Cerca nel blog

2018/05/08

Amazon Echo modificato diventa microspia; occhio agli altoparlanti “smart”

Credit: Cryteria (CC-BY)
Pochi giorni fa mi trovavo in un centro commerciale (il Media Markt di Lugano), nel reparto di elettronica di consumo, quando mi è arrivata una chiamata al telefono. La chiamata riguardava una questione di lavoro abbastanza riservata ed ero in un luogo pubblico, ma non mi sono preoccupato più di tanto perché vicino a me non c’era nessuno e ho tenuto basso il volume della mia voce. Ma a un certo punto una voce accanto a me ha detto “Mi dispiace, ma non ho capito.”

La voce proveniva non da una persona, ma da un oggetto piazzato su uno scaffale di esposizione: un Google Home Mini, uno di quei dispositivi che oggi va di moda chiamare “altoparlante smart” o “assistente per la casa” ma che in sintesi sono dei microfoni permanentemente aperti e connessi a Internet. Oggetti che secondo chi li produce dovremmo metterci in casa per poter interagire con Internet e i servizi commerciali della Rete semplicemente tramite la nostra voce.

Per esempio, se abbiamo le mani occupate, possiamo chiedere all’assistente digitale di comporre per noi il numero di telefono di un amico o di mandargli un messaggio. Se viviamo in una casa “smart”, attrezzata con impianti di controllo informatizzati, possiamo chiedere a questo assistente di accendere le luci, abbassare le tapparelle, regolare il riscaldamento o l’aria condizionata, programmare la TV o suonare le nostre canzoni preferite. E naturalmente fare shopping online.

Tutto molto bello e futuribile, ma il mio piccolo incidente personale mostra il rovescio della medaglia di queste tecnologie, che è meglio conoscere per scegliere se acquistarle e per impostarle correttamente. Google Home Mini, infatti, si attiva ogni volta che capta qualunque suono che secondo il suo software corrisponde a “OK Google”. Un altro prodotto concorrente, Echo di Amazon, si attiva chiamandolo per nome, ossia “Alexa”. Tutto quello che dite dopo queste parole di attivazione viene registrato e trasmesso ai computer centrali di Google e rispettivamente di Amazon per essere analizzato e decodificato.

In altre parole, tutto quello che viene detto in casa di chi ha un “altoparlante smart” viene ascoltato dal dispositivo; se, a giudizio di quel dispositivo, è stata pronunciata la frase di attivazione, tutto quel che viene detto subito dopo viene inviato a Google o Amazon.

Il problema è che a volte il software di riconoscimento vocale di questi dispositivi sbaglia e quindi pensa che sia stata detta la frase di attivazione quando in realtà non è stata pronunciata. Il risultato, come ho già accennato per gli smartphone, è che pezzi delle nostre conversazioni private possono finire archiviati involontariamente e inconsapevolmente presso le grandi aziende di raccolta di dati personali.

È un fatto poco conosciuto e sul quale occorre riflettere. Una conversazione che facciamo in confidenza a casa di un amico informatizzato potrebbe essere registrata e ascoltata di nascosto tramite questi dispositivi “smart”.

La protezione apparente offerta dalla frase di attivazione, fra l’altro, è già stata scavalcata. I ricercatori della società di sicurezza informatica Checkmarx hanno infatti trovato il modo di attivare di nascosto e permanentemente il microfono incorporato in Amazon Echo, per cui tutto quello che viene captato dal suo sensibilissimo microfono viene non solo trasmesso ma viene anche trascritto, pronto per l’uso e l’abuso.

La falla è solo un proof of concept e Amazon l’ha già corretta, ma è già la seconda del suo genere che è stata trovata. Per fortuna in questi dispositivi esiste l’opzione di richiedere la pressione di un tasto per accendere il loro microfono. Valutate se è il caso di attivarla, oppure di non mettersi del tutto un microfono aperto in casa.

33 commenti:

Zappa ha detto...

Paolo, refuso:
5° capoverso, alla fine:
"tutto quel che viene detto subito dopo viene viene inviato a Google o Amazon"
Ciao!!
Zappa

Floriano ha detto...

"le grandi aziende di raccolta di dati personali" - fantastico!

Luca Zeni ha detto...

Domanda: considerando solo l'uso "proprio" di queste apparecchiature, non sarebbe meglio se dopo aver sentito (o creduto di aver sentito) la frase di attivazione questi dispositivi chiedessero una conferma prima di iniziare a regitrsre. Tipo "hai bisogno di me" o qualcosa di simile?

Il Lupo della Luna ha detto...

Possiedo un Google Home Mini e sono subito andato a controllare se per caso nella cronologia ci fossero frasi captate casualmente: non mi pare di averne trovate. Piuttosto è frustrante il numero di volte in cui capisce una cosa per un altra.

