Cerca nel blog

2011/05/27

Podcast del Disinformatico del 20 e 27/5 pronti da scaricare

Sono disponibili temporaneamente per lo scaricamento le puntate di oggi e di venerdì scorso del Disinformatico radiofonico della RSI, insieme agli articoli di supporto.

Nella puntata di venerdì scorso, scaricabile temporaneamente qui, ho invece segnalato la sconcertante somiglianza fra il cartone animato Cenerentola e il recente matrimonio reale di William e Kate, la falla di Android che ruba gli account Google, le scuse di Sony per il disastro del Playstation Network, la scoperta delle foto private su Facebook fatta da un ricercatore con pochi scrupoli e i problemi della legge antipirateria francese HADOPI, bloccata perché l'ente autorizzato a raccogliere gli indirizzi IP dei presunti pirati è stato a sua volta piratato.

Nella puntata di oggi (podcast) ho parlato del falso annuncio dell'iPhone 5 che in realtà è un virus, dell'allarme per MacDefender e i falsi antivirus per Mac che stanno facendo vittime fra gli utenti Apple perché non chiedono neanche la password, del debutto di Google Wallet per pagare tramite telefonino, del cookiejacking che ruba le credenziali di Facebook, Twitter e Gmail e delle istruzioni anti-zombi dell'ente governativo USA per la sanità.

---

Questi articoli erano stati pubblicati inizialmente sul sito della Rete Tre della Radiotelevisione Svizzera, dove attualmente non sono più disponibili. Vengono ripubblicati qui per mantenerli a disposizione per la consultazione.

---

HADOPI, piratato l'ente antipirateria

La legge HADOPi francese, che sorveglia e punisce con la disconnessione chi viola il diritto d'autore via Internet, si è trovata in una situazione così imbarazzante da costringere il governo a sospendere temporaneamente la sua raccolta di dati di sorveglianza (prevalentemente gli indirizzi IP degli utenti).

La società privata TMG, l'unica autorizzata a raccoglie questi dati, è stata infatta colta a lasciare facile accesso da parte di chiunque ai dati privati degli utenti sorvegliati, con buona pace delle leggi sulla privacy e delle promesse di tutela basate su "sistemi di sicurezza altamente affidabili" che avrebbero dovuto "garantire la riservatezza delle informazioni strategiche dei nostri clienti".

Un autore francese ha infatto trovato un server della TMG maldestramente protetto e accessibile via Internet ed è riuscito ad estrarne, fra le altre cose, una collezione di indirizzi IP di utenti sospettati di pirateria audovisiva.

La legge francese viene studiata con interesse anche da altri paesi, per cui il problema di riservatezza è un monito per tutti coloro che guardano all'esperienza HADOPI con l'intento di emularla oppure contrastarla. Questo fallimento della sicurezza dell'azienda che dovrebbe garantire la sicurezza altrui e il rispetto delle leggi è ovviamente un'ironia che non mancherà di essere sottolineata da parte di chi critica approcci antipirateria di questo genere.

Fonti: Ars Technica, BBC.

Facebook, le foto private sono pubbliche

Il ricercatore di sicurezza Christian Heinrich ha presentato recentemente in Australia una dimostrazione pratica di come ottenere accesso alle immagini private di un utente Facebook scavalcando tutte le impostazioni di privacy del popolare social network. Lo ha fatto in maniera estremamente provocatoria anche per gli addetti ai lavori: ha infatti reso pubbliche le foto personali di famiglia di un collega ricercatore, Chris Gatford, senza il suo consenso.

Polemiche interpersonali a parte, la vulnerabilità tocca tutti gli utenti di Facebook: anche se viene impostato il massimo livello di privacy delle immagini, è possibile accedere a una foto privata tramite il content delivery network (CDN), che è la rete informatica, distribuita in tutto il mondo, di una società esterna a Facebook utilizzata per recapitare più rapidamente agli utenti le pagine richieste. Facebook, come altri social network, deposita copie dei file dei profili degli utenti su questi CDN; così quando un utente richiede un'immagine il file gli viene inviato dal server del CDN geograficamente più vicino invece di dover raggiungere i server di Facebook propriamente detti, velocizzando l'accesso.

Il problema è che le impostazioni di sicurezza di Facebook non si applicano alle copie dei file depositate sui CDN. Heinrich è riuscito a risalire all'indirizzo Internet delle copie delle foto del collega-rivale presenti sul CDN procedendo per forza bruta, tramite un programma apposito che usa come chiave solo l'ID dell'utente-bersaglio (facilmente scopribile) e tenta tutti i valori possibili dell'altro parametro necessario, che è un numero progressivo. Nel giro di una settimana Heinrich ha trovato le foto private del rivale. La dimostrazione ha creato un notevole putiferio online e molta confusione, tanto da portare all'arresto di un giornalista, Ben Grubb, che aveva partecipato alla dimostrazione.

L'attacco dimostra ancora una volta che è opportuno considerare pubblica qualunque informazione messa nei social network, onde evitare rivelazioni imbarazzanti.

Fonti: Risky.biz, Stuff.co.nz.

Sony offre scuse per il blackout del Playstation Network

Con la parziale ripresa del servizio PlayStation Network, inutilizzabile dal 20 aprile scorso a causa della sottrazione di circa 100 milioni di dati dei suoi utenti, la Sony ha iniziato ad offrire degli incentivi e dei giochi agli utenti scontenti del blackout.

Verrà offerto ai giocatori un programma gratuito di protezione delle identità, valido per dodici mesi. Al momento questo programma è disponibile per gli utenti in Francia, Italia, Regno Unito, Germania e Spagna e li aiuterà a risolvere eventuali frodi e a ripagare le spese di ripristino della propria identità online. I dettagli dell'iniziativa, che potrebbe estendersi ad altri paesi, sono sul blog di PlayStation, dove vengono indicati anche i titoli dei giochi offerti gratuitamente per compensare il disagio.

Ai giocatori saranno offerti anche 30 giorni di uso gratuito dei servizi di PlayStation Plus; chi è già utente di PlayStation Plus riceverà 60 giorni di uso gratuito, mentre gli utenti della rete Sony Online Entertainment, anch'essa colpita dal furto di dati, riceveranno un pacchetto di 45 giorni di tempo di gioco e dei "soldi" spendibili nei giochi.

Cenerentola della Disney previde il matrimonio reale?

Sta circolando in Rete una serie di immagini tratte da Cenerentola, il cartone animato della Disney del 1950, che richiamano in maniera impressionante, quasi chiaroveggente, le scene del matrimonio fra il principe William e Kate Middleton.

William ha la stessa uniforme rossa e nera del principe di Cenerentola, mentre Kate ha gli stessi capelli scuri della protagonista del cartone animato e un vestito quasi uguale. E anche le sorellastre di Cenerentola hanno vestiti dello stesso colore di quelli indossati dalle principesse Beatrice ed Eugenie di York. Come è possibile?

Le immagini sembrano una prova inequivocabile, ma il sito antibufala Snopes.com ha la spiegazione corredata dei fotogrammi originali: si tratta di un falso, realizzato cambiando i colori degli indumenti e dei capelli nel cartone animato in modo da farli corrispondere a posteriori ai colori delle immagini matrimoniali, cosa peraltro facile, visto che in Cenerentola i colori sono pieni.

Falla di Android colpisce il 99% degli smartphone

Tre esperti di sicurezza dell'università di Ulm, Bastian Konings, Jens Nickels e Florian Schaub, hanno dimostrato come prendere il controllo di un account Gmail o Google Calendar in modo molto semplice attraverso le applicazioni per il sistema operativo Android, molto diffuso sui telefonini evoluti (smartphone) e sui tablet.

Queste applicazioni, infatti, gestiscono in modo non sicuro i cosiddetti token di autenticazione, ossia i codici usati dai servizi di Google per mantenere attiva una sessione senza dover reimmettere continuamente la password. Secondo gli esperti di Ulm, questi token spesso non sono cifrati e possono restare validi fino a due settimane: se un malfattore riesce a intercettarli, per esempio ascoltando il traffico su una rete WiFi aperta, ha in mano una chiave che gli consente di prendere il controllo della sessione e quindi del servizio quanto basta, per esempio, per inviare messaggi o cambiare i dati della rubrica o reimpostare la password dell'account.

Le versioni 3.x e 2.3-4 di Android gestiscono questi token in modo meno insicuro, tramite il protocollo HTTPS, ma i telefonini e tablet che usano già queste versioni sono pochissimi: meno dello 0,3%. In attesa che i produttori di questi dispositivi distribuiscano gli aggiornamenti dei rispettivi sistemi operativi, all'utente Android non resta che evitare di usare reti WiFi aperte, ricorrendo invece alla connessione cellulare o a una VPN, oppure evitare di usare le applicazioni Android di accesso ai servizi di Google.

Fonti: BBC, ZDNet.

Virus per Mac, cosa fare

Alla fine il momento a lungo previsto è arrivato: gli utenti dei computer Apple si trovano minacciati da MacDefender / MacGuard / MacSecurity / MacProtector, un programma dalla grafica molto realistica e credibile, diffuso in numerose varianti continuamente aggiornate, che si spaccia per un antivirus (in realtà è un trojan) e avvia automaticamente la propria installazione, in alcuni casi senza chiedere la password di amministratore, semplicemente visitando una pagina Web infetta che compare per esempio nei risultati di una ricerca in Google. Una situazione ben nota agli utenti Windows, che a queste cose sono abituati, ma sostanzialmente inedita per gli utenti Apple, che quindi si trovano spaesati e particolarmente vulnerabili.

Alcune fonti stimano che le vittime di questo attacco informatico siano alcune decine di migliaia, con una stima massima di circa 125.000. Lo scopo dell'attacco è convincere le vittime a fornire i dati della propria carta di credito per acquistare la versione completa del finto antivirus e liberarsi dell'infezione.

Gli utenti Apple non sono certo stati aiutati dalla lentezza di Apple nel reagire al problema: dopo aver inizialmente dato ordini all'assistenza tecnica di negare ogni aiuto concreto, sono passati infatti ben 25 giorni fra segnalazione dell'esistenza di MacDefender e compagnia bella da parte degli esperti di sicurezza e la pubblicazione delle istruzioni di Apple (in italiano qui) su come difendersi da questo attacco e rimuoverlo se si è già stati colpiti. Apple ha poi annunciato che prossimamente distribuirà un aggiornamento che risolverà entrambi i problemi.

In attesa di questo aggiornamento, alle istruzioni di Apple è opportuno aggiungere la raccomandazione di disabilitare in Safari l'apertura automatica dei file scaricati che secondo Apple sarebbero "sicuri": aprite Safari, andate nelle Preferenze, aprite la scheda Generale e togliete il segno di spunta dall'ultima casella in basso, quella che parla appunto di apertura di file "sicuri".

L'altro consiglio fondamentale per gli utenti Apple è installare un vero antivirus e imparare a conoscerne i messaggi di avvertimento, in modo da non farsi ingannare da quelli dei falsi antivirus. È opportuno farsi consigliare nella scelta da una persona esperta di fiducia e scaricare l'antivirus direttamente dal sito del produttore. Alcuni esempi di veri antivirus sono Sophos Anti-Virus per Mac Home Edition (gratuito), F-Secure Anti-Virus for Mac 2011 (a pagamento, con periodo di prova gratuito) e Norton AntiVirus 11.0 for Mac (a pagamento). I rispettivi manuali contengono immagini dei messaggi d'avvertimento reali per rendere più facile capire quando si è realmente sotto attacco.

La raccomandazione finale è, come sempre, di essere vigili e di leggere attentamente gli avvisi che compaiono sullo schermo prima di cliccare o accettare qualunque invito a proseguire installazioni che si sono avviate automaticamente.

Fonti aggiuntive: Siamogeek, Intego.

Attenzione alle pubblicità per l'iPhone 5

Davide, un lettore e ascoltatore del Disinformatico, segnala il pericolo di una mail che sembra provenire da Apple (il mittente apparente è noreply@apple.com) e annuncia, con una grafica davvero ricca e molto professionale, l'arrivo dell'iPhone 5, imitando quasi perfettamente lo stile delle comunicazioni pubblicitarie reali di Apple.

Il link contenuto nella finta mail pubblicitaria porta a un file che si spaccia per un'immagine ma è in realtà un programma per Windows situato presso Comiali.com e altri siti, che probabilmente sono solo ospiti inconsapevoli del file. Il mittente è fasullo (come ormai sa da tempo chi segue il Disinformatico, il mittente di una mail si falsifica con estrema facilità).

Analisi di questa trappola sono presso SecurityNewsDaily, MacRumors e DSLReports.com; il file eseguibile è da considerare ostile, e come se non bastasse, il link porta anche a una finta pagina di Apple che chiede il vostro identificativo Apple e altri dati personali e quindi ve li sottrae, rubandovi il vostro account Apple, dal quale può accedere alla musica comprata con iTunes e potenzialmente effettuare acquisti addebitandoli a voi.

Secondo Clean-Mx.de, il file è IRC/Zapchast.AR, che Microsoft descrive come un trojan e backdoor che permette al gestore del virus di prendere il comando del computer infetto, come descritto in dettaglio da F-Secure.

Google Wallet, pagare con il telefonino

Google ha presentato Wallet ("portafogli" in inglese), la sua proposta di soluzione per i pagamenti tramite telefonino: un'idea di cui si parla da anni e che forse stavolta diventerà realtà. Google non è certo l'unico grande nome del mondo digitale ad avere in cantiere progetti di questo tipo, ma si distingue perché ha l'appoggio di molti grandi nomi del settore delle carte di credito, delle transazioni economiche, della vendita al dettaglio e dei produttori di telefonini.

Il sistema, che debutterà concretamente quest'estate ma è già in fase di test sul campo, si basa sulla presenza, nel telefonino dell'utente, di un chip apposito, denominato NFC (Near Field Communications), che permette lo scambio di dati fra il cellulare e il terminale di vendita via radio a distanza ravvicinata. In pratica, per effettuare un pagamento si avvicina il telefonino al terminale, si digita un codice di autorizzazione, e il gioco è fatto. I telefonini che montano già questo chip sono in rapido aumento e si prevede che entro il 2014 il 50% degli smartphone, ossia 150 milioni di apparecchi, sarà abilitato all'uso dell'NFC.

Wallet è pensato principalmente per i piccoli pagamenti ed è già compatibile con la rete esistente PayPass di Mastercard. Gran parte del software sarà aperta o basata su standard aperti. Google conta di guadagnare attraverso la pubblicità che verrà veicolata dal servizio e tramite Google Offers, il suo sistema di buoni sconto contestuali basato sul cosiddetto geotargeting, ossia sull'invio di messaggi pubblicitari che dipendono da dove si trova l'utente (a patto che l'utente abbia deciso di condividere la propria posizione con Google).

Inevitabilmente si pone la questione della sicurezza di questo metodo di pagamento. In linea di principio, il rischio è inferiore a quello che si corre dando la propria carta di credito in mano a un negoziante, e per effettuare un pagamento occorre digitare sul telefonino un PIN di quattro cifre. Inoltre i dati delle carte di credito memorizzate sul cellulare sono cifrati e non vengono mai visualizzati integralmente sul display. Ma resta da vedere se gli utenti saranno disposti a memorizzare sul telefonino (oggetto facilmente rubabile o perdibile) non solo i dati di tutte le proprie carte di credito ma anche quelli della patente di guida, della carta d'identità e altri dati personali come vorrebbe Google: significa affidare al gigante della ricerca online una quantità davvero impressionante di informazioni personali. La domanda fondamentale, come sempre, è quanta privacy siamo disposti a sacrificare pur di avere accesso a queste comodità.

È ufficiale: gli zombi preparano l'apocalisse, garantisce il governo USA

Sono arrivate parecchie segnalazioni perplesse a proposito di una pagina un po' strana del sito dell'autorevolissimo ente statunitense per la sanità pubblica CDC (Centers for Disease Control and Prevention) che avvisa la popolazione su come prepararsi all'Apocalisse degli zombi.

Si intitola Preparedness 101: Zombie Apocalypse, e non è una pagina inserita da malfattori o burloni, ma una scheda tecnica preparata intenzionalmente dal CDC nell'ambito di una campagna informativa molto originale. Infatti la prima parte della pagina parla di zombi e relativi problemi, ma poi prende spunto dall'idea dell'Apocalisse degli zombi per proporre un elenco molto concreto di cose da fare e preparare in caso di vera calamità naturale o epidemia.

Un approccio comunicativo decisamente diverso da quello consueto delle istituzioni, che ha ottenuto il risultato desiderato: far parlare di sé e suscitare attenzione e interesse. Superati gli zombi sparsi per la pagina, infatti, ognuno può trovare consigli utili per le emergenze reali, che hanno spesso conseguenze serie di ordine sanitario.

Nessun commento: