Vai al contenuto
Bimbo dice di sentire le voci di notte in cameretta: stavolta è vero

Bimbo dice di sentire le voci di notte in cameretta: stavolta è vero

Ricordate quando eravate bambini e vi mettevano a letto nella vostra cameretta e nella semioscurità ogni forma sembrava un mostro e faceva paura? Io ero particolarmente ossessionato da una vestaglia appesa dietro la porta della mia stanza: avrei giurato di averla vista muoversi tante volte.

Immaginate ora che vostro figlio venga a raccontarvi che ha paura perché di notte sente delle voci in camera sua. Probabilmente pensereste che se lo sta sognando o che sta manifestando la naturale paura infantile di restare solo. Dev’essere quello che hanno pensato Jay e Sarah, i genitori di un bimbo di tre anni negli Stati Uniti, quando il piccolo ha raccontato che sentiva le voci. Fino al momento in cui le hanno udite anche loro provenire dall’interno della cameretta: Sarah è entrata e ha sentito una voce dire “Svegliati bambino, papà ti sta cercando”.

Possessioni demoniache? No, semplicemente un baby monitor troppo tecnologico e insicuro. Oggi sono molto diffuse le versioni Wi-Fi di questi dispositivi per sorvegliare a distanza i bambini mentre dormono e sentire se piangono o hanno bisogno, e soprattutto vanno di moda le versioni bidirezionali, dove non solo si può vedere e ascoltare il bimbo ma si può anche parlare con lui.

Nel caso di Jay e Sarah, il baby monitor era accessibile da Internet a causa di una configurazione insicura e qualcuno lo ha scoperto (non è difficile) e ha cominciato a chiacchierare con il bambino.

Se avete dispositivi di questo genere, ricordate dunque di cambiare la loro password predefinita e di configurarli in modo che non siano accessibili dall’esterno e tenete aggiornato il loro software di gestione (spesso questi dispositivi vengono venduti con difetti di sicurezza che vengono corretti in seguito). Oppure lasciate perdere le soluzioni hi-tech e procuratevi un baby monitor tradizionale, che funziona via radio e non è così vulnerabile semplicemente perché non consente di parlare al bimbo.



Fonte: KDVR.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Basta un Wi-Fi ostile per mandare in tilt un iPhone o iPad

Basta un Wi-Fi ostile per mandare in tilt un iPhone o iPad

Parrebbe impossibile che un semplice segnale Wi-Fi possa mandare in crash uno smartphone, ma è così: i ricercatori della società di sicurezza Skycure hanno presentato pochi giorni fa la dimostrazione di come si può rendere inservibile qualunque dispositivo iOS recente (tipicamente iPhone e iPad) che usi iOS 8, semplicemente facendolo finire nel raggio d’azione di un’antenna Wi-Fi. Il telefonino o tablet entra in un ciclo di avvio e spegnimento continuo dal quale non c’è modo di uscire (a parte allontanarsi dall’antenna del Wi-Fi).

La trappola consiste in un certificato SSL alterato, inviato via Wi-Fi ai dispositivi iOS, che induce le app e iOS stesso ad andare in crisi. La difesa, a prima vista, sembra ovvia: basta non collegarsi ai Wi-Fi sconosciuti. Ma c’è un problema: i dispositivi iOS sono programmati in modo da connettersi automaticamente alle reti Wi-Fi che hanno certi nomi (per esempio attwifi per chi compra un abbonamento della società telefonica statunitense ATT).

Basta usare uno di questi nomi per la rete Wi-Fi ostile e i dispositivi vi si connetteranno automaticamente, andando in crash e riavviandosi talmente in fretta che non ci sarà modo di accedervi e spegnere il Wi-Fi. Immaginate cosa potrebbe fare un attacco del genere per esempio a Wall Street o in un centro commerciale o un ristorante: zittirebbe tutti gli iPhone, ma probabilmente farebbe imprecare rumorosamente i loro proprietari.

