skip to main | skip to sidebar
38 commenti

Disinformatico radio, podcast di oggi: il caso Mat Honan

Stamattina ho dedicato la prima puntata del Disinformatico radiofonico dopo la mini-pausa estiva all'“hackeraggio epico” subìto da Mat Honan, giornalista di Wired, ai primi del mese. Se ne è parlato tanto in Rete, ma io ho la fortuna di occuparmene a distanza di due settimane e di poter quindi fare un sunto di come è realmente andata la vicenda, senza le false piste dei primi giorni.

Nella violazione degli account di Honan ci sono lezioni per tutti e un potente promemoria del fatto che il cloud e la cancellazione a distanza sono armi a doppio taglio. Il giornalista si è trovato con il computer, il tablet e lo smartphone completamente azzerati e ha perso un anno di dati e foto personali. E questo è solo l'inizio.

Se vi interessa, trovate il mio racconto della disavventura di Mat Honan sul sito della Rete Tre della RSI sotto forma di serie di articoli e come podcast.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (38)
Non ho capito una cosa. Se la motivazione era prendere possesso dell’account twitter perché al tizio piaceva la brevità del nome, per quale motivo dopo averne preso possesso ha iniziato a sparare messaggi “razzisti e omofobi”?
Sinceramente penso che mat,, per essere un "esperto" di informatica, si è dimostrato un dilettante all'ennesima potenza.
Io sarò paranoico, ma le mie foto, i miei e-book, e le informazioni che ritengo importanti per me sono su almeno 2 computer e su almeno un disco esterno.
Sono già stato scottato dalla perdita di alcuni documenti, anche se non importanti, e da allora seguo questa tecnica.
Poi, NON MI FIDO del cloud, anche perché i miei dati sono miei, non di qualche fornitore di servizi internet più o meno affidabile.
Sarà che sono "vecchio" (informatico dal 1976), che lavoro nell'ambito della sicurezza informatica, ma certi comportamenti non li capisco proprio.
E improvvisamente Attivissimo diventa un sostenitore della "security through obscurity" decidendo di non svelare il metodo usato dall'hacker per prendere il controllo dell'account Amazon. Detto metodo però si può leggere direttamente nell'articolo di Honan :P
Vale,

Sarà che sono "vecchio" (informatico dal 1976), che lavoro nell'ambito della sicurezza informatica, ma certi comportamenti non li capisco proprio.

Neanche io. Ma Honan è giovane e per lui salvare nel cloud è normale. Noi siamo della generazione che si preoccupava del Click della Morte degli Iomega ZIP.

Il mio capo recuperava i nastri di backup IBM accartocciati dal lettore spianandoli con le unghie. Non sto scherzando.
Alexandre,

Attivissimo diventa un sostenitore della "security through obscurity"

Se nell'articolo fornisco il link alle informazioni, non è obscurity. E' un tast di competenza. I fiammiferi si mettono in un ripiano alto dell'armadietto, no? :-)
Alexandre,

per quale motivo dopo averne preso possesso ha iniziato a sparare messaggi “razzisti e omofobi”?


Bella domanda. Da uno che ruba un account Twitter solo perché è corto dubito che otterrai una risposta sensata :-)
@Paolo. Non ho nessun motivo per dubitare dello spianamento del nastro fatto dal tuo capo.
Mi ricordo le maledizioni che si lanciava quando un floppy (magari da 8") faceva "quel" rumore che indicava l'impossibilità di leggerlo.
Io mi ricordo quando si aggiustava il nastro perforato con lo scotch...


La risposta è che quel ragazzino di 19 anni ha la malignità nel sangue, e/oppure non sa della gravità e delle conseguenze dei gesti che compie. Probabilmente non lo prenderanno mai, e questo mi dispiace perchè si crederà onnipotente.
Ma oltre al fatto, i miei dati importanti (non sensibili) li tengo sempre salvati al sicuro su un HD esterno, oltre che sul cloud. Non sia mai appunto per un gesto come questo.
Un link per scaricare il Podcast?
Un link per il download del Pod?
Ma l`account twitter poi lo ha riavuto?
Mass,

Un link per scaricare il Podcast?

