skip to main | skip to sidebar
3 commenti

Instagram, account rubabili usando Wi-Fi pubbliici

Questo articolo vi arriva grazie alla gentile donazione di “stefano@gr*”.

C'è una falla in Instagram che permette di rubare gli account di chi lo usa su una rete Wi-Fi pubblica: la correzione è stata promessa, ma non è ancora attiva, per cui fino a quel momento è meglio usare Instagram soltanto su reti Wi-Fi private (o che non possano ospitare aggressori) oppure tramite la trasmissione dati della rete cellulare.

Stando alla descrizione di questa falla, rubare un account Instagram via Wi-Fi è davvero semplice a causa di una scelta tecnica ottusa da parte di Facebook, a riprova dell'idea che noi utenti, per i gestori dei social network, siamo carne da cannone: della nostra sicurezza e della nostra privacy, a loro, non frega assolutamente nulla.

Il problema è stato segnalato a Facebook da uno sviluppatore londinese, Stevie Graham, che però si è sentito dire che non verrà ricompensato per la sua segnalazione responsabile, come invece è avvenuto in altri casi, perché la falla è già nota a Facebook. Per cui ha deciso di rendere pubblica la vulnerabilità, in modo da spingere finalmente Facebook (proprietaria di Instagram) a sistemarla invece di ignorarla.

La falla sta nel fatto che l'app di Instagram usa l'HTTP per buona parte del proprio scambio di dati: il nome dell'account e il relativo numero vengono scambiati senza cifratura, per esempio, e c'è un cookie che può essere intercettato per accedere a Instagram spacciandosi per l'utente senza doversi riautenticare, potendo quindi leggere i messaggi dell'utente e postare a suo nome.

La tecnica è questa: l'aggressore si collega alla stessa rete Wi-Fi usata dalla vittima. Non importa se la rete è cifrata (Graham specifica WEP) o aperta. Poi l'aggressore mette la propria interfaccia di rete in modalità promiscua, ascoltando tutto il traffico della rete Wi-Fi, e lo filtra alla ricerca di riferimenti a i.instagram.com. Quando la vittima si collega a Instagram su quella rete Wi-Fi, l'aggressore cattura il cookie che viene trasmesso e lo usa per sostituirsi alla vittima e controllare il suo account. Tutto qui.

I dettagli sono descritti in questo post di Graham: nei miei test fatti di corsa, tuttavia, non sono riuscito a replicare l'attacco sui miei account Instagram usando dispositivi iOS e Android su una mia rete Wi-Fi senza cifratura. Se qualcuno riesce a fare di meglio, lo segnali nei commenti.

L'attacco è molto simile al Firesheep di qualche anno fa, tanto che Graham l'ha battezzato Instasheep. Un attacco praticamente identico è descritto qui da Mazin Ahmed, che consiglia di evitare l'app e di usare invece il sito Web per accedere a Instagram da dispositivi mobili.

Resta valida la raccomandazione di sempre: qualunque cosa postiate su un social network, date per scontato che sia pubblica e intercettabile.
4 commenti

Ci vediamo ad Agrigento il 5 agosto al Festival della Scienza?

Il 4 agosto prossimo inizierà ad Agrigento, nella Valle dei Templi, il Festival della Scienza: fra gli ospiti ci saranno gli astronauti Paolo Nespoli (10 agosto, in carne e ossa) e Luca Parmitano (sempre 10 agosto, in collegamento da Houston) e molti divulgatori di scienza, in particolare di astronomia e tecnologia spaziale. Sono previste osservazioni del cielo con il telescopio insieme a molti altri eventi fra scienza e arte.

Io sarò insieme a Paolo D'Angelo e Raimondo Moncada il 5 agosto, dalle 21 in poi, per la serata Una notte di 45 anni fa: il racconto della Luna tra realtà e fantasia, nella quale io mi occuperò delle tesi di complotto lunare vere e fasulle, D'Angelo combinerà musica e testi dedicati alla Luna e alle stelle e Moncada sarà la voce narrante delle parti letterarie.

Come consueto, porterò con me una manciata di copie del mio libro sul lunacomplottismo e un po' di penne USB contenenti il mio documentario Moonscape. Vi aspetto! Per tutti i dettagli e il calendario completo degli eventi, visitate questa pagina di Notteconlestelle.it.
7 commenti

Record spaziale: quaranta chilometri su un altro pianeta

Questo articolo vi arriva grazie alla gentile donazione di “lawg*” e “emme-pi” ed è stato aggiornato dopo la pubblicazione iniziale.

A volte sembra che l'esplorazione spaziale sia un po' ferma, probabilmente perché dal 1972 le missioni umane, di grande impatto sul pubblico, sono limitate all'orbita terrestre, con distanze da Terra misurate in centinaia di chilometri anziché in centinaia di migliaia, ma in realtà l'avventura nello spazio è attiva come non mai, grazie alle missioni robotiche. Abbiamo sonde spaziali al lavoro un po' dappertutto nel sistema solare.

Da Marte è arrivata ieri la notizia del superamento di un record spaziale che era imbattuto dagli anni Settanta: quello per la massima distanza percorsa sulla superficie di un altro corpo celeste.

Il veicolo Opportunity della NASA, atterrato su Marte nel 2004, ha totalizzato quaranta chilometri di percorrenza sulle proprie ruotine, togliendo il primato al Lunokhod russo, che lo deteneva dal 1973 per aver percorso sulla Luna 39 chilometri. Al terzo posto c'è ora il rover di Apollo 17, che coprì quasi 36 chilometri sulla Luna nel 1972 ma si merita una menzione speciale perché aveva a bordo due astronauti.

Abbiamo costruito un robot che ha fatto quaranta chilometri su Marte ed è riuscito a durare dieci anni in un ambiente ostile senza riparazioni. Mica male. Di fronte a massacri, tragedie e continue dimostrazioni dell'idiozia umana, ogni tanto è bene ricordarsi di cosa siamo capaci quando smettiamo di litigare.

Questa è una mappa della strada fatta fin qui da Opportunity:

Credit: NASA/JPL-Caltech/MSSS/NMMNHS
12 commenti

La regola delle cinque W del giornalismo? La Stampa la applica alla lettera

Questo articolo vi arriva grazie alla gentile donazione di “mariantg” e alla segnalazione di @DPlavan.

In inglese le cinque W (who, what, when, where, why) sono la base assoluta della composizione giornalistica: l'articolo deve spiegare chi, cosa, quando, dove e perché è successo il fatto raccontato.

Ma a La Stampa qualcuno, specificamente Raphaël Zanotti, le ha prese un po' troppo alla lettera (link). Trattare così la morte di due persone non è una bella dimostrazione di serietà redazionale.




13 commenti

Fukushima, “un suicidio ogni dieci minuti” secondo il Fatto Quotidiano

Questo articolo vi arriva grazie alla gentile donazione di “rush777” e “aldo.da*” e alla segnalazione di @fabioghibli ed è stato aggiornato dopo la pubblicazione iniziale.

Regola numero uno del giornalismo: se sbagli, ammettilo.

Regola numero uno del giornalismismo: se sbagli, prova a far sparire ogni traccia dello sbaglio e fa' finta di niente, tanto su Internet si può e non ti sgama nessuno.

Indovinate qual è stata la scelta del Fatto Quotidiano: ieri ha pubblicato un articolo, a firma di Pio d'Emilia, intitolato “Fukushima, la città del disastro nucleare con un suicidio ogni dieci minuti”. Mio screenshot:



Nell'articolo c'era questo calcolo che giustificava il dato davvero impressionante sui suicidi: “Dall'aprile 2011, nella prefettura di Fukushima, si sono registrati 1500 suicidi: più di 5 l'ora, uno ogni 10 minuti”. Sì, avete letto bene. Mio screenshot per gli increduli:


Il numero dei suicidi è drammatico, ma sarà vero? Se Pio d'Emilia riesce a massacrare l'aritmetica di base in questo modo, come faccio a fidarmi di qualunque cifra che mi propone? E in subordine, come è stato possibile commettere un errore così colossale e oltretutto pubblicarlo?

Il Fatto Quotidiano a questo punto aveva un problema: l'aritmeticretinata si poteva anche togliere dall'articolo facendo finta di nulla, ma l'URL dell'articolo era basato sul titolo e quindi avrebbe conservato “un-suicidio-ogni-dieci-minuti” come chiara prova del misfatto. L'URL, infatti, era questo: http://www.ilfattoquotidiano.it/2014/07/28/fukushima-la-citta-del-disastro-nucleare-con-un-suicidio-ogni-dieci-minuti/1071175/.

Soluzione: ammettere l'umana fallibilità e chiedere scusa? Assolutamente no. Quell'URL ora porta infatti a quest'altro URL immacolato: http://www.ilfattoquotidiano.it/2014/07/28/fukushima-nella-citta-del-disastro-nucleare-1500-suicidi-da-aprile-2011/1071175/, dove c'è un articolo riscritto e corretto. Errore? Quale errore? Non c'è mai stato nessun errore. Screenshot attuali:





Ecco fatto! Problema risolto! Figuraccia evitata! Non siamo mai stati asini in aritmetica! Nessuno si accorgerà mai che abbiamo scritto una scempiaggine che squalifica tutto l'articolo e chi l'ha scritto.

...Come hai detto? La copia cache di Google? E cos'è?

Sveglia, Fatto Quotidiano. I tempi in cui le cazzate giornalistiche si coprivano cacciandole nel dimenticatoio della carta stampata, che oggi è giornale e domani è carta igienica, sono finiti da un pezzo. Oggi, se si vuole essere presi sul serio, bisogna essere trasparenti. Perché i lettori non sono scemi, non vogliono essere presi per scemi e oggi hanno a disposizione gli strumenti per farvi le pulci.