo la password precedentemente impostata in CryptSync. In alternativa possiamo utilizzare altri programmi per la gestione dei file compressi, per esempio WinRar.

Leggi anche: “File nel cloud sincronizzati“

Nitrux è una distribuzione desktop cosiddetta immutabile che offre sicurezza e affidabilità. Per impostazione predefinita, infatti, non vengono apportate modifiche al contenuto della directory di root. È basata sull’ultima base Debian e sulle ultime versioni stabili di KDE Plasma 5, a cui aggiunge il proprio livello di personalizzazione chiamato NX Desktop, che ha un aspetto grafico molto accattivante ed è molto funzionale e ordinato. Offre inoltre Nitrux Update Tool System che semplifica gli aggiornamenti della distribuzione, garantendo al contempo una rete di sicurezza contro problemi imprevisti con backup SquashFS memorizzati localmente.

Nitrux include una suite di applicazioni convergenti chiamate Maui app, realizzate con il framework MauiKit degli stessi sviluppatori

Non passa inosservata

La versione 3.0.0 apporta aggiornamenti software, correzioni di bug, miglioramenti delle prestazioni e un maggiore supporto hardware. L’installazione con il suo installer Calamares modificato è facile e l’interfaccia è intuitiva. Nitrux include una suite di applicazioni convergenti chiamate Maui app, costruite utilizzando il framework MauiKit degli stessi sviluppatori, che fornisce un insieme di componenti QtQuick utilizzabili per creare applicazioni compatibili con varie piattaforme e dispositivi, come Linux desktop, Android o Windows. Tra le app incluse ci sono il file manager Index, l’emulatore di terminale Station, l’NX Software Center (uno store di AppImage), Strike, un IDE per progetti C++, e il gestore di repository Git Bonsai. Nitrux è un sistema operativo completo e fornisce tutte le applicazioni e i servizi essenziali per l’uso quotidiano: strumenti per l’ufficio, lettore di PDF, editor di immagini, lettori musicali e video, ecc. Di solito si tratta di applicazioni KDE, ma ci sono eccezioni, come Firefox, per creare un’esperienza d’uso a tutto tondo. Nel complesso Nitrux è una distribuzione adatta a utenti di qualsiasi livello di esperienza, con una buona documentazione (in inglese) e guide ben fatte per molte funzioni.

L’interfaccia di Nitrux combina componenti di KDE Plasma, Plasmoid e Maui Kit con temi KStyle ed è elegante e ben organizzata

Giunta alla versione 2023.3 (scaricabile da questo link) viene considerata l’erede naturale di Backtrack. Gli utenti di Kali Linux possono scegliere il tipo di ambiente desktop preferito tra i tre disponibili: Xfce, GNOME Shell e KDE Plasma. A rendere ancora più interessante questo sistema operativo c’è una vasta gamma di dispositivi su cui è possibile installarlo, tra cui i sistemi ARM, quelli basati su Android e le principali macchine virtuali disponibili. In tal modo, Kali Linux diventa lo strumento perfetto per mettere alla prova la sicurezza di tutto ciò che ha a che fare con l’informatica per l’uso quotidiano e professionale.

La nuova versione

Oltre al fatto di avere adottato il kernel Linux 6.3.7 ed essere basata su Debian 12, la versione 2023.3 di Kali Linux vede l’introduzione di uno strumento molto interessante, chiamato Kali Autopilot. Si tratta di un’utilità Kali Purple che permette agli utenti di mettere alla prova le difese di un sistema informatico, sottoponendolo a tutta una serie di attacchi simulati, per rilevarne le eventuali falle e correggerle. Fornito di interfaccia grafica e di un’API per la gestione degli attacchi da remoto, Kali Autopilot ha una ricca dotazione di script e un servizio per la simulazione automatica degli attacchi. Ci sono anche numerosi nuovi strumenti che sono stati aggiunti al già ricchissimo arsenale in  dotazione. Tra questi vale la pena nominare Calico, che ha la funzione di controllare sottosistemi di rete di ambienti cloud e macchine virtuali. Hubble ha invece il compito di monitorare il traffico di rete di Kubernetes grazie a eBPF. Chi ha bisogno di una piattaforma di automazione per i test di vulnerabilità troverà in Rekono un valido alleato. Per quanto riguarda invece l’organizzazione dell’interfaccia utente, Kali Linux bada molto al sodo, nonostante offra vari strumenti di personalizzazione come Kali Tweak. Il menu principale ha sezioni dedicate alle applicazioni preferite e a quelle usate di recente, che possono risultare molto comode per accedere velocemente agli strumenti più sfruttati, vista soprattutto la quantità impressionante di quelli a vostra disposizione. Per fortuna tutte le applicazioni vengono suddivise in svariate cartelle tematiche come Vulnerability Analysis e Sniffing & Spoofing che descrivono il proprio contenuto. La maggior parte degli strumenti disponibili è a riga di comando mentre quelli con interfaccia grafica sono una sparuta minoranza. Tuttavia, la documentazione è ampia ed esaustiva, sia all’interno del sistema operativo, sia nel suo sito Web ufficiale, cosicché anche chi muove i primi passi nel mondo dell’hacking e della sicurezza informatica potrà trovare sicuramente le applicazioni più utili alle proprie necessità.

CONFIGURAZIONE E USO DI KALI LINUX

Accesso al sistema operativo
Dopo avere premuto su Invio, con Kali Gnu/Linux selezionato nella schermata del GRUB, vi ritroverete all’interno del sistema operativo. Digitate kali sia come nome utente sia come password e fate clic su Log In. Premete sull’icona azzurra in alto a sinistra e selezionate Settings.

Cambiare il nome utente
Scorrete l’elenco e fate clic su Users and Groups. Nella finestra che si apre, premete sul primo pulsante Change, in corrispondenza di kali. Nel campo Full name digitate il nuovo nome utente e confermate con OK. La modifica viene applicata automaticamente com’è possibile vedere in alto a sinistra.

Modificare la password Nella stessa finestra, fate clic su Change in corrispondenza di Password: Asked on login. Nel campo Current password dovrete ovviamente digitare kali. Compilate quindi il campo New password con la nuova parola chiave e ridigitatela nel campo Confirmation. Premete su OK e poi su Yes per confermare.

Personalizzazione della tastiera
In Settings selezionate keyboard. Nella nuova finestra, fate clic su Layout. Disattivate Use system defaults premendo sull’interruttore, poi fate clic sul pulsante +Add. Nel menu Italian, selezionate la tastiera che corrisponde alla vostra e confermate con OK. Selezionate English (US) e premete su Remove.

Controllo di vulnerabilità
Nel menu principale, selezionate Vulnerability Analysis e fate click su Legion (root). Nell’interfaccia, premete su Click here to add host(s) to scope. Nel campo in alto digitate l’IP o l’indirizzo dell’host da controllare, quindi impostate il livello Timing and Performance Options e fate click su Submit per procedere.

Sniffare una rete
Nel menu Sniffing & Spoofing fate click su ettercap-graphical. Attivate Bridged sniffing agendo sul suo interruttore, poi selezionate i dispositivi in Primary Interface e Bridged Interface. Premete sul pulsante con i tre pallini e selezionate un’opzione. Fate click sul pulsante con la spunta per iniziare.

Leggi anche: “Kali Linux 2023.3 è qui”

Diversi  possono essere i “contenitori” (i cosiddetti cover file) nei quali nascondere messaggi. Ottimi candidati sono i file audio nei diversi formati esistenti, nei quali, come vedremo, sarà possibile occultare testo, immagini e messaggi audio/video, senza alterare la qualità sonora dell’originale.
Qualunque sia il contenitore utilizzato e l’elemento che si vuole nascondere in esso, esistono alcuni aspetti comuni dai quali non è possibile prescindere. Ai primi posti si può annoverare sicuramente l’impercettibilità (undetectability), ovvero la capacità del metodo steganografico utilizzato di non far comprendere la presenza di informazioni nascoste nel file che si sta leggendo, osservando o ascoltando. Una caratteristica antitetica è la massima dimensione delle informazioni che si possono nascondere (embedding capacity o hiding rate nel caso di flussi audio) senza alterare apprezzabilmente la qualità del file contenitore. Sicurezza (security), una proprietà che si sovrappone, seppur non in toto, con il concetto di impercettibilità. Infatti, la sicurezza nel caso della steganografia è riferita in generale alla non conoscenza (non visibilità) di terzi della presenza di messaggi nascosti nel file cover e di riflesso l’incapacità di poter collegare il soggetto che sta inviando il file al file stesso. Non meno importante la proprietà della robustezza alla contraffazione (Tamper Resistance) con qualche sovrapposizione con sicurezza e impercettibilità in quanto sta a indicare la difficoltà, o la non facilità, del file cover utilizzato per nascondere il messaggio di essere craccato dall’utente. Un possibile ulteriore requisito vede la protezione dell’informazione nascosta crittografando la stessa prima di applicare la steganografia; in questo caso si parla di steganografia crittografica secondo lo schema di [figura #1].

FIG.1 – Nella foto sono riportate in maniera grafica le metodologie per la sicurezza digitale dei dati.

Alcune proprietà sono tra di loro  manifestamente antitetiche; per esempio fissato il tipo e la dimensione del file cover, non si può pensare di incrementare in maniera casuale l’embedding capacity poiché ciò determinerebbe una riduzione della sicurezza dovuta all’inevitabile degradazione del file che dovrà ospitare le informazioni nascoste. Analogamente alla steganografia sulle immagini o alla steganografia testuale, le tecniche utilizzate per nascondere le informazioni sono funzioni del formato audio che si vuole utilizzare come contenitore, in più uno stesso formato audio può essere oggetto di diversi algoritmi che si differenziano per le modalità con le quali l’informazione segreta viene a essere celata. Per tale motivo si considererà dapprima uno scenario generale per poi prendere in considerazione un formato particolare.

Metodi steganografici per file audio

La tendenza a nascondere informazioni all’interno di file audio deriva dalla particolare importanza che questa tipologia di file ha raggiunto oggigiorno come vettore di informazioni nella società umana (file musicali, podcast e trasmissioni in diretta). È proprio la diffusa disponibilità e la popolarità dei file audio a renderli idonei a fungere come vettore per il trasporto di informazioni nascoste. Tuttavia, l’azione del nascondere dati nei file audio è particolarmente impegnativa a causa della relativa sensibilità del sistema uditivo umano (HAS, Human Auditory System). Per tale motivo vengono sfruttate quelle che possiamo chiamare delle “zone d’ombra” dell’orecchio che nella pratica corrispondono a condizioni e proprietà sonore per le quali una loro alterazione permette di mascherare le inevitabili degradazioni del file stego (contenente le informazioni nascoste) rispetto al file cover (file originale). Il tipico esempio è la codifica degli MP3 i quali per ridurre la dimensione del file originale sfruttano, tra le altre cose, una deficienza dell’orecchio umano che consiste nell’incapacità di percepire suoni deboli che arrivano subito dopo – entro un limitato intervallo di tempo – un suono forte. Così come una certa tipologia di distorsioni ambientali e non che possono mascherare l’alterazione del file indotta dal nascondere dei messaggi al suo interno.

Un qualcosa di simile lo possiamo riscontrare nell’organo della vista con il fenomeno dell’abbagliamento avvenuto il quale non si riesce a distinguere con nitidezza ciò che ci circonda per un periodo di tempo più o meno prolungato. Una prima classificazione della steganografia audio riguarda il dominio di appartenenza dell’algoritmo utilizzato che può aversi nel dominio del tempo, nel dominio della trasformata (frequenza) e nel dominio dei codec. Tali algoritmi, definito il dominio di appartenenza, è possibile suddividerli ulteriormente in base al tipo di approccio in Pre-encoder embedding, quando il dato segreto è aggiunto allo streaming audio per poi far confluire entrambi nell’encoder; applicabile al dominio del tempo e della frequenza. L’approccio In-encoder embedding tipico del dominio dei codec nel quale lo streaming audio e il messaggio segreto confluiscono contemporaneamente nell’encoder originando il file (flusso) stego. Infine, l’approccio Post-encoder embedding nel quale il messaggio nascosto viene incorporato nel flusso audio già codificato, tipicamente in tecniche nel dominio del tempo.

