Vai al contenuto
Pannello di controllo d’impianto di biogas italiano visibile via Internet

Pannello di controllo d’impianto di biogas italiano visibile via Internet

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Una domanda molto semplice: che ci fa online questo quadro di controllo di un impianto per biogas? È accessibile via Internet con VNC. Basta conoscerne l’indirizzo IP, facilmente ottenibile tramite un motore di ricerca come Shodan (la segnalazione arriva da @viss). Non ditemi che qualcuno crede ancora che per “proteggere” un accesso del genere sia sufficiente non dire in giro il suo indirizzo IP.

E non ditemi che questo quadro è comandabile via VNC. Sarebbe da incoscienti.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Consigli di sicurezza per gli acquisti natalizi online

Se state andando online a caccia di regali natalizi, siate prudenti, perché anche i truffatori digitali sono in Rete a caccia di vittime in questa stagione. Ecco alcuni consigli di sicurezza per ridurre il rischio di incappare in spiacevoli sorprese.

  • Se potete, usate un computer o un tablet, invece del telefonino, per fare acquisti: lo schermo più grande permette di mostrare più chiaramente le informazioni di sicurezza, come per esempio il nome completo del sito e la presenza del lucchetto chiuso accanto a questo nome. È importante ricordare che il lucchetto chiuso non va preso come garanzia assoluta di identità ma solo come indicatore negativo, nel senso che se non c’è si tratta sicuramente di un sito truffaldino, mentre se c’è potrebbe comunque esserci un inganno, anche se è improbabile.
  • Per evitare i siti trappola conviene restare sui siti commerciali familiari, ben conosciuti, evitando quelli mai visti prima, e digitare manualmente i nomi di questi siti invece di cliccare su link ricevuti nella mail o nelle pubblicità dei social network. I truffatori, infatti, usano spesso mail, messaggi social e pubblicità online per fare offerte troppo belle per essere vere: meglio diffidare di promesse mirabolanti ricevute attraverso questi canali.
  • Occhio anche alle app di shopping: una delle particolarità di questo periodo, infatti, è che i criminali informatici stanno offrendo su App Store e in Google Play delle app ingannevoli, che promettono di facilitare gli acquisti o di attivare supersconti ma in realtà rubano password e carte di credito.
  • Già che ci siete, cogliete l’occasione per aggiornare il vostro antivirus e il software del vostro dispositivo (iOS, Android, MacOS o Windows), per evitare che sia infetto con qualche virus che spia i vostri acquisti e ruba dati finanziari personali.
  • Usare una carta di credito prepagata è preferibile rispetto alla carta di credito tradizionale, perché in caso di furto il truffatore può sottrarre soltanto l’ammontare caricato sulla prepagata, che di solito è molto più modesto rispetto al limite di spesa mensile di una carta di credito ordinaria. È ancora più preferibile, però, evitare del tutto le carte di credito dove possibile e usare i sistemi di pagamento digitali, come PayPal o ApplePay, in modo da non far circolare troppo i dati della propria carta.
  • E a proposito di sistemi di pagamento, è molto importante rifiutare qualunque invito a usare sistemi alternativi a quelli raccomandati dallo specifico sito dove si fanno acquisti. Alcuni venditori, infatti, propongono sconti se si usano altre forme di trasferimento di denaro, ma così facendo si perde ogni garanzia offerta dal sito che ospita la vendita.

Fate buona spesa in Rete, insomma, tenendo sempre gli occhi aperti, e segnatevi fra i buoni propositi per l’anno prossimo quello di controllare gli estratti conto e contestare eventuali addebiti inattesi: siete ben garantiti in questo senso. Nonostante le dicerie e le paure diffuse, se seguite questi semplici consigli tecnici e di buon senso, fare acquisti online è sicuro e fa risparmiare tempo e stress.

Questo articolo è il testo preparato per il mio servizio La Rete in 3 minuti per Radio Inblu del 19/12/2017. Fonte: Watchguard.com/Secplicity.org.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Lucchetto chiuso, icona sempre più usata dai truffatori online

Lucchetto chiuso, icona sempre più usata dai truffatori online

Rispondete al volo: che cosa significa l’icona del lucchetto chiuso che si vede ogni tanto accanto al nome di un sito Internet? Per molti utenti significa sicurezza e autenticità. Si consiglia spesso di controllare che quest’icona sia presente prima di digitare una password o immettere dati personali in un sito, e alcune app di navigazione, come per esempio Google Chrome, visualizzano la parola “Sicuro” accanto a questo lucchetto.

Ma in realtà la parola “sicuro” è un po’ ingannevole e può creare un falso senso di fiducia che apre le porte ad alcune truffe informatiche. Questo lucchetto, infatti, non garantisce affatto che il sito sia autentico: indica soltanto che i dati che immettiamo vengono trasmessi via Internet in maniera criptata e quindi difficilissima da intercettare. Non dice nulla sull’identità e sull’affidabilità del sito.

Questo vuol dire che i truffatori possono costruire un sito che imita visivamente l’aspetto grafico di un sito famoso (per esempio quello di Facebook, di Google, di una banca o di un negozio) e poi possono inviare alla vittima una mail o un messaggio Facebook o WhatsApp per invitarla a visitare il sito fraudolento e poi digitarvi la propria password per rubargliela, con l’impressione rassicurante di trovarsi nel sito autentico perché viene visualizzato il lucchetto chiuso insieme alla parola “Sicuro.”

La vittima si salverà da questa trappola (chiamata in gergo phishing) soltanto se noterà che il nome del sito non è quello giusto. Ma sono in pochi a controllare anche il nome di ogni sito che visitano: di solito ci si ferma a controllare l’aspetto visivo del sito e la presenza del lucchetto, specialmente sugli schermi piccoli dei telefonini, e nulla più.

Secondo dati pubblicati pochi giorni fa dalla società di sicurezza PhishLabs, oggi un quarto dei siti-trappola creati dai truffatori per rubare password mostra il lucchetto chiuso. Un aumento straordinario, visto che soltanto un anno fa i siti truffaldini con questa capacità erano meno del tre per cento.

Questo boom significa che i ladri di password si sono resi conto che gli utenti abbassano le proprie difese quando vedono il lucchetto chiuso e quindi si sono attrezzati in massa per mostrarlo. Cade così una delle raccomandazioni di sicurezza più diffuse e longeve: oggi non basta più cercare il lucchetto chiuso ma bisogna anche controllare che il nome del sito sia quello giusto, ed è facile confondersi. Per esempio, il sito della vostra banca, o quello di quel negozio online che usate spesso, si scrive con o senza il trattino in mezzo?

Per evitare tutti questi rischi per fortuna c’è una soluzione: ignorare qualunque messaggio che ci inviti a cliccare su un link per visitare un sito e usare invece l’app corrispondente al sito. Per esempio, invece di seguire un link che sembra portarci ad Amazon, su smartphone e tablet ci conviene usare l’app di Amazon, che ci porta sicuramente al sito autentico. Sui computer, invece, saremo più sicuri se cliccheremo sui Preferiti, dove abbiamo registrato il nome esatto del sito in questione. Tutto qui.

Fonte aggiuntiva: Naked Security. Questo articolo è il testo preparato per il mio servizio La Rete in 3 minuti per Radio Inblu del 12 dicembre 2017.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Germania, niente smartwatch microspia per i bambini

Germania, niente smartwatch microspia per i bambini

La Bundesnetzagentur, l’agenzia governativa tedesca per le infrastrutture, ha annunciato lunedì scorso che in Germania gli smartwatch per bambini che hanno una funzione di ascolto e monitoraggio a distanza sono proibiti e vanno distrutti, perché sono l‘equivalente di una microspia.

Le indagini dell’agenzia hanno infatti scoperto che i genitori li stavano usando per origliare gli insegnanti durante le lezioni a scuola.

