Cerca nel blog

2018/11/30

Truffa della falsa assistenza Microsoft, arresti in India

Buone notizie sul fronte della lotta alle truffe online che seguono lo schema della falsa assistenza Microsoft: in India, segnala ZDNet, sono state arrestate 63 persone dopo che la polizia ha visitato 26 call center nei quali gli addetti telefonavano a persone a caso in tutto il mondo spacciandosi per rappresentanti dell’assistenza tecnica di Microsoft, Google, Apple e altre aziende molto conosciute e convincevano le vittime a pagare da 100 a 500 dollari per servizi fasulli o inesistenti.

Microsoft ha dichiarato di aver ricevuto oltre 7.000 segnalazioni da una quindicina di paesi a proposito di questi call center presso il suo apposito servizio. Le perquisizioni hanno permesso di sequestrare copioni per le chiamate, registrazioni di telefonate e dati dei “clienti” di questi raggiri, che secondo i dati raccolti da Microsoft ha toccato tre su cinque utenti Windows nel 2017. Il dato è leggermente in calo, ma c’è ancora molta strada da fare.

Per incamminarsi lungo questa strada valgono le solite raccomandazioni:
  • Ricordate che Microsoft non vi chiamerà mai per offrire assistenza tecnica non richiesta; è il cliente che deve chiamare se ha bisogno.
  • Diffidate di qualunque telefonata inattesa o di qualunque messaggio pop-up inaspettato che compare sul vostro schermo di computer, tablet o telefonini.
  • Non telefonate a eventuali numeri che compaiono negli avvisi e non cliccate su inviti a scaricare software o effettuare scansioni del vostro dispositivo.
  • Non cedete mai il controllo del vostro computer a terzi se non siete in grado di confermare che si tratta di legittimi rappresentanti di un’azienda informatica di cui siete già clienti.
  • Se avete il minimo dubbio, prendete nota del nome e del numero della persona che vi ha contattato e segnalatelo alle autorità locali.


2018/12/01


Neanche a farlo apposta, proprio il giorno dopo che ho scritto questo articolo è arrivata la notizia sul Corriere del Ticino di una nuova serie di tentate truffe dalle mie parti.

MELANI: usare la stessa password ripetutamente aiuta i criminali

Più chiaro di così non si può: la Centrale d’annuncio e d’analisi per la sicurezza dell’informazione (MELANI) della Svizzera dice esplicitamente che “Chi utilizza la stessa password più volte agevola i cyber criminali”. Lo fa annunciando la pubblicazione del suo ventisettesimo rapporto semestrale, che racconta i maggiori incidenti informatici avvenuti in Svizzera e all’estero nel primo semestre del 2018.

MELANI sottolinea che molti utenti “hanno la cattiva abitudine di utilizzare la stessa password per accedere a diversi servizi online come webmail, e-banking e negozi online. Ciò semplifica di molto il lavoro dei criminali e consente loro di tentare sistematicamente di accedere ai servizi internet di diversi fornitori con i dati ottenuti da varie fughe di dati. In un caso gli hacker hanno utilizzato quasi un milione di queste credenziali provenienti da differenti fonti per tentare di accedere a un portale online.”

Il rapporto spiega che i siti di e-commerce e altri servizi Internet vengono regolarmente violati per rubare i dati dei clienti [poche ore dopo che ho scritto questo articolo è arrivata la notizia del furto dei dati di circa 500 milioni di clienti della catena alberghiera Marriott]. Se il furto include le password, i criminali tentano di usare la stessa coppia nome utente/password anche su altri siti, e siccome gli utenti tendono a usare la stessa password ovunque, di solito i malviventi hanno successo.

Se volete sapere se il vostro indirizzo di mail è stato oggetto di furto di credenziali, potete digitarlo nell’apposito strumento di controllo offerto da MELANI presso www.checktool.ch, che vi avviserà se il vostro indirizzo è presente nei vari database di dati rubati di cui la Centrale è a conoscenza.

La raccomandazione di questi esperti è di usare password sufficientemente lunghe, in modo che siano difficili da indovinare, e di adoperare password differenti per ciascun sito di e-commerce e/o servizio, attivando se possibile l’autenticazione a due fattori.

Riconoscimento facciale in Cina e controllo sociale

La recente trasmissione della RSI Dataland ha raccontato il sistema di controllo sociale automatizzato adottato in alcune città della Cina, dove telecamere dotate di riconoscimento facciale identificano chi attraversa le strisce pedonali quando ha il semaforo rosso. Il volto e il nome della persona vengono mostrati istantaneamente su un megaschermo.

A Shenzhen, per esempio, chi viene colto a commettere ripetutamente questo comportamento vietato viene punito perdendo punti nel proprio “credito sociale”: perde l’accesso a prestiti, non può prendere un aereo o un treno ad alta velocità, e altro ancora. No, non è una puntata di Black Mirror: questa è la realtà resa possibile dai costi bassissimi dei sistemi di sorveglianza di massa.

Gli amanti dell’ordine sociale potrebbero dire “Beh, ma dove sta il problema? Basta rispettare la legge.” Ma cosa succede quando questi sistemi automatizzazi sbagliano e riconoscono una persona che non c‘entra nulla?

È successo proprio questo, secondo quanto riporta il South China Morning Post: nella città portuale di Ningbo, il sistema ha colto in fallo la signora Dong Mingzhu, perché ne ha riconosciuto il volto, e l‘ha denunciata pubblicamente facendo comparire il suo volto e il suo nome sul megaschermo della vergogna.

Ma Dong Mingzhu non aveva affatto attraversato le strisce col rosso: il suo volto era presente nella pubblicità sulla fiancata di un autobus che transitava sul passaggio pedonale. La signora, infatti, è una notissima imprenditrice che dirige una grande azienda di impianti per l’aria condizionata.

La polizia locale si è prontamente scusata e ha detto che il sistema è stato completamente aggiornato. La signora Dong ha orwellianamente ringraziato la polizia per il proprio lavoro e invitato la popolazione a rispettare le regole del traffico. Ma viene da chiedersi cosa sarebbe successo se la persona erroneamente riconosciuta non fosse stata una celebrità capace di far sentire la propria voce.


Fonte: Naked Security.

Se chattate con un servizio clienti online, attenti a quello che scrivete prima di premere Invio: lo potrebbero leggere

Molti siti di commercio elettronico offrono oggi un servizio di chat in tempo reale con il servizio clienti. Normalmente ci si aspetterebbe che quello che si scrive venga trasmesso all’interlocutore soltanto dopo aver premuto Invio. In fin dei conti, il tasto si chiama Invio, no?

Non sempre: Tom Scocca di Hmm Daily segnala di aver notato che alcuni degli operatori di queste chat di assistenza rispondevano in modo incredibilmente fulmineo. In un caso, una domanda piuttosto tecnica ha ricevuto una risposta dettagliata, completa di link al prodotto in oggetto, un secondo dopo che la domanda era stata inviata.

Incuriosito, Scocca ha scoperto con una semplice ricerca in Google che esistono società che offrono servizi di chat che permettono agli operatori di leggere in anteprima quello che stanno scrivendo i clienti:

“Prima che il cliente clicchi su ‘Invia Messaggio’, potete vedere in tempo reale quello che sta digitando il cliente. Questo vi dà più tempo per preparare una risposta o una soluzione al problema del cliente. I clienti apprezzeranno le vostre risposte rapide e precise.”

Gizmodo ha confermato questo fenomeno chiedendolo direttamente a uno degli operatori di un sito di e-commerce. Altre società che offrono questo tipo di anteprima dicono di lavorare per McDonalds, Ikea e PayPal.

Le intenzioni sono buone, insomma, ma il fatto di non dichiarare che le digitazioni vengono trasmesse immediatamente finisce per sembrare piuttosto inquietante, e la presenza del pulsante Invio è sostanzialmente un inganno. Fate insomma attenzione a quello che scrivete nelle chat commerciali.

Installare cuffie Sennheiser rende(va) vulnerabili i PC

Ultimo aggiornamento: 2018/12/05 9:50.

Quando pensi di averle viste tutte in informatica, arriva sempre qualche notizia ancora più bizzarra. Installare un software di gestione per cuffie rendeva permanentemente vulnerabili i computer Windows.

L’azienda di sicurezza informatica Secorvo ha scoperto che Headsetup e Headsetup Pro, i programmi che installano i driver per le cuffie Sennheiser Office e Call center, installavano anche due certificati digitali di root malamente configurati (tanto per dirne una, la chiave privata e la passphrase per usarla erano scritte in chiaro in due file, e la passphrase era SennheiserCC).

Questo consentiva a qualunque criminale informatico di generare certificati digitali con i quali creare siti-trappola che si spacciavano perfettamente per Google, Apple, Microsoft o una banca, rendendo facili gli attacchi informatici sui computer nei quali era stato installato il software Sennheiser.

Cosa peggiore, i computer restavano vulnerabili anche dopo che era stato disinstallato il software, perché la disinstallazione non rimuoveva i certificati digitali difettosi.

Sennheiser ha pubblicato un aggiornamento correttivo e Microsoft ha diffuso un aggiornamento che disabilita i certificati digitali erronei. Chi usa le cuffie di questa marca dovrebbe quindi aggiornare il software; chi ha installato il software in passato dovrebbe eliminare il certificato digitale fallato seguendo queste istruzioni per Mac e queste per PC Windows.


2018/12/05 9:50


Ho ricevuto dall’ufficio stampa italiano di Sennheiser la precisazione che si trattava di un problema riguardante esclusivamente le cuffie Sennheiser usate per applicazioni office e call center. Riporto qui sotto integralmente la nota dell’ufficio stampa:

Per consentire alle cuffie Office e Call-Center e agli Speakerphones Sennheiser di lavorare senza problemi con PC e Mac, l’app HeadSetup stabilisce un websocket crittografato con un browser, come riporta ArsTechnica. Lo fa con l’installazione di un certificato TLS autofirmato in una posizione che i sistemi operativi riservano per la memorizzazione di certificati browser attendibili. Su Windows, questa posizione è chiamata Root CA certificate store, su Mac invece, è nota come Trust Store.

La vulnerabilità del software Sennheiser HeadSetup era derivata da un certificato autofirmato installato dalla versione 7.3 della stessa applicazione, che teneva la chiave privata di crittografia in un formato facilmente estraibile. Peraltro, poiché la chiave generata era identica per tutte le installazioni del software, sarebbe stata sufficiente una singola estrazione per generare certificati TLS falsi in grado di impersonare qualsiasi sito web HTTPS su Internet. Anche se i certificati autofirmati erano palesemente falsi, sarebbero stati accettati come autentici su tutti quei computer che avevano memorizzato il certificato creato dalla companion app di Sennheiser.

Una problematica che l’azienda tedesca ha risolto immediatamente rendendo disponibile la release di aggiornamento che, al tempo stesso, elimina il certificato vulnerabile; in ogni caso l’opzione più sicura rimane quella di eliminarlo manualmente.

Come ulteriore misura di rimedio, Sennheiser ha contattato Microsoft per ottenere l'invalidazione globale dei certificati interessati tramite un aggiornamento software mondiale, rilasciato il 27 novembre per gli utenti Windows. L'aggiornamento del sistema Windows elimina il rischio, anche per coloro che hanno scelto di eliminare il vecchio software HeadSetup attraverso un processo di disinstallazione.


Fonti aggiuntive: BoingBoing, Bleeping Computer, Ars Technica.

2018/11/27

Stufi delle password? Microsoft le elimina del tutto

Ultimo aggiornamento: 2018/11/28 21:00.

Nota: questo articolo annuncia una nuova proposta tecnologica che tocca moltissimi utenti. Non è necessariamente un consiglio di sicurezza universalmente valido ed è stato aggiornato per chiarirne limiti e vantaggi.

Vi piacerebbe fare a meno di tutte le vostre password? Quelle che dovete custodire, ricordare e digitare e poter accedere lo stesso in modo sicuro ai vostri siti e servizi preferiti?

Alcuni dispositivi e servizi già lo consentono, ma ora l’accesso passwordless è disponibile anche agli 800 milioni di utenti che possiedono un account Microsoft perché usano Windows 10, Outlook, Office, Skype o Xbox Live: pochi giorni fa, infatti, Microsoft ha attivato l’autenticazione sicura senza password su questi sistemi e servizi, sia su computer sia su dispositivi mobili.

Al posto della password potete usare la vostra impronta digitale, il vostro volto oppure un dispositivo speciale, la security key, una sorta di chiave digitale fisica personalizzata, venduta per esempio da Yubico e Feitian. Invece di dare il vostro nome utente e ricordarvi una password, mettete il vostro dito sul sensore, guardate la telecamerina del vostro dispositivo oppure inserite la security key e il gioco è fatto.

Questo sistema ha due grandi vantaggi: il primo è che i dati biometrici, ossia l’impronta del dito o l’immagine del volto, non vengono mandati a nessuno e risiedono soltanto sul vostro computer, tablet o telefonino in un’area protetta della sua memoria, alla quale potete accedere soltanto voi. E se non vi piace la biometria, potete usare una security key. Non c’è insomma il pericolo che qualche sito vi rubi le impronte digitali, semplicemente perché non gliele inviate: una differenza importante rispetto ai siti e servizi che chiedono invece accesso diretto ai vostri dati biometrici.

Il secondo vantaggio è che non essendoci una password, non potete perderla o dimenticarla e il sito che visitate non può farsela sottrarre, come invece avviene spesso. Eliminando le password, insomma, la sicurezza paradossalmente aumenta.

Questa autenticazione senza password usa la crittografia a chiave pubblica, una sorta di doppio lucchetto con una chiave che è appunto pubblica, e quindi può essere condivisa liberamente, e una seconda chiave privata, che non viene mai mandata a nessuno. I siti possono usare la vostra chiave pubblica per fare al vostro dispositivo un challenge, ossia una sorta di indovinello matematico personalizzato che può essere risolto soltanto da chi ha la vostra chiave privata. In questo modo i siti sanno che siete davvero chi dite di essere senza aver bisogno di chiedervi una password.

Nei prodotti e servizi Microsoft potete usare questo sistema anche subito, se attivate l’opzione Windows Hello su un dispositivo Windows 10 aggiornato: vi collegate al servizio che vi interessa, usando per l’ultima volta nome utente e password, e poi attivate in Microsoft Edge la voce Usa Windows Hello. Fatto questo, potrete accedere al servizio semplicemente appoggiando il dito sul sensore o guardando la telecamerina. E per chi preferisce non usare la biometria c’è la chiave digitale, da usare al posto del dito o del viso.

Questa nuova tecnica è più facile da usare che da descrivere, e rende impossibili i classici furti di password basati su siti truffaldini che somigliano a quelli autentici oppure su virus che intercettano le digitazioni. La sua introduzione in massa da parte di Microsoft e la sua presenza in Firefox e Chrome probabilmente ne incoraggeranno molto la diffusione. Certo, le password non spariranno subito, ma il loro regno sofferto si avvia forse alla conclusione, accompagnato da un coro di “Era ora!”, perché molti utenti non sopportano le password, ne soffrono e le usano male. 

Chi segue questo blog sa che sconsiglio l’uso disinvolto della biometria. Ma se la scelta è fra un utente che usa come password 1234578 (e la usa dappertutto) e un utente che usa un autenticatore a chiave biometrica o una security key fisica, è meno insicuro il secondo.


Fonte aggiuntiva: Naked Security.

Quiz: sapete rispondere a questa domanda di chi nega l’esistenza della Stazione Spaziale Internazionale?

Ricevo da un lettore una domanda postagli da un complottista che pensa che la Stazione Spaziale Internazionale sia un falso. Come sia ottenuto questo falso, secondo il complottista, non lo so e francamente non credo di voler esplorare i meandri di una mente così bacata. Ma c’è una domanda divertente posta dal complottista, la cui risposta dettagliata non è immediatamente evidente.

È un esempio perfetto della Teoria della Montagna di M*rda: inventarsi una presunta prova di complotto richiede pochissima fatica, mentre debunkarla ne richiede molta di più. Esattamente come spalare e ripulire una montagna di letame richiede molta più fatica che farla.

La domanda è questa: le osservazioni dicono che la Stazione Spaziale percorre in cielo circa 1° al secondo. Ma allora, dice il complottista, dovrebbe percorrere 360° (cioè un’orbita intera intorno alla Terra) in circa 360 secondi, quindi in circa 6 minuti. Eppure la NASA dice che l’orbita della Stazione dura 90 minuti. Quindi la Stazione è un falso. Dove sta l’errore?

Scrivete la vostra risposta nei commenti. Buon divertimento.


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

2018/11/25

Recuperare le foto cancellate da un iPhone

Ultimo aggiornamento: 2018/11/25 13:15.

Avete cancellato di recente delle foto dal vostro iPhone? Siete sicuri di averle cancellate davvero? Se si tratta di foto potenzialmente imbarazzanti, ho una brutta notizia; se invece si tratta di foto che avete cancellato per errore, ho una bella notizia. Esiste infatti una tecnica semplice che in alcuni casi consente di recuperarle.

Naked Security racconta che questa tecnica di recupero è stata sfruttata pochi giorni fa per vincere a Tokio una gara di hacker, un concorso internazionale per esperti informatici che si chiama Mobile Pwn2own, ossia grosso modo “se riesci a prenderne il controllo, te lo porti a casa” (Pwn2own si pronuncia poun tu oun). Le regole della gara sono semplici: i concorrenti hanno a disposizione trenta minuti per prendere il controllo delle versioni più recenti e aggiornate di smartphone o altri dispositivi digitali mobili. Se ce la fanno, si portano a casa il dispositivo e anche un cospicuo premio in denaro.

Gare come questa si fanno a fin di bene: i concorrenti, infatti, sono tenuti a non pubblicare la tecnica che hanno usato per superare le protezioni dei vari dispositivi e a spiegarla soltanto ai rispettivi produttori, in modo che possano distribuire un aggiornamento che corregge la falla. La ricompensa monetaria permette di attirare talenti che altrimenti resterebbero inutilizzati o, peggio ancora, verrebbero sfruttati dal mondo criminale.

