Cerca nel blog

2011/08/05

Disinformatico, podcast del 2011/08/05

È disponibile temporaneamente sul sito della Rete Tre della RSI il podcast della puntata di stamattina (5 agosto) del Disinformatico radiofonico. Ecco i temi e i rispettivi articoli di supporto: mercato clandestino dei Denial of service, Hadopi indica che chi più pirata più compra, come aprire un'auto con un SMS, cifre del mercato dello spam e sondaggio che dice che gli utenti IE sono meno intelligenti.

Questi articoli erano stati pubblicati inizialmente sul sito della Rete Tre della Radiotelevisione Svizzera, dove attualmente non sono più disponibili. Vengono ripubblicati qui per mantenerli a disposizione per la consultazione.

Possono bastare 15 computer per paralizzare un sito

Si è parlato molto, di recente, degli attacchi informatici di interdizione, i cosiddetti "distributed denial of service", come quelli effettuati dal gruppo Anonymous, ed è facile pensare che bloccare l'accesso a un sito richieda competenze tecniche sofisticate e grandi risorse in termini di computer e di utenti partecipanti all'attacco.

Ma il ricercatore di sicurezza Brian Krebs getta luce su questo problema un vero e proprio mondo di mercenari digitali con tanto di tariffario. Visitando i forum giusti di Internet si può infatti affittare un "denial of service" su misura a prezzi che partono da cinque dollari l'ora.

Con 40-50 dollari l'ora si noleggia un denial of service che dura un'intera giornata; una settimana di interdizione costa da 350 a 400 dollari, mentre un mese costa 1200 dollari.

Questi prezzi sono possibili grazie al fatto che i computer di molti utenti sono inconsapevolmente infetti con virus che li trasformano in agenti di questi attacchi informatici. Il costo di una "botnet" di questo genere è quindi irrisorio per chi lo organizza.

Un altro dato interessante e inquietante che emerge da questa ricerca è il numero davvero esiguo di computer necessario per paralizzare l'accesso a un sito. Secondo Krebs, i gestori della botnet Darkness hanno un vero e proprio campionario di prestazioni, secondo il quale per abbattere un sito piccolo bastano da 15 a 30 PC; per un sito medio ne sono sufficienti 280; per uno grande ne bastano 800; uno grande con protezioni anti-denial crolla con 2500 computer. Qualunque sito, anche il più protetto, potrebbe essere isolato da Internet con non più di 20.000 computer coordinati.

Il primo passo verso l'eliminazione di questo mercato è la messa in sicurezza del proprio computer, affinché non diventi soldatino ignaro di quest'esercito di aggressori: per esempio, occorre usare un buon antivirus, installare gli aggiornamenti di sicurezza, evitare i siti che offrono programmi pirata e non aprire gli allegati inattesi.

Fonti: MSNBC, KrebsOnSecurity.

Chi più pirata, più compra: lo dice l'antipirateria francese

Può sembrare un controsenso, ma una ricerca recente indica che i più grandi "pirati", ossia coloro che scaricano da Internet contenuti protetti dal diritto d'autore, sono anche i più grandi acquirenti regolari di questi contenuti. Chi più scarica film, telefilm, libri o musica, più ne compra.

La fonte di questo dato, già suggerito in passato da altre ricerche più o meno di parte, è stavolta davvero al di sopra di ogni sospetto, perché è l'agenzia francese HADOPI: quella incaricata di combattere la pirateria audiovisiva via Internet arrivando, in casi estremi, alla disconnessione degli utenti colti in flagrante.

L'agenzia ha infatti condotto uno studio, intitolato Hadopi, biens culturels et usages d’internet: pratiques et perceptions des internautes français, dal quale lo studioso Joe Karaganis, di SSRC, ha estratto dei dati messi poco in evidenza che indicano questo legame stretto fra quantità di materiale piratato e quantità acquistata legalmente.

Il calo delle vendite nel settore musicale e audiovisivo sembrebbe smentire questo risultato, ma va notato che altri settori affini, come il software, non hanno subito tracolli paragonabili. Non si può certo argomentare che il file sharing aumenta le vendite, ma questa ricerca indica che trattare chi scarica come se fosse un semplice scroccone non è un approccio efficace e che gli scaricatori sono davvero disposti a pagare se hanno una buona ragione per farlo.

Il suggerimento, secondo alcuni critici, è che la risposta migliore alla pirateria è smettere di perseguire gli scaricatori come se fossero criminali e considerarli invece clienti ai quali non è stato fornito un servizio adeguato (come racconta efficacemente un utente di e-book sul Corriere della Sera) e per i quali occorrono quindi modelli commerciali più moderni.

Fonti aggiuntive: BoingBoing, TechDirt.

Si può aprire la serratura di un'auto con un SMS

Ci sono tanti modi per divertirsi a Las Vegas, ma quello scelto da Don Bailey e Matthew Solnik è decisamente originale: aprire le automobili altrui usando gli SMS.

Lo hanno dimostrato durante la conferenza che hanno tenuto nel corso del convegno Black Hat presso il Caesars Palace: sono riusciti non solo ad aprire le serrature di un'automobile mandando un apposito SMS dal loro telefonino Android, ma anche ad accenderne il motore. Secondo i due esperti di sicurezza la stessa tecnica è utilizzabile anche per sabotare sistemi industriali, reti elettriche e telefoniche e acquedotti. I nomi e i modelli d'automobile colpiti da questa vulnerabilità non sono stati resi noti (tranne uno), ma si tratta di esemplari venduti principalmente sul mercato statunitense e dotati di funzioni di comando via SMS teoricamente protette da sistemi di sicurezza.

Bailey e Solnik hanno dimostrato che è possibile creare una rete GSM fittizia, intercettare i messaggi di autenticazione usati da questi sistemi per le comunicazioni fra l'automobile e il centro di controllo autorizzato, e hanno battezzato questa tecnica "war texting".

La stessa tecnica consente di prendere il controllo di antifurto, sistemi di tracciamento via GPS e sistemi di domotica e automazione industriale e anche di sostituirsi ad essi, inviando per esempio informazioni di posizione fasulle. La vulnerabilità deriva dal fatto che i fabbricanti di questi dispositivi si sono fidati del fatto che i sistemi di comunicazione erano poco conosciuti o segreti e che quindi, secondo loro, non era necessario proteggerne il flusso di dati usando la cifratura.

Bailey ha invece notato che il traffico di dati era liberamente intercettabile proprio perché non era cifrato e quindi era facile capirne il funzionamento. Inoltre i dispositivi attualmente utilizzati sono promiscui, nel senso che comunicano con qualunque altro dispositivo invece di limitarsi a scambiare dati con i server del fabbricante dell'automobile o dell'apparato nel quale sono incorporati. Il problema è insomma risolvibile con una semplice presa di coscienza da parte dei fabbricanti del fatto che il concetto di "sicurezza tramite segretezza" (security through obscurity) non funziona e con l'acquisto di componenti GSM leggermente più costosi che includano funzioni di crittografia.

Fonti: CNN, Dark Reading.

I numeri del mercato dello spam: forse c'è una soluzione

Quanti messaggi di spam ci vogliono per guadagnare 100 dollari? 12,5 milioni. Un numero impressionante, eppure nonostante tutto gli spammer prosperano. Il motivo è semplice: hanno costi sostanzialmente nulli, perché mandano miliardi di mail ogni giorno attraverso i computer altrui che hanno infettato. Sono passati sette anni da quando Bill Gates fece la celebre previsione dell'eliminazione dello spam entro due anni e oggi il 90% di tutte le mail spedite è spam. Ma forse c'è una soluzione piuttosto originale.

Un articolo pubblicato da un gruppo di ricercatori del dipartimento d'informatica della University of California San Diego e della University of California Berkeley racconta che per tre mesi i ricercatori hanno disattivato tutti i filtri e raccolto tutto lo spam che ricevevano: in totale un miliardo di messaggi.

Poi hanno fatto acquisti dai siti reclamizzati nei messaggi di spam, scoprendo un dettaglio curioso ma fondamentale: il 95% di tutti gli acquisti effettuati da questi siti tramite carta di credito passa per tre sole banche. Una è in Azerbaigian, una è in Danimarca e una si trova nelle Indie Occidentali britanniche.

Questo significa, secondo i ricercatori, che se si riuscisse a convincere queste tre banche a smettere di intrattenere rapporti d'affari con gli spammer (e se si perseguissero gli istituti bancari che dovessero tentare di prendere il loro posto) il problema dello spam verrebbe risolto, perché senza un modo per raccogliere soldi il mercato dello spam non può sopravvivere. Invece di una soluzione informatica che stenta a palesarsi, insomma, serve una soluzione concreta nel mondo reale.

Antibufala: sondaggio dimostra che chi usa Internet Explorer è meno intelligente

Secondo la società canadese ApTiquant, gli utenti di Internet Explorer, in particolare quelli della versione 6, hanno un quoziente d'intelligenza inferiore alla media e ci sarebbe un nesso diretto fra intelligenza e tipo di browser utilizzato. I più intelligenti sarebbero invece gli utenti di Opera. Questi sono alcuni dei risultati emersi da un sondaggio fra 101.326 internauti, sottoposti da ApTiquant a un test d'intelligenza i cui dati sarebbero stati poi correlati al browser adoperato.

La notizia è stata riportata ampiamente da molte testate in tutto il mondo (in lingua italiana è stata segnalata per esempio da Bluewin.ch e La Stampa), comprese quelle specialistiche (per esempio Macity, PianetaTech, Punto Informatico), ma si è rivelata un falso, anzi una burla architettata da Tarandeep Gil, imprenditore e sviluppatore web, allo scopo di attirare attenzione sul problema degli utenti che non aggiornano i propri programmi, spesso incompatibili con gli standard attuali, ma anche di attirare attenzione sul proprio sito di acquisti online.

Gli indizi c'erano tutti, ma la natura ghiotta della notizia ha impedito a molti di notarli: il sito della ApTiquant era stato attivato soltanto il mese scorso e le immagini dei dipendenti pubblicate sul sito erano state copiate dal sito della società di ricerca francese Central Test.

Si tratta, insomma, di marketing virale molto azzeccato, che ha fatto leva sulle emozioni; il documento PDF contenente la ricerca fasulla non risulta contenere virus o altri codici ostili.

Fonti aggiuntive: BBC, The Inquirer.

Nessun commento: