skip to main | skip to sidebar
1 commento

Scandagliare tutta Internet? Bastano poche ore


Da qualche tempo c'è una frenesia commerciale intorno alla cosiddetta Internet delle cose: l'idea di connettere alla Rete non più soltanto computer, tablet e telefonini, ma anche dispositivi di altro genere, come televisori, lavatrici, sensori di fumo, sistemi di sorveglianza e telecontrollo. Spesso, però, questi dispositivi non hanno le dotazioni di sicurezza necessarie contro le intrusioni.

Shodan è un motore di ricerca molto particolare dedicato a questi dispositivi che permette di verificare se i dispositivi (proprio o altrui) sono vulnerabili o perlomeno accessibili. I risultati non sono incoraggianti: non solo ci sono moltissimi dispositivi accessibili e “protetti” (si fa per dire) dalla password predefinita (tipicamente admin:admin), ma con le risorse di Shodan oggi è possibile esplorare tutta Internet in poche ore alla ricerca di questi dispositivi. Diversamente da quanto avveniva in passato, oggi non si può più fare affidamento sulla speranza di non essere trovati.

John Matherly, fondatore di Shodan, il 2 agosto scorso ha scandagliato in modo innocuo (con un semplice ping) tutti gli indirizzi IP di tutta Internet nel giro di cinque ore. Dai dati raccolti ha generato poi la mappa che vedete qui sopra. I punti rossi indicano la maggiore concentrazione di dispositivi connessi. In altre parole, se volete indicare su una mappa dov'è materialmente Internet, quest'immagine è una buona approssimazione.
0 commenti

75.000 iPhone infettati: colpa degli utenti che li craccano

Se lo lasciate stare, l'iPhone vive in un ecosistema piuttosto sicuro: Apple consente di installarvi soltanto app verificate, e per questo non c'è in giro molto malware per iPhone, nonostante sia una piattaforma appetibile per i criminali informatici. Ma ci pensano gli utenti a minare questa sicurezza: spinti solitamente dalla voglia di installare app a scrocco, di provenienza non verificata, fanno jailbreak (craccano), spalancando così le porte al malware e alla creatività dei malfattori.

Virus Bulletin segnala un'app ostile, denominata asiPh/AdThief-A, che ha effetto soltanto sugli iPhone, iPod touch o iPad craccati e usa un metodo insolito per guadagnare dalle infezioni: la frode pubblicitaria.

AdThief-A, infatti, intercetta le pubblicità presenti in molte app gratuite autentiche e ne sostituisce il codice di affiliazione: in questo modo, quando l'utente tocca una pubblicità, i soldi degli inserzionisti vanno al creatore del malware invece che ai creatori delle app genuine. 

Secondo IT Pro, sono già 75.000 i dispositivi iOS craccati che sono stati infettati da AdThief-A. Facendo due conti in tasca ai malfattori, se il malware riesce a sottrarre un centesimo di dollaro al giorno dalle app regolari sul 10% dei telefonini infettati, porta nelle tasche del criminale che l'ha realizzato 30.000 dollari l'anno.

È vero che in questo caso i soldi rubati non escono dalle tasche degli utenti infettati, ma proprio per questo l'incentivo a rimuovere l'infezione è basso e quindi molti utenti vanno avanti come se niente fosse, alimentando il mercato del crimine online.

Non esistono antivirus per iOS (Apple non li consente), per cui restano due regole di fondo: primo, non craccate il vostro iCoso; secondo, non lasciate che un iCoso craccato usi la vostra rete informatica, specialmente in azienda. Potete identificare i dispositivi iOS craccati usando software appositi, offerti dalle principali società di sicurezza informatica.
7 commenti

Spiare un computer soltanto toccandolo? Non è fantascienza

Decifrare le comunicazioni di un computer semplicemente toccandolo con le dita: se uno scenario del genere fosse proposto al cinema o in una serie TV, probabilmente verrebbe liquidato come un altro esempio delle assurdità partorite dagli sceneggiatori a corto di idee. Ma sull'MIT Technology Review è stato segnalato un articolo proveniente dalla Tel Aviv University e intitolato Leva le mani dal mio laptop (Get Your Hands Off My Laptop), che spiega in dettaglio come è possibile usare il semplice tocco per decodificare le chiavi crittografiche che proteggono i dati di un computer.