Psk ha detto...

Perfettamente d'accordo sul fatto di introdurre una "conferma fisica" (the friendly big red button, potrei aver mischiato gli aggettivi), ma va a cadere poi lo scopo di qualcosa che ascolta, oltre al fatto che ti devi comunque fidare che non faccia nulla senza pressione del pulsante.

Ma considerando che esseri umani male interpretano i suoni e possono credere di essere interpellati quando stanno in realtà parlando a qualcun altro, magari per omonimia, che delle macchine facciano meglio ... Specie se usano come key-phrase delle parole non proprio atipiche.

Quante volte si dice la parola "Google" nella giornata? Se una persona ha un figlio di nome Alex, tra Alex e Alexa che differenza fonetica c'é?

È possibile cambiare la key phrase con "Sarchiapone sciancato" invece di "Alexa" in modo che dalla radio un cartone animato non possa acquistare a tuo nome le case delle bambole?

Ma soprattutto: c'é davvero bisogno di codesti dispositivi? (domanda retorica, per un'opportuna definizione di "bisogno")

AlienMas ha detto...

Avevamo già parlato di questo, pur patito di tecnologia non penso neanche a mettermi in casa un aggeggio del genere. Anche perché o si ha una casa molto informatizzata (luci, taparelle, riscaldamento) o non vedo il vantaggio. Se devo fare una ricerca su google prendo in mano il cellulare.

malachito ha detto...

Ma è poi tanto diverso dall'avere in stanza uno smarphone o un computer con microfono acceso?

vale56 ha detto...

Forse sarò paranoico, ma non mi fido della domotica.
Sarà perché lavoro in sicurezza informatica?

Paolo Attivissimo ha detto...

Zappa,

refuso sistemato, grazie!

Guastulfo (Giuseppe) ha detto...

Tolti i casi di necesità, ad esempio difficoltà motorie, qual è la molla che scatta e spinge ad acquistare di questi oggetti?
Pigrizia?
Fanno immaginare di vivere in un futuro tipo Star Trek in cui si "chiacchiera" con le macchine?
Sono io che sono un troglodita che diffida delle novità tecnologiche provenienti da aziende commerciali?

pgc ha detto...

Guastulfo,

tutto è relativo. Nel senso che io per esempio pensavo "qual è la molla che fa scattare la necessità di avere un telefono con se ogni volta che ci si muove???". Poi eccomi qui col mio smart phone sul tavolo....

Il fatto è che a volte ci si prende e si capisce che una cosa serve *veramente*, a volte si piglia una cantonata. Probabilmente questa roba non ha senso e fallirà. Ma c'è una possibilità (anche se PERSONALMENTE non lo credo) che venga fuori qualcuno con l'idea "giusta" e che in 10 anni ci si ritrovi tutti con 'sta roba in casa, solo un po' più "furba" e ben fatta.

Ciccio Pasticcio ha detto...

Mmmmm seconda neo me non avrà futuro, come i televisori 3d, o i google glass ecc ecc

Il Lupo della Luna ha detto...

Beh, vogliamo fargli riconoscere il parlato localmente? Magari si può anche ma credo che costerebbe troppo.

Google Home comunque accende una fila di LED quando rileva la frase di attivazione. Ora non so se "crackandolo" si può disabilitare e fargli registrare di nascosto, ma a quel punto è possibile farlo con qualsiasi dispositivo acceso e connesso a internet, credo.

giacom ha detto...

io non ho il Google Coso in casa, ma sul cellulare e sulla atvoletta mi si attiva spesso Google Assistant alla muzzo :-) ieri sera stavo guardando un film su youtube sulla tavoletta, qualcuno nel film ha detto "OK!" e il film si e' interrotto, google assistant ha fatto popup, e mi ha chiesto: "come posso aiutarti?" :-) vi risparmio la mia risposta :-)

Claudio Costerni ha detto...

Il mio vetusto (8 anni?) ed assai poco smart navigatore per auto Garmin ogni tanto capisce fischi per fiaschi e si risveglia chiedendomi cosa voglio da lui.
Al solito comando vocale "computer" lui di solito reagisce abbastanza bene e mi risponde, rumore di fondo permettendo, ma capita, per fortuna non frequentemente, che si attivi a sproposito.
L'ultima volta pochi giorni fa, bassa velocità, poco rumore della strada, io muto, nessun'altro a bordo, canzone in sottofondo e lui:
"Pronuncia un comando"
Ho subito provato a rimettere indietro di qualche decina di secondi la canzone su CD che pensavo avrebbe potuto innescarlo, ma non lo ha attivato.
Ho provato due volte.
Ogni tanto al suo inatteso e gentile "Pronuncia un comando" rispondo secco con un "vaffanculo!"... ma lui rimane silente ed in paziente attesa di poter fare qualche cosa di più consono alle sue possibilità. ☺

Sonoio ha detto...

@Vale56,
Attenzione domotica non vuole necessariamente dire casa connessa in rete. Io ho un impianto audio, luci e di riscaldamento domotica ma non fisicamente connesso a internet, personalmente lo ritengo molto comodo così com'è.

Fx ha detto...

Mi immagino te 80 anni fa: "Attenzione a questi nuovi apparecchi, si, sono molto comodi ma perché avere un telefono in casa quando puoi utilizzare quello pubblico? Il tizio ha posato male la cornetta e dall'altra parte hanno sentito tutto, per ore e ore"

Sai, ho detto che avrei evitato di scrivere ma ho sottovalutato il fastidio che provo per la capacità di focalizzare e amplificare i rischi di un singolo aspetto, ignorando gli altri 99

il tuo telefono ha un microfono
il tuo telefono di casa pure
il tuo computer
la webcam / telecamera
il televisore
le tue finestre sono delle membrane microfoniche, basta un laser e ascolto tutto (cosa che prevede si la presenza fisica, eppure è infinitamente più pratica che agire da remoto, a meno che tu non sia nel medio oriente)
poi ci sono le microspie, i vicini, e soprattutto, dato che in genere non parli da solo, le persone con cui stai parlando

queste ultime sono il rischio infinitamente più grosso che ciò che dici finisca alle orecchie sbagliate.

Quindi:
dopo aver sbattuto fuori di casa tutti gli occupanti oltre a me
dopo essere andato a vivere in mezzo ai monti, in mezzo a un territorio sufficientemente ampio da esser sicuro di essere fuori dalla portata di un microfono laser
dopo aver rinunciato a qualsiasi apparecchio che ha il microfono si, credo che in effetti a quel punto avrei la mentalità giusta per preoccuparmi dell'Echo.

Ammettiamo che l'idea che dei frammenti di audio possano essere incidentalmente essere trasmessi laddove nessuno se ne farà mai niente (*) provoca una reazione emotiva,
ma tornate in voi, santi numi, fermate le vostre fantasie deliranti e guardatevi attorno con un minimo di senso critico.

Se vi vogliono spiare, siete fottuti perché è il loro lavoro, e sono sicuramente più bravi di voi;
per il resto, anche se per caso mandi il frammento di audio a Google, a Google non gliene frega una sega, ha cose più importanti da fare, ma tipo di un fattore di uno a un paio di miliardi.

Invece magari il vostro vicino no, eppure non mi pare di sentire nessuno preoccuparsi del vicino, qui.

Perché il vicino non è una storia emotivamente coinvolgende, è banale.
Il telefono con la cornetta messa male invece, adesso che si stanno diffondendo i telefoni nelle case, è molto più interessante.
Mi raccomando, quando non usate il telefono staccate la spina.

Wops, fatto confusione, eravamo alla paranoia del 2018, non quella del '58. Vabbé, è poi lo stesso.

Sai, i paralleli con i complottisti aumentano;
tra 20 anni le minchiate che sparano oggi saranno dimenticate / ci si riderà su; e per queste lo stesso,
tra 20 anni saremo 100 volte più in cloud di adesso, e i nostri dati saranno più tutelati, così come oggi lo sono infinitamente di più rispetto a 20 anni fa.

Brutta cosa l'inerzia al cambiamento.

Ogni tanto mi chiedo se davvero segui le migliaia di consigli che dai su tutte queste stupidate. Se lo fai davvero è un vero spreco di risorse intellettuali, prova a prenderti un mese di pausa da tutte queste menate e concentrati su task più rilevanti.

Se in quel mese ti hackerano pago io.

Baci


*: 1) perché non è detto che qualcuno possa averne effettivamente accesso
2) perché milioni di ore di audio sono una garanzia: nessuno si prenderà mai la briga di fare investimenti enormi per fare un'attività ad altissimo rischio il cui tornaconto risiede unicamente nella fantasia dei paranoici - davvero, aziende che fatturano miliardi interessate ai discorsi del pinco pallino di turno)

Paolo Attivissimo ha detto...

Fx,

Sai, ho detto che avrei evitato di scrivere ma ho sottovalutato il fastidio che provo per la capacità di focalizzare e amplificare i rischi di un singolo aspetto, ignorando gli altri 99

Non c'è problema. In compenso io eviterò di perdere tempo a tentare di spiegarti per l'ennesima volta perché il tuo commento è sbagliato nella premessa e nello svolgimento.

Ne riparleremo quando ti sarai occupato professionalmente di casi reali di sorveglianza personale, commerciale e governativa che hanno usato proprio tecniche come quella che ho descritto, sia per singoli individui, sia per raccolta massiva e indiscriminata low-cost. Nel frattempo, se tu vuoi installarti un microfono aperto in casa, fai pure. Si vede che nessuno ti affida i suoi segreti confidando che tu li custodisca diligentemente perché gli potrebbero rovinare la vita. A me capita spesso.

Il Lupo della Luna ha detto...

Però Paolo perdonami, magari il ragionamento che faccio manca di qualche pezzo ma... Il fatto che Google riceva casualmente migliaia di frammenti di frasi non fa si che proprio perché sono tantissimi, non si riesca a farci nulla? Mi pare lo stesso meccanismo che impedisce a youtube di controllare preventivamente i video postati.

O mi manca qualcosa?

Paolo Attivissimo ha detto...

Il Lupo,

proprio perché sono tantissimi, non si riesca a farci nulla

Sono perfettamente cercabili tramite pattern matching e riconoscimento vocale. Spesso sono già trascritti in automatico (lo vedi nella cronologia del tuo account Google). Hai presente il riconoscimento automatico dei brani di Youtube? Una cosa del genere.

E questo è quello che sa fare Google solo per questioncelle di copyright. Immagina quello che può fare GCHQ o NSA. Anzi, no: leggiti le documentazioni di Snowden, non c'è bisogno di immaginare.

Paolo Attivissimo ha detto...

Il Lupo,

YT non fa controllo _preventivo_: lo fa a posteriori, ma lo fa. Lo so bene: ho in corso due vertenze di copyright farlocche su YT.

Il concetto della sorveglianza di massa moderna è ribaltato: non fai sorveglianza preventiva di bersagli selezionati, come in passato. Hai le risorse tecniche e la potenza di calcolo sufficienti per poter raccattare tutto e poi selezionare quello che ti serve a posteriori. A questo serve, per esempio, tutta la normativa sulla data retention (che in Italia è particolarmente ampia).

Fx ha detto...

Paolo: il bello è che stai candidamente ammettendo di avere un bias grosso come una casa che ti porta ad amplificare dei rischi specifici perché è quelli con i quali hai contatto a livello professionale;
poi per inciso se ti affidano dei segreti vitali e ne parli serenamente in casa / via telefono però ti preoccupi che venga registrato il frammento da Google non so, a me pare che ragioni a rovescio:
io per segreti meno importanti uso precauzioni più rigide, e poi per il resto me ne sbatto, il che comporta due vantaggi:
1) non vivi in modo paranoico sempre ma usi le precauzioni solo quando serve (andare in giro sempre con il preservativo è una prospettiva interessante, ci penso)
2) non mi fermo alle seghe mentali sui metodi improbabili come quelli che descrivi tu, ma cerco di avere una visione olistica del problema: inutile preoccuparmi di staccare la smart TV quando poi il muro / la soletta che mi separa da orecchie indiscrete è insufficiente ad attenuare la voce (per fare un esempio di mille)

In particolar modo quello che ti sto dicendo nel punto 2 è:
cazzo stacchi l'Echo di turno quando poi hai il telefonino sempre dietro con te.
Ha senso preoccuparsi dell'Echo e non del telefonino?

Tu stai a spaccare il capello su cose di cui - l'ho già detto altrove - mi piacerebbe davvero avere un riscontro statistico e qualitativo, QUANTI CASI e COME;

te la spiego meglio: SE CI SONO UNA MANCIATA DI CASI E TU FAI QUELLO DI LAVORO E QUINDI LI VEDI TUTTI,
o mi fai il complottista che ragiona sulla base della sua esperienza personale,
o astrai / ragioni e consideri che forse sei in una posizione tale per cui vedi enormemente amplificati certi specifici rischi.

Oggi la gente finisce per rincorrere singole e estremamente specifiche precauzioni sulla base di quello che legge / che sente;
questo vale anche, anzi SOPRATTUTTO, per gli specialisti; ogni specialista ha sempre la sua "ricetta magica";
MANCA SEMPRE LA MISURA, non ti viene mai detto quanto è importante o l'importanza è sempre distorta / amplificata dalle competenze dello specialista;
MANCA UNA VISIONE COMPLETA DEL QUADRO, e per me è la cosa più sbagliata che si possa fare.

Ti faccio un esempio che credo evidenzi bene la cosa:
hai mai fatto un articolo sui rischi che si corrono a non stare attenti a gestire le telefonate con il telefonino?
CHIUNQUE ha direttamente o indirettamente esperienza di informazioni che sono state rivelate attraverso o una telefonata non chiusa bene o una telefonata partita per errore. Ora, mi azzardo a dire che è una CASISTICA FREQUENTISSIMA,
eppure tremila articoli sui rischi dei social, oh my ora la mia profilazione è andata nelle mani di terzi, i frammenti di audio che potrebbero potenzialmente finire e se poi proprio a quelli accede qualcuno

E POI

non una parola su una casistica tanto scema quanto banale ma estremamente concreta.

E come questa ce ne sono altre.

Per me mettere in testa alla gente cose di dettaglio come queste senza che però ci sia un quadro complessivo dà come risultato che si creda, ovviamente nel torto marcio, che una volta sistemato l'Echo / le impostazioni dei social si possa stare tranquilli;
come quelli che guai la carne rossa, guai gli insaccati, evito anche il glutine che non si sa mai, piglio tutto bio... e poi fumano.

Questo è il risultato dell'informazione a macchia di leopardo, tanto clamore per tanti aspetti di dettaglio, e poi le cose macro vanno a farsi benedire.

Ps: in questi anni ho imparato una cosa di te e cioè che il tuo punto di vista è inamovibile (anticipo, nel caso volessi rigirarmi la stessa accusa: no, è capitato anche qui che cambiassi opinione, basta solo propormi idee migliori di quelle che ho in testa; nello specifico c'è riuscito un paio di volte pgc), sappi solo che è un altro bias, e considera che non va di certo a mio discapito

Ma non lo farai, qui siamo in loop come le discussioni tra marito e moglie dopo 30 anni di matrimonio

Paolo Attivissimo ha detto...

Fx,

perdonami se non ti rispondo in dettaglio. Ti dico solo che i casi che ho seguito riguardano anche tante persone normali, in circostanze normali, tradite dai loro dispositivi digitali normali. Non sono episodi rari. Sono frequentissimi.

Quindi non credo proprio che sia questione di mio bias.

Per tutto il resto, non ti ho sposato né intendo farlo :-)

Claudio Costerni ha detto...

Sono convinto che sia reciproco :)) nessuno dei due vuole sposare l'altro ed io qui ...vi separo e dico, bravo Fx, mi piace molto come scrivi ed il tuo argomentare, anche se considero valide entrambe le vostre posizioni... intendo dire il vostro modo di affrontare l'argomento tecnico.

Scatola Grande ha detto...

FX,
il tuo esempio del telefono che rimane aperto o della telefonata che parte per sbaglio non è molto calzante poiché tali comunicazioni sono punto-punto. Avrebbe senso se le compagnie telefoniche registrassero tutte le telefonate e non solamente alcune su ordine del magistrato o anche illegalmente.

Paolo ha ragione, il paradigma moderno è raccogliere tutto e realizzare algoritmi che peschino automaticamente le cose interessanti. Se ti ricordi Echelon 20 anni fa faceva esattamente questo ma per farlo doveva intercettare. Oggi invece abbiamo tutto in casa direttamente e un po' anche addosso.
Lo smartphone lo potrebbe fare ma non lo fa perché altrimenti la batteria si scaricherebbe rapidamente e perché è facile disabilitare i riconoscimenti vocali. Invece un microfono alimentato dalla rete elettrica non ha tali limitazioni.

Diverso è il caso in cui si abbiano informazioni di valore tale che sia probabile una intercettazione specifica, si potevano fare anche decenni fa installando microfoni, oggi è un po' più semplice, i microfoni ci sono già, bisogna solo raggiungerli.

Fx ha detto...

Paolo: "tradite dai loro dispositivi digitali normali", come? Fai qualche esempio. Io ho fatto quello del telefono che rimane in chiamata / a cui parte accidentalmente la chiamata

Poi ripeto, il "frequentissimo" dal tuo punto di vista è come dire che un ortopedico pensi che sia frequentissimo avere acciacchi / ossa rotte.
Il punto è che ovviamente quelli che non hanno mai avuto problemi non hanno motivo di venire da voi.

"Per tutto il resto, non ti ho sposato né intendo farlo :-)"

Diceva così anche mia moglie prima di sposarmi. Come fai a esser certo che per te non sarà la stessa cosa? Altro bias :P

cyberninja ha detto...

@Scatola grande
[quote]Avrebbe senso se le compagnie telefoniche registrassero tutte le telefonate e non solamente alcune su ordine del magistrato o anche illegalmente.[/quote]

Io sapevo (o credevo di sapere) che le chiamate vengono registrate e l'ordine del magistrato serve solo per farsi consegnare le relative trascrizioni.
Sapevo male?

Paolo Attivissimo ha detto...

Fx,

Paolo: "tradite dai loro dispositivi digitali normali", come? Fai qualche esempio. Io ho fatto quello del telefono che rimane in chiamata / a cui parte accidentalmente la chiamata

1. Madre sfoglia telefonino della figlia minorenne, ci trova i video delle attività sessuali della minorenne.

2. Moglie vede strani messaggi sul tablet di famiglia. Si accorge che il marito non sa che il tablet, avendo lo stesso account del suo (di lui) smartphone, ripete quello che lui sta scrivendo. Alla sua (di lui) amante. Segue divorzio.

3. Moglie sfoglia le foto sullo smartphone del marito. Scopre che si traveste da donna indossando i vestiti di lei e si offre ad altri uomini.

4. Moglie cerca relazione extraconiugale tramite Badoo. Il marito la scopre perché ha messo un keylogger sul suo Mac e lei usa per Badoo la stessa password che usa per altri siti associati al suo indirizzo di mail abituale.

5. Donna ha una vita sessuale decisamente atipica (si fa foto e video mentre si fa abusare violentemente, in modi e con sostanze non descrivibili in un blog per famiglie, da uomini scelti a caso). La geolocalizzazione rivela che è una dipendente di un ufficio pubblico.

6. Uomo fa stalking pesante nei confronti della sua ex partner usando i dati di localizzazione trasmessi dallo smartphone. Lei non riesce più ad avere una vita normale perché lui compare ovunque lei vada e minaccia i suoi attuali amici/partner.

Questi sono solo alcuni dei casi che ho seguito. I miei colleghi ne hanno moltissimi altri. Vuoi che vada avanti?


il "frequentissimo" dal tuo punto di vista è come dire che un ortopedico pensi che sia frequentissimo avere acciacchi / ossa rotte.

In quanto a frequenza, posso dirti solo una cosa: io vado quasi tutte le settimane in almeno una scuola media o superiore a insegnare privacy e security di base. Quando spiego come si recuperano le foto cancellate, o anche solo come funziona realmente la trasmissione di una foto "privata" su un social, c'è sempre almeno una ragazza per classe che sbianca e poi viene a chiedermi come rimediare.


Diceva così anche mia moglie prima di sposarmi. Come fai a esser certo che per te non sarà la stessa cosa? Altro bias :P

A differenza di tua moglie, io sono già sposato con una donna che amo profondamente e che mi completa pienamente :-)

Fx ha detto...

Paolo: oh, bene, abbiamo qualche esempio concreto; QUESTE sono casistiche sulle quali sono concorde che si debba prestare attenzione e soprattutto si debba sensibilizzare a far prestare attenzione

e qui aggiungo con un po' di arroganza (ma tanto ci siete abituati) che la regoletta di base che ho portato in un post precedente è quella vincente, e vale sia online che offline:
usare precauzioni tanto più rigide quanto è importante / segreta un'informazione. Insomma, PORSI LA CAZZO DI DOMANDA: MA SE QUESTA INFORMAZIONE DOVESSE DIVENTARE PUBBLICA, COSA ACCADREBBE? E agire di conseguenza

Torniamo al discorso che facevo prima: MOLTO MEGLIO OCCUPARSI DI CASISTICHE "BANALI" ma che prima o poi capitano a tutti e non riempire la gente con questioni in cui si spacca il capello il cui rischio reale è tutto da dimostrare come quella dell'Amazon Echo.

Perché quest'ultimo comporti un rischio significa che a) deve registrare qualcosa di compromettente b) qualcuno deve riuscire a scoprire / accedere alla frase compromettente (non è da dare per scontato che nemmeno internamente possano farlo) c) quel qualcuno deve conoscerti bene;
in alternativa b) qualcuno deve aver accesso al tuo account e ascoltarsi 12 mila registrazioni e sgamare quella compromettente

Rischio 0? No, come non è rischio 0 quello di venir presi da un meteorite. Se capitano, sono casi unici o poco più.

Invece le casistiche di cui hai parlato sono ESTREMAMENTE concrete, come quella dell'esempio che facevo io (telefonata non chiusa / partita per errore);
per questo, ed è una questione meramente di comunicazione / di attenzione del target, insisto sul fatto che sia importante focalizzare su queste, prima di parlare dei massimi sistemi e di questioni teoriche.

DOMANDA DA UN MILIONE DI DOLLARI

Ma non è che tu di queste cose parli spesso, ma sul blog scrivi solo di cose di dettaglio (come quella dell'articolo odierno), e quindi tu dai per scontato di fare già abbastanza sull'ABC, mentre io che ti seguo solo dal blog dò per scontato che l'ABC lo salti a piè pari?


Ps: tra le casistiche che hai citato annovero un paio di casi di cui ho esperienza diretta:
una volta mi ero loggato in Skype su un altro PC e non essendomi sloggato la persona aveva letto cose che era meglio non leggesse (fortunatamente niente di grave, solo spiacevole)
ai tempi dei cordless il cui standard non mi ricordo più come si chiama (TACS?) il telefono dei miei si era agganciato a quello dei vicini di sopra intercettando la chiamata; per un caso all'altro capo del telefono c'era una parente acquisita che stava parlando male... di mia madre :D

Paolo Attivissimo ha detto...

Fx,

Paolo: oh, bene, abbiamo qualche esempio concreto; QUESTE sono casistiche sulle quali sono concorde che si debba prestare attenzione e soprattutto si debba sensibilizzare a far prestare attenzione

Cosa che infatti faccio da anni.

Torniamo al discorso che facevo prima: MOLTO MEGLIO OCCUPARSI DI CASISTICHE "BANALI"

Cosa che infatti faccio da anni.



non riempire la gente con questioni in cui si spacca il capello il cui rischio reale è tutto da dimostrare come quella dell'Amazon Echo.

1. Una non esclude l'altra.
2. "Tutto da dimostrare": v. mio articolo su My Friend Kayla.


in alternativa b) qualcuno deve aver accesso al tuo account e ascoltarsi 12 mila registrazioni e sgamare quella compromettente

Ho per le mani una situazione in cui succede esattamente questo. È più facile e frequente di quello che pensi.


Se capitano, sono casi unici o poco più.

Scusami se attingo alla mia esperienza: no.

Ma non è che tu di queste cose parli spesso, ma sul blog scrivi solo di cose di dettaglio (come quella dell'articolo odierno), e quindi tu dai per scontato di fare già abbastanza sull'ABC, mentre io che ti seguo solo dal blog dò per scontato che l'ABC lo salti a piè pari?

Io di queste cose parlo spesso sia nelle conferenze sia qui. Se tu dai qualcosa per scontato, non ci posso fare nulla.


Ps: tra le casistiche che hai citato annovero un paio di casi di cui ho esperienza diretta:
una volta mi ero loggato in Skype su un altro PC e non essendomi sloggato la persona aveva letto cose che era meglio non leggesse (fortunatamente niente di grave, solo spiacevole)


Meno male che dicevi che le violazioni della privacy prodotte dai dispositivi digitali sono rarissime :-)


ai tempi dei cordless il cui standard non mi ricordo più come si chiama (TACS?)

Forse intendevi DECT

il telefono dei miei si era agganciato a quello dei vicini di sopra intercettando la chiamata; per un caso all'altro capo del telefono c'era una parente acquisita che stava parlando male... di mia madre :D

Probabilmente non era un DECT ma un cordless analogico di prima generazione. Con quelli andavi in giro per Milano con la cornetta e ascoltavi qualunque cosa. Così ho visto fare, s'intende.

Fx ha detto...

"Io di queste cose parlo spesso sia nelle conferenze sia qui"

Perdonami Paolo ma:
a) ti seguo solo sul blog
b) da che ho memoria, e leggo il blog da anni, non ricordo un articolo su una casistica del genere. Ne ricordo a pacchi su cose di dettaglio. Poi se mi tiri fuori articoli di 10 anni fa ok, ma non dirmi che ne parli frequentemente. Frequentemente parli di queste cose estremamente tecniche.

Ora, considera che questo può essere un feedback e valutalo di conseguenza:
- puoi verificare se è pertinente o meno
- puoi chiedere ad altri utenti se hanno la stessa percezione

Potrebbe venirne fuori qualcosa di utile.

Per inciso lo dico anche perché se avessi trovato un singolo articolo in tal senso l'avrei sicuramente condiviso.

"Ho per le mani una situazione in cui succede esattamente questo. È più facile e frequente di quello che pensi."

Posso capire che la casistica "qualcuno entra nel mio account e si spulcia tutto ciò che ho chiesto all'assistente" sia quella possibile, non a caso l'ho presa in considerazione; vedo estremamente remota, per una serie di motivi, quella in cui c'è il dipendente del colosso che accede alle registrazioni... che è quella a cui fai riferimento quando scrivi "viene registrato e trasmesso ai computer centrali".
Al di là del fatto che faccia effetto, dal punto di vista emotivo, quella è la cosa più sicura di tutta la filiera della privacy:
sul fronte degli accessi indesiderati un device locale (pensiamo a una NAS collegata ad Internet) avrebbe gli stessi rischi,
in compenso ne ha n di più rispetto a sicurezza informatica (se non è aggiornata), mancanza di crittografia, sicurezza fisica, eccetera.

Insomma, non è che il cloud sia automaticamente un male, anzi, probabilmente lo è di più l'alternativa (ove per "alternativa" intendo fare la stessa cosa in altro modo, se l'alternativa è tornare nelle caverne ok, offre sicuramente meno rischi).

"Meno male che dicevi che le violazioni della privacy prodotte dai dispositivi digitali sono rarissime :-)"

Ora vengo a Lugano e ti tiro una scia chimica in testa.

Ma hai letto cos'ho scritto più e più volte? Ho detto "FAI UNA CAZZO DI SCALA DI PRIORITA'", che ci sono modi molto più scemi, e frequenti, per cui la tua privacy può andare a quel paese.

