sicurezza informatica – Pagina 4

Disinformatico radio di stamattina, pronto il podcast

2019-09-19
di Paolo Attivissimo
Android, antibufala, antispam, Facebook, password, podcast, privacy, radio, sicurezza informatica, Twitter, videogiochi

Potete scaricare qui il podcast della puntata di stamattina del Disinformatico radiofonico che ho condotto per la ReteTre della Radiotelevisione Svizzera. Questi i temi e i rispettivi articoli di supporto:

Alla Franklin University di Lugano parleremo di cybersecurity e diritti umani l’11 settembre

Mercoledì 11 settembre si terrà alla Franklin University (via Ponte Tresa 29, Sorengo) il simposio Cybersecurity and Human Rights, al quale parteciperò sia come pubblico, sia come panelist.

Se vi interessa partecipare al simposio, che è interamente in inglese, trovate il programma, l’elenco dei relatori e tutti i dettagli su Cmcsymposium.org. La preregistrazione è obbligatoria.

Ci vediamo a Canobbio il 26 settembre per parlare di libertà e sicurezza informatica?

2019-08-27
di Paolo Attivissimo
conferenze, diritti, sicurezza informatica

Giovedì 26 settembre alle 18 sarò all’Aula Magna della Scuola Media di Canobbio (da non confondere con Cannobio, in Italia) insieme con l‘avvocato Gianni Cattaneo per parlare del rapporto fra libertà digitali e sicurezza informatica. L’incontro sarà moderato da Silvano Petrini, direttore del Centro sistemi informativi del Canton Ticino.

La serata è aperta a tutti ed è organizzata dal Club Plinio Verda.

Apple, FaceID battuto da un paio di occhiali

2019-08-16
di Paolo Attivissimo
Apple, iPhone, ReteTreRSI, riconoscimento facciale, sicurezza informatica, smartphone

Alla conferenza di sicurezza Black Hat di Las Vegas, dei ricercatori della Tencent hanno scoperto e reso pubblica una tecnica che consente di eludere, in certe condizioni, il sistema di riconoscimento facciale FaceID di Apple: mettere alla vittima un paio di occhiali leggermente modificati.

Normalmente FaceID verifica che il proprietario dello smartphone abbia gli occhi aperti, e quindi non stia dormendo, per evitare che qualcuno possa sbloccare il telefonino semplicemente puntandolo sul viso del proprietario appisolato.

Ma questo controllo viene semplificato parecchio se il proprietario indossa occhiali. In questo caso, spiegano i ricercatori, i sensori dello smartphone non estraggono informazioni di tridimensionalità dall’area dell’occhio. Questi sensori, inoltre, si limitano a cercare in quella zona un’area nera (l’occhio) con un punto bianco (l’iride) al centro.

Il risultato è che i ricercatori hanno mostrato che FaceID si può sbloccare mettendo sul viso della vittima un paio di occhiali sulle cui lenti sono stati applicati dei rettangoli di nastro adesivo nero al centro dei quali c’è un pezzetto di nastro adesivo bianco. Lo sblocco consente pieno accesso al contenuto dello smartphone, esattamente come se fosse stato sbloccato dal proprietario.

Può sembrare che questo tipo di vulnerabilità sia sfruttabile solo in circostanze piuttosto estreme: la vittima deve essere in stato di incoscienza tale da non accorgersi che qualcuno le sta mettendo in faccia degli occhiali. Ma ci sono situazioni abbastanza normali nelle quali questo succede, per esempio in seguito a consumo eccessivo di alcolici o all’assunzione di alcuni farmaci o semplicemente perché si ha il sonno pesante.

Il rimedio è piuttosto semplice: se vi aspettate di potervi trovare in una situazione del genere, spegnete completamente lo smartphone o disabilitate lo sblocco tramite riconoscimento facciale.

Il riconoscimento facciale dei computer HP è un po’ poco selettivo?

2019-04-26
di Paolo Attivissimo
ReteTreRSI, riconoscimento facciale, sicurezza informatica

Matt Carthy, un membro irlandese del Parlamento Europeo, ha raccontato pochi giorni fa di aver scoperto con sorpresa il motivo per cui la batteria del suo laptop si scaricava così tanto ogni volta che lo lasciava a casa.

Il laptop era protetto, si fa per dire, da un software di riconoscimento facciale (probabilmente Windows Hello) e si sarebbe dovuto sbloccare soltanto con il volto del proprietario. Invece veniva regolarmente sbloccato di nascosto dai figli dell’europarlamentare usando, a quanto pare, una tecnica piuttosto astuta.

Visto che le elezioni europee sono imminenti, Carthy aveva in casa dei volantini elettorali. Sui quali c’era una nitidissima foto del suo volto. I figli, dice, hanno messo uno di questi volantini davanti alla telecamera del laptop, sbloccandolo.

So, I was wondering why the battery on my laptop was running down every time I left it at home.
Turns out the kids have been using my election leaflets to get through the facial recognition lock…
I’m not sure whether to be proud by the wit or concerned by the sneakiness? pic.twitter.com/rtDsuNRB8B

— Matt Carthy MEP (@mattcarthy) April 23, 2019

Adesso Carthy, come nota nel suo tweet, non è sicuro se essere orgoglioso dell’ingegno dimostrato dai figli o preoccupato per la loro malizia.

L’europarlamentare non ha specificato il modello esatto di laptop HP e non ha fornito altre informazioni sulla sua scoperta, e c’è chi obietta che il riconoscimento facciale dei laptop HP usa gli infrarossi e quindi non dovrebbe farsi beffare da una fotografia. Ma in ogni caso è un incidente divertente che permette di ripassare una regola spesso dimenticata: usare il volto o l’impronta digitale come chiave magica per sbloccare un dispositivo significa usare delle informazioni che sono tutt’altro che segrete.

Va benissimo usarle in circostanze normali, ma quando ci si allontana da un dispositivo protetto dal riconoscimento facciale è meglio che intervenga un altro sistema di blocco più robusto e facile da tenere segreto, come una password lunga e complessa. Gli aggressori si nascondono nei luoghi più impensati.

A proposito di quell’archivio clienti italiano lasciato online: l’ho segnalato alla Postale

2019-03-10
di Paolo Attivissimo
motori di ricerca, ReteTreRSI, sicurezza informatica

Ultimo aggiornamento: 2019/03/10 9:20.

A fine febbraio ho segnalato il caso di un’azienda italiana, che gestisce prenotazioni online per ristoranti, che aveva lasciato accessibile online quello che sembrava essere un archivio dei dati dei propri clienti (circa 140.000).

L’azienda non ha risposto alle mie segnalazioni private, ma di fatto l’archivio non è più reperibile all’indirizzo IP presso il quale si trovava a disposizione di chiunque. Non mi è arrivata nessuna risposta neanche dal campione di indirizzi di mail dei clienti presenti nell‘archivio. La questione resterà quindi un mistero, e siccome potrebbe trattarsi di un archivio fittizio di prova (anche se mi pare improbabile), non credo che sia corretto fare pubblicamente il nome dell’azienda.

Su Internet ci sono tanti altri archivi di questo genere altrettanto accessibili e vulnerabili; trovarli è facile, usando gli appositi servizi di ricerca (come nello screenshot mostrato qui sopra), che per uno specifico tipo di database mi restituiscono oltre 700 risultati sparsi per il mondo.

Se vi interessa sapere quali sono questi servizi di ricerca, utilissimi anche per verificare la propria sicurezza informatica aziendale (un esempio è qui), ne segnalo alcuni:

Shodan.io
Binaryedge.io
Zoomeye.org
Censys.io
FoFa.so

Prima che me lo chiediate: consultare questi servizi, dopo aver creato un account, è legale e non costituisce violazione di domicilio informatico, visto che visitate le pagine di questi motori di ricerca e non quelle dei siti contenenti dati vulnerabili. Ma abusare delle informazioni contenute in questi servizi per violare un sistema informatico è palesemente illegale.

Se vi state chiedendo se sia pericoloso mettere a disposizione questi motori di ricerca, la risposta forse sorprendente è no: gli intrusi informatici esperti sanno benissimo come agire anche senza questi servizi. L’esistenza di questi motori consente semmai di facilitare il lavoro agli addetti alla sicurezza delle aziende, che grazie a questi strumenti possono verificare più rapidamente se hanno dati visibili esternamente.

2019/03/08 16:25

Come non detto: poco dopo la pubblicazione iniziale di questo articolo mi è arrivata la segnalazione che un altro database della stessa azienda, con i dati di circa 1000 account, è online, senza password (basta conoscerne l’indirizzo IP) e pubblicamente accessibile in lettura e (presumo) scrittura o cancellazione, presso un indirizzo IP diverso da quello precedente.

Visto che il problema si ripete, ho allertato via mail la Polizia Postale fornendo tutti i dettagli. Sarà così possibile capire se si tratta di un database di clienti reali, messo online senza alcun riguardo per GDPR e protezione dei clienti, o se si tratta di un database di prova.

2019/03/09 13:20

Ho contattato alcuni degli indirizzi di mail presenti nel database e tre di essi hanno risposto: si tratta di indirizzi di ex dipendenti. Uno di loro mi ha telefonato ieri sera ed è riuscito ad allertare gli ex colleghi. A quanto pare il database era concepito per contenere dati fittizi di prova che però erano frammisti anche a dati autentici. Il database è stato rimosso: al suo indirizzo IP non viene più esposta l’interfaccia di gestione.

Se in casa ti suona l’allarme nucleare, controlla le password delle tue telecamere

2019-01-25
di Paolo Attivissimo
autenticazione a due fattori, password, ReteTreRSI, sicurezza informatica, sorveglianza

Continua la carrellata di disavventure degli utenti incauti che installano telecamere di sorveglianza o campanelli Nest e le configurano maldestramente.

Dopo l’hacker cortese che entra nella telecamera Nest e parla al proprietario per spiegargli come configurarla correttamente, Wired.com segnala che nei giorni scorsi decine di proprietari di queste telecamere hanno sentito “una voce incorporea che insisteva affinché si iscrivessero al canale Youtube di PewDiePie”.

Motherboard ha pubblicato un video con la dimostrazione di un attacco di questo tipo da parte di un intruso che ha trovato circa 300 telecamere vulnerabili nel giro di pochi minuti ed è riuscito a trovare le password di circa 4000 account Nest.

Domenica scorsa una famiglia californiana ha sentito in casa l’allarme nucleare che avvisava, in tutta serietà, che tre missili nordcoreani stavano per cadere su tre città americane ed è stata presa dal panico finché si è resa conto che l’allarme proveniva non dal televisore ma dalle telecamerine di casa.

A dicembre scorso una coppia è saltata giù dal letto quando ha sentito una voce sconosciuta dire parolacce nella cameretta del figlio e poi minacciare di rapirlo.

A ottobre 2018 qualcuno ha iniziato a parlare tramite una telecamera Nest con un bambino di cinque anni, chiedendogli se avesse preso lo scuolabus per tornare a casa e con quali giocattoli stesse giocando e intimandogli di stare zitto quando il bambino, saggiamente, ha chiamato la madre.

Non c’è niente di particolarmente vulnerabile nelle telecamere Nest: semplicemente sono fra le più vendute e quindi è inevitabile che siano coinvolte spesso in violazioni di sicurezza e privacy come queste. Il problema, come capita sovente in informatica, è l’utente.

L’utente che pensa “tanto non ho niente da nascondere” oppure “ma chi vuoi che prenda di mira proprio me, e anche se lo facessero cosa potrebbero fare?” e quindi usa per le proprie telecamere domestiche la stessa password che usa altrove e non attiva l’autenticazione a due fattori. Beh, questi sono solo alcuni esempi di quello che si può fare. Oltre, naturalmente, ad avere sconosciuti che vi guardano e ascoltano in casa.

773 milioni di account rubati e messi online. Compreso (forse) uno mio. Ma quale?

2019-01-18
di Paolo Attivissimo
furto di password, ReteTreRSI, sicurezza informatica

Ultimo aggiornamento: 2019/01/17 23:30.

Il ricercatore di sicurezza Troy Hunt, noto per il suo servizio di allerta Have I Been Pwned, ha segnalato l’esistenza di un archivio, circolante in Rete, di circa 773 milioni di indirizzi di mail con relative password. Se volete sapere se il vostro indirizzo è in questo archivio, digitatelo (l’indirizzo, non la password) nella casella apposita di HIBP.

Attenzione: se il vostro indirizzo di mail risulta nell’archivio, non vuol dire necessariamente che è stato violato il vostro account di mail: vuol dire che è stato compromesso uno dei servizi ai quali vi siete iscritti usando quell’indirizzo.

La questione mi tocca personalmente, perché ho ricevuto anch’io un avviso da HIBP (screenshot qui accanto), visto che sono iscritto al suo servizio di allerta.

Il problema è che per quel che ho capito leggendo lo spiegone di Troy Hunt, HIBP non mi dice quale dei miei tanti account per servizi online che ho associato a quell’indirizzo di mail è stato violato.

Ho password differenti e molto robuste per ogni servizio, e ho l’autenticazione a due fattori dappertutto; può darsi che sia un falso allarme e l’archivio contenga dati vecchi (come è successo anche a Troy Hunt) o farlocchi per farne aumentare il volume e quindi l’apparente valore. Però mi piacerebbe togliermi il dubbio prima di cambiare tutte le mie password. Avete idee?

In ogni caso, vi consiglio di verificare se siete anche voi nell’archivio di credenziali rubate. Se poi avete dubbi su qualche password, c’è anche questa verifica per sapere se la password che usate è presente (anche se non associata a un vostro account) negli archivi di password di HIBP.

2019/01/17 16:30

Grazie a un lettore, G.V., ho avuto modo di sapere qual è la password associata al mio account di mail nell’archivio: è una sequenza di quindici cifre che non ho mai usato come password da nessuna parte. O è un hash bizzarro, oppure nel mio caso i dati contenuti nell’archivio non sono reali.

2019/01/17 23:30

L’esperto di sicurezza Brian Krebs è entrato in contatto via Telegram con il venditore di questa collezione di dati personali, che gli ha spiegato che la vende a prezzo stracciato (45 dollari) perché contiene dati di almeno due o tre anni fa. Le raccomandazioni di Krebs, che condivido, sono queste:

niente panico, nonostante i titoli sensazionali che trovate in giro;
che ci sia o meno il vostro indirizzo di mail in questa collezione, cambiare password non fa mai male, ma non usate password che avete già usato e non usate la stessa password dappertutto;
le password più preziose sono quelle che proteggono le nostre caselle di mail, perché se qualcuno prende il controllo di queste caselle può mandare una richiesta di reset delle password di qualunque servizio o account legato all’indirizzo e prendere così il controllo di tutto, perché il link di reset arriva via mail;
non usate password, ma usate passphrase: sequenze di parole che vi ricordate facilmente, come bicchiereGiovanniArancione (se il sito ve lo consente);
usate un buon password manager;
attivate l’autenticazione a due fattori (o verifica in due passaggi): presso Twofactorauth.org potete sapere quali servizi la offrono. Così se vi ruberanno le password non potranno comunque entrare nei vostri account.

Fonte aggiuntiva: Ars Technica.

Black Friday e trojan bancari sui siti di shopping: come difendersi

2018-11-24
di Paolo Attivissimo
carte di credito, ReteTreRSI, sicurezza informatica

I criminali informatici non si fermano mai nella propria ricerca di nuove tecniche per rubarci dati che possono monetizzare.

Invece di infettare i dispositivi degli utenti e rubare i dati delle carte di credito usate durante lo shopping online, cosa difficile se l’utente ha installato antivirus e app di protezione antifrode, infettano i siti di shopping.

Ma l’infezione non avviene attaccando direttamente i siti commerciali, che di solito hanno protezioni piuttosto robuste: viene messa a segno attaccando le società che forniscono a questi siti gli script per la gestione dei pagamenti. Queste società spesso sono difese molto debolmente. Ai criminali basta entrarvi in modo da alterare a proprio favore gli script che poi i siti commerciali vanno a scaricare e incorporare.

Magecart, per esempio, è uno script alterato che viene installato fraudolentemente nei siti commerciali e intercetta i dati dei pagamenti effettuati tramite carte di credito: una delle sue vittime più illustri è stata British Airways, che ad agosto scorso si è fatta sottrarre i dati di 380.000 clienti con 22 righe di script. Ma anche Infowars, il sito del complottista Alex Jones, è stato colpito.

Rapid7 ha dei consigli tecnici per i gestori dei siti di e-commerce, ai quali spetta il compito di tenersi puliti; gli acquirenti possono solo vigilare sugli acquisti attivando per esempio i messaggi di allerta e verifica delle transazioni fatte con la carta di credito. Se il sito usato contiene script rubacarte, questi messaggi permetteranno di accorgersi che l’acquisto fatto è fraudolento e di bloccarlo.

Vale naturalmente, come sempre, la raccomandazione classica di fare acquisti solo in siti ben conosciuti e di non farsi sedurre da offerte troppo belle per essere vere.

Quanto è facile “bucare” un’azienda: prova pratica

2018-11-12
di Paolo Attivissimo
hacking, password, ReteTreRSI, sicurezza informatica

Nota: alcuni dettagli di questa vicenda sono stati alterati oppure omessi per proteggere gli interessati ma in modo da non alterare il senso tecnico del racconto. Ultimo aggiornamento: 2018/11/10 01:00.

Un paio di giorni fa mi è capitata un’occasione molto particolare: la possibilità di assistere al lavoro di una persona esperta nell’hacking, che chiamerò Mario (ovviamente non è il suo vero nome). Io ho assistito come giornalista per documentare e raccontare una sessione dimostrativa di questo lavoro, facendo attenzione a non rivelare troppo pur mantenendo il valore educativo degli esempi concreti che ho visto.

Cominciamo dall’inizio. La prima questione è capire che c’è una grandissima differenza fra un attacco mirato a un obiettivo specifico e una pesca a casaccio. Nel primo caso ci vuole molto tempo ed è necessaria una pianificazione attenta. Nel secondo, beh, il mare è pieno di pesci: basta scegliere quello più vulnerabile.

Mario stavolta va appunto a pesca. È una pesca a strascico, che prende chiunque riesca a prendere, quella che coglie in fallo tutti quelli che dicono “Ma io non sono nessuno, ho un’aziendina come tante, chi vuoi che mi prenda di mira?”. Nella pesca a strascico finiscono tutti, grandi e piccoli, aziende e privati, perché è facile. Terribilmente facile.

Infatti trovare informazioni lasciate incautamente online è spesso soltanto una questione di saper usare Google. Niente violazioni di siti: basta un po’ di Google hacking, basato su parametri come il tipo di file e sulla ricerca di parole o coppie di parole potenzialmente interessanti, oppure di nomi di file particolari che vengono generati per esempio da backup o da programmi per l’archiviazione della mail.

Sì, la gente mette online inavvertitamente documenti contenenti password e altri dati personali, backup completi dei propri database e altro ancora. Li mette in directory pubblicamente accessibili di un proprio server perché così è comodo (“tanto se nessuno sa che sono lì, non li troverà nessuno”), come ben sa la BBC. Comodo anche per chi li vuole trovare, visto che vengono indicizzati da Google. So che sembra impossibile: non ci credi finché non lo vedi con i tuoi occhi.

Essendo dati pubblicati online, formalmente non è neanche un’intrusione. Basta scaricare i file e poi analizzarli con calma. Nel caso preso in esame da Mario, si tratta di un classico file di testo nel quale l’utente conserva in chiaro tutte le proprie password; è ancora lì, online, in questo momento, in una sezione di un sito pubblico creato per un cliente. Il file contiene tutte le coordinate di una ditta del sud Italia.

Mario esamina il file: nota che gli utenti elencati tendono a usare sempre la stessa password, la stessa casella di mail e lo stesso nome utente nei vari account, sia mail sia social, sia privati sia di lavoro. Un classico.

L’autenticazione a due fattori (2FA) si rivela un salvagente prezioso: l’esperto trova nel file password e nome utente di un account Paypal: se avesse intenzioni ostili, questo sarebbe il suo primo bersaglio, immediatamente monetizzabile. La password è banale e valida, ma c’è la 2FA che allerta l’utente e blocca l’intrusione. Ottimo. Lo stesso vale per Gmail, Skype e Amazon. Non sarebbe possibile quindi causare danni economici diretti saccheggiando conti o facendo acquisti, ma sapere le password di account del genere sarebbe più che sufficiente per fare attacchi di social engineering come quello recente “so la tua password, ti ho registrato mentre guardavi siti porno”.

