Vai al contenuto
Pannello di controllo d’impianto di biogas italiano visibile via Internet

Pannello di controllo d’impianto di biogas italiano visibile via Internet

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Una domanda molto semplice: che ci fa online questo quadro di controllo di un impianto per biogas? È accessibile via Internet con VNC. Basta conoscerne l’indirizzo IP, facilmente ottenibile tramite un motore di ricerca come Shodan (la segnalazione arriva da @viss). Non ditemi che qualcuno crede ancora che per “proteggere” un accesso del genere sia sufficiente non dire in giro il suo indirizzo IP.

E non ditemi che questo quadro è comandabile via VNC. Sarebbe da incoscienti.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Bancomat russi violabili premendo Shift cinque volte

Bancomat russi violabili premendo Shift cinque volte

Quando si pensa a violazioni informatiche di bancomat o sportelli bancari automatici in generale, ci si immagina di solito chissà quali abilità e diavolerie tecniche. Ma a volte queste cose sono incredibilmente facili, soprattutto quando chi realizza questi dispositivi non pensa a fondo alla sicurezza.

Prendete per esempio la banca russa Sberbank: i suoi bancomat usano ancora Windows XP. Funziona, che bisogno c’è di aggiornarlo? Windows XP ha sedici anni e ormai non è più supportato da Microsoft, a parte gli aggiornamenti che coprono gravi emergenze, e Microsoft consiglia di usare Windows 10 per ATM per queste applicazioni delicate, ma fa niente.

Secondo quanto raccontato da Techworm.net (che cita il blog russo Habrahabr), questi sportelli bancari automatici erano violabili semplicemente premendo il tasto Shift sulla tastiera, come mostra questo video.

Il Windows XP installato su questi bancomat, infatti, aveva abilitata l’opzione Sticky Keys (Tasti permanenti nella versione italiana), che fa parte degli ausilii per chi ha problemi di accessibilità: quando il sistema chiede di premere due tasti contemporaneamente (per esempio per digitare una lettera maiuscola o comporre un carattere speciale), con quest’opzione si possono premere i due o più tasti in sequenza, quindi anche con una mano sola.

Per richiamare questa funzione basta premere il tasto Shift cinque volte in rapida successione. A questo punto compare la Taskbar e il menu Start, e questo significa che su un bancomat con schermo tattile come quelli di Sberbank è possibile accedere a Windows e prenderne il controllo.

Lo scopritore della falla ha registrato il video dimostrativo e poi è stato responsabile: ha chiamato subito la banca per avvisare del problema e non ne ha approfittato. Ma altri avrebbero potuto farlo, anche compiendo solo un sabotaggio molto banale: sarebbe bastato togliere dallo schermo la schermata del programma di gestione delle transazioni per rendere inservibile quel bancomat alla stragrande maggioranza degli utenti.

E detto fra noi, anche sapendo come riportare un bancomat alla schermata standard, mi guarderei bene dall’inserire la mia carta di credito in un aggeggio che manifesta una vulnerabilità colossale del genere.

La banca ha successivamente corretto la falla e ringraziato il suo scopritore con un regalo molto generoso (si fa per dire): un’agenda e un portafogli.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Smart TV sempre più ficcanaso

Smart TV sempre più ficcanaso

Molte Smart TV hanno falle di sicurezza che le rendono attaccabili via Internet e raccolgono di nascosto i dati personali degli utenti, secondo i test della rivista di statunitense di difesa dei consumatori Consumer Reports.

Il problema riguarda in generale tutte le Smart TV, ma tocca in particolare i modelli di Samsung e quelli di altre marche che usano la piattaforma Roku (per esempio Hisense, Hitachi, Insignia, Philips, RCA e Sharp), che secondo Consumer Reports sono difettosi al punto che “un criminale informatico relativamente inesperto potrebbe far loro cambiare canale, riprodurre contenuti offensivi o alzare il volume […] via Internet”. Questo, agli occhi di un utente non esperto, darebbe l’impressione che il televisore sia guasto o posseduto e potrebbe causare disagi non trascurabili per esempio se il volume viene alzato al massimo o se viene sintonizzato un canale di violenza o pornografia.

La rivista precisa che queste vulnerabilità non consentono di spiare gli utenti o di rubare informazioni personali e che l’attacco richiede che il proprietario della TV venga convinto a visitare un sito apposito o a scaricare un’app confezionata dagli aggressori usando un telefonino o un laptop che è connesso a Internet tramite la stessa rete Wi-Fi usata dalla TV. Convincere gli utenti a fare queste cose è facile, con trucchi come il classico phishing tramite messaggio social o mail oppure con le pubblicità contenenti codice ostile annidate nei siti Web più disparati.

Non è tutto: queste Smart TV raccolgono montagne di dati sui loro proprietari e sulle loro abitudini d’uso e le mandano alle aziende produttrici, che si prendono il diritto di fare sostanzialmente quello che vogliono con questi dati grazie alle clausole annidate nelle condizioni d’uso del dispositivo.

Per ora l’unico modo di evitare questo problema, a parte non comprare una Smart TV e non connetterla a Internet, è cambiarne le impostazioni mangiaprivacy. Ma così facendo si perdono, senza alcuna motivazione tecnica, anche tutte le funzioni avanzate di questi televisori che li rendono appunto “smart”. Ma prossimamente la nuova normativa europea GDPR dovrebbe rendere estremamente illegali queste raccolte di dati personali e quindi è probabile che i fabbricanti cambieranno il modo di funzionare dei loro prodotti.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Mirai, avevano infettato 500.000 dispositivi online: ora sono rei confessi

Mirai, avevano infettato 500.000 dispositivi online: ora sono rei confessi

I responsabili di Mirai, uno degli attacchi informatici più vasti del 2016 sono stati identificati e arrestati e ora sono rei confessi.  Rischiano vari anni di carcere negli Stati Uniti.

A ottobre dell’anno scorso un enorme attacco DDOS nei confronti di Dyn, una società di servizi DNS, ha reso inaccessibili per moltissimi utenti alcuni dei siti più frequentati di Internet, come Amazon, Reddit, Netflix, Twitter, Soundcloud, Spotify, Etsy e Github. L’attacco era stato sferrato usando circa 500.000 dispositivi connessi a Internet: non computer o telefonini, ma telecamere di sorveglianza, videoregistratori digitali e router di utenti comuni, di cui gli aggressori avevano preso il controllo.

I rei confessi, secondo i documenti delle autorità statunitensi, sono il ventunenne Paras Jha, del New Jersey, e i suoi complici Josiah White (20 anni), della Pennsylvania, e Dalton Norman (21 anni) della Louisiana.

Jha e White avevano creato una società, la Protraf Solutions, che forniva servizi anti-DDOS. I due hanno stimolato le vendite dei propri servizi sferrando attacchi DDOS contro vari siti e poi contattandoli per chiedere denaro per interrompere gli attacchi o per vendere servizi di protezione che (ovviamente) solo loro potevano fornire. Norman invece usava una rete di dispositivi violati per commettere altri reati, come clic fraudolenti sulle pubblicità per generare incassi illeciti.

I tre sono stati assicurati alla giustizia, ma il codice del loro malware è in circolazione a disposizione di chiunque voglia usarlo per ripetere imprese criminose come queste.

L’uso dei dispositivi dell’Internet delle Cose per compiere reati informatici è sempre più frequente grazie al fatto che non è ancora diffusa l’abitudine di metterli in sicurezza o di considerarli vulnerabili. Mentre gli utenti si sono a malincuore rassegnati a usare antivirus e tenere aggiornati telefonini e computer, raramente pensano di dover applicare aggiornamenti di sicurezza ad altri dispositivi connessi alla Rete o a impostarli in modo meno insicuro. Queste sono le principali raccomandazioni del Department of Homeland Security statunitense sul tema:

  • le password predefinite di qualunque dispositivo connesso devono essere cambiate, perché sono facilmente reperibili online;
  • vanno installati gli aggiornamenti di sicurezza appena possibile;
  • lo Universal Plug and Play va disabilitato nei router se non è strettamente necessario;
  • i dispositivi vanno acquistati da aziende che hanno una buona reputazione di sicurezza.

Fonti aggiuntive: Cnet, Tripwire.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Germania, niente smartwatch microspia per i bambini

Germania, niente smartwatch microspia per i bambini

La Bundesnetzagentur, l’agenzia governativa tedesca per le infrastrutture, ha annunciato lunedì scorso che in Germania gli smartwatch per bambini che hanno una funzione di ascolto e monitoraggio a distanza sono proibiti e vanno distrutti, perché sono l‘equivalente di una microspia.

Le indagini dell’agenzia hanno infatti scoperto che i genitori li stavano usando per origliare gli insegnanti durante le lezioni a scuola.

L’agenzia ha spiegato che i genitori possono inoltre usare questi smartwatch, dotati di carta SIM, per ascoltare di nascosto i bambini e l’ambiente in cui si trovano. Tramite un’app, possono comandare questi orologi in modo che chiamino un numero telefonico desiderato senza che se ne accorga chi li indossa o chi sta nelle vicinanze e così intercettare le conversazioni: queste funzioni sono proibite secondo la legge tedesca.

