skip to main | skip to sidebar
1 commento

Epic fail: 30 milioni di dati personali riservati messi online

I fallimenti informatici degli altri hanno un’importante funzione consolatoria: se avete rovesciato il caffè nel laptop del capo, potete sempre dire “beh, perlomeno non ho distrutto il server della contabilità”. Oppure, se volete essere realistici, potete dire “beh, perlomeno non ho messo online a portata di tutti i dati personali di trenta milioni di persone”.

È quello che è successo in Sud Africa: i dati di una trentina di milioni di cittadini, con nomi, cognomi, indirizzi, reddito stimato, cronologia occupazionale e molto altro, compreso l’identificativo unico di 13 cifre usato dall’amministrazione pubblica sudafricana, è finito misteriosamente online, come segnala Troy Hunt di HaveIBeenPwned.com. Un archivio di circa 27 GB, perfetto per furti d’identità su vasta scala e già smerciato fra i truffatori della Rete.

I dettagli della fuga di dati, paragonabile per gravità a quella recente di Equifax che ha interessato circa 140 milioni di americani e molti cittadini europei, sono su Iafrikan.com e indicano che i dati sono stati sottratti a una delle grandi aziende che doveva custodirli. Se volete dare un’occhiata senza pericolo, gli header descrittivi dell’archivio sono qui su Pastebin.com.

Ancora una volta, insomma, le aziende che dovrebbero proteggere i nostri dati sensibili, sfruttabili per truffe e crimini di ogni genere, si sono dimostrate incapaci di farlo. Non c’è insomma da stupirsi se poi il cittadino perde fiducia nell’informatizzazione delle amministrazioni pubbliche e dei servizi.
1 commento

Mr. Robot e il realismo dell’hacking televisivo

È iniziata da poco la terza stagione della serie televisiva Mr. Robot, che è oggetto di culto fra gli informatici non solo per la trama, tutta incentrata sull’hacking e sulle sue conseguenze negative e positive, ma anche per una caratteristica che la differenzia completamente da quasi tutte le altre serie TV che parlano d’informatica: il realismo delle tecniche di hacking utilizzate.

Senza fare spoiler, nella prima puntata di questa terza stagione viene mostrata la ricerca di un bersaglio informatico usando un motore di ricerca apposito, Shodan, che non è un’invenzione della serie TV ma esiste realmente (presso Shodan.io) e consente davvero di effettuare questo genere di scansione di tutta Internet. Basta creare un account gratuito e si ha accesso, per esempio, alle telecamere di sorveglianza incautamente connesse a Internet senza protezioni.

Ma si può fare anche di più: digitando title:"hacked by" nella casella di ricerca di Shodan si possono elencare i server web che sono stati violati e nei quali l’intruso ha lasciato la propria “firma”. L’elenco può essere filtrato per nazione aggiungendo country: seguito dalla sigla della nazione fra virgolette e senza spazi dopo il due punti (per esempio  country:"GB").

In Mr. Robot, Shodan viene usato per esempio per cercare i server della malefica multinazionale di fantasia che sta al centro della trama della serie, la E-Corp, che tutti chiamano Evil Corp. Il bello è che non solo il comando usato dal protagonista (org:"Evil Corp" product:"Apache Tomcat") usa una sintassi reale e consente di trovare davvero i server di una qualsiasi organizzazione, ma funziona davvero e portano ai siti web della E-Corp.


I produttori della serie, infatti, hanno creato realmente dei siti web funzionanti che fingono di essere la E-Corp. Se non volete tribolare con Shodan, potete trovarne uno (con tanto di schermata di login per “dipendenti” presso www.e-corp-usa.com. Buon divertimento.





1 commento

La curiosa lista delle pubblicità vietate di Google, paese per paese

Google è uno dei più grandi gestori di pubblicità digitale del pianeta, e a giudicare dal numero di inserzioni che offrono i prodotti più disparati e ridicoli che vediamo online sembrerebbe che non ci sia alcun limite a quello che si può pubblicizzare. Ma in realtà esiste una lista pubblica di prodotti di cui Google non consente la pubblicità, ed è differente da un paese all’altro, ed è intrigante da esplorare: un modo insolito di esplorare le differenze sociali e culturali fra i paesi.

Va detto che questa lista non è completa: è soltanto un’elencazione parziale e Google precisa che l’inserzionista rimane responsabile del rispetto delle leggi locali.

Sapevate che in Italia Google respinge la pubblicità di kit per il test per l’HIV e per la “pillola del giorno dopo”? O che in Bangladesh e Pakistan sono vietati gli spot per i cibi per neonati?

In Brasile, per esempio, ci sono restrizioni sugli strumenti di misura (quali non si sa) e sono vietate le pubblicità per candidati o partiti politici e quelle per creatina, carnitina e altre sostanze simili. In Francia e Germania, invece, sono vietate le inserzioni per i test di paternità e per Scientology. Nel Regno Unito ci sono restrizioni sugli sbiancanti per denti che contengano più dello 0,1% di perossido di idrogeno (o acqua ossigenata).

In Giappone spiccano i divieti di pubblicizzare forme di finanziamento da mercato nero e il voyeurismo fotografico.

In Russia, invece, sono vietati gli spot per gli accendini, per l’alcol etilico, per i dispositivi medici, per le valute virtuali e per la “saponina derivata dal cervo del nord” (che non sapevo neanche esistesse).

In Svizzera, Francia, Germania e Belgio è vietata la pubblicità di prodotti per il rilevamento di radar (presumibilmente quelli per i rilevatori stradali di velocità).

Se trovate altri esempi curiosi, segnalateli nei commenti qui sotto.
0 commenti

Panico per Wi-Fi insicuro? Da ridimensionare

Se ne parla ovunque da qualche giorno: come ho già segnalato, è stato scoperto che il WPA2, il protocollo di sicurezza che protegge abitualmente le connessioni Wi-Fi contro le intercettazioni, ha una serie di falle gravi che sono state denominate KRACK. Queste falle consentono di intercettare dati sensibili, come per esempio le password usate per collegarsi ai siti, e riguardano praticamente tutti i dispositivi digitali di ogni marca dotati di Wi-Fi: televisori “smart”, router Wi-Fi, smartphone, computer. Ma non è il caso di farsi prendere dal panico.

I fabbricanti di dispositivi, infatti, sono stati avvisati a luglio scorso dai ricercatori che hanno scoperto le falle e quindi quelli diligenti hanno già distribuito gli appositi aggiornamenti di sicurezza. Trovate qui una chilometrica lista di produttori di software vulnerabili e aggiornati: Apple, Microsoft, Linux, iOS e Android sono tutti coinvolti, ma hanno già distribuito gli aggiornamenti o li stanno per distribuire (eccetto quelli per i vecchi dispositivi Android, che è comunque il caso di cambiare per molte altre ragioni).

Un attacco basato su KRACK, inoltre, funziona soltanto se la vittima si collega a un sito usando HTTP (connessione non cifrata); se usa HTTPS, come avviene ormai in molti siti e soprattutto quando si digita la password di accesso, questo attacco non è possibile. Lo stesso vale se usate una buona VPN.

Ma il limite più importante di KRACK è che è sfruttabile soltanto se l’aggressore è nel raggio di azione della rete Wi-Fi usata dalla vittima. Questo rende impraticabili gli attacchi a distanza fatti a casaccio e in massa, che sono il metodo preferito dai criminali informatici. In altre parole, l’aggressore dovrebbe avercela proprio con voi: questo non capita molto spesso, e comunque si risolve usando le già citate connessioni cifrate (HTTPS e VPN).

Ci sono anche altre limitazioni che rendono KRACK difficile da sfruttare, ma quello che conta è che se aggiornate il software dei vostri principali dispositivi siete sostanzialmente al sicuro da KRACK. Il vero problema è fare l’inventario di tutti i dispositivi che usano il Wi-Fi: rimboccatevi le maniche e preparatevi a dedicare un po’ di tempo a questa magagna.


Fonti: Graham Cluley, Ars Technica, F-Secure, The Register.
9 commenti

MacOS X High Sierra, cambio utente troppo lento? Riparate i permessi


Da quando ho aggiornato il mio laptop Apple a macOS High Sierra, passare da un utente a un altro è diventato un processo lentissimo (ho due account utente sul laptop, uno per il lavoro generale e un altro che uso solo per fare presentazioni e conferenze, come ho raccontato qui).

Ho chiesto ieri sera su Twitter se altri avevano lo stesso problema, e in men che non si dica è arrivata la soluzione, grazie a @marcoluciano81: riparare i permessi.

Un rimedio classico, solo che in High Sierra la riparazione dei permessi non è più nel solito posto, ossia in Disk Utility/First Aid: bisogna aprire una finestra di terminale e digitare esattamente questo incantesimo.

diskutil resetUserPermissions / `id -u`

Compare un’animazione fatta con i caratteri che pare presa di peso dagli anni Ottanta e poi la riparazione finisce. La questione è spiegata in questa pagina di supporto Apple.

Ta-da! Ora la commutazione da un utente all’altro è rapidissima come lo era prima. Condivido qui queste brevi istruzioni, nel caso servano a qualcun altro. Grazie, siete sempre una risorsa preziosa.
Articoli precedenti