Vorrei sapere cosa diavolo hai capito di quel che ho scritto ^^ Ti ho fatto anche l'esempio del telefono lasciato aperto. Cosa devo fare io con te? :P

"Una non esclude l'altra"

Ma proprio no: una esclude l'altra eccome. Sono le basi della comunicazione. Se vuoi che passi un concetto DAI QUEL CONCETTO, se ne dai 10 non ne passa nessuno. Soprattutto se il tuo scopo è mettere all'erta le persone: più rischi a cui stare attentissimi metti lì, più ottieni l'effetto diluizione. A meno che tu non creda che più diluisci una sostanza più si amplifica l'effetto, non è una buona strategia.

Il principio è semplice: più focalizzi più comunichi. Più comunichi più sei efficace nel divulgare. Guarda Al Gore: ha passato anni a esprimere sempre gli stessi concetti, nelle stesse modalità (una volta raffinato il format).

"Probabilmente non era un DECT ma un cordless analogico di prima generazione"

No, era proprio un DECT. In anni capitò forse un paio di volte, col senno di poi posso supporre che si trattasse o di una configurazione errata lato produttore o di un bug (lato protocollo o, più facilmente, lato implementazione). Dopotutto si parla credo di 15 anni fa, ai tempi se funzionava era ok, non è come oggi che c'è gente che si fa di quelle seghe mentali mostruose per trovare l'exploit di turno (vedi gli ultimi bug delle CPU Intel).

Guastulfo (Giuseppe) ha detto...

io per segreti meno importanti uso precauzioni più rigide, e poi per il resto me ne sbatto

Questo e altri passaggi di Fx mi portano ad una considerazione: non conoscendo il funzionamento dei social e, tanto meno, il modo in cui correlano le varie informazioni che questi registrano, come facciamo a stabilire cosa è importante e cosa no? Come facciamo a "misurare" l'importanza di un'informazione quando è associata ad altre se non sappiamo come sono correlate?

E' chiaro che ci sono casi in cui è ovvia l'importanza di un'informazione. Ad esempio, si intuisce la "vaga delicatezza" di un selfie insieme all'amante nudi a letto :-)

Ma ci sono casi in cui ciò non accade: qualcosa che sembra non importante o, addirittura, con impatto positivo si rivela di tutt'altra natura. Tutto perché manca un tassello, manca un pezzo di informazione, e non lo si sa neppure!

Tanti anni fa, quando avevo una folta capigliatura ed ero... bello(= meno brutto) lavoravo presso un'azienda che aveva sedi sparse in tutt'Italia e anche qualcuna all'estero.

Dall'avere molte sedi nacque, per la suddetta azienda, l'esigenza di dotarsi di una gestione centralizzata di alcuni aspetti della sua attività.

I "grandi capi" (gli SL e SUSL direbbe qualcuno) decisero di dotarsi di un gestionale con interfaccia WEB che, all'epoca, era una novità.

Io, in quel tempo, amavo smanettare col pc. Anche oggi amerei farlo ma mi manca il tempo per dedicarmi come piacerebbe a me e, pertanto, ho riposto nel cassetto questa mia passione in attesa di tempi migliori.

Su di una rivista specializzata (internet non era ancora per tutti) lessi dei caratteri escape (se ricordo bene il loro nome), cioè, dei caratteri speciali che, inseriti nei campi al posto dei dati, permettevano di mandare istruzioni, anche "poco opportune" al database.

Non solo, pure dal Browser si potevano dare direttive che permettevano di navigare le cartelle del web server e di eseguire istruzioni su di esso.

Pensando di fare un grande favore all'azienda e (speravo) anche a me stesso, pensai "bene" di andare a riferire il tutto direttamente ad uno dei grandi capi.

Ma a me mancavano una sola informazione: non sapevo che il realizzatore e gestore del software era strettamente legato all'amministratore delegato dell'azienda e scoprì anche il perché il sistema era assolutamente privo minima misura di sicurezza.

Come risultato mi sono ritrovato sotto procedimento disciplinare con tanto di minaccia (molto concreta) denuncia nei miei confronti (non erano ancora definiti i reati informatici ma si assimilavano a quelli relativi ai documenti cartacei).

Alla fine mi fecero capire che sarebbe stato meglio se mi fossi dimesso: avrei risparmiato loro del tempo e mi avrebbero lasciato delle referenze che mi avrebbero potuto permettere di cercarmi un altro lavoro.

Scatola Grande ha detto...

cyberninja,
registrare le telefonate da parte delle compagnie telefoniche è un costo inutile, lo fanno solo se richiesto dal magistrato.
Quello che fanno è registrare chi chiami, per quanto tempo e, forse, la cella a cui sei agganciato banalmente perché sono gli elementi che servono per addebitarti i costi e probabilmente per fini statistici.
Prima questi dati li buttavano dopo poco tempo, adesso sono invece costretti dalla legge a tenerli per anni con dei costi che non gradiscono affatto. Non so se questi costi sono compensati.