L’agenzia ha spiegato che i genitori possono inoltre usare questi smartwatch, dotati di carta SIM, per ascoltare di nascosto i bambini e l’ambiente in cui si trovano. Tramite un’app, possono comandare questi orologi in modo che chiamino un numero telefonico desiderato senza che se ne accorga chi li indossa o chi sta nelle vicinanze e così intercettare le conversazioni: queste funzioni sono proibite secondo la legge tedesca.

La Bundesnetzagentur raccomanda in particolare alle scuole di fare molta attenzione agli studenti che indossano smartwatch dotati di funzioni di ascolto e ordina a chi li ha comprati di distruggerli e di mandare all’agenzia una prova dell’avvenuta distruzione, seguendo queste istruzioni.

Non è la prima volta che un dispositivo smart viene proibito dalle autorità o sconsigliato dalle associazioni di difesa dei consumatori o dagli esperti d’informatica a causa di queste funzioni di sorveglianza nascosta: nel 2016 era successo con alcuni robot e bambole e a marzo 2017 era capitato con i CloudPets.

Il presidente della BNA, Jochen Homann, ha detto che “l’ambiente dei bambini va protetto”, anche perché una ricerca di un’associazione di difesa dei consumatori norvegese ha scoperto che molti di questi smartwatch non hanno alcuna protezione informatica e quindi possono essere abusati facilmente da sconosciuti per pedinare i bambini, parlare con loro di nascosto e scattare foto.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Kaspersky accusata (senza prove) di rubare dati all’NSA. Che se li è fatti fregare come una dilettante

Kaspersky accusata (senza prove) di rubare dati all’NSA. Che se li è fatti fregare come una dilettante

Ultimo aggiornamento: 2017/10/06 19:40.

Facciamo un quiz informatico? Premessa: sei un collaboratore esterno o un dipendente dell’NSA. Ti porti a casa documenti e malware segretissimi, usati dall’NSA per penetrare le reti informatiche degli altri paesi e per difendere quelle americane (primo errore). Metti il tutto su un computer non sicuro (secondo errore). Il computer è connesso a Internet (terzo errore). Sul computer c’è un antivirus (quarto errore), che come tutti gli antivirus fa il proprio dovere e quindi rileva la presenza del malware e la segnala via Internet alla casa produttrice.

A questo punto delle spie informatiche legate alla Russia usano l’accesso fornito dall’antivirus per procurarsi una copia del malware dell’NSA prelevandola dal tuo computer e se la studiano, rendendola così inutilizzabile e compiendo l’ennesimo furto di dati ai danni della superagenzia americana. Epic fail.

Domanda: quanto devi essere cretino per fare una sequenza di errori del genere?

Domanda di riserva: quanto sono incompetenti quelli dell’NSA, che non riescono a impedire ai collaboratori di portarsi a casa malware top secret e scelgono ripetutamente gente che fa queste cose?

Questa, a mio avviso, è la vera storia dietro un articolo del Wall Street Journal che invece di sottolineare l’inettitudine dell’NSA tenta di dare la colpa di tutto a Kaspersky Lab, l’azienda russa che produce l’antivirus usato dallo sciagurato collaboratore esterno dell’agenzia (o dipendente, secondo il New York Times), insinuando che Kaspersky collabori con il governo russo senza però presentare prove e usando soltanto fonti anonime (che comunque non dichiarano che Kaspersky abbia attivamente aiutato la Russia a scoprire o rubare questi dati). Per quel che ne sappiamo finora, è molto plausibile che i criminali informatici che hanno sottratto i dati dell’NSA abbiano sfruttato qualche falla del software di Kaspersky senza il consenso dell’azienda.

In effetti, se ci pensiamo, un antivirus è il bersaglio ideale per una campagna di spionaggio: è un prodotto conosciuto e fidato, estremamente diffuso, aggiornato frequentemente, al quale gli utenti concedono per forza di cose un accesso totale ai propri dati. Riuscire a infettare un antivirus o prendere il controllo dei server dove gli utenti dell’antivirus caricano i campioni di malware rilevati sarebbe un colpo gobbo. Quello che è (a quanto pare) successo a Kaspersky, insomma, potrebbe succedere a qualunque produttore di antivirus, e non è detto che gli altri produttori siano immuni alle intrusioni o alle persuasioni delle proprie agenzie di sicurezza nazionale (o di quelle straniere).

Sottolineo che la vicenda è ancora nebulosa, anche se ben riassunta da Ars Technica, e non è chiaro se sia la ragione del recente divieto statunitense di usare prodotti di Kaspersky, su qualunque computer delle agenzie governative, visto che il furto risale al 2015. L’azienda ha negato con forza di aver collaborato con i servizi di spionaggio russi e Eugene Kaspersky in persona ha dichiarato che il suo antivirus ha semplicemente fatto quello che fanno tutti gli antivirus.

Una spy-story in piena regola, con risvolti geopolitici enormi, insomma: ma noi utenti comuni, che magari abbiamo scelto proprio Kaspersky come antivirus, cosa dobbiamo fare? Sicuramente ci conviene continuare a usare un buon antivirus, perché il rischio di essere attaccati da criminali informatici comuni è immensamente superiore (con poche eccezioni altolocate) a quello di essere presi di mira dalle spie informatiche russe. Mettiamola così: se per il governo russo (o per qualsiasi governo) siete un bersaglio informatico allettante, la scelta della marca di antivirus è l’ultimo dei vostri problemi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Scanner dell’iride sugli smartphone: scavalcabile anche a distanza

Una delle nuove tendenze nella sicurezza dei dispositivi mobili è il riconoscimento dell’iride. Sembra una buona idea: l’iride è una cosa che portiamo sempre con noi, il suo schema è unico sostanzialmente quanto un’impronta digitale, e rispetto a quest’impronta ha il vantaggio che non ne lasciamo copie in giro continuamente. Così Samsung propone lo sblocco tramite riconoscimento dell’iride del suo smartphone Galaxy S8.

Ma i ricercatori del Chaos Computer Club tedesco hanno messo alla prova questo sistema e l’hanno beffato con estrema facilità: come si può vedere nel video qui sotto, è vero che non lasciamo in giro copie dell’iride, ma l’iride è comunque facilmente copiabile a distanza usando una comune fotocamera digitale e fotografando il soggetto da una distanza non eccessiva. Non occorre avvicinarsi esageratamente: è sufficiente una foto scattata in condizioni di normale interazione sociale (a tavola o durante una lezione o una conferenza stampa, per esempio). Basta usare la modalità notturna, perché il sensore del Samsung Galaxy S8 usa gli infrarossi.

La foto viene poi stampata in grandezza naturale e viene applicata su di essa una comune lente a contatto per simulare l’aspetto e la riflettività di un occhio reale. Fatto questo, basta mostrare questa foto al telefonino per vederlo sbloccarsi come se avesse davanti il legittimo proprietario.

La cosa è piuttosto preoccupante perché, come nota Engadget, il riconoscimento dell’iride viene proposto anche come soluzione per le carte di credito (Mastercard) o come sostituto dei passaporti (Australia).

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
L'Internet delle Cose arriva in cucina: siamo fritti. O cotti?

L’Internet delle Cose arriva in cucina: siamo fritti. O cotti?

Il formato dei messaggi da inviare
alle cucine AGA “smart”.

AGA, la nota marca di cucine di fascia alta, ha pensato bene di far diventare “smart” uno dei suoi prodotti, ed è nata così la cucina iTotal Control. Questa cucina, come spiega con entusiasmo la sua pagina Web informativa, ha un forno che può essere acceso a distanza tramite un’app.

E a nessuno, a quanto pare, l’idea di poter accendere un forno in casa via Internet è sembrata neanche lievemente pericolosa.

Tant’è vero che i ricercatori della Pen Test Partners hanno scoperto che è facilissimo per chiunque prendere il controllo a distanza di questa cucina.

Secondo questi ricercatori, l’app della cucina non cifra le proprie comunicazioni e manda i messaggi in normale HTTP, per cui è facilissimo, per un aggressore, intercettare e modificare i comandi inviati.

L’app invia i comandi a un sito che poi invia un SMS alla cucina (sì, avete intuito correttamente: questa cucina ha una propria SIM e un proprio numero di telefonino).

La disinvoltura in fatto di sicurezza non finisce qui: la Pen Test ha scoperto che la pagina Web per la gestione degli account di controllo di queste cucine usa (di nuovo) HTTP al posto di HTTPS, per cui la password dell’utente transita su Internet senza protezioni; e soprattutto la pagina Web avvisa se si immette un numero di telefonino già iscritto al servizio.

A prima vista questo potrebbe sembrare un problema trascurabile, ma agli occhi di chi fa sicurezza informatica è una falla molto grave: infatti consente di tentare tutti i numeri di telefonino e trovare quelli delle cucine, compilando un elenco di numeri ai quali mandare comandi di accensione o spegnimento.

Ciliegina sulla torta, i ricercatori hanno raccontato che hanno avuto enormi difficoltà nel contattare qualcuno presso AGA per avvisare del problema: messaggi e telefonate rimasti senza risposta, promesse di essere richiamati mai mantenute, e i ricercatori sono stati persino bloccati su Twitter dagli account dell’azienda.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Apple, aggiornamenti importanti per tutti

Apple ha sfornato una serie di aggiornamenti importanti: macOS Sierra passa alla versione 10.12.4, iOS passa alla 10.3 (per iPhone dal 5 compreso in su, iPad dalla quarta generazione compresa e iPod touch dalla sesta generazione compresa), Safari è uscito in versione 10.1 e sono stati aggiornati Pages, Keynote e Numbers (la triade di applicazioni Apple analoghe a Word, Powerpoint e rispettivamente Excel). Per gli Apple Watch, inoltre, è ora disponibile watchOS 3.2.

Gli aggiornamenti risolvono varie falle di sicurezza, in particolare in macOS, annunciate di recente e rivelate nel corso di gare come Pwn2Own, che mettono in palio centinaia di migliaia di dollari di premi per chi riesce a prendere il controllo dei vari dispositivi e sistemi operativi dotati delle versioni più recenti di software. La tecnica usata viene tenuta segreta fino al giorno della gara e poi viene ceduta in via riservata al produttore del software, che così può aggiornare il proprio prodotto in modo sicuro.

Questo aggiornamento di Apple, in particolare, è piuttosto massiccio dal punto di vista della sicurezza, con 65 correzioni e 127 vulnerabilità risolte. Fra le falle risolte, alcune consentono di attaccare un dispositivo Apple usando semplicemente immagini, font e file di iBook, normalmente considerati innocui e facilimente incorporabili in pagine dall’aria innocente. Un altro attacco risolto consentiva a un adattatore Thunderbolt appositamente modificato di rubare la password di cifratura del disco rigido del Mac.

2017/04/03 22:50. Apple ha rilasciato la versione 10.3.1 di iOS, che corregge altre falle e magagne e consente l’installazione diretta dell’aggiornamento anche su iPhone 5.

Fonti: Apple, Apple, Ars Technica, Ars Technica, Ars Technica, Naked Security.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
No, la CIA non ti spia: Wikileaks gonfia la fuga di dati “Vault 7”

No, la CIA non ti spia: Wikileaks gonfia la fuga di dati “Vault 7”

Ultimo aggiornamento: 2017/03/14 13:40. 

Martedì scorso Wikileaks ha diffuso circa mezzo gigabyte di dati e documenti che, a suo dire, provengono direttamente dagli archivi della CIA e rivelano molti degli strumenti informatici dell’agenzia governativa statunitense. La compilation, chiamata Year Zero, farebbe parte di una collezione più ampia che Wikileaks chiama Vault 7. Le prime verifiche indipendenti indicano che almeno alcuni dei documenti pubblicati sono autentici.

