Cerca nel blog

2011/11/30

Disinformatico radio, podcast del 2011/11/25

È disponibile temporaneamente sul sito della Rete Tre della RSI il podcast della scorsa puntata del Disinformatico radiofonico. Ecco i temi e i rispettivi articoli di supporto:

---

Questi articoli erano stati pubblicati inizialmente sul sito della Rete Tre della Radiotelevisione Svizzera, dove attualmente non sono più disponibili. Vengono ripubblicati qui per mantenerli a disposizione per la consultazione.

---

Siete spiati tramite le stampanti a colori?

Sembra una frase da CSI, ma è vero: potreste scoprire che la vostra stampante fa la spia. Molte stampanti laser e fotocopiatrici a colori, infatti, hanno una funzione non documentata ufficialmente che produce uno schema di puntini gialli quasi invisibili su ogni pagina stampata a colori. Questo schema è non solo unico per ogni esemplare di stampante, ma indica anche la data e l'ora di stampa di ogni singolo foglio, come ha scoperto la Electronic Frontier Foundation nel caso della stampante Xerox DocuColor.

In altre parole, tramite questi puntini è possibile rintracciare l'autore di qualunque documento a colori prodotto da una di queste stampanti. Questo può essere fatale per un dissidente in un regime non democratico, ma ha anche serie implicazioni di privacy per chi risiede in paesi più tolleranti e per chiunque si occupi di sicurezza informatica. Per esempio, un volantino o una segnalazione anonima di un cittadino, oppure una stampa di un documento di lavoro scottante affidato ai giornali, porta in realtà una firma invisibile che permette di risalire alla sua identità, in contrasto con i diritti fondamentali alla riservatezza e alla vita privata.

Questi codici segreti sono stati introdotti tempo fa nelle nostre stampanti su richiesta delle autorità statunitensi per consentire di risalire ai malfattori che usano questi apparecchi per stampare banconote o documenti falsi, ma ovviamente si prestano ad altri scopi.

Il problema è noto agli addetti ai lavori almeno dal 2005, tanto da aver portato a una interrogazione dell'Unione Europea. Se vi interessa saperne di più e partecipare all'indagine del Disinformatico sulla diffusione in Svizzera delle stampanti spione, date un'occhiata all'elenco delle stampanti già esaminate dalla Electronic Frontier Foundation; potete anche provare a stampare una pagina di testo a colori con la vostra stampante laser (per esempio questa), esaminarla attentamente usando una luce blu, per esempio quella di una torcia a LED blu, e poi segnalarci quello che avete trovato scrivendo a disinformatico@rsi.ch, indicando marca e modello della stampante. Se vedete uno schema di puntini gialli che si ripete e che non fa parte della trama dell'immagine originale, potreste avere una cimice digitale sulla scrivania.

Fonti aggiuntive: Seeing Yellow, Dotspotter.

Apple tura una falla aperta da tre anni e usata dai trojan governativi

Se non avete ancora installato l'aggiornamento 10.5.1 del programma iTunes di Apple per Windows e MacOS, vi conviene farlo subito, specialmente prima di qualunque viaggio natalizio in paesi esotici in cui portate con voi il computer. Questo aggiornamento, infatti, risolve finalmente una vulnerabilità rimasta aperta per oltre tre anni e particolarmente grave perché consentiva agli aggressori di far arrivare alle vittime un falso aggiornamento di iTunes assolutamente credibile. Ciliegina sulla torta, gli aggressori erano, in questo caso, dei governi, non dei criminali comuni.

Secondo il Wall Street Journal e il ricercatore di sicurezza Brian Krebs, un trojan di sorveglianza basato su questa falla e denominato FinFisher è stato infatti offerto dalla Gamma International UK Ltd ai governi dell'Egitto, della Germania e di altri paesi per consentire l'intercettazione delle attività informatiche dei sospettati, e non è l'unico nel suo genere. Questo genere di software d'intercettazione è particolarmente controverso in Germania, dove la sensibilità al problema della privacy è più alta per via della triste familiarità di molti suoi cittadini con i metodi della Stasi, la polizia segreta dell'ex Repubblica Democratica Tedesca.

La trappola è davvero semplice e ingannevole: in uno scenario tipico, un utente non fa altro che collegarsi a una rete Wifi, per esempio in aeroporto o in vacanza, e gli compare un normale invito ad aggiornare iTunes. Nei sistemi Windows, infatti, il meccanismo di aggiornamento automatico di iTunes usava un metodo vulnerabile per controllare l'autenticità dell'aggiornamento scaricato, per cui qualunque gestore di un punto di accesso a Internet malevolo (o controllato dalle autorità) poteva iniettarvi istruzioni ostili.

La soluzione a questo rischio è per fortuna abbastanza semplice: installare l'aggiornamento di sicurezza proposto da Apple e, più in generale, non fidarsi degli inviti ad aggiornare qualunque programma che arrivano mentre si è connessi a Internet attraverso una rete non fidata.

Fonti aggiuntive: Der Spiegel, The Register.

Storie di vandali informatici: l'uomo che fermò le automobili

Con l'introduzione sempre più massiccia dell'elettronica e dell'informatica nelle automobili, può venire il pensiero leggermente paranoico che qualcuno ci possa spiare attraverso i chip dei veicoli, magari per tenere traccia dei nostri spostamenti o della reale velocità, ma l'idea che si possa spegnere via computer un'automobile sembra appartenere alla trama di qualche brutto telefilm a corto d'inventiva.

Permettetemi di presentarvi Omar Ramos-Lopez, un ventenne che l'anno scorso è riuscito a prendere il controllo a distanza di oltre cento auto nella zona di Austin, in Texas, facendo suonare il loro clacson a ripetizione, attivandone il GPS o bloccandone completamente l'accensione del motore alla prima sosta.

Le auto erano dotate di un sistema, chiamato WebTeckPlus, che permetteva di disattivarle e di comandare a distanza alcune loro funzioni in caso di mancato pagamento delle rate da parte degli acquirenti. Omar Ramos-Lopez era un dipendente di un rivenditore di automobili, il Texas Auto Center, che usava questo sistema per garantire che i clienti pagassero puntualmente. Quando Ramos-Lopez fu licenziato, il Texas Auto Center revocò la sua password di accesso al sistema, ma non quella del collega, e Ramos-Lopez si vendicò del licenziamento provocando il caos fra gli acquirenti del suo ex datore di lavoro.

Il Texas Auto Center ci mise due giorni a capire come mai veniva tempestato di chiamate di clienti inferociti perché la loro auto non andava più nonostante fossero in regola con i pagamenti e probabilmente qualcuno pensò a possessioni demoniache quando le auto iniziarono a suonare il clacson nel cuore della notte. Ramos-Lopez fu poi arrestato dalla polizia.

Morale della storia: mai condividere le proprie password con nessuno, e quando un dipendente se ne va, è meglio cambiare le password di tutti.

Storie di vandali informatici: l'uomo che tenne in ostaggio San Francisco

Luglio 2008: un uomo, Terry Childs, tiene in ostaggio San Francisco. Con una bomba atomica? No. Con una password. Childs aveva lavorato per l'amministrazione di San Francisco per cinque anni e aveva scoperto che era stato pianificato il suo licenziamento. Così cambiò il sistema informatico cittadino, che aveva contribuito a sviluppare e che gestiva tutto, dalla mail del sindaco agli archivi di polizia ai registri del carcere, e divenne l'unico in grado di comandarlo.

Il sistema era accessibile, ma non modificabile: in caso di necessità d'intervento, per esempio per un guasto, solo Childs avrebbe potuto riattivarlo. I responsabili dell'amministrazione cittadina spesero quasi un milione e mezzo di dollari nel tentativo di “craccare” le protezioni attivate dall'informatico, ma fallirono completamente.

Childs fu arrestato ma si rifiutò di consegnare la password di amministratore di sistema unico che aveva creato. La città rimase in ostaggio per dodici giorni, finché Childs convinse il sindaco in persona a recarsi da lui in carcere e gli diede la password. L'informatico fu poi condannato a quattro anni di prigione e a una sanzione di un milione e mezzo di dollari corrispondente alle spese sostenute nel tentativo di rimediare ai danni causati dal vandalo digitale.

Morale della storia: non fate arrabbiare l'amministratore di sistema e non mettete tutte le uova (e tutte le password) in un solo paniere.

Fonti aggiuntive: InformationWeek, Wired, New York Times.

Password rubate ai docenti ticinesi

La settimana scorsa i docenti ticinesi sono stati presi di mira da un attacco di cosiddetto "spear phishing": una mail apparentemente proveniente da Edu.ti.ch, che è il dominio Internet del servizio di posta elettronica comune delle scuole, ma in realtà inviata da un aggressore per ora ignoto. Putroppo a quanto pare alcuni docenti sono caduti nella trappola, per cui è meglio esaminarne e conoscerne il meccanismo per evitare che incidenti del genere si ripetano.

Il mittente del messaggio era una normale casella di Yahoo.com, ma il nome del mittente era "Posta elettronica scuola TI - @edu.ti.ch": questo ha contribuito all'efficacia del raggiro. In realtà il nome del mittente è un dato che chiunque può impostare a proprio piacimento, per cui non garantisce in alcun modo l'origine del messaggio (va detto che anche l'indirizzo vero e proprio del mittente è falsificabile, anche se con maggiore difficoltà).

Il testo del messaggio era pensato per mettere in agitazione chi lo riceveva: un espediente classico per confondere e far abbassare la guardia agli utenti.

"Gentile utente edu.ti.ch,

Un virus DGTFX è stato rilevato nelle cartelle account di posta elettronica edu.ti.ch deve essere aggiornato a novembre i nostri protetta DGTFX nuovo anti-virus versione 2011 per prevenire danni ai nostri log di database e file importanti.

Fare clic sulla scheda risposta, riempire le colonne di sotto e rispedire o il vostro account di posta elettronica verrà interrotto immediatamente per evitare la diffusione del virus.

Nome utente:

Password:

Si noti che la password viene cifrata con chiavi RSA a 1024 bit per la vostra sicurezza password. Siamo profondamente dispiaciuto per l'inconveniente.

Il tuo account possono anche essere verificate immediatamente entro 24 ore,: informazioni non corrette possono portare a sanzioni, confisca o sospensione del tuo account.

NOTA: Per ragioni di sicurezza, chiudere il browser quando hai finito di utilizzare servizi che richiedono l'autenticazione!

Grazie per la vostra comprensione.

Supporto tecnico / Team TSR manutenzione.

Posta elettronica scuola TI - @edu.ti.ch Servizio Clienti

Copyright © 1994-2011 edu.ti.ch ! Tutti i diritti riservati. Termini di servizio - Copyright / IP Policy - Linee guida Per ulteriori informazioni su come utilizziamo i tuoi dati leggi la nostra Politica sulla Privacy - Informazioni confidenziali"

Con notevole sfrontatezza, il 19 novembre gli aggressori ci hanno riprovato, avvisando che si trattava dell'"ultimo avvertimento":

"Cari edu.ti.ch! utente,

Attualmente stiamo aggiornando tutte le e-mail account edu.ti.ch! del database ed e-mail centro vista conto cioè home page, migliorare la sicurezza di installazioni di nuovi virus 2011 anti-spam e anti, spazio della cassetta postale di grandi dimensioni. ! account di posta elettronica edu.ti.ch che non sono più attivi per permettere di creare più spazio per i nuovi utenti conti.

In altri di continuare a usare i nostri servizi si è bisogno di aggiornare e ri-confermare i vostri dati account e-mail come richiesto qui di seguito:

Indirizzo e-mail

password

Data di nascita:

In caso contrario, questo sarà immediatamente rendere il tuo account disattivati dal nostro database ed il servizio non sarà interrotto messaggi importanti può anche essere persa a causa della tua calo di ri-ci ha confermato i dettagli del conto. E 'anche pertinenti, si capisce che la nostra preoccupazione principale è la sicurezza per i nostri clienti, e per la sicurezza dei propri file e dati.

NOTA: Per ragioni di sicurezza, chiudere il browser quando hai finito di utilizzare servizi che richiedono l'autenticazione!

Grazie per la vostra comprensione.

Supporto tecnico / Team TSR manutenzione.

L'italiano particolarmente sgrammaticato del secondo tentativo probabilmente ne avrà limitato l'efficacia, ma conviene cogliere l'occasione di questo attacco per ricordare un principio fondamentale della sicurezza informatica: non bisogna mai dare a nessuno la propria password, men che meno via mail. In caso di dubbio, è saggio telefonare al proprio gestore e chiedere conferme prima di fare qualunque cosa.

Nessun commento: