sicurezza informatica – Pagina 2

Dati a spasso: elenco clienti assicurativi leggibile e modificabile da chiunque (aggiornamento: caso forse risolto)

2023-02-02
di Paolo Attivissimo
dati a spasso, disastri informatici, privacy, sicurezza informatica

Ultimo aggiornamento: 2023/01/02 10:15. L’articolo è stato riscritto per
tenere conto degli aggiornamenti e per fornire un contesto più ampio.

Quasi sempre i criminali informatici vengono immaginati e rappresentati come
maghi della tastiera che sanno scovare e rubare qualunque dato digitale usando
tecniche di penetrazione sofisticatissime, ma spesso queste tecniche non sono
affatto necessarie, perché i dati sono stati messi maldestramente a
disposizione del primo che passa e sono accessibili via Internet da chiunque
abbia una minima capacità informatica.

Per esempio, pochi giorni fa mi è arrivata in via confidenziale la
segnalazione di un sito aperto a chiunque che contiene quello che sembra
essere un elenco di dati assicurativi di clienti italiani, probabilmente della
zona di Chieti. Nomi, cognomi, indirizzi, codici fiscali, dettagli delle
polizze assicurative, e altro ancora.

Ma soprattutto contiene una voce dell’elenco che non è un nome e cognome di
cliente ma è un avviso:
“Buongiorno questo database è accessibile a chiunque via Internet”,
tutto in maiuscolo. Segno che qualcuno ha già trovato questo archivio, si è
accorto che è non solo leggibile da chiunque ma è anche modificabile da
chiunque, e ha pensato di lasciare un cordiale ma ben visibile avviso.

Trovare queste perle non è difficile. Esistono motori di ricerca appositi,
come Shodan, che ho citato tante volte qui
e che fanno la stessa cosa che fa Google, ossia esplorano e catalogano tutta
Internet, e prendono nota dei siti che hanno degli accessi non protetti. È
sufficiente sfogliare uno di questi motori di ricerca per trovare di tutto:
telecamere di sorveglianza accessibili, server leggibili e scrivibili da
chiunque, e pagine Web come questa. Esattamente come con Google, è sufficiente
immettere le parole chiave giuste.

E a proposito di Google, molto spesso questi siti vulnerabili sono catalogati
anche da Google, appunto, anche se trovarli in questo modo richiede molta più
fatica. Infatti nel caso che mi è stato segnalato, il sito contenente
l’archivio di dati personali di assicurati italiani è non solo reperibile in
Google ma è anche nella sua cache, ossia nella copia temporanea che
Google fa di tutti i siti che visita. Questo vuol dire che i dati saranno
accessibili, almeno in parte, anche per qualche tempo dopo che il sito
lasciato incautamente aperto sarà stato finalmente messo in sicurezza.

Qualche giorno fa ho contattato via mail quella che credo sia la ditta
responsabile, la cui identità è trovabile frugando pazientemente in dettaglio nei dati e
documenti pubblicamente accessibili. Mentre attendevo la risposta, ho notato
che l’archivio non risultava più pubblicamente accessibile via Internet, anche
se la copia cache è tuttora presente in Google. Probabilmente l’avviso
lasciato in bella vista ha attirato positivamente l’attenzione dei
responsabili del sito. Non è una soluzione elegante, ma perlomeno è efficace.

Finora non ho ricevuto nessuna risposta formale dalla ditta in questione, ma mi è arrivato un messaggio Telegram di qualcuno che sembra parlare a nome di questa ditta e dice che si tratta di “una versione alfa non in produzione” che contiene “dati totalmente fittizi anche se costruiti coerentemente”. Non ho modo di verificare questa dichiarazione e posso solo sperare che la versione definitiva sia un po’ meno accessibile e disinvoltamente scrivibile di questa, perché provare un database lasciandolo aperto a tutti su Internet, in modo che possa essere riscritto, cancellato o devastato dal primo vandalo che passa, non è comunque una buona prassi di sicurezza informatica.

Twitter, cosa si sa del presunto furto di dati di 400 milioni di utenti e come reagire

Fonte:
BleepingComputer.

Ultimo aggiornamento: 2022/12/28 13:15.

Da alcuni giorni circola la notizia di un presunto furto di dati di 400
milioni di utenti di Twitter. Su BreachForums, un noto sito di compravendita
di dati rubati, è comparso un annuncio, a nome di un utente del sito che si fa
chiamare Ryushi, che offre dati privati di circa 400 milioni di utenti unici
di Twitter, compresi indirizzi di mail e numeri di telefono di celebrità,
politici e aziende.

Un
articolo su BleepingComputer
fornisce numerosi dettagli ulteriori. “Ryushi” dice che sta cercando di
vendere i dati a una singola persona (o a Twitter stessa) per 200.000 dollari
e in tal caso li cancellerà; se la vendita non va in porto, proverà a venderli
ripetutamente a 60.000 dollari per volta.

I dati sarebbero stati ottenuti usando una vulnerabilità di Twitter che è
stata corretta a gennaio 2022, quindi ben prima dell’acquisizione da parte di Elon Musk.

BleepingComputer ha confermato che i dati di due dei profili presenti nella
raccolta messa in vendita abusivamente sono autentici. Inoltre
almeno uno dei profili di celebrità elencati nel campione dimostrativo, quello
del noto giornalista e opinionista britannico Piers Morgan, sia stato violato,
secondo la
segnalazione
di Troy Hunt successivamente confermata da Wales Online; il furto dei dati e la violazione dell’account potrebbero essere collegati.

Fra i dati rubati ho visto account attribuiti ad alcuni politici statunitensi,
almeno un astronauta, Whoopi Goldberg, William Shatner e Anthony Daniels.

—

Cosa fare. Come consueto, anche se non siete celebrità o amministratori di account
aziendali su Twitter, consiglio di fare grande attenzione a qualunque
messaggio che parli di problemi di sicurezza riguardanti il vostro account
Twitter: potrebbe trattarsi di un tentativo di altri truffatori di rubarvi
l’account partendo da questi dati rubati, che non sono completi ma offrono un
appiglio iniziale.

Se usate su Twitter la stessa password che usate altrove, cambiatela e
smettete di adottare questa pratica pericolosissima che spiana la strada ai
ladri che vogliono prendere il controllo degli account per poi ricattare i
legittimi titolari chiedendo soldi per restituirlo. Attivate l’autenticazione
a due fattori, preferibilmente tramite app invece che via SMS.

Sottolineo che in questo caso i dati non sono stati rubati a causa degli
utenti; la fuga è dovuta unicamente a un errore tecnico di Twitter. Questo
errore, fra l’altro, potrebbe avere serie ripercussioni legali ed economiche
per Twitter alla luce delle sanzioni legate a violazioni delle leggi di
protezione dei dati personali, come per esempio il GDPR.

—

2022/12/28 13:15. Cybersecurity360.it segnala che il Garante Privacy irlandese ha aperto un’indagine.

La Mitsubishi Outlander si ruba via Wi-Fi

2022-12-01
di Paolo Attivissimo
automobili, Internet delle cose, ReteTreRSI, sicurezza informatica, Wi-Fi

Le automobili moderne sono sempre più spesso dotate di servizi online, ma la loro sicurezza a volte è davvero patetica. Ho già segnalato il caso della Nissan Leaf; ora emerge che la Mitsubishi Outlander PHEV si può rubare usando la sua connessione di controllo remoto. Come se non bastasse, è possibile localizzare tutti gli esemplari di quest’auto.

La scoperta è stata fatta e documentata dagli esperti della società di sicurezza PenTestPartners. Normalmente l’app di gestione delle auto informatizzate usa la connessione cellulare. La Outlander, invece, usa una connessione Wi-Fi, che costa meno (non ci sono spese di trasmissione dati) ma ha una portata limitata. In pratica l’auto è una postazione Wi-Fi mobile: l’app di gestione funziona solo nel raggio di questa connessione.

Primo problema: la password che protegge la connessione è troppo semplice e corta, per cui gli esperti l’hanno trovata in meno di quattro giorni di tentativi. Quattro giorni possono sembrare tanti, ma non sono un ostacolo per un ladro di professione, specialmente se l’auto è parcheggiata a lungo nello stesso posto come capita di solito, e con computer più potenti il tempo necessario per scoprire la password si può ridurre.

Secondo problema: una volta scoperta la password, decifrare i comandi usati è piuttosto facile. Gli esperti di PenTestPartners sono riusciti ad accendere e spegnere le luci, l’aria condizionata e il riscaldamento, ma soprattutto sono riusciti a disabilitare l’antifurto. Sì, questa automobile ha un antifurto disabilitabile mandando un comando via Wi-Fi.

Terzo problema: il nome della postazione Wi-Fi di tutte le Outlander segue lo schema [REMOTEnnaaaa], dove nn è in cifre e aaaa è in lettere minuscole, per cui si possono usare servizi come Wigle.net per localizzare tutte le auto di questo tipo. Il ladro, insomma, può scegliersi con comodo da casa dove andare a rubare l’auto.

Il quarto problema è forse il peggiore: la società di sicurezza dice di aver contattato privatamente Mitsubishi per avvisare della grave vulnerabilità, ma di essere stata completamente ignorata. A quel punto si è rivolta alla BBC, rendendo pubblica la falla (senza darne tutti i dettagli) e ottenendo finalmente l’attenzione della Mitsubishi.

In attesa che la casa produttrice dell’auto sistemi la vulnerabilità, gli utenti possono disaccoppiare tutti i dispositivi mobili che si sono connessi all’auto. Questo mette in standby il modulo Wi-Fi di bordo, che si riattiva soltanto premendo dieci volte di seguito il telecomando della chiave d’avviamento.

I truffatori della sedicente “assistenza telefonica Microsoft” ci hanno provato con me. Li ho registrati

2022-10-29
di Paolo Attivissimo
PodcastRSI, sicurezza informatica, truffe

Questo articolo vi arriva grazie alla gentile
donazione di
“pierandrear*”, “shaska” e “cescoca*” ed è stato aggiornato dopo la
pubblicazione iniziale.

Avete presente i truffatori che si spacciano per l’assistenza tecnica di
Microsoft e imbrogliano gli utenti dicendo loro che nei loro computer è stata
rilevata un’infezione e che per toglierla bisogna installare uno speciale
software a pagamento, che in realtà è un programma ostile che li infetta? Quei
criminali informatici che con questo pretesto si fanno dare il numero della
carta di credito della vittima per “pagare” il software di “assistenza” (che
in realtà sta infettando la vittima)?

Ebbene, ieri uno di questi truffatori ha telefonato a me, e ho registrato
quasi tutta la chiamata (mi manca solo la parte iniziale della chiamata).
L’accento della voce del criminale, che si è espresso direttamente in inglese
senza chiedermi se preferivo altre lingue, era marcatamente indiano. Il numero
di telefono del chiamante non è comparso sul mio telefono. Il rumore di fondo
era molto forte: si sentivano in sottofondo voci di altre persone che
ripetevano lo stesso copione. È chiaro che si tratta di un’organizzazione
criminale ben strutturata e non di un dilettante. Non sono stato preso di mira
personalmente: hanno semplicemente pescato a caso fra i tanti numeri di
telefono d’Europa. Ma stavolta hanno pescato il pesciolino sbagliato.

Riassumo il contenuto della telefonata (ascoltabile qui) per facilitarne la comprensione: il truffatore, con l’intonazione di chi
legge da un copione, mi ha detto che il mio computer era infetto e che poteva
andare in crash in qualunque momento, facendomi perdere tutti i file e i
documenti. Io ho chiesto cosa devo fare: lui mi ha detto che mi avrebbe
aiutato a fare un controllo che avrebbe inviato un rapporto alla loro sede
centrale d’assistenza.

Il truffatore mi ha chiesto di trovare il tasto Ctrl sulla tastiera e di
dirgli che tasto c’era accanto a Ctrl. Io ho fatto un po’ il finto tonto per
confonderlo e fargli perdere tempo, poi gli ho detto che vedevo il simbolo di
una forchetta (è il tasto Opzione del mio Mac), ma lui mi ha chiesto se c’era
un simbolo di bandiera (flag), ossia il logo di Windows.

Gli ho detto di sì. Lui mi ha chiesto di premere il tasto Windows e la lettera
R. Ho fatto finta di farlo e lui mi ha chiesto cosa io vedessi sullo schermo.
Ho improvvisato, dicendo che vedevo un avviso sullo schermo con dei messaggi
d’allarme. Lui ha proseguito imperterrito secondo copione e mi ha chiesto di
digitare le lettere che compongono la parola eventvwr e di dirgli cosa
vedevo.

Fonte:
MrInformatica.

In pratica mi ha chiesto di lanciare l’Event Viewer otto Windows, cosa
difficile da fare dato che ero davanti a un Mac. Se fossi stato a un PC
Windows, le sue istruzioni avrebbero fatto comparire inquietanti messaggi
d’errore, come ho
descritto qui
e come illustrato per esempio
qui, ma l’ho preceduto: la cosa si stava facendo lunga e non potevo perdere
altro tempo.

Gli ho detto che avevo sullo schermo un messaggio della polizia, che diceva
che la telefonata in corso veniva tracciata e intercettata. Panico e silenzio
da parte del truffatore (che improvvisamente aveva smesso di seguire il
copione).

Gli ho rivelato che avevo capito che lui e la sua banda sono dei truffatori e
che potevano andare tutti a… trovarsi un’occupazione più onesta..

Il truffatore ha riagganciato di corsa.

È importante allertare familiari, amici e colleghi dell’esistenza di questa
truffa, che viene tentata a raffica su tantissimi numeri occidentali, compresi
quelli della Svizzera: non bisogna mai obbedire alle istruzioni fornite per
telefono se non si è più che sicuri dell’identità dell’interlocutore.

Nota (2022/10/29): la
registrazione
era su Tindeck.com, che non esiste più, ed era in formato Shockwave Flash,
oggi non più supportato.

Le centomila password più usate e quindi da evitare, offerte dal National Cyber Security Centre britannico e da Haveibeenpwned.com

2021-11-27
di Paolo Attivissimo
password, PodcastRSI, ReteTreRSI, sicurezza informatica

Una volta tanto posso segnalare un archivio strapieno di password, pubblicato su Internet, senza che ci sia alcun pericolo di sicurezza informatica. Anzi, questo archivio è stato pubblicato allo scopo di aumentare la sicurezza.

Si tratta infatti della raccolta delle centomila password più popolari, classificate dal sito Have I Been Pwned (pronunciato powned) di Troy Hunt, che raccatta su Internet gli elenchi di password rubate e li analizza per vedere quali password vengono utilizzate maggiormente dagli utenti.

L’elenco è scaricabile qui presso il National Cyber Security Centre britannico.

Se una delle vostre password figura in questo elenco, la raccomandazione dell’NCSC è di cambiarla immediatamente. La ragione di questa raccomandazione così tassativa è in questo post dell’ente: in sintesi, gli aggressori sanno benissimo quali sono le password più usate e quindi tentano di entrare nei sistemi o di rubare account provando prima di tutto queste password popolari.

Certe password, fra l’altro, sono molto popolari: nelle compilation di password rubate collezionate da Troy Hunt la password 123456 è stata trovata 23 milioni di volte. Persino una password abbastanza insolita (in apparenza) come oreocookie compare oltre 3000 volte.

Elenchi come questi rafforzano la sicurezza anche in modo preventivo: possono essere infatti usati come base per delle denylist, ossia degli elenchi di password che gli utenti non possono proprio usare nel sistema informatico nel quale operano.

Queste sono le prime venti password più popolari secondo questa classifica: ci sono alcuni classici senza tempo, come le intramontabili qwerty e password, e spiccano quelle “originali” come 1q2w3e4r5t (primi cinque caratteri della prima e seconda fila di tasti).

123456
123456789
qwerty
password
111111
12345678
abc123
1234567
password1
12345
1234567890
123123
000000
iloveyou
1234
1q2w3e4r5t
qwertyuiop
123
monkey
dragon

Ministero della Salute italiano violato, password in chiaro? Primo punto della situazione

2021-11-03
di Paolo Attivissimo
attacchi informatici, hacking, sicurezza informatica, violazioni di siti

Ultimo aggiornamento: 2021/11/03 10:50.

Il 2 novembre scorso Andrea Draghetti di D3Lab ha
segnalato un annuncio, pubblicato il giorno precedente su un noto forum di hacking, secondo il
quale il sito del Ministero della Salute italiano sarebbe stato violato.

⚠️🚨🚨⚠️

“Italy’s Ministery of Healthcare hacked and Blackmails
WhiteHat”

ℹ️ A user claims to have violated the Italian Ministry
of Health (Ministero della Salute)!

😱 To prove it publishes an
extract of the Apache LOGs, that also contain CLEAR passwords and a curious
story… pic.twitter.com/ev4WjtRelz

— Andrea Draghetti 👨🏻‍💻 🎣 (@AndreaDraghetti)
November 2, 2021

L’autore della violazione ha portato come prove un estratto dei log di Apache
che fa riferimento a nsis.sanita.it e contiene login e password in chiaro (nella forma Ecom_User_ID=ID[omissis]&Ecom_Password=[omissis]).

Le prove sono accompagnate da un racconto molto
bizzarro, che accusa i tecnici del Ministero di aver falsificato delle mail a
nome di “giudici del Ministero della Giustizia” [sic] e di averle usate per minacciare
chi aveva segnalato ai tecnici la vulnerabilità del sito, per farlo tacere. Ci
sono di mezzo, secondo l’autore, anche degli accessi ai vaccini. Accusa
gravissima che al momento, sottolineo, non è confermata.

Una persona addetta ai lavori mi ha invece confermato che la violazione del sito del Ministero della Salute è reale. Un’altra fonte, in attesa di conferme, mi ha segnalato che il 13 ottobre ci sarebbe stato un reset generale delle password del sito.

Le password contenute nel dump sono di questo genere (ometto per sicurezza alcuni caratteri e gli userid corrispondenti):

FAJKSKSF***
f2a***
a2g2ga***
ads**
Acquamarina**
Vaccini.20******
Appell***
Ekibio20***
Gabriel***
Gambuzzel****
Boletus*****

Come sempre, se qualcuno ha ulteriori informazioni, il mio Signal è aperto alle
coordinate che trovate nella barra laterale di questo blog.

Qui sotto riporto pari pari il racconto bizzarro pubblicato dall’autore della violazone,
senza per questo voler dare particolare credito alla sua storia.
Segnalazioni-vanteria di questo genere sono frequentissime e spesso false; se
non avessi ricevuto una conferma della violazione da una fonte attendibile non avrei nemmeno segnalato questo annuncio.

Long story of how this happened:

I’m online writing a script for some 0’s i wanna test, here comes a contact
asking me if i could get vaccines, asks for EU, he specifically asked for
Italy.
I thought “No problem” italian devs are chimps, it will be ez if it all works
by web.
I did not think it would be THAT ez, after less than 1h i found a hole and it
took me 8 hours to have complete control over the DB’s, Linux shell with 90%
privilege (and i had 0 knowledge of the underlying infostructure or system
lmao) .
I got some credentials, gave the vaccine to my friend and started getting to
know better the system,
low and behold,
there was access to too much critical infostructure, I could’ve made people
arrested by cancelling their vaccines, i could’ve get data about shipments,
containers, anything ANYTHING healthcare related, i had access to 100%, mail
servers, bla bla bla, 100% pwned.

Due to there being too much critical info-structure and not having any fitting
operation to do with it, i decided to pay a jabber advert and find a buyer.

I get contacted by a guy,
he asks screenshots
tells me that hes starting a cyber sec company and he would like to buy it
(the access) to report it,
i tell him to not do it because in Italy they are chimps and he is only
wasting money,
he ignores me and keeps asking for the access
i sell him the accesses for 15k$ in monero
he contacts the technicians to report it, tells them his name and company
> technician tells they were not aware of the hack and it was not possible
(they were hacked from 7 days~ already, they are most surely not able to do
their job) they asked him to send proofs by email, he asks me proofs and he
forwards them to the ‘technicians’
> one day goes by, then they write to him an email asking more information
and more about a possible “partnership”
> they stop answering
> my client sends them an email asking to notify everyone (millions) as per
GDPR law of the breach,
> (the technicians department of the Ministery of Healthcare people) start
forging emails with Ministery of Justice Judges names people and they
blackmail him
1) The technicians did not lawfully oblige to disclose breaches as per GDPR
european law.
2) They blackmailed a whitehat security researcher by email with fake
names,
3) They blackmailed him on instagram (WTF)
4) They removed a page thinking it would fix the problem, instead of hiring
someone professional. they are still vulnerable.
By not going trough the official and right way, they have achieved shitting on
any law and leaving one of the most if not the most critical infostructure
vulnerable.

tl;dr
Don’t target Italian systems because they are poor retarded chimps, this poor
guy wasted 15k in hope to, since millions of people and the most critical
info-structure got hacked, he thought that by reporting it they would then
publish a statement of breach to notify the millions involved and quote his
company for notifying them.
He learned the hard way Italy is not a country but instead a mafia,
since I’ve never heard of a legit country like Germany or Denmark Ministery
being notified of a breach and blackmailing the person that let them know it
for this information to not become public.

btw i spoke with him (my customer) and he told me so today, he told me that “I
attempted writing to the Media and got no response, I attempted disclosing it
to the technicians and i got blackmailed, i got no use of this anymore i
consider my money wasted, do as you please with it”
so, take this as a reminder from a BH to both WH and BH’s onhere, don’t work
with Italy, let them be abused and die as a country, because surely they don’t
have a system that is worth defending (nor pwning).

List of the DUMP:
SAML Keys:
[omissis]

Authentication Cerfiticates:
[omissis]

[16:52] [server1.[omissis].me var] # cat accounts.log
[omissis]

Conclusion Thoughts.

The servers were vulnerable from 11+ Years already,
there was no monitoring of any kind, I did not delete any log or hidden my
access in any way as my customer had asked as he would’ve preferred to report
it and showcase there was no malicious intent, rather, just report it and get
a deal written.
There was no security, it got hacked in 8 hours.
Governative servers are rented on the same subnets, due to dumped keys, I
think it’s very much possible You could query the other DB’s, other just than
the Healthcare one, aka Police etc, so was not done since when I thought of
this i had already sold the access and he requested for no damage or further
compromise to be done.

In Italy the Tax is 40% (1-time, or 80% if you count also buying it and
reselling it), just imagine going to work 40% of your working day EVERY DAY to
pay people salary for 12 Years for them to do NOTHING, do not setup any
security, get hacked in 8h, instead of following laws and notifying everyone
go out of their way to blackmail the white hat guy.
When even the people in the state start doing unlawful things, You might start
to wonder if such state should exist.
From today I surely deem Italy no longer a state but rather a Mafia.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle
donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere
ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o
altri metodi.

Svizzera, il libretto elettronico delle vaccinazioni era un colabrodo di sicurezza informatica. Viene tuttora consigliato quando ci si vaccina

2021-05-16
di Paolo Attivissimo
coronavirus, sicurezza informatica, Svizzera

Ultimo aggiornamento: 2021/05/16 22:00.

Venerdì scorso (7 maggio) sono andato a fare la prima dose di vaccino anti-Covid
(Pfizer, se ci tenete a saperlo). Il centro vaccinazioni di Giubiasco è
facilmente accessibile in auto e con i mezzi pubblici, ben organizzato, con
personale competente, gentile e disponibile. L’attesa è stata minima e non ho
avuto effetti collaterali a parte un mal di testa e il naso un po’ chiuso per
qualche ora. La ricezione del 5G non mi è migliorata, però Bill Gates mi sta stranamente più
simpatico di prima.

L’unica pecca di tutto il procedimento è arrivata quando mi è stata consegnata
la documentazione: insieme al foglio di carta con i dati della vaccinazione
(numero di lotto, data, ora, specialista responsabile, eccetera) ho ricevuto infatti
un foglio informativo su MyCOVIDvac, il sito del
“libretto di vaccinazione elettronico” che, se desidero, dovrebbe custodire i dati
della mia vaccinazione.

Il foglio, con tanto di logo del Dipartimento Federale dell’Interno e
dell’Ufficio Federale della sanità pubblica, promette che le informazioni
“vengono memorizzate sicure e in Svizzera. Solo lei stabilisce chi può
accedere ai suoi dati protetti”. Sottolinea che
“Il libretto di vaccinazione elettronico è un documento ufficiale”.
Inoltre accenna alla possibilità che i dati del libretto costituiscano la base
per un certificato di vaccinazione internazionale. L‘uso è volontario, non obbligatorio, ma raccomandato.

Il sito da visitare, secondo il foglio, è http://www.lemievaccinazioni.ch.
È “sostenuto da l’Ufficio federale della sanità pubblica, la Commissione
federale per le vaccinazioni, l’Associazione dei medici cantonali, la
Società Svizzera di Pediatria, pharmaSuisse, e Infovac.”

Hmmm…. lemievaccinazioni.ch, dove ho già sentito questo nome? Ricordo di averne sentito parlare
nei media locali, ma al volo non mi sovviene il motivo. Una visita al sito, che
è un redirect a http://www.mycovidvac.ch, mi rinfresca molto rapidamente la memoria.

Il sito infatti annuncia di essere
“fuori servizio dal 22 marzo a causa di vulnerabilità di sicurezza […] I
dati degli utenti sono ancora disponibili e protetti […] Tutte le lacune di
sicurezza critiche identificate sono state eliminate […] La piattaforma
dovrebbe tornare online all’inizio di maggio.”

Siamo al 10 di maggio e la piattaforma non è tornata online, ma il foglio che la promuove continua a essere dato ai vaccinati.

A marzo 2021,
l’Incaricato federale della protezione dei dati e della trasparenza
ha aperto un procedimento formale contro la Stiftung Meineimpfungen, la
fondazione che gestisce questa piattaforma e che ha sede a Gümlingen, nel
canton Berna, in seguito alle segnalazioni di violazioni dei dati fatte dal
sito svizzerotedesco Republik (articolo in tedesco).

Il sito aveva infatti delle falle di sicurezza spettacolari che consentivano a
chiunque, con un po’ di competenza informatica, di accedere a
“450’000 dati inerenti allo stato vaccinale, tra cui 240’000 relativi a
vaccinazioni contro il Covid-19”. Di conseguenza il trattamento dei dati è stato interrotto, come spiegano i
media nazionali (Bluewin, anche
qui;
Admin.ch;
Swissinfo;
Corriere del Ticino;
Ticinonline;
SRF, anche
qui; RSI;
La Regione).

L’Associazione consumatori della Svizzera italiana (ACSI) ha pubblicato un
facsimile
di una lettera per consentire agli utenti di richiedere la cancellazione dei
propri dati dalla piattaforma e il rimborso del costo di registrazione presso il sito, che ammontava a 10 CHF (per trasparenza, preciso che scrivo una rubrica mensile di informatica per consumatori sulla rivista dell’ACSI, La Borsa della Spesa).

Un disastro, insomma. Una fondazione che aveva la fiducia delle autorità
federali si è rivelata un colabrodo di privacy, e proprio in un settore
delicato come quello della salute. Sulla stessa piattaforma, oltretutto,
c’erano molti altri dati sanitari altamente sensibili. Dati sanitari che
comprendevano,
scrive
Republik, anche quelli dei Consiglieri Federali Ignazio Cassis e Viola
Amherd.

Ma qual era esattamente il difetto del sito? I mezzi d’informazione sono stati
molto riassuntivi, ma Republik ha pubblicato non solo un
articolo di spiegazione
ma anche l’analisi tecnica
(in tedesco;
PDF) che ha dato il via alla vicenda. Me lo sono studiato; provo a riassumerlo, perché merita ed è davvero molto illuminante su come si fa un’indagine di sicurezza informatica in condizioni non collaborative, rispettando paletti etici e normativi molto severi.

—-

In sintesi: secondo Republik, chiunque riuscisse a identificarsi come
medico sulla piattaforma aveva accesso a tutti i dati di tutti gli
utenti: indirizzi, numeri telefonico, data di nascita, situazione vaccinale,
fattori di rischio. E li poteva alterare, per esempio assegnando a una persona
giovane e sana uno stato di rischio che le avrebbe permesso di ricevere in
anticipo il vaccino.

Brutta situazione, potreste pensare, ma per sfruttarla sarebbe stato
necessario trovare un medico corrotto. In realtà no: serviva soltanto qualcuno
che riuscisse a registrarsi come medico sulla piattaforma. I dati
necessari (un numero identificativo e un’immagine della tessera identificativa
dell’associazione medica, o un diploma) erano facilmente reperibili online (i
numeri identificativi sono pubblici e le scansioni delle tessere si trovano
senza troppe difficoltà).

In altre parole, chiunque si poteva registrare come
medico. Il processo era basato puramente sulla fiducia, senza alcun riscontro
o controllo significativo. Questo è il mio numero, questo è il mio diploma,
questa è la mia mail, mandatemi una password, grazie.

Sugli account dei medici non c’era autenticazione a due fattori, e il
token di reset delle password che veniva mandato via mail era composto
soltanto da sei caratteri e aveva il seguente formato:

https://www.meineimpfungen.ch/passwort-reset.do?token=******&usertype=SPECIALIST

Pertanto era possibile procedere per forza bruta fino a generare un token
valido: tempo stimato, con 500 tentativi al secondo, circa due ore.

Non è finita. I ricercatori hanno scoperto che se ci si accontentava (si fa
per dire) di consultare tutti i dati degli iscritti, senza volerli modificare,
era sufficiente iniziare il processo di registrazione come medico e ignorare
la mail che chiedeva di inviare un documento identificativo. A quel punto si
chiedeva il reset della password, con il classico
“Ho dimenticato la password”, che
funzionava anche sugli account non ancora validati.

A questo punto era possibile vedere tutti i dati semplicemente conoscendone
l’URL, che seguiva uno schema molto intuibile: l’ID della singola scheda
utente era semplicemente un timestamp corrispondente alla data e
all’ora di creazione dell’account del paziente-bersaglio. Era quindi
sufficiente una enumeration progressiva di tutti i possibili
timestamp per ottenere un elenco di quelli che corrispondevano a un
account.

Ciliegina sulla torta, c’era anche una possibilità di
cross-site request forgery e di
cross-site scripting che permetteva di acquisire ulteriori dati sanitari, comprese informazioni su
malattie croniche, infezioni da HIV e tumori.

Tutto questo è stato scoperto dai ricercatori facendo solo un’analisi
passiva, senza intrusioni, del sito. Se sono state commesse queste
leggerezze, è difficile escludere che ne siano state commesse altre non
rilevabili da un esame esterno.

La piattaforma dice di aver risolto tutti questi problemi, ma è da vedere se
ha risolto quello fondamentale: riconquistare la fiducia degli utenti.

—

2021/05/16 22:00. Gestire decentemente la privacy dei dati sanitari sembra essere un problema per molti: anche nel Regno Unito il sito dedicato alla prenotazione delle vaccinazioni era un colabrodo, come racconta la BBC. Immettendo nome, data di nascita e codice di avviamento postale di una persona era possibile capire se quella persona era stata vaccinata o meno e se aveva ricevuto una o due dosi. La scoperta è stata annunciata dal Guardian.

Intanto in Svizzera è emerso che uno dei sistemi di prenotazione dei test per il Covid usato nel canton Ginevra era talmente bacato che era sufficiente immettere il numero di tessera della cassa malati (una sorta di tessera sanitaria) per vedere tutti i dati della persona corrispondente (nome, cognome, indirizzo e data di nascita). Come se questo non bastasse, il sistema non aveva limiti di tentativi e quindi era possibile scoprire i dati anche tentando numeri a caso.

Se riesci a “hackerare” una Tesla, è tua: le regole della sfida

2021-04-23
di Paolo Attivissimo
bug bounty, hacking, sicurezza informatica, Tesla (auto)

Tesla offre da già qualche tempo (dal 2014) premi a chi scopre e comunica in modo responsabile le falle di sicurezza informatica nei suoi prodotti: le regole di questo bug bounty sono qui. Ha già erogato numerose ricompense e distribuito gli aggiornamenti correttivi alle proprie auto.

Ora ha alzato la posta: parteciperà alla gara di hacking Pwn2Own, in Canada, portandovi una Model 3 Mid Range (circa 44.000 dollari di listino) che verrà messa a disposizione di chi vorrà tentare di penetrarne le difese informatiche. Considerata la dipendenza fortissima delle Tesla dal software, la sicurezza di queste difese è un’esigenza fondamentale, e sfide come questa hanno già portato a migliorie importanti.

Tesla sarà l’unica casa automobilistica a partecipare a Pwn2Own. I premi per chi riesce a superare le difese della Model 3 variano da 35.000 dollari a 250.000. Il premio più basso è per chi riesce ad attaccare con successo il sistema di infotainment dell’auto; quello più alto andrà a chi avrà successo nel penetrare in uno dei tre sistemi chiave dell’auto, ossia il Gateway (gestore dei flussi di traffico interno di dati), l’Autopilot (sistema di guida assistita) e il VCSEC (sistema di sicurezza, allarme e antifurto).

Ci sono inoltre in palio 100.000 dollari per chi riesce a sbloccare le portiere scardinando le difese della chiave elettronica o dell’app di controllo dell’auto e per chi riesce ad avviare l’auto senza usarne la chiave.

Chi totalizzerà il punteggio più alto si porterà a casa non solo la ricompensa in denaro ma anche l’auto.

Fonti aggiuntive: Teslarati, Forbes, Electrek.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Mikko Hypponen (F-Secure): Internet sta andando a fuoco

2020-12-14
di Paolo Attivissimo
Edward Snowden, NSA, privacy, sicurezza informatica, social network, sorveglianza, spionaggio

Mikko ha centrato ancora una volta il problema con grande efficacia: è tempo di smetterla di fingere che tutto vada bene e che si debba continuare a suonare la musica e servire ai tavoli intanto che il locale sta prendendo fuoco. Il “locale”, in questo caso, è Internet, sfruttata come campo di battaglia dagli stati, che con suprema indifferenza spiano tutti e si attaccano a vicenda anche tra alleati europei e dai social network che sembrano sempre più lo zio un po’ troppo guardone. I fanti di questo campo di battaglia siamo noi; il bello è che ci siamo offerti volontari senza renderci conto di cosa stavamo facendo.

Ho chiesto a Hypponen il permesso di preparare una traduzione in italiano del suo discorso e la pubblicherò qui se la sua risposta sarà positiva.

Aggiornamento (2014/12/11) Ho ricevuto il permesso da Mikko, e sto preparando la traduzione.

Aggiornamento (2014/12/18): Qui sotto trovate la trascrizione integrale, con qualche piccola correzione per le papere di Mikko. Datele un’occhiata e snidate eventuali errori. Io intanto la uso per preparare la traduzione.

Aggiornamento (2014/12/27): La traduzione è pronta, grazie anche all’aiuto di mio figlio Liam; anche qui, controllatela per eventuali refusi o pasticci.

Il Beverly Hills Country Club era un nightclub e ristorante. Uno enorme. Poteva accogliere fino a tremila persone ogni sera. Persone che venivano a godersi cene a più portate e ad assistere a spettacoli di prima categoria. Il 28 maggio 1977, un diciannovenne di nome Walter Bailey stava lavorando al Beverly Hills Country Club come cameriere. Attorno alle otto, quella sera, fu fermato da un altro cameriere che gli chiese se sapeva dov’erano i proprietari del club. Walter non lo sapeva e chiese il motivo della domanda. L’altro cameriere gli disse che c’era un piccolo incendio causato dall’elettricità in una delle stanze al centro del complesso e che quindi stava cercando i proprietari.

The Beverly Hills Country Club was a nightclub and a restaurant. A huge one. It could seat up to three thousand people every single night. People who would come to enjoy multi-course dinners and watch first-class entertainment. On the 28th of May in 1977, a nineteen-year-old guy called Walter Bailey was working at the Beverly Hills Country Club as a waiter. At around 8 o’clock that evening, Walter was stopped by another waiter who asked Walter if he knew where the owners of the club are. And Walter didn’t and he asked why. And the other waiter told him that there’s a small electrical fire in one of the rooms in the center of the complex, so he’s trying to find the owners.

Walter si interessò e decise di investigare, e quindi lasciò la sala da ballo, dove stava servendo, e andò al centro del Country Club, verso la stanza che conteneva l’incendio. Mentre si avvicinava alla stanza poteva vedere che c’era del fumo che usciva dalla parte superiore della porta che conduceva alla stanza. Così si rese conto che lì dentro c’era un grosso incendio e fu abbastanza sveglio da non aprire la porta. Invece tornò nella propria sala da ballo. Il complesso aveva molte sale da ballo differenti, e quella dove lui stava servendo ospitava più di 900 persone sedute. Così andò lì, trovò il proprio capo e gli disse, “C’è un incendio nell’edificio e dobbiamo evacuare questa sala.” Il capo si limitò a guardarlo con espressione smarrita.

Walter got interested and he decided to investigate, so he left his ballroom where he was serving and he went to the center of the Country Club, towards the room which had the fire. And as he was getting closer to this room he could see that there was smoke pouring out from the top of the door that led to the room. So he realized that there’s a big fire inside the room and he was clever enough not to open the door. Instead he returned back to his ballroom. The complex had multiple different ballrooms and the one where he was serving in had over 900 people seated down. So he went there and he found his boss and he told his boss, “There’s a fire in the building and we have to evacuate this room”. And his boss was just looking at him blankly.

Dovete capire che c’erano novecento persone sedute lì dentro e che queste persone stavano festeggiando cose come per esempio i propri matrimoni. C’erano numerose feste di matrimonio fra i presenti, per esempio spose in abito nuziale; c’erano persone che festeggiavano il cinquantesimo compleanno o anniversario di matrimonio con le proprie famiglie assistendo a spettacoli, bevendo e godendosi il cibo. Poi Walter vide che c’era in realtà anche una fila di persone che stavano ancora entrando nella sala. Così andò verso la fila e disse “Seguitemi tutti”. Poi guidò questa fila lungo diversi corridoi per uscire dal complesso in uno spiazzo interno e disse loro “Aspettate qui, per favore.” Nessuno si chiese neanche il perché; stavano semplicemente seguendo gli ordini.

And now you have to understand there were nine hundred people seated down there, and these people were celebrating things like their weddings. There were multiple wedding parties in the audience, like brides in their wedding dresses; there were people celebrating their 50th anniversaries or fiftieth birthdays with their families, watching entertainment and drinking and enjoying the food. And then Walter saw that there was actually a queue of people who are still coming into the room, so he went to the queue and he told them “Everybody follow me”. And then he walked this queue through different corridors out from the complex to the courtyard and he told them “Please wait here.” Nobody even asked why; they were just following orders.

Ma tornando nella propria sala da ballo, Walter vide con orrore che tutti erano ancora seduti. L’orchestra stava ancora suonando, alcune persone stavano ancora ordinando dei cocktail. Allora decise di agire. Pensò, “Finirò nei guai per questo”, ma ciò nonostante salì sul palco, prese il microfono dal cantante, disse di fermare la musica e poi si rivolse alla folla. Disse: “Ascoltatemi tutti. Se guardate alla vostra destra, c’è un’uscita in quella parete laggiù. Se guardate alla vostra sinistra, c’è un’uscita in quella parete laggiù, e sul retro ce n’è un’altra. Alzatevi tutti adesso e abbandonate la sala.” E questo è quello che fece la gente; seguì gli ordini.

But as Walter returned to his ballroom, to his horror he saw that everybody was still sitting down. The band was still playing, people were still ordering cocktails. And then he decided to act. He thought to himself, “I’m gonna get into trouble over this”, but nevertheless he climbed to the stage, he took the microphone from the singer of the band, he told the band to stop and then he addressed the crowd. He told the crowd, “Everybody listen up. If you look on your right side, there’s an exit in the wall over there. If you look on your left side, there’s an exit in the wall over there, and in the back there’s one more exit. Everybody stand up right now and leave the room.” And that’s what people did; they followed orders.

Quella sera il Country Club, nel Kentucky, fu raso al suolo dall’incendio. La sala da ballo che Walter – il diciannovenne Walter – aveva fatto evacuare fu divorata dalle fiamme dieci minuti dopo che lui aveva deciso di prendere il microfono. Walter salvò centinaia di persone. Altri nel complesso non furono altrettanto fortunati. Più di 165 persone morirono nell’incendio quella notte.

And that night the Kentucky Country Club burned to the ground. The ballroom that Walter – the 19-year-old Walter – evacuated was engulfed in flames in ten minutes from the moment when he took the mike. Walter saved hundreds of people. There were other people in the complex who weren’t so lucky. Over 165 people died that night in that fire.

Ma questa storia mi fa venire in mente le nostre azioni di oggi, nelle nostre vite odierne, nelle nostre vite digitali odierne, perché si stanno spostando sempre di più verso il mondo online. Assistiamo a cose che non stanno andando bene nel nostro mondo online, e pochissime persone stanno facendo qualcosa. Sentiamo un gran parlare di cose tipo il Grande Fratello o “la società del Grande Fratello”, ma vorrei invece citare un futurologo recentemente scomparso e un mio connazionale finlandese, Mika Mannermaa, che nei suoi libri scrisse molto sul futuro e scrisse di come non credeva davvero in una società del Grande Fratello. Credeva, piuttosto, che saremmo entrati a far parte di una società di “Qualche Fratello”. Una società nella quale c’è sempre qualcuno che ci guarda. Non necessariamente il Grande Fratello, non necessariamente il governo, ma qualcuno. Osservò anche che stiamo vivendo una vita da acquario, nella quale non abbiamo pareti, o meglio le abbiamo ma sono trasparenti.

But that story reminds me of our own actions today, in our lives today, in our digital lives today, because our lives are moving more and more to the online world. We’re seeing things going wrong in our online world, and very few people are taking action. And we hear a lot of talks about things like the Big Brother or “Big Brother society”, but I’d like to actually quote a late futurologist and a fellow Finn, Mika Mannermaa, who in his books wrote a lot about the future, and he wrote about how he actually doesn’t believe in a Big Brother society. He sort of believed more that we will be entering a “Some Brother” society. A society where there’s always someone watching. Not necessarily the Big Brother, not necessarily the government, but someone. And he also made the note that we are living an aquarium life, where we have no walls, or we have walls, but they can be seen through.

Ora un po’ di questa mentalità del “Qualche Fratello” che guarda si nota nelle azioni dei governi. Per esempio, soltanto nel corso di quest’ultimo anno, nei nostri laboratori presso la F-Secure, abbiamo analizzato cinque famiglie di malware che crediamo provengano dal governo russo. Malware come Sandworm e Cosmicduke, che sono stati trovati principalmente provenienti dall’Ucraina, che proprio ora è un paese nel mezzo di una crisi, o malware come Havex, che è il primo malware che abbiamo visto dai tempi di Stuxnet che sta effettivamente cercando di trovare e fare il fingerprinting degli apparati di automazione delle fabbriche. Riteniamo che questi provengano dal governo russo.

Now some of this “Some Brother” watching mentality can be seen from the actual action of governments. For example, during just this year, in our labs at F-Secure, we’ve analyzed five malware families which we believe to be coming from the Russian government. Malware like Sandworm and Cosmicduke, which have mostly been found from Ukraine, which is a country in the middle of a crisis right now, or malware like Havex, which is the first malware we’ve seen since Stuxnet that’s actually trying to find and fingerprint factory automation gear. And we believe these are coming from the Russian government.

E poi abbiamo il governo cinese. In effetti i primissimi attacchi mirati lanciati da un governo, ovunque nel mondo, che abbiamo mai visto provenivano dal governo cinese, e questo succedeva più di dieci anni fa. Esattamente un anno fa io ero su questo stesso palco a parlarvi di attacchi avvenuti proprio qui a Bruxelles, di attacchi che prendevano di mira le compagnie telefoniche locali. Attacchi che ora capiamo molto meglio. A un anno di distanza li capiamo molto meglio.

And then we have the Chinese government. In fact the very first targeted attacks launched by any government anywhere in the world we ever saw were coming from the Chinese government, and that was more than ten years ago. And exactly a year ago I was on this very stage speaking to you about attacks right here in Brussels, about attacks targeting local telcos. Attacks that we now understand much better. A year later, we understand them much better.

Per esempio, ora sappiamo esattamente da dove arrivavano questi attacchi. Arrivavano dai servizi di intelligence inglesi, dal GCHQ. Sappiamo anche il tipo esatto di malware che è stato usato in questi attacchi. È un malware chiamato Regin, che crediamo sia stato sviluppato insieme dall’intelligence britannica e da quella americana. Abbiamo imparato molto di più riguardo i bersagli di questi attacchi, perché c’erano molti più bersagli di quanti ne conoscessimo un anno fa.

For example, we now know exactly where these attacks were coming from. They were coming from the UK intelligence, from GCHQ. We also know which exact malware was being used in these attacks. It’s a piece of malware called Regin, which we believe was developed together with the British intelligence and the US intelligence. And we learned much more about the targets of these attacks, because there were many more targets than just what we knew a year ago.

Per esempio, sappiamo che questo malware e queste operazioni avviate dall’intelligence britannica stavano prendendo di mira membri della comunità accademica qui in Belgio: professori e altre persone del genere. Stavano anche prendendo di mira bersagli in Austria, compresa l’IAEA – l’agenzia internazionale per l’energia nucleare in Austria.

For example, we know that this malware and these operations launched by the UK intelligence were targeting academics here in Belgium. Professors, people like that. They were also targeting targets in Austria, including the IAEA – the International Atomic Energy Agency in Austria.

Ora sappiamo anche che uno dei più grandi gruppi di bersagli nel mondo era in Irlanda, e questa è una buona indicazione di chi sta dietro questi attacchi. A chi interessa l’Irlanda? Beh, l’Irlanda interessa al Regno Unito. Ed è piuttosto notevole avere una situazione del genere, nella quale paesi membri dell’UE lanciano attacchi attivi, basati su malware, finanziati dai governi, verso altri paesi che fanno parte della stessa Unione Europea. Ma questo è il punto al quale siamo arrivati oggi.

Now we also know that one of the largest amounts of targets anywhere in the world were in Ireland, which is a good indication of who’s behind the attacks. Who’s interested in Ireland? Well, the United Kingdom is interested in Ireland. And it’s quite remarkable when we have a situation like this, where fellow EU countries are launching active government-funded malware attacks against fellow EU countries. But that’s where we are today.

Ma ci sono entità che stanno cercando di contrattaccare. Un paio di anni fa il governo statunitense ha tentato di accedere ai dati di svariate aziende della Silicon Valley. Una di queste aziende era Yahoo. Yahoo ha cercato di combattere quegli attacchi, che erano molto simili a quelli che abbiamo visto proprio adesso in Germania.

But there are parties which are trying to fight back. The US government tried to gain access to the data of several of the Silicon Valley companies a couple of years ago. One of the companies was Yahoo. Yahoo tried to fight back those attacks, and these attacks are actually very similar to the attacks we’ve been seeing just now in Germany.

Questo è Ali Fares. Lavora per un’azienda che si chiama Stellar, che è una compagnia telefonica tedesca, un provider in telecomunicazioni tedesco che offre connettività tramite connessioni satellitari. La rivista Der Spiegel ha svolto un’indagine e ha scoperto che ancora una volta l’intelligence britannica aveva penetrato le compagnie telefoniche in Europa e in questo caso aveva penetrato la rete di Stellar.