Le cose si fanno più interessanti con gli account social. Su quello Twitter non c’è 2FA, ma nel file di password manca il nome dell’account: ci sono solo (si fa per dire) l’indirizzo di mail e la password. Ma per Mario la cosa non pone nessun problema: basta guardare gli schemi usati altrove e diventa facile indovinare il nome dell’account. È quello dell’azienda seguito dal tipo di ragione sociale.

Se Mario entrasse a fondo nell’account, avrebbe accesso a tutti i messaggi pubblici e privati e potrebbe fare qualunque cosa: cancellare l’account, scaricare le foto (anche quelle definite “private”), mandare messaggi fingendo di essere l’azienda e distruggerne la reputazione, cambiare la password dell’account e chiedere denaro per ridarne il controllo al legittimo proprietario, eccetera. Ma si tratta di una dimostrazione, per cui si limita a lasciare su Twitter un messaggio per avvisare che la password è nota e consigliare di cambiarla.

Anche l’account Facebook non è protetto dalla 2FA. Ci sono anche foto di bambini (i figli?) e naturalmente ci sono i nomi degli amici e i luoghi visitati. Anche qui il potenziale di far danni è altissimo, ma Mario non fa nulla.

Ci sono anche i documenti: account di canali TV a pagamento cessati, vecchie bollette telefoniche, carte di credito scadute. Anche così, comunque, sono utili perché forniscono nomi, cognomi, indirizzi, codici fiscali e partite IVA, utilissimi per fare escalation e imbastire un attacco informatico più approfondito. Per esempio, l’azienda usa un sistema di fatturazione online, e uno dei parametri necessari per consultarlo (oltre ai codici, incautissimamente scritti nel file lasciato su Internet) è la partita IVA. Che Mario ha subito a disposizione tramite le fatture. A questo punto sarebbe banale ficcare il naso nella fatturazione dell’azienda e acquisire altri dettagli utili: i nomi dei fornitori, le coordinate bancarie e altro ancora.

Ci sono anche le credenziali di affiliazione a un movimento politico, ma Mario non se ne fa nulla a parte riderci sopra.

La lezione finale, piuttosto sorprendente, di questa storia è che bisogna lasciare una traccia innocua del proprio passaggio perché altrimenti spesso non si verrà creduti quando si avviserà l’utente che le sue password sono a spasso. Così Mario cambia l’immagine nel profilo Telepass (che potrebbe usare per sorvegliare gli spostamenti del titolare) e ci mette un bel gattino. Fine della dimostrazione.

A me restano le questioni etiche: quante violazioni del GDPR avrà accumulato quest’azienda? E se ci fossero di mezzo altre persone (clienti, fornitori), sarebbe opportuno o necessario avvisarle? Una cosa è certa: l’azienda va informata. L’ho fatto subito via mail e via SMS, perché chiunque potrebbe trovare online quei dati (basta una banale ricerca in Google) e fare danni: l’azienda ha risposto stamattina dicendo che si stava recando alla Polizia Postale.

Utente avvisato, mezzo salvato: spero che questo resoconto, anche se pesantemente anonimizzato, possa ispirare chi lo legge a prendere precauzioni più serie e a non pensare di essere troppo poco interessante o appetibile.

Ricordo che per le segnalazioni di dati riservati lasciati incautamente online, in Svizzera ci si può rivolgere all’apposita pagina dell’Ufficio Federale di Polizia e a quella di MELANI (la Centrale d’annuncio e d’analisi per la sicurezza dell’informazione), mentre in Italia si può contattare il CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche).

2018/11/10 01:00

I dati sono spariti dall’URL pubblicamente accessibile. Noto ora che in una delle risposte di una delle persone interessate c’è questa chiusura:

Nessun virus nel messaggio.
Controllato da AVG – www.avg.com
Versione: 2016.0.8048 / Database dei virus: 4793/15883 – Data di rilascio: 14/08/2018
Database dei virus interno non č aggiornato.

Sicurezza, questa sconosciuta.

« Precedente
1
2
3
4
5
6
…
16
Successivo »