Durante il fine settimana appena concluso numerosi distributori di sigarette in Italia sono stati violati da intrusi informatici che hanno alterato i prezzi di vendita delle sigarette, portandoli a 10 centesimi, e hanno sostituito le immagini visualizzate sugli schermi di questi distributori con immagini in favore di Alfredo Cospito, un detenuto in sciopero della fame da oltre cinque mesi per protesta contro il regime di carcere duro al quale è sottoposto.

Trovate tutti i dettagli della vicenda su Il Post. Il presidente nazionale di AssoTabaccai ha dichiarato al Corriere che gli risulta che una delle aziende interessate, la Laservideo, “utilizzi un sistema per cui è il server centrale a inviare informazioni ai distributori. Quindi hackerando il server centrale, è stato possibile entrare contemporaneamente in tutti i distributori”.

Non entro nel merito politico della notizia: segnalo soltanto che i distributori di sigarette della Laservideo sono facilissimi da trovare online tramite un comune motore di ricerca per l’Internet delle Cose come Shodan, nel quale è sufficiente immettere la richiesta

http.html:'laservideo' country:IT

per ottenere un elenco degli indirizzi IP e delle porte aperte di questi distributori. Non perdo neanche tempo a mascherare i dati, visto che reperirli è assolutamente banale:

Risulta insomma che questi distributori non sono protetti dietro una VPN, ma sono accessibili direttamente su Internet e con un normale browser tramite la porta 90:

Questo è il contenuto pubblicamente accessibile della pagina di login di uno di questi distributori:

Ovviamente non ho modo di sapere se le password di questi distributori sono robuste e diversificate, come richiederebbe la sicurezza informatica più elementare, ma sulla base di questi fatti sospetto che la tesi dell’hackeraggio del “server centrale” non sia quella più plausibile.

---

2023/03/28 9:20. Dai commenti emerge che i distributori sono reperibili anche semplicemente in Google, una volta che si sa qual è la stringa di testo che li caratterizza: è sufficiente cercare “Inserire Nome Utente e Password forniti da Laservideo”.

Inoltre Laservideo ha dichiarato pubblicamente che “Contrariamente a quanto riportato da molti organi di stampa, l'attacco hacker di sabato 25 marzo non ha riguardato i server centrali Laservideo ma ha colpito puntualmente solo una parte minoritaria dei distributori, agendo direttamente attraverso la connessione delle singole tabaccherie.”

Questo articolo è disponibile anche in versione podcast audio.

Con tempismo perfetto per Halloween arriva un avviso di sicurezza per le lampadine smart di IKEA, che hanno due vulnerabilità (CVE-2022-39064 e CVE-2022-39065) sfruttabili per farle sfarfallare come se fossero infestate o provenissero da una delle case della serie Stranger Things.

Jonathan Knudsen, del Synopsys Cybersecurity Research Center, ha scoperto infatti che le lampadine Tradfri e il loro gateway o dispositivo di controllo possono essere indotte a fare un reset semplicemente mandando loro un segnale radio apposito (tecnicamente, se ci tenete a saperlo, si chiama frame Zigbee malformato).

Una volta resettate, le lampadine restano tutte accese al massimo della luminosità e l’utente non riesce più a comandarle, né con l’app né con il telecomando apposito. Per riprenderne il controllo, l’utente deve riaggiungere manualmente alla propria rete domestica ciascuna lampadina. Ma siccome non esiste un aggiornamento correttivo completo, l’aggressore può ripetere l’attacco tutte le volte che vuole, usando semplicemente un laptop e un radiotrasmettitore che costa una trentina di euro o franchi e può agire anche da un centinaio di metri di distanza.

IKEA è stata avvisata delle falle e ha messo a disposizione un aggiornamento parziale, che conviene sicuramente installare, ma la vulnerabilità in questo caso deriva dalla natura stessa del sistema di trasmissione e di comando utilizzato, chiamato Zigbee, e quindi non è completamente rimediabile.

Un attacco di questo genere non comporta fughe di dati, ma può essere comunque un fastidio notevolissimo. Se avete queste lampadine smart e vedete che sfarfallano o lampeggiano e non rispondono ai comandi, i casi sono due: o avete un vicino informaticamente dispettoso, oppure qualcuno sta cercando di comunicare con voi dal Sottosopra.

Fonte aggiuntiva: The Register.

Questo articolo è disponibile anche in versione podcast audio.

A maggio 2022 ha avuto un forte impatto mediatico la notizia di un furto ingente di trattori in Ucraina, commesso da un gruppo di soldati russi; furto che si era trasformato in una beffa per i ladri. I trattori, infatti, erano stati bloccati e resi inutilizzabili grazie alla loro connessione a Internet. Ne avevo parlato anch’io in una puntata di questo podcast. Torno a parlarne perché c’è un seguito.

Pochi giorni fa un informatico australiano che si fa chiamare Sick Codes è riuscito a prendere il pieno controllo degli apparati elettronici di un trattore della John Deere, la stessa marca di quelli rubati e brickati da remoto in Ucraina. Lo ha fatto durante una presentazione alla conferenza internazionale di sicurezza DEF CON 30, tenutasi a Las Vegas, e da buon informatico ha dimostrato il proprio successo facendo girare sull’elettronica del trattore il gioco classico Doom.

Playing Doom on a John Deere tractor display (jailbroken/rooted) at @defcon pic.twitter.com/ih0QUTGNuS

— Sick.Codes (@sickcodes) August 14, 2022

Ovviamente, per fare le cose per bene, la versione di Doom giocata da Sick Codes non è quella di base, ma è appositamente modificata: si svolge in un campo agricolo e bisogna colpire i mostri senza ferire gli animali da fattoria.

Tutto questo può sembrare un colossale esercizio di frivolezza, ma in realtà il fatto che qualcuno sia riuscito a prendere il controllo dell’elettronica di questi sofisticatissimi macchinari agricoli rivela che sono basati su hardware e software fragili e non aggiornati. Dato che dipendiamo dall’agricoltura di precisione realizzata tramite macchine agricole computerizzate di questo genere, questa non è una buona situazione.

Sick Codes non è nuovo a queste dimostrazioni: ad aprile 2021 aveva fatto vedere che era possibile trasmettere dati senza autorizzazione ai trattori della John Deere, che era stata avvisata e aveva chiuso le falle che consentivano questa intrusione. Ma ora l’informatico è tornato alla carica facendo addirittura un jailbreak locale di questi trattori, ossia uno sblocco che consente all’utente di eseguire qualunque software, e la cosa è importante per gli agricoltori, perché scavalca i blocchi che impediscono loro artificialmente di riparare le proprie macchine agricole e li obbligano a dipendere dai concessionari ufficiali. In altre parole, come sugli smartphone, il jailbreak dei trattori ridà ai proprietari il pieno controllo degli apparati che hanno acquistato e consente loro di ripararli o modificarli.

Il diritto di riparare gli oggetti di cui si è proprietari viene spesso ostacolato da protezioni artificiali di questo tipo, ma negli Stati Uniti, in Unione Europea e nel Regno Unito si sta facendo strada una serie di leggi che proteggono questo diritto, e scoperte come quella di Sick Codes sono preziose per documentare il fatto che le giustificazioni presentate dalle aziende per l’esistenza di questi blocchi software non reggono.

Di solito, infatti, le aziende dicono che impedire la riparazione a persone non autorizzate è necessario per tutelare i sofisticati sistemi software installati. Ma Sick Codes ha dimostrato che questi sistemi sono in realtà tutt’altro: alcuni usano Windows CE, altri usano versioni antiche di Linux, e tutto, persino l’intero firmware, gira come root, ossia con pieni permessi di amministratore, e non c’è alcun controllo sulla provenienza del software che viene eseguito, nessuna firma digitale o checksum. In parole povere, i “sofisticati sistemi” vanno contro tutte le regole di sicurezza informatica.

Grazie anche a iniziative come questa insieme alle nuove normative sul diritto di riparare, John Deere ha annunciato a marzo che renderà disponibile ai proprietari delle sue macchine agricole una porzione più consistente del software di riparazione e consentirà ai clienti e ai riparatori esterni di scaricare e installare gli aggiornamenti software ufficiali, invece di obbligare gli agricoltori a portare i mezzi alle officine autorizzate. Perché se può essere una scocciatura trovarsi con un laptop che decide di scaricare e installare i propri aggiornamenti proprio mentre si sta facendo una presentazione o si sta cercando di concludere un lavoro urgente, potete immaginare quanto sia devastante trovarsi con un trattore che non va solo per un problema software mentre il raccolto ottenuto con tanta fatica si sta rovinando sul campo.

Fonti aggiuntive: Ars Technica, The Register, Fierce Electronics.

Questo articolo è disponibile anche in versione podcast audio.

La gestione elettronica dei veicoli è una gran bella cosa, con tanti vantaggi, ma va fatta bene: se è fatta male, può avere conseguenze catastrofiche e inattese. 

Un esempio in questo senso arriva nientemeno che dalla Cybersecurity and Infrastructure Security Agency del governo statunitense, che si occupa di sicurezza informatica delle infrastrutture ai più alti livelli.

Il CISA ha pubblicato un avviso a proposito della pericolosità di un dispositivo di tracciamento GPS dotato di ricetrasmettitore cellulare, molto usato dalle flotte di veicoli commerciali. Si chiama MV720 e lo fabbrica la MiCODUS. Questo dispositivo ha una serie di difetti informatici che possono permettere a un aggressore addirittura di prendere il controllo del veicolo, per esempio disattivandone l’antifurto e anche interrompendo l’erogazione di carburante oltre a tracciarne la posizione e i percorsi.

Fra questi difetti spicca un classico: una cosiddetta hardcoded password, ossia una password di amministrazione fissa e non modificabile, una sorta di passepartout, che permetterebbe a un aggressore di accedere al server di controllo e mandare comandi ai dispositivi di tracciamento tramite SMS.

Come se non bastasse, un altro difetto consente a un malintenzionato di mandare comandi, tramite SMS, senza aver bisogno di autenticarsi. E poi c’è un’altra falla, che permette di accedere ai dati degli altri utenti perché il server non verifica l’identificativo del dispositivo che viene inviato dall’utente. Il problema, quindi, rischia di riguardare tutti i dispositivi di tracciamento di questa marca.

Un vero disastro di incompetenza, insomma, che apre la porta ad attacchi di vario genere: a parte quelli strategici o politici e ideologici, ci sono quelli del crimine informatico organizzato. Con falle di questo livello, un’organizzazione criminale potrebbe per esempio ricattare un’azienda di trasporti, minacciando di fermare tutta la sua flotta di veicoli se non viene pagato un riscatto, oppure potrebbe acquisire i dati delle spedizioni e compiere furti mirati.

La scoperta di queste vulnerabilità è stata fatta dai ricercatori della società di sicurezza informatica statunitense Bitsight ed è stata descritta in un rapporto pubblico molto dettagliato dopo aver tentato inutilmente di avvisare la casa produttrice del dispositivo, la cinese MiCODUS, e dopo aver comunicato privatamente il problema alle autorità governative statunitensi per la sicurezza informatica.

Circa un milione e mezzo di utenti privati e di aziende che usano questi dispositivi in quasi 170 paesi, comprese forze militari, agenzie governative e corrieri, a questo punto hanno una sola strada per eliminare il rischio: assicurarsi che questi tracciatori non siano accessibili da Internet e usare accessi remoti sicuri, protetti per esempio da VPN. O, meglio ancora, rimuovere completamente questi dispositivi e sostituirli con alternative meno vulnerabili. 

Il problema è ovviamente capire quali lo sono e quali no, ma grazie ai ricercatori almeno adesso sappiamo che questo, perlomeno, è da evitare.

Questo articolo è disponibile anche in versione podcast audio.

Man mano che l’elettronica si diffonde nelle automobili aumenta la quantità di dati digitali che questa elettronica raccoglie, e capita sempre più spesso che questi dati vengano anche trasmessi in tempo reale alle case costruttrici. È la cosiddetta telemetria, resa popolare dalle corse automobilistiche, le cui dirette televisive vengono arricchite dalla condivisione con gli spettatori della velocità, dell’accelerazione e di vari altri dati che arrivano via radio dalle singole vetture.

Di recente ho avuto la possibilità di esaminare da vicino quali dati vengono raccolti da uno di questi sistemi di telemetria installati su auto da strada, ed è stata un’esperienza illuminante: il livello di dettaglio è impressionante, e le implicazioni in termini di privacy personale e di analisi degli incidenti meritano decisamente di essere valutate con molta attenzione.

I dati di telemetria che ho esaminato si riferiscono a Tesla, che è una delle marche che maggiormente punta sulla connettività e sul software per le proprie automobili, ma anche altre case produttrici adottano soluzioni analoghe. Sono dati che risiedono in una memoria locale, a bordo del veicolo, e vengono trasmessi sostanzialmente in tempo reale alla casa costruttrice, che li custodisce, conserva e analizza. Ogni proprietario di un’auto di questa marca può richiederli accedendo alla pagina apposita del sito di Tesla con le proprie credenziali e seguendo le apposite istruzioni. Esiste anche un’opzione di richiesta dei dati dell’Event Data Recorder, un registratore di bordo paragonabile alla “scatola nera” usata in aviazione, che è accessibile all’utente tramite cavi appositi e un software gratuito per Windows, fornito dalla casa automobilistica.

