Vai al contenuto
Le parole di Internet: googledork grafico, ossia come trovare scansioni di documenti personali online

Le parole di Internet: googledork grafico, ossia come trovare scansioni di documenti personali online

Non è la prima volta che parlo di googledork nelle Parole di Internet: lo avevo fatto nel 2013, spiegando che significa in sostanza usare Google come strumento per scoprire
vulnerabilità in servizi accessibili via Internet oppure per trovare documenti contenenti informazioni sensibili che non dovrebbero essere visibili via Internet ma in realtà lo sono.

Google, infatti, esplora a fondo ogni sito che gli capita a tiro, ma purtroppo molte persone non se ne rendono conto e quindi depositano documenti in una cartella del proprio sito web pensando che se nessuno ne conosce l’indirizzo esatto non li potrà trovare nessuno.

Ma Google quell’indirizzo lo conosce, se la cartella è pubblicamente accessibile, e quindi basta cercare in Google certe parole chiave, come password, specificando di fare la ricerca nei documenti Excel o Word, e salta fuori davvero di tutto, come si è visto su questo blog nei giorni scorsi: la password dell’intranet di un partito politico italiano, le istruzioni europee per richiedere certificati per corrieri fiduciari, una password di un server della Regione Veneto, una password del Touring Club Italiano. Altri esempi sono in arrivo.

Si tratta soltanto di fare ricerche in Google appositamente confezionate, per cui non si interagisce affatto con il sito incauto: si consulta la copia cache presente in Google.

Torno oggi sull’argomento googledork per segnalare una variante resa possibile dall’avvento della possibilità di fare ricerche per immagini nei principali motori di ricerca: il googledork grafico. Si può infatti dare per esempio a Google un’immagine di un modulo o di un documento d’identità e Google restituisce tutte le immagini dello stesso tipo che ha visto in giro in tutto il Web, indicandone la provenienza. 

Il risultato è impressionante e deprimente: decine di siti che custodiscono (si fa per dire) scansioni di documenti personali, istantaneamente disponibili su Google. Mostro qui sotto un assaggio, segnalatomi da una fonte che non posso citare (perché ha pubblicato la versione non anonimizzata) ma che ringrazio:

Sono troppi per contattarli uno per uno e avvisarli del problema, e quindi resteranno così, a disposizione del primo googledorker che passa. Molte di queste immagini sono nei siti di enti pubblici. Ricordiamoci di questa disinvoltura nel custodire i nostri dati personali quando qualcuno ci chiede di identificarci online mandando i nostri documenti ai social network.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Le parole di Internet: smishing

Le parole di Internet: smishing

Smishing deriva da SMS e phishing: è la tecnica d’inganno informatico che consiste nell’ottenere informazioni personali mandando alla vittima un SMS appositamente confezionato, che usa spesso tecniche psicologiche per indurre la vittima a rispondere.

Nell’esempio qui accanto, il messaggio fa leva sulle angosce sanitarie per spingere la vittima a cliccare sul link, dove l’aspetta probabilmente una finta pagina delle autorità che le chiederà informazioni personali utili per estorsioni, ricatti o furti di denaro.

Un altro esempio è un messaggio che sembra provenire dalla vostra banca, o da un servizio di pagamento online, e vi invita a scaricare la nuova versione dell’app di sicurezza, che in realtà è un’app creata dai truffatori e nella quale la vittima immetterà le proprie credenziali, dandole così ai criminali.

Mycard.ch ha pubblicato un avviso sul problema dello smishing che spiega bene che “I messaggi di questo genere devono essere ignorati e cancellati senza
che vi sia alcuna interazione con il mittente. Nessuna banca invia ai
propri clienti un SMS di questo tipo senza che vi sia una specifica
richiesta a monte. Allo stesso modo non userebbe mai un SMS per spedirvi
un link relativo all’e-banking.”

Il sito pubblica anche cinque regole di protezione:

1. Non cliccate mai su un link che avete ricevuto tramite un messaggio di testo inviato da un numero sconosciuto o da un’azienda con cui non avete nulla a che fare. 

2. Verificate sempre il numero del mittente con occhio critico. Se effettuate una breve ricerca online sul numero sospetto, spesso potete scoprire che si tratta di un numero sconosciuto utilizzato con intenti fraudolenti. 

3. Domandatevi sempre se un SMS sia la forma di comunicazione appropriata in quella situazione specifica. Non capiterà mai che, in caso di problemi, un istituto finanziario o un rivenditore online, ad esempio, vi chiedano tramite SMS di fornire i vostri dati. 

4. Diffidate in partenza messaggi da cui si evince una particolare urgenza (subito o urgentemente) e in cui vi viene chiesto di inserire i vostri dati personali. 

5. Se ricevete un SMS non in risposta a una vostra richiesta da un’azienda che apparentemente conoscete, contattatela tramite un altro canale e informatevi sull’autenticità della richiesta. 

Da parte mia aggiungo di non fidarsi del numero del mittente, che è estremamente facile da falsificare.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Quando un attacco informatico causa scottature: cryptojacking

Quando un attacco informatico causa scottature: cryptojacking

Ho già parlato del cryptojacking in altre occasioni, ma è la prima volta che sento di un caso di cryptojacking che causa scottature fisiche.

Il cryptojacking è un tipo di aggressione informatica che prende il controllo del computer o del dispositivo digitale della vittima per fargli fare i complessi calcoli matematici che servono a generare criptovalute. In altre parole, i criminali usano il vostro computer o telefonino per arricchirsi. Loro guadagnano, voi pagate sotto forma di bolletta elettrica più salata e invecchiamento prematuro della batteria o dei componenti del computer.

Ma la BBC segnala un caso che è sfociato in una vera e propria scottatura fisica: Abdelrhman Badr, un gamer diciottenne di Sheffield (Regno Unito), stava giocando a un videogioco sul proprio computer quando gli si è spento tutto. Ha guardato dentro il computer per vedere cos’era successo, e ha toccato istintivamente uno dei suoi componenti. La scheda grafica era così rovente che gli aveva scottato le dita.

Qualcuno era riuscito a installare nel suo computer un programma che ne usava le risorse, in particolare la scheda grafica (che ha dei processori molto potenti), per fare i calcoli che servono a generare la criptovaluta Monero. Badr se n’è accorto installando un programma di monitoraggio delle attività del proprio computer.

I sintomi tipici di un computer o smartphone affetto da cryptojacking sono una temperatura insolita dei componenti, ventole che girano molto velocemente anche quando non si sta facendo nulla di impegnativo sul computer e un rallentamento generale delle prestazioni. La prevenzione si fa installando un buon antivirus ed evitando di installare software di provenienza incerta.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Le parole di Internet: supremazia quantistica

Le parole di Internet: supremazia quantistica

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2019/09/27 20:40.

Si parla molto, in questi giorni, di un presunto annuncio da parte di Google di aver raggiunto un traguardo molto importante nell’informatica: la cosiddetta supremazia quantistica.

Si tratta di un annuncio presunto perché il Financial Times dice (paywall) di aver visto su un sito della NASA un articolo tecnico di Google, successivamente ritirato, nel quale i ricercatori dichiarano che Sycamore, uno dei computer quantistici sperimentali di Google, sarebbe riuscito a effettuare un particolare e complicatissimo esperimento di campionamento statistico che il supercomputer più potente del mondo, Summit, impiegherebbe circa diecimila anni a svolgere. Sycamore ci sarebbe riuscito in soli tre minuti e venti secondi.

Ed è questo il significato di “supremazia quantistica”: la capacità, da parte di un computer quantistico, di risolvere problemi che sarebbero in pratica impossibili da affrontare con i computer tradizionali. Secondo l’articolo, si tratterebbe del primo caso di un calcolo effettuabile soltanto su un processore quantistico. Se così fosse, sarebbe una vera e propria rivoluzione informatica. Problemi finora intrattabili, per esempio in campo medico, fisico o crittografico, diventerebbero improvvisamente gestibili.

Il problema è che questo articolo è stato appunto ritirato e rimosso, anche se numerose copie restano in circolazione (per esempio qui), e ci sono opinioni esperte
che smentiscono la sua rivendicazione di supremazia, dicendo che Sycamore è progettato per risolvere un singolo problema e quindi non è un computer quantistico generalista.

Staremo a vedere: ma è comunque chiaro che i computer quantistici non sono più un concetto da fantascienza.

Maggiori dettagli sono in questo articolo di Scott Aaronson.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Gli esilaranti “glitch” di Assassin’s Creed: Unity

Gli esilaranti “glitch” di Assassin’s Creed: Unity

In informatica, un glitch è un errore minore all’interno di un software: un difetto che causa poco disagio e non interferisce con il funzionamento generale dell’applicazione.

Quando il software è un videogioco, il glitch ha una caratteristica in più: diventa spesso comico, specialmente se coinvolge la parte grafica.

È il caso, per esempio, di Assassin’s Creed: Unity, dove un glitch nella visualizzazione dei personaggi (rendering) ogni tanto “dimentica” di visualizzare il volto e quindi fa comparire soltanto occhi fuori dalle orbite, denti e gengive, e pezzetti di pelle apparentemente a casaccio. L’effetto comico-horror involontario è garantito, come potete vedere nell’esempio qui sopra. Ma non è l’unico: come segnala e mostra Kotaku, ci sono personaggi che rimangono bloccati a mezz’aria mentre corrono, altri che si piegano e contorcono in modi anatomicamente impossibili, e capelli che diventano spine d’istrice. Inoltre ogni tanto i personaggi nelle scene di massa si mettono a fare movimenti senza senso che sembrano balletti decisamente fuori luogo.

Ubisoft dice di aver risolto il problema con un aggiornamento e che comunque il glitch si manifestava soltanto nella versione su PC con due specifiche schede grafiche. Secondo Eurogamer, è inoltre in arrivo un aggiornamento per altri problemi di prestazione che hanno afflitto Assassin’s Creed: Unity. E così questo glitch grafico diventerà storia passata e resterà soltanto nelle immagini e nei video catturati e pubblicati dai giocatori.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Le parole di Internet: Warshipping

Le parole di Internet: Warshipping

Il prefisso war- (letteralmente “guerra”) è molto popolare in informatica per indicare le tecniche di attacco. Da tanti anni esiste il wardialing: l’uso di strumenti informatici per comporre numeri telefonici in modo massiccio e intensivo, per esempio per fare la scansione di un blocco di numeri e scoprire a quali rispondeva il pigolio di un fax o di un modem.

Il wardialing era particolarmente popolare sui numeri verdi, perché non costava nulla e si scoprivano cose interessanti, come il numero verde italiano dell’FBI. O perlomeno un numero verde al quale una voce molto professionale rispondeva dicendo “FBI headquarters”. Ho riappeso senza approfondire.

Con l’avvento del Wi-Fi è nato il wardriving: la tecnica di girare per le vie di una città, di solito in auto, o nelle vicinanze di un’azienda bersaglio con un laptop dotato di software che cerca le reti Wi-Fi aperte (senza password) e ne registra i nomi e le coordinate. Nel lontano 2006 un wardriving in giro per Lugano fu uno dei miei primi servizi per la Radiotelevisione Svizzera. Questo genere di scansione si fa non solo per motivi ostili ma anche per sensibilizzare l’utenza al rischio di lasciare accesso libero a tutti, e infatti oggi trovare un Wi-Fi senza password è raro.

Ora arriva un termine nuovo: warshipping. Lo ha coniato il gruppo di hacking X-Force di IBM, nel corso della conferenza Black Hat che si sta tenendo a Las Vegas, e descrive una variante del wardriving.

Il wardriving ha il difetto che la scansione va fatta aggirandosi nei dintorni del bersaglio o per una città, e questo può dare nell’occhio e non consente di entrare negli edifici per scoprire Wi-Fi interni vulnerabili non captabili da fuori. Soluzione: usare la posta.

Il warshipping (“spedizione ostile”) consiste infatti nello starsene comodamente a casa, magari addirittura in un altro paese, ma spedire per posta all’azienda bersaglio un pacco contenente tutto il necessario per effettuare la scansione delle reti Wi-Fi interne. Con l’elettronica di oggi, questo significa un oggetto composto da una batteria da telefonino, da un piccolo processore e da un trasmettitore Wi-Fi e 3G, che costa meno di cento dollari.

Essendo spedito per posta, magari all’attenzione di qualche dipendente di cui si è scoperto il nome con una banale ricerca su LinkedIn o nell’organigramma pubblicato sul sito aziendale, il dispositivo di warshipping viene accolto all’interno dell’azienza e vi rimane alcune ore prima di essere consegnato. Se poi il dispositivo è nascosto in un doppio fondo della scatola di consegna, la scatola può rimanere in azienda a lungo prima di essere smaltita.

Durante queste ore il dispositivo può rilevare tutte le reti Wi-Fi interne e ascoltarne il traffico, mandandone i dati all’aggressore tramite la rete cellulare. Il dispositivo può anche creare una rete Wi-Fi il cui nome è identico a quello della rete aziendale vera e convincere i dipendenti a collegarsi alla rete falsa dando le proprie password di accesso, e il gioco è fatto. A quel punto gli aggressori possono sferrare un attacco profondo e persistente.

Come si mitiga questo rischio? Lo spiega SecurityIntelligence: fra le sue sette raccomandazioni spiccano quelle di non accettare che i dipendenti ricevano pacchi in ufficio oppure di tenere ogni pacco in arrivo in un’area sicura dell’azienda, trattandolo come se fosse un visitatore esterno, e di educare i dipendenti a non connettersi a reti Wi-Fi che si comportano in modo anomalo.

Fonti aggiuntive: The Register, TechCrunch.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Le parole di Internet: shadowban

Le parole di Internet: shadowban

Praticamente tutti conoscono il significato di ban, con il suo verbo derivato bannare: vuol dire essere estromessi da un forum, da una rete di gioco o da un social network.

Ma il termine shadowban è un po’ meno conosciuto: è una forma di ban nella quale l’utente non viene bandito formalmente da un sito, avvisandolo di questo fatto, ma quello che scrive viene reso silenziosamente invisibile agli altri utenti.

Il risultato è che un utente può essere colpito da uno shadowban senza rendersene conto, perlomeno finché qualcuno non gli chiede che fine ha fatto o come mai non pubblica più nulla.

I complottisti spesso lamentano di essere colpiti da uno shadowban, ossia di essere volutamente nascosti e oscurati dai “poteri forti”, per cui lo shadowban è spesso ritenuto un parto della fantasia di un paranoico, ma in alcuni casi il fenomeno è reale.

Se volete saperne di più, l’apposita pagina di Wikipedia in italiano è un buon punto di partenza.

Molti social network, come Instagram o Twitter, sono stati accusati di praticare lo shadowbanning; Twitter ha negato pubblicamente di adottarlo e ha dichiarato che si tratta di interpretazioni errate, da parte degli utenti, di alcune sue regole interne di moderazione e filtraggio di comportamenti non accettabili.

Se volete provare se il vostro account Twitter è stato shadowbannato (perdonatemi l’orrido neologismo), usate Shadowban.eu: basta immettervi il nome del vostro account Twitter e attendere qualche secondo intanto che Shadowban.eu effettua una serie di test. Cliccando sui risultati di ciascun test si ottiene una breve spiegazione.

Se scoprite di essere shadowbannati, lamentarsi è inutile: è più costruttivo capire quali sono stati i comportamenti che hanno portato a questa situazione ed evitarli in futuro. Non è giusto, secondo molti, ma è così.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Le parole di Internet: adversarial attack

Le parole di Internet: adversarial attack

Fonte: Wired.

Noi abbiamo le illusioni ottiche, i computer hanno gli adversarial attack: è questa l’espressione che indica in informatica un contenuto (un’immagine, un video, un suono o un malware) che noi riconosciamo senza problemi ma confonde i sistemi di riconoscimento automatico. 

L’immagine qui accanto, per esempio, viene riconosciuta dalle persone senza alcun problema: sono due uomini in piedi, su una distesa innevata, in posa mentre sciano. Ma il sistema di riconoscimento delle immagini Google Cloud Vision, spiega Wired, lo ha identificato con il 91% di certezza come un cane.

Trovate altri esempi qui: è particolarmente notevole il gatto scambiato per del guacamole. E se volete quelli acustici, divertitevi qui.

È insomma chiaro che i sistemi di riconoscimento automatico per ora “pensano“ in maniera molto diversa dagli esseri umani: non avendo conoscenza del mondo fisico, ragionano soltanto sui pixel e non possono valutare cose come il contesto o la plausibilità di un’immagine o di un suono.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Le parole di Internet: petabyte

Questo articolo era stato pubblicato inizialmente il 10/05/2013 sul sito della Rete Tre della Radiotelevisione Svizzera, dove attualmente non è più disponibile. Viene ripubblicato qui per mantenerlo a disposizione per la consultazione.


Petabyte
(PB). Un milione
di miliardi di byte, ossia 1000 terabyte. Oggi è normale acquistare
in negozio un disco rigido da 1 terabyte: immaginate mille di questi
dischi e avrete un petabyte. Ma a cosa equivale un numero così
enorme di dati? Ecco qualche esempio.

In un
petabyte si possono immagazzinare circa 13 anni di video in alta
definizione. Tutte le foto presenti su Facebook occupano circa 1
petabyte e mezzo. Tutto quello che è mai stato scritto dall’umanità,
in tutte le lingue, in tutto l’arco della storia, ci sta in circa
50 petabyte, ed esistono già sistemi commerciali in grado di offrire
questo tipo di capienza.

Google tratta
circa 24 petabyte di dati ogni giorno sin dal 2009. L’operatore
telefonico statunitense AT&T trasmette circa 30 petabyte di dati
ogni giorno sulla propria rete. Gli esperimenti dell’LHC generano
circa 15 petabyte l’anno e la ricerca del bosone di Higgs ha
accumulato presso il CERN circa 200 petabyte di dati. E il cervello
umano? Si attesta a circa 2,5 petabyte, secondo alcune stime.

I petabyte si
usano anche nel mondo dei videogiochi: World of Warcraft ne usa poco
più di uno per la propria gestione. Nel cinema, Avatar
occupava circa 1 petabyte di dati sui computer della Weta Digital
durante la generazione degli effetti speciali. Megaupload conteneva
circa 28 petabyte di dati degli utenti al momento della sua chiusura
nel 2012. Anche Microsoft consuma petabyte come se fossero
noccioline: la migrazione di Hotmail verso Outlook.com ha richiesto
il trasferimento di oltre 150 petabyte di dati degli utenti nel corso
di un mese e mezzo. Una unità di misura che sembra fantascienza fino
a pochi anni fa è oggi la norma.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Una volta per tutte: che differenza c’è fra “geek” e “nerd”?

Una volta per tutte: che differenza c’è fra “geek” e “nerd”?

È un tormentone: dici “sei un nerd” e ti rispondono “no, sono un geek”: ma qual è la differenza? La questione in Rete è talmente dibattuta – in classico stile nerd o geek che dir si voglia – che esistono persino studi statistici sul reale significato di queste parole, come quello segnalato da Popular Science, e non può mancare la vignetta di XKCD.

“La differenza tra geek e nerd non è ovvia neanche per chi è di madrelingua inglese: molti dizionari li considerano sinonimi”, nota Licia Corbolante su Terminologia (anche qui), ma in Rete si trovano guide come quella di Wikihow (in italiano), dalla quale cito la differenza saliente: le capacità sociali.

Un geek ha capacità sociali nella norma, anche se può avere la tendenza a essere pretenzioso e prolisso, soprattutto quando l’argomento cade sulla loro passione. A quel punto, potrebbero non lasciarti andare finché non hanno spiegato esattamente come funziona quel dispositivo, e tutta la storia dietro la sua creazione. Un nerd generalmente è più introverso. Potrebbe essere altrettanto esperto su un argomento, ma può essere difficile convincerlo a parlarne.

Terminologia concorda con questa distinzione basata sulla capacità di interagire socialmente e propone una classificazione particolare: “una differenza tra geek e nerd è che i primi sarebbero individui fissati con particolari attività o cose e i secondi sarebbero una sottospecie di geek, spesso socialmente imbranati e focalizzati soprattutto su materie scientifiche, come matematica e informatica”.

Il successo di serie TV come Big Bang Theory consente di illustrare molto chiaramente questo tipo di differenza: per esempio, Sheldon Cooper, essendo socialmente a disagio e ossessivamente appassionato di argomenti scientifici, è più nerd che geek, mentre i suoi amici, in particolare Leonard, che sono socialmente più integrati, sono più geek che nerd. E voi come vi sentite?

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.