L’attacco è selettivo per i dispositivi iOS; gli Android e Windows Phone ne sono immuni. Skycure sta già collaborando con Apple per risolvere il difetto, ma nel frattempo è prudente tenere spento il Wi-Fi del proprio telefonino quando non si è vicini alla propria rete Wi-Fi fidata.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Anche Barbie farà la spia via Wi-Fi

Anche Barbie farà la spia via Wi-Fi

La nuova proposta di bambola della Mattel, denominata Hello Barbie, si collega a Internet via Wi-Fi ed è dotata di riconoscimento vocale. L’idea è che bambini e bambine parlino alla Barbie e ne ricevano delle risposte vocali interattive, creando un’esperienza coinvolgente.

Ma questo virtuosismo robotico-tecnologico implica degli effetti che vanno valutati bene prima di dare in mano ai minori una Barbie interattiva: le loro voci, infatti, vengono registrate e trasmesse a un server esterno. E la demo della Mattel mostra che Barbie fa ai bambini delle domande che li incoraggiano a condividere informazioni sui loro interessi e sulle loro famiglie. L’intento sembra proprio quello di usare la Barbie come strumento di raccolta di dati per il marketing. C’è anche il rischio che le conversazioni dei bambini contengano confidenze potenzialmente imbarazzanti.

Mattel ha dichiarato di essere “votata alla sicurezza” e che “Hello Barbie è conforme agli standard governativi”, ma abbiamo già visto con i social network, con le Smart TV e con altri dispositivi che come molte aziende antepongono i guadagni e la raccolta di dati alla privacy e alla sicurezza degli utenti. E se i vostri figli hanno bisogno di parlare con una bambola perché non hanno nessun altro con cui parlare, il problema non è più tecnologico.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
GoPro intercettabili via Wi-Fi

GoPro intercettabili via Wi-Fi

Si parla tanto di Internet delle Cose: tutto deve essere interconnesso. Si parla meno dei problemi di sicurezza e di privacy che quest’interconnessione può causare inaspettatamente.

Un esempio? Fate attenzione se avete usato le funzioni Wi-Fi della videocamera sportiva GoPro: la password che consente accesso alla videocamera e di vederne foto e video tramite smartphone era custodita in chiaro sul sito della GoPro.

Infatti il ricercatore di sicurezza informatica israeliano Ilya Chernyakov ha scoperto che c’era un difetto nella procedura di ripristino di nome e password Wi-Fi della GoPro, per cui l’identificativo SSID e la password della rete Wi-Fi create dalla videocamera venivano custoditi sul sito della GoPro in un file il cui link era facilissimo da indovinare (era basato su un numero progressivo). A titolo dimostrativo, Chernyakov ha scaricato le password di più di mille utenti GoPro.

In pratica questa falla consentiva a chiunque fosse a portata del segnale Wi-Fi di una GoPro di intercettarne le immagini e prenderne il controllo. Dato che queste videocamere vengono spesso usate non solo per riprese sportive ma anche per altre attività più intime, il rischio era significativo. La falla è stata notificata responsabilmente al produttore e ora è chiusa.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Utenti cedono il primogenito in cambio del Wi-Fi: burla a fin di bene

Utenti cedono il primogenito in cambio del Wi-Fi: burla a fin di bene

Ammettiamolo: praticamente nessuno di noi legge le condizioni di contratto dei servizi Internet. Europol ed F-Secure lo hanno dimostrato in maniera vivace e scherzosa creando in vari punti di Londra un accesso Wi-Fi pubblico le cui condizioni di fornitura prevedevano che l’utente doveva “dare il consenso ad assegnare il proprio figlio primogenito per la durata dell’eternità” ai gestori del servizio (immagine qui accanto).

Sei persone hanno accettato senza batter ciglio. I casi sono due: o non hanno letto le condizioni, oppure detestano i propri primogeniti. Ne parla il Guardian qui; il rapporto dettagliato di F-Secure è scaricabile qui.

La clausola non verrà fatta valere, ha dichiarato semiseriamente F-Secure, anche perché sarebbe contraria all’ordinamento giuridico britannico, che non prevede la vendita dei bambini in cambio di servizi gratuiti.

L’accesso Wi-Fi adoperava un kit molto economico che poteva essere nascosto in una borsetta e ha dimostrato, dopo che è stata rimossa la “clausola di Erode”, un altro dato importante e molto serio: il protocollo POP3, tuttora molto diffuso per la gestione della mail, a volte rivela le password trasmettendole in chiaro via Wi-Fi durante l’autenticazione iniziale, consentendo quindi di intercettarle e prendere il controllo della casella di mail dell’utente.

