Vai al contenuto
Buonanotte al secchio. Nel senso di bucket Amazon scrivibili da chiunque

Buonanotte al secchio. Nel senso di bucket Amazon scrivibili da chiunque

Credit: Victor Gevers.

Avete presente quando si dice che la parola “cloud” andrebbe sostituita mentalmente con “il computer di qualcun altro”? Da oggi bisognerebbe forse usare un’altra frase: “il computer di qualcun altro, aperto a tutti e pure scrivibile da chiunque, sul quale qualcuno lascia messaggi per avvisarti del disastro imminente”.

È quello che stanno scoprendo amaramente le tante aziende e organizzazioni governative che usano i servizi cloud di Amazon, i cosiddetti Amazon Web Services, per mettervi i propri dati. È un sistema potente e flessibile, ma bisogna saperlo usare. A quanto pare molti responsabili informatici non hanno studiato come si usa, perché hanno impostato questi servizi, denominati in gergo bucket (secchio), in modo che possano essere letti da chiunque. E in alcuni casi anche scritti dal primo che passa.

Non è colpa di Amazon, ma dei suoi clienti incompetenti. Clienti con nomi come Uber, Dow Jones, FedEx e persino il Pentagono, che hanno lasciato bene in vista i propri dati in questo modo, come raccontano WeLiveSecurity e la BBC. Secondo i dati della società di sicurezza francese HTTPCS, 1 bucket su 50 non è protetto contro la scrittura.

Mi è stato segnalato, per esempio, un noto canale satellitare europeo che ha la guida TV su Amazon Web Services scrivibile da chiunque. Far comparire qualcos’altro al posto delle immagini di Peppa Pig sarebbe un gioco da ragazzi.

****.s3.amazonaws.com/admin/server/php/files/peppa3.jpg

Gli hacker buoni hanno fatto il possibile, lasciando messaggi di avvertimento nei bucket vulnerabili, ma in molti casi sono rimasti inascoltati. Alcuni esperti di sicurezza hanno contattato le organizzazioni maldestre per avvisarle, ma non sempre sono stati capiti e in alcuni casi rischiano anche ritorsioni legali (che è come rischiare una denuncia perché hai guardato in casa di qualcuno attraverso la finestra, hai visto che c’era un incendio e hai avvisato il proprietario).

Altri hanno preferito creare siti Web come Buckhacker (attualmente offline), che è una sorta di Google per i bucket aperti, in modo da portare il problema all’attenzione dei media.

Il guaio di queste vulnerabilità è che i dati messi a disposizione di chiunque sono spesso i nostri e sono un bersaglio ghiotto e facile per qualunque criminale. Immaginate qualcuno che cancella tutti i dati di un’azienda o di un’agenzia governativa, oppure li blocca con una password che verrà fornita solo in cambio di un riscatto. Se la vostra organizzazione usa gli Amazon Web Services, date un’occhiata alle impostazioni. Amazon ha allestito uno strumento apposito che facilita questo controllo.

Fonte aggiuntiva: Bitdefender.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Apple Music ti cancella la musica dal computer: utente perde 122 giga di canzoni

Apple Music ti cancella la musica dal computer: utente perde 122 giga di canzoni

Ha fatto subito il giro del mondo il racconto della disavventura capitata a James Pinkstone, di Atlanta, negli Stati Uniti: Apple Music, il servizio di streaming musicale a pagamento di Apple, ha cancellato ben 122 gigabyte di musica dal suo Mac. Compresi i brani che lui stesso aveva composto. E lo ha fatto, dice, senza dare alcun preavviso e senza chiedere il consenso. Non solo: quando ha contattato l’assistenza Apple gli è stato detto che Apple Music stava funzionando correttamente e che questa cancellazione era un comportamento previsto.

Se siete uno dei circa undici milioni di utenti paganti di Apple Music, la storia del signor Pinkstone è da brivido; in generale, è un monito per chiunque affidi i propri dati al cloud. Che, va ricordato, è un termine di marketing per non dire “il computer di qualcun altro”.

Apple Music, infatti, inizialmente legge tutti i brani audio presenti nel computer dell’abbonato, li confronta con quelli che Apple ha in archivio e poi cancella dal computer quelli che gli risultano presenti in archivio. Quando l’abbonato vuole ascoltare un brano su uno qualunque dei propri dispositivi, Apple glielo manda in streaming. Questo fa risparmiare spazio su disco e consente di avere la musica a disposizione ovunque.

Il problema, racconta il signor Pinkstone, è che il software di confronto e riconoscimento dei brani è impreciso e sbaglia a identificare i brani, per esempio confondendo una versione di una canzone con un’altra, e quindi capita che sostituisca un’edizione rara con quella generica più comune, una cover con un originale, una versione dal vivo con quella registrata in studio. L’edizione rara, magari trovata con fatica, viene cancellata dal computer dell’abbonato.

Peggio ancora, quando Apple Music incontra un brano che non riconosce, lo preleva dal computer dell’abbonato, lo copia sui propri server e poi lo cancella dal computer dell’utente. E lo fa anche con i brani composti dall’utente, come nel caso del signor Pinkstone. Questo significa che Apple controlla l’accesso dell’autore alla sua musica, e dato che Apple Music è un servizio a pagamento, l’utente deve pagare per avere accesso alle proprie composizioni o alla musica che aveva già pagato acquistandola per esempio su CD.

James Pinkstone è riuscito a recuperare tutta la propria musica attingendo a un backup, ma chi non ha una copia di scorta della propria collezione musicale rischia di trovarsi a dipendere da Apple e doverle pagare un abbonamento. Peggio ancora, chi elimina il proprio account Apple Music dopo i primi tre mesi di prova gratuiti rischia di aver perso tutto.

C’è chi fa notare che in realtà Apple Music avvisa prima di cancellare, ma lo fa in modo poco chiaro ed è facile sbagliarsi: forse è quello che è successo al signor Pinkstone e ad altri utenti in passato. Comunque sia, la vicenda evidenzia bene il rischio molto concreto dell’attuale tendenza ad affidarsi a servizi cloud senza conservare una propria copia locale dei dati: si diventa dipendenti dall’accesso a Internet e soprattutto dagli umori del fornitore del cloud per l’accesso ai propri dati e per la loro integrità. E se il cloud sbaglia o l’abbonamento scade, i dati sono persi o silenziosamente alterati per sempre.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Le foto intime sugli smartphone si rubano troppo facilmente

Le foto intime sugli smartphone si rubano troppo facilmente

Credit: Wikipedia/Gage Skidmore

Ricordate l’enorme collezione di foto intime rubate alle celebrità americane nel 2014? Sono stati resi pubblici alcuni verbali delle indagini condotte dall’FBI per risalire ai colpevoli e ci sono dei paralleli interessanti con le notizie recenti di un’analoga collezione circolante in Rete di foto esplicite di minorenni del Canton Ticino che sta suscitando molte discussioni.

I verbali dell’FBI descrivono il modo in cui una delle vittime, identificata soltanto come J.L. (presumibilmente Jennifer Lawrence), si è fatta delle foto intime con il proprio iPhone, non le ha mai condivise pubblicamente, mandandole soltanto al proprio partner e cancellandole subito dopo averle inviate.

Detta così, si direbbe che la vittima abbia preso tutte le precauzioni normalmente sufficienti; ma dai verbali emerge che la vittima ha ricevuto una mail di phishing, che simulava un messaggio dell’assistenza clienti di Apple con il mittente appleprivacysecurity@icloud.com:

Your Apple ID was used to login into iCloud from an unrecognized device on Wednesday, August 20th, 2014. Operating System: iOS 5.4. Location: Moscow, Russia (IP=95.108.142.138). If this wasn’t you, for your protection we recommend you change your password immediately. In order to make sure it is you changing the password, we have given you a one time passcode, 0184737, to use when resetting your password at http://applesecurity.serveuser.com/. We apologize for the inconvenience and any concerns about your privacy. Apple Privacy Protection.

