Sono disponibili temporaneamente per lo scaricamento le puntate di oggi e di
venerdì scorso del Disinformatico radiofonico della RSI, insieme agli
articoli di supporto.
Nella puntata di venerdì scorso, scaricabile temporaneamente
qui, ho invece segnalato la
sconcertante somiglianza fra il cartone animato Cenerentola
e il recente matrimonio reale di William e Kate, la
falla di Android che ruba gli account Google, le
scuse di Sony per il disastro del Playstation Network, la
scoperta delle foto private su Facebook
fatta da un ricercatore con pochi scrupoli e i
problemi della legge antipirateria francese HADOPI, bloccata perché l'ente autorizzato a raccogliere gli indirizzi IP dei
presunti pirati è stato a sua volta piratato.
Nella puntata di oggi (podcast) ho parlato del
falso annuncio dell'iPhone 5 che in realtà è un virus, dell'allarme per MacDefender e i
falsi antivirus per Mac
che stanno facendo vittime fra gli utenti Apple perché non chiedono neanche la
password, del debutto di Google Wallet
per pagare tramite telefonino, del
cookiejacking che ruba le credenziali
di Facebook, Twitter e Gmail e delle
istruzioni anti-zombi
dell'ente governativo USA per la sanità.
---
Questi articoli erano stati pubblicati inizialmente sul sito della Rete Tre
della Radiotelevisione Svizzera, dove attualmente non sono più disponibili.
Vengono ripubblicati qui per mantenerli a disposizione per la
consultazione.
---
HADOPI, piratato l'ente antipirateria
La legge HADOPi francese, che sorveglia e punisce con la disconnessione chi
viola il diritto d'autore via Internet, si è trovata in una situazione così
imbarazzante da costringere il governo a sospendere temporaneamente la sua
raccolta di dati di sorveglianza (prevalentemente gli indirizzi IP degli
utenti).
La società privata TMG, l'unica autorizzata a raccoglie questi dati, è stata
infatta colta a lasciare facile accesso da parte di chiunque ai dati privati
degli utenti sorvegliati, con buona pace delle leggi sulla privacy e delle
promesse di tutela basate su
"sistemi di sicurezza altamente affidabili" che avrebbero
dovuto
"garantire la riservatezza delle informazioni strategiche dei nostri
clienti".
Un autore francese ha infatto
trovato
un server della TMG maldestramente protetto e accessibile via Internet ed è
riuscito ad estrarne, fra le altre cose, una collezione di indirizzi IP di
utenti sospettati di pirateria audovisiva.
La legge francese viene studiata con interesse anche da altri paesi, per cui
il problema di riservatezza è un monito per tutti coloro che guardano
all'esperienza HADOPI con l'intento di emularla oppure contrastarla. Questo
fallimento della sicurezza dell'azienda che dovrebbe garantire la sicurezza
altrui e il rispetto delle leggi è ovviamente un'ironia che non mancherà di
essere sottolineata da parte di chi critica approcci antipirateria di questo
genere.
Fonti:
Ars Technica, BBC.
Facebook, le foto private sono pubbliche
Il ricercatore di sicurezza Christian Heinrich ha presentato recentemente in
Australia una dimostrazione pratica di come ottenere accesso alle immagini
private di un utente Facebook scavalcando tutte le impostazioni di privacy del
popolare social network. Lo ha fatto in maniera estremamente provocatoria
anche per gli addetti ai lavori: ha infatti reso pubbliche le foto personali
di famiglia di un collega ricercatore, Chris Gatford, senza il suo consenso.
Polemiche interpersonali a parte, la vulnerabilità tocca tutti gli utenti di
Facebook: anche se viene impostato il massimo livello di privacy delle
immagini, è possibile accedere a una foto privata tramite il
content delivery network (CDN), che è la rete informatica,
distribuita in tutto il mondo, di una società esterna a Facebook utilizzata
per recapitare più rapidamente agli utenti le pagine richieste. Facebook, come
altri social network, deposita copie dei file dei profili degli utenti su
questi CDN; così quando un utente richiede un'immagine il file gli viene
inviato dal server del CDN geograficamente più vicino invece di dover
raggiungere i server di Facebook propriamente detti, velocizzando l'accesso.
Il problema è che le impostazioni di sicurezza di Facebook non si applicano
alle copie dei file depositate sui CDN. Heinrich è riuscito a risalire
all'indirizzo Internet delle copie delle foto del collega-rivale presenti sul
CDN procedendo per forza bruta, tramite un programma apposito che usa come
chiave solo l'ID dell'utente-bersaglio (facilmente scopribile) e tenta tutti i
valori possibili dell'altro parametro necessario, che è un numero progressivo.
Nel giro di una settimana Heinrich ha trovato le foto private del rivale. La
dimostrazione ha creato un notevole putiferio online e molta confusione, tanto
da portare all'arresto di un giornalista, Ben Grubb, che aveva partecipato
alla dimostrazione.
L'attacco dimostra ancora una volta che è opportuno considerare pubblica
qualunque informazione messa nei social network, onde evitare rivelazioni
imbarazzanti.
Fonti: Risky.biz,
Stuff.co.nz.
Sony offre scuse per il blackout del Playstation Network
Con la parziale ripresa del servizio PlayStation Network, inutilizzabile dal
20 aprile scorso a causa della sottrazione di circa 100 milioni di dati dei
suoi utenti, la Sony ha iniziato ad offrire degli incentivi e dei giochi agli
utenti scontenti del blackout.
Verrà offerto ai giocatori un programma gratuito di protezione delle identità,
valido per dodici mesi. Al momento questo programma è disponibile per gli
utenti in Francia, Italia, Regno Unito, Germania e Spagna e li aiuterà a
risolvere eventuali frodi e a ripagare le spese di ripristino della propria
identità online. I dettagli dell'iniziativa, che potrebbe estendersi ad altri
paesi, sono sul
blog di PlayStation, dove
vengono
indicati
anche i titoli dei giochi offerti gratuitamente per compensare il disagio.
Ai giocatori saranno offerti anche 30 giorni di uso gratuito dei servizi di
PlayStation Plus; chi è già utente di PlayStation Plus riceverà 60 giorni di
uso gratuito, mentre gli utenti della rete Sony Online Entertainment,
anch'essa colpita dal furto di dati, riceveranno un pacchetto di 45 giorni di
tempo di gioco e dei "soldi" spendibili nei giochi.
Cenerentola della Disney previde il matrimonio reale?
Sta circolando in Rete una serie di immagini tratte da
Cenerentola, il cartone animato della Disney del 1950, che richiamano
in maniera impressionante, quasi chiaroveggente, le scene del matrimonio fra
il principe William e Kate Middleton.
William ha la stessa uniforme rossa e nera del principe di Cenerentola, mentre
Kate ha gli stessi capelli scuri della protagonista del cartone animato e un
vestito quasi uguale. E anche le sorellastre di Cenerentola hanno vestiti
dello stesso colore di quelli indossati dalle principesse Beatrice ed Eugenie
di York. Come è possibile?
Le immagini sembrano una prova inequivocabile, ma il sito antibufala
Snopes.com ha la
spiegazione
corredata dei fotogrammi originali: si tratta di un falso, realizzato
cambiando i colori degli indumenti e dei capelli nel cartone animato in modo
da farli corrispondere a posteriori ai colori delle immagini matrimoniali,
cosa peraltro facile, visto che in Cenerentola i colori sono pieni.
Falla di Android colpisce il 99% degli smartphone
Tre esperti di sicurezza dell'università di Ulm, Bastian Konings, Jens Nickels
e Florian Schaub, hanno dimostrato come prendere il controllo di un account
Gmail o Google Calendar in modo molto semplice attraverso le applicazioni per
il sistema operativo Android, molto diffuso sui telefonini evoluti
(smartphone) e sui tablet.
Queste applicazioni, infatti, gestiscono in modo non sicuro i cosiddetti
token di autenticazione, ossia i codici usati dai servizi di Google
per mantenere attiva una sessione senza dover reimmettere continuamente la
password. Secondo gli esperti di Ulm, questi token spesso non sono cifrati e
possono restare validi fino a due settimane: se un malfattore riesce a
intercettarli, per esempio ascoltando il traffico su una rete WiFi aperta, ha
in mano una chiave che gli consente di prendere il controllo della sessione e
quindi del servizio quanto basta, per esempio, per inviare messaggi o cambiare
i dati della rubrica o reimpostare la password dell'account.
Le versioni 3.x e 2.3-4 di Android gestiscono questi token in modo meno
insicuro, tramite il protocollo HTTPS, ma i telefonini e tablet che usano già
queste versioni sono pochissimi: meno dello 0,3%. In attesa che i produttori
di questi dispositivi distribuiscano gli aggiornamenti dei rispettivi sistemi
operativi, all'utente Android non resta che evitare di usare reti WiFi aperte,
ricorrendo invece alla connessione cellulare o a una VPN, oppure evitare di
usare le applicazioni Android di accesso ai servizi di Google.
Fonti: BBC,
ZDNet.
Virus per Mac, cosa fare
Alla fine il momento a lungo previsto è arrivato: gli utenti dei computer
Apple si trovano minacciati da MacDefender / MacGuard / MacSecurity /
MacProtector, un programma dalla grafica molto realistica e credibile, diffuso
in numerose varianti continuamente aggiornate, che si spaccia per un antivirus
(in realtà è un trojan) e avvia automaticamente la propria installazione, in
alcuni casi
senza chiedere la password di amministratore, semplicemente visitando una
pagina Web infetta che compare per esempio nei risultati di una ricerca in
Google. Una situazione ben nota agli utenti Windows, che a queste cose sono
abituati, ma sostanzialmente inedita per gli utenti Apple, che quindi si
trovano spaesati e particolarmente vulnerabili.
Alcune fonti
stimano che le vittime di questo attacco informatico siano alcune decine di
migliaia, con una stima massima di circa 125.000. Lo scopo dell'attacco è
convincere le vittime a fornire i dati della propria carta di credito per
acquistare la versione completa del finto antivirus e liberarsi
dell'infezione.
Gli utenti Apple non sono certo stati aiutati dalla lentezza di Apple nel
reagire al problema: dopo aver inizialmente dato
ordini
all'assistenza tecnica di
negare ogni aiuto concreto, sono passati infatti ben 25 giorni fra segnalazione dell'esistenza di
MacDefender e compagnia bella da parte degli esperti di sicurezza e la
pubblicazione delle
istruzioni di Apple
(in italiano
qui) su come
difendersi da questo attacco e rimuoverlo se si è già stati colpiti. Apple ha
poi annunciato che prossimamente distribuirà un aggiornamento che risolverà
entrambi i problemi.
In attesa di questo aggiornamento, alle istruzioni di Apple è opportuno
aggiungere la raccomandazione di disabilitare in Safari l'apertura automatica
dei file scaricati che secondo Apple sarebbero "sicuri": aprite
Safari, andate nelle Preferenze, aprite la scheda Generale e togliete
il segno di spunta dall'ultima casella in basso, quella che parla appunto di
apertura di file "sicuri".
L'altro consiglio fondamentale per gli utenti Apple è installare un vero
antivirus e imparare a conoscerne i messaggi di avvertimento, in modo da non
farsi ingannare da quelli dei falsi antivirus. È opportuno farsi consigliare
nella scelta da una persona esperta di fiducia e scaricare l'antivirus
direttamente dal sito del produttore. Alcuni esempi di veri antivirus sono
Sophos Anti-Virus per Mac Home Edition
(gratuito),
F-Secure Anti-Virus for Mac 2011
(a pagamento, con periodo di prova gratuito) e
Norton AntiVirus 11.0 for Mac
(a pagamento). I rispettivi manuali contengono immagini dei messaggi
d'avvertimento reali per rendere più facile capire quando si è realmente sotto
attacco.
La raccomandazione finale è, come sempre, di essere vigili e di leggere
attentamente gli avvisi che compaiono sullo schermo prima di cliccare o
accettare qualunque invito a proseguire installazioni che si sono avviate
automaticamente.
Fonti aggiuntive:
Siamogeek,
Intego.
Attenzione alle pubblicità per l'iPhone 5
Davide, un lettore e ascoltatore del Disinformatico, segnala il
pericolo di una mail che sembra provenire da Apple (il mittente apparente è
noreply@apple.com) e annuncia, con una grafica davvero
ricca e molto professionale, l'arrivo dell'iPhone 5, imitando quasi
perfettamente lo stile delle comunicazioni pubblicitarie reali di Apple.
Il link contenuto nella finta mail pubblicitaria porta a un file che si
spaccia per un'immagine ma è in realtà un programma per Windows situato presso
Comiali.com e altri siti, che probabilmente sono solo ospiti inconsapevoli del
file. Il mittente è fasullo (come ormai sa da tempo chi segue il
Disinformatico, il mittente di una mail si falsifica con estrema
facilità).
Analisi di questa trappola sono presso
SecurityNewsDaily,
MacRumors
e
DSLReports.com; il file eseguibile è da considerare ostile, e come se non bastasse, il link
porta anche a una finta pagina di Apple che chiede il vostro identificativo
Apple e altri dati personali e quindi ve li sottrae, rubandovi il vostro
account Apple, dal quale può accedere alla musica comprata con iTunes e
potenzialmente effettuare acquisti addebitandoli a voi.
Secondo
Clean-Mx.de, il file è IRC/Zapchast.AR, che
Microsoft
descrive come un trojan e backdoor che permette al gestore
del virus di prendere il comando del computer infetto, come descritto in
dettaglio da
F-Secure.
Google Wallet, pagare con il telefonino
Google ha presentato
Wallet ("portafogli" in
inglese), la sua proposta di soluzione per i pagamenti tramite telefonino:
un'idea di cui si parla da anni e che forse stavolta diventerà realtà. Google
non è certo l'unico grande nome del mondo digitale ad avere in cantiere
progetti di questo tipo, ma si distingue perché ha l'appoggio di molti grandi
nomi del settore delle carte di credito, delle transazioni economiche, della
vendita al dettaglio e dei produttori di telefonini.
Il sistema, che debutterà concretamente quest'estate ma è già in fase di test
sul campo, si basa sulla presenza, nel telefonino dell'utente, di un chip
apposito, denominato NFC (Near Field Communications), che permette lo scambio
di dati fra il cellulare e il terminale di vendita via radio a distanza
ravvicinata. In pratica, per effettuare un pagamento si avvicina il telefonino
al terminale, si digita un codice di autorizzazione, e il gioco è fatto. I
telefonini che montano già questo chip sono in rapido aumento e si prevede che
entro il 2014 il 50% degli smartphone, ossia 150 milioni di apparecchi, sarà
abilitato all'uso dell'NFC.
Wallet è pensato principalmente per i piccoli pagamenti ed è già compatibile
con la rete esistente PayPass di Mastercard. Gran parte del software sarà
aperta o basata su standard aperti. Google conta di guadagnare attraverso la
pubblicità che verrà veicolata dal servizio e tramite Google Offers, il suo
sistema di buoni sconto contestuali basato sul cosiddetto geotargeting, ossia
sull'invio di messaggi pubblicitari che dipendono da dove si trova l'utente (a
patto che l'utente abbia deciso di condividere la propria posizione con
Google).
Inevitabilmente si pone la questione della sicurezza di questo metodo di
pagamento. In linea di principio, il rischio è inferiore a quello che si corre
dando la propria carta di credito in mano a un negoziante, e per effettuare un
pagamento occorre digitare sul telefonino un PIN di quattro cifre. Inoltre i
dati delle carte di credito memorizzate sul cellulare sono cifrati e non
vengono mai visualizzati integralmente sul display. Ma resta da vedere se gli
utenti saranno disposti a memorizzare sul telefonino (oggetto facilmente
rubabile o perdibile) non solo i dati di tutte le proprie carte di credito ma
anche quelli della patente di guida, della carta d'identità e altri dati
personali come vorrebbe Google: significa affidare al gigante della ricerca
online una quantità davvero impressionante di informazioni personali. La
domanda fondamentale, come sempre, è quanta privacy siamo disposti a
sacrificare pur di avere accesso a queste comodità.
È ufficiale: gli zombi preparano l'apocalisse, garantisce il governo USA
Sono arrivate parecchie segnalazioni perplesse a proposito di una
pagina
un po' strana del sito dell'autorevolissimo ente statunitense per la sanità
pubblica CDC (Centers for Disease Control and Prevention) che avvisa
la popolazione su come prepararsi all'Apocalisse degli zombi.
Si intitola Preparedness 101: Zombie Apocalypse, e non è una pagina
inserita da malfattori o burloni, ma una scheda tecnica preparata
intenzionalmente dal CDC nell'ambito di una campagna informativa molto
originale. Infatti la prima parte della pagina parla di zombi e relativi
problemi, ma poi prende spunto dall'idea dell'Apocalisse degli zombi per
proporre un elenco molto concreto di cose da fare e preparare in caso di vera
calamità naturale o epidemia.
Un approccio comunicativo decisamente diverso da quello consueto delle
istituzioni, che ha ottenuto il risultato desiderato: far parlare di sé e
suscitare attenzione e interesse. Superati gli zombi sparsi per la pagina,
infatti, ognuno può trovare consigli utili per le emergenze reali, che hanno
spesso conseguenze serie di ordine sanitario.