This guy is Ali Fares. He works for a company called Stellar, which is a German telco company, a German telecommunications provider which provides connectivity over satellite links. Der Spiegel magazine did an investigation in which they found out that once again the British intelligence had been breaching telcos in Europe, in this case the network of Stellar.

Così qui abbiamo un video in cui i giornalisti di Der Spiegel vanno a incontrare i tecnici di questa azienda, la Stellar, e mostrano loro i dati rivelati da Edward Snowden. File che dimostrano che Stellar – la loro stessa azienda – è stata presa di mira e violata informaticamente dall’intelligence britannica. Stanno vedendo ora per la prima volta queste slide che elencano la loro stessa azienda tra gli obiettivi che sono stati violati dalle agenzie di intelligence britanniche. Poi viene mostrata loro un’altra slide, che elenca i bersagli: i nomi dei tecnici dell’azienda. E vedono i propri nomi elencati in questo documento top secret. Si rendono conto solo ora che hanno subito un attacco informatico personale.

So here we have a video clip of the Der Spiegel journalists going and meeting engineers at this Stellar company and showing them files leaked by Edward Snowden. Files which prove that Stellar – their own company – has been targeted and hacked by British intelligence. They are now seeing for the very first time these slides which list their own company among the targets which have been hacked by UK intelligence agencies. Then they’re shown another slide, which lists the targets: the names of the engineers in the company. And they see their own names listed in this top secret file. They just now realize that they, personally, have been hacked.

Quindi, tornando a Yahoo, Yahoo cercò di lottare contro il governo statunitense. Non voleva dare accesso ai dati dei propri clienti. Questa lotta si svolgeva in un tribunale segreto; esistono cose del genere, tribunali segreti, negli Stati Uniti. È il cosiddetto tribunale FISA o tribunale del Foreign Intelligence Surveillance Act (Legge sulla Sorveglianza dei Servizi di Intelligence Stranieri), nel quale un avvocato di Yahoo cercava di difendere gli utenti di Yahoo dal governo statunitense. E i giudici del tribunale fecero dei commenti interessanti.

So returning back to Yahoo. Yahoo tried to fight the US government. They didn’t want to give access to their customers’ data. And this fight was happening in a secret court; there are such things, secret courts, in the United States. It’s the so-called FISA court or Foreign Intelligence Surveillance Act court, in which a lawyer from Yahoo was trying to defend the users of Yahoo against the US government. And the judges in the court made interesting comments.

Per esempio, uno dei giudici sosteneva che non ci poteva essere alcun danno per i clienti di Yahoo, dato che la sorveglianza sarebbe stata segreta, il che significava che i clienti non avrebbero saputo che venivano osservati. Quindi come avrebbero potuto subire danni, se non sapevano di essere osservati? E in realtà aveva ragione: questa tesi fu accolta, secondo le leggi statunitensi, e l’azione legale di Yahoo fu rigettata. Fu poi usata come precedente legale per effettuare sorveglianze simili anche su altre società della Silicon Valley.

For example, one of the judges was claiming that there couldn’t possibly be any damage to customers of Yahoo, since this surveillance will be secret, which means that the customers will not know that they are being watched. So how could they possibly have any damage, since they will not know that they are being watched? And he was actually right, this actually stood, based on the US law and Yahoo’s case was thrown out. And it was then used as a legal precedent to do similar surveillance against other Silicon Valley-based companies as well.

Quindi permettetemi di citare un mio amico, Aral Balkan della Indytech. Fece un’ottima osservazione sul fatto che una volta “privato” aveva un significato completamente diverso. “Privato” significava che andavi con un tuo amico – solo voi due – in un posto dove non c’era nessun altro e parlavate in privato. Era quello il suo significato.

So let me quote a friend of mine, Aral Balkan from Indytech. He made a great comment about how “private” used to mean something completely different. “Private” used to mean something where you would go with your friend – just the two of you – where there’s no one else and you would speak in private. That’s what it used to mean.

Beh, al giorno d’oggi, nel mondo online, “privato” non ha quel significato. Per esempio, quando siete su Facebook e mandate un messaggio privato, in realtà non lo mandate a qualcun altro; lo date a Facebook e Facebook lo dà al vostro amico. È un po’ come se diceste il vostro messaggio privato al vostro zio viscido e poi lo zio viscido lo dicesse al vostro amico. Giusto? È la stessa cosa.

Well, today in the online world “private” doesn’t mean that. For example, when you’re on Facebook and you send a private message, you don’t actually send it to someone else; you give it to Facebook and Facebook gives it to your friend. This is sort of like you would tell your private message to your creepy uncle and then the creepy uncle would tell it to your friend. Right? That’s the equivalent.

E lo zio viscido più grande che abbiamo su Internet è Google. Google, che vede esattamente quello che stiamo facendo e quello che stiamo pensando. Google, che fornisce servizi eccellenti e grandiosi. Li usiamo tutti, e quel che è meglio, sono gratuiti. Il che è notevole, quando si pensa che azienda enorme è Google e quanto sono costose le sue attività. Infatti Google spende ogni trimestre più o meno due miliardi di dollari per i propri data center. Investe ogni tre mesi più di due miliardi per costruire data center sempre più grandi. Eppure i servizi che fornisce sono gratuiti. E quello che è ancora più sorprendente, Google guadagna. Ha un guadagno annuo di 12 miliardi, che dimostra chiaramente che non esiste nulla di gratuito. Questo è il valore dei nostri dati per Google.

And the largest creepy uncle we have on the Net is Google. Google, who sees exactly what we are doing and what we are thinking. Google, who provides excellent and great services. We all use them, and what’s even better, these services are free. Which is remarkable, when you consider how big a company Google is and how expensive their operations are. In fact Google spends every quarter roughly two billion dollars into their data centers. They’re investing every quarter over two billion into building larger and larger data centers. Yet the services they provide are free. And what’s even more remarkable, Google is profitable. They make 12 billion dollars profit every year, which nicely illustrates that there is no such thing as free. That’s how valuable our data is to Google.

Non esistono pasti gratuiti; non esistono motori di ricerca gratuiti; non esistono depositi nel cloud gratuiti; non esistono webmail gratuite. Le uniche cose su Internet che sono davvero gratuite sono cose come il kernel di Linux e i progetti open source. La maggior parte delle cose che vengono chiamate “gratuite” non è affatto gratuita.

There are no free lunches; there are no free search engines; there are no free cloud storages; there are no free webmails; the only things on the Net which really and truly are free are things like, you know, the Linux kernel, open source projects. Most of the things which are called “free” are not free.

Per esempio, le app. Non esistono app gratuite. Sappiamo che tutti i negozi di app sono pieni di app gratuite; nessuna di esse è gratuita. Lo vedete quando ne scaricate una semplice, come un’applicazione che fa diventare il vostro telefonino una torcia, ma quando date un’occhiata più da vicino a che tipo di diritti o permessi richiede al vostro dispositivo, vuole sapere dove siete e accedere ai vostri contatti e a Internet, ovviamente. Perché una torcia dovrebbe averne bisogno? Non esistono pasti gratuiti; non esistono app gratuite.

For example, apps. There are no free apps. We know that all the app stores are filled with free apps; none of them are free. And you see this when you go and download something simple. You know, an application which will turn your phone into a flashlight or a torch, and then when you take a closer look at what kind of rights or permissions it requires from your handset, it wants to know your location and gain access to your contacts and to the Internet, of course. Why would a flashlight need that? There is no free lunch; there are no free apps.

Quindi è facile dare la colpa all’utente. Gli utenti stanno facendo errori stupidi. Ho sentito una bella storia su di loro; un tizio aveva un vecchio computer fisso al lavoro e ne aveva preso uno nuovo e quindi voleva trasferire i propri dati da quello vecchio a quello nuovo. Così andò nella propria cartella Documenti, selezionò con il mouse tutti i propri file e poi fece clic destro e selezionò Copia; poi scollegò il mouse dal computer, lo collegò al nuovo computer e cliccò su Incolla. E questo non è un utente stupido: in realtà questo è ovviamente un uomo molto intelligente che semplicemente non ha una formazione sufficiente – voglio dire, potrebbe funzionare in quel modo; ma semplicemente non lo fa.

So it’s easy to blame the user. The users are making stupid mistakes. I heard a good story about users; about this guy who had an old desktop computer at his work and he got a new computer, so he wanted to move his files from the old computer to the new computer. So what he did is he went to his My Documents folder and with his mouse he selected all of his files then he right-clicked and selected Copy, then he disconnected the mouse from the computer, connected it to the new computer, and clicked Paste. And that’s not a stupid user: that’s actually obviously a very smart man who simply hasn’t had the training – I mean, it could work like that; it just doesn’t.

E un’altra cosa che fanno gli utenti è mentire. Qual è la bugia più grande su Internet? La bugia più grande su Internet è “Ho letto e accetto il contratto di licenza”. Lo facciamo tutti. Noi sappiamo che lo fate, perché lo abbiamo proprio verificato. Abbiamo messo un accesso Wi-Fi gratuito a Londra qualche mese fa, in modo che potevate avere accesso gratuito ad un hotspot Wi-Fi ma ovviamente dovevate leggere i contratti di licenza per avere accesso. E nel nostro contratto di licenza avevamo una piccola clausola che diceva che avreste dovuto darci il vostro primogenito. E tutti hanno cliccato su OK. Ora, non siamo davvero andati a prendere il primogenito; credo che avremmo davvero dovuto farlo – sfondare le loro porte e dire “Salve, siamo venuti a prendere Jamie”. Non lo abbiamo fatto.

And another thing users do is that they lie. What is the biggest lie on the Internet? The biggest lie on the Internet is “I have read and I agree to the license agreement”. We all do this. We know you do this, because we actually tested this. We set up a free Wi-Fi hotspot in London earlier this year, so you got free access to a Wi-Fi hotspot, but of course you had to read through the end-user license agreement to get the access. And in our license agreement we had a slight clause which said that you will have to give your firstborn child to us. And everybody clicked OK. Now, we didn’t actually go and pick up the firstborn child; I think we really should have – you know, go through their doors and say “Hello, we’ve come to pick up Jamie”. We didn’t do that.

Oggi dobbiamo accettare dei contratti di licenza anche quando usiamo i nostri dispositivi, come le nostre lavatrici smart o i nostri campanelli smart o le nostre smart TV. Lasciate che vi confidi un segreto: quando sentite che la macchina è “smart”, intelligente, quello che vuol dire veramente è che è sfruttabile. “Intelligente” significa “sfruttabile”. “Smart TV” vuol dire “TV sfruttabile”; “smartphone” vuol dire “telefonino sfruttabile”, e così via. Questo è quello che vuol dire.

And we have to accept the license agreements today even when we use our devices, like our smart washing machines or smart doorbells or our smart TVs. Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable. “Smart” means “exploitable”. “Smart TV” means an “exploitable TV”; “smartphone” means an “exploitable phone”, and so on. That’s what it means.

E questi dispositivi, quando andate a leggere i loro contratti di licenza, hanno cose sorprendenti. Per esempio, la Smart TV della Samsung vi spiega che questa funzione di riconoscimento vocale nella vostra TV registrerà quello che dite nelle vicinanze del televisore, quindi per favore tenete presente che se le vostre parole includono informazioni personali o sensibili, queste informazioni verranno registrate dal vostro televisore – nel vostro soggiorno. O se state giocando ad un videogioco di calcio con la vostra X-Box e vi capita di imprecare quando il computer fa un punto contro di voi, vi registrerà mentre imprecate nel vostro soggiorno e vi manderà delle ammonizioni perché avete detto una parolaccia nel vostro soggiorno. È come avere degli zii viscidi dentro le nostre console di gioco e nei nostri televisori. Viviamo una vita da acquario.

And these devices, when you go and read their license agreements, have surprising things. So for example, the Samsung Smart TV explains to you that this voice recognition feature in your TV will record what you speak around the TV, so please be aware that if your spoken words include personal or sensitive information it will be recorded by your television – in your living room. Or if you’re playing a game of football with your X-Box and you happen to swear when the computer scores against you, it will actually record you swearing in your living room and will give you warnings because you swear in your living room. This is sort of like having the creepy uncles in our gaming consoles and inside our television sets. We are living an aquarium life.

Oppure un’altra cosa grandiosa che è successa col nuovo iPhone, che ora ha questa app che tiene traccia della vostra salute. Un utente si è accorto che l’app stava monitorando i suoi passi, così ha chiesto online una cosa del tipo “Okay, sta contando i miei passi, non ho mai abilitato questa cosa, come faccio a impedire al mio telefono di contare i miei passi?” E la risposta è stata che in realtà ha contato i tuoi passi sin dall’iPhone 4S – semplicemente prima non te lo faceva vedere. E ovviamente se non era un problema per te prima, come mai è un problema adesso? E non c’è modo di disabilitare questa funzione.

Or a great thing that happened with the new iPhone, which now has this health app which tracks your health. And one user noticed that it was tracking his steps, so he asked a question online, like, “Okay it’s counting my steps, I actually never enabled this, how do I stop my phone from counting my steps?” And the answer was that actually, it’s been counting your steps already from iPhone 4s – it just never showed it to you before. And obviously if it hasn’t been a problem for you before, how come it’s a problem now? And there’s no way to disable it.

E c’è gente che ti dirà che non c’è niente da fare contro queste cose. Non c’è niente che si possa fare, quindi non dovresti neanche provare a fare qualcosa. Io non ci credo. Io credo che quando vediamo che le cose non vanno bene, dovremmo fermarci; e anche se pensiamo che questo ci metterà nei guai, dovremmo agire.

And there are people who will tell you that there’s nothing you could do about these things. There’s nothing that could be done, so you shouldn’t even try to do anything at all. And I don’t believe in that. I believe that when we see things going wrong, we should stop; and even though we might think that this will get us into trouble, we should act.

Spero che abbiamo la forza e il coraggio di agire. Spero di avere io la forza e il coraggio di agire. Spero che abbiate la forza e il coraggio di agire quando le cose vanno male. Spero che abbiate la forza e il coraggio di pensare “Questo mi metterà nei guai,” ma che quando ce n’è bisogno siate voi quelli che fermano l’orchestra e prendono in mano il microfono. Grazie mille.

I hope we have the strength and guts to act. I hope I have the strength and guts to act. I hope you have the strength and the guts to act when things go wrong. I hope you have the strength and guts to think “This will get me into trouble,” but when needed I hope you are the one who will stop the band and grab the microphone. Thank you very much.

Dove porta quel link misterioso?

2020-12-04
di Paolo Attivissimo
ReteTreRSI, sicurezza informatica, test di sicurezza

Capita anche a voi di ricevere strane mail contenenti link ancora più strani? Cose tipo “Auguri per il tuo futuro,Paolo C*** https://bit.ly/2J*****”? È abbastanza facile intuire che si tratti di una trappola di qualche genere e che cliccarvi sopra non sia una buona idea, ma se non riuscite a resistere alla curiosità di sapere cosa siano esattamente, ho uno strumento sicuro per voi.

Si chiama Wheregoes.com ed è un sito molto semplice che fa una sola cosa e la fa bene e senza fronzoli: gli date un link sospetto e lui vi dice dove porta realmente.

Moltissimi link, infatti, oggi vengono abbreviati (con servizi come Bit.ly o Tinyurl.com) oppure usano dei redirect e quindi la loro effettiva destinazione non è immediamente comprensibile. Con Wheregoes.com potete levarvi il dubbio in modo perfettamente sicuro.

E se volete anche vedere in modo sicuro che aspetto ha la destinazione di un link, senza mettere a rischio il vostro computer, provate Browserling.com: vi mette a disposizione un computer virtuale per una manciata di minuti. Immettetevi il link, guardate dove porta e non vi preoccupate di furti di dati o infezioni: è il computer virtuale che lo sta visitando, non il vostro, e comunque quel computer verrà azzerato dopo l’uso.