Cerca nel blog

2018/11/12

Volete provare con me a violare il sistema di voto elettronico svizzero? È legale

A quanto pare la Svizzera sta invitando gli informatici a mettere alla prova il sistema di voto elettronico messo a punto dalle Poste svizzere. Secondo il Corriere del Ticino, che cita la NZZ am Sonntag, che a sua volta fa riferimento a “fonti della Cancelleria federale”, “nel corso del primo trimestre dell'anno prossimo, infatti, siete invitati a testare la resistenza del programma per il voto elettronico messo a punto dalla Posta“.

Ci sarebbero ben 250 mila franchi (circa 220 mila euro) di ricompensa “per chi riuscirà ad attaccare, manipolare o "piratare" il sistema... la prova durerà quattro settimane. Gli interessati possono già iscriversi via Internet presso la Posta svizzera.”

Se volete cimentarvi insieme a me, o comunque soltanto discutere delle tecnologie e della sicurezza del voto elettronico, i commenti sono a vostra disposizione.

Il primo cimento, a quanto pare, è trovare come iscriversi, visto che le istruzioni non sembrano essere pubblicamente accessibili. Le informazioni per esperti sul sistema di e-voting sono qui e la demo è qui.


Fonti aggiuntive: 20min.ch, Swissinfo.ch, RSI.ch, Ticinonews.ch. Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

2018/11/10

Puntata del Disinformatico RSI del 2018/11/09

È disponibile lo streaming audio e video della puntata del 9 novembre del Disinformatico della Radiotelevisione Svizzera.

La versione podcast solo audio (senza canzoni, circa 20 minuti) è scaricabile qui sul sito RSI e disponibile qui su iTunes (per dispositivi compatibili) e tramite le app RSI (iOS/Android); la versione video (canzoni incluse, circa 60 minuti) è nella sezione La radio da guardare del sito della RSI ed è incorporata qui sotto. Buona visione e buon ascolto!

2018/11/09

Quanto è facile “bucare” un’azienda: prova pratica

Nota: alcuni dettagli di questa vicenda sono stati alterati oppure omessi per proteggere gli interessati ma in modo da non alterare il senso tecnico del racconto. Ultimo aggiornamento: 2018/11/10 01:00.

Un paio di giorni fa mi è capitata un’occasione molto particolare: la possibilità di assistere al lavoro di una persona esperta nell’hacking, che chiamerò Mario (ovviamente non è il suo vero nome). Io ho assistito come giornalista per documentare e raccontare una sessione dimostrativa di questo lavoro, facendo attenzione a non rivelare troppo pur mantenendo il valore educativo degli esempi concreti che ho visto.

Cominciamo dall’inizio. La prima questione è capire che c’è una grandissima differenza fra un attacco mirato a un obiettivo specifico e una pesca a casaccio. Nel primo caso ci vuole molto tempo ed è necessaria una pianificazione attenta. Nel secondo, beh, il mare è pieno di pesci: basta scegliere quello più vulnerabile.

Mario stavolta va appunto a pesca. È una pesca a strascico, che prende chiunque riesca a prendere, quella che coglie in fallo tutti quelli che dicono “Ma io non sono nessuno, ho un’aziendina come tante, chi vuoi che mi prenda di mira?”. Nella pesca a strascico finiscono tutti, grandi e piccoli, aziende e privati, perché è facile. Terribilmente facile.

Infatti trovare informazioni lasciate incautamente online è spesso soltanto una questione di saper usare Google. Niente violazioni di siti: basta un po’ di Google hacking, basato su parametri come il tipo di file e sulla ricerca di parole o coppie di parole potenzialmente interessanti, oppure di nomi di file particolari che vengono generati per esempio da backup o da programmi per l'archiviazione della mail.

Sì, la gente mette online inavvertitamente documenti contenenti password e altri dati personali, backup completi dei propri database e altro ancora. Li mette in directory pubblicamente accessibili di un proprio server perché così è comodo (“tanto se nessuno sa che sono lì, non li troverà nessuno”), come ben sa la BBC. Comodo anche per chi li vuole trovare, visto che vengono indicizzati da Google. So che sembra impossibile: non ci credi finché non lo vedi con i tuoi occhi.

Essendo dati pubblicati online, formalmente non è neanche un’intrusione. Basta scaricare i file e poi analizzarli con calma. Nel caso preso in esame da Mario, si tratta di un classico file di testo nel quale l’utente conserva in chiaro tutte le proprie password; è ancora lì, online, in questo momento, in una sezione di un sito pubblico creato per un cliente. Il file contiene tutte le coordinate di una ditta del sud Italia.

Mario esamina il file: nota che gli utenti elencati tendono a usare sempre la stessa password, la stessa casella di mail e lo stesso nome utente nei vari account, sia mail sia social, sia privati sia di lavoro. Un classico.

L’autenticazione a due fattori (2FA) si rivela un salvagente prezioso: l’esperto trova nel file password e nome utente di un account Paypal: se avesse intenzioni ostili, questo sarebbe il suo primo bersaglio, immediatamente monetizzabile. La password è banale e valida, ma c'è la 2FA che allerta l’utente e blocca l’intrusione. Ottimo. Lo stesso vale per Gmail, Skype e Amazon. Non sarebbe possibile quindi causare danni economici diretti saccheggiando conti o facendo acquisti, ma sapere le password di account del genere sarebbe più che sufficiente per fare attacchi di social engineering come quello recente “so la tua password, ti ho registrato mentre guardavi siti porno”.

Le cose si fanno più interessanti con gli account social. Su quello Twitter non c’è 2FA, ma nel file di password manca il nome dell’account: ci sono solo (si fa per dire) l’indirizzo di mail e la password. Ma per Mario la cosa non pone nessun problema: basta guardare gli schemi usati altrove e diventa facile indovinare il nome dell’account. È quello dell’azienda seguito dal tipo di ragione sociale.

Se Mario entrasse a fondo nell’account, avrebbe accesso a tutti i messaggi pubblici e privati e potrebbe fare qualunque cosa: cancellare l’account, scaricare le foto (anche quelle definite “private”), mandare messaggi fingendo di essere l’azienda e distruggerne la reputazione, cambiare la password dell’account e chiedere denaro per ridarne il controllo al legittimo proprietario, eccetera. Ma si tratta di una dimostrazione, per cui si limita a lasciare su Twitter un messaggio per avvisare che la password è nota e consigliare di cambiarla.

Anche l’account Facebook non è protetto dalla 2FA. Ci sono anche foto di bambini (i figli?) e naturalmente ci sono i nomi degli amici e i luoghi visitati. Anche qui il potenziale di far danni è altissimo, ma Mario non fa nulla.

Ci sono anche i documenti: account di canali TV a pagamento cessati, vecchie bollette telefoniche, carte di credito scadute. Anche così, comunque, sono utili perché forniscono nomi, cognomi, indirizzi, codici fiscali e partite IVA, utilissimi per fare escalation e imbastire un attacco informatico più approfondito. Per esempio, l’azienda usa un sistema di fatturazione online, e uno dei parametri necessari per consultarlo (oltre ai codici, incautissimamente scritti nel file lasciato su Internet) è la partita IVA. Che Mario ha subito a disposizione tramite le fatture. A questo punto sarebbe banale ficcare il naso nella fatturazione dell’azienda e acquisire altri dettagli utili: i nomi dei fornitori, le coordinate bancarie e altro ancora.

Ci sono anche le credenziali di affiliazione a un movimento politico, ma Mario non se ne fa nulla a parte riderci sopra.

La lezione finale, piuttosto sorprendente, di questa storia è che bisogna lasciare una traccia innocua del proprio passaggio perché altrimenti spesso non si verrà creduti quando si avviserà l’utente che le sue password sono a spasso. Così Mario cambia l’immagine nel profilo Telepass (che potrebbe usare per sorvegliare gli spostamenti del titolare) e ci mette un bel gattino. Fine della dimostrazione.



A me restano le questioni etiche: quante violazioni del GDPR avrà accumulato quest’azienda? E se ci fossero di mezzo altre persone (clienti, fornitori), sarebbe opportuno o necessario avvisarle? Una cosa è certa: l’azienda va informata. L’ho fatto subito via mail e via SMS, perché chiunque potrebbe trovare online quei dati (basta una banale ricerca in Google) e fare danni: l’azienda ha risposto stamattina dicendo che si stava recando alla Polizia Postale.

Utente avvisato, mezzo salvato: spero che questo resoconto, anche se pesantemente anonimizzato, possa ispirare chi lo legge a prendere precauzioni più serie e a non pensare di essere troppo poco interessante o appetibile.

Ricordo che per le segnalazioni di dati riservati lasciati incautamente online, in Svizzera ci si può rivolgere all’apposita pagina dell’Ufficio Federale di Polizia e a quella di MELANI (la ), mentre in Italia si può contattare il CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche).


2018/11/10 01:00

I dati sono spariti dall’URL pubblicamente accessibile. Noto ora che in una delle risposte di una delle persone interessate c’è questa chiusura:

Nessun virus nel messaggio.
Controllato da AVG - www.avg.com
Versione: 2016.0.8048 / Database dei virus: 4793/15883 -  Data di rilascio: 14/08/2018
Database dei virus interno non č aggiornato.

Sicurezza, questa sconosciuta.

2018/11/07

Pernigotti, La Stampa copia da Wikipedia senza dirlo. Beccata, corregge

Il 7 novembre 2018 La Stampa ha pubblicato un articolo, a firma di Massimo Putzu, dedicato alla chiusura dell’industria dolciaria Pernigotti.

Un intero blocco dell’articolo è preso sostanzialmente di peso da Wikipedia in italiano, aggiungendo successivamente in un solo paragrafo la foglia di fico “come scrive anche Wikipedia” che non c’era nella prima versione, salvata da Archive.org:

A sinistra, la voce di Wikipedia; a destra, l’articolo de La Stampa.

La copia è evidente: vengono conservati persino gli errori di battitura (per esempio lo spazio mancante dopo la virgola). Ecco un confronto testuale:

WikipediaLa Stampa (versione originale su Archive.org)
La storia dell'azienda parte dal 1860, quando Stefano Pernigotti apre nella piazza del Mercato a Novi Ligure (AL), una drogheria specializzata in "droghe e coloniali" e già rinomata fin dagli inizi per la produzione di un pregiato torrone. Nel 1868, a seguito di una crescente notorietà dei prodotti del negozio, Stefano decide di fondare assieme al figlio (Francesco, 1843-1936) venticinquenne una società: il 1º giugno del 1868 nasce ufficialmente,con un capitale di seimila lire, la "Stefano Pernigotti & Figlio", azienda alimentare specializzata in produzione dolciaria.[2]La storia dell’azienda parte dal 1860, quando Stefano Pernigotti apre nella piazza del Mercato a Novi Ligure, una drogheria specializzata in «droghe e coloniali» e già rinomata fin dagli inizi per la produzione di un pregiato torrone (come scrive anche Wikipedia). Nel 1868, a seguito di una crescente notorietà dei prodotti del negozio, Stefano decide di fondare assieme al figlio Francesco venticinquenne una società: il 1º giugno del 1868 nasce ufficialmente,con un capitale di seimila lire, la «Stefano Pernigotti & Figlio» azienda alimentare specializzata in produzione dolciaria.
In questa fase iniziale, l'azienda produce e commercia soprattutto mostarda e torrone, dolce classico natalizio, una specialità di presunta origine araba, diffusasi inizialmente nel nord Italia e gradualmente in tutte le zone della penisola.
Il primo riconoscimento ufficiale arriva il 25 aprile 1882 quando Re Umberto I in persona concede alla società la facoltà di innalzare lo stemma reale sull'insegna della sua fabbrica, che accompagnerà il logo dell'azienda fino al 2004. In questa maniera, l'azienda diventa fornitore ufficiale della famiglia Reale italiana.
Nel 1914 con la Prima guerra mondiale alle porte, il Governo Italiano proibisce l'impiego dello zucchero per la preparazione dei generi dolciari, fra i quali il torrone: ciò che poteva rappresentare un grave ostacolo per la produzione, si trasforma, grazie alla geniale intuizione di Francesco, in un'innovazione che arricchisce la qualità dell'azienda. L'assenza di zucchero, infatti, è sapientemente colmata da una maggiore concentrazione di miele, dando vita ad un nuovo torrone dalla consistenza unica.
Nel 1919 Paolo Pernigotti sostituisce il padre Francesco alla guida dell'azienda. Ma la data che forse segna la storia dolciaria dell'azienda è il 1927, anno in cui avvia per la prima volta la produzione industriale del gianduiotto,[2] il più nobile e rinomato cioccolatino italiano nato ufficialmente a Torino nel 1865 e che prende il nome da Gianduia, la famosa maschera di carnevale piemontese. È questo un periodo molto fiorente per l'azienda, che a partire dal 1928 inizia una scalata cesellata da esaltanti risultati, ricca di riconoscimenti e premi, tra cui il “Diploma di Gran Premio” conseguito all'Esposizione nazionale ed internazionale di Torino.Nel 1919 Paolo Pernigotti sostituisce il padre Francesco alla guida dell’azienda. Ma la data che forse segna la storia dolciaria dell’azienda è il 1927, anno in cui avvia per la prima volta la produzione industriale del gianduiotto, il più nobile e rinomato cioccolatino italiano nato ufficialmente a Torino nel 1865 e che prende il nome da Gianduia, la famosa maschera di carnevale piemontese.
Nel 1935 Paolo Pernigotti acquista la ditta Enea Sperlari, azienda cremonese specializzata nella produzione del torrone.[2] Nel 1936 Paolo avvia una nuova produzione, quella dei preparati per gelateria, che ancora oggi è uno dei punti di forza dell'azienda. Nel 1935 Paolo Pernigotti acquista la ditta Enea Sperlari, Nel 1936 Paolo avvia una nuova produzione, quella dei preparati per gelateria, che ancora oggi è uno dei punti di forza dell’azienda. 
Nel 1944 un bombardamento distrugge l'opificio che viene ricostruito e trasferito negli ex magazzini militari di viale della Rimembranza, dove ancor oggi la Pernigotti ha sede.[2] A Paolo subentra, negli anni sessanta, il figlio Stefano Pernigotti, che nel 1971 acquisisce la Streglio, specializzata nei prodotti a base di cacao.[2]Nel 1944 un bombardamento distrugge l’opificio che viene ricostruito e trasferito negli ex magazzini militari di viale della Rimembranza che adesso chiudono. A Paolo subentra, negli anni sessanta, il figlio Stefano Pernigotti, che nel 1971 acquisisce la Streglio, specializzata nei prodotti a base di cacao. Con gli anni Ottanta sopraggiunge un periodo di crisi che porterà alla cessione della Sperlari nel 1981 agli americani della H.J.Heinz Company.
Nel 1995 Stefano Pernigotti, rimasto senza eredi dopo la scomparsa dei due figli ancora giovanissimi in un incidente stradale in Uruguay nel luglio 1980,[2] decide di cedere lo storico marchio novese alla famiglia Averna, nota per i successi legati al settore delle bevande alcoliche. Nel 2000 cede anche la Streglio ad una nipote.Nel 1995 Stefano Pernigotti, rimasto senza eredi dopo la scomparsa dei due figli ancora giovanissimi in un incidente stradale in Uruguay nel luglio 1980, decide di cedere lo storico marchio novese alla famiglia Averna, nota per i successi legati al settore delle bevande alcoliche. Nel 2000 cede anche la Streglio a una nipote.
L'11 luglio 2013 l'azienda viene ceduta dalla famiglia Averna al gruppo turco appartenente alla famiglia Toksöz,[4] attivo nel dolciario, nel farmaceutico e nel settore energetico. Il 6 novembre 2018 la Toksöz, che detiene l'azienda, ha annunciato la chiusura dello stabilimento di Novi Ligure, ma non la dismissione il marchio.[5]L’11 luglio 2013 l’azienda viene ceduta dalla famiglia Averna al gruppo turco appartenente alla famiglia Toksöz, attivo nel dolciario, nel farmaceutico e nel settore energetico.

Ringrazio @dissezione per la segnalazione iniziale. Dopo la mia segnalazione su Twitter e l’intervento di Anna Masera, public editor del giornale, l’articolo è stato corretto. È un peccato che le correzioni e il rispetto del diritto d’autore avvengano soltanto se qualcuno contesta, ma è già un cauto passo nella direzione giusta.


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

2018/11/06

Sostenitore delle “scie chimiche” condannato a otto mesi di reclusione per diffamazione

Uno dei più prolifici e prolissi sostenitori italiani della tesi delle “scie chimiche” ha ricevuto oggi una ulteriore condanna, a otto mesi di reclusione, per aver diffamato la USL di Imperia. Si tratta della stessa persona già condannata per aver diffamato la giornalista Silvia Bencivelli, rea (si fa per dire) di aver pubblicato su La Stampa un articolo nel quale spiegava l’assurdità delle tesi sciachimiste e la rabbia folle di chi le sostiene.

No, non pubblicherò il nome del condannato, perché il poveretto vuole disperatamente avere notorietà e sentirsi martire; quindi non citatelo nei commenti. Lasciatelo nella sua irrilevanza. Quello che conta è che finalmente si ribadisce il concetto che Internet non è per forza un Far West nel quale si può impunemente tirar fango addosso agli altri e istigare all’odio e alla violenza fisica.

Per chi ancora volesse approfondire la questione delle “scie chimiche” c’è il sito apposito.