E' nell'articolo. Clicca sulla parola "podcast".


Vittorio,

Sì, l'ha riavuto.
Ogni volta che leggo di storie di questo tipo, riguardanti condivisione, cloud e quant'altro, non posso fare a meno di pensare a questo video, che tengo nel mio NAS (rigorosamente NON accessibile da Internet) da più di 10 anni:

http://www.youtube.com/watch?v=l-qD_3o_obg

Con la verifica in due passaggi di google non è che si completa la corrispondenza fra l'identità digitale e l'identità reale dell'utente dando un notevole valore aggiunto alla profilazione?
Si tratta ormai di differenze solo scolastiche?
Qui c'è il seguito della storia. Molto interessante.

http://www.wired.com/gadgetlab/2012/08/mat-honan-data-recovery/all/
Paolo, colgo l'occasione del tuo ottimo sunto della storia in 5 parti x una domanda. Nomini il processo di autenticazione di Google in due fasi, con il messaggino sul telefonino, cosa che anche Facebook fa. Molto spesso mi spunta la richiesta, ma io la mando sempre al mittente xchè ritengo che sia poco sicuro immettere un dato personale come è appunto il proprio numero mobile su un sito "popolare" come G o FB. A questo punto devo intuire che sbaglio e che sarebbe tutto nel mio interesse? Non posso sopportare lo spam via sms, credo sia una delle forme di pubblicità più aggressive, invadenti e meno gradite che ci siano. Per non parlare dei servizi a valore aggiunto che si rischia di trovarsi inconsapevolmente attivi. Illuminami!
Da un lato mi dispiace, dall'altro dico: ben gli sta!
Ogni volta che faccio presente i pericoli relativi a certi comportamenti mi quardano come se fossi un arcaico, uno che non vive nel proprio tempo, uno che è diffidente verso ogni novità.
In realtà utilizzo una nuova tecnologia solo dopo averla ben collaudata e valutata. Se non mi convince (nel senso che i vantaggi giustificano gli inevitabili svantaggi) semplicemente non la uso.
Ecco, per quel che vale, il mio giudizio sul cloud è: cloudicante
Questa storia mi ricorda che... non faccio mai abbastanza backup!!!


(che poi non serve per forza un cracker, un virus o un fulmine per perdere i dati. Basta l'idiozia. Giusto l'altro giorno ho cancellato una cartella inutile. O meglio credevo: in realtà ne era selezionata un'altra. Utile. Di cui non avevo il backup. E l'avevo cancellata con SHIFT+CANC. Su un pc dove non avevo installato Recuva, FreeUndelete o simili)


@vale56
Mi ricordo le maledizioni che si lanciava quando un floppy (magari da 8") faceva "quel" rumore che indicava l'impossibilità di leggerlo.

Arghhhh! Ho avuto modo di risentire "quel rumore" molto recentemente, smanettando sul mio vecchio laptop del 2003, dove il caro amico floppy può essere molto più utile di quanto si pensi (non supporta nativamente il boot da chiavetta e il lettore CD non funziona). Ho riesumato un floppy da 3,5 pollici che ad un tratto ha fatto QUEL RUMORE - ho sentito un brivido di terrore, ricordando i momenti di totale PANICO che "quel rumore" sapeva scatenare...

Invece non avevo mai sentito parlare prima d'ora del Click Of Death, eppure sono tra i possessori di uno Zip Iomega (a dire il vero è taaaaaanto che non lo uso... all'epoca quei circa 100 MB sembravano chissà che cosa...)
Come ho scritto in Twitter, non è tanto un problema di scarsa sicurezza del cloud in sè e per sè: il problema è l'estrema leggerezza con cui trattiamo i nostri dati solo per essere più comodi.

Usi la carta di credito su Amazon? Non memorizzarla, inserisci il numero di volta in volta. E' più scomodo, ma per lo meno se qualcuno viola l'account non va oltre, o non può, appunto, usare i dati per incrociarli con altri come in questo caso.