In pratica, si tocca con un filo elettrico (o, più disinvoltamente, con le mani preferibilmente sudate, così conducono meglio la corrente elettrica) una parte del computer che conduce corrente, come le alette di raffreddamento, la schermatura delle porte USB, Ethernet, VGA, HDMI e simili, oppure uno dei cavi che collegano il computer a una periferica.

In questo modo, usando appositi strumenti di cattura e amplificazione (può bastare uno smartphone con qualche semplice accessorio), si capta e si misura la corrente che circola nel computer, che non è fissa, ma varia in base ai calcoli che il computer sta facendo istante per istante. L'analisi di queste variazioni di corrente permette di estrarre le chiavi di cifratura RSA in pochi secondi e quindi decifrare tutte le comunicazioni cifrate del computer.

Inquietante, ma le contromisure sono comunque piuttosto semplici: quella ovvia è non permettere a nessuno di toccare il computer, anche se questo non sempre è facile. Secondo gli esperti dell'MIT Technology Review, è possibile evitare questi attacchi aggiungendo dati casuali alle attività di calcolo.

8 commenti

Togliere la batteria al telefonino non gli impedisce di fare la spia

Fonte: HowStuffWorks.com
Una delle dicerie più diffuse a proposito delle tecniche per difendersi dalle intercettazioni raccomanda di rimuovere la batteria dal telefonino per evitare che il dispositivo possa essere usato come microspia ambientale. Secondo i dati presentati da Stackexchange, tuttavia, questa precauzione potrebbe non bastare ed è inutilmente complicata.

Alcuni telefonini, infatti, contengono una seconda batteria seminascosta, molto più piccola di quella principale, che serve per alimentare l'orologio interno (il chip di clock, in gergo). In teoria, questa batteria (mostrata a destra nella foto qui accanto insieme ad un altoparlante e a un microfono di cellulare), oppure un condensatore, può alimentare non solo l'orologio, ma anche altri circuiti del telefonino, almeno per brevi periodi.

Per esempio, potrebbe alimentare soltanto il microfono, un processore e una memoria nella quale registra una conversazione; potrebbe poi inviare la registrazione all'ipotetico sorvegliante quando viene ricollegata la batteria principale e il telefonino si riconnette alla rete cellulare.

Se volete sapere se il vostro telefonino contiene questa batteria supplementare, potete mettere il telefonino in modalità aereo, segnare l'ora esatta indicata dal dispositivo, spegnere il telefonino, togliere la batteria e la SIM e aspettare circa cinque minuti. Passati questi minuti, potete rimettere a posto la batteria (ma non la SIM) e riaccendere il telefonino, che dovrebbe restare automaticamente in modalità aereo e quindi non può ricevere dalla rete cellulare il segnale dell'ora esatta. Guardate che ora indica il telefonino: se è ancora esatta, vuol dire che qualcosa ha tenuto alimentato il suo orologio interno.

Complicato, vero? C'è per fortuna una precauzione meno complicata: lasciare altrove il telefonino.


2 commenti

Se una scimmietta si fa un selfie, di chi è il copyright sulla foto?

Il diritto d'autore è una bestia strana. Nel 2011, il fotografo David Slater era in Indonesia e si è visto sottrarre la fotocamera da una scimmietta, che pigiandone i comandi ha scattato numerose foto, compreso il bell'autoscatto che vedete qui accanto.

L'immagine ha avuto un notevole riscontro nei media e Slater presumeva di poterne ricavare un buon introito tramite i diritti d'autore, ma Wikipedia ha obiettato che la foto non era di proprietà di Slater e l'ha pubblicata, dichiarandola libera da diritti.

Slater ha contestato la pubblicazione della sua foto, ma il Copyright Office statunitense ha da poco dato ragione a Wikipedia, affermando che il diritto d'autore esiste soltanto se l'autore materiale è un essere umano. Nel caso di una foto, non basta essere proprietari della fotocamera che fa lo scatto; bisogna essere la persona che preme il pulsante (o il telecomando).

In una bozza della sua guida normativa aggiornata di ben 1222 pagine, il Copyright Office ha messo in chiaro che per le leggi statunitensi non sono soggette al diritto d'autore le opere (fotografie, testo, disegni) prodotte da “la natura, da animali o piante” oppure “asseritamente create da esseri divini o soprannaturali”. Per esempio, un murale dipinto da un elefante non è di proprietà del padrone dell'elefante. Gli autoscatti prodotti dai fantasmi, insomma, non sono protetti dal copyright.

Fonti: Telegraph, Ars Technica.