File audio: alcune tecniche

La Echo Data Hiding [figura #2] è una tecnica nel dominio del tempo che prevede, come il nome suggerisce, che le informazioni da nascondere vengano inserite aggiungendo un’eco al file audio lavorando su parametri come la velocità di decadimento, ampiezza iniziale e ritardo: l’ampiezza iniziale viene usata per determinare i dati del suono originale, il tempo di decadimento per comprendere come l’eco debba e possa essere aggiunta e il ritardo per capire la massima distanza tra suono originale ed eco.

FIG.2 – In figura il flusso dati della steganografia audio in base alla tecnica Echo Data Hiding. Altre tecniche note: Silence Intervals, Phase Coding, Amplitude Coding, Tone Insertion e Cepstral Domain.

La capacità di occultamento può arrivare al più a 50bps (bit per secondo) di contro ha elevata resilienza anche nel caso venga applicato una codifica di tipo lossy (a perdita di dati). Una tecnica nel dominio della frequenza  considera un file, o segnale, audio come un insieme di frequenze e manipola questi “pacchetti di frequenze” per nascondere i dati. Il principio è simile al formato MP3 ma riferito alle frequenze laddove l’orecchio umano non è in grado di percepire una frequenza “debole” nelle vicinanze di una frequenza “forte”. Allora una opportuna alterazione della frequenza “più debole” ha notevoli chance di rimanere non rilevata poiché mascherata dalla vicina presenza di una frequenza “forte”. Una tecnica che sfrutta queste caratteristiche è la Spread Spectrum nella quale l’informazione da nascondere è codificata e distribuita negli spettri di frequenze disponibili. La tecnica è mutuata da un concetto proveniente dalle comunicazioni dei dati al fine di garantire un corretto recupero anche in canali rumorosi. Due le versioni utilizzabili, la DSSS (Direct-Sequence Spread Spectrum), applicata a file MP3 e WAV, e la FHSS (Frequency Hopping Spread Spectrum). La capacità di occultamento è tra le più basse delle tecniche disponibili, al più una decina di bps. La scelta dell’una o dell’altra tecnica e del dominio di appartenenza è funzione del campo di applicazione. In caso di comunicazione in tempo reale (dal vivo) l’incorporamento del messaggio non può che avvenire nel momento in cui si parla al microfono ovvero nel momento in cui il segnale viene trattato attraverso uno dei tre approcci riportati in precedenza. Va da sé che il segnale ricevuto dall’ascoltatore sarà diverso dal segnale trasmesso dall’oratore a causa dell’operazione di information hiding.

Coding LSB

Conosciuto anche con il termine di Low-bit encoding, il coding LSB (Least Significant Bit) è una tecnica di information hiding nel dominio del tempo. Nella sua “forma storica”, si caratterizza dalla sostituzione di ogni bit dell’informazione da nascondere nel bit meno significativo del file cover che poi originerà il file stego come riportato schematicamente in [figura #3].

FIG.3 – 1 bit del campione originale è sovrascritto da 1 bit del messaggio nascosto.

Questa sostituzione non apporta nessuna variazione significativa nella qualità audio o quanto meno nessuna variazione in grado di essere percepita dal sistema uditivo umano (HAS). Un file audio ha un fissato numero di bit per campione singolo e in genere una elevata frequenza di campionamento. Questo aspetto sovraintende pertanto un’elevata capacità di nascondere dati. Per esempio un file audio campionato a 16kHz (16.000 campioni al secondo) sostituendo il solo bit meno significativo (LSB) in 16.000 campioni per ogni secondo, potrà nascondere al più 16kbps (kilobit per secondo) di informazioni. A fronte della semplicità e facilità di nascondere un elevato quantitativo di informazioni (di fatto è la tecnica con i valori più alti) di contro c’è la facilità di estrazione e distruzione. Un formato al quale è possibile applicare agevolmente questa tecnica è il wav.

