Vai al contenuto
Come scambiare messaggi davvero privati fra Android e iOS

Come scambiare messaggi davvero privati fra Android e iOS

I messaggi “privati” proposti da molti social network in realtà non sono affatto privati: il gestore del social network li può leggere, e vengono trasmessi via Internet senza particolari protezioni. Se volete comunicare in modo davvero privato attraverso un dispositivo digitale servono soluzioni differenti, basate sulla crittografia.

Per gli smartphone Android c’è per esempio l’app gratuita TextSecure, che consente di scambiare facilmente messaggi cifrati, soltanto con altri utenti Android della stessa app. Il sistema di cifratura usato da TextSecure è lo stesso usato da WhatsApp a partire da novembre 2014 per la versione Android, e ha il pregio importante di essere open source: il suo funzionamento e il suo codice sono liberamente ispezionabili per verificare che non contengano falle o funzioni spia. La Electronic Frontier Foundation ha compilato una tabella comparativa della sicurezza delle app di messaggistica.

TextSecure, però, non c’è per i dispositivi iOS, per cui non è possibile usarlo per fare comunicazioni cifrate fra utenti iOS e Android. Ma adesso è arrivata la versione 2.0 di Signal, un’app gratuita per iOS che offre gli stessi servizi e la stessa trasparenza di TextSecure per gli utenti di iPhone e ha il vantaggio di essere compatibile con TextSecure. Non c’è da sorprendersi: entrambi sono prodotti dalla stessa azienda, la Open Whisper Systems.

In pratica, quindi, ora è possibile comunicare in modo realmente riservato, scambiando immagini, testi e anche telefonate, fra smartphone Apple e Android: sul primo si usa Signal 2.0, sul secondo si usa TextSecure in abbinamento con RedPhone per le comunicazioni a voce.

Naturalmente la riservatezza delle comunicazioni non viene garantita soltanto dall’uso di un’app. Servono anche comportamenti sicuri: va ricordato che se qualcuno mette le mani sul vostro smartphone o quello del vostro interlocutore, o se il vostro interlocutore mostra i messaggi a qualcun altro, la sicurezza è comunque compromessa. Custodite con attenzione il vostro smartphone, insomma.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Finalmente si comincia a parlare della clausola “spiona” delle Smart TV; intanto arriva un’altra intrusione

Finalmente si comincia a parlare della clausola “spiona” delle Smart TV; intanto arriva un’altra intrusione

L’articolo è stato aggiornato dopo la pubblicazione iniziale. 

Ne avevo parlato nel Disinformatico già a novembre dell’anno scorso: molte Smart TV offrono un sistema di riconoscimento vocale che mantiene costantemente aperto il microfono del televisore e ascolta tutto quello che viene detto nelle sue vicinanze. Su quelle della Samsung, inoltre, se si preme il tasto dei comandi vocali sul telecomando la TV registra la voce dell’utente e la manda via Internet a un servizio di analisi esterno.

Questo è scritto a chiare lettere, per esempio, nelle norme per la privacy delle Smart TV Samsung: “Siete pregati di tenere presente che se le vostre parole pronunciate includono informazioni personali o altre informazioni sensibili, tali informazioni faranno parte dei dati catturati e trasmessi a terzi tramite il vostro uso del Riconoscimento Vocale.”

Ora la vicenda è esplosa in Rete (Punto Informatico, Guardian) e Samsung ha risposto dichiarando che l’utente viene avvisato del fatto che il televisore sta ascoltando perché sullo schermo compare l’icona di un microfono e che comunque il riconoscimento vocale è opzionale e disattivabile. Inoltre, aggiunge sempre Samsung, i dati vengono trasmessi usando “misure e pratiche di sicurezza conformi agli standard di settore, compresa la crittografia”.

