Cerca nel blog

2021/05/12

Quanto è difficile trovare scansioni di documenti d’identità online? Non molto. Le offre il governo italiano

Un altro giorno, un’altra collezione di scansioni di documenti d’identità lasciata online, accessibile a chiunque sappia usare Google. Non occorre conoscere password o altro: basta un banalissimo googledork. Il tweet qui accanto contiene tutto quello che serve sapere per trovare questi documenti.

Come è possibile? Molti documenti della pubblica amministrazione italiana hanno in allegato una scansione della carta d’identità: ho trovato registrazioni di liquidazioni di prestazioni, lettere commerciali di affidamento lavori, persino una raccomandata spedita via PEC (ironicamente), tutte con la loro brava scansione a colori, nitidissima, di un documento d’identità, usata come “firma digitale”.

Nomi, cognomi, indirizzi, fotografie, estremi dei documenti, dettagli dei pagamenti effettuati o richiesti, codici IBAN, tutti lasciati online.

Chi è l’irresponsabile che ha messo tutti questi documenti in bella mostra su Internet? Il Ministero delle Infrastrutture e dei Trasporti.

A quanto pare chi ha progettato il sito non ha considerato che esiste Google, e che quindi se un file è accessibile senza dover fare login e digitare una password Google lo troverà e lo indicizzerà, permettendo a chiunque di trovarlo. In questo caso i file sono accessibili perché hanno un URL pubblico del tipo

http://trasparenza.mit.gov.it/moduli/downloadFile.php?file[stringa]/[nome file PDF]

Ho sfuocato io le immagini; gli originali online sono perfettamente leggibili.

Disastri di privacy come questo sono frequentissimi e sono ovviamente una miniera d’oro per qualunque malintenzionato che voglia procurarsi una scansione di un documento identificativo di qualcuno per impersonarlo, specialmente ora che la scansione viene considerata equivalente a una firma.

La prossima volta che qualcuno propone di depositare online una copia dei documenti d’identità, magari affidandola ai social network, allo scopo di obbligare tutti a identificarsi sui social e quindi proteggersi dai bulli, dai molestatori e dagli odiatori, ricordate questo caso. 

Questa è la pubblica amministrazione di uno stato, che ha degli obblighi di legge, e li ha verso i propri cittadini. Figuratevi come può tutelare i vostri documenti personali un’azienda che ha la sede principale all’estero, risponde soltanto alle leggi del suo paese (forse), al posto dei cittadini ha degli utenti e ha come esplicito scopo commerciale la vendita dei dati dei propri utenti.

2021/05/11

Nella Tesla schiantatasi con “nessuno” al volante c’era qualcuno al volante


Ricordate la notizia clamorosa dello schianto di una Tesla nella quale “nessuno era al volante”, in Texas? Quello che ha causato la morte dei due occupanti? Quello di cui hanno parlato tutti i giornali e che ha scatenato infinite polemiche sui sistemi di guida assistita?

Beh, la telecamera di sorveglianza di casa del proprietario documenta che il proprietario si è messo al posto di guida.

Lo dice, molto chiaramente, il rapporto preliminare dell’NTSB (National Transportation Safety Board):  

The crash trip originated at the owner’s residence near the end of a cul-de-sac. Footage from the owner’s home security camera shows the owner entering the car’s driver’s seat and the passenger entering the front passenger seat. The car leaves and travels about 550 feet before departing the road on a curve, driving over the curb, and hitting a drainage culvert, a raised manhole, and a tree.

Inoltre i test dell’NTSB dimostrano che l’Autopilot (il sistema di guida assistita con mantenimento di velocità, distanza e corsia) non poteva essere attivato su quel tratto di strada: si poteva attivare il cruise control (mantenimento di velocità e distanza), ma non l’Autosteer (mantenimento di corsia):  

NTSB tests of an exemplar car at the crash location showed that Traffic Aware Cruise Control could be engaged but that Autosteer was not available on that part of the road.

Tutte le teorie sull’uso improprio della guida assistita vanno insomma a farsi benedire.

Quanti dei giornali e siti che hanno strombazzato la notizia iniziale pubblicheranno una rettifica?

 

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

2021/05/10

Da dove vengono i “numeri Grabovoi” che circolano su TikTok

Su TikTok e anche in Google circolano delle strane sequenze numeriche che vengono chiamate numeri Grabovoi o sequenze Grabovoi. Uno degli hashtag più diffusi è #grabovoicode.

Secondo chi li diffonde, questi numeri sarebbero dei codici mistici per comandare le forze dell’universo. Pensando intensamente questi numeri o scrivendoli o usandoli come password, si dice, si possono migliorare i voti scolastici, si può dimagrire e si può avere successo negli affari.

Queste “manifestazioni”, come le chiamano quelli che ci credono, sarebbero persino la cura di malattie come cancro e AIDS. Mi rifiuto di linkare il sito che scrive queste idiozie, che sono la versione tecnologizzata della numerologia classica: la confezione è nuova, fatta su misura per generazioni che vivono con lo smartphone in mano e si troverebbero a disagio con cabala e Smorfia, ma la panzana è la stessa di sempre.

Ma perché si chiamano numeri Grabovoi? Prendono nome dal numerologo e sedicente guaritore russo Grigory Grabovoi, che a quanto pare ha dichiarato di essere la seconda incarnazione di Cristo ma ha trascorso otto anni in carcere per aver chiesto 1500 dollari a testa a dei genitori per far risorgere i loro figli, morti nella strage di Beslan nel 2004.

A quanto pare i suoi numeri così tanto portafortuna non sono stati capaci di evitargli la galera.


Fonte aggiuntiva: Gizmodo.

Svizzera, il libretto elettronico delle vaccinazioni era un colabrodo di sicurezza informatica. Viene tuttora consigliato quando ci si vaccina

Venerdì scorso (7 maggio) sono andato a fare la prima dose di vaccino anti-Covid (Pfizer, se ci tenete a saperlo). Il centro vaccinazioni di Giubiasco è facilmente accessibile in auto e con i mezzi pubblici, ben organizzato, con personale competente, gentile e disponibile. L’attesa è stata minima e non ho avuto effetti collaterali a parte un mal di testa e il naso un po’ chiuso per qualche ora. La ricezione del 5G non mi è migliorata, però Bill Gates mi sta stranamente più simpatico di prima.

L’unica pecca di tutto il procedimento è arrivata quando mi è stata consegnata la documentazione: insieme al foglio di carta con i dati della vaccinazione (numero di lotto, data, ora, specialista responsabile, eccetera) ho ricevuto infatti un foglio informativo su MyCOVIDvac, il sito del “libretto di vaccinazione elettronico” che, se desidero, dovrebbe custodire i dati della mia vaccinazione.

Il foglio, con tanto di logo del Dipartimento Federale dell’Interno e dell’Ufficio Federale della sanità pubblica, promette che le informazioni “vengono memorizzate sicure e in Svizzera. Solo lei stabilisce chi può accedere ai suoi dati protetti”. Sottolinea che “Il libretto di vaccinazione elettronico è un documento ufficiale”. Inoltre accenna alla possibilità che i dati del libretto costituiscano la base per un certificato di vaccinazione internazionale. L‘uso è volontario, non obbligatorio, ma raccomandato.

 


Il sito da visitare, secondo il foglio, è www.lemievaccinazioni.ch. È sostenuto da l'Ufficio federale della sanità pubblica, la Commissione federale per le vaccinazioni, l'Associazione dei medici cantonali, la Società Svizzera di Pediatria, pharmaSuisse, e Infovac.”

Hmmm.... lemievaccinazioni.ch, dove ho già sentito questo nome? Ricordo di averne sentito parlare nei media locali, ma al volo non mi sovviene il motivo. Una visita al sito, che è un redirect a www.mycovidvac.ch, mi rinfresca molto rapidamente la memoria.

Il sito infatti annuncia di essere “fuori servizio dal 22 marzo a causa di vulnerabilità di sicurezza [...] I dati degli utenti sono ancora disponibili e protetti [...] Tutte le lacune di sicurezza critiche identificate sono state eliminate [...] La piattaforma dovrebbe tornare online all’inizio di maggio.”

Siamo al 10 di maggio e la piattaforma non è tornata online, ma il foglio che la promuove continua a essere dato ai vaccinati.

A marzo 2021, l’Incaricato federale della protezione dei dati e della trasparenza ha aperto un procedimento formale contro la Stiftung Meineimpfungen, la fondazione che gestisce questa piattaforma e che ha sede a Gümlingen, nel canton Berna, in seguito alle segnalazioni di violazioni dei dati fatte dal sito svizzerotedesco Republik (articolo in tedesco).

Il sito aveva infatti delle falle di sicurezza spettacolari che consentivano a chiunque, con un po’ di competenza informatica, di accedere a “450'000 dati inerenti allo stato vaccinale, tra cui 240'000 relativi a vaccinazioni contro il Covid-19”. Di conseguenza il trattamento dei dati è stato interrotto, come spiegano i media nazionali (Bluewin, anche qui; Admin.ch; Swissinfo; Corriere del Ticino; Ticinonline; SRF, anche qui; RSI; La Regione). 

L’Associazione consumatori della Svizzera italiana (ACSI) ha pubblicato un facsimile di una lettera per consentire agli utenti di richiedere la cancellazione dei propri dati dalla piattaforma e il rimborso del costo di registrazione presso il sito, che ammontava a 10 CHF (per trasparenza, preciso che scrivo una rubrica mensile di informatica per consumatori sulla rivista dell’ACSI, La Borsa della Spesa).

Un disastro, insomma. Una fondazione che aveva la fiducia delle autorità federali si è rivelata un colabrodo di privacy, e proprio in un settore delicato come quello della salute. Sulla stessa piattaforma, oltretutto, c’erano molti altri dati sanitari altamente sensibili. Dati sanitari che comprendevano, scrive Republik, anche quelli dei Consiglieri Federali Ignazio Cassis e Viola Amherd.

Ma qual era esattamente il difetto del sito? I mezzi d’informazione sono stati molto riassuntivi, ma Republik ha pubblicato non solo un articolo di spiegazione ma anche l’analisi tecnica (in tedesco; PDF) che ha dato il via alla vicenda. Me lo sono studiato; provo a riassumerlo, perché merita ed è davvero molto illuminante su come si fa un’indagine di sicurezza informatica in condizioni non collaborative, rispettando paletti etici e normativi molto severi.

----

In sintesi: secondo Republik, chiunque riuscisse a identificarsi come medico sulla piattaforma aveva accesso a tutti i dati di tutti gli utenti: indirizzi, numeri telefonico, data di nascita, situazione vaccinale, fattori di rischio. E li poteva alterare, per esempio assegnando a una persona giovane e sana uno stato di rischio che le avrebbe permesso di ricevere in anticipo il vaccino. 

Brutta situazione, potreste pensare, ma per sfruttarla sarebbe stato necessario trovare un medico corrotto. In realtà no: serviva soltanto qualcuno che riuscisse a registrarsi come medico sulla piattaforma. I dati necessari (un numero identificativo e un’immagine della tessera identificativa dell’associazione medica, o un diploma) erano facilmente reperibili online (i numeri identificativi sono pubblici e le scansioni delle tessere si trovano senza troppe difficoltà).

In altre parole, chiunque si poteva registrare come medico. Il processo era basato puramente sulla fiducia, senza alcun riscontro o controllo significativo. Questo è il mio numero, questo è il mio diploma, questa è la mia mail, mandatemi una password, grazie.

Sugli account dei medici non c’era autenticazione a due fattori, e il token di reset delle password che veniva mandato via mail era composto soltanto da sei caratteri e aveva il seguente formato:

https://www.meineimpfungen.ch/passwort-reset.do?token=******&usertype=SPECIALIST

Pertanto era possibile procedere per forza bruta fino a generare un token valido: tempo stimato, con 500 tentativi al secondo, circa due ore.

Non è finita. I ricercatori hanno scoperto che se ci si accontentava (si fa per dire) di consultare tutti i dati degli iscritti, senza volerli modificare, era sufficiente iniziare il processo di registrazione come medico e ignorare la mail che chiedeva di inviare un documento identificativo. A quel punto si chiedeva il reset della password, con il classico “Ho dimenticato la password”, che funzionava anche sugli account non ancora validati.

A questo punto era possibile vedere tutti i dati semplicemente conoscendone l’URL, che seguiva uno schema molto intuibile: l’ID della singola scheda utente era semplicemente un timestamp corrispondente alla data e all’ora di creazione dell’account del paziente-bersaglio. Era quindi sufficiente una enumeration progressiva di tutti i possibili timestamp per ottenere un elenco di quelli che corrispondevano a un account.

Ciliegina sulla torta, c’era anche una possibilità di cross-site request forgery e di cross-site scripting che permetteva di acquisire ulteriori dati sanitari, comprese informazioni su malattie croniche, infezioni da HIV e tumori.

Tutto questo è stato scoperto dai ricercatori facendo solo un’analisi passiva, senza intrusioni, del sito. Se sono state commesse queste leggerezze, è difficile escludere che ne siano state commesse altre non rilevabili da un esame esterno.

La piattaforma dice di aver risolto tutti questi problemi, ma è da vedere se ha risolto quello fondamentale: riconquistare la fiducia degli utenti.

 

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

2021/05/09

Il TG1 RAI manda in onda un video falso del “razzo cinese” che precipita. In realtà mostra un normalissimo aereo

Ultimo aggiornamento: 2021/05/09 19:45.

Uno s’immagina che al TG1 facciano un minimo di verifica prima di dare una notizia. Che non mandino in onda il primo video trovato in giro su Internet e lo spaccino per una ripresa del rientro dello stadio del razzo cinese di cui si è parlato fin troppo in questi giorni. Che, da bravi giornalisti, facciano controlli, interpellino gli esperti, chiedano riscontri.

Macché: il TG1 stasera ha preso un video trovato su Internet e l’ha messo in onda, senza alcuna verifica e senza che nessuno, in redazione, accendesse un attimo un neurone e dicesse “Ma quello è un aereo, ca**o! HA PURE LE LUCI DI POSIZIONE”.

Questo è il modo in cui si lavora in uno dei più seguiti telegiornali d’Italia.

I fatti sono questi: da qualche ora circola su Internet un video che viene presentato come una ripresa del rientro di parte del vettore Lunga Marcia 5B cinese. Questo:

Questa è una copia del video che ho messo su Youtube per consentire di esaminarlo in dettaglio:

È sufficiente guardarlo un attimo per notare che il “razzo” ha delle luci lampeggianti, particolarmente vistose verso la fine del video. In altre parole, è semplicemente un altro aereo che incrocia la rotta di quello sul quale si trovava la persona che ha ripreso il video. Una cosa normalissima, che chiunque abbia mai volato in aereo ha visto tante volte.

Conoscendo l’ingenuità di tanti colleghi, oggi pomeriggio ho fatto un tweet di preallerta, visto che oltretutto il Daily Mail, al quale si abbeverano molte testate, aveva già abboccato.

Questo è il tweet del Daily Mail di cui parlo, quello che chiede il permesso di pubblicare il video:

Ma la voglia di scoop evidentemente prevale sul buon senso in certe redazioni e così il video è stato diffuso come vero dal TG1 di questa sera, quello delle 20:30.

Se non ci credete, potete rivedere la cialtronata a 22:43 nella registrazione presente sul sito della RAI, presentata dalla giornalista Giovanna Botteri, che dice testualmente “...finché il passeggero di un aereo non è riuscito a riprenderlo mentre s’inabissava nell’Oceano Indiano, al largo delle Maldive”. Screenshot:


Includo una clip del servizio del TG1 (grazie a Luca Girardi nei commenti) per chi avesse problemi di georestrizione dell’originale:

L’unica cosa che si inabissa veramente, stavolta, è la credibilità del metodo redazionale del TG1. Se questo video è stato preso da Internet e trasmesso a milioni di italiani senza alcuna verifica, senza farsi venire il minimo dubbio, come facciamo a sapere che la stessa cosa non succeda anche per le altre notizie che il TG1 diffonde?


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

Razzo cinese rientrato senza far danni; SpaceX arriva al decimo riutilizzo

Lo stadio del vettore cinese Lunga Marcia 5B che ha generato titoli acchiappaclic a pioggia è rientrato in atmosfera sull’Oceano Indiano nella zona delle Maldive, come segnalato dall’Agenzia Spaziale Italiana. Non risultano notizie di danni a cose o persone. La fame di panico dei giornalisti irresponsabili può andare a cercarsi un altro boccone avvelenato da dare in pasto ai lettori.

---

Intanto stanotte è partito dalla rampa 40 della base militare di Cape Canaveral, in Florida, un vettore Falcon 9 di SpaceX, che ha collocato in orbita intorno alla Terra 60 satelliti per telecomunicazioni Starlink. Il primo stadio del vettore (l’esemplare B1051) ha compiuto così il suo decimo lancio e atterraggio: una tappa simbolica e significativa nel riutilizzo di lanciatori orbitali e quindi nella riduzione dei costi di accesso allo spazio. Anche le due metà della carenatura protettiva del carico erano al loro secondo volo.

Non si tratta di un record assoluto di riutilizzo, dato che la NASA riuscì in due occasioni a riutilizzare ben 12 volte alcuni pezzi dei booster a propellente solido dello Shuttle, vari motori dello Shuttle volarono più di dieci volte (il record è 19) e lo Shuttle Discovery fu riutilizzato 39 volte (cambiandone periodicamente i motori). Ma SpaceX sta riutilizzando l’intero primo stadio e richiede molta meno manutenzione, manodopera e riparazione rispetto al sistema Shuttle della NASA.

Fonti: SpaceX; Eric Ralph; Spaceflight Now. Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

2021/05/07

Podcast del Disinformatico RSI di oggi (2021/05/07) pronto da scaricare


È disponibile il podcast di oggi de Il Disinformatico della Rete Tre della Radiotelevisione Svizzera, condotto da me insieme a Tiki. Questi sono gli argomenti trattati, con i link ai rispettivi articoli di approfondimento:

Il podcast di oggi, insieme a quelli delle puntate precedenti, è a vostra disposizione presso www.rsi.ch/ildisinformatico (link diretto) ed è ascoltabile anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto!

2021/05/06

Bill e Melinda Gates si separano. I memi informatici si scatenano

Dopo 27 anni insieme, Bill Gates e la moglie Melinda si separano. Lo ha annunciato Gates direttamente su Twitter, chiedendo spazio e rispetto per la privacy. Auguro ai due ogni bene e che possano continuare a fare del bene per il mondo tramite la loro Fondazione, che ha donato circa 50 miliardi di dollari a varie iniziative in tutto il mondo, compresi quasi due miliardi per la lotta al coronavirus, ma ci sono alcune battute di stampo informatico, fra le tante fioccate su Internet, che meritano una citazione.

Per esempio, nel loro caso, è più corretto parlare di separazione o di partizionamento? Col passare del tempo si sono persi di Vista? Lei lo ha chiamato Microsoft Bob una volta di troppo? Quando lei gli diceva “Pensi solo a TE, non pensi mai a ME”, lui capiva un’altra cosa? Useranno Clippy come consulente?

"Il matrimonio ha riscontrato un problema e non può funzionare nel modo corretto, pertanto verrà chiuso"

E che dire della singolare coincidenza evidenziata da questo tweet?

Ecco svelato il piano diabolico: ha messo un microchip nei vaccini, così ora può localizzare tutte le donne single del mondo, e proprio ora, guarda caso, si separa.

Noi ci ridiamo su, con affetto verso la coppia, ma sotto sotto siamo consapevoli che purtroppo qualcuno, là fuori, prenderà sul serio persino questa tesi di complotto inventata. Quanta assurda, triste ironia nel fatto che uno dei più generosi benefattori del mondo sia additato come il capo di una cospirazione contro il mondo.

Saluto quindi la partizionanda coppia Bill e Melinda con questo video che dimostra la loro capacità di mettersi in gioco per una buona causa: in questo caso, nel 2016, la promozione di una loro iniziativa annuale, Gatesletter.com, al Tonight Show di Jimmy Fallon.

Nuovi aggiornamenti urgenti per smartphone, tablet e computer Apple

Credit: Pinspiry.com.
Pochi giorni fa è uscito un aggiornamento massiccio per vari prodotti Apple, come ho segnalato qui, ma è già ora di installarne un altro.

È infatti disponibile la versione 14.5.1 di iOS e iPadOS, che risolve due falle che forse vengono già utilizzate dai criminali informatici: si tratta dei bug identificati come CVE-2021-30663 e -30665, descritti qui da Apple in italiano, che possono essere sfruttati semplicemente convincendo l’utente a visitare un sito web appositamente confezionato.

L’aggiornamento è disponibile per “iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)”.

Oltre a eliminare questo rischio di attacco, l’aggiornamento corregge anche delle magagne nel suo sistema App Tracking Transparency che limita il tracciamento pubblicitario.

C’è un aggiornamento di sicurezza apposito anche per chi è rimasto al vecchio iOS 12, che inoltre risolve una falla separata e porta iOS 12 alla versione 12.5.3.

Anche macOS va aggiornato alla versione 11.3.1 allo scopo di correggere questi stessi bug. Fatelo. I malviventi online contano sul fatto che non lo farete.


Fonte aggiuntiva: Ars Technica.

SpaceX stavolta ce l’ha fatta: la Starship SN15 è atterrata intera

La versione SN15 del veicolo sperimentale Starship di SpaceX è partita verticalmente, si è arrampicata fino a circa 10 chilometri, ha effettuato la discesa in “spanciata”, si è raddrizzata ed è scesa fino a terra, sostenuta soltanto dai suoi motori, appoggiandosi dolcemente al suolo invece di esplodere o schiantarsi come gli esemplari precedenti.

A parte un principio d’incendio dopo l’atterraggio, domato dai sistemi antincendio, e una copertura nuvolosa che ha intralciato la visuale, con alcune interruzioni delle immagini video in diretta dal veicolo, tutto è andato bene. Un altro passo avanti nello sviluppo iterativo rapido di Starship. Il prossimo passo è rendere tutto questo normale e abituale.

La diretta di SpaceX. 6:15 - decollo; 11:15 vista della “spanciata” da una telecamera montata su una pinna anteriore; 12:15 atterraggio.

Nelle ore successive SpaceX ha dovuto affrontare un problema piuttosto nuovo nel settore, il cosiddetto safing: la messa in sicurezza di un vettore contenente propellente residuo e degli esplosivi (nel sistema di autodistruzione d’emergenza, il flight termination system). Normalmente i vettori spaziali, essendo monouso (a parte i Falcon di SpaceX e lo Shuttle, non più operativo), non pongono questa sfida: precipitano nell’oceano (o si schiantano in zone poco abitate nel caso dei vettori cinesi) e non vengono recuperati.

Nel caso della Starship, invece, il safing è un passo necessario e cruciale per consentire in futuro lo sbarco dell’equipaggio e poi il rifornimento e la ripartenza. Qui, sulla Terra e in questa fase altamente sperimentale, la Starship ha un rischio di inclinarsi e cadere piuttosto significativo, visto che si tratta di un cilindro vuoto alto 50 metri con delle piccole zampe che non sporgono lateralmente e conferiscono poca stabilità. Sarà interessante vedere come SpaceX affronterà questa fase. Per ora si sa che sta usando una normale gru mobile e che il propellente residuo è stato semplicemente sfiatato per evaporazione.


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.