Il file che si ottiene è in formato CSV standard e può essere letto da qualsiasi applicazione compatibile, come Excel, Numbers o LibreOffice. È enorme e dettagliatissimo: un solo giorno di telemetria può contenere decine di migliaia di righe e occupare vari megabyte.

Ogni riga include un’indicazione della data e dell’ora precisa di ciascun evento registrato. E gli eventi sono davvero tanti: vengono memorizzati oltre 240 parametri distinti, che permettono di ricostruire la dinamica di un incidente in estremo dettaglio. Istante per istante, la telemetria annota diligentemente dati ovvi, come la velocità, la direzione di marcia o l’azionamento del freno o dell’acceleratore, e dati meno intuitivi, come il rilevamento della presenza delle mani sul volante, l’accelerazione laterale e longitudinale, la velocità di rotazione del veicolo intorno all’asse verticale (in pratica la direzione nella quale sta curvando), la posizione del volante, l’attivazione dell’ABS, le impostazioni delle funzioni di guida assistita e persino le regolazioni dell’aria condizionata, dello sbrinatore e delle luci interne.

Ma ci sono anche dati che riguardano la sfera personale: per esempio, vengono registrate la presenza o assenza di persone sui vari sedili, l’apertura e chiusura delle portiere, la regolazione dei sedili e la chiusura delle cinture di sicurezza. Sorprendentemente, nel campione che ho potuto esaminare mancano le coordinate GPS.

Comunque sia, con una varietà di dati del genere è possibile ricostruire gli eventi con grande precisione, istante per istante, documentando quante persone erano a bordo, a che velocità effettiva stava viaggiando il veicolo in un dato momento, quando e con che forza è stato premuto il pedale del freno, e così via, ma è anche possibile ricostruire i comportamenti privati delle persone, attraverso l’analisi dell’apertura delle portiere o della presenza di persone sui vari sedili.

Non c’è scampo, insomma, per chi dice per esempio che non stava correndo troppo o che era solo in auto quando in realtà superava i limiti di velocità in complice compagnia. Ma allo stesso tempo c’è un supporto prezioso e oggettivo per documentare come sono andate realmente le cose in caso di incidente, come in un caso recente avvenuto in Italia proprio con una Tesla, o per qualunque altra controversia.

Per esempio, la storia delle automobili di quasi tutte le marche è ricca di casi di accelerazione improvvisa e incontrollata dovuti a fattori tecnici in alcuni casi e a fattori umani in altri: avere un registratore di bordo permette di chiarire una volta per tutte le responsabilità delle parti.

Questo è l’elenco completo (refusi compresi) dei parametri in un file di telemetria di Tesla: ho evidenziato alcuni dei più significativi.

1. VIN

2. DATE (UTC)

3. Charge Handle Communication Signal

4. Charge Cable Connected

5. Charge Cable Secured

6. Charge Port Door Button Pressed

7. Auto Lane Change State

8. Autosteer Driver Hands On Detection

9. Autosteer State (Unavailable is recorded when Autosteer is not available, SNA is recorded when system state is not available)

10. Accelerator Pedal Position (%)

11. Brake Pedal Application

12. Cruise Control Set Speed (mph / kph)

13. Cruise Control State

14. Gear Selection

15. Vehicle Speed (kph) (Positive is forward direction)

16. UI Setting - Steering Sensitivity

17. Primary Steering Angle Sensor (degrees) (Positive indicates right turn)

18. Primary Steering Torque Sensor (Nm) (Positive indicates right turn)

19. ABS Brake Event

20. Brake Master Cylinder Pressure (bar)

21. Brake Pedal Manual Application

22. Passenger Seat Occupant Classification

23. Accelerator Pedal Position Maximum - Sensor A (%) (max since previous sample)

24. Frontal Collision Detected

25. Left-side Collision Detected

26. Rear Collision Detected

27. Right-side Collision Detected

28. Rollover Detected

29. Deployment Type

30. Crash Algorithm Wake-Up

31. Lateral Acceleration (m/s^2)

32. Longitudinal Acceleration (m/s^2)

33. Near Deploy Front Collision Detected

34. Near Deploy Left-side Collision Detected

35. Near Deploy Rear Collision Detected

36. Near Deploy Right-side Collision Detected

37. Near Deploy Rollover Detected

38. Driver Seat Track Position Status

39. Passenger Seat Track Position Status

40. Vehicle Yaw Rate (Positive indicates left turn)

41. Gear Selector Stalk Status

42. UI Setting - PIN to Drive

43. PIN Tto Drive accepted

44. Requested Charge Current (Amps)

45. UI Setting - Automatic Emergency Braking

46. UI Setting - Automatic High Beam

47. UI Setting - Vehicle Alarm

48. UI Setting - Automatic High/Low Beams Enabled

49. UI Setting - Automatic Lane Change

50. Request Automatic Parking

51. UI Request - Enable Charging

52. UI Setting - Door Child Locking

53. UI Request - close Charge Port Door

54. UI Setting - Navigate on Autopilot

55. UI Request - Factory Reset

56. UI Setting - Forward Collision Warning

57. UI Setting - Forward Collision Warning Sensitivity

58. UI Request - Follow Navigate on Autopilot Route

59. UI Request - Front Trunk Open

60. UI Setting - Disable Air Conditioning

61. Air Conditioning - Air Distribution Mode

62. Air Conditioning - Cabin Blower Setting

63. Air Conditioning - Cabin Defog Mode

64. Air Conditioning - Cabin Air Recirculation Mode

65. Air Conditioning - Rear Cabin Blower Setting

66. Seating - Left Front Temperature

67. Seating - Right Front Temperature

68. Air Conditioning - State

69. UI Setting - Autosteer

70. UI Setting - Lane Departure Warning

71. UI Setting - Headlamps

72. UI Request - Vehicle Lock/Unlock

73. UI Setting - Mirror Fold

74. Navigation Route Active

75. Navigating to Supercharger

76. Odometer (Kilometers)

77. UI Request - Open Charger Port Door

78. UI Request - Park Brake

79. UI Setting - Acceleration Mode

80. Mobile App - Remote Closure Request

81. Mobile App - Remote Start Request

82. UI Setting - Headlamps After Exit

83. Auto Summon Status

84. UI Setting - Steering Mode

85. UI Setting - Stopping Mode

86. Summon State

87. UI Request - Track Mode

88. UI Request - Trunk Open/Close

89. UI Setting - Lane Change Mode

90. UI Setting - Unlock On Park

91. Air Conditioning - Left Side, Split/Focus

92. Air Conditioning - Left Side, Split Percentage

93. Air Conditioning - Left Side, Vertical Position

94. Air Conditioning - Left Side, Horizontal Position

95. Air Conditioning - Right Side, Split/Focus

96. Air Conditioning - Right Side, Split Percentage

97. Air Conditioning - Right Side, Vertical Position

98. Air Conditioning - Right Side, Horizontal Position

99. UI Setting - Walk Away Door Locking

100. UI Setting - Winch Mode

101. UI Request - Wiper Mode

102. Wiper Speed

103. Daytime Running Light Status - Left

104. Daytime Running Light Status - Right

105. Seat Occupancy Status - Left Side, Front

106. Front Trunk Access Post Usage

107. Front Trunk Release - Interior Switch

108. Front Passenger Present

109. Cabin Preconditioning Status

110. Overhead Map Light - Front Left Switch

111. Overhead Map Light - Front Right Switch

112. Overhead Map Light - Rear Left Switch

113. Overhead Map Light - Rear Right Switch

114. Left Brake Light

115. Left Rear Window Auto-Down Switch

116. Left Rear Window Auto-Up Switch

117. Left Rear Window Down Switch

118. Left Front Window Auto-Down Switch

119. Left Rear Window Auto-Down Switch

120. Right Front Window Auto-Down Switch

121. Right Rear Window Auto-Down Switch

122. Left Front Window Auto-Up Switch

123. Left Rear Window Auto-Up Switch

124. Right Front Window Auto-Up Switch

125. Right Rear Window Auto-Up Switch

126. Left Front Window Down Switch

127. Left Rear Window Down Switch

128. Right Front Window Down Switch

129. Right Rear Window Down Switch

130. Left Front Window Up Switch

131. Left Rear Window Up Switch

132. Right Front Window Up Switch

133. Right Rear Window Up Switch

134. Left Rear Window Up Switch

135. Steering Column Profile Recall

136. Front Left Seatbelt Buckle Status

137. Door External Release - Left side, Front

138. Front Left Seat - Backrest Position

139. Switch Request - Front Left Seat Backrest Back

140. Switch Request - Front Left Seat Backrest Forward

141. Switch Request - Front Left Seat Lift Down

142. Front Left Seat - Lift Position

143. Switch Request - Front Left Seat Switch Lift Up

144. Switch Request - Front Left Seat Switch Lumbar Down

145. Switch Request - Front Left Seat Switch Lumbar In

146. Switch Request - Front Left Seat Switch Lumbar Out

147. Switch Request - Front Left Seat Switch Lumbar Up

148. Switch Request - Front Left Seat Switch Tilt Down

149. Front Left Seat - Tilt Position

150. Switch Request - Front Left Seat Switch Tilt Up

151. Switch Request - Front Left Seat Track Back

152. Switch Request - Front Left Seat Track Forward

153. Front Left Seat - Track Position

154. Hazard Warning Switch Status

155. Horn Switch Status

156. Seat Occupancy Status - Rear, Centre

157. Rear Air Conditioning Control Switch Status

158. Door External Release - Left side, Rear

159. Door Internal Release - Left side, Rear

160. Seatbelt Buckle Status - Left Side, Rear

161. Seat Occupancy Status - Left Side, Rear

162. Seat Occupancy Status - Right Side, Rear

163. Seat Profile Recall - Left Side, Front

164. Left Steering Wheel Switch - Pressed

165. Left Steering Wheel Switch - Scroll

166. Left Steering Wheel Switch - Tilt Left

167. Left Steering Wheel Switch - Tilt Right

168. Right Steering Wheel Switch - Pressed

169. Right Steering Wheel Switch - Scroll

170. Right Steering Wheel Switch - Tilt Left

171. Right Steering Wheel Switch - Tilt Right

172. Right Brake Light

173. Right Front Window, Auto-Down Switch

174. Right Rear Window, Auto-Down Switch

175. Right Front Window, Auto-Up Switch

176. Right Rear Window, Auto-Up Switch

177. Right Front Window, Down Switch

178. Right Rear Window, Down Switch

179. Left Front Window, Auto-Down Switch

180. Left Rear Window, Auto-Down Switch

181. Right Rear Window, Auto-Down Switch

182. Left Front Window, Auto-Up Switch

183. Left Rear Window, Auto-Up Switch

184. Right Rear Window, Auto-Up Switch

185. Left Front Window, Down Switch

186. Left Rear Window, Down Switch

187. Right Rear Window, Down Switch

188. Left Front Window, Up Switch

189. Left Rear Window, Up Switch

190. Right Rear Window, Up Switch

191. Right Front Window, Up Switch

192. Right Rear Window, Up Switch

193. Seatbelt Buckle Status - Right Side, Front

194. Door External Release - Right Side, Front

195. Door Internal Release - Right Side, Front

196. Front Right Seat - Backrest Position

197. Switch Request - Front Right Seat Backrest Back

198. Switch Request - Front Right Seat Backrest Forward

199. Switch Request - Front Right Seat Lift Down

200. Front Right Seat - Lift Position

201. Switch Request - Front Right Seat Switch Lift Up

202. Switch Request - Front Right Seat Switch Lumbar Down

203. Switch Request - Front Right Seat Switch Lumbar In

204. Switch Request - Front Right Seat Switch Lumbar Out

205. Switch Request - Front Right Seat Switch Lumbar Up

206. Switch Request - Front Right Seat Switch Tilt Down

207. Front Right Seat - Tilt Position

208. Switch Request - Front Right Seat Switch Tilt Up

209. Switch Request - Front Right Seat Track Back

210. Switch Request - Front Right Seat Track Forward

211. Front Right Seat - Track Position

212. Seatbelt Buckle Status - Centre, Rear

213. Door External Release - Right Side, Rear

214. Door Internal Release - Right Side, Rear

215. Seatbelt Buckle Status - Right, Rear

216. Seat Profile Recall - Front Right

217. Bluetooth Device 0 Status

218. Bluetooth Device 1 Status

219. Bluetooth Device 2 Status

220. Bluetooth Device 3 Status

221. Multiple NFC Cards Detected at Left Pillar

222. Multiple NFC Cards Detected at Right Pillar

223. ID of NFC card at Left Reader

224. ID of NFC card at Right Reader

225. Multiple NFC Cards Detected at Centre Console

226. ID of NFC card at Centre Console Reader

227. Lock/Unlock Authentication from Pillar Reader

228. Drive Authentication from Centre Console Reader

229. Identity of the Active Key Device

230. Vehicle Alarm Status

231. Vehicle Authentication Status

232. Charge Port Door Lock Status

233. Charge Port Door Request

234. Lock Request Type

235. Summon Request Status

236. Trunk Movement Status

237. Mobile App Request - Left Front Window

238. Mobile App Request - Left Rear Window

239. Mobile App Request - Right Front Window

240. Mobile App Request - Right Rear Window

241. Mobile App Window Request Type

Di tutte le cose che possono essere prese di mira da un attacco informatico, la vasca da bagno con idromassaggio sembrerebbe essere proprio l’ultima, ma è quello che è successo di recente. Un ricercatore californiano di sicurezza informatica, Eaton Zveare, ha trovato il modo di accedere via Internet ai dati personali degli utenti delle vasche “smart” commercializzate da Jacuzzi e da altre marche molto note del settore e prenderne il controllo.

Pochi giorni fa il ricercatore ha raccontato la bizzarra vicenda nel suo sito: ha ordinato per sé una di queste vasche aggiungendo l’opzione, denominata SmartTub, che aggiunge alla vasca un modulo ricetrasmettitore che usa la rete cellulare per mandare informazioni a un’app che permette di comandare a distanza la vasca, accendendo le luci, regolando i getti e la temperatura dell’acqua, e così via. Lo so, può sembrare una funzione extralusso, ma sono oltre 10.000 le persone che hanno scaricato l’app da Google Play e quindi, si presume, la usano.

Durante la configurazione dell’app, il ricercatore ha visto comparire sul suo schermo per un attimo una tabella piena di dati. L’ha catturata usando uno screen recorder per registrare quell’immagine fugace e ha scoperto che si trattava di un pannello di controllo per amministratori, strapieno di dati di utenti di vasche con idromassaggio di varie marche.

 

Da bravo informatico, ha approfondito l’indagine e ha scoperto che il pannello di controllo era accessibile a chiunque senza immettere credenziali e consentiva di vedere e modificare i dettagli dei proprietari delle vasche, con nomi, cognomi e indirizzi di mail, e anche di disabilitare completamente gli account.

In maniera molto responsabile, Eaton Zveare ha contattato il supporto tecnico dell’app di Jacuzzi per avvisare l’azienda del problema. Ha ricevuto risposta e ha fornito tutti i dettagli tecnici, ma poi non ha sentito più nulla per mesi, mentre la falla rimaneva aperta. Ha dovuto tentare vari altri indirizzi di contatto e infine rivolgersi alla società di sicurezza informatica Auth0, che gestisce il sistema di accesso alle vasche da bagno “smart”, prima di ottenere risposta. Un copione che chiunque lavori nella sicurezza informatica ha già vissuto tante volte.

Ma alla fine, dopo sei mesi, la falla è stata chiusa, senza neppure un cenno di riconoscimento o ringraziamento da parte della casa produttrice di vasche, alla quale il ricercatore ha risolto gratuitamente un guaio che avrebbe potuto avere conseguenze legali molto onerose. Anche questo silenzio fa parte del copione.

C’è di più. Secondo le leggi della California, dove ha sede la Jacuzzi, questa fuga di dati dei clienti dovrebbe essere annunciata ai clienti stessi e segnalata alle autorità, ma finora non risulta che ci sia stato alcun annuncio o segnalazione. Se questo è il modo in cui si gestiscono i dati degli utenti e i comandi remoti dei loro elettrodomestici, forse conviene cercare elettrodomestici che non siano così tanto “smart”.

Formalmente si chiamano Ray-Ban Stories, ma sono gli occhiali “smart” di Facebook. Sono stati presentati oggi (9 settembre) e ne parlano un po’ tutti, per cui la faccio breve: non sono occhiali a realtà aumentata. Non mostrano immagini sulle lenti.

Sono semplicemente degli occhiali che hanno due fotocamere, altoparlanti, tre microfoni, una memoria da alcuni GB e una batteria che dura circa sei ore e si collegano senza fili allo smartphone. Fanno foto e video (massimo 30 secondi) e possono riprodurre musica o l’audio di una telefonata. Costano da 330 euro in su a seconda delle lenti (anche correttive) che vengono montate.

Tecnologicamente sono un capolavoro di miniaturizzazione, visto che hanno l’aspetto di normali occhiali con frontale e astine leggermente spesse (sono molto più eleganti e discreti dei primi Spectacles di SnapChat di cinque anni fa), ma la domanda che viene spontanea a molti è se il loro aspetto così normale non li renda un nuovo modo per fare i ficcanaso.

In fin dei conti, se oggi una persona vuole fotografare qualcuno deve prendere in mano il telefonino (o la fotocamera, per chi ancora la usa) e puntarla verso il soggetto, con un gesto abbastanza vistoso. Se la fotocamera è integrata negli occhiali, fare una foto o un video di nascosto diventa molto più facile.

Facebook dice di aver pensato a questo problema limitando la durata dei video e obbligando gli utenti a fare un gesto piuttosto visibile anche per azionare gli occhiali: per scattare una foto o registrare un video bisogna infatti toccare una delle astine o dare un comando vocale (al momento soltanto in inglese; sarà divertente sentire gli strafalcioni e i tentativi falliti). Inoltre sul frontale ci sono due piccoli LED bianchi che si accendono durante le riprese. Infine le foto e i video non vengono pubblicati direttamente su Facebook: restano sul dispositivo e spetta all’utente decidere se pubblicarli o no.

Tuttavia questi LED sono poco visibili e facilissimi da coprire, e lo stesso vale per le due telecamerine, per cui è facile non accorgersi che qualcuno vicino a noi ha due fotocamere sulla faccia. Buzzfeed nota che secondo Facebook coprire i LED è una violazione delle condizioni d’uso (sì, viviamo in un’epoca in cui gli occhiali hanno un regolamento di utilizzo). Questo sicuramente impedirà a chiunque di coprire le due lucette. 

È presto per dire se avranno successo come gadget realmente utile o se verranno bocciati come accessori per molestatori: notate che Facebook, che già ha i suoi problemi con la privacy e le molestie, ha preso le distanze dal prodotto già nel nome. In effetti ci sono delle situazioni nelle quali può essere utile poter rispondere a una telefonata o scattare una foto immediatamente senza frugare nella borsa per trovare il telefonino e senza perdere l’attimo fuggente.

Resta anche la questione della legalità di portare occhiali con telecamera e microfono in ambienti privati, per esempio a scuola o in altri luoghi nei quali normalmente c’è il divieto di portare dispositivi di ripresa, e della difficoltà dei controlli per evitare violazioni e abusi.

Staremo a vedere, e soprattutto impareremo a guardare chi ci sta vicino non solo negli occhi, ma anche negli occhiali. 

Fonti aggiuntive: Punto Informatico, BBC, ANSA, The Verge, PCMag, Facebook.

La polizia del Kent, nel Regno Unito, segnala un caso piuttosto bizzarro di infrazione del limite stradale di velocità. Pochi giorni fa ha rilevato sull’autostrada A2, vicino a Gravesend, un automobilista che viaggiava ben oltre il limite di velocità: andava a circa 200 km/h in un tratto in cui il limite consentito è poco sotto i 100 (per la precisione è 60 miglia, ossia 96 km/h). 

Purtroppo in questo periodo di lockdown, con le strade semideserte, alcuni automobilisti pensano di poter approfittare della situazione per provare i propri bolidi ignorando sicurezza e limiti di legge.

Un agente ha fermato il conducente e gli ha contestato il superamento dei limiti a livelli tali da comportare la possibile revoca della patente. L’automobilista non ha potuto opporsi al rilevamento di polizia, anche perché sul suo telefonino è comparsa una notifica della sua app di fitness, che si congratulava con lui per il suo nuovo record di velocità nella corsa: 200 km/h. E l’agente l’ha notato.

As I was dealing with this driver at the roadside for his excess speed on the A2, a notification popped up on his phone congratulating him on his new highest speed. You guessed it - 120mph! 🙄#WhenFitnessTrackersBackfire #SCRPU ^JR pic.twitter.com/BlChzGIjdm

— Kent Police Specials (UK) (@KentSpecials) March 31, 2021

Il tweet della polizia mostra il rilevamento ufficiale, non quello dell’app di fitness.

Casi come questo ci ricordano che spesso non ci rendiamo conto di quanti dati vengono acquisiti dai dispositivi che indossiamo e portiamo con noi e che quei dati permettono di ricostruire moltissimi dettagli della nostra vita. Compresi quelli imbarazzanti o criminali come questo.

Fonte aggiuntiva: KentOnline.

C’è parecchio clamore intorno alla notizia che aggressori informatici ignoti sono entrati via Internet nei sistemi di controllo di un impianto di trattamento delle acque a Oldsmar, in Florida, e ne hanno alterato i valori delle sostanze chimiche immesse per la depurazione, con conseguente rischio di avvelenamento della popolazione servita dall’impianto (circa 15.000 residenti).

Il Tampa Bay Times riferisce che uno degli addetti all’impianto stava monitorando i sistemi quando ha visto che il cursore del mouse si stava muovendo da solo e che qualcuno lo stava usando per cambiare la quantità di idrossido di sodio (soda caustica) da 100 parti per milione a 11.100 parti per milione. L’operatore ha subito ripristinato il valore originale. La vicenda viene ora investigata dall’FBI oltre che dalle autorità locali.

A prima vista sembrerebbe un attacco molto sofisticato, opera di terroristi o altri grandi malfattori. Ma leggendo il resoconto ufficiale delle autorità emerge un quadro ben diverso: gli intrusi sono entrati facilmente perché la gestione remota dell’impianto usava un semplice TeamViewer che permetteva di accedere a tutti i computer usando la stessa password di accesso remoto, e i computer erano collegati direttamente a Internet senza alcuna protezione (firewall o simili). Inoltre tutti i computer erano connessi al sistema SCADA di gestione dell’impianto e usavano ancora Windows 7.

Come se non bastasse, l’impianto aveva smesso di usare TeamViewer sei mesi fa, ma l’aveva lasciato installato.

Insomma, un disastro annunciato. Probabilmente si tratta di un ex dipendente oppure di qualcuno che pigramente ha usato i motori di ricerca che trovano gli impianti lasciati aperti online, come Shodan, e fra i tanti honeypot (trappole) ha trovato quel bersaglio assurdamente facile.

Se avete impianti di qualunque tipo comandabili da remoto, pensate alla sicurezza; aggiornateli, usate password robuste e differenti, e non lasciate tutto spalancato sperando che nessuno vi trovi. Esistono motori di ricerca appositi: vi troveranno. Non fate come quell’impianto idrico italiano che è rimasto aperto e visibile per mesi nonostante le mie segnalazioni.

Fonti aggiuntive: The Verge, AP.

Lunedì 14 dicembre, intorno alle 13, quasi tutti i servizi di Google sono andati in tilt per circa 50 minuti. È bastata un’ora scarsa di disservizio per creare un’ondata di panico planetario, dovuto al fatto che milioni di utenti non riuscivano più a mandare mail, scrivere o consultare i propri documenti custoditi online nel cloud, sfogliare l’agenda di Calendar, guardare video su YouTube, gestire i propri assistenti vocali, consultare mappe e fare lezioni a distanza con Meet.

I servizi sono tornati alla normalità dopo appunto una cinquantina di minuti, secondo il resoconto pubblicato da Google, che spiega che avevano smesso di funzionare tutti i suoi servizi che richiedevano un’autenticazione tramite account. In effetti il motore di ricerca ha continuato a funzionare, e YouTube era consultabile tramite navigazione in incognito, ma qualunque servizio che richiedesse login e password di Google era inaccessibile.

Nelle ore successive ci sono stati problemi con Gmail, per cui molti account di posta risultavano inaccessibili e chi cercava di mandare mail a quegli account riceveva una risposta automatica del tipo “questo account non esiste” (un bel “550-5.1.1 The email account that you tried to reach does not exist.") 

La causa scatenante, dice sempre Google, è stata “un problema con il nostro sistema automatizzato di gestione delle quote che ha ridotto la capacità del sistema centrale di gestione delle identità”.

Non è il primo blackout del genere: Downdetector ne ha catalogati parecchi quest’anno, anche se non così vasti, e Wikipedia nota che un’altra sospensione dei servizi primari di Google è avvenuta ad agosto 2020 e che anche l’11 novembre scorso si è verificato un blocco simile.

Ci sono un paio di lezioni da portare a casa a proposito di questo incidente.

La prima è sicuramente che siamo enormemente dipendenti da Google e che è meglio preparare un piano d’emergenza che consenta di continuare a operare almeno in forma ridotta se Google va in tilt. Il vostro impianto luci o di riscaldamento domotico è comandabile anche senza passare per Google? Dipendete dal vostro assistente vocale Google Home per qualche funzione importante (penso ai disabili o a chi ha mobilità ridotta per infortunio o malattia, per esempio)? La vostra azienda o scuola è paralizzata se i servizi di Google non funzionano? Procuratevi un Piano B.

I’m sitting here in the dark in my toddler’s room because the light is controlled by @Google Home. Rethinking... a lot right now.

— Joe Brown (@joemfbrown) December 14, 2020

It’s when google is down and you can’t heat your home that you realise how scarily reliant you are on google

👀 pic.twitter.com/9lsk0c6kRN

— Alex Dunsdon (@alexdunsdon) December 14, 2020

Senza arrivare a questi livelli estremi, vale la pena di cogliere l’occasione per chiedersi se è davvero una buona idea usare la login di Google per accedere a servizi di altri fornitori. Certo, è comodo, ma se Google si blocca diventa impossibile accedere non solo ai servizi di Google ma anche a tutti quelli di altri fornitori che dipendono dalla login di Google. Meglio avere account separati per ogni fornitore.

La seconda lezione è che conviene sapere dove reperire informazioni su questi blackout, in modo da capire rapidamente se il problema è nostro o esterno e agire di conseguenza (anche soltanto per mettersi il cuore in pace). Ho già citato Downdetector, disponibile anche su Twitter e Facebook e con sezioni separate per i singoli paesi, come Allestörungen.ch per la Svizzera o Downdetector.it per l’Italia), tenete presente la Dashboard dello stato di Google Workspace, presso

http://www.google.it/appsstatus#hl=it&v=status

La terza lezione è, come spiega bene Stefano Zanero, che fare congetture o ipotizzare attacchi informatici o complotti è una perdita di tempo:

Lo scrivo a beneficio di giornalisti e commentatori italiani: chi in Google conosce i motivi del disservizio, ovviamente non ne può parlare. Chi ne parla, non ne sa una mazza (e considerando la complessità della tecnologia in qualsiasi GAFAM, non può nemmeno tirare a indovinare).

— Stefano Zanero (@raistolo) December 14, 2020

 

Fonti aggiuntive: Gizmodo, BBC, ANSA, The Register.

Moltissime stampanti di una marca molto famosa sono connesse direttamente a Internet senza nemmeno una password che le protegga. In altre parole, sono attaccabili da chiunque, per esempio per cambiarne le impostazioni, bloccarle con una password e chiedere un riscatto, o addirittura per leggere i documenti riservati che sono rimasti nella memoria della stampante.

Già il fatto di collegare direttamente a Internet una stampante di rete è un atto di incoscienza notevole. Collegarla senza password (o con la password predefinita, disponibile nel manuale della stampante) rasenta la follia. Ma lo stato di allucinazione si raggiunge quando ci si accorge che trovare queste stampanti è facilissimo: basta usare Google.

È infatti sufficiente digitare in Google il numero di telefono dell’assistenza clienti di questa marca (che non nomino per ovvie ragioni) per ottenere dal motore di ricerca un elenco di risultati che contiene i link diretti per accedere a queste stampanti.

Non è neanche necessario collegarsi alla stampante per vederne le impostazioni: farlo potrebbe essere considerato violazione di domicilio informatico. Infatti è sufficiente usare la cache di Google, dove le impostazioni delle stampanti sono salvate pubblicamente. Lì mi sono fermato, senza tentare login che, stando alla segnalazione che mi è arrivata, sono fin troppo facili da fare. Il guaio è che non c’è modo di contattare i proprietari di queste stampanti, che resteranno quindi vulnerabili. Se avete suggerimenti su come fare, scrivetemeli nei commenti.

I link reperibili in Google includono l’indirizzo IP di ciascuna stampante, dal quale è facile risalire alla collocazione geografica approssimativa. C’è per esempio una stampante completamente aperta situata (secondo Iplocation.net) in Campania, che ha una particolarità: è già stata visitata da qualcuno, che ha lasciato un avviso eloquente che a quanto pare non ha letto nessuno.

“METTETE UNA PASSWORD ALLA STAMPANTE”.

Credit: @robisanni.

Se mercoledì sera o giovedì mattina avete avuto problemi con il vostro aspirapolvere “smart” che non rispondeva più ai comandi, il campanello o apriporta “smart” non funzionava più o non riuscivate a giocare a Fortnite, non vi preoccupate: non è la Rivolta delle Macchine. 

Però un pochino dovreste preoccuparvi, perché vuol dire che il vostro dispositivo dipende totalmente da Internet per funzionare, e se Internet non va per qualunque ragione avete un dispositivo inutile. 

Se ne sono accorti gli utenti di alcuni prodotti di Autodesk e se ne sono accorte le redazioni di alcuni giornali statunitensi come il Washington Post, il Wall Street Journal e il Chicago Tribune, che hanno avuto serie difficoltà operative. Anche parte del sistema di trasporto ferroviario di New York è andata in crisi.

Il motivo della crisi era bello grosso: la regione US-East-1 degli Amazon Web Services era in tilt. Molti utenti non lo sanno e immaginano Amazon come un negozio online, ma in realtà Amazon gestisce anche una fetta molto sostanziosa del traffico di Internet e questa gestione produce il 57% dei suoi guadagni complessivi. Quando i suoi Web Services fanno le bizze, cade tutto come un castello di carte.

We are aware of a service interruption impacting Ring. We apologize for the inconvenience and appreciate your patience and understanding. Please check for updates here: https://t.co/eIn9C666kV.

— Ring (@ring) November 25, 2020

An Amazon AWS outage is currently impacting our iRobot Home App. Please know that our team is aware and monitoring the situation and hope to get the App back online soon. Thank you for your understanding and patience.

— iRobot (@iRobot) November 25, 2020

Alcuni utenti, insomma, si sono trovati nella situazione piuttosto assurda di non poter passare l’aspirapolvere o rispondere alla porta di casa per via di un guasto a Internet dall’altra parte del mondo. 

C’è un po’ di roba in crisi pic.twitter.com/b1v220pP5A

— PierGiggi (@pierchiodo) November 25, 2020

La situazione è stata riportata alla normalità alcune ore dopo, ma episodi come questo sottolineano l’importanza di scegliere dispositivi che possano funzionare anche senza una connessione a Internet. Non ha senso che per accendere le luci di casa a Zurigo si debba mandare un comando in California.

Se volete monitorare questi servizi e sapere se un improvviso malfunzionamento del vostro dispositivo “smart” è colpa del dispositivo o di un guasto ai suoi servizi online, provate Downdetector.com; lo stato dei servizi Web di Amazon è invece consultabile presso Status.aws.amazon.com.

Fonti aggiuntive: News.com.au, The Telegraph (paywall), The Register.

 

Pochi giorni fa, il 30 marzo, sono stato ospite di Nicola Colotti alla Rete Uno della Radiotelevisione Svizzera nel programma Millevoci, intitolato Internet delle…cose che ci tengono connessi con gli altri: dove e come corrono i (big)dati dell’emergenza pandemia, insieme con Alessandro Longo, giornalista direttore del portale Agenda Digitale; Walter Quattrociocchi, Direttore del Laboratorio di Data Science and Complexity all’Università di Venezia; e Angelo Consoli, responsabile del laboratorio di Cyber Security della SUPSI.

Se volete riascoltare il programma, è disponibile in streaming qui.

Giunge dalle mie lande natìe, dallo Yorkshire, la notizia digitale più bizzarra della settimana: un porcile è stato distrutto da un incendio innescato da un contapassi ingerito ed espulso da un maiale.

Lo riferiscono i vigili del fuoco del North Yorkshire in due tweet: il 7 marzo scorso le squadre di pompieri di Tadcaster e  Knaresbororough hanno domato le fiamme che avevano colpito quattro porcili presso Bramham. “Nessun maiale è stato ferito. La causa dell’incendio è attribuita a un contapassi alimentato a batteria, indossato da uno dei maiali (allo scopo di dimostrare che non era allevato al chiuso) e mangiato da un altro dei maiali... dopo che la natura ha seguito il proprio corso, si ritiene che il rame delle batterie abbia reagito con il contenuto del porcile e, in combinazione con la lettiera secca, abbia preso fuoco, incendiando circa 75 metri quadri di fieno”.

