Vai al contenuto
”Il televisore che vi ascolta”: in tempi di sorveglianza pervasiva, vantiamocene pure

”Il televisore che vi ascolta”: in tempi di sorveglianza pervasiva, vantiamocene pure

Questo articolo vi arriva grazie alla gentile donazione di “buon12*”.

Neanche Orwell aveva avuto il coraggio di immaginare che invece di farci imporre un teleschermo che guarda e ascolta in casa da uno stato totalitario ossessionato dal controllo, come descritto nel suo profetico libro 1984, saremmo stati noi stessi a installarcelo in casa, pagandolo di tasca nostra e oltretutto vantandoci di averlo fatto.

Un “televisore che vi ascolta e vi capisce”, che riconosce i gesti e le voci ed è collegato a Internet: lo strumento perfetto per il monitoraggio domestico. Sono paranoico? No, perchè è già successo.

Ho già parlato (Borsa della Spesa, pag. 20) dei televisori Samsung che potevano essere controllati via Internet (articolo; video). Ora è il turno dei televisori LG, che trasmettono alla casa produttrice in Corea non solo i nomi dei file video che guardate, ma anche i nomi dei file (non necessariamente video) condivisi sulla rete domestica, e informano la LG ogni volta che accendete o spegnete il televisore (Ars Technica). E dato che queste informazioni sono trasmesse in chiaro, facilitano inoltre il lavoro degli intrusi.

La LG, in altre parole, si è arrogata il diritto di sapere quando e quanto guardate la TV e che video guardate. E la pubblicità esalta queste caratteristiche. “Possibilità illimitate”: sì, ma di farsi i fatti degli altri. Qui non stiamo parlando di NSA o altri grandi ficcanaso di stato, ma di un’azienda che si prende il diritto di sapere cosa facciamo. No, no, no e ancora no: quello che faccio io con il mio televisore, quello che leggo e quello che guardo, sono e devono essere fatti miei. Non è questione di non avere niente da nascondere: è un diritto fondamentale della libertà civile. Se non vi è chiaro il concetto, se vi sembra retorica esagerata, non dovete fare altro che pubblicare nei commenti qui sotto la vostra cronologia completa di navigazione. Con nome e cognome.

Se avete una Smart TV, non collegatela a Internet. O imparate a bloccare i pacchetti di dati in uscita dal televisore spione.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Disinformatico radio, podcast del 2012/10/20

È disponibile il podcast della puntata di ieri del Disinformatico che ho realizzato per la Radiotelevisione Svizzera. I temi della puntata sono questi:

  • Come si taglia il nastro inaugurale di una fabbrica di oggetti prodotti da stampanti 3D? Con un paio di forbici stampate da una stampante 3D, naturalmente. È successo a New York. 
  • Quanto vale un PC violato? Brian Krebs offre un bel grafico dei mille modi nei quali si monetizza un’intrusione, con buona pace di chi dice “Ma io non corro rischi perché non ho niente di valore nel computer”
  • Le parole di Internet: VDSL. Anch’io sono fra i tanti ai quali il provider (Swisscom, nel mio caso) ha imposto ultimamente di cambiare il router (a spese del provider, per fortuna). Vediamo perché occorre questo cambiamento e cosa comporta la differenza fra VDSL e ADSL.
  • Fotografa svizzera fa causa ad Apple: le ha rubato un occhio.
  • La (non) sicurezza informatica dei pacemaker può uccidere a distanza. Sembra un’idea da NCIS, ma è realtà: certi apparati cardiaci impiantati sono riprogrammabili a distanza da chiunque, con conseguenze letali.

I link portano agli articoli di supporto alla trasmissione.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

La storia del drone USA “catturato” in Iran

Droni e social engineering

Generale: “Allora, come facciamo a far arrivare Stuxnet 2 in Iran? Le penne USB non basteranno più”.

Sergente: “Se facessimo atterrare lì in emergenza un drone infetto?”

Adoro le menti contorte e creative degli esperti di sicurezza informatica. In questo caso, la mente è quella di Mikko Hypponen e il suo tweet originale è questo.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Tre milioni di codici di Bancomat + PIN scaricabili

Quali sono i PIN per Bancomat preferiti in Iran? 🙂

THN segnala che sono stati pubblicati online tre milioni di codici Bancomat e i PIN corrispondenti di correntisti iraniani. La pubblicazione è stata fatta da un esperto dei sistemi bancari iraniani per dimostrare, a suo dire, che i suoi avvertimenti sulla vulnerabilità di questi sistemi non andavano ignorati come invece stavano facendo le autorità.

La security through obscurity non conosce frontiere, a quanto pare. Non ho modo di verificare i dettagli della notizia, ma comunque potrebbe essere interessante analizzare i PIN pubblicati per vedere quali sono quelli più frequenti.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Apple e Java, pronto l’aggiornamento turafalle

Apple e Java, pronto l’aggiornamento turafalle

Apple rilascia l’aggiornamento di Java contro il malware scavalcapassword

L’articolo è stato aggiornato dopo la pubblicazione iniziale. 

Tramite il menu Aggiornamento Software di OS X potete scaricare e installare l’aggiornamento di Java che risolve la vulnerabilità che consentiva al malware di installarsi scavalcando la password di amministratore sui computer con OS X, come descritto in questo mio articolo.

L’aggiornamento pesa circa 67 megabyte. Maggiori info di Apple sono disponibili qui e qui. Questo aggiornamento è solo per OS X Lion (10.7); chi usa Snow Leopard (10.6) può scaricare l’aggiornamento da qui oppure usare il menu Aggiornamento Software.

Resta quindi comunque valido, a mio avviso, il principio che quello che non c’è non si può rompere, per cui se non usate Java nel vostro browser o lo usate solo per un numero ristretto di siti vi conviene comunque tenere Java disabilitato e attivarlo soltanto quando necessario e quando lo decidete voi.

Grazie a Mikko Hypponen per la segnalazione e a tutti quelli che mi hanno segnalato la disponibilità dell’aggiornamento anche per OS X 10.6.

Questo articolo vi arriva grazie alla gentile donazione di “curr.giovanni”.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

La TV svizzera assolda un intruso informatico

Test della TV svizzera: sicurezza colabrodo di WiFi, cordless e provider

La trasmissione Patti Chiari della Radiotelevisione Svizzera italiana ha commissionato a un esperto informatico una serie di intrusioni nelle utenze di alcune persone (che avevano dato il proprio consenso al test). Il risultato è raccontato in questa puntata, visibile in streaming, a partire da 20:40 circa.

C’è tutto il repertorio classico delle intrusioni, ed è efficacissimo vederlo in azione, non più come teoria ma come pratica corrente. Password WiFi catturate (WEP), codici di conti bancari sottratti modificando i settaggi del router, chiamate cordless intercettate, accensione nascosta della webcam, furto d’identità e cavalli di Troia.

L’aspetto più scandaloso, però, è la facilità con la quale uno dei principali provider svizzeri, Swisscom, è disposta a rilasciare per telefono la password del router degli utenti (che a quanto pare è gestita da remoto) usando un briciolo di social engineering. È possibile usare il sito di Swisscom per scoprire la data di nascita di un utente-bersaglio (utile come base per il furto d’identità) perché il sito non fa alcun controllo sul numero di tentativi d’immissione, per cui la data è identificabile per bruteforcing. Ottimo il consiglio di usare, per ogni transazione monetaria online, un computer dedicato e una connessione cablata spegnendo temporaneamente il WiFi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Utorrent violato, occhio ai download

Infettato un client Bittorrent

Poche ore fa è stato violato Utorrent.com, il sito che ospita µTorrent, uno dei più diffusi programmi client per Bittorrent. Il client è stato infettato con un malware che si spaccia per un antivirus. La situazione è stata corretta, ma chi ha scaricato in queste ore µTorrent per Windows potrebbe trovarsi con una versione infetta. I dettagli sono nel comunicato di Bittorrent. Sophos fornisce altre info e segnala che il suo antivirus riconosce il malware.

L’infezione di un client peer-to-peer popolare è una strategia insolita ma molto potente per la diffusione di questi falsi antivirus. Prudenza, e scandite tutto quello che ricevete da qualunque fonte.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Le cose che non colsi – 2011/06/23

Un po’ di chicche: non tutte fresche ma ghiotte comunque

L’articolo è stato aggiornato dopo la pubblicazione iniziale.

Doctor Who. Se avete un bel telescopio all’aperto, vi serve una copertura per proteggerlo. Ma invece della solita cupola, c’è chi usa un TARDIS. Il Dottore ha fan agguerritissimi anche in Russia, che traducono i sottotitoli quasi in tempo reale (pubblicando anche gli originali inglesi) presso Notabenoid. Non vi basta? Allora vi propongo il tema di Doctor Who suonato dalle mega-bobine di Tesla. Già visto? OK, ma stavolta dentro la gabbia c’è Adam Savage di Mythbusters.

2001 Odissea nello Spazio. Foto di oggetti di scena, attori, modelli e altre chicche straordinarie per i cultori del film di Kubrick. E non perdetevi questi poster che sono finte pubblicità d’epoca per HAL 9000 e la navetta Orion.

L’NSA pubblica 50.000 documenti segreti. C’è parecchia storia dell’informatica militare. Buona caccia.

Shuttle attraccato alla ISS, foto scattate da terra, in 3D. Thierry Legault non smette mai di stupirci. Se questo è quello che può fare un privato, immaginatevi cosa possono fare i militari.

RSA, 40 milioni di token da cambiare. Alcune intrusioni informatiche costano più di altre e rendono inutili, se non pericolosi, i gingilli che generano password temporanee usati da tante aziende. Brr.

Francia, vietato dire Facebook e Twitter in TV e alla radio. A meno che si tratti della lettura di una notizia che li riguarda. Una nuova applicazione di una norma del 1992 che proibisce la promozione di aziende nei notiziari. Quindi niente più “seguiteci su Twitter” e simili per i programmi TV francesi. Geniale.

Video del volo rasoterra. Il Corriere e altri giornali hanno pubblicato un video di un volo incredibilmente radente di un caccia. C’è chi pensa si tratti di un falso, ma Gizmodo ha pubblicato la ripresa corrispondente fatta a bordo del caccia, che sarebbe di un pilota argentino, e sembrano collimare. È per questo che si dice che esistono piloti temerari e piloti anziani, ma non esistono piloti temerari anziani.

Base segreta marziana in Google Mars. Non c’è limite alla stupidità della gente. Repubblica segnala la “scoperta”, da parte di un internauta di nome David Martines, di una strana struttura dal perimetro rettilineo che “fa pensare a un edificio”. Semmai fa pensare a una cretinata. Fa niente: il video raggranella migliaia di visite. Al can can intorno al nulla si accodano Gizmodo e il Daily Mirror. Francesco mi segnala che è probabilmente uno spike, un disturbo prodotto dai raggi cosmici sul sensore della sonda che ha ripreso le immagini (Discovery.com, Yahoo.com).

Usate Instapaper? L’FBI ha una copia di tutto quello che avete letto o archiviato. Una copia illegale. Lo segnala il blog ufficiale di Instapaper. E vorrebbero spingerci verso il cloud? Non mi sorprende: in questo modo sarà uno spasso sapere tutto dei propri sudditi. Pardon, cittadini.

Skype comprato da Microsoft, inizia il ritiro dall’open source. Skype per Asterisk non sarà più acquistabile dal 26 luglio. Decisione, però, presa mesi prima dell’acquisto, ufficialmente. Già non era andata bene con l’update che forzava l’installazione di un bloatware (software aggiuntivo indesiderato), EasyBits GO. È ora di guardarsi in giro e cercare qualcos’altro.

Stagista australiana 22enne trova massa mancante dell’universo. Così dice Repubblica a proposito di Amelia Fraser-McKelvie, che avrebbe battuto orde di esperti che cercavano da decenni di risolvere il mistero. Fa eco il Sydney Morning Herald. Conviene leggersi almeno l’abstract del paper scientifico originale, sul Monthly Notices of the Royal Astronomical Society, invece della divulgazione un po’ troppo entusiasta dei giornali.

I cellulari causano tumori? Non proprio. Un po’ di articoli che chiariscono il recente allarme per una ricerca (o meglio, una review di altre ricerche) che sembrerebbe avvalorare questa tesi quando in realtà il rischio è pari a quello dei sottaceti: Punto Informatico, BoingBoing, Cancer Research UK, New York Times, BBC.

Utenti dei social network in calo? Facebook smentisce. Inside Facebook denuncia un calo di 6 milioni di utenti facebook in USA e di 100.000 nel Regno Unito. Ma il Regno di Zuckerberg nega e altre aziende gli danno ragione (BBC).

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Sony bucata. Ancora

Server Sony bucato per phishing contro CartaSì

Mi faccio vivo brevemente dalla Sticcon, il raduno di appassionati di Star Trek e fantascienza di Bellaria, per segnalare che Sony è ancora nei guai, stavolta tramite la sua filiale tailandese, il cui server si è trovato ad ospitare pagine di phishing contro CartaSì, come riferisce Mikko Hypponen di F-Secure. La sicurezza di Sony è stata insomma compromessa di nuovo e ripulita solo pochi minuti fa. Complimenti, non c’è che dire.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Usare Google per “violare” un sito militare

Usare Google per “violare” un sito militare

Leggere il contenuto riservato di Aepubs.army.mil? No problem, ci pensa Google

Segnalazione bizzarra su Twitter da parte di Mikko Hypponen: il sito Aepubs.army.mil, se visitato con un browser, dice “We are sorry but you are not authorized to view this web site. You do not have permission to view the web site from the Internet address of your Web browser”. Senza autorizzazione non si entra, insomma.

Ma basta andare in Google e digitare site:aepubs.army.mil ed emergono circa 2300 documenti PDF consultabili (come questo) e pagine accessibili, come questa. E c’è anche la cache di Google.

Qualche esempio, giusto per confermare che non sto scherzando e prima che qualcuno si svegli e metta le cose a posto:

Congratulazioni a tutti gli interessati. È bello sapere di essere in buone mani.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.