Anzi, andrò subito a eliminare il numero da Google Wallet. Raggiungerlo da Google Play è scomodissimo, posto un link diretto: https://wallet.google.com

Certo, affidarsi SOLO al cloud è stupido, esattamente come affidarsi ad un singolo computer o non fare copie multiple dei dati importanti. Pensate a quanti posti hanno nostri dati...
Per rimanere in tema: chiamando il call center, è possibile ottenere PIN e PUK di una SIM Postemobile semplicemente fornendo la data di nascita, l'ho fatto un paio di giorni fa. Nemmeno l'uso del cellualare come secondo controllo di autenticazione è così affidabile.
[quote-"Van Fanel"-"/2012/08/disinformatico-radio-podcast-di-oggi-il.html#c1767726340789017704"]
E l'avevo cancellata con SHIFT+CANC. Su un pc dove non avevo installato Recuva, FreeUndelete o simili)[/quote]
La cartella rimane perfettamente recuperabile, per settimane o mesi, pur installando un sofware di undelete dopo la cancellazione della cartella. Prova.
@lupo della luna. La sicurezza nel cloud NON esiste, se voglio che i MIEI dati rimangano MIEI, non li metto su internet, perché SO che QUALSIASI dato inserito in rete è accessibile e copiabile da un esperto, come mi hanno spiegato, e mostrato, nei corsi sulla sicurezza informatica:)
Fabio,

Si tratta ormai di differenze solo scolastiche?

Sì. Inutile cercare di nascondere la propria identità reale a una società che ha già in mano tutto il tuo traffico di mail.
Ho appena letto come ha fatto a violare l'account Amazon nell'articolo originale. Dimostra come nelle grandi aziende alla sicurezza ci pensano delle scimmie.
Di fatto il trio ha commesso tre cazzate:
1. Google mostra l'indirizzo di recupero (seppur parzialmente). Quale sarebbe il motivo e l'utilità?
2. Amazon che chiede come dati di accesso in caso di emergenza dati pubblici e un dato che un estraneo può aggiungere
3. Apple che usa un dato semi-pubblico come conferma.
Ridicolo e assurdo. Gmail tutt'ora fa ancora la prima cazzata, gli altri non so.

P.S. Paolo non sono molto d'accordo con il fatto di NON pubblicare il metodo usato. Amazon deve ricevere la giusta e cattiva pubblicità assieme a Google e Apple.
Lufo,

P.S. Paolo non sono molto d'accordo con il fatto di NON pubblicare il metodo usato. Amazon deve ricevere la giusta e cattiva pubblicità assieme a Google e Apple.

Mi sembra che nel mio articolo e nel servizio alla radio sia stato dato risalto anche ad Amazon.

E come dicevo prima, è vero che io non ho descritto il metodo usato (anche per limiti di tempo), ma ho indicato chiaramente i link a tutta la storia (infatti tu li hai usati per conoscere il metodo).
S', io l'ho trovato e letto, ma a penso a chi non conosce l'inglese :-) Tutto qua. In Italia assicuro che è una vera eccezione saper leggere l'inglese (e non che io sia un'eccezione completa, leggere e scrivere sì, parlarlo no).

Io sono ancora scioccato da tanta idiozia in catena. Ancora mi domando chi abbia stabilito i protocolli.
@lufo88

Beh, nel caso di Amazon, è giusto segnalare che ha delle -spaventose- pecche di sicurezza (quando ho letto come l'hacker ha fatto ad avere i dati che cercava, mi sono cadute le braccia!), ma penso abbia fatto bene Paolo a glissare un po'. E' davvero troppo ridicolmente semplice per diffonderle in ogni dove, almeno prima che Amazon sia corsa ai ripari.
@sirEdward
L'italiano come mezzo di diffusione è come il due di picche. L'ha scritto il giornalista in inglese, ormai la frittata è fatta. Adesso come adesso mi sembra importante diffondere l'informazione per far presente agli utenti cosa rischiano.
Il problema e' che nelle aziende che si occupano di tecnologia non c'e' la cultura della tecnologia.

Esempio: eBay.Sono un italiano ma vivo all'estero. Ho creato il mio account ebay quando ero giovane ed ero ancora in italia. La prima volta che mi collego dalla Romania mi bloccano l'accesso. Penso che sia normale (una buona misura di sicurezza) faccio la procedura e mi sbloccano l'account.