La Bundesnetzagentur raccomanda in particolare alle scuole di fare molta attenzione agli studenti che indossano smartwatch dotati di funzioni di ascolto e ordina a chi li ha comprati di distruggerli e di mandare all’agenzia una prova dell’avvenuta distruzione, seguendo queste istruzioni.

Non è la prima volta che un dispositivo smart viene proibito dalle autorità o sconsigliato dalle associazioni di difesa dei consumatori o dagli esperti d’informatica a causa di queste funzioni di sorveglianza nascosta: nel 2016 era successo con alcuni robot e bambole e a marzo 2017 era capitato con i CloudPets.

Il presidente della BNA, Jochen Homann, ha detto che “l’ambiente dei bambini va protetto”, anche perché una ricerca di un’associazione di difesa dei consumatori norvegese ha scoperto che molti di questi smartwatch non hanno alcuna protezione informatica e quindi possono essere abusati facilmente da sconosciuti per pedinare i bambini, parlare con loro di nascosto e scattare foto.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Google Home Mini: mettersi un microfono aperto in casa non è mai una buona idea

Google Home Mini: mettersi un microfono aperto in casa non è mai una buona idea

Il nuovo Home Mini di Google è un piccolo altoparlante “smart” che si collega a Internet e da lì ai servizi del grande motore di ricerca, consentendo di ascoltare musica, comandare dispositivi domotici, fare chiamate e chiedere informazioni tramite il suo microfono incorporato, che consente di dargli comandi vocali.

Un gingillo accattivante, ma come tutti gli oggetti dell’Internet delle Cose ha qualche problemino di privacy: il giornalista Artem Russakovskii ne ha ricevuto un esemplare da recensire e si è accorto che si attivava anche se non gli veniva chiesto di farlo, come il giornalista ha documentato in un video.

Esaminando i log del dispositivo si è accorto che per due giorni il Mini aveva registrato tutti i suoni che aveva rilevato, invece di limitarsi a registrare quelli pronunciati dal giornalista dopo la frase di attivazione “OK Google”.

In pratica, il Mini aveva ascoltato, registrato e trasmesso a Google tutto quello che era successo in casa.

Il giornalista ha contattato Google chiedendo chiarimenti e l‘azienda ha risposto che si era trattato di un malfunzionamento dovuto a un difetto fisico del pannello sensibile al tatto, quello che consente gli utenti di attivare la registrazione manualmente in alternativa alla pronuncia della frase di attivazione. Il difetto riguarda solo gli esemplari di prova per le recensioni e Google ha disattivato l’opzione di attivazione tramite il pannello tattile difettoso.

Ma il problema di fondo rimane: questo dispositivo di Google, come tutti gli altri del suo genere che rispondono ai comandi vocali (per esempio Echo di Amazon, certe “smart TV” e Siri), deve per forza avere un microfono costantemente attivo e in ascolto, in modo da poter reagire quando l‘utente pronuncia la frase di attivazione. Quando questo avviene, i suoni successivi devono essere registrati e inviati ai server della casa produttrice (in questo caso a quelli di Google), perché è lì che vengono analizzati, decifrati, eseguiti e custoditi: non viene effettuata alcuna elaborazione locale. In questo caso il difetto di fabbricazione ha fatto in modo che a Google arrivasse per errore tutto quello che veniva detto nell’abitazione.

Non so voi, ma l’idea di mettermi in casa, a spese mie, un microfono connesso a Internet che ascolta tutto quello che dico e capta anche i rumori delle altre attività che avvengono tra le mura domestiche continua a sembrarmi spettacolarmente stupida. Specialmente se si considera che tutto questo viene fatto semplicemente per evitare all’utente di dover premere un semplice pulsante di attivazione del microfono.

Giusto per capirci: considerate che Russakovskii aveva installato il suo Google Home Mini in bagno.



Fonte: Naked Security.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Mr. Robot, finalmente realismo nell’hacking televisivo

Mr. Robot, finalmente realismo nell’hacking televisivo

Ultimo aggiornamento: 2017/10/23 8:00.

È iniziata da poco la terza stagione della serie televisiva Mr. Robot, che è oggetto di culto fra gli informatici non solo per la trama, tutta incentrata sull’hacking e sulle sue conseguenze negative e positive, ma anche per una caratteristica che la differenzia completamente da quasi tutte le altre serie TV che parlano d’informatica: il realismo estremo delle tecniche di hacking utilizzate nel racconto.

Senza fare spoiler, nella prima puntata di questa terza stagione viene mostrata la ricerca di un bersaglio informatico usando un motore di ricerca apposito, Shodan, che non è un’invenzione della serie TV ma esiste realmente (presso Shodan.io) e consente davvero di effettuare questo genere di scansione di tutta Internet. Basta creare un account gratuito e si ha accesso, per esempio, alle telecamere di sorveglianza incautamente connesse a Internet senza protezioni. Shodan non fa altro che collezionare i loro annunci pubblici di presenza in Rete.

Ma si può fare anche di più: digitando title:”hacked by” nella casella di ricerca di Shodan si possono elencare i server web che sono stati violati negli ultimi giorni (Shodan indica lo stato di un sito com’era al momento della sua scansione; nel frattempo il sito può essere stato ripristinato) se l’intruso vi ha lasciato la propria “firma”, che di solito è appunto “hacked by” seguito dal nome di battaglia.

Questi elenchi possono anche essere filtrati per nazione aggiungendo country: seguito dalla sigla della nazione che interessa, messa fra virgolette e senza spazi dopo il due punti (per esempio  country:”IT”, come mostrato qui sotto).

In Mr. Robot, Shodan viene usato per esempio per cercare i server della malefica multinazionale di fantasia che sta al centro della trama della serie, la E-Corp, che gli hacker protagonisti chiamano Evil Corp. Il bello è che non solo il comando usato dal protagonista (org:”Evil Corp” product:”Apache Tomcat”) usa una sintassi reale e consente di trovare davvero i server di una qualsiasi organizzazione, ma funziona davvero e porta realmente ai siti web della E-Corp.

I produttori della serie, infatti, hanno creato dei siti web funzionanti che fingono di essere la E-Corp. Se non volete tribolare con Shodan, potete trovarne uno (con tanto di schermata di login per “dipendenti” presso www.e-corp-usa.com.

Se volete scoprire le mille altre chicche informatiche della prima puntata della terza stagione, leggete questo articolo di Geekwire. Buon divertimento.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Video: se la telecamera di sorveglianza di casa comincia a parlarti, hai un problema

Video: se la telecamera di sorveglianza di casa comincia a parlarti, hai un problema

Ho parlato spesso del rischio che un dispositivo collegato alla rete informatica domestica possa essere sfruttato dagli aggressori. Ma un conto è la teoria, un altro è vedere le cose la pratica.

Una donna olandese, Rilana Hamer, ha pubblicato su Facebook un video (attenzione: contiene turpiloquio in inglese) nel quale mostra che la sua telecamerina di sorveglianza via Internet, che aveva comprato per tenere d’occhio il suo cagnolino mentre lei è fuori casa, ha cominciato a muoversi da sola e a parlarle.

Rilana racconta di essere tornata a casa e di aver sentito una voce proveniente dalla telecamera, che si rivolgeva a lei in francese, dicendole “Bonjour madame”. Si è spaventata così tanto che ha scollegato la telecamera dall’alimentazione e l’ha chiusa in una scatola.

La donna pensava di essere impazzita, ma ha raccontato l’episodio a un amico e ha deciso di ricollegare la telecamera per documentare in video il fenomeno. Puntualmente sono ritornate le voci.

Questo genere di attacco avviene perché molte di queste telecamerine di sorveglianza contengono software difettoso e non aggiornato e vengono spesso installate senza cambiarne le password di accesso predefinite. Molti utenti non sanno che una telecamera connessa a Internet è rilevabile da chiunque con gli appositi motori di ricerca (come Shodan.io) e quindi è un bersaglio facile per ficcanaso e burloni.

La donna, giustamente, si chiede “Che cosa ha visto di me questa persona? La mia casa, le mie cose personali…la mia privacy”. Prima di installare in casa dispositivi come questi, insomma, pensiamoci bene e dedichiamo qualche minuto a leggere il manuale d’istruzioni per cambiare le password predefinite e scaricare gli aggiornamenti del software di controllo.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Anche Porsche offrirà auto aggiornabili e con opzioni da sbloccare via Internet. È l’era dell’app-tomobile

Anche Porsche offrirà auto aggiornabili e con opzioni da sbloccare via Internet. È l’era dell’app-tomobile

Al recente Salone dell’Auto di Francoforte, il presidente del consiglio di amministrazione di Porsche, Oliver Blume, ha fornito nuovi dettagli sulla Mission E, l’auto sportiva interamente elettrica presentata come concept due anni fa: sarà in vendita, ha detto, entro la fine del 2019.