La rivelazione è molto spettacolare: nei documenti vengono descritti strumenti decisamente inquietanti, capaci per esempio di infettare qualunque smartphone, di prendere il controllo di qualunque Smart TV della Samsung e trasformarla in un microfono permanentemente acceso anche quando il televisore sembra spento, e soprattutto viene elencata una serie di falle informatiche presenti in vari prodotti, compresi i computer Windows e Apple e molti antivirus, e tenute segrete per poterle sfruttare al momento opportuno. Secondo Wikileaks la CIA avrebbe anche modi per “scavalcare la cifratura” che protegge WhatsApp, Signal, Telegram e molte altre app di messaggistica ritenute sicure. Ma se avete una Smart TV o uno smartphone o un computer e state pensando di buttarli e di rinunciare a difenderli perché la CIA vi spia, è il caso che prendiate un bel respiro e non vi facciate prendere dal panico. Anche se l’esame di questi circa 8700 documenti è appena iniziato, ci sono già parecchi miti da smontare.

Prima di tutto, come principio generale, quasi tutti gli strumenti di spionaggio catalogati da Year Zero sono concepiti per infettare un singolo dispositivo per volta (le TV Samsung vanno infettate infilando una chiavetta USB) e non consentono sorveglianze di massa. Le probabilità che la CIA si prenda la briga di infettare personalmente i vostri dispositivi sono quindi estremamente basse (se non lavorate in ambienti particolarmente delicati).

Se avete paura per la vostra sicurezza informatica, è infinitamente più probabile che subiate un attacco di phishing o di ransomware fatto a caso da una delle tante bande di criminali informatici o che il vostro collega devasti i computer dell’azienda scaricandovi giochini o video infetti o rispondendo alla mail di un funzionario nigeriano che gli offre di spartire una grande somma di denaro (un’industria truffaldina che racimola almeno un miliardo di dollari l’anno). Conviene concentrarsi sulla difesa da questi pericoli realistici e non su quelli ispirati da James Bond.

In secondo luogo, la fuga di queste notizie riservatissime ha molte conseguenze positive per noi tutti. Certo, è una figuraccia per la CIA, ma è anche una conferma chiarissima delle ragioni che avevano spinto Tim Cook, boss di Apple, a rifiutarsi di collaborare con gli inquirenti statunitensi nello sbloccare l’iPhone di uno dei terroristi dell’attentato di San Bernardino nel 2016. Cook diceva che creare un grimaldello capace di sbloccare quell’iPhone avrebbe compromesso la sicurezza di tutti gli utenti iPhone del mondo, perché prima o poi quel grimaldello sarebbe sfuggito al controllo del governo e sarebbe finito nelle mani sbagliate. All’epoca quest’ipotesi era sembrata un po’ fantasiosa ed eccessivamente priva di fiducia verso le autorità: adesso i documenti della CIA trafugati dimostrano che era corretta.

Una seconda conseguenza positiva delle rivelazioni è che adesso le aziende che producono hardware e software possono sapere di queste falle tenute nascoste e correggerle. Va notato che in questa prima tranche di documenti ci sono solo informazioni generali sugli strumenti d’attacco ma non ci sono gli strumenti veri e propri, per cui è difficile che i criminali informatici possano usare questa fuga di dati per creare nuovi attacchi.

Allo stesso tempo la pubblicazione dei documenti da parte di Wikileaks ha messo in luce un problema di sicurezza generale: è giusto che un governo scopra delle falle di sicurezza nei prodotti di largo consumo, usati dai suoi stessi cittadini e dalle sue aziende strategiche, e le tenga segrete per poterle sfruttare, invece di informare le aziende produttrici e consentire di correggerle? È vero che conoscere queste falle conferisce un vantaggio nella lotta al terrorismo e nel controspionaggio, ma allo stesso tempo compromette la sicurezza dei cittadini e delle infrastrutture che il governo è tenuto a proteggere, come nota la Electronic Frontier Foundation. È difficile argomentare in modo credibile che siccome da qualche parte ci potrebbe essere un terrorista che usa una TV della Samsung è meglio lasciare milioni di persone esposte al rischio di intrusione e di stalking. Per fare un paragone, è come se un poliziotto passasse davanti a casa vostra, si accorgesse che la serratura della vostra porta di casa è difettosa, e invece di avvisarvi che è meglio cambiarla se ne andasse via facendo finta di niente e prendendo nota del difetto, caso mai gli dovesse servire entrare di soppiatto.

Inoltre le tecniche di intrusione descritte nei documenti resi pubblici fin qui non rivelano nulla di straordinario: si sospettava già da tempo che i servizi di sicurezza di vari governi ne disponessero e questi documenti non hanno sorpreso gli esperti. Semmai questi documenti sono interessanti perché mostrano dall’interno il modo di operare di una delle agenzie più segrete del mondo, spesso con risultati sorprendenti. Per esempio, i documenti trafugati mostrano che la CIA acquista attacchi informatici da società commerciali e da agenzie governative di altri paesi.

Per fare un altro esempio, i nomi dei vari strumenti d’attacco informatico sono presi spesso dalla cultura geek e giovanile. Spicca, per esempio, il programma Weeping Angel, “Angelo piangente”, che serve per attaccare le Smart TV: è una chiarissima citazione del telefilm britannico Doctor Who. Ci sono moltissimi nomi comici o ridicoli o citazioni da memi o videogiochi, come Philosoraptor o DRBOOM, e c’è addirittura una collezione di emoticon personalizzate (mostrata anche qui e nel documento originale): paradossalmente, questa fuga di dati umanizza parecchio gli operatori senza nome dell’agenzia.

Purtroppo il clamore giornalistico e un po’ di esagerazione drammatica stanno creando parecchi equivoci. Forse il più importante è che nei documenti resi pubblici non viene affatto detto che la CIA ha compromesso la crittografia di WhatsApp, Signal o Telegram, ma che è in grado di intercettare le digitazioni degli utenti in generale se riesce a infettare l’intero smartphone sul quale girano queste app. Quindi la sicurezza di queste app non è stata violata e non è affatto il caso di abbandonarle pensando “tanto è tutto inutile”: semplicemente, come per qualunque app, se il dispositivo è stato compromesso non c’è nulla che l’app possa fare per proteggere il suo utente. Anzi, secondo Moxie Marlinspike, creatore di Signal, il fatto che la CIA debba ricorrere all’infezione individuale dello smartphone significa che la crittografia di Signal è robusta contro le intercettazioni di massa. E se un intruso ha accesso fisico ai vostri dispositivi personali vuol dire che potrebbe fare ben di peggio, per esempio installando microspie tradizionali, senza prendersi la briga di architettare complicate infezioni.

Inoltre il fatto che la CIA sviluppi o tenti di sviluppare strumenti informatici d’attacco non significa necessariamente che li usi o che li abbia creati con successo. Per esempio, l’idea che la CIA studi tecniche per infettare i sistemi computerizzati che controllano il funzionamento delle nostre automobili per avere un modo di compiere delitti perfetti senza lasciare tracce è inquietante, soprattutto per chi ha un’auto interconnessa o addirittura aggiornabile via software da remoto (Tesla, per esempio, ma anche le altre marche che hanno centraline aggiornabili con un intervento locale), ma non vuol dire che ci sia riuscita, che lo faccia e che i costruttori di auto non possano prendere contromisure. Di fronte al rischio quotidiano di un incidente stradale, questi pericoli finiscono per essere puramente teorici.

Se volete leggere i dettagli di questa vicenda, consiglio gli articoli di Stefania Maurizi su Repubblica e di Carola Frediani su La Stampa.

Fonti aggiuntive: Washington Post, The Register, Gizmodo, Reuters, The Intercept.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Allarme generale per Cloudbleed, provo a fare il punto

Allarme generale per Cloudbleed, provo a fare il punto

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi per incoraggiarmi a scrivere ancora.