Poi vengo a scoprire che loro continuano a bloccarmi l'account ogni volta che cambio paese (per esempio perche' torno in Italia per le ferie). Poi scopro che mi bloccano l'account anche quando accedo al lavoro perché la connessione esce da un proxy francese.

Ho richiesto infinite volte la possibilità di rimuovere il controllo del paese dal mio account (per i motivi menzionati) o di aggiungere i tre paesi in white list ma non esiste il modo e loro ogni volta si occupano di sbloccare manualmente il mio account (chiedendomi la data di nascita...)

Morale: che livello di sicurezza si ci puo' aspettare da azienda dove non si e' in grado di capire la propria infrastruttura, il proprio livello di sicurezza e i propri punti deboli?

(PS. Stessa cosa vale per blogspot che ogni volta che provo a commentare mi da il messaggio "L'URL contient des caractères non autorisés" fino a quando non premo per 5-10 volte e mi lascia passare. Dalla altra parte del filo ci sarà un piccione con due pulsanti yes/no?)
Sono d'accordo con Vale56. Stoccare tutti i tuoi dati nel cloud significa:
1) regalarli alla multinazionale di turno, con tutti le problematiche del caso riguardo alla tua privacy
2) essere esposto a furti di identità
3) rischiare la perdita di tutti i tuoi dati causa hacker (vedi sopra) o chiusura del servizio (vedi Megaupload)
4) non rendersi conto che non hai bisogno di accedere DOVUNQUE e 24 ORE SU 24 a TUTTE le tue foto, filmati e dati vari
Il cloud ha senso in ambito aziendale e in pochi altri casi. Oggigiorno trovi supporti di memorizzazione di massa a 10 cts/Gb; vale la pena rischiare per cosi' pochi soldi?
"""
Ho appena letto come ha fatto a violare l'account Amazon nell'articolo originale. Dimostra come nelle grandi aziende alla sicurezza ci pensano delle scimmie.
Di fatto il trio ha commesso tre cazzate:
1. Google mostra l'indirizzo di recupero (seppur parzialmente). Quale sarebbe il motivo e l'utilità?
2. Amazon che chiede come dati di accesso in caso di emergenza dati pubblici e un dato che un estraneo può aggiungere
3. Apple che usa un dato semi-pubblico come conferma.
Ridicolo e assurdo. Gmail tutt'ora fa ancora la prima cazzata, gli altri non so.

"""


lavoro per una banca online...quindi una società che fa della protezione dei dati uno de cardini dela propria attività.
ti spiego io come mai le società utilizzano sistemi di sicurezza pieni di suggerimenti , protezioni labili e indovinabili da chiunque.

il motivo è che se si stabilisce un codice di accesso non facilmente indovinabile, (come un codice pin numerico) il 90 % delle persone lo sbaglierà. perchè va di fretta, perchè si è confuso, perchè pensava-si ricordava-si immaginava. e se prevedi che per aggirare questo dato che non si ricordano ci sia una procedura di sblocco (ci chiami ti facciamo qualche domanda sui tuoi dati personali e ti facccio creare un nuovo codice pin numerico) con ogni probabilità non si ricorderanno il loro numero di cellulare, il proprio codice fiscale, il numero di conto etc

quindi o fornisci continui suggerimenti e dati di controllo di una facilità imbarazzante , o un numero assai rilevante di persone smetterà di usare servizi online perchè "eh ma sono troppo lunghi sono fissati coi controlli eh io non ho tempo di starci dietro eh ma sempre con sti codici"

siccome questo genere di persone fa la differenza, per un servizio online, tra l'essere un sito di massa o meno, le ditte optano per accontentare ed assecondare comportamenti spesso superficiali..


se non ci credete,,,al nostro servizio clienti arrivano spesso telefonate di persone che pretendono di operare sul proprio conto senza fornire codici cliente, codice pin o codici segreti, semplicemente dicendo.."salve sono il tal dei tali, numero di conto xxxxxx fate un bonifico al conto di mia moglie, lo stesso dle mese scorso

e attenzione arrivano a protestare formalmente se non gli si da retta,,,,,,
Ho provato la verifica in due passaggi, ti metto il link alle mie considerazioni link al mio blog (pubblicità spudorata ;) )
l'unica scomodità è che il computer attendibile lo salva nei cookie...
Comunque il fatto che si sia affidato totalmente ad un servizio (e pure esterno e quindi mica garantito) viola la seconda legge del backup (la prima è backup backup bakcup) che recita: tu farai il backup su piu' supporti differenti tra loro
@unknown
Perché questo genere di ragionamento si applica solo all'informatica? Come informatico posso assicurarti che è FRUSTRANTE! Perché se con una macchina corro a 150 all'ora in centro città mi fanno la multa, ma se faccio un casino con un software è colpa dell'azienda produttrice?
In giro ho letto l'idea di un patentino per pc o non ce l'hai o non lo usi. Come per la macchina. Perché non farlo? Un computer è per forza più facile da usare rispetto ad una macchina per caso?

Se non cambia la mentalità sulla sicurezza allora è inutile lamentarci della stessa, anzi togliamola definitivamente, tanto gli stupidi devono poter accedere ai loro dati, no?
Le esperienze riportati da Unknown sono interessante. In effetti non e' la prima volta che sento dire che la sicurezza e' come il pesce: se lo surgeli la gente non te lo compra, ma se non lo surgeli commetti un reato perche' rischi di diffondere l'anikasis...
Sono tre anni che per lavoro devo salvare dati su 3 computer diversi (geograficamente lontani 800 km tra loro), con 2 diversi sistemi operativi (Linux e Windows). Finora non ho mai ceduto alla lusinga del cloud, perchè mi innervosisce mettere tutti i miei preziosissimi dati in mano a chissachi (gestore del cloud) e potenzialmente in mano a chiunque (hackers & co.). Però capisco chi si affida solo a un cloud per i suoi backup. In questi 3 anni sono quasi impazzita per tentare di tenere i dati allineati su 3 PC e un disco portatile di backup. Dato che mi capita spesso anche di cambiare i nomi ai files, risistemare le varie cartelle, ho provato a usare anche sistemi di sincronizzazione automatica, con il risultato che il file che avevo cancellato/rinominato veniva recuperato da una parte o dall'altra, continuavo ad avere doppioni etc. In conclusione, ora la sincronizzazione me la faccio a mano tra i PC e il disco fisso. Però ogni volta perdo un sacco di tempo. Non m pare che esistano programmi abbastanza intelligenti da capire cosa effettivamente risincronizzare tra i quattro dischi (se qualcuno ha consigli, ben vengano!) e capisco che, con poco tempo e poca dimestichezza, uno possa affidarsi al cloud per risolvere questo problema. Non per questo è un deficiente. NESSUN backup è al 100% sicuro. Se il giornalista invece di subire un hackeraggio, avesse subito un furto di un ladro che gli frega il notebook, lo smartphone e già che c'è anche il disco di backup, si sarebbe dato del deficiente per non avere backuppato su cloud i suoi dati...Quale dei due eventi è più probabile? A ognuno la sua risposta...
@AFMcrime
La cartella rimane perfettamente recuperabile, per settimane o mesi, pur installando un sofware di undelete dopo la cancellazione della cartella. Prova.

Scusa il "lievissimo" ritardo nella risposta. In realtà avevo provato ad installare Recuva pochissimo dopo aver cancellato per errore la cartella in questione, anche se non ci speravo tanto. Recuva non ha trovato niente, ma c'è da dire che non gli ho fatto fare la "scansione approfondita" dell'intero disco (tempo stimato: oltre 24 ore). Ho provato anche Freeundelete, anche lui non ha trovato nessuno dei file in questione, ma c'è da dire che l'ho fatto il giorno dopo. Pazienza: di alcuni file ho poi scoperto di avere una copia, altri erano scaricati da internet ed è bastato riscaricarli, in generale non era niente di vitale: non erano le foto dei bambini o il Bestseller Totale Definitivo!
Andiamoci piano, dal PC e dal Mac certamente i dati si recuperano. Per fortuna.
m@u