skip to main | skip to sidebar
17 commenti

Disinformatico radio: Datagate, WeChat, roaming dati, password riciclate in UE e rubate ad Adobe, truffe su Linkedin, Doctor Who, allegati a rischio

L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Venerdì scorso è andata in onda una nuova puntata del Disinformatico radiofonico che faccio per la Radiotelevisione Svizzera: se vi interessa, il podcast è scaricabile. C'è anche quello della puntata precedente, che non ho fatto in tempo a segnalare in questo blog. In queste due puntate ho toccato gli argomenti che segnalo qui sotto e per alcuni dei quali ho scritto i consueti articoli d'accompagnamento.

Datagate: il mito di non avere niente da nascondere. Molti hanno interpretato il Datagate, la fuga di notizie riguardanti le intercettazioni a tappeto effettuate dall'NSA statunitense, come un problema che riguarda soltanto terroristi, criminali e politici. Safe and Savvy, un blog dedicato alla sicurezza informatica e gestito da F-Secure, ha pubblicato un articolo che smonta il mito diffuso secondo il quale soltanto i disonesti hanno qualcosa da nascondere e quindi chi è onesto non si dovrebbe preoccupare di essere sorvegliato. Insieme a Luigi Rosa ne ho preparato una traduzione in italiano. È interessante notare come delle considerazioni a prima vista puramente tecniche abbiano delle implicazioni sociali così profonde.

WeChat, risultati delle prove di stalking. Insieme agli ascoltatori ho provato a vedere quanto è facile localizzare un utente di WeChat. Risultato: decisamente troppo facile. I dettagli sono in questo articolo e altre info sono qui.

Addebiti per trasmissione dati in roaming nonostante il roaming fosse disattivato. Ho continuato i test sui costi di roaming (voce e dati) per la trasmissione Patti chiari e confermo (insieme ad altri utenti) il fenomeno del roaming dati effettuato (con conseguente addebito) nonostante il roaming dati fosse disattivato. Se volete darmi una mano e conoscere i particolari, date un'occhiata a questo articolo [nota: il link è stato aggiornato dopo la pubblicazione iniziale].

Internauti europei: tre su quattro usano la stessa password per più siti. Un sondaggio pubblicato dall'Eurobarometro rivela un quadro della sicurezza informatica europea ben poco confortante. Il link per scaricarlo e alcuni dati salienti sono in questo mio articolo.

Password di Adobe rubate: come sapere se siete a rischio. Adobe s'è fatta soffiare milioni di password degli utenti che hanno registrato la propria copia del software dell'azienda. Meglio verificare se siete fra i derubati (dettagli).

La truffa dell'“assistente finanziario” su Internet: come riconoscerla. Anche siti di buona reputazione come LinkedIn contengono inserzioni dall'aria rispettabile, che però corrispondono a riciclatori di denaro rubato: ecco come riconoscerle ed evitare di finire per fare i ricettatori.

Ho anche celebrato i 50 anni di Doctor Who (ai quali Google ha dedicato un Doodle eccezionale) e segnalato il rischio degli allegati protetti da password usati per disseminare malware come Cryptolocker.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (17)
Ho scritto la medesima riflessione su FB. Sarei curioso di leggere cosa ne pensano i lettori di questo blog...

Personalmente non vedo il problema. Il mio operatore telefonico sa dove sono, il fatto che lo sappiano anche i servizi segreti americani non mi cambia nulla. Anzi, probabilmente è meno facile che lo divulghino ai quattro venti come invece FANNO per certo gli operatori telefonici. E come faccio io con Foursquare e compagnia.

Anche Facebook e Google sanno il contenuto dei miei messaggi. E lo vendono ai loro inserzionisti, in pratica. L'NSA dubito che li divulghi o li renda pubblici, come invece fanno (già....) Google e Facebook, per esempio.

E non dico "che lo sappiano, tanto non ho nulla da nascondere" ma dico "cosa volete che cambi se lo sa un soggetto IN PIU'?"

Voglio parlare in modo riservato con qualcuno? Lo incontro. In un posto pubblico pieno di gente. Senza portarmi il cellulare. Mi preoccupa se mi spiano per strada con le telecamere? Se la cosa inizia a diventare un problema o c'è una dittatura o sono paranoico. In entrambi i casi la soluzione è l'eremitaggio, credo. O la rivoluzione, nel primo caso.
Un bel problema quello della privacy nella società interconnessa. Anzi direi IL problema, LA sfida del futuro, da quando gran parte di quello che facciamo e vediamo passa attraverso il laptop che abbiamo davanti agli occhi. Perchè è chiaro che se il trend è questo non so cosa accadrà tra 10 o 20 anni.

Viaggio molto e in paesi diversi, (e lavoro nelle microonde, un campo tradizionalmente considerato strategico) e sono sempre più preoccupato. Che fare? Francamente non vedo soluzioni credibili per adesso. Quello che leggo sono solo esposizioni più o meno raffinate del problema, non proposte di soluzione che comunque, per inciso, finirebbero per allertare a loro volta chi è dall'altra parte.

Ma mi rendo conto che basta una piccola, irrilevante coincidenza e puoi passare dei guai alla "The Rendition" o quasi.

E' capitato ad un amico di ritorno in Australia dal Cile: una nottata di interrogatorio all'aeroporto per una sfortunata coincidenza. Con moglie e due bambini al seguito. A me finora è andata di lusso: solo un controllo molto approfondito del mio laptop a Berlino anni fa. Quasi perdevo l'aereo.

Quando leggevo il giornale da piccolo nessuno lo sapeva tranne il giornalaio. Nessuno poteva indovinare se leggevo pagina 3 o lo sport per prima cosa. Se compravo Le Ore dovevo solo sopportare l'occhio ironico dello stesso giornalaio (scelto con perizia abbastanza lontano da casa in ogni caso... :) ). Adesso tutto quello che fai rimane registrato. Ieri guardavo un paio di filmati su youtube e oggi mi comparivano dappertutto (intendo veramente dappertutto) annunci pubblicitari legati incontrovertibilmente a QUEL filmato e al prodotto di cui parlava. Non è paranoia perchè nessuno nega che sia così. Neanche l'NSA.
@Il Lupo della Luna bisogna fare dei distinguo.

Gli informatici dicono da LUSTRI che tutti lasciano delle tracce nei database. Quando lo spiegavo ai clienti (prima di Snowden e prima ancora che Internet diventasse cosi' pervasiva) facevo un semplice esempio di tracce lasciate in giro (telepass, carte di credito, bollette...) riconducibili ad una stessa persona semplicemente mettendo insieme tutte quelle tabelle di database e unendole usando come chiave di JOIN il codice fiscale. Adesso sembra che lo faccia il fisco italiano (quando i server di SOGEI non vanno KO, ma e' un altro discorso...)

Il problema attuale non e' quello. Sono essenzialmente questi punti:

* il cittadino non ha conoscenza che ci sia una raccolta, non puo' fare opt-out e non sa in quanti database finisca (alcuni potrebbero imbarazzarlo o metterlo in condizioni poco simpatiche)
* "solo un altro database" non e' da prendere alla leggera perche' non sai dove sia fisicamente quel db (intendo come nazione e, quindi, come sistema di leggi e garanzie), come sia protetto e come sia amministrato
* se i dati raccolti vengono usati contro di te senza che tu abbia le garanzie costituzionali di difesa cambia MOLTISSIMO
* i cittadini non devono essere obbligati a comportarsi come malviventi (incontro de visu senza cellulare in luogo pubblico) per le azioni quotidiane perche' poi diventano dei malviventi dal punto di vista dello stato occhiuto

La soluzione non deve essere un cambiamento nella vita quotidiana di persone innocenti (innocenti!!!), ma un cambiamento in un sistema che ha abusato dei suoi poteri. Questo cambiamento piu' avvenire o violentemente oppure civilmente rispettando le regole (le stesse che un'organizzazione di sorveglianza pervasiva non rispetta). Preferirei civilmente.

Le telecamere per strada sono l'ultima delle preoccupazioni perche' spesso non funzionano :)
Le telecamere per strada sono l'ultima delle preoccupazioni perche' spesso non funzionano :)

Ma soprattutto perchè le preoccupazioni relative alle telecamere in strada, almeno per gran parte della gente, riguardano episodi in cui la persona non è che non voglia essere sorvegliata, ma semplicemente non vuole essere "beccata": magari perchè si sta andando in un posto dove non si dovrebbe andare (come lo studente che taglia la lezione, o il coniuge-1 che cornifica il coniuge-2 ) oppure perchè ci si sta rendendo protagonisti di un atto di maleducazione o che ci vergogneremmo a compiere davanti ad altri, dimenticandoci che siamo *comunque* in un luogo pubblico, anche se momentaneamente deserto.

Tutti motivi per cui sarebbe abbastanza assurdo auspicare un'eliminazione/riduzione delle telecamere di sicurezza. :)
Per quanto riguarda il Doodle di Doctor Who non mi pare tu abbia rilasciato un link (non è ancora apparso in Google.it)

Se volete provare a giocare ho trovato questo:
http://www.google.com/doodles/doctor-whos-50th-anniversary

Facevo degli esempi anche un po' esagerati, l' ammetto, per sottolineare proprio il problema dell'eccesso.

Luigi, dici giustamente che uno non sa in quanti archivi finiscono i dati e altrettanto giustamente che non sai se siamo tutelati. Ma come non lo sai quando i dati ce li ha NSA, che in quanto intelligence li terrà "riservati", non lo sai nemmeno quando ce li hanno aziende private, ma di quelle sai per certo che prima o poi verranno divulgati, magari ad altre aziende.

Certo una azienda coi tuoi dati non può usarli per farti arrestare....

Il problema esiste (ma non penso sia così grave) va senza dubbio risolto con strumenti legislativi internazionali e non con una guerra di spie come ipotizza qualcuno.
Privacy? Una cosa del passato, concordo con PGC, vedo tante esposizioni del problema ma nessuna proposta per il futuro.

Le password, è davvero così sbagliato usare la stessa password per diversi siti?
Io uso password diverse generate a caso per tutti i siti importanti, una vera rogna, sono costretto ad usare software crittografico per tenerne traccia il che comunque rende visibili tutte le mie belle password sicurissime alla digitazione di una sola password, lunghissima, complicata, che so solo io a memoria.
Non potrei mai tenere a memoria decine di password complicate, da qualche parte le devo scrivere, certo non nel primo cassetto, ma comunque da qualche parte.
Ogni tanto devo rinnovare il software crittografico per paura che sia diventato obsoleto e facile da decifrare.

Per tutti i siti senza importanza, uso password più semplici, spesso uguali, che non mi costringono ad aprire i file crittografati tutti i giorni, cosa che considero un rischio perché le informazioni crittografate potrebbero essere accessibili nel momento che le visualizzo.

Anche qui, ci sono prospettive per il futuro per aumentare la sicurezza e semplificare la gestione?
Forse manca un link a proposito di WeChat? ("altre info sono qui")
Sulle password riciclate...

Io ho smesso di contare quanti account ho dovuto fare per qualunque realtà io abbia interagito in maniera appena più che superficiale. Ho una montagna di "username: xxx - password: yyy" raccolti. Non so più nemmeno quanti. E sono tutte password differenti. Che non ricorderei senza promemoria.

A parte quelle due o tre realtà importanti, dove la password immessa è più difficile e ogni tanto cambia, nessuna di queste altre password verrà mai modificata.

Chiaramente non c'è bisogno di spiegare perché.

Capisco quelli che usano la stessa password per più siti, per non dover sobbarcarsi il peso della metodicità nel promemoria, perché la richiesta di password, di account, di registrazioni, di moduli, di "utenti", di pagine personali, di "iscriviti", di inserisci i tuoi dati per mandarci il tuo curriculum, è imbarazzante.

La richiesta di sicurezza naufraga di fronte alla quantità di persone cui abbiamo dato il consenso al trattamento dei nostri dati personali.


Consiglio questa lettura (in inglese), di Daniel J. Solove: https://chronicle.com/article/Why-Privacy-Matters-Even-if/127461/
L'argomento 'Nothing to hide' ha ancora la sua voce Wiki, per ulteriori letture: http://en.wikipedia.org/wiki/Nothing_to_hide_argument
Lys,

in effetti mancava il link. L'ho aggiunto. Grazie della segnalazione!
A titolo personale, la mancanza di privacy nelle comunicazioni mi pare un problema vecchio tanto quanto la comunicazione stessa. O meglio: è chiaro (almeno per me) che se per comunicare con un'altra persona uso un intermediario (posta, telefono, internet), irrimediabilmente nasce il rischio che quest'ultimo veda i messaggi inoltrati e poi li possa utilizzare come meglio (o peggio) crede.

Le telecamere per strada sono l'ultima delle preoccupazioni perche' spesso non funzionano :).

In Italia. All'estero funzionano eccome e non ci sono regole così stringenti come in Italia. In UK non esiste ormai più un tratto di autostrada che non disponga di CCTV.

I CCTV (Closed-Circuit TV) comunque sono ancora, per lo più, sistemi che tracciano le nostre mosse "on demand", e non automaticamente come i supercomputer di NSA e GCHQ. Questa differenza è essenziale e secondo me la vera differenza. Anche in passato infatti nessuno poteva evitare che un agente, allertato magari dalla nostra frequentazione di qualcuno che era, a nostra insaputa, un terrorista (chi ha vissuto in certi ambienti negli anni 70 sa bene che era praticamente impossibile non risultare sull'agendina di qualche indiziato), ci pedinasse o parlasse col portiere dello stabile in cui abitavamo.

Il problema oggi è che quel rapporto si è invertito: l'attivazione del tracciamento è determinato AUTOMATICAMENTE dai nostri stessi comportamenti, che vengono COMUNQUE registrati. Oggi, non appena facciamo qualcosa che attiva l'attenzione di qualche forza di polizia in grado di avere accesso a queste informazioni, il nostro PASSATO (e non già il nostro comportamento FUTURO come in passato) può essere setacciato alla ricerca di (presunti) indizi. Può saltare fuori, per esempio, che discutiamo di queste cose e che ne siamo preoccupati più della media. Questo significa magari che abbiamo qualcosa da nascondere più di altri?

saludos
@Fozzillo

Le password, è davvero così sbagliato usare la stessa password per diversi siti?
Io uso password diverse generate a caso per tutti i siti importanti, una vera rogna, sono costretto ad usare software crittografico per tenerne traccia il che comunque rende visibili tutte le mie belle password sicurissime alla digitazione di una sola password, lunghissima, complicata, che so solo io a memoria.
Non potrei mai tenere a memoria decine di password complicate, da qualche parte le devo scrivere, certo non nel primo cassetto, ma comunque da qualche parte.


Infatti su questo argomento si apre un dilemma, peraltro relativamente recente. Fino a una decina di anni fa, la gente non aveva bisogno di memorizzare troppe password: giusto quella per accedere alle proprie caselle di posta elettronica (sempre che non le scaricasse in automatico sul computer) e tuttalpiù per qualche sito o community di poco conto, dove il rischio/timore di furto era relativamente basso. Quindi era molto più semplice tenere a mente i propri dati.
Oggi, tra mail, Facebook, Twitter, Instagram, Flickr, Youtube, Sykpe, nonchè i vari siti per transazioni online (poste, banca, università, Ebay, Amazon, ecc..) le password da memorizzare per un utente mediamente informatizzato iniziano a diventare davvero tante.
Difficile ricordarle tutte, peraltro senza confonderla una con l'altra.
Impossibile ricordarle tutte, se si ricorre a sequenze alfanumeriche.

E quindi che si fa? O si ricorre all'utilizzo multiplo di una manciata di password, oppure ci si trova costretti ad appuntarle da qualche parte, che sia un post-it nascosto in un cassetto, un file rinominato "virus_pericolosissimo.txt" o un file crittografato.

Nel primo caso, c'è il rischio che sgamando una sola password, gli intrusi possano fare danni su più siti. Ma è anche vero che quando sei in grado di ricordare agevolmente tutte le tue password, puoi permetterti di non trascriverle su alcun supporto fisico, rendendo molto più difficile che queste vengano scoperte....sempre dando per scontato che la password non sia "12345", come la combinazione che un idiota userebbe per la sua valigia (cit.)

Al contrario, avere tante password aumenta la sicurezza generale, (se te ne viene beccata una, gli altri account rimangono comunque al sicuro). Ma è anche vero che nel momento in cui queste finiscono su un foglietto o su un file, la tua sicurezza dipende tutta dalla custodia che tu fai del tuo archivio di password. Certo: lo puoi anche mettere sottochiave o crittografare, ma resta sempre il fatto che tra te e il totale accesso al tua identità telematica c'è solo un passaggio.
lo studente che taglia la lezione,

?
Se non ti geolocalizza troppo... di che regione è questo modo di dire per "marinare la scuola"?
Da noi si dice "bigiare".
Datagate, dal potere all' abuso di potere la strada e' breve.
Anche gli internati nei campi non avevano fatto nulla di male,
talvolta bastava solo avere un opinione diversa o non essere allineati al regime.
come nel caso delle "purghe" staliniste, per finire in siberia bastava una parola.

Non siamo a questo punto. Potremmo sempre rifinirci, ma non ci siamo.