StegoLSB e WavSteg

Per il suo principio di funzionamento, la tecnica Coding LSB è applicabile non solo ai file audio ma anche ai file delle immagini in formato RGB (Red GreenBlu) come bmp o png. Il principio rimane lo stesso riportato in [figura #3]; per ogni colore del canale in ogni pixel dell’immagine, verrà sovrascritto il bit LSB dei dati che vogliamo occultare. Un programma in grado di permetterci di fare prove su immagini e file audio è stego-lsb che in realtà richiama come argomento altri programmi. Per la sua installazione assicuriamoci della presenza del tool pip3, eventualmente si proceda alla sua installazione selezionando python3-pip dal gestore dei pacchetti della distribuzione in uso; nel nostro caso è stato utilizzato dnf install python3-pip sulla distribuzione ROSA Linux. A questo punto il comando impartito da utente non amministratore pip3 install stego-lsb installerà il tool per l’utente.
Utilizzare WavSteg è alquanto semplice, per esempio:

stegolsb wavsteg -h -i file_
Esempio.wav -s Steganografia_
Audio.odt -o file_stego.wav -n 1

laddove l’opzione -h sta per hide (nascondere), -i per indicare percorso e file cover, -s per il percorso al file che si vuole occultare, -o per il nome e percorso del file stego e infine -n per il numero di bit LSB da utilizzare per ogni campione, di default è pari a 2.
Ma cos’è è stato nascosto nel file wav? Il comando che segue ce lo rivela:

stegolsb wavsteg -r -i file_stego.wav -o file_output -n 1 -b 50753

dove l’opzione -r sta per recupero, con -i si indica il percorso al file stego, con -o le informazioni/file da recuperare, con -n i bit LSB usati e con -b l’esatto numero di bit del documento originale. In definitiva l’informazione occultata nel file wav era il formato odt (LibreOffice) di ciò che state leggendo in questo momento [figura#4]! Naturalmente attraverso una rivista non è possibile dimostrare l’impercettibilità audio tra i due file. Provate per credere.

FIG.4 – Occultamento ed estrazione da formato wav.

Contromisure

Ne esistono diverse metodologie, basate, per esempio, su attacchi statistici con tool come Aletheia oppure, nei casi meno complessi, previo uso di programmi come StegDetect,  JPHide. Ulteriori tecniche possono far uso del software SonicVisualizer  in grado di analizzare il contenuto di file audio e di riflesso ritornare d’aiuto nella rivelazione dell’occultamento di informazioni. Anche binwalk, utilizzato per la ricerca binari nei file, permette di individuare informazioni nascoste in immagini e file audio, ma questo poi è un altro discorso!

Leggi anche: “Messaggi segreti a prova di spia“

Consigliato anche dal collettivo Anonymous, PeaZip si distingue come una versatile e sicura soluzione per la compressione e l’estrazione dei file. È un software gratuito e open source, disponibile per Windows e Linux, e supporta una vasta gamma di formati di compressione, tra cui ZIP, RAR, 7Z e TAR. La sua interfaccia intuitiva e user-friendly lo rende accessibile anche agli utenti meno esperti e offre una varietà di funzionalità, consentendo agli utenti di creare archivi compressi, estrarre file da archivi esistenti, crittografare gli archivi per garantire la sicurezza dei dati sensibili e, persino, suddividere gli archivi in parti più piccole per semplificare la distribuzione.

SICUREZZA DEI DATI

PeaZip pone una forte enfasi sulla sicurezza dei dati durante il processo di compressione e decompressione. L’applicazione supporta la crittografia AES-256, uno degli algoritmi di crittografia più sicuri disponibili,
che protegge gli archivi compressi con una password. Ciò significa che solo le persone autorizzate che conoscono la password corretta possono accedere ai dati contenuti nell’archivio. Come se non bastasse, offre la possibilità di verificare l’integrità dei file compressi attraverso l’utilizzo di codici di controllo dell’integrità. Questa funzione è particolarmente utile per garantire che i file compressi non siano stati danneggiati durante il processo di trasferimento o archiviazione. Supporta anche la cancellazione sicura dei dati, consentendo agli utenti di rimuovere definitivamente i file sensibili dagli archivi compressi.

COME LO VUOI

PeaZip presenta anche numerosi strumenti di personalizzazione e funzionalità avanzate per soddisfare le esigenze degli utenti più esigenti. Gli utenti possono impostare varie opzioni di compressione, scegliere il grado desiderato e definire parametri specifici per il processo. Supporta altresì l’automazione, attraverso l’uso di script di estrazione e creazione di archivi. Gli utenti avanzati possono infatti creare script personalizzati per automatizzare compiti ricorrenti o complessi, consentendo loro di risparmiare tempo ed evitare operazioni manuali ripetitive.

IN PRATICA

CREARE UN ARCHIVIO COMPRESSO E PROTETTO

Collegatevi al sito ufficiale del tool  e scaricate il pacchetto software in base al vostro sistema operativo. Noi abbiamo provato PeaZip su Windows. Lanciate l’eseguibile e cliccate su Next per tre volte. Infine scegliete Install, aspettate qualche secondo, e cliccate Fine.

Lanciate Configure PeaZip e, prima di cliccare su Next, impostate la lingua italiana. Proseguite la configurazione lasciando le voci così come sono. L’intero processo dura pochi istanti. Al termine aprite il programma. Troverete tutte le voci in italiano.

Dalla schermata principale, navigate all’interno del Pc e scegliete e file che volete comprimere. Selezionateli e cliccate su Aggiungi, in alto a sinistra. Nella parte bassa della schermata che vi si aprirà, impostate la destinazione del nuovo file e la tipologia (zip, arc, pea, tar ecc.).

Potete anche chiedere al software di creare un archivio per ogni file selezionato, di salvare il nuovo documento nella cartella d’origine, di cancellare i file dopo l’archiviazione e di inviare lo zip via mail al termine. Impostato tutto in base alle vostre preferenze.

E ora veniamo alla protezione. Cliccate su Password/keylife. Inserite un codice nella casella Password e confermatelo. Poi, cliccate su File-chiave e selezionate un file che avete creato in precedenza (per esempio un file di testo con all’interno un codice segreto).

Per aprire l’archivio, chi riceverà il file, dovrà inserire la password scelta, oppure selezionare il file chiave (che, naturalmente, dovrà essergli inviato a parte). La doppia protezione garantirà un livello maggiore di sicurezza nello scambio o nella conservazione di documenti e file.

*illustrazione articolo progettata da  Freepik

Gli strumenti di questa distribuzione, come il Desktop Profiler, vi permettono di configurarla in base alle vostre esigenze e preferenze, scegliendo il livello di personalizzazione che preferite

Q4OS è un sistema veloce e intuitivo basato su Debian Linux. È stato progettato per offrire ambienti desktop in stile classico, come Trinity e KDE Plasma, e semplici accessori. È adatto sia ai neofiti sia agli utenti esperti. Si distingue per il ridotto dispendio di risorse hardware e funziona bene sia su macchine nuove sia su computer datati. È molto utile anche per gli ambienti cloud virtuali. A differenza di altre distro, non offre un gruppo completo di applicazioni preinstallate, ma un sistema snello e dotato di potenti strumenti che vi consentono di configurarlo in base alle vostre esigenze e preferenze. L’obiettivo è quello di fornire un OS stabile e leggero, arricchito da strumenti unici.

Strumenti di personalizzazione

Per esempio, lo strumento Desktop Profiler della distribuzione consente di creare e importare profili personalizzati, semplificando la configurazione del sistema e l’impostazione delle applicazioni. Q4OS permette la coesistenza degli ambienti desktop Plasma e Trinity e potete passare da uno all’altro senza interferenze. È anche possibile eseguire una procedura guidata di setup da Windows e installare Q4OS con la stessa facilità di qualsiasi altra applicazione, ottenendo una soluzione molto più efficiente rispetto all’esecuzione di una macchina virtuale. La stabilità è un obiettivo primario della distro, che garantisce prestazioni affidabili e un minimo sforzo postinstallazione. L’adozione di nuove funzionalità viene affrontata con cautela, con test e indagini approfondite prima dell’implementazione. PQ4OS 5.2 Aquarius è una nuova versione stabile del sistema operativo basata su Debian Bookworm 12 e Plasma 5.27.5 (con l’ambiente desktop Trinity 14.1.1 opzionale). Questa versione con supporto a lungo termine (LTS) riceverà patch di sicurezza e aggiornamenti per almeno cinque anni. È disponibile per i computer a 64 bit, mentre un’edizione a 32 bit per i sistemi più vecchi sarà rilasciata a breve. Nel complesso, Q4OS offre un approccio unico alle distribuzioni Linux, concentrandosi sulla semplicità, l’efficienza delle risorse e le opzioni di personalizzazione, il che lo rende una scelta convincente per gli utenti che cercano un sistema operativo versatile e accessibile.