Nella gara di Tokio, il duo di hacker vincitore, composto da Amat Cama e Richard Zhu, ha incassato in totale ben 215.000 dollari. Fra le varie falle che hanno scoperto, sfruttato e spiegato ai fabbricanti ce n’è appunto una che consente di recuperare e rubare le foto cancellate da un iPhone nuovo e aggiornato, usando una falla di Safari che sarebbe sfruttabile semplicemente inducendo la vittima a visitare un sito Web appositamente confezionato. Niente panico: la falla verrà corretta a breve.

Quello che conta, però, è che la loro tecnica sfrutta una funzione documentata dell’iPhone che è meglio conoscere per poterla gestire bene. Quando si va nell’app Foto e si cancella una fotografia, in realtà l’immagine non viene eliminata davvero. Viene messa temporaneamente in un album che si chiama Eliminati di recente e viene cancellata realmente solo dopo trenta giorni di giacenza. Lo stesso avviene anche per i video che avete ripreso.

Questo è un bene se vi accorgete di aver eliminato per errore una foto o una ripresa video che volevate invece tenere, oppure se cambiate idea dopo averla eliminata. Ma significa anche che chi ha accesso al vostro smartphone può andare a sfogliare le foto e i video apparentemente eliminati e può recuperarli.

Vi conviene quindi vuotare questo deposito temporaneo dopo aver eliminato foto che potrebbero essere usate contro di voi. Basta andare nell’app Foto, selezionare gli Album e poi andare in fondo all’elenco degli album, dove se ne trova uno denominato appunto Eliminati di recente. Si tocca ciascuna foto o ripresa video e poi si tocca Elimina per farla sparire per sempre oppure Recupera per ripristinarla. Ma fate attenzione, perché stavolta la cancellazione è a prova di hacker.

2018/11/23

Puntata del Disinformatico RSI del 2018/11/23

È disponibile lo streaming audio e video della puntata del 23 novembre del Disinformatico della Radiotelevisione Svizzera.

La versione podcast solo audio (senza canzoni, circa 20 minuti) è scaricabile da questa sezione del sito RSI (link diretto alla puntata) ed è disponibile qui su iTunes (per dispositivi compatibili) e tramite le app RSI (iOS/Android); la versione video (canzoni incluse, circa 60 minuti) è nella sezione La radio da guardare del sito della RSI ed è incorporata qui sotto. Buona visione e buon ascolto!

Black Friday e trojan bancari sui siti di shopping: come difendersi

I criminali informatici non si fermano mai nella propria ricerca di nuove tecniche per rubarci dati che possono monetizzare.

Invece di infettare i dispositivi degli utenti e rubare i dati delle carte di credito usate durante lo shopping online, cosa difficile se l’utente ha installato antivirus e app di protezione antifrode, infettano i siti di shopping.

Ma l’infezione non avviene attaccando direttamente i siti commerciali, che di solito hanno protezioni piuttosto robuste: viene messa a segno attaccando le società che forniscono a questi siti gli script per la gestione dei pagamenti. Queste società spesso sono difese molto debolmente. Ai criminali basta entrarvi in modo da alterare a proprio favore gli script che poi i siti commerciali vanno a scaricare e incorporare.

Magecart, per esempio, è uno script alterato che viene installato fraudolentemente nei siti commerciali e intercetta i dati dei pagamenti effettuati tramite carte di credito: una delle sue vittime più illustri è stata British Airways, che ad agosto scorso si è fatta sottrarre i dati di 380.000 clienti con 22 righe di script. Ma anche Infowars, il sito del complottista Alex Jones, è stato colpito.

Rapid7 ha dei consigli tecnici per i gestori dei siti di e-commerce, ai quali spetta il compito di tenersi puliti; gli acquirenti possono solo vigilare sugli acquisti attivando per esempio i messaggi di allerta e verifica delle transazioni fatte con la carta di credito. Se il sito usato contiene script rubacarte, questi messaggi permetteranno di accorgersi che l’acquisto fatto è fraudolento e di bloccarlo.

Vale naturalmente, come sempre, la raccomandazione classica di fare acquisti solo in siti ben conosciuti e di non farsi sedurre da offerte troppo belle per essere vere.

Hacker buono salva malati di apnea ostruttiva nel sonno

Chi soffre di apnea ostruttiva nel sonno dipende da speciali macchine, denominate CPAP (Continuous Positive Airway Pressure), che vanno regolate con precisione per non causare danni.

Secondo quanto riferisce Motherboard, una delle aziende che fabbrica queste macchine e le vende in tutto il mondo si chiama Resmed. L’azienda cifra i dati generati dalle proprie macchine e si aspetta che i pazienti portino questi dati a mano ai propri medici su schedine di memoria SD e che i medici leggano questi dati per calibrare le macchine usando un programma speciale, ResScan, che i pazienti non possono acquistare: un procedimento assurdamente lento e complicato, che anche i medici hanno pochissimo tempo di eseguire.

Ma Mark Watkins, uno sviluppatore australiano affetto da quest’apnea, ha scritto un software, Sleepyhead, che decodifica i dati cifrati e permette ai pazienti di fornirli ai propri medici oppure di interpretarli ed effettuare piccole regolazioni degli apparecchi senza doversi sottoporre a queste trafile.

Piccolo problema: distribuire Sleepyhead è probabilmente illegale in molti paesi, perché le macchine di CPAP della Resmed usano una cifratura anticopia (DRM, Digital Rights Management) per proteggere l’accesso al proprio funzionamento, come tanti altri dispositivi per uso medico, e disseminare strumenti che scavalchino queste protezioni è spesso una violazione delle leggi sulla pirateria informatica. Usare questi strumenti è legale, ma diffonderli non lo è. Un amico che ne fornisce una copia a un malato commette un reato.

Ovviamente questo fai-da-te è rischioso anche dal punto di vista medico oltre che da quello legale, ma per molti pazienti l’alternativa è aspettare mesi per una regolazione professionale che consenta loro di dormire adeguatamente, e quest’attesa può essere devastante per la salute, per i rapporti sociali e per il lavoro.

Non è l’unico caso di hacking da parte di utenti per riprendere il controllo dei propri dispositivi, perché usare il copyright e i meccanismi anticopia per controllare l’uso delle macchine o degli elettrodomestici acquistati dagli utenti è una prassi diffusissima. Ci sono agricoltori che lo fanno per poter riparare i propri trattori della John Deere. Esistono persino macchine per il caffé della Keurig che usano la legge e i sistemi antipirateria per vietare agli utenti di adoperare cialde di altri produttori. Se non siamo padroni dei nostri dispositivi, non siamo utenti: siamo schiavi digitali.

Truffe sentimentali online: la BBC insegue un truffatore

Questo è Juan Avalos, un vero marine degli Stati Uniti la cui foto viene abusata dai truffatori (@shreddedmilitary), secondo la BBC.

Le truffe sentimentali o romance scam, in cui il criminale finge online di essere innamorato della vittima e le chiede aiuto sotto forma di soldi con i pretesti più strani, causano danni economici e psicologici a tutte le latitudini. Dalla BBC arriva il racconto di un’indagine lanciata per rintracciare uno di questi truffatori, che nel Regno Unito fanno almeno dieci vittime al giorno e incassano in media 15.000 sterline (circa 19.000 franchi o 17.000 euro) da ciascuna persona ingannata. E questi sono solo i numeri delle truffe denunciate; non si sa quante siano quelle che non vengono segnalate alla polizia.

I truffatori agiscono secondo uno schema abbastanza standard: conoscerlo può essere utile per difendersi. Trovano le proprie vittime, uomini o donne, nei siti di incontri. Imbastiscono lunghe conversazioni per poi dichiararsi innamorati e chiedere soldi, ma non per se stessi: c’è sempre una scusa apparentemente plausibile.

Ma quello che colpisce è la loro crudele implacabilità: quando trovano una vittima, una persona particolarmente sensibile e vulnerabile che cade nella loro trappola, la spillano ripetutamente, cambiando identità o passandosi il suo nome.

La BBC racconta il caso di un uomo di 67 anni, Roy, che credeva di aver trovato l’amore online. Il suo truffatore si spacciava per una donna americana di nome Donna, che raccoglieva fondi per un progetto benefico in Malesia. Mandando a “Donna” cifre modeste pensando di dare aiuti umanitari, Roy ha perso circa 100.000 sterline (128.000 CHF/113.000 EUR). Quando ha capito il raggiro, ha interrotto i contatti, ma ora è pieno di debiti. E i truffatori continuano a tempestarlo di richieste di contatto. Alla fine, spesso, la vittima ricade nella trappola. Quando la BBC è arrivata per intervistare Roy, ha trovato sul suo calendario un appunto: “Pagato 500 dollari a Sherry”. Sherry è la sua nuova amica del cuore americana, incontrata online, che sta seguendo esattamente lo stesso schema del truffatore precedente.

Athar Ahmad, un giornalista della BBC, è andato online e ha finto di essere una donna in cerca d’amore. In poco tempo ha ricevuto le richieste di contatto di quattro uomini. La sua esperienza rivela le tecniche usate per il romance scam.