L’aspetto informaticamente interessante è che l‘auto sarà aggiornabile via Internet e alcune sue funzioni saranno fisicamente installate ma sbloccabili solo a pagamento, esattamente come succede per le app dei telefonini o per le applicazioni per computer.

Porsche non è l’unica a proporre auto aggiornabili senza portarle in officina: General Motors dice di volerlo fare entro il 2020, e Ford lo ha già fatto quest’anno per aggiornare i modelli del 2016, anche se in entrambi i casi si tratta di aggiornamenti che riguardano soltanto i sistemi di infotainment (informazione e intrattenimento, in pratica radio e lettore musicale/video).

Tesla, invece, da alcuni anni aggiorna le proprie auto via Internet anche negli aspetti più vitali, migliorando le prestazioni e aggiungendo funzioni (qui una cronologia). Di recente, in occasione degli uragani che hanno colpito la Florida, la casa automobilistica ha dato una dimostrazione molto eloquente della potenza di questo metodo di aggiornamento aggiungendo via Internet di colpo circa 60 chilometri di autonomia a tutti gli esemplari residenti in Florida di alcuni particolari modelli delle sue auto (S/X 60 e 60D), che avevano una batteria limitata via software e che per questo erano stati venduti a prezzo ridotto con l’opzione di pagare in seguito un importo aggiuntivo per sbloccare l’autonomia supplementare.

Questo sblocco gratuito, diffuso via Internet e rete cellulare, è però temporaneo, allo scopo di facilitare l‘evacuazione a chi ha deciso di allontanarsi dalla zona, e così come è stato attivato potrà essere revocato. L’aggiornabilità da remoto è un potere a doppio taglio, insomma: in teoria un aggiornamento potrebbe anche ridurre le prestazioni o revocare l’autorizzazione a usare l’auto, anche se questo creerebbe un pasticcio legale non trascurabile.

C’è chi s’inquieta all’idea di un’auto che si aggiorna da sola, forse perché pensa a Windows che decide di aggiornarsi nei momenti meno opportuni e teme di trovarsi appiedato di colpo mentre viaggia, ma gli aggiornamenti software delle auto non funzionano così, per fortuna: avvengono solo quando l’automobile è ferma, devono essere avviati dal proprietario, e se per caso non vanno a buon fine l’auto torna automaticamente alla versione precedente.

Cosa più importante, gli aggiornamenti over the air (OTA, via etere) riducono i costi di gestione e permettono di raggiungere rapidamente tutte le auto interessate, senza doversi affidare alla buona volontà e alla competenza dell’automobilista, che con i sistemi tradizionali deve trovare il tempo di portare l’auto in officina oppure deve ricevere una chiavetta USB contenente l‘aggiornamento e poi installarlo.

Anche la prospettiva di avere un’auto sempre connessa alla Rete, toglie il sonno ad alcuni automobilisti, timorosi che il loro veicolo venga attaccato dai criminali informatici, come accade per altri dispositivi connessi: ma questi aggiornamenti servono proprio a chiudere le falle di sicurezza che altrimenti rimarrebbero aperte per sempre, come avviene oggi per webcam e altri dispositivi dell’Internet delle Cose. Queste falle, olltretutto, sono presenti anche nelle auto non aggiornabili via etere (che quindi resteranno vulnerabili).

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Attacco informatico al casinò tramite.... l’acquario?

Attacco informatico al casinò tramite…. l’acquario?

Il Comandante Adama di Battlestar Galactica aveva capito tutto: le interconnessioni fra computer sono un tallone d’Achille.

La CNN racconta uno dei casi più bizzarri di attacco informatico degli ultimi tempi, messo a segno sfruttando un’interconnessione decisamente inconsueta: un acquario.

Un casinò situato in America settentrionale, di cui non è stato reso noto il nome, è stato oggetto di un’incursione informatica mirata a rubare dati. Per aggirare la sicurezza informatica del casinò, gli aggressori hanno attaccato il suo acquario smart, che era connesso a Internet per nutrire automaticamente i pesci e mantenere le condizioni ambientali adatte per i suoi ospiti.

Purtroppo l’acquario non era ben protetto informaticamente, per cui gli aggressori ne hanno preso il controllo e poi hanno usato i suoi sistemi e le sue connessioni per accedere alla rete informatica interna del casinò, trovare altri sistemi vulnerabili e penetrare più a fondo nella rete. Hanno poi utilizzato l’acquario anche per trasmettere verso la Finlandia i dati rubati, perlomeno finché non sono stati scoperti e bloccati.

Morale della storia: mai collegare a Internet dispositivi che non siano strettamente indispensabili. E se proprio sono indispensabili, collegarli usando una rete separata.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.