Potete facilmente cambiare i temi del desktop e passare da uno all’altro

In un mondo ambientato sempre più nei browser web, le vulnerabilità dei siti web preoccupano per la sicurezza degli utenti e dei loro dati. Il Cross Side Scripting (XSS) è una delle più insidiose, perché colpisce direttamente l’utente piuttosto che il server web. E l’utente non può nemmeno difendersi, a meno di non voler disabilitare del tutto Javascript (cosa che, però, impedirebbe la visualizzazione di qualsiasi sito moderno). Il Cross Site Scripting avviene solitamente quando un sito che offre all’utente la possibilità di inserire dei dati, per esempio tramite un form, non verifica il testo inserito per assicurarsi che non siano presenti porzioni di codice. E quindi per un utente malintenzionato diventa possibile iniettare Javascript in una pagina web che verrà visualizzata da qualcun altro. Certo, tutto questo richiede comunque una vulnerabilità nel sito web in questione, e almeno per i siti più sensibili (banche, istituzioni pubbliche, aziende sanitarie eccetera) è probabile che il codice del sito sia stato controllato così tante volte e da così tante persone che la probabilità di un errore che porta a una XSS è piuttosto basso. Quindi finché ci possiamo fidare del sito che visitiamo va tutto bene. O no? In effetti, c’è una situazione particolare da tenere in considerazione: e se la porzione di Javascript vulnerabile non fosse nel sito? Se fosse nel browser stesso? I browser moderni offrono infatti la possibilità di aumentare le funzionalità con delle estensioni. E in qualche caso, sono persino preinstallate e attive di default. Per esempio, su Edge, il browser di Microsoft che ha sostituito Internet Explorer.

IL SERVER FA, IL BROWSER DISFA

Prima di tutto, bisogna capire come funziona il Cross Site Scripting. Pensiamo a un sito che permette di scrivere dei commenti. Se il testo di un commento non viene controllato e contiene del codice Javascript, quando il commento viene pubblicato sarà visibile per qualsiasi altro utente, e il suo codice sarà eseguito da tutti. Il che è un problema grave, perché quel codice viene eseguito come se facesse veramente parte del sito web, e quindi con accesso a cookies e local storage dell’utente. In altre parole, con accesso all’identità dell’utente: con la possibilità di eseguire azioni sul sito stesso a nome dell’utente che sta visualizzando la pagina. Questa cosa è ormai un problema molto grave perché buona parte dei siti web è realizzata con il modello frontend-backend, dove tutte le informazioni sono gestite dal backend (che è anche l’unico ad avere un accesso al database), mentre il frontend è “ignorante” e ottiene i vari componenti da visualizzare sulla pagina tramite chiamate alle API esposte dal backend. Naturalmente, ci sono delle protezioni per il backend, per cui di solito le chiamate HTTP alle API sono permesse solo se provenienti dal frontend e regolarmente autenticate. Tuttavia, questa è esattamente la situazione in cui si trova del codice Javascript iniettato nelle pagine tramite XSS, visto che il server non ha modo di sapere se le chiamate che arrivano dal frontend siano legittime o no. Il criminale può quindi eseguire azioni per conto di qualsiasi utente visualizzi il suo codice, per esempio facendogli pubblicare post, cambiando la sua password, estraendo dati personali o eseguendo pagamenti (a seconda della natura del sito web, ovviamente).

Il traduttore integrato in Microsoft Edge è un plugin disponibile di default. Come si vede, prima della traduzione la pagina visualizza il codice XSS come testo. Fonte: https://blog.cyberxplore.com

Questo vale, per l’appunto, finché la vulnerabilità è insita in un sito web, e quindi colpisce quel sito nello specifico. Ma se la vulnerabilità è presente in una estensione del browser, che ha naturalmente accesso a tutte le pagine web e al loro contenuto, può essere possibile sfruttare la XSS anche se il frontend del sito non è direttamente vulnerabile. Nello specifico, parliamo della vulnerabilità presente nel plugin di traduzione delle pagine di Microsoft Edge. Quando il traduttore prende il testo di una pagina in lingua straniera e lo traduce in italiano la nuova pagina viene visualizzata nella scheda del browser con gli stessi cookies della pagina originale, quindi ha accesso all’identità dell’utente. Ed è ovvio che, se il traduttore non pulisce correttamente il codice HTML, è possibile che si inneschi una XSS che altrimenti sarebbe stata innocua.
Il traduttore di Microsoft viene innescato dalla funzione startPageTranslation:

Microsoft.JS.startPage

Translation(originalLang, targetLang, shouldTranslate

FullPageInOneGo, “domTranslator
SessionId”, “token”, onSuccess
Callback, onTranslateApiCalled,
onErrorCallback);

E come hanno scoperto alcuni ricercatori, non pulisce correttamente il codice, per cui quando reinserisce le stringhe tradotte nella pagina web, finisce con l’includere eventuali segmenti script senza fare alcun escape e quindi portando il browser stesso a eseguirli. Un esempio di codice HTML “vulnerabile” è il seguente:

<b><u>Testo apparentemente innocuo </u></b>

<br>

<br>

“><img src=x onerror=alert(1)>

<br>

Solitamente, questo tipo di codice viene bloccato dalla maggioranza dei siti, che fanno correttamente l’escape dell’HTML e quindi fanno apparire tutto questo nella pagina come se fosse del normale testo (in altre parole, si vedono i simboli < e >). Se un utente prova a inserire questo tipo di codice in un campo di testo, il server probabilmente farà l’escape, rendendo inefficace il tentativo di XSS. Il traduttore di Microsoft, però, prende il testo e (dopo averlo tradotto) lo rimette nella pagina, ma come codice HTML senza escape dei tag HTML. Questo annulla qualsiasi controllo sull’HTML che può essere fatto dai siti web; quindi, rischia di rendere eseguibile la porzione di codice: alert(1)

In questo caso, naturalmente, si limita a far apparire una messagebox. Ma potrebbe teoricamente essere qualsiasi istruzione Javascript.

ENTITÀ DELLA VULNERABILITÀ

Per poter sfruttare questa vulnerabilità l’attaccante non deve in realtà fare molto, se non depositare il codice XSS su qualche sito web usando un campo di testo, come i commenti di un blog o un post pubblico (anche su un social network, come Facebook). Il resto è, sostanzialmente, nelle mani dell’utente: deve trattarsi di un utente che utilizza Microsoft Edge, e che ha bisogno di tradurre una qualche pagina. Cosa in realtà non troppo rara: se il malintenzionato ha pubblicato il suo codice su un sito in lingua inglese molti utenti italiani proveranno a tradurlo. E bisogna comunque considerare che Edge, pur non avendo la popolarità di Chrome, è molto diffuso. Si tratta in linea di massima di un attacco poco pilotabile, perché non si può controllare più di tanto chi sarà esattamente la vittima, né quando farà scattare la XSS. Ma la grande diffusione di Edge e del suo traduttore lo rendono, sui grandi numeri, un attacco che garantisce il successo almeno in qualche caso. Insomma, per il pirata si tratta più che altro di avere pazienza.

Dopo la traduzione, il codice XSS viene inserito nella pagina come HTML valido ed eseguito. Fonte: https://blog.cyberxplore.com

LA SOLUZIONE

La notevole diffusione di Edge ha fatto sì che questa vulnerabilità venisse dichiarata pubblicamente soltanto poche settimane fa, mentre era stata segnalata a Microsoft da più di un anno. L’azienda ha infatti probabilmente voluto assicurarsi di essere riuscita a patchare la maggior parte delle versioni di Edge in circolazione. Se avete Edge installato sul vostro pc, quindi, è probabile che qualche aggiornamento automatico di Windows abbia già installato la correzione. L’ultima versione vulnerabile è la 91.0.864.59, quindi tutte le successive includono già la patch al traduttore automatico. Una buona norma, se per qualche motivo non si può aggiornare il browser, consiste nel tenere disabilitata la traduzione automatica, e richiederla solo quando è necessario, così almeno si può vedere la pagina prima di tradurla e capire se c’è qualcosa di strano.

Leggi anche: “Il malware che ruba dal browser“