La vittima ha dichiarato di averlo ritenuto autentico, anche se non ricorda se ha seguito le sue istruzioni. Se lo ha fatto, ha regalato la propria password di iCloud al ladro di foto, che a quel punto poteva scaricare via Internet, senza che la vittima lo sapesse, tutte le copie delle fotografie della vittima salvate automaticamente su iCloud.

Sul caso ticinese c’è stretto riserbo da parte degli inquirenti, per cui per ora non è da escludere che alcune delle foto di minorenni non siano state condivise in pubblico volontariamente ma siano state rubate via Internet con una tecnica come quella che ha descritto l’FBI, peraltro assolutamente standard nel settore. Una perizia tecnica sugli smartphone delle persone coinvolte potrebbe togliere questo dubbio importante, visto che per molti genitori (e probabilmente anche per l’opinione pubblica) c’è una grande differenza di responsabilità fra fare un autoscatto intimo tenendolo per sé o per il partner e condividerlo intenzionalmente con chiunque su un social network. Prima di giudicare, insomma, è meglio chiarire come le foto in questione sono diventate pubblicamente accessibil.

Cosa altrettanto importante, episodi come questo dimostrano che rubare le foto dagli smartphone è più facile di quel che si pensa comunemente, perché non è necessario l’accesso fisico al telefonino e quindi le normali precauzioni di buon senso non bastano. L’unica soluzione sicura per garantire che un selfie intimo non finisca in giro è, molto drasticamente, non farne, per nessun motivo. Quello che non c’è non si può rubare.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Foto di celebrità trafugate da iCloud, l’indagine identifica un sospettato dilettante

Foto di celebrità trafugate da iCloud, l’indagine identifica un sospettato dilettante

A settembre scorso erano finite in Rete moltissime foto intime di celebrità soprattutto statunitensi, sottratte dai loro smartphone. Per gli internauti è ormai storia passata, ma per l’FBI è invece un’indagine ancora in corso, che ha portato ai primi risultati. Il colpevole principale sarebbe un certo Emilio Herrera, titolare dell’indirizzo IP di Chicago dal quale sono stati effettuati ben 3263 tentativi di accesso a 572 account iCloud differenti nel corso di vari mesi.

La segnalazione del comportamento anomalo è giunta agli inquirenti dalla Apple, logicamente insospettita dal fatto che uno stesso indirizzo IP potesse avere così tanti account.

L’intruso scaricava il contenuto dell’account iCloud della vittima usando uno strumento software facilmente acquistabile in Rete e altrettanto facilmente usabile. È forse questo l’aspetto più interessante della vicenda: l’intrusione non è frutto di chissà quali competenze da superinformatici. Un intruso digitale intelligente non sarebbe stato così ingenuo da accedere a tutti quegli account da uno stesso indirizzo IP, men che meno dal proprio.

Un altro trucco molto diffuso e molto efficace rimane il classico phishing: l’invio alla vittima di una mail che simula di provenire dall’assistenza tecnica del cloud e convince la vittima a visitare un sito che imita quello del cloud ma è in realtà gestito dal ladro e chiede di immettere nome utente e password, che così finiscono in mano al criminale.

La prevenzione resta sempre il rimedio più efficace: se non ci sono foto intime da rubare, non c’è intrusione che tenga. E se proprio si sente il bisogno di farsi selfie potenzialmente imbarazzanti, è meglio usare un dispositivo non connesso a Internet, come per esempio una normale fotocamera.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
LastPass attaccata, meglio cambiare le proprie password

LastPass attaccata, meglio cambiare le proprie password

Conservare le proprie password in un’unica applicazione che le gestisca e le ricordi per noi sembra una buona idea, ed è sicuramente meno pericoloso che usare la stessa password dappertutto come fanno in tanti, ma ha dei limiti. Lo hanno scoperto gli utenti di LastPass, un servizio di custodia password basato su tecnologia cloud, che è stato violato pochi giorni fa.

LastPass ha annunciato infatti che sono stati trafugati indirizzi di mail, promemoria di password, codici di autenticazione e altri dati degli utenti, ma gli archivi cifrati dei clienti non sembrano essere stati aperti.

Non c’è da farsi prendere dal panico se si usa LastPass, ma c’è un possibile rischio se la propria master password è debole (è costituita da una sola parola o da una sequenza di caratteri usata altrove come password); comunque è opportuno cambiarla e cambiare anche le password presso gli altri siti gestiti tramite LastPass.

Il problema principale, in questo momento, è che il sito di LastPass è sovraccarico di richieste di accesso proprio per aggiornare questi dati. In attesa di riuscirci, vale la pena di porsi una domanda: è davvero una buona idea dipendere dai computer di qualcun altro per la propria sicurezza? Ben vengano le applicazioni di gestione delle password, ma è meglio usarne una che consenta la gestione locale, magari su una penna USB chiusa dentro un cassetto e comunque protetta dalla master password.

Fonti aggiuntive: ZDNet.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Nuova ondata di foto rubate a celebrità, ma niente panico: non sembra legata a una nuova falla

Nuova ondata di foto rubate a celebrità, ma niente panico: non sembra legata a una nuova falla

Questo articolo vi arriva grazie alla gentile donazione di “giovanni.se*” ed è stato aggiornato dopo la pubblicazione iniziale.

Non pensavo che mi sarebbe capitato di citare Kim Kardashian in questo blog, ma sono in circolazione in Rete da un paio di giorni le sue foto private piuttosto esplicite, insieme a quelle ancora più esplicite di altre celebrità (Kaley Cuoco, Jennifer Lawrence e molte altre), e ne stanno parlando un po’ tutti: The Hacker News, Naked SecurityTime (anche qui), Gawker, Huffington Post, Corriere del TicinoBBC. Per cui vale la pena di analizzare gli aspetti di sicurezza informatica di questa faccenda e smontare un paio di miti e ipotesi.

Primo, non è affatto vero, come hanno scritto alcune fonti giornalistiche, che le foto sono state prontamente rimosse da Internet: sono ancora reperibili molto facilmente (non fornisco dettagli per ovvie ragioni legali), e ogni volta che viene disattivata una fonte ne spuntano altre. È importante non alimentare false sicurezze e non dare credito all’idea che una foto che è finita su Internet possa essere magicamente rimossa con totale certezza.

Secondo, non c’è per ora nessuna indicazione tecnica che la nuova ondata di foto sia il risultato di una nuova falla in iCloud o in altri servizi analoghi. Chi ha analizzato i dati EXIF delle foto circolanti non ha trovato immagini con date (di scatto originale o di manipolazione con software di ritocco/archiviazione) successive a quelle delle foto già in circolazione dall’inizio di settembre.

Terzo, nel caso della Kardashian non sembra esserci di mezzo iCloud, dato che lei ha dichiarato di non avere un account iCloud e le sue foto provengono in origine da un cellulare BlackBerry, come nel dettaglio qui accanto, tratto da uno degli autoscatti sottratti, che risalgono a quanto pare ad alcuni anni fa.

Quarto, vale anche stavolta la precauzione già data: attivate l’autenticazione a due fattori; se non volete che le vostre foto intime finiscano nel cloud, disattivate i servizi cloud e comunque toglietele dal telefonino. Meglio ancora, fatele con una fotocamera che non si connette a Internet e custoditele offline.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Trafugate foto intime di decine di celebrità. Di nuovo. Colpa del cloud, forse, ma non necessariamente di iCloud

Trafugate foto intime di decine di celebrità. Di nuovo. Colpa del cloud, forse, ma non necessariamente di iCloud

Questo articolo vi arriva grazie alla gentile donazione di “remot*” e “swiftgt*” ed è stato aggiornato dopo la pubblicazione iniziale.

