Vai al contenuto
Capo della campagna elettorale di Hillary Clinton si fa fregare account iCloud e Twitter

Capo della campagna elettorale di Hillary Clinton si fa fregare account iCloud e Twitter

Ultimo aggiornamento: 2016/10/20 9:40. 

Il 12 ottobre scorso l’account Twitter di John Podesta, capo della campagna presidenziale di Hillary Clinton, ha pubblicato un annuncio clamoroso: “Ho cambiato squadra. Votate Trump 2016. Salve, pol”. “Pol” è un riferimento a una sezione del sito 4chan nella quale si discute, fra l’altro, di violazioni informatiche in campo politico: l’account di Podesta era infatti stato violato e ignoti ne avevano preso il controllo.

Una figuraccia informatica epica per il team Clinton, anche perché non ha richiesto un attacco particolarmente sofisticato. Infatti, pur trovandosi in una posizione di enorme responsabilità, John Podesta non aveva preso neppure le misure minime di sicurezza.

Podesta sapeva di essere nel mirino, non solo perché ha un ruolo politico cruciale ma anche perché aveva già subito una violazione informatica pesante: Wikileaks sta infatti pubblicando man mano le sue mail trafugate. Giornali e telegiornali stanno dando ampio risalto alla cosa, per cui Podesta era al corrente di questa violazione, già di per sé imbarazzante.

Una di queste mail pubblicate indicava che la password del suo account iCloud, associato al suo iPhone, era Runner4567. Già il fatto stesso di inviare una password via mail in chiaro è un errore di sicurezza madornale, ma c’è di peggio: nonostante Podesta fosse chiaramente sotto attacco, a quanto risulta non aveva attivato la verifica in due passaggi (autenticazione a due fattori) sui propri account Twitter e iCloud. E così i dati sensibili custoditi nel suo iPhone (nomi, numeri di telefono, appuntamenti e altro ancora) e nel cloud di Apple sono finiti online, visibili a tutti.

È possibile che l’account Twitter di Podesta sia stato violato con facilità perché usava la stessa password usata per iCloud, come fanno incoscientemente in tanti; in tal caso va ricordato che se ci fosse stata attiva la verifica in due passaggi gli intrusi non avrebbero potuto sfruttare la password ma avrebbero avuto bisogno di accedere fisicamente a uno dei dispositivi di autenticazione di Podesta.

Le voci secondo le quali l’iPhone e l’iPad di Podesta sarebbero stati azzerati grazie ai dati trovati nelle mail di Podesta pubblicate da Wikileaks sono state smentite da Wikileaks stessa, che dice di aver “verificato che le credenziali erano già state cambiate” prima di pubblicare le mail che le contenevano.

La leggerezza con la quale i politici trattano la sicurezza informatica, anche quando c’è letteralmente di mezzo la sicurezza nazionale, non cessa mai di meravigliarmi. Ma è una meraviglia del secondo tipo: quello in cui fai fatica a credere che qualcuno in un ruolo così importante sia così informaticamente ingenuo e incompetente da non assumere un consulente informatico e seguirne le raccomandazioni.

Fonte: Ars Technica.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
La Voce d’Italia e il coccodrillo di Schumacher

La Voce d’Italia e il coccodrillo di Schumacher

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: ore 16:40.

Scrivo questi appunti mentre ho ancora ben presente tutta la vicenda, visto che La Voce d’Italia dice di avermi denunciato per diffamazione sull’accaduto. Se avete elementi d’indagine aggiuntivi, segnalatemeli nei commenti.

Come probabilmente sapete, ieri l’ex campione del mondo di Formula 1 Michael Schumacher ha avuto un incidente di sci ed è ora ricoverato, in coma, con un trauma cerebrale; le sue condizioni sono state definite “critiche”.

Tutto inizia oggi, poco dopo pranzo. Leggo una mail di un lettore, M. P., che mi segnala che stanotte, “verso le 2:30-3:00”, aveva “fatto un salto su Google News per cercare notizie sulla situazione del pilota”. Tra i link mostrati da Google, mi racconta, “c’era anche una news presa da La Voce. Quindi ho sfogliato un attimo i vari link. Ora non ricordo se il link alla notizia della sua morte l’ho visto tra quelli di Google o tra quelli interni della testata; fatto sta che ho visto il titoletto “E’ morto Michael Schumacher” e questa era la pagina a cui puntava. E’ ancora online al momento.”

Il lettore mi segnala questo link al sito http://www.voceditalia.it e mi allega uno screenshot. Incredulo, visito il link e ne ottengo personalmente questo screenshot alle 13:14:00:

Effettivamente l’articolo che annuncia la morte di Schumacher, con il classico stile del “coccodrillo” giornalistico (notate i punti di sospensione dopo “alle ore….”), risulta visibile online seguendo quel link.

Ne faccio un tweet:

disinformatico
La Voce d’Italia pubblica il coccodrillo per #Schumacher . Giornalismo. http://t.co/xqBJCFOfD2 http://t.co/Ua0A2lN2AF
30/12/13 13:16

Poco dopo segnalo la rimozione dell’articolo:

disinformatico
La @voce_italia ha rimosso il coccodrillo. Applausi lenti.
30/12/13 13:42

Per me la cosa era finita così: è prassi normale preparare i “coccodrilli” per i personaggi celebri, specialmente se versano in gravi condizioni. È meno normale, ed è decisamente poco professionale (e anche un po’ menagramo), renderli accessibili online prima del tempo. Volevo semplicemente segnalare la questione come esempio illuminante della realtà del giornalismo online.

Ma l’account Twitter @LaVoceDItalia1 (diverso da quello pubblicato sul sito della testata, che è @Voce_Italia) ha risposto in questi termini via Twitter:

LaVoceDItalia1
@disinformatico La testata è stata attaccata da hacker. Non abbiamo MAI pubblicato ALCUN articolo riguardante la morte di Schumacher.
30/12/13 13:49

Rispondo come segue:

disinformatico
@lavoceditalia1 “testata è stata attaccata da hacker”? Questo significherebbe che TUTTE le vostre notizie possono essere false 🙂
30/12/13 13:53

I toni s’inaspriscono:

LaVoceDItalia1
@disinformatico Paolo Attivissimo sei pregato di cancellare immediatamente qualunque notizia diffamante riguardo il ns quotidiano
30/12/13 14:05

LaVoceDItalia1
@disinformatico stiamo provvedendo a formalizzare denuncia presso autorità competenti per diffamazione se nn rimossa news e diffusa smentita
30/12/13 14:08

LaVoceDItalia1
@pizzo81 @disinformatico esistono hacker molto abili con Photoshop. Il danno di immagine al nostro giornale e’ gravissimo!
30/12/13 14:19

LaVoceDItalia1
@pizzo81 @disinformatico se non abbiamo mai pubblicato e’ ovvio che sia un attacco hacker.
30/12/13 14:20

LaVoceDItalia1
@pizzo81 @disinformatico la notizia gira da stanotte. Stiamo facendo accertamenti.
30/12/13 14:27

LaVoceDItalia1
@pizzo81 @disinformatico chiediamo anche noi chiarimenti a @disinformatico
30/12/13 14:27

LaVoceDItalia1
@pizzo81 @disinformatico dov’è la data dell’articolo? Dovrebbe uscire di default. Basta polemiche. Denuncia fatta.
30/12/13 14:39

LaVoceDItalia1
@disinformatico @pizzo81 impossibile.
30/12/13 14:58

La Voce d’Italia ha poi pubblicato un articolo di “smentita ufficiale” che espone la vicenda secondo il suo punto di vista: “Come ogni Natale anche quest’anno la Voce d’Italia ha subito un attacco hacker.”

Ogni anno vengono puntualmente attaccati, proprio a Natale, e ancora non sono riusciti a risolvere il problema? Non è una dichiarazione particolarmente rincuorante sulla solidità delle protezioni informatiche della testata. Se un “hacker” riesce regolarmente a pubblicare su la Voce d’Italia notizie false da anni, viene minata la credibilità di tutto quello che viene pubblicato. Mi sembra che la pezza sia peggiore del buco.

Prosegue la Voce d’Italia: “Questa volta è stato messo online un articolo a nome del nostro quotidiano che in realtà non è mai stato pubblicato dalla nostra redazione.” Sarà, ma il link parla chiaro. Io l’articolo l’ho visto via Internet e via Internet ho potuto leggerlo, Google l’ha potuto indicizzare, e io ho potuto farne uno screenshot. Altri lettori, via Twitter, hanno confermato di poter vedere l’articolo e che linkando il link originale in Facebook compariva ancora il testo che annunciava la morte di Schumacher.

pappi_
@LaVoceDItalia1 @disinformatico @pizzo81 @SnoopyTheWriter che poi come se non bastasse, qua c’è n’altro screenshot. http://t.co/ymq54qnCjc
30/12/13 15:09

OplonsBS
@disinformatico Garantisco di non avere Photoshop installato. http://t.co/wXVcO3k1Tz
30/12/13 15:20

davideventurini
@OplonsBS @disinformatico garantisco di non sapere usare photoshop 🙂 http://t.co/FRFSXeEFI2
30/12/13 15:25

pietropaschino
@LaVoceDItalia1 @disinformatico @OplonsBS appena fatto un test su facebook. linkando l’articolo “inesistente” compare ancora il titolo. 😉
30/12/13 15:41

Arriva da p@sco un video eloquente:

Per me questo è “pubblicare”.

Ci sono obiezioni anche tecniche alla smentita:

GBorgonovo
@disinformatico http://t.co/oIuNLzXcm1 qui il titolo è ancora presente (15:54) tra gli “articoli correlati”. Ops… http://t.co/FutPHMrY9l
30/12/13 15:54
2ndAngyel
@disinformatico @LaVoceDItalia1 @OplonsBS se era l’articolo id 102109, è stato depubblicato. Il 110 e il 108 sono visibili. Casualità?
30/12/13 15:28

La Voce d’Italia ha scritto sulla propria testata che “sarà nostra premura denunciare alla polizia postale quanto successo. E’ stato inoltre lanciato pochi minuti fa un tweet a @disinformatico con la seguente smentita: “La testata è stata attaccata da hacker. Non abbiamo MAI pubblicato ALCUN articolo riguardante la morte di Schumacher“”.

Questi sono i fatti fino a questo punto. Se ci saranno novità, le segnalerò qui.

Aggiornamenti

16:30. La vicenda viene ripresa da Giornalettismo.

16:40. L’articolo che la Voce d’Italia dice di non aver mai pubblicato è ancora citato nei correlati in questo momento. Link, Freezepage e screenshot:

 Segnalo pubblicamente la situazione alla testata chiedendo chiarimenti:

disinformatico
.@LaVoceDItalia1 L’articolo che non avete pubblicato è ancora nei correlati. http://t.co/CBxSHP2ui9. Spiegazioni? http://t.co/8cT0qmsJvu
30/12/13 16:39

 La reazione surreale de La Voce:

LaVoceDItalia1
@disinformatico lo tolga lei. Noi non possiamo farlo visto che non lo abbiamo pubblicato.
30/12/13 16:41

disinformatico
.@lavoceditalia1 Mi state chiedendo di togliere un link dal _vostro_ sito. Grazie di considerarmi così abile, ma non spetta a me ripulire.
30/12/13 16:44

LaVoceDItalia1
@disinformatico noi non ne abbiamo la possibilità. Magari lei… Comunque ci fa comodo che rimanga visibile. Aiuta nelle ricerche!
30/12/13 16:45

Non ho parole. Mi chiedo se “mi hanno attaccato gli hacker” sia la versione moderna di “il cane mi ha mangiato i compiti”.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Il MIUR fa confusione: chi glielo dice che “doggy style” non è la traduzione di “pecorino” ma di “pecorina”?

Il MIUR fa confusione: chi glielo dice che “doggy style” non è la traduzione di “pecorino” ma di “pecorina”?

Questo articolo vi arriva grazie alla gentile donazione di “fuffao”. L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: ore 21:00.

Presto, correte sul sito del MIUR a questo link e salvate una copia della pagina. Non ve ne pentirete, così come non se ne sono pentiti i tantissimi che mi hanno segnalato questo capolavoro assoluto di faciloneria traduttiva.

Ecco la mia cattura:

Il titolo “Dalla pecora al pecorino” è stato tradotto in “From sheep to Doggy Style”. Solo che “doggy style”, in inglese, non è un tipo di formaggio: è una posizione erotica. Letteralmente significa “alla maniera dei cagnolini”. In altre parole, sul sito del MIUR, in questo momento, c’è un bando per assegno di ricerca intitolato “Dalla pecora alla pecorina”. Un’altra versione, con lo stesso straordinario errore, è pubblicata qui.

Vorrei scrivere qualcosa sulla patetica faciloneria che spinge l’italoburocrate a far tradurre qualunque cosa dal primo cane (o pecora) che passa, ma ho le lacrime dal ridere.

Fra l’altro, lo stesso svarione spettacolare compare anche qui sul sito della Commissione Europea (grazie a Guido S. per la segnalazione). Con ben 19.367 euro di budget. Cinquanta euro per pagare un traduttore decente non c’erano?