C’è parecchio panico in Rete per una falla di sicurezza molto estesa che è stata battezzata Cloudbleed. Provo a riassumere qui le cose essenziali da sapere.

Se avete moltissima fretta

Ê possibile che le vostre password e alcuni vostri dati personali siano stati disseminati pubblicamente per mesi a causa di un errore tecnico della società Cloudflare, usata da molti dei più diffusi servizi di Internet. La falla è stata corretta, ma in Rete ne restano dei residui.

Vi conviene cambiare tutte le password dei servizi online che usate e sui quali non non avete già attivato la verifica in due passaggi (autenticazione a due fattori). Cogliete quest’occasione per attivarla. Se vi sembra una raccomandazione troppo drastica, leggete i dettagli qui sotto. Non dite che non siete stati avvisati.

Questo problema non ha a che fare con i problemi avuti da molti utenti i cui account Google hanno dato strani messaggi di errore nei giorni scorsi.

Le password di 1Password non sono state violate, dice AgileBits (che gestisce 1Password).

Se avete meno fretta

L’esperto di sicurezza Tavis Ormandy (del Project Zero di Google) ha scoperto a metà febbraio scorso una grave falla nel software usato dalla società Cloudflare, alla quale si appoggiano per la distribuzione e la protezione dei contenuti molti dei nomi più popolari di Internet, come Uber, OKCupid, 1Password.

Questa falla ha disseminato per mesi, rendendoli visibili a chiunque, “messaggi privati di importanti siti d’incontri, messaggi completi provenienti da un noto servizio di chat, dati di gestori online di password, fotogrammi da siti per adulti, prenotazioni di alberghi. Stiamo parlando di richieste https integrali, indirizzi IP dei client, risposte complete, cookie, password, chiavi, dati, tutto”, ha scritto Ormandy, mostrando esempi come quello che ho incluso all’inizio di questo articolo e che riguarda Uber. Qui sotto ne vedete un altro, riferito a FitBit.

Cloudflare si è subito adoperata per risolvere il problema, che ora non si ripresenta più. La parte difficile è fare pulizia online dei dati disseminati in Rete, che sono reperibili nelle cache di Google e di altri motori di ricerca, anche se è in corso una purga a tappeto. Secondo Motherboard, questa purga non è stata completa, per cui è tuttora possibile trovare dati personali con un’apposita ricerca in Google.

La spiegazione tecnica dettagliata di Cloudflare è qui. La spiegazione semplificata di Gizmodo è questa: “il software di Cloudflare cercava di salvare i dati degli utenti nel posto giusto, che però si riempiva completamente. Così il software finiva per salvare i dati altrove, per esempio in un sito completamente diverso… I dati sono finiti nella cache di Google e di altri siti, per cui Cloudflare deve cercarli tutti prima che li trovino i criminali informatici.”

The Register riassume bene così: “a causa di un errore di programmazione, per vari mesi i sistemi di Cloudflare infilavano pezzi casuali di memoria dei server nelle pagine Web… visitando un sito Web gestito tramite Cloudflare poteva capitare di trovare pezzi del traffico Web di qualcun altro appiccicati in fondo alla pagina del browser… Immaginate di sedervi al ristorante, a quello che in teoria sarebbe un tavolo pulito, ma insieme al menu trovate anche il contenuto del portafogli del cliente precedente.”

L’esatta portata del danno (quali e quanti siti supportati da Cloudflare hanno subìto emorragie di dati riservati) non è ancora nota, scrive Gizmodo citando l’azienda, ma i siti coinvolti sono almeno 150. Se volete sapere se i siti che usate adoperano i servizi di Cloudflare e quindi potrebbero essere a rischio, immettete i loro nomi in Doesitusecloudflare.com. Non risulta, al momento, che criminali informatici abbiano utilizzato i dati diffusi per errore.

Ulteriori dettagli sono (in inglese) su Ars Technica.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.