L’esperimento ha anche notato che i dispositivi rivelano in media i nomi degli ultimi 19 access point ai quali si sono collegati. Questo consente di identificare con precisione l’utente in base allo specifico bouquet di nomi che rivela: ne bastano quattro, secondo la ricerca. E ovviamente ci sono i nomi dei siti visitati e gli identificativi dei loro dispositivi: una bella collezione di dati identificativi, facili da raccogliere con un finto access point.

Un buon rimedio è usare una VPN (rete privata virtuale) quando si utilizza un accesso Wi-Fi pubblico, in modo da cifrare l’intero flusso di dati dell’utente, e spegnere il Wi-Fi sul proprio dispositivo quando si è in pubblico o nelle vicinanze di accessi Wi-Fi non fidati; infine si possono cancellare dalla memoria dei propri dispositivi i nomi delle reti Wi-Fi visitate.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Instagram, account rubabili usando Wi-Fi pubblici

Questo articolo vi arriva grazie alla gentile donazione di “stefano@gr*”.

C’è una falla in Instagram che permette di rubare gli account di chi lo usa su una rete Wi-Fi pubblica: la correzione è stata promessa, ma non è ancora attiva, per cui fino a quel momento è meglio usare Instagram soltanto su reti Wi-Fi private (o che non possano ospitare aggressori) oppure tramite la trasmissione dati della rete cellulare.

Stando alla descrizione di questa falla, rubare un account Instagram via Wi-Fi è davvero semplice a causa di una scelta tecnica ottusa da parte di Facebook, a riprova dell’idea che noi utenti, per i gestori dei social network, siamo carne da cannone: della nostra sicurezza e della nostra privacy, a loro, non frega assolutamente nulla.

Il problema è stato segnalato a Facebook da uno sviluppatore londinese, Stevie Graham, che però si è sentito dire che non verrà ricompensato per la sua segnalazione responsabile, come invece è avvenuto in altri casi, perché la falla è già nota a Facebook. Per cui ha deciso di rendere pubblica la vulnerabilità, in modo da spingere finalmente Facebook (proprietaria di Instagram) a sistemarla invece di ignorarla.

La falla sta nel fatto che l’app di Instagram usa l’HTTP per buona parte del proprio scambio di dati: il nome dell’account e il relativo numero vengono scambiati senza cifratura, per esempio, e c’è un cookie che può essere intercettato per accedere a Instagram spacciandosi per l’utente senza doversi riautenticare, potendo quindi leggere i messaggi dell’utente e postare a suo nome.

La tecnica è questa: l’aggressore si collega alla stessa rete Wi-Fi usata dalla vittima. Non importa se la rete è cifrata (Graham specifica WEP) o aperta. Poi l’aggressore mette la propria interfaccia di rete in modalità promiscua, ascoltando tutto il traffico della rete Wi-Fi, e lo filtra alla ricerca di riferimenti a i.instagram.com. Quando la vittima si collega a Instagram su quella rete Wi-Fi, l’aggressore cattura il cookie che viene trasmesso e lo usa per sostituirsi alla vittima e controllare il suo account. Tutto qui.

I dettagli sono descritti in questo post di Graham: nei miei test fatti di corsa, tuttavia, non sono riuscito a replicare l’attacco sui miei account Instagram usando dispositivi iOS e Android su una mia rete Wi-Fi senza cifratura. Se qualcuno riesce a fare di meglio, lo segnali nei commenti.

L’attacco è molto simile al Firesheep di qualche anno fa, tanto che Graham l’ha battezzato Instasheep. Un attacco praticamente identico è descritto qui da Mazin Ahmed, che consiglia di evitare l’app e di usare invece il sito Web per accedere a Instagram da dispositivi mobili.

Resta valida la raccomandazione di sempre: qualunque cosa postiate su un social network, date per scontato che sia pubblica e intercettabile.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Quanti informatici ci vogliono per cambiare una lampadina “smart” vulnerabile?

Quanti informatici ci vogliono per cambiare una lampadina “smart” vulnerabile?

“Internet delle cose” è lo slogan del momento e rappresenta l’idea che gli oggetti più disparati e impensabili dialoghino tra loro via Internet e senza fili; orologi, bilance televisori, lampadine, allarmi antifumo, defibrillatori, telecamere di sorveglianza. Si stima che entro il 2020 ci saranno oltre 26 miliardi di oggetti con Internet integrata. Sembra un’idea geniale, perché l’interconnessione consente di fornire servizi nuovi e utili e ridurre i costi, ma se non è realizzata con criterio diventa un rischio.

Molte aziende che non hanno esperienza di sicurezza informatica stanno integrando Internet nei propri dispositivi senza le dovute cautele e competenze, e i risultati si vedono: per esempio, è emersa di recente una falla che permetteva a chiunque fosse a portata di Wi-Fi di prendere il controllo delle lampadine “intelligenti” della LIFX.

Queste lampadine LED sono appunto interconnesse via Wi-Fi in modo da poter essere accese e spente tramite uno smartphone abilitato. Ma condividevano le credenziali di accesso alla rete Wi-Fi senza protezione adeguata, per cui era facile rubare queste credenziali semplicemente studiando come erano fatte le lampadine, analizzando il traffico di dati diffuso via Wi-Fi e imitando via computer il segnale di una lampadina “smart”.

Gli effetti di attacchi di questo genere sono notevoli: immaginate un virus che invece di bloccarvi il computer vi lascia al buio un intero edificio o vi assilla facendo accendere a caso le luci nel cuore della notte. Cosa forse peggiore, se le lampadine sono sulla stessa rete Wi-Fi utilizzata dai computer di un’azienda, possono essere usate come punto debole del sistema per captare la password della rete.

I ricercatori della Context Information Security che hanno scoperto la falla hanno agito responsabilmente e hanno allertato la casa produttrice delle lampadine, che ha reso disponibile un aggiornamento di firmware che risolve la falla. Ma resta il problema di informare gli acquirenti e nasce la situazione surreale di dover chiamare un informatico per aggiustare una lampadina.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Il capo della sicurezza dei mondiali di calcio rivela la password Wi-Fi

Il capo della sicurezza dei mondiali di calcio rivela la password Wi-Fi

L’articolo è stato aggiornato dopo la pubblicazione iniziale.

L’uomo nella foto qui accanto è Luiz Cravo Dorea, capo della sicurezza ai Mondiali in Brasile, ritratto nella sala controllo di uno stadio nel quale si disputano le partite. È coinvolto in una gaffe classica di sicurezza che ha fatto sorridere gli informatici, compresi quelli che non seguono affatto il calcio.

La foto è stata pubblicata dal Correio Braziliense e poi ritirata, ma troppo tardi: l’immagine stava infatti già facendo il giro del mondo su Twitter fra l’ilarità generale, perché nella foto, sul megaschermo del centro di sicurezza alle spalle di Luiz Cravo Dorea, campeggia questa dicitura:

Wifi Network: WORLDCUP
Password: b5a2112014

Presumibilmente la password è stata cambiata dopo la divulgazione, e non è la prima volta che questo genere d’incidente si verifica nei centri di sicurezza degli eventi sportivi (per esempio al Super Bowl di febbraio scorso), ma è un segno che le regole fondamentali della sicurezza non sono ancora state ben capite: se una password deve restare segreta, non la si mette su un megaschermo, e comunque in un centro di sicurezza (anche non sportivo, come questo nel Regno Unito) non deve essere permesso fare fotografie. Neanche allo scopo di farsi belli e di vantarsi delle dimensioni del proprio megaschermo.

Aggiornamento (13:40): La prima stesura di questo articolo indicava la società israeliana RISCO come responsabile del centro di controllo mostrato nella foto, come riportato da numerose fonti (per esempio Sophos, The Hacker News, Hackread, Giornalettismo, Il Secolo XIX), che indicavano inoltre che si trattava del centro di controllo dello stadio Arena Pantanal di Cuiaba, la cui sicurezza è appunto gestita da RISCO. Tuttavia un comunicato stampa della Risco Group Srl, ricevuto dopo la pubblicazione iniziale di questo articolo, dichiara l’estraneità di RISCO alla foto in questione e chiarisce che la foto è stata scattata nella sala controllo di un altro stadio, del quale RISCO non gestisce la sicurezza. In sintesi, RISCO non c’entra nulla con questa foto. L’articolo è stato aggiornato per rispecchiare questi nuovi dati.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.