Non sono sicuro di voler sapere in che modo si è arrivati una traduzione così epicamente sbagliata. Ho paura della risposta. Non è frutto di Google Translate: ho provato con la frase intera, anche se “pecorino” da solo restituisce “Doggy”. Ma mi piacerebbe sapere chi è il citrullo che ha partorito quel “doggy style” (oltretutto in maiuscolo). Sarebbe ancora più divertente se il bando fosse stato stampato, per cui esisterebbe copia cartacea ufficiale di questa castroneria monumentale.

Aggiornamento 1 (1:30). Non so se il bando è stato stampato, ma è presente anche sul sito del prestigiosissimo Nature.

Aggiornamento 2 (21:00). Le pagine in questione sono state rimosse o corrette (almeno nel titolo incriminato) ed è emerso il colpevole insieme a una spiegazione del MIUR.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Kaboom! 6 dicembre 1957, il flop spaziale spettacolare del Vanguard americano

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle gentili donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora.

Sto lentamente scrivendo il mio prossimo libro, Almanacco dello Spazio, una raccolta cronologica degli anniversari spaziali e astronomici, e oggi ricorre l’anniversario di uno dei più spettacolari fallimenti della corsa allo spazio.

Gli Stati Uniti stanno tentando di rispondere all’umiliazione dello Sputnik sovietico, che ha stupito il mondo diventando il primo satellite artificiale, e vorrebbero lanciare a loro volta un satellite su un razzo Vanguard. Ma il lancio fallisce catastroficamente: il razzo si alza di una decina di centimetri e poi esplode sulla rampa di lancio. Il satellite rotola via, finendo in un cespuglio. Ora si trova al Museo Smithsonian di Washington. I giornali, impietosi, usano titoli come Kaputnik. Il filmato dell’epoca è memorabile.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Geni svizzeri (e non solo) lasciano una stampante esposta a Internet. Indovinate che cosa succede

Geni svizzeri (e non solo) lasciano una stampante esposta a Internet. Indovinate che cosa succede

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2016/01/27 19:45.

Oggi Mikko Hypponen di F-Secure ha tweetato questa segnalazione: una stampante HP affacciata a Internet. Non era soltanto possibile vederne lo stato: era possibile comandarla.

Credo che pochissimi dei suoi follower abbiano resistito alla tentazione di far stampare una pagina demo o un elenco completo di font, facendo sembrare che la stampante fosse posseduta da uno spirito maligno.

Già può sembrare poco furbo affacciare una stampante a Internet, ma addirittura renderla accessibile come home page del proprio sito richiede un talento particolare. Se poi si considera che il sito in questione si chiama Bit.ch, ossia bitch, che in inglese significa grosso modo “puttana, cagna, stronza”, direi che la genialità scorre potente.

La stampante ora non risponde più. Posso solo immaginare le facce esterrefatte di chi l’ha vista impazzire e sfornare pagine su pagine.

Lo so, è una goliardata, ma tenete presente che non c’era altro modo pratico di avvisarli, visto che il Whois di Bit.ch è mascherato e non ci sono fonti online che forniscano un numero di telefono o una mail degli amministratori di Bit.ch.

Questa stampante non è l’unica mal configurata da amministratori di sistema incompetenti: per trovarne altre basta usare Google, digitando inurl:info_configuration.html come argomento di ricerca. Con pochi clic chiunque può trovare e comandare stampanti come questa, questa, questa, questa presso Uniroma1.it o questa. Peccato che non si possa far stampare a queste stampanti un bell’avviso “Salve, sono la tua stampante. Mi hai configurato in modo che chiunque da Internet mi possa controllare. Sono stufa di essere trattata così. Guadagnati il tuo stipendio e configurami bene, altrimenti stamperò i selfie porno che hai sul tuo telefonino”.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Linux, sicurezza scavalcata premendo 28 volte Backspace

Linux ha una buona reputazione in fatto di sicurezza, e molti linuxiani si bullano della robustezza di questo sistema operativo. Per cui vederli umiliati da un difetto di sicurezza ridicolo come quello scoperto da due ricercatori del Politecnico di Valencia è piuttosto divertente.

I ricercatori, Hector Marco e Ismael Rispoli, hanno infatti trovato che si può scavalcare completamente la sicurezza di un computer Linux correttamente configurato semplicemente premendo il tasto Backspace 28 volte durante l’avvio, quando la macchina chiede il nome dell’utente. C’è infatti un difetto nel bootloader Grub2, per cui queste pressioni ripetute portano alla Rescue Shell di Grub.

Niente panico, comunque: la falla è sfruttabile soltanto da chi ha accesso fisico al computer, per cui è un rischio soltanto in ambienti promiscui, e il bello del software libero è che chiunque può apportare modifiche e correzioni. Infatti i due ricercatori hanno realizzato una patch che risolve il problema. Ubuntu, Red Hat e Debian hanno già pubblicato degli aggiornamenti ufficiali.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
È scientificamente provato: la causa dell’autismo è Jim Carrey

È scientificamente provato: la causa dell’autismo è Jim Carrey

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla gentile donazione di “s.poppi*” e “davide.web*” ed è stato aggiornato dopo la pubblicazione iniziale. Se vi piace, potete incoraggiarmi a scrivere ancora.

Avrete sentito parlare del recente epic fail di Jim Carrey, l’attore comico, che si è lanciato su Twitter in una serie di accuse deliranti contro i vaccini che, a suo dire, conterrebbero mercurio, alluminio e altri veleni, e contro il governatore della California, Jerry Brown, che Carrey ha definito “fascista manovrato dalle aziende” per la sua legge sull’obbligo di vaccinazione per varie malattie infettive, compresi morbillo e pertosse.

Per fortuna Salvo di Grazia (MedBunker) ha scritto un ottimo articolo sul Fatto Quotidiano che spiega l’assurdità medica di quello che afferma Carrey. Io mi limito a ricordare che il fatto di essere celebre non lo rende un tuttologo: nulla da eccepire sulla sua competenza professionale come attore, per carità, ma la sua competenza in campo medico è nulla, e Carrey non è nemmeno in grado di portare esperti medici che confermino le sue affermazioni. Se la mia auto non funziona, vado da un meccanico, non da un salumiere o da un premio Nobel.

L’articolo di Salvo di Grazia cita anche il grafico che vedete qui sopra, che rende “scientificamente evidente” il nesso fra autismo e film di Jim Carrey. C’è poco da scherzare sull’autismo, e infatti il grafico non è uno scherzo: contiene lo stesso errore che viene commesso, senza rendersene conto, da chi lega i vaccini all’autismo, ossia pensare che un evento che accade dopo un altro deve per forza essere causato dal primo, e che un evento che si evolve di pari passo a un altro significa per forza che i due sono legati fra loro.

Il fatto che i sintomi dell’autismo compaiano dopo l’età alla quale si fanno alcune vaccinazioni non significa che le vaccinazioni causano l’autismo, esattamente come vedersi tagliare la strada da un gatto nero e poi farsi male non significa che i gatti neri portano iella. Correlazione non implica causa: non dimentichiamolo mai.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Se avete un computer Dell, occhio al certificato digitale fasullo che firma il malware

Imbarazzo spettacolare per Dell, che per errore ha messo in vendita computer “dotati di tutti gli strumenti necessari per consentire ai criminali di violare l’home banking, lo shopping, la mail”, come scrive spietatamente The Register: sui suoi notebook e computer fissi ha infatti installato un certificato digitale errato che permette agli aggressori di decifrare il traffico di dati senza che gli utenti se ne accorgano e di applicare ai virus una firma digitale che li autentica come se fossere app legittime.

Come se non bastasse, chi elimina questo certificato se lo ritrova di nuovo al riavvio successivo, perché il computer lo reinstalla automaticamente. Un disastro, insomma, che colpisce i modelli Dell XPS, Latitude, Precision e Inspiron di recente produzione. Dell inizialmente ha minimizzato, mentre Microsoft ha deciso che il suo antivirus Defender considererà questo certificato come malware e quindi lo eliminerà definitivamente.

Se avete un computer della Dell e volete sapere se siete vulnerabili o no, visitate questo sito di test.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Dischi rigidi wireless Seagate hanno accesso nascosto. Account: root, password: root

Dischi rigidi wireless Seagate hanno accesso nascosto. Account: root, password: root

Facepalm formato Godzilla meritatissimo.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla gentile donazione di “giampi*”. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2015/09/08 11:00.

Non ci posso credere. Seagate, notissima marca di dischi rigidi, ha messo in vendita dei dischi accessibili via Wi-Fi lasciando nel firmware un accesso nascosto (raggiungibile via riga di comando con telnet) che permette a chiunque di leggere e scrivere sul disco stesso. Basta sapere il nome dell’account, che è un prevedibilissimo root, e indovinare la password di quest’account, che è ancor più prevedibilmente root.

I modelli contenenti questa simpatica funzione non documentata sono i Seagate Wireless Plus Mobile Storage, i Seagate Wireless Mobile Storage e i LaCie FUEL. La segnalazione proviene dal CERT.

Come se non bastasse questa falla, questi stessi dispositivi hanno altre due falle che permettono a chiunque di scaricare e, rispettivamente, caricare file di qualunque tipo via Wi-Fi.

Immaginate quindi chi compra questo genere di disco rigido pensando che sia un modo pratico per avere qualche cavo in meno in giro e poi scopre che chiunque può scaricarne il contenuto e può anche alterarlo, per esempio mettendovi versioni infette di applicazioni e copie taroccate di documenti oppure iniettandovi file compromettenti (“Caro, aspetta, posso spiegarti tutto, quel video con il burro di arachidi e il labrador me l’ha messo sul disco un hacker via Wi-Fi”).

Seagate ha pubblicato un firmware aggiornato, ma resta da vedere quanti clienti ne verranno informati e rimedieranno. Forse questa foga modaiola di eliminare i cavi (il cosiddetto cord-cutting) in favore delle connessioni senza fili andrebbe ragionata un attimo.

Aggiornamento (2015/09/08): Rispondo qui ai molti commenti che chiedono che senso abbia un disco rigido Wi-Fi, dato che comunque ha bisogno di almeno un cavo (l’alimentazione). Per esempio, ha senso se devo condividere lo stesso disco fra più utenti, specialmente in modo estemporaneo (vai a una festa, piazzi il tuo disco in condivisione, meglio se in sola lettura, e lasci che tutti ne scarichino foto, film o altro), oppure se il disco ha un filesystem non gestito dal dispositivo che vi vorrebbe accedere (un Mac che vuole scrivere su un disco NTFS, per citare un caso ricorrente).

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Fiat Chrysler richiama migliaia di SUV Renegade USA: sono sabotabili via Internet

Fiat Chrysler richiama migliaia di SUV Renegade USA: sono sabotabili via Internet

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla gentile donazione di giovanni.ga*. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento, come ha fatto cavez86.

Ricordate le auto della Fiat Chrysler alle quali era possibile per esempio sabotare i freni attraverso la loro connessione a Internet? 1,4 milioni di auto da richiamare e una figuraccia epica. Sembrava che l’idea spettacolarmente stupida di collegare il sistema di intrattenimento di bordo (connesso a Internet) con i sistemi di guida fosse limitata a quei veicoli, ma adesso salta fuori che anche le Jeep Renegade dotate di uno specifico sistema di intrattenimento sono vulnerabili.

FCA ha infatti richiamato 7810 Jeep Renegade vendute negli Stati Uniti per un difetto software analogo che però riguarda un tipo di autoradio diverso da quello già noto come vulnerabile. Circa metà degli esemplari è ancora presso i concessionari; i proprietari delle auto già vendute riceveranno una chiavetta USB, simile a quella mostrata qui sopra (riguardante la falla precedente), che dovranno usare per aggiornare il software dell’auto.

Ebbene sì: i geni della sicurezza di FCA, quelli che hanno avuto la pensata di collegare a Internet i sistemi vitali delle auto, adesso hanno “risolto” questo difetto spettacolare di progettazione mandando una chiavetta USB per posta. Sono solo io a vedere la falla fondamentale di sicurezza in questo approccio? L’idea che qualcuno potrebbe mandare ai clienti lettere false contenenti chiavette con software per infettare le auto è, presumo, ovvia per chiunque sia abituato a ricevere (e cestinare) le solite mail del finto supporto tecnico di Windows che invitano a cliccare per scaricare un “importante aggiornamento di sicurezza”. A quanto pare non è ovvia per FCA. Fossi un proprietario di un’auto attaccabile via Internet, l’ultima cosa che farei è installarci su roba ricevuta su una chiavetta per posta: butterei via la chiavetta e andrei dal concessionario a farmi fare l’aggiornamento (opzione peraltro prevista da FCA nella lettera).

Episodi come questo dimostrano che l’industria dell’Internet delle Cose deve ancora imparare le lezioni fondamentali di sicurezza che la comunità informatica ha capito a furia di bastonate e scottature. Solo che qui il rischio non è di trovarsi col computer impallato, ma di trovarsi con l’auto senza freni in discesa.

Fra l’altro, se siete curiosi di sapere cosa c’è su una chiavetta di questo genere, qualcuno ha caricato su Dropbox una sua immagine ISO, ovviamente da non usare per fare aggiornamenti di auto. Buono studio, e prudenza.

Fonti aggiuntive: Mikko HypponenThe Register.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.