Poche ore fa sul famigerato canale /b/ di 4chan è stata pubblicata una serie molto consistente di fotografie e video personali di circa un centinaio di cantanti e attrici e dei loro partner: Jennifer Lawrence, Kaley Cuoco, Avril Lavigne, Kate Upton, Ariana Grande, Lea Michele, Kirsten Dunst e molte altre.

Alcuni scatti sono estremamente intimi e sono stati autenticati dalle rispettive vittime del furto di massa, che è stato segnalato da Huffington Post, Gawker, Mashable, Business Insider, E!Online, BBC e in numerosi altri siti di notizie.

Si tratterebbe di un assaggio, studiato per invogliare gli utenti a mandare soldi (tramite bitcoin) all’autore del furto affinché pubblichi il resto del maltolto, evitando i rischi di una trattativa con siti di gossip o peggio.

Lasciando da parte il contenuto delle foto e passando agli aspetti tecnici (analizzati bene da @SwiftOnSecurity su Twitter e da Graham Cluley sul Guardian), molti dei siti che stanno pubblicando la notizia ipotizzano che il furto sia avvenuto a causa di una falla di iCloud di Apple, che metterebbe a repentaglio la privacy di chiunque usi un iPhone e i servizi online di Apple per custodire le proprie foto.

In effetti, l’entità massiccia del furto, perpetrato ai danni di più persone e contenente immagini risalenti a date differenti, anche recentissime (secondo le acconciature e i dati EXIF), e in alcuni casi addirittura cancellate (TMZ.com), e il fatto che si tratta in quasi tutti i casi di selfie o di foto chiaramente fatte con un telefonino, rendono molto plausibile la strada della sottrazione tramite accesso indebito alla copia conservata nel cloud senza adeguate precauzioni. Proprio oggi Apple ha corretto una falla che permetteva di accedere agli account iCloud tramite un banale bruteforcing, ma può darsi che sia semplicemente una coincidenza.

L’intrusione così ampia si potrebbe anche spiegare semplicemente con il fatto che il criminale ha avuto accesso alla rubrica telefonica di una vittima iniziale e vi ha trovato i numeri delle altre.

Tuttavia l’idea che il problema riguardi soltanto il cloud di Apple parrebbe smentita dal fatto che i telefonini visibili nelle foto non sono tutti iPhone (lo è quello mostrato qui sopra in mano a Jennifer Lawrence, ma altre foto mostrano cellulari di altre marche), anche se chi usa telefonini non-Apple potrebbe trovarsi comunque con il dispositivo collegato ad iCloud.

L’altra ipotesi plausibile è che il furto sia stato realizzato da una persona che lavora all’interno dei servizi cloud dei produttori dei telefonini o delle reti cellulari utilzzate dalle celebrità coinvolte.

Va notato, infine, che non si tratta soltanto del fatto che delle celebrità rivelano qualche centimetro di pelle in più e lo fanno magari prima del trucco e di Photoshop: nelle foto ci sono anche le coordinate GPS, con il conseguente rischio di stalking. Non tutti coloro che lavoro nel mondo dello spettacolo hanno i soldi per pagarsi guardie del corpo e servizi di vigilanza.

Non è la prima volta che avviene una predazione del genere: nel 2012 era successo a Scarlett Johansson, Mila Kunis e altre celebrità. L’autore del furto era stato identificato e condannato a dieci anni di carcere. Anche in questo caso, sottolineo che un adulto ha il diritto di farsi le foto intime che meglio preferisce e che questa è comunque una violazione della privacy anche nel caso di celebrità, la cui unica colpa è fidarsi delle promesse di riservatezza dei fornitori dei servizi che usano.

Per chi non ha tempo o voglia di studiare gli aspetti di sicurezza dei servizi cloud e dei telefonini (per esempio l’autenticazione a due fattori e la disattivazione dei dati GPS) resta valida la raccomandazione di sempre: se fate foto che non volete far circolare, non fatele mai usando un dispositivo collegato o collegabile a Internet e non affidatele ai servizi cloud. Meglio ancora, non fatevi foto intime, se non volete spendere tempo a imparare come proteggerle.

Tenete presente che anche se voi fate del vostro meglio, una fuga d’immagini compromettenti può avvenire lo stesso, a causa di una carenza di sicurezza del fornitore dei servizi cloud. Questi servizi non hanno a cuore la vostra privacy; hanno a cuore il profitto. Se a voi succedono guai perché loro non hanno protetto bene le vostre foto, ai loro dirigenti non frega nulla: sono assicurati e comunque di solito le clausole del servizio li esonerano da ogni risarcimento. Per cui se devono scegliere fra sicurezza e profitto, tipicamente sceglieranno il profitto.

Per chi invece si scatena nella caccia alle foto e ai video in questione, ricordo che tipicamente in questi casi i criminali informatici preparano subito copie fasulle contenenti malware o generano siti contenenti le parole chiave legate alla foto, e poi aspettano che i polli arrivino e scarichino, installando il malware o guadagnando dalle pubblicità visualizzate.

E per chi gongola spinto dal voyeurismo e dice che tanto sono celebrità e se la sono cercata, ricordo solo una cosa: questo potrebbe succedere anche a voi. Anche a vostra figlia.

Aggiornamento 1 (14:00): Secondo le discussioni in corso su 4chan, la serie di immagini sarebbe stata pubblicata inizialmente su Anonib (sito ad alto rischio di immagini scioccanti, come del resto 4chan) e farebbe parte di una collezione già circolante (almeno in parte) da tempo fra i cultori di questo genere di contenuti. Inoltre alcune analisi dei dettagli anatomici delle persone ritratte indicano che alcune delle foto sono false (manipolate) o attribuite alle persone sbagliate. Infine, alcuni membri di 4chan ritengono di aver individuato il colpevole della pubblicazione (che non è necessariamente il colpevole del furto), ma 4chan spesso pubblica storie come questa per assistere con compiacimento alla persecuzione di una persona che in realtà non c’entra nulla. Meglio attendere dati concreti prima di lanciarsi in una caccia alle streghe.

Aggiornamento 2 (20:30): Gawker sembra confermare che 4chan non è l’origine delle immagini, che invece sarebbe AnonIB, e che molte delle immagini circolavano già da qualche tempo.

Aggiornamento 3 (23:10): Ars Technica ha postato un articolo molto categorico nel mettere in relazione le immagini trafugate e la falla Apple, ma non spiega le ragioni di tanta certezza. Inoltre sottolinea che se un fornitore di servizi cloud ha una falla di sicurezza, l’utente può anche essere supremamente diligente e prudente, ma si mette nelle mani di quel fornitore. Che ha pochissimo incentivo a garantire la privacy dei suoi clienti.

Aggiornamento 4 (2014/09/02, 14:15): l’esame dei dati EXIF delle immagini circolanti indica, almeno in alcuni casi, date recentissime (metà agosto scorso) e l’uso di Photoshop Express e Windows Viewer; le immagini sarebbero state quindi manipolate prima di essere diffuse. C’è anche almeno uno UUID. Inoltre la natura caotica e frammentata della diffusione sembra indicare che si tratti non di un’unico furto di massa, ma della pubblicazione di una o più collezioni ottenute da fonti differenti: non ci sarebbe, insomma, una mente unica. È interessante notare, infine, che se è stata sfruttata una falla di iCloud o una tecnica di social engineering chi l’ha usata avrebbe potuto tranquillamente azzerare i dispositivi delle vittime, ma a quanto pare si è limitato a copiarne le foto.  A tutt’oggi non c’è nessuna conferma oggettiva di un eventuale nesso fra la falla di Find my iPhone e questi furti d’immagini.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Dropbox e la cache da 40 gigabyte su disco

Questo articolo vi arriva grazie alla gentile donazione di “c.bocc*” ed è stato aggiornato dopo la pubblicazione iniziale.

Disco pieno. Su un MacBook Air, che ha un disco a stato solido da 128 GB, può capitare. Quello che non mi aspettavo è l’origine del riempimento: la cache di Dropbox, che aveva assunto la ragguardevole dimensione di 40 gigabyte. In una cartella nascosta, oltretutto, per cui non avrei mai scoperto la causa dell’intasamento se non avessi usato Disk Inventory (utility gratuita sostenuta dalle donazioni).

Una cache gigantesca del genere mi è capitata probabilmente perché ho un Dropbox da 100 gigabyte, che però non sono tutti occupati e non sono neanche tutti condivisi sull’Air, quindi magari a voi non capiterà mai. Ma vi segnalo comunque l’episodio, caso mai dovesse capitarvi o semplicemente se volete dare un’occhiata alle dimensioni della vostra cache Dropbox su un Mac: andate nel Finder e (con il menu Go) scegliete di andare alla cartella ~/Dropbox/.dropbox.cache. Visualizzatela, cancellatene il contenuto e sarete a posto, come descritto nell’help di Dropbox (solo in inglese).

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Disinformatico radio, podcast di oggi: il caso Mat Honan

Stamattina ho dedicato la prima puntata del Disinformatico radiofonico dopo la mini-pausa estiva all’“hackeraggio epico” subìto da Mat Honan, giornalista di Wired, ai primi del mese. Se ne è parlato tanto in Rete, ma io ho la fortuna di occuparmene a distanza di due settimane e di poter quindi fare un sunto di come è realmente andata la vicenda, senza le false piste dei primi giorni.

Nella violazione degli account di Honan ci sono lezioni per tutti e un potente promemoria del fatto che il cloud e la cancellazione a distanza sono armi a doppio taglio. Il giornalista si è trovato con il computer, il tablet e lo smartphone completamente azzerati e ha perso un anno di dati e foto personali. E questo è solo l’inizio.

Se vi interessa, trovate il mio racconto della disavventura di Mat Honan sul sito della Rete Tre della RSI sotto forma di serie di articoli e come podcast.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Megaupload e Filesonic: implicazioni per il cloud

Megaupload e Filesonic dimostrano che il cloud puro non è sicuro

La chiusura di Megaupload e la mutazione senza preavviso di Filesonic non sono soltanto tappe della lotta alla pirateria audiovisiva. Hanno implicazioni molto più significative: dimostrano che l’idea di depositare i propri dati nel cloud è insicura.

Come hanno segnalato molti utenti, fra coloro che utilizzavano questi cyberlocker c’erano anche clienti che non commettevano alcuna violazione del diritto d’autore: vi avevano caricato dei dati di cui erano legittimi titolari. Erano clienti legali che oltretutto pagavano per un servizio. Ma la scure della chiusura (calata dall’FBI o autoimposta) ha colpito anche loro, causando la perdita dei loro dati se non ne avevano una copia altrove.

Kevin Mitnick, come al solito, ha riassunto bene le implicazioni della vicenda sulla strombazzatissima idea del cloud: “Il caso Megaupload ha appena dimostrato che i VOSTRI dati NON SONO AL SICURO nel cloud. Il Governo può semplicemente sequestrare i vostri dati 🙁 mentre interviene su un’altra azienda”.

Queste sono le conseguenze inattese della difesa fanatica di un diritto d’autore obsoleto: ci vanno di mezzo anche gli utenti onesti. La validità delle accuse degli inquirenti statunitensi nei confronti di Megaupload è, in questo senso, del tutto irrilevante. Chi usa il cloud puro rischia comunque di vedersi sparire tutto senza preavviso; chi usa soluzioni ibride, con copia locale, corre un rischio minore, ma deve tenere presente che in qualunque momento la copia remota può svanire.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.