  • Tutti i truffatori hanno dichiarato di essere soldati americani: questa è una storia di copertura usatissima, perché offre al truffatore una scusa perfetta per non incontrarsi di persona e una giustificazione plausibile per farsi mandare soldi oltreoceano.
  • I truffatori sono andati subito al sodo, dichiarandosi innamorati già dopo un paio di giorni di conversazione online e proponendo il matrimonio già al terzo giorno. Questo dovrebbe essere uno dei primi campanelli d’allarme e in teoria dovrebbe insospettire subito. Ma in realtà è una tecnica di preselezione delle vittime: se una vittima non sospetta nulla dopo una proposta del genere, così evidentemente anomala, vuol dire che è il tipo di persona che cadrà facilmente nelle trappole successive.
  • Questi truffatori usano foto di altre persone trovate online: una ricerca per immagini in Google spesso consente di identificare la fonte di queste fotografie e verificare che si tratta di un raggiro. La vittima non ci penserà, ma gli amici della vittima che cercano di convincerla che si tratta di un imbroglio possono fare questa ricerca per provare alla vittima che il seduttore o la seduttrice di turno è davvero un impostore.

---

La BBC contatta una delle persone le cui immagini vengono usate dai truffatori: si chiama Juan Avalos, è un vero marine degli Stati Uniti che si è trovato costretto a pubblicare avvisi online nei suoi profili social perché le sue foto vengono abusate costantemente. Non può togliere le proprie foto da Internet, perché altrimenti nessuno potrebbe cercarle e scoprire l’inganno.

A un certo punto uno dei truffatori che stanno cercando di circuire il giornalista della BBC commette un errore: lascia in una delle foto inviate tramite WhatsApp un nome diverso da quello finto con il quale si è presentato. Diceva di chiamarsi Paul Richard, ma nella foto c’è il tag Dan Coolman. La BBC rintraccia un Dan Coolman che sta in Nigeria e gestisce un negozio di barbiere a Ibadan: ha lo stesso numero di telefono usato dal truffatore.

Anche Dan Coolman è un nome finto: il telefono è intestato a Daniel Joseph Okechkwu. Da queste informazioni la BBC risale a un account Twitter omonimo che contiene la stessa foto usata dal truffatore. I giornalisti vanno a Ibadan, ma trovano che il negozio è chiuso da settimane e non si sa nulla del titolare.

Sono passati, a questo punto, tre mesi dalla prima presa di contatto: la BBC decide di telefonare al truffatore e rivelargli come stanno le cose. Dapprima il finto Paul Richard/Dan Coolman insiste a dire che è davvero un soldato americano e poi riaggancia.

Poi richiama, confessando tutto: dice che è il suo primo tentativo di romance scam e che si è trovato costretto a farlo perché il suo negozio è fallito. Parla con toni sinceri e si scusa per il modo in cui ha trattato il giornalista. Dice che vuole smettere di fare il truffatore.

Ma per farlo, dice, ha bisogno di soldi: non è che il giornalista gliene manderebbe un po’?

I truffatori, insomma, sono senza vergogna e senza pietà e non si arrendono mai, neanche quando pensi di averli messi con le spalle al muro. Non fatevi commuovere, e fate attenzione.

Dataland: ecco come fa un grande magazzino a sapere che tua figlia è incinta. E a saperlo prima di te

Il 21 novembre (mercoledì) la Radiotelevisione Svizzera di lingua italiana ha trasmesso Dataland, una diretta speciale nazionale dedicata al fenomeno dei big data e dell’intelligenza artificiale.

Ho avuto il piacere di parteciparvi insieme a Giovanni Buttarelli (garante europeo per la protezione dei dati), Christa Rigozzi (miss Svizzera 2007), Luca Maria Gambardella (direttore dell’Istituto Dalle Molle di Lugano), Jean Christophe Gostanian (direttore Kindercity e titolare di Avatarion, che ha creato il robot Pepper presente in studio), Francesca Rigotti (filosofa), Olivio Lama (portavoce di Santé Suisse), Dario Bellicoso (ricercatore dell’ETH di Zurigo) con il robot quadrupede Anymal, e tanti altri ospiti in studio e in collegamento. Potete rivedere la serata qui insieme alle sue informazioni di contorno.



I documentari inclusi nella serata hanno esplorato le grandi questioni di privacy e di democrazia che ruotano intorno alla raccolta massiccia di dati personali effettuata da aziende e governi. L’esempio cinese, con il suo “punteggio sociale”, è particolarmente inquietante e sembra preso di peso da una puntata di Black Mirror. E le demo dei robot, fatte in diretta col rischio che fallissero, sono state notevoli. Per non parlare dei due megaschermi mossi con precisione dai bracci robotici giganti in studio.

Molti utenti non sono ancora consapevoli di quanto sia massiccia e profonda questa raccolta e di quali informazioni possano essere dedotte da dati apparentemente innocui. Uno degli esempi classici arriva da un articolo del New York Times del 2012, che racconta il data mining fatto dalla catena di grandi magazzini statunitense Target sugli acquisti fatti con le carte di credito, i buoni sconto, le mail e le visite al proprio sito:

Un uomo entrò in una filiale di Target nei dintorni di Minneapolis e chiese insistentemente di parlare con un responsabile. Brandiva dei buoni inviati alla figlia, ed era arrabbiato [...] “Mia figlia ha ricevuto questo nella posta!” disse. “Va ancora alle superiori, e le mandate buoni sconto per vestitini per neonati e culle? State cercando di incoraggiarla a restare incinta?”

Il responsabile non aveva idea di cosa stesse dicendo l’uomo. Guardò la pubblicità postale: era in effetti indirizzata alla figlia dell’uomo e conteneva pubblicità di indumenti premaman, mobili per camerette per neonati e foto di bimbi sorridenti. Il responsabile si scusò e poi richiamò qualche giorno dopo per scusarsi ancora.

Ma al telefono l’uomo era piuttosto imbarazzato. “Ho parlato con mia figlia” disse “E sono venuto a sapere che in casa sono successe cose di cui non ero ben consapevole. Mia figlia aspetta un figlio che nascerà ad agosto. Le devo le mie scuse.”

Come faceva Target a sapere della gravidanza? Semplice: i suoi analisti si erano accorti che c’erano una trentina di prodotti che, se analizzati insieme, permettevano di assegnare a ciascun cliente un punteggio di previsione di gravidanza: prodotti come integratori alimentari a base di calcio, magnesio e zinco o saponi non profumati.

Non solo: quest’analisi riusciva anche a prevedere la data approssimativa del parto, per cui Target poteva inviare pubblicità e buoni sconto su misura adatti alla specifica fase della gravidanza. Questa profilazione si rivelò così potente e inquietante per i clienti che fu necessario annacquarla inserendo nei buoni anche offerte di prodotti che non c’entravano nulla, in modo da non far spiccare troppo le offerte premaman.

Questo è il potere e il valore dei dati.

2018/11/22

Auto elettriche: streaming del convegno di Parma oggi

Come ho preannunciato alcuni giorni fa, oggi sarò alla Facoltà di Ingegneria dell’Università di Parma come co-moderatore del convegno Mobilità elettrica, il futuro è oggi!, organizzato dall’associazione studentesca universitaria EMS (Energia e mobilità sostenibile), dall’associazione per la mobilità elettrica eV-Now! Italia e dall’Università di Parma.

Il convegno inizierà alle 14:30. Posso annunciare con piacere che ci sarà la diretta streaming su Youtube.

Tutti i dettagli sono qui su Eventbrite.

2018/11/21

Momenti di nerditudine: ho comprato una targa da Trekker

Ultimo aggiornamento: 2018/12/17 21:35.

In Svizzera viene tenuta periodicamente un’asta ufficiale per le targhe delle automobili: per il Canton Ticino la trovate qui su Ti.ch. Ci si iscrive e si partecipa via Internet, e quando viene indetta l’asta (che è sempre serale) si viene allertati via mail: comodissimo. Da appassionato di Star Trek, non sono riuscito a trattenermi dal fare una piccola pazzia e mi sono aggiudicato questa targa.


Spiegone per non-Trekker: NCC-1701 è il numero di matricola dell’astronave Enterprise. Mi sarebbe piaciuto avere TI 1701, ma le targhe a quattro cifre hanno prezzi per me proibitivi (varie migliaia di franchi/euro).

Spiegone per non ticinesi: riservazione è italiano svizzero. Qui si usa comunemente al posto di prenotazione.

Prevengo la domanda: 170100 e 170142 (come omaggio alla Guida Galattica per autostoppisti) non erano disponibili.

È per la Tesla Model 3 che ho preordinato? Dipende: non ho ancora deciso se acquistarla o no. Nel frattempo la monterò sulle mie auto attuali: quella a benzina, che spero di sostituire presto con una berlina elettrica, e la piccola city car elettrica che ho già (in Svizzera le targhe sono trasferibili se si usa una sola auto per volta).

Perché ho scelto 05 come cifre finali? Perché, se vogliamo essere nerd fino in fondo, lo 05 potrebbe rappresentare la quinta lettera dell’alfabeto (E) e quindi indicare l’Enterprise-E (oppure, come mi fate notare dai commenti, potrebbe essere la E di elettrico). In alternativa, potrebbe rappresentare la quinta versione dell’astronave, quindi l’Enterprise-D (visto che l'Enteprise originale non aveva lettere di versione).