Proprio quella crittografia che vari governi, come quello del primo ministro britannico David Cameron, vogliono essere in grado di scavalcare. Inoltre, considerato il livello molto basso delle “misure e pratiche di sicurezza” viste fin qui nel settore degli elettrodomestici “smart”, c’è il rischio che sia molto facile per qualunque malintenzionato intercettare quello che diciamo in casa davanti a una Smart TV.

Proprio da Samsung arriva infatti una nuova perla di affidabilità: numerosi utenti australiani hanno notato che l’app di streaming video delle loro Smart TV inserisce a forza pubblicità della Pepsi nei video registrati dagli utenti stessi. Samsung ha ammesso il problema e ha dichiarato che sembra trattarsi di un “errore” (Ars Technica, The Register). Probabilmente l’“errore” è legato alla collaborazione fra Samsung e Yahoo per inviare pubblicità alle Smart TV.

Ma è così difficile capire che in casa nostra non vogliamo essere sorvegliati, ascoltati e bombardati di pubblicità?

Aggiornamento (2015/02/20): Samsung ha dichiarato che cambierà la formulazione del documento sulla privacy per chiarire meglio cosa viene ascoltato, registrato e trasmesso; inoltre ha indicato che i “terzi” ai quali invia i dati acquisiti sono in questo momento la società Nuance Communications. Al momento, tuttavia, la formulazione pubblicata qui e qui è invariata. Inoltre è emerso che le “misure e pratiche di sicurezza conformi agli standard di settore” sono assenti in alcuni modelli di Smart TV della Samsung.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Lenovo ha preinstallato malware sui suoi PC: devastata la sicurezza degli utenti

Lenovo ha preinstallato malware sui suoi PC: devastata la sicurezza degli utenti

L’articolo è stato aggiornato dopo la pubblicazione iniziale.

Incredibile. Lenovo ha distribuito intenzionalmente dei PC Windows sui quali aveva preinstallato un software pubblicitario che iniettava pubblicità nei siti Web visitati dagli utenti e devastava la sicurezza della loro navigazione.

Il software, denominato Superfish, installa infatti falsi certificati digitali di sicurezza che gli permettono di intercettare i dati degli utenti anche quando viaggiano su connessioni protette cifrate, per esempio per effettuare transazioni bancarie o immettere password.

C’è di peggio: la chiave di cifratura di questi falsi certificati è la stessa per tutti gli esemplari di computer della Lenovo ed è nota (è basata sul nome dell’azienda che ha creato il software), per cui grazie a Superfish qualunque criminale informatico può creare falsi siti che si autenticano con HTTPS (il lucchetto chiuso, solitamente considerato garanzia di autenticità di un sito). I computer della Lenovo dotati di Superfish accetteranno questi siti come autentici invece di avvisare gli utenti che si tratta di trappole. Rubare le password di questi utenti diventa una passeggiata.

Non è finita: altre marche di computer potrebbero essere vulnerabili allo stesso modo perché altri software, per esempio alcuni sistemi di controllo parentale, usano lo stesso sistema di falsi certificati digitali.

Questo genere di comportamento si chiama in gergo man in the middle (“uomo in mezzo” o “intromissione”, per usare una traduzione libera) ed è tipico del peggior malware. Il fatto che lo installi un’azienda molto nota come Lenovo non cambia i fatti: se inietta pubblicità come fa il malware, se falsifica certificati digitali come fa il malware, se intercetta i contenuti delle navigazioni personali come fa il malware, se rende vulnerabili gli utenti come fa il malware, allora è malware, tant’è vero che alcuni antivirus lo segnalano, sia pure chiamandolo “adware” per evitare di accusare Lenovo di crimini informatici e quindi esporsi a liti legali.

Lenovo si è scusata, ha dichiarato di aver smesso di preinstallare Superfish a gennaio 2015 e di aver disabilitato Superfish sui suoi computer in vendita; ha inoltre pubblicato l’elenco dei modelli coinvolti (esclusivamente laptop), ribadendo che l’utente può rifiutare Superfish durante l’attivazione iniziale del computer e offrendo istruzioni per rimuovere Superfish e il suo falso certificato di sicurezza. Il problema, ovviamente, è che molti acquirenti di computer di questa marca non verranno a sapere che esiste questa vulnerabilità e comunque non saranno in grado di seguire le complesse istruzioni di rimozione (descritte in dettaglio da Ars Technica) o di reinstallare da capo una copia pulita di Windows.

Alcuni esperti di sicurezza informatica hanno già predisposto siti di test (per esempio https://filippo.io/Badfish o https://canibesuperphished.com) che permettono agli acquirenti di computer Lenovo (e anche di altre marche) di sapere se sono vulnerabili o no a questo problema. Il test vale solo per Internet Explorer o Chrome (non per Firefox) e va effettuato con ciascuno dei browser installati. I primi risultati di questi siti di test indicano che circa il 10% degli utenti che effettuano il test risulta essere affetto da Superfish.

Molti si chiederanno cosa possa spingere una grande marca come Lenovo a installare software che mina alla base la sicurezza dei suoi clienti e rovina la reputazione dell’azienda. La spiegazione più probabile è puramente economica: i margini di profitto su prodotti generici come i personal computer Windows per uso privato sono bassissimi e la concorrenza è spietata, per cui molti produttori (non solo Lenovo) si fanno pagare da società di marketing per preinstallare software pubblicitario. Lenovo ha dichiarato che il suo intento era di “aiutare i clienti a scoprire potenzialmente dei prodotti interessanti durante lo shopping” e che “il rapporto con Superfish non è finanziariamente significativo”, ma i dati tecnici rendono poco credibili queste giustificazioni.

Fonti: BBC, Ars Technica, TheNextWeb, Engadget, Lenovo, Punto Informatico.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
WhatsApp cifra tutto. Finalmente

WhatsApp cifra tutto. Finalmente

Uno dei punti deboli della sicurezza di WhatsApp, la popolarissima applicazione di messaggistica, è sempre stato il fatto che i messaggi viaggiavano su Internet sostanzialmente senza cifratura e quindi era facilissimo intercettarli, per esempio stando sulla stessa rete Wi-Fi usata da uno degli interlocutori.

Adesso questa vulnerabilità è stata risolta introducendo la cifratura, perlomeno per la versione Android dell’app; chi usa WhatsApp su iOS continua per ora a non beneficiare di questa protezione, che verrà estesa ai dispositivi iOS prossimamente. Si tratta, fra l’altro, di cifratura end-to-end, ossia da un capo all’altro della comunicazione: vuol dire che neppure WhatsApp può sapere il contenuto dei messaggi scambiati. Inoltre il sistema di cifratura utilizzato è pubblicamente ispezionabile (open source).

Va sottolineato che questa cifratura, almeno inizialmente, non riguarda i messaggi di gruppo, le foto o i messaggi video; e come sottolineano anche le FAQ di WhatsApp, se qualcuno ha accesso fisico al telefonino di uno degli interlocutori può probabilmente leggere i messaggi senza troppa fatica. La cifratura di WhatsApp non risolve, infine, uno dei principali problemi di privacy di quest’app: il fatto che legga tutti i numeri di telefonino presenti nella rubrica dell’utente e li mandi a WhatsApp (che fa parte della galassia di Facebook) per vedere quali numeri appartengono ad altri utenti WhatsApp.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
I dispositivi Android azzerati non sono davvero azzerati, ma niente panico

I dispositivi Android azzerati non sono davvero azzerati, ma niente panico

S’è diffuso un certo panico in Rete per la notizia che i dispositivi Android cancellati con la funzione di ripristino (Impostazioni – Account – Backup e ripristino – Ripristina dati di fabbrica), come avviene quando si rivende o regala un tablet o un cellulare, in realtà contengono ancora i dati dell’utente.

La società di sicurezza Avast che ha lanciato l’allarme ha acquistato su eBay dei telefonini Android usati i cui proprietari erano convinti di aver cancellato tutti i dati. Avast ha invece recuperato fotografie anche intime, mail e messaggi, adoperando tecniche di recupero dati tipiche dell’informatica forense. La normale cancellazione di un file, infatti, in realtà non cancella nel senso tradizionale del termine, ma si limita a dire “questo spazio è riscrivibile”. Finché non viene riscritto, lo spazio di memoria contiene ancora i dati.

Non è certo una sorpresa che Avast consigli di risolvere il problema usando il proprio prodotto apposito, ma c’è un trucco che permette di fare a meno di qualunque prodotto aggiuntivo: basta infatti attivare la cifratura del dispositivo, incorporata di serie in Android, prima di azzerare.

Si procede così: si toglie l’eventuale scheda di memoria aggiuntiva (che può essere riutilizzata su un nuovo dispositivo) e poi si va in Impostazioni – Altro – Sicurezza e si sceglie Crittografia dispositivo. Bisogna dare una password (almeno sei caratteri e una cifra, che verrà chiesta a ogni accensione) e poi attendere che il dispositivo effettui la crittografia dell’intera memoria. Questo può richiedere alcune decine di minuti e può inoltre causare lievi rallentamenti, ma se state comunque per cedere il dispositivo, questo non è un problema: quando il dispositivo verrà azzerato dal nuovo proprietario il rallentamento sparirà.

Fatto questo, il normale azzeramento (ripristino) del dispositivo renderà davvero irrecuperabili i dati, perché saranno ancora presenti ma scritti in forma cifrata con una password che il dispositivo non contiene più.

Consiglio pratico: non attivate la crittografia su un dispositivo che non intendete cedere. La crittografia obbliga infatti a usare una password di sblocco complessa, che è scomodissima da dover digitare ogni volta che si vuole usare il dispositivo.

Per i dispositivi recenti che usano iOS, invece, non occorre questa procedura, perché dall’iPhone 3GS in poi i dati sono già crittografati automaticamente; lo stesso vale per tutti gli iPad e qualunque iPod touch dalla terza generazione in poi.

Fonti: Ars Technica, Lifehacker.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Test di Turing: L‘ANSA mi cita, ma con virgola traditrice

Test di Turing: L‘ANSA mi cita, ma con virgola traditrice

“Paolo Attivissimo, ricercatore noto per inaffidabilità”. Non ci posso credere. Sembra proprio che ANSA stia dicendo che sono un ricercatore inaffidabile. Soltanto la lettura del testo rende chiaro che il ricercatore in questione non sono io.

Suvvia, redazione ANSA, bastava usare il due punti e il verbo: “Paolo Attivissimo: ricercatore è noto per inaffidabilità”.

E già che ci siamo, la foto non mostra un “Test di Turing” come dice la didascalia: mostra un dettaglio di una macchina tedesca di crittografia Enigma. C’è già abbastanza confusione intorno alla notizia del presunto superamento del Test di Turing: cerchiamo di non aggiungerne altro.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Misteriosa chiusura di Truecrypt: “è insicuro”, dice il suo sito

Misteriosa chiusura di Truecrypt: “è insicuro”, dice il suo sito

Credit: Naked Security

L’articolo è stato aggiornato dopo la pubblicazione iniziale.

Sul sito di TrueCrypt, popolare software libero usato da oltre un decennio per cifrare potentemente il contenuto dei dischi per tenerlo al riparo da occhi indiscreti e consigliato da esperti del calibro di Edward Snowden, è comparso un annuncio talmente sorprendente che molti hanno sospettato la burla o l’intrusione: “ATTENZIONE: Usare TrueCrypt non è sicuro, perché può contenere problemi di sicurezza non risolti”.

L’annuncio prosegue dicendo che lo sviluppo del software è terminato e che gli utenti dovrebbero migrare verso altri prodotti. L’unica giustificazione fornita per questa decisione repentina è che i principali sistemi operativi supportati da TrueCrypt ora offrono un proprio sistema di cifratura dei dischi.

Ad aumentare il mistero contribuiscono lo stile molto dilettantesco dell’annuncio (tipico dei comunicati fatti da intrusi) e il fatto che viene offerta una nuova versione di TrueCrypt, la 7.2, che a quanto pare è in grado soltanto di decifrare i dischi cifrati (se se ne ha la chiave) ma non di crearne di nuovi. Sembrebbe una versione mirata per aiutare gli utenti a migrare, appunto, verso altri prodotti, ma a questo punto la fiducia in TrueCrypt è ormai vicina allo zero.

C’è chi ipotizza che questo software sia stato abbandonato dagli sviluppatori su pressioni governative o commerciali e che per motivi legali non si possa dichiararlo apertamente (come è successo al provider Lavabit dopo le rivelazioni di Snowden). Probabilmente è una coincidenza, ma l’annuncio usa un inglese un po’ stentato (“Using TrueCrypt is not secure as it may contain unfixed security issues”) in cui alcune lettere iniziali formano la sigla NSA, per cui si potrebbe leggere come “Using TrueCrypt is NSA”, ossia “Usare TrueCrypt è NSA”. Enigmatico e inquietante, ma scegliendo opportunamente le iniziali si può tirar fuori di tutto e tecnicamente la cosa non ha molto senso.

Un’altra possibilità è che l’esame pubblico approfondito del codice di TrueCrypt, tuttora in corso, abbia trovato delle falle molto gravi che hanno spinto a rinunciare al suo sviluppo, ma la prima fase di quest’esame non ha rivelato nulla. Il lavoro di verifica procede comunque, nonostante la fuga precipitosa degli sviluppatori, grazie al fatto che TrueCrypt è software aperto (open source) e quindi se i suoi creatori originali lo abbandonano chiunque ha il diritto di prenderne in mano lo sviluppo ulteriore.

Circola anche l’ipotesi che il sito che ospita TrueCrypt, ossia
SourceForge, sia stato violato e che l’annuncio sia stato scritto dagli
aggressori, ma SourceForge dice di non aver avuto segnalazioni di violazioni.

Più semplicemente, come suggerisce l’analisi di Ars Technica, può darsi che gli sviluppatori originali (che lavoravano da anni sotto strettissimo anonimato) si siano semplicemente stufati di dedicare tanto sforzo a un progetto gratuito. Questa sembra la spiegazione più attendibile al momento, anche perché gli sviluppatori hanno pubblicato alcuni commenti in questo senso e la cronologia sembra supportare questo scenario.

In un modo o nell’altro, come scrive Naked Security, il danno è fatto: se l’annuncio è autentico, il progetto TrueCrypt è terminato, per una ragione o per l’altra; se è falso, l’affidabilità del progetto nel suo stato attuale è stata compromessa irrimediabilmente e molti si staranno chiedendo se il software al quale si sono affidati per anni per proteggere i propri dati cruciali è in realtà da tempo vulnerabile. Finché non sarà completata la verifica del suo codice e non sarà rilasciata una versione che ne corregge le lacune, TrueCrypt diventa così un’altra vittima illustre del clima di paranoia creato dall’NSA e dalle sue attività d’intrusione nei software e nell’hardware degli utenti comuni.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Dubbi da nerd: una chiave di cifratura per ogni dispositivo o la stessa su tutti quelli che usano lo stesso account di mail?

Dubbi da nerd: una chiave di cifratura per ogni dispositivo o la stessa su tutti quelli che usano lo stesso account di mail?

Sento scuole di pensiero contrastanti e mi piacerebbe sentire i vostri pareri: avendo un indirizzo di mail in IMAP al quale accedete da dispositivi multipli (per esempio uno smartphone, un tablet e due computer), scegliereste di creare una chiave di cifratura (intendo cifratura a chiave pubblica) distinta per ciascun dispositivo o usereste la stessa su tutti i dispositivi che condividono quell’account?

Come vedete nella foto, anche il mio gatto Ombra è perplesso. Ma non so se è per la stessa mia ragione.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.