Vai al contenuto
Le guide a Internet della Prevenzione Svizzera della Criminalità

Le guide a Internet della Prevenzione Svizzera della Criminalità

L’articolo è stato aggiornato estesamente dopo la pubblicazione iniziale. Ultimo aggiornamento: 2015/10/06 11:30.

Molti internauti (giovani e meno giovani) si sentono disorientati e senza una guida nel mare dei servizi offerti da Internet. In realtà le guide ci sono: basta sapere dove trovarle.

Oggi segnalo quelle preparate dalla Prevenzione Svizzera della Criminalità: agili, snelle, disponibili naturalmente anche in italiano, adatte a tutte le età e confezionate in formati accattivanti per far arrivare a tutti i messaggi di base su sicurezza e prevenzione anche su Internet, senza obbligare gli utenti a diventare esperti informatici. Sono tante: qui ne cito giusto alcune.

C’è, per esempio, C’era una volta… Internet: cinque fiabe classiche reinterpretate in chiave digitale per spiegare altrettanti temi informatici molto importanti e pensate per i genitori di bambini sotto i 12 anni, che sono sempre più spesso lasciati a navigare in Rete da soli senza alcuna idea di quello che possono incontrare.

I diritti sulle immagini sono sempre un tema difficile, sul quale girano molti pregiudizi sbagliati: per chiarirli c’è la guida La propria immagine: tutto ciò che prevede la legge e c’è un’animazione, Diritto alla propria immagine.

Il bullismo digitale o cyberbullismo è affrontato in un video, mentre il bullismo su un altro livello, il cosiddetto cybermobbing, è trattato da Cybermobbing: tutto ciò che prevede la legge Cybermobbing: Molto imbarazzante, ma non per noi!

Per i social network ci sono le guide Sicurezza sui social networkCartolina PostaleCheck List e Safer Surfing.

Si parla anche di truffe, come quella classica dei finti dipendenti Microsoft, spiegata nel video La truffa del servizio assistenza Microsoft e in una miniguida. La Truffa della lotteria via SMS viene invece illustrata da un video e da un foglio informativo.

Va segnalata in particolare la versione aggiornata della guida Pornografia: tutto ciò che prevede la legge, che chiarisce la nuova tutela dei minori di età superiore ai 16 anni che fanno sexting (lo scambio di immagini intime). Il tema viene toccato anche da due altre guide, intitolate My Little Safebook, in versioni per adolescenti e per genitori, con molti consigli per divertirsi in Rete senza correre pericoli e per conoscere i luoghi e i modi in cui scattano le trappole terribili di cui spesso si sente parlare, come gli abusi sessuali (guida per adolescenti e per genitori).

Questo è solo un assaggio: il resto è sul sito della Prevenzione Svizzera della Criminalità. Buona lettura, insomma.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Due nuove falle Flash emergono dai dati di HackingTeam; meglio disabilitare Flash in attesa di correzioni

Due nuove falle Flash emergono dai dati di HackingTeam; meglio disabilitare Flash in attesa di correzioni

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle gentili donazioni di “treomarc*” e “fabiano.bi*”. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

La diffusione dei dati sottratti a HackingTeam ha permesso di far emergere altre due falle di sicurezza in Adobe Flash che consentono a un aggressore di prendere il controllo del computer del bersaglio semplicemente facendogli visitare un link (una delle tecniche predilette di HackingTeam).

Queste due nuove falle non hanno per ora un aggiornamento correttivo e sono distinte da quella già corretta.

Adobe sta correndo per creare e distribuire l’aggiornamento che corregga queste falle, ma intanto i criminali informatici stanno già sfruttando almeno una di esse, per cui è altamente consigliabile disinstallare, disattivare o perlomeno bloccare l’esecuzione automatica di Flash. Fra l’altro, probabilmente non ne sentirete molto la mancanza; anzi, noterete che molti siti si caricheranno più velocemente perché i contenuti Flash (tipicamente pubblicità) non vengono letti.

Le falle Flash sono etichettate CVE-2015-5122 e -5123 e sono presenti nelle versioni Windows, Linux e OS X del plugin di Adobe. L’azienda che gestisce Flash ha detto che queste nuove falle verranno corrette la prossima settimana. Fino a quel momento, usate più prudenza del solito, anche sui siti di buona reputazione, perché molti attacchi provengono dalle pubblicità Flash, che non sono gestite dai siti stessi ma sono inserite da reti pubblicitarie separate, che vengono prese di mira dai criminali informatici.

Come consueto, le istruzioni per bloccare l’esecuzione automatica di Flash sono qui.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Trafugate foto intime di decine di celebrità. Di nuovo. Colpa del cloud, forse, ma non necessariamente di iCloud

Trafugate foto intime di decine di celebrità. Di nuovo. Colpa del cloud, forse, ma non necessariamente di iCloud

Questo articolo vi arriva grazie alla gentile donazione di “remot*” e “swiftgt*” ed è stato aggiornato dopo la pubblicazione iniziale.

Poche ore fa sul famigerato canale /b/ di 4chan è stata pubblicata una serie molto consistente di fotografie e video personali di circa un centinaio di cantanti e attrici e dei loro partner: Jennifer Lawrence, Kaley Cuoco, Avril Lavigne, Kate Upton, Ariana Grande, Lea Michele, Kirsten Dunst e molte altre.

Alcuni scatti sono estremamente intimi e sono stati autenticati dalle rispettive vittime del furto di massa, che è stato segnalato da Huffington Post, Gawker, Mashable, Business Insider, E!Online, BBC e in numerosi altri siti di notizie.

Si tratterebbe di un assaggio, studiato per invogliare gli utenti a mandare soldi (tramite bitcoin) all’autore del furto affinché pubblichi il resto del maltolto, evitando i rischi di una trattativa con siti di gossip o peggio.

Lasciando da parte il contenuto delle foto e passando agli aspetti tecnici (analizzati bene da @SwiftOnSecurity su Twitter e da Graham Cluley sul Guardian), molti dei siti che stanno pubblicando la notizia ipotizzano che il furto sia avvenuto a causa di una falla di iCloud di Apple, che metterebbe a repentaglio la privacy di chiunque usi un iPhone e i servizi online di Apple per custodire le proprie foto.

In effetti, l’entità massiccia del furto, perpetrato ai danni di più persone e contenente immagini risalenti a date differenti, anche recentissime (secondo le acconciature e i dati EXIF), e in alcuni casi addirittura cancellate (TMZ.com), e il fatto che si tratta in quasi tutti i casi di selfie o di foto chiaramente fatte con un telefonino, rendono molto plausibile la strada della sottrazione tramite accesso indebito alla copia conservata nel cloud senza adeguate precauzioni. Proprio oggi Apple ha corretto una falla che permetteva di accedere agli account iCloud tramite un banale bruteforcing, ma può darsi che sia semplicemente una coincidenza.

L’intrusione così ampia si potrebbe anche spiegare semplicemente con il fatto che il criminale ha avuto accesso alla rubrica telefonica di una vittima iniziale e vi ha trovato i numeri delle altre.

Tuttavia l’idea che il problema riguardi soltanto il cloud di Apple parrebbe smentita dal fatto che i telefonini visibili nelle foto non sono tutti iPhone (lo è quello mostrato qui sopra in mano a Jennifer Lawrence, ma altre foto mostrano cellulari di altre marche), anche se chi usa telefonini non-Apple potrebbe trovarsi comunque con il dispositivo collegato ad iCloud.

L’altra ipotesi plausibile è che il furto sia stato realizzato da una persona che lavora all’interno dei servizi cloud dei produttori dei telefonini o delle reti cellulari utilzzate dalle celebrità coinvolte.

Va notato, infine, che non si tratta soltanto del fatto che delle celebrità rivelano qualche centimetro di pelle in più e lo fanno magari prima del trucco e di Photoshop: nelle foto ci sono anche le coordinate GPS, con il conseguente rischio di stalking. Non tutti coloro che lavoro nel mondo dello spettacolo hanno i soldi per pagarsi guardie del corpo e servizi di vigilanza.

Non è la prima volta che avviene una predazione del genere: nel 2012 era successo a Scarlett Johansson, Mila Kunis e altre celebrità. L’autore del furto era stato identificato e condannato a dieci anni di carcere. Anche in questo caso, sottolineo che un adulto ha il diritto di farsi le foto intime che meglio preferisce e che questa è comunque una violazione della privacy anche nel caso di celebrità, la cui unica colpa è fidarsi delle promesse di riservatezza dei fornitori dei servizi che usano.

Per chi non ha tempo o voglia di studiare gli aspetti di sicurezza dei servizi cloud e dei telefonini (per esempio l’autenticazione a due fattori e la disattivazione dei dati GPS) resta valida la raccomandazione di sempre: se fate foto che non volete far circolare, non fatele mai usando un dispositivo collegato o collegabile a Internet e non affidatele ai servizi cloud. Meglio ancora, non fatevi foto intime, se non volete spendere tempo a imparare come proteggerle.

Tenete presente che anche se voi fate del vostro meglio, una fuga d’immagini compromettenti può avvenire lo stesso, a causa di una carenza di sicurezza del fornitore dei servizi cloud. Questi servizi non hanno a cuore la vostra privacy; hanno a cuore il profitto. Se a voi succedono guai perché loro non hanno protetto bene le vostre foto, ai loro dirigenti non frega nulla: sono assicurati e comunque di solito le clausole del servizio li esonerano da ogni risarcimento. Per cui se devono scegliere fra sicurezza e profitto, tipicamente sceglieranno il profitto.

Per chi invece si scatena nella caccia alle foto e ai video in questione, ricordo che tipicamente in questi casi i criminali informatici preparano subito copie fasulle contenenti malware o generano siti contenenti le parole chiave legate alla foto, e poi aspettano che i polli arrivino e scarichino, installando il malware o guadagnando dalle pubblicità visualizzate.

E per chi gongola spinto dal voyeurismo e dice che tanto sono celebrità e se la sono cercata, ricordo solo una cosa: questo potrebbe succedere anche a voi. Anche a vostra figlia.

Aggiornamento 1 (14:00): Secondo le discussioni in corso su 4chan, la serie di immagini sarebbe stata pubblicata inizialmente su Anonib (sito ad alto rischio di immagini scioccanti, come del resto 4chan) e farebbe parte di una collezione già circolante (almeno in parte) da tempo fra i cultori di questo genere di contenuti. Inoltre alcune analisi dei dettagli anatomici delle persone ritratte indicano che alcune delle foto sono false (manipolate) o attribuite alle persone sbagliate. Infine, alcuni membri di 4chan ritengono di aver individuato il colpevole della pubblicazione (che non è necessariamente il colpevole del furto), ma 4chan spesso pubblica storie come questa per assistere con compiacimento alla persecuzione di una persona che in realtà non c’entra nulla. Meglio attendere dati concreti prima di lanciarsi in una caccia alle streghe.

Aggiornamento 2 (20:30): Gawker sembra confermare che 4chan non è l’origine delle immagini, che invece sarebbe AnonIB, e che molte delle immagini circolavano già da qualche tempo.

Aggiornamento 3 (23:10): Ars Technica ha postato un articolo molto categorico nel mettere in relazione le immagini trafugate e la falla Apple, ma non spiega le ragioni di tanta certezza. Inoltre sottolinea che se un fornitore di servizi cloud ha una falla di sicurezza, l’utente può anche essere supremamente diligente e prudente, ma si mette nelle mani di quel fornitore. Che ha pochissimo incentivo a garantire la privacy dei suoi clienti.

Aggiornamento 4 (2014/09/02, 14:15): l’esame dei dati EXIF delle immagini circolanti indica, almeno in alcuni casi, date recentissime (metà agosto scorso) e l’uso di Photoshop Express e Windows Viewer; le immagini sarebbero state quindi manipolate prima di essere diffuse. C’è anche almeno uno UUID. Inoltre la natura caotica e frammentata della diffusione sembra indicare che si tratti non di un’unico furto di massa, ma della pubblicazione di una o più collezioni ottenute da fonti differenti: non ci sarebbe, insomma, una mente unica. È interessante notare, infine, che se è stata sfruttata una falla di iCloud o una tecnica di social engineering chi l’ha usata avrebbe potuto tranquillamente azzerare i dispositivi delle vittime, ma a quanto pare si è limitato a copiarne le foto.  A tutt’oggi non c’è nessuna conferma oggettiva di un eventuale nesso fra la falla di Find my iPhone e questi furti d’immagini.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Buone notizie: Microsoft e Symantec salvano 7 milioni di PC infetti

Questo articolo era stato pubblicato inizialmente l’8/2/2013 sul sito della Rete Tre della Radiotelevisione Svizzera, dove attualmente non è più disponibile. Viene ripubblicato qui per mantenerlo a disposizione per la consultazione.

Due giorni fa il lavoro coordinato di Microsoft e Symantec ha portato le autorità statunitensi a sequestrare in Virginia e nel New Jersey i server di un gruppo di criminali informatici che avevano infettato circa sette milioni di computer Windows, prendendone il controllo a distanza. I criminali monetizzavano i computer infettati comandandoli in modo che cliccassero sulle pubblicità e incassando una commissione su questi clic pubblicitari fasulli. I ricavi di quest’operazione ammontavano a circa 2 milioni di franchi (1.600.000 euro) nei due anni di attività.

I computer venivano infettati dal malware, denominato Bamital, solitamente perché gli utenti scaricavano copie di programmi alterati per includere Bamital (secondo la tecnica del trojan horse o “cavallo di Troia”). Una volta infettati, i computer dirottavano invisibilmente le ricerche fatte in Google, Bing e Yahoo verso siti gestiti dai criminali, che contenevano altri programmi infettanti capaci di sorvegliare e registrare le attività degli utenti, rendendoli ancora più vulnerabili per esempio ai furti d’identità.

L’intervento di Microsoft e Symantec ha bloccato l’attività della banda, ma non può rimuovere le infezioni dai computer colpiti da Bamital: quello è un compito che spetta agli utenti, che però spesso sono ignari di essere infetti. Così Microsoft ha modificato i server sequestrati dei criminali per fare in modo che i dirottamenti subiti dagli utenti di computer infettati portino a una pagina di avviso di Microsoft invece di portare ai siti-trappola gestiti dalla banda. Nella pagina di avviso, che è in inglese, con traduzioni in tedesco, spagnolo e francese, vengono proposti due programmi gratuiti di disinfezione.

Microsoft ribadisce i consigli consueti per evitare di essere coinvolti in queste truffe informatiche invisibili: installare un firewall e tenerlo sempre attivo, scaricare e installare gli aggiornamenti dei sistemi operativi e del software e installare un antivirus, tenendolo sempre aggiornato.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Europol: non usate i WiFi pubblici, sono a rischio di furto di dati. Come difendersi

Europol: non usate i WiFi pubblici, sono a rischio di furto di dati. Come difendersi

Troels Oerting, responsabile dell’Europol (Ufficio di Polizia Europeo) per la lotta al crimine informatico, ha messo in guardia gli internauti contro il rischio di furto di dati sensibili se usano gli accessi WiFi pubblici.

In un’intervista alla BBC, Oerting ha segnalato la crescita degli attacchi effettuati utilizzando questi accessi “per rubare informazioni, identità o password e soldi… dovremmo insegnare agli utenti che non dovrebbero gestire informazioni sensibili quando usano un WiFi aperto non sicuro.” Il WiFi di casa va bene, ha aggiunto, ma è meglio evitare l’accesso senza fili spesso offerto da luoghi di ristoro o locali pubblici.

La tecnica d’attacco è semplice: il criminale crea un hotspot WiFi che somiglia a quelli pubblici (non è difficile, basta un laptop o uno smartphone) e convince le persone a collegarsi a Internet tramite quell’hotspot. In questo modo i dati delle vittime transitano dai dispositivi del criminale che, con il software opportuno, può intercettarli e decifrarli.

L’attacco in sé non è una novità (in gergo si chiama “man in the middle”, letteralmente “uomo che si mette in mezzo”): uno dei casi più noti riguarda il Parlamento europeo, che qualche mese fa ha spento il proprio sistema WiFi pubblico dopo che un informatico ha dimostrato quanto era facile usarlo per compiere proprio questo genere d’incursione.

La difesa, per fortuna, è semplice: usare la connessione dati cellulare invece del WiFi. Purtroppo questo diventa assai costoso se si è in roaming. In casi come questo si può usare il WiFi pubblico, avendo però l’accortezza di adottare un software di cifratura della connessione (VPN), che ha il vantaggio aggiuntivo di mascherare la reale posizione geografica e di scavalcare i filtri adottati da molti fornitori d’accesso (consentendo, per esempio, di vedere i video di Youtube che hanno restrizioni geografiche). Alcuni nomi: Anonymizer, Avast SecureLine, TunnelBear, disponibili per Windows, Android e iOS.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Disinformatico radio, podcast del 2012/10/20

È disponibile il podcast della puntata di ieri del Disinformatico che ho realizzato per la Radiotelevisione Svizzera. I temi della puntata sono questi:

  • Come si taglia il nastro inaugurale di una fabbrica di oggetti prodotti da stampanti 3D? Con un paio di forbici stampate da una stampante 3D, naturalmente. È successo a New York. 
  • Quanto vale un PC violato? Brian Krebs offre un bel grafico dei mille modi nei quali si monetizza un’intrusione, con buona pace di chi dice “Ma io non corro rischi perché non ho niente di valore nel computer”
  • Le parole di Internet: VDSL. Anch’io sono fra i tanti ai quali il provider (Swisscom, nel mio caso) ha imposto ultimamente di cambiare il router (a spese del provider, per fortuna). Vediamo perché occorre questo cambiamento e cosa comporta la differenza fra VDSL e ADSL.
  • Fotografa svizzera fa causa ad Apple: le ha rubato un occhio.
  • La (non) sicurezza informatica dei pacemaker può uccidere a distanza. Sembra un’idea da NCIS, ma è realtà: certi apparati cardiaci impiantati sono riprogrammabili a distanza da chiunque, con conseguenze letali.

I link portano agli articoli di supporto alla trasmissione.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.