Mi è arrivata una mail che conferma che mi sono aggiudicato la targa e ora devo aspettarne un’altra che mi avviserà non appena sarà disponibile: a quel punto potrò procedere al ritiro avviare le pratiche per il cambio di targa. Non l’ho mai fatto, quindi è tutto da scoprire.


2018/12/17: Sono finalmente andato a ritirare la targa.


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

2018/11/18

Lo Star Wars Holiday Special compie 40 anni. E lascia ancora inorriditi

Ultimo aggiornamento: 2018/11/19 11:35.

I veri appassionati di Star Wars conoscono bene lo Star Wars Holiday Special: è la pagina più infame di tutta la saga. È peggio di Episodio I: è semplicemente inguardabile. Se ci proverete, vi chiederete cosa diavolo stessero fumando quando l’hanno realizzato. George Lucas in persona ha detto che vorrebbe rintracciare e distruggere ogni copia dello Special, che non è mai stato distribuito ufficialmente dopo la sua apocalittica messa in onda il 17 novembre 1978.

Star Wars (da noi si intitolava ancora semplicemente Guerre Stellari, senza numerazioni) era uscito da poco, diventando un successo commerciale senza precedenti nella storia del cinema, e lo Special fu partorito (con l’assistenza iniziale di Lucas) sull’onda di questo successo.

Include numerose chicche: ospita tutti i principali membri del cast (Carrie Fisher, Mark Hamill, Harrison Ford, Anthony Daniels, Peter Mayhew e Kenny Baker), che interpretano i propri personaggi, e un suo segmento a cartoni animati introduce al grande pubblico Boba Fett (che apparirà poi ne L’Impero colpisce ancora e in altri film della saga). Detto così sembrerebbe imperdibile, ma...

...provate a guardarlo. Fra intermezzi sconcertanti che includono i Jefferson Starship, siparietti musicali e pseudocomici con costumi improbabili, e un vecchio Wookiee sporcaccione che si eccita guardando una sorta di realtà virtuale (intorno a 28 minuti dall’inizio), gli attori si aggirano confusi e sperduti. Mark Hamill è talmente truccato da sembrare un bambolotto (lo vedete nell’interminabile presentazione iniziale), e gli altri non sono messi molto meglio (la canzone che Carrie Fisher canta a 1h:30m circa è un tormento peggiore di una lenta digestione da parte di un Sarlacc). Se riuscite ad arrivare alla fine della sua lentissima, esasperante trama, siete dei veri Jedi. La Forza sia con voi.

Se volete proprio saperne di più, date un’occhiata a Wikipedia. Qui ne trovate una copia integrale in bassa qualità:



Una versione leggermente migliore, ma riassunta e commentata da Rifftrax, è qui:



Chicca: neanche Mark Hamill è riuscito a vederlo per intero.





Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

2018/11/16

Straordinario illusionismo da vicino: Eric Chien

Come appassionato di illusioni sensoriali e di indagine sui fenomeni apparentemente paranormali, sono affascinato dall’illusionismo. Il CICAP offre spesso corsi di questa materia, utilissimi per capire le tecniche spesso sofisticate utilizzate dai ciarlatani per imbrogliare, mentre i prestigiatori le adoperano per meravigliare e divertire. Frequento spesso anch’io questi corsi, tenuti da esperti del settore che spiegano le proprie tecniche senza nascondere nulla ma ci chiedono di rispettare il segreto per non rovinare il divertimento.

Conosco quindi molti degli effetti usati per ottenere illusioni potenti: ma devo dire che quelle che si vedono in questa esibizione di Eric Chien sono stupefacenti, soprattutto quando le trasformazioni avvengono senza che vi sia il classico oggetto (o una mano) a coprirle come invece avviene di solito. Preparatevi a tornare indietro e riguardare certi passaggi, perché vi prenderanno di sorpresa.



Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Video: parlo di sicurezza e privacy a Linea Rossa (RSI)

Il 4 novembre scorso è andata in onda sulla RSI una puntata di Linea Rossa dedicata a dati, sicurezza e privacy. Da 13:50 circa c’è un servizio nel quale faccio una piccola demo di intrusione (consensuale) in un telefonino per rivelare quanti dati personali lasciamo in giro usando gli smartphone. Nella demo, l’ambiente che si intravede è il mio ufficio nel Maniero Digitale, al suo debutto televisivo. Noterete alcune chicche :-). La trasmissione prosegue con un faccia a faccia con i giovani partecipanti al programma. Buona visione!


Puntata del Disinformatico RSI del 2018/11/16


È disponibile lo streaming audio e video della puntata del 16 novembre del Disinformatico della Radiotelevisione Svizzera.

La versione podcast solo audio (senza canzoni, circa 20 minuti) è scaricabile da questa sezione del sito RSI (link diretto alla puntata) ed è disponibile qui su iTunes (per dispositivi compatibili) e tramite le app RSI (iOS/Android); la versione video (canzoni incluse, circa 60 minuti) è nella sezione La radio da guardare del sito della RSI ed è incorporata qui sotto. Buona visione e buon ascolto!

Quando l’intelligenza artificiale esegue gli ordini alla lettera, succedono disastri o c’è da ridere

L’intelligenza artificiale spesso fa quello che le specificano di fare i suoi creatori invece di fare quello che intendevano. Mi sono imbattuto in questo tweet che racconta un esperimento: collegare una rete neurale a un aspirapolvere robotico Roomba, con l’intento di insegnarli a spostarsi senza scontrarsi contro gli oggetti. La rete viene “premiata” quando lo spostamento è veloce e “punita” quando i sensori registrano un impatto. Soluzione geniale trovata dalla rete neurale: andare in retromarcia, perché non ci sono sensori d’impatto sul retro e quindi può schiantarsi velocemente contro qualunque cosa ricevendo solo premi e nessuna punizione.

Collegato a quel tweet ho poi trovato questo documento in inglese, che compila una serie al tempo stesso esilarante e inquietante di equivoci e di “furbizie” di questi sistemi di intelligenza artificiale. Alcuni esempi:
  • Una rete neurale concepita per distinguere funghi commestibili e velenosi sfrutta il fatto che i dati le vengono presentati in ordine alternato e quindi non impara nessuna delle caratteristiche presenti nelle immagini dei vari funghi.
  • Creature virtuali hanno il compito di evolversi per diventare sempre più veloci. Soluzione: diventare man mano più alte e lasciarsi cadere per terra, perché la caduta genera velocità elevate.
  • <->Un software ha il compito di impilare mattoncini di Lego e quindi viene “premiato” quando la coordinata dell’altezza della faccia inferiore di un mattoncino aumenta di valore. Soluzione del software: capovolgere tutti i mattoncini, facendo in modo che la faccia inferiore sia più in alto di prima.
  • <->Un agente per giocare a Tetris ha il compito di non perdere. Soluzione: mettere il gioco in pausa. <->


Il 21 novembre la RSI dedicherà un programma speciale ai Big Data, alla robotica e all’intelligenza artificiale. Per saperne di più, seguite questo link.

Una volta tanto, consiglio di NON aggiornare Windows

Di solito raccomando di installare appena possibile gli aggiornamenti dei sistemi operativi, ma nel caso dell’aggiornamento di Windows 10 di ottobre 2018 (build 1809) devo fare un’eccezione: in molti casi conviene lasciarlo stare.

Secondo quanto segnalato per esempio da The Register già ai primi di ottobre, alcuni utenti hanno notato che l’aggiornamento cancellava misteriosamente dei file nella cartella Documenti (è per casi come questo che si consiglia di fare sempre un backup completo dei dati prima di fare un aggiornamento del sistema operativo).

La distribuzione dell’aggiornamento è stata sospesa e poi reiniziata pochi giorni fa dopo alcune correzioni, ma i problemi restano, come nota sempre The Register e ammette Microsoft in una nota di avviso: alcuni dischi di rete non si connettono e alcune schede grafiche Radeon della AMD mandano in tilt il Windows aggiornato. La nota contiene alcuni possibili rimedi temporanei e Microsoft sta lavorando per sistemare questi problemi; nel frattempo sta bloccando l’installazione nei computer che hanno hardware incompatibile.

Mia moglie è andata allo Sheraton Grand Hotel di Dubai a mia insaputa (e anche sua): seconda parte

Un paio di settimane fa ho raccontato di come un errore di una società di sondaggi ha mandato via mail a mia moglie i dati di soggiorno di un’altra persona. L’errore viola le promesse di privacy della società (Medallia), che dicono che “i clienti possono stare sicuri che i dati personali o le PII [informazioni personalmente identificabili] possono essere visti solo dal personale o dai mercati che hanno necessità di conoscerli”.

Avevo scritto alla società per avvisarla dell’errore e del fatto che ha eccome fatto vedere informazioni personalmente identificabili (il nome della persona che è stata a Dubai, l’albergo che ha frequentato e la data di conclusione del suo soggiorno mi paiono dati abbastanza “personalmente identificabili”). Ho anche chiarito che si trattava di una possibile violazione del GDPR e che ne avrei parlato alla RSI.

Hello,

I'm a journalist working with Swiss National Radio. Please be advised that you recently sent to the wrong person a survey email intended for [omissis]. The wrong person is my wife, [omissis].

This appears to be a violation of GDPR and of your privacy policies.

I will be discussing this event tomorrow morning (Friday 26th) during my weekly radio show about IT security. Your comment would be most welcome.

You may want to disregard any results of that survey entry.

Sincerely,

Paolo Attivissimo

Nessuna risposta da parte della società di sondaggi. Così ho provato a compilare il sondaggio dando il peggior punteggio possibile, nella speranza di ottenere una reazione di qualche genere. È arrivata:

Dear Mrs. [omissis],
Thank you for choosing to stay at the Sheraton Grand Hotel, Dubai and providing your honest feedback on the Guest Satisfaction Survey.
Providing the highest level of hospitality is our number one priority and we sincerely apologise for falling short of meeting your expectations.
Needless to say that I am sad and disappointed to read, that there was clearly things we could have done better to make your stay as memorable as possible.

As we very much use our guests feedback to continuously improve our products and services we would love to share your feedback with the appropriate hotel team to ensure the necessary guidelines are in place to prevent shortcomings from occurring in the future. If not too much troubles to ask, please help me to understand what went wrong during your stay to further learn, coach and amend. We are very much looking forward hearing from you and get to know how to serve better.

Once again, thank you for your valued feedback and we hope to welcome you again whenever your travels bring you back to Dubai.

Best regards to Madrid and a renewing weekend ahead,
Matthias.


Matthias [omissis]
Front Office Manager
Sheraton Grand Hotel, Dubai
[indirizzo di mail presso Medallia.com e numero di telefono]


Lasciando da parte le scuse, notate che il Front Office Manager si è lasciato scappare la città dalla quale proviene la loro cliente: “Best regards to Madrid”. La commedia degli equivoci sta diventando una seminagione di dati personali.

Con i dati fornitimi dalla società di sondaggi ho fatto una rapida ricerca in Google e nei social network: si tratta di una donna che dirige un’importante azienda di Madrid e partecipa al Women Economic Forum. Non è un caso di omonimia: l’indirizzo di mail è inequivocabile ed ha solo una lettera di differenza rispetto a quello di mia moglie. 

Riassumendo, fin qui ho:
  • il nome e cognome di una cliente dello Sheraton Grand Hotel di Dubai
  • il suo indirizzo di mail (facilmente deducibile dai dati personali che non pubblico qui)
  • la data del suo ultimo soggiorno in quell’albergo (23 ottobre scorso)
  • la città nella quale abita (Madrid)
  • il nome dell’azienda per la quale lavora
  • una sua foto

Sono dati sufficienti per una campagna di spear phishing, ossia per un attacco mirato a una persona chiaramente facoltosa e/o altolocata (va a un Grand Hotel) e quindi potenzialmente molto interessante.

Giusto per fare un esempio, se io fossi un criminale potrei spacciarmi per un dipendente dell’albergo e contattare la cliente dicendo “Buongiorno signora, sono dello Sheraton dove lei è stata fino al 23 ottobre, vedo dal suo questionario che il soggiorno non è stato per nulla di suo gradimento, vorremmo scusarci con un rimborso totale. Ci può confermare che i dati della sua carta di credito sono ancora validi?”. Anche se non dovesse abboccare alla trappola e darmi le coordinate della sua carta di credito, potrei approfittarne per acquisire altri dati personali.

Potrei anche rispondere al signor Matthias fingendo di essere la cliente insoddisfatta e reclamare un rimborso o creare altri equivoci, ma mi trattengo. Non ho molta fantasia, ma un esperto di spear phishing o di burle online potrebbe avere idee più creative delle mie.

Ho appena scritto a Matthias per avvisare del problema:

Hello Mr [omissis],

I'm a journalist working with Swiss National Radio. Please be advised that you recently sent to the wrong person a survey email intended for Mrs [omissis], who was at your hotel up to the 23rd of October. The wrong person is my wife, to whose email address ([omissis]) you have sent your survey.

I emailed [indirizzo di Medallia.com] to warn about this error, but received no reply. I entered bad ratings in your survey form to attract your attention. This appears to have worked. You may want to disregard any results of that survey entry.

You have leaked personally identifiable information. This appears to be a violation of GDPR and of your privacy policies. You might want to consider the appropriate legal steps for GDPR violations.

I will be discussing this event this morning (Friday 16th November) during my weekly radio show about IT security. Your comment would be most welcome.

Sincerely,

Paolo Attivissimo

Vediamo cosa rispondono: vi terrò aggiornati.


2018/11/16 17:35


Ho scritto alla cliente dello Sheraton involontariamente coinvolta in questo pasticcio:

Dear Ms [omissis],

I am a Swiss-Italian IT journalist, working with Swiss National Radio (rsi.ch). I would like to inform you that my wife, [omissis], has received by mistake your travel information. This is probably due to the fact that your email address is only one letter different from my wife's ([omissis]@gmail.com).

For example, they have written to my wife about your recent trip to Dubai, which ended on October 23, and told me that you live in Madrid.

I have tried to warn them about their mistake, but they have ignored me repeatedly.

This may be a privacy violation according to the European GDPR.

I have discussed your case anonymously during my radio show (in Italian) for RSI.ch and written about it here as an example of how personal data can be leaked by companies:

https://attivissimo.blogspot.com/2018/11/un-paio-di-settimane-fa-ho-raccontato.html

If you need further details or any information, please do not hesitate to email me.

Sincerely,

Paolo Attivissimo
Lugano, Switzerland

2018/11/14

Ci vediamo a Parma il 22 novembre per parlare di auto elettriche e mobilità sostenibile?

Ultimo aggiornamento: 2018/11/21 8:20.

Giovedì 22 novembre sarò alla Facoltà di Ingegneria dell’Università di Parma come co-moderatore del convegno Mobilità elettrica, il futuro è oggi!, organizzato dall’associazione studentesca universitaria EMS (Energia e mobilità sostenibile, Facebook, @emsunipr su Instagram e Twitter), dall’associazione per la mobilità elettrica eV-Now! Italia e dall’Università di Parma.


Il convegno inizierà alle 14:30. Ci si può iscrivere gratuitamente presso EventBrite.

Questo è il programma dell’evento, che modererò insieme a Daniele Invernizzi, presidente di eV-Now! e vice presidente di Tesla Owners Italia. Le informazioni sono tratte dalla pagina pubblica dell’evento:

Tavola rotonda

Dopo l’introduzione fatta da Pier Carlo Cadoppi (studente e Presidente dell’Associazione EMS), i saluti del Rettore portati dal Prof. Carlo Concari e i saluti istituzionali dall’Amministrazione del Comune di Parma, inizierà la tavola rotonda che si concentrerà sui seguenti temi:

Rete di ricarica pubblica/privata ed Energia
  • Interazione rete elettrica ed auto elettriche | Prof. Carlo Concari, Università di Parma
  • Distribuzione e tariffazione dell’energia, total cost of ownership | Francesco Naso, Technology & Market, MOTUS-E

Veicoli
  • L’arrivo della Model 3 in Italia: prospettive, analisi tecnica del powertrain ed analisi di mercato | Daniele Invernizzi & Paolo Attivissimo
  • Elettrificazione in case automobilistiche e progetto elettrico Unipr Racing Team | Davide Lusignani, CEO eDriveLab (spinoff Unipr)
  • Vehicles to Grid & Vehicles to Home: la visione di Nissan | Paolo Matteucci, Direttore Veicoli Elettrici, Nissan Italia
  • Progetti concreti di diffusione dell’elettrico come ‘Electrify Verona’ e l’importanza dell’investimento delle case automobilistiche nell’infrastruttura di ricarica | Stefano Sordelli, Future Mobility Manager, Volkswagen Group Italia
  • Anche le auto elettriche hanno un’anima | Carlo De Pellegrin, Electric Vehicle Manager, Jaguar Land Rover Italia
  • Le impressioni di un utente elettrico su come la mobilità elettrica è già presente | Andrea Chiaudano, Aboliamo il motore a scoppio e Installiamo Energie Rinnovabili


Materiali & Tecnologie
  • Il nuovo studio europeo che compara le emissioni inquinanti di diverse tecnologie per la mobilità | Veronica Aneris, National Expert Italy, Transport & Environment
  • Litio: le prospettive future e il mercato industriale delle batterie al litio | Matteo Marmai, Business Developer Manager, Kaitek Flash Battery

Tesla sarà presente tramite il suo club ufficiale campione del mondo di Hypermiling Tesla Owners Italia, con il Presidente e Climate Leader Luca Carlo del Bo ed il Vice Presidente Daniele Invernizzi.

Alcuni benefici intrinseci dei veicoli elettrici: silenziosità di marcia, azzeramento delle emissioni locali, manutenzione quasi inesistente, accelerazione massima da fermi senza cambiare marcia o usare la frizione; e ancora la capacità di scambiare energia con la rete, stabilizzandola e facendo guadagnare il proprietario anche quando la macchina è parcheggiata; la caratteristica di essere sempre online, con i benefici che ne conseguono (controllo remoto, uso del climatizzatore per periodi prolungati a macchina "spenta" ecc.); ed infine una maggiore sicurezza, dovuta al minor rischio di incendi, alla mancanza di un blocco motore davanti che entrerebbe nell'abitacolo in caso di impatto frontale, e alla maggior rigidità strutturale dovuta alla posizione della batteria sotto il pianale che comporta anche un centro di massa più basso, che rende più difficile il ribaltamento.

Il titolo “Mobilità Elettrica, il futuro è oggi” sta a indicare che il tempo dei pionieri ormai è passato: da quando le auto elettriche sono in circolazione (le prime auto elettriche funzionali vennero prodotte alla fine dell’ottocento), esse hanno sempre avuto un’autonomia di 100 - massimo 200 - chilometri. È da più di 100 anni che ci sono le auto elettriche. Quello che è cambiato negli ultimi anni è la tecnologia delle batterie, che ha permesso questo salto di qualità verso macchine con almeno 300 km di autonomia reali.

Non siamo più nel 2013 (anno in cui le auto elettriche sono tornate all’attacco, sempre però con un’autonomia limitata). Ora anche le auto elettriche economiche hanno come minimo 300 km di autonomia reali. In più, chi non si può permettere di prendere una elettrica nuova, può sempre rivolgersi al mercato dell’usato che oggi offre delle occasioni ottime, data l’usura minima comparata con automobili tradizionali.


Ci sarà la diretta streaming su questo canale YouTube: www.youtube.com/channel/UC4EfiUlbrplJH0ifoP1LBIg

2018/11/13

Tesla Model 3 arriva in esposizione in Europa, ecco dove vederla

Ultimo aggiornamento: 2018/11/14 2:35.

Tesla ha diffuso oggi una mail che annuncia la possibilità di vedere la Model 3 in vari luoghi d’Europa “a partire dal 14 novembre”, cioè domani.

L’annuncio parla solo di “essere tra i primi a sedersi” a bordo dell’auto se ci si presenta con il proprio numero di prenotazione. Presumo intendano la prenotazione per l’acquisto di una Model 3, come quella che ho fatto ad aprile 2016.

Non si parla di prove di guida, che sono esplicitamente escluse: “Non saranno disponibili test drive con Model 3”. Viene precisato inoltre che “i titolari delle prenotazioni avranno accesso prioritario”, quindi in teoria la prova statica è aperta a tutti, compresi i semplici curiosi.

Maggiori info sono presso Tesla.com e Vaielettrico.it: in Italia è annunciata Milano, mentre in Svizzera sono indicate Zurigo, Losanna e Ginevra. Gli altri stati europei coinvolti nella presentazione sono Germania, Norvegia, Belgio, Francia, Spagna, Svezia, Portogallo e Austria. L’auto è già in vendita e in circolazione da circa un anno negli Stati Uniti e in Canada.

Anche se non è prevista una prova di guida, potrei fare lo stesso un salto a vederla per provarne i volumi interni (sospetto che sia un po’ bassa la seduta posteriore) ed esterni (è più grande di quel che sembra, con 469 cm di lunghezza, 30 in meno della Model S, e 209 cm di larghezza a specchietti aperti, 10 in meno della Model S). Ma non ho fretta.

Per chi vuole sapere la situazione della mia prenotazione, è mostrata qui sotto: Tesla dichiara che le consegne inizieranno a “inizio 2019” e che “dipenderanno dalla data di prenotazione” (io ho prenotato il giorno dopo l’avvio delle prenotazioni) e “dal fatto che questa sia stata effettuata o meno da un dipendente o da un possessore di Tesla” (non sono né dipendente né possessore). Non ho ancora accesso al configuratore.




2018/11/14 2:35


Alcuni membri del Tesla Owners Club Italia si sono imbattuti nelle manovre di scarico e installazione della Model 3 a Milano, intorno a mezzanotte, e hanno improvvisato una diretta video. Queste sono le loro riprese.



Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Visualizzare il tracciamento pubblicitario di Facebook

Ultimo aggiornamento: 2018/11/16 8:05.

Ormai è abbastanza risaputo che Facebook vive e guadagna miliardi di dollari ogni anno grazie al tracciamento pubblicitario degli utenti, e molti utenti ritengono accettabile farsi tracciare in cambio dei servizi offerti.

Ma forse non tutti sanno quanto sia pervasivo questo pedinamento digitale, e pochi sanno che prosegue anche quando si chiude l’app o la finestra di Facebook e si visita un altro sito.

Se avete un account Facebook, provate ad entrarvi e selezionate le Impostazioni (oppure andate al link diretto www.facebook.com/settings). Poi scegliete Inserzioni e Inserzionisti con i quali hai interagito. Troverete una sezione che si chiama Inserzionisti che hanno aggiunto la propria lista dei contatti a Facebook.

Qui otterrete un elenco di marche, molte delle quali vi saranno probabilmente del tutto sconosciute (link veloce per cellulari). Questo è quello del mio account di test, nonostante tutti i miei sforzi di ridurre la mia visibilità a Facecbook:



È normale: dietro questa descrizione apparentemente blanda si nasconde infatti il fatto che fra gli inserzionisti di Facebook ci sono anche quelli che hanno raccolto informazioni su di voi al di fuori del social network e poi le hanno passate a Facebook.

In altre parole, quando per esempio immettete in un sito qualsiasi il vostro indirizzo di mail o il vostro numero di telefono per iscrivervi o per farvi mandare informazioni, quel sito può mandare questi dati a vostra insaputa a Facebook, che li userà per profilarvi meglio e proporvi pubblicità su misura per i vostri gusti. Perlomeno i vostri gusti presunti. E questo può succedere anche semplicemente facendo un acquisto in un negozio oppure accettando un buono sconto digitale. Maggiori informazioni sono qui su Isecurityguru.com.

Facebook giustifica questa situazione dicendo che le vostre informazioni sono state raccolte dall'inserzionista, di solito dopo che avete condiviso il vostro indirizzo di mail con lui oppure – e questo è importante – con “un’altra azienda con cui collabora.” Quindi se avete affidato i vostri dati soltanto all’azienda Rossi, ma l’azienda Bianchi collabora con la Rossi, allora anche la Bianchi, che non conoscete e con la quale non avete rapporti e magari non vorreste neanche averli, può ottenere le vostre informazioni e usarle per bombardarvi di pubblicità dei suoi prodotti.

Questo scambio disinvolto di dati fa sì che a volte i sorveglianti pubblicitari in Facebook siano centinaia o anche migliaia. Non potete farci nulla, a parte cliccare sulle loro icone per nascondere tutte le loro inserzioni. L’unico modo per non farvi più tracciare da Facebook è eliminare l’account di questo social network.

Se non ve la sentite di compiere un passo così drastico, potete perlomeno esercitare un po’ di controllo sulle pubblicità che vi vengono proposte mentre siete in Facebook e anche nel resto di Internet. Potrebbe infatti essere imbarazzante trovarsi per esempio con lo schermo pieno di pubblicità di donne o uomini soli e poco vestiti perché uno degli inserzionisti che vi sorveglia ha deciso erroneamente che state cercando compagnie di questo tipo.

Soluzione: sempre nella sezione Inserzioni troverete la sottosezione Le tue informazioni: disattivate tutte le sue voci, specialmente quella denominata Situazione sentimentale, in modo da dire a Facebook di non usarle per suggerire agli inserzionisti quali pubblicità presentarvi. Eviterete che qualcuno possa equivocare.

2018/11/12

Volete provare con me a violare il sistema di voto elettronico svizzero? È legale

Ultimo aggiornamento: 2018/11/16 7:50.

A quanto pare la Svizzera sta invitando gli informatici a mettere alla prova il sistema di voto elettronico messo a punto dalla Posta svizzera.

La RSI cita la NZZ am Sonntag, che a sua volta fa riferimento a “fonti della Cancelleria federale”, e dice che nel 2019 “i due sistemi di voto elettronico in fase di sviluppo in Svizzera [...] saranno messi alla prova dai pirati informatici di tutto il mondo.” Il sistema della Posta sarà sottoposto a prova di intrusione per quattro settimane la prossima primavera.

Ci sarebbero ben 250 mila franchi (circa 220 mila euro) “per organizzare la prova e offrire un montepremi che sia allettante per un gran numero di esperti informatici [...] Gli interessati a partecipare possono già iscriversi rivolgendosi alla Posta via Internet.”

Se volete cimentarvi insieme a me, o comunque soltanto discutere delle tecnologie e della sicurezza del voto elettronico, i commenti sono a vostra disposizione.

La RSI nota che “non è specificato a quale indirizzo” ci si debba rivolgere e ipotizza che “forse è già una prima prova”. In effetti le istruzioni per iscriversi non sono linkate dalle varie fonti che annunciano la prova e non sembra esserci un link pubblico sul sito della Posta. Le informazioni per esperti sul sistema di e-voting sono invece facilmente reperibili qui e una demo è qui.


2018/11/13 11:50


Come è tipico di tante cose in Svizzera, basta chiedere: un commentatore, Angus, ha scoperto le istruzioni di preiscrizione semplicemente chiedendole via mail alla Posta svizzera. Sono presso https://pit.post.ch/en (solo in inglese).


2018/11/16 7:50


Le istruzioni contengono soltanto un fomulario di preiscrizione e queste informazioni (evidenziazioni aggiunte da me):

Swiss Post is continuing to develop its online voting solutions for Federal votes and elections.
For its next-generation system, Swiss Post is looking into running a public intrusion test in 2019 under the requirements of the Swiss Confederation and the Swiss Cantons.
Would you like to receive further information? You can now pre-register here below.
Pre-registered researchers will obtain additional information and a link to sign up until the end of 2018 if the public intrusion test (PIT) will be carried out.
Contact: pit@swisspost.ch

Notate il “is looking into” e quell’“if”, che indicano che si tratta per ora di una ipotesi ancora in fase di valutazione.

Naturalmente mi sono preiscritto: ho ottenuto questa laconica risposta, che ribadisce che non è ancora detto che il test si faccia davvero (evidenziazioni aggiunte da me):

Thank you for your interest. If the public intrusion test (PIT) will be carried out, you will obtain additional information and a link to sign up until the end of 2018.

Contact: pit@swisspost.ch


Fonti aggiuntive: 20min.ch, Swissinfo.ch, Corriere del Ticino, Ticinonews.ch.

2018/11/10

Puntata del Disinformatico RSI del 2018/11/09

Ultimo aggiornamento: 2018/11/12 23:40.

È disponibile lo streaming audio e video della puntata del 9 novembre del Disinformatico della Radiotelevisione Svizzera.

La versione podcast solo audio (senza canzoni, circa 20 minuti) è scaricabile qui sul sito RSI (link diretto qui) ed è disponibile qui su iTunes (per dispositivi compatibili) e tramite le app RSI (iOS/Android); la versione video (canzoni incluse, circa 60 minuti) è nella sezione La radio da guardare del sito della RSI ed è incorporata qui sotto. Buona visione e buon ascolto!

2018/11/09

Quanto è facile “bucare” un’azienda: prova pratica

Nota: alcuni dettagli di questa vicenda sono stati alterati oppure omessi per proteggere gli interessati ma in modo da non alterare il senso tecnico del racconto. Ultimo aggiornamento: 2018/11/10 01:00.

Un paio di giorni fa mi è capitata un’occasione molto particolare: la possibilità di assistere al lavoro di una persona esperta nell’hacking, che chiamerò Mario (ovviamente non è il suo vero nome). Io ho assistito come giornalista per documentare e raccontare una sessione dimostrativa di questo lavoro, facendo attenzione a non rivelare troppo pur mantenendo il valore educativo degli esempi concreti che ho visto.

Cominciamo dall’inizio. La prima questione è capire che c’è una grandissima differenza fra un attacco mirato a un obiettivo specifico e una pesca a casaccio. Nel primo caso ci vuole molto tempo ed è necessaria una pianificazione attenta. Nel secondo, beh, il mare è pieno di pesci: basta scegliere quello più vulnerabile.

Mario stavolta va appunto a pesca. È una pesca a strascico, che prende chiunque riesca a prendere, quella che coglie in fallo tutti quelli che dicono “Ma io non sono nessuno, ho un’aziendina come tante, chi vuoi che mi prenda di mira?”. Nella pesca a strascico finiscono tutti, grandi e piccoli, aziende e privati, perché è facile. Terribilmente facile.

Infatti trovare informazioni lasciate incautamente online è spesso soltanto una questione di saper usare Google. Niente violazioni di siti: basta un po’ di Google hacking, basato su parametri come il tipo di file e sulla ricerca di parole o coppie di parole potenzialmente interessanti, oppure di nomi di file particolari che vengono generati per esempio da backup o da programmi per l'archiviazione della mail.

Sì, la gente mette online inavvertitamente documenti contenenti password e altri dati personali, backup completi dei propri database e altro ancora. Li mette in directory pubblicamente accessibili di un proprio server perché così è comodo (“tanto se nessuno sa che sono lì, non li troverà nessuno”), come ben sa la BBC. Comodo anche per chi li vuole trovare, visto che vengono indicizzati da Google. So che sembra impossibile: non ci credi finché non lo vedi con i tuoi occhi.

Essendo dati pubblicati online, formalmente non è neanche un’intrusione. Basta scaricare i file e poi analizzarli con calma. Nel caso preso in esame da Mario, si tratta di un classico file di testo nel quale l’utente conserva in chiaro tutte le proprie password; è ancora lì, online, in questo momento, in una sezione di un sito pubblico creato per un cliente. Il file contiene tutte le coordinate di una ditta del sud Italia.

Mario esamina il file: nota che gli utenti elencati tendono a usare sempre la stessa password, la stessa casella di mail e lo stesso nome utente nei vari account, sia mail sia social, sia privati sia di lavoro. Un classico.

L’autenticazione a due fattori (2FA) si rivela un salvagente prezioso: l’esperto trova nel file password e nome utente di un account Paypal: se avesse intenzioni ostili, questo sarebbe il suo primo bersaglio, immediatamente monetizzabile. La password è banale e valida, ma c'è la 2FA che allerta l’utente e blocca l’intrusione. Ottimo. Lo stesso vale per Gmail, Skype e Amazon. Non sarebbe possibile quindi causare danni economici diretti saccheggiando conti o facendo acquisti, ma sapere le password di account del genere sarebbe più che sufficiente per fare attacchi di social engineering come quello recente “so la tua password, ti ho registrato mentre guardavi siti porno”.

Le cose si fanno più interessanti con gli account social. Su quello Twitter non c’è 2FA, ma nel file di password manca il nome dell’account: ci sono solo (si fa per dire) l’indirizzo di mail e la password. Ma per Mario la cosa non pone nessun problema: basta guardare gli schemi usati altrove e diventa facile indovinare il nome dell’account. È quello dell’azienda seguito dal tipo di ragione sociale.

Se Mario entrasse a fondo nell’account, avrebbe accesso a tutti i messaggi pubblici e privati e potrebbe fare qualunque cosa: cancellare l’account, scaricare le foto (anche quelle definite “private”), mandare messaggi fingendo di essere l’azienda e distruggerne la reputazione, cambiare la password dell’account e chiedere denaro per ridarne il controllo al legittimo proprietario, eccetera. Ma si tratta di una dimostrazione, per cui si limita a lasciare su Twitter un messaggio per avvisare che la password è nota e consigliare di cambiarla.

Anche l’account Facebook non è protetto dalla 2FA. Ci sono anche foto di bambini (i figli?) e naturalmente ci sono i nomi degli amici e i luoghi visitati. Anche qui il potenziale di far danni è altissimo, ma Mario non fa nulla.

Ci sono anche i documenti: account di canali TV a pagamento cessati, vecchie bollette telefoniche, carte di credito scadute. Anche così, comunque, sono utili perché forniscono nomi, cognomi, indirizzi, codici fiscali e partite IVA, utilissimi per fare escalation e imbastire un attacco informatico più approfondito. Per esempio, l’azienda usa un sistema di fatturazione online, e uno dei parametri necessari per consultarlo (oltre ai codici, incautissimamente scritti nel file lasciato su Internet) è la partita IVA. Che Mario ha subito a disposizione tramite le fatture. A questo punto sarebbe banale ficcare il naso nella fatturazione dell’azienda e acquisire altri dettagli utili: i nomi dei fornitori, le coordinate bancarie e altro ancora.

Ci sono anche le credenziali di affiliazione a un movimento politico, ma Mario non se ne fa nulla a parte riderci sopra.

La lezione finale, piuttosto sorprendente, di questa storia è che bisogna lasciare una traccia innocua del proprio passaggio perché altrimenti spesso non si verrà creduti quando si avviserà l’utente che le sue password sono a spasso. Così Mario cambia l’immagine nel profilo Telepass (che potrebbe usare per sorvegliare gli spostamenti del titolare) e ci mette un bel gattino. Fine della dimostrazione.



A me restano le questioni etiche: quante violazioni del GDPR avrà accumulato quest’azienda? E se ci fossero di mezzo altre persone (clienti, fornitori), sarebbe opportuno o necessario avvisarle? Una cosa è certa: l’azienda va informata. L’ho fatto subito via mail e via SMS, perché chiunque potrebbe trovare online quei dati (basta una banale ricerca in Google) e fare danni: l’azienda ha risposto stamattina dicendo che si stava recando alla Polizia Postale.

Utente avvisato, mezzo salvato: spero che questo resoconto, anche se pesantemente anonimizzato, possa ispirare chi lo legge a prendere precauzioni più serie e a non pensare di essere troppo poco interessante o appetibile.

Ricordo che per le segnalazioni di dati riservati lasciati incautamente online, in Svizzera ci si può rivolgere all’apposita pagina dell’Ufficio Federale di Polizia e a quella di MELANI (la ), mentre in Italia si può contattare il CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche).


2018/11/10 01:00

I dati sono spariti dall’URL pubblicamente accessibile. Noto ora che in una delle risposte di una delle persone interessate c’è questa chiusura:

Nessun virus nel messaggio.
Controllato da AVG - www.avg.com
Versione: 2016.0.8048 / Database dei virus: 4793/15883 -  Data di rilascio: 14/08/2018
Database dei virus interno non č aggiornato.

Sicurezza, questa sconosciuta.