Siamo arrivati ai contapassi per maiali.


Fonti aggiuntive: The Guardian, BBC.

Le auto di oggi sono sempre più dei computer su ruote. Sono quindi “hackerabili” come lo sono i computer? Spesso sì, e per risolvere questo problema bisogna trovare il modo di incoraggiare gli esperti a scoprire le falle informatiche delle auto e permettere ai costruttori di turarle.

Uno di questi modi è la gara annuale di hacking denominata Pwn2Own (si pronuncia “poun-tu-oun”), organizzata da Trend Micro, si terrà a Vancouver, in Canada, dal 18 al 20 marzo 2020. Anche quest’anno, come nel 2019, oltre ai premi per chi supera le difese di sistemi operativi e browser per computer verrà messa in palio anche una delle auto più informatizzate del mondo: una Tesla Model 3. Chi riuscirà a prenderne il controllo informatico se la porterà a casa, probabilmente insieme a qualche centinaio di migliaia di dollari in premi aggiuntivi.

Le regole della sfida sono strutturate in vari livelli: al primo livello (Tier 1) ci si aggiudica l’auto e mezzo milione di dollari se si riesce a prendere pieno controllo dei tre sottosistemi informatici del veicolo passando attraverso la sua connessione Wi-Fi o Bluetooth o il suo modem o sintonizzatore per raggiungere il sistema di infotainment e poi arrivare al sottosistema di guida assistita (Autopilot). Se poi l’attacco è persistente (ossia sopravvive a un riavvio dell’auto, ci sono altri 200.000 dollari.

Al secondo livello (Tier 2) il premio in denaro scende leggermente ma è sufficiente prendere il controllo di due sottosistemi su tre; al terzo livello (Tier 3) è sufficiente prendere il controllo di un solo sottosistema.

L’altra regola fondamentale è che la tecnica usata deve restare segreta e deve essere comunicata soltanto al costruttore (in questo caso Tesla).

Nel 2019 due ricercatori erano riusciti a prendere il controllo del browser del sottosistema di infotainment dell’auto con questa tecnica. Tesla aggiornò subito il software di tutte le auto per eliminare la falla.



Fonti aggiuntive: Macrumors, Zero Day Initiative.

Ultimo aggiornamento: 2020/01/12 22:30.

In un momento in cui c’è tanto interesse per l’ambiente e per la riduzione degli sprechi, la marca di altoparlanti e amplificatori Sonos ha avuto un’idea particolarmente infelice: introdurre una “modalità Riciclo” che in realtà non consente di riciclare nulla ma rende inservibili gli altoparlanti.

L’azienda ha infatti un programma di “Trade Up”, nel quale i clienti che hanno un altoparlante Sonos idoneo (Play: 5 di prima generazione, Connect e Connect:Amp) possono ricevere un credito del 30% sull’acquisto di un nuovo altoparlante della stessa marca.

Fin qui tutto molto bello, ma per ricevere questo credito non bisogna riportare in negozio o rispedire l’apparecchio vecchio. Bisogna metterlo in “modalità Riciclo”, usando l’apposita funzione del proprio account Sonos. Attenzione: questo disattiva permanentemente il dispositivo 21 giorni dopo l’avvio della modalità Riciclo.

“La procedura è irreversibile e non può essere annullata”, spiegano le istruzioni, aggiungendo che “[n]on è possibile annullare il conto alla rovescia di 21 giorni”.

In altre parole, invece di consentire a qualcun altro di continuare a usare i dispositivi vecchi e quindi permettere il riuso di apparecchi perfettamente funzionanti, Sonos decide di brickarli, ossia di sabotarli e farli diventare dei fermacarte inutilizzabili, che dovranno essere portati ai centri di smaltimento ed essere smantellati per recuperarne, ove possibile, i componenti e i materiali.

Gli utenti non sono particolarmente contenti di questa scelta ben poco ecologica, e sono scontenti anche per un altro motivo: alcuni di loro hanno avviato la “modalità Riciclo” per errore, rovinando permanentemente degli altoparlanti che senza questo trucchetto software sarebbero ancora perfettamente usabili.

L’azienda si è giustificata dicendo quanto segue (la traduzione è opera mia):

Nel corso del tempo, la tecnologia progredirà in modi che questi prodotti non sono in grado di gestire. Per alcuni utenti, queste funzioni nuove non sono importanti. Pertanto, possono scegliere di non partecipare al programma di Trade Up. Ma per altri utenti è importante avere dispositivi Sonos moderni, capaci di fornire queste nuove esperienze. Per cui il programma Trade Up è un percorso che consente a questi utenti di aggiornarsi a prezzi accessibili. Per coloro che scelgono di fare il trade-up verso prodotti nuovi, abbiamo ritenuto che il gesto più responsabile non era riproporli a clienti nuovi che potrebbero non rendersi conto che sono prodotti che hanno 10 o più anni e che potrebbero non essere in grado di fornire l’esperienza Sonos che si aspettavano.

Dipende tutto da cosa si intende per responsabile.


Fonte: Engadget.

Pochi giorni fa degli intrusi digitali sono entrati nella telecamera di sorveglianza Ring nella cameretta di una bambina di 8 anni in Mississippi e hanno cominciato a parlarle e prenderla in giro (c`è anche il video), sono avvenute varie altre intrusioni ed è emerso che sono stati pubblicati online 3600 indirizzi di mail, password, localizzazioni e altri dati personali di utenti Ring.

Amazon, fabbricante dei sistemi di sicurezza interconnessi Ring, si è difesa dando la colpa agli utenti: gli attacchi sarebbero andati a segno, dice Amazon, perché gli utenti hanno riutilizzato per i propri Ring delle password che usavano altrove ed erano già state rivelate da altri attacchi a questi altri servizi, e non hanno attivato l’autenticazione a due fattori.

La Electronic Frontier Foundation, però, nota che Amazon ha dimenticato un dettaglio tecnico importante: l’azienda si è accorta degli attacchi soltanto quando glieli hanno segnalati i ricercatori di sicurezza. E se le cose sono andate come dice Amazon, ossia se gli aggressori hanno tentato decine di migliaia di nomi utenti e password sul sito di Ring, Amazon avrebbe dovuto notare questo enorme numero di tentativi falliti e allertare gli utenti: un limite al numero di tentativi falliti è una prassi di sicurezza fondamentale, soprattutto quando ci sono di mezzo dati enormemente sensibili.

Le telecamere e i campanelli “smart”, infatti, vedono anche dentro gli spazi privati delle case, consentendo a criminali e ficcanaso di vedere in diretta chi c’è e non c’è, di riguardare le registrazioni video dei locali sorvegliati, acquisire la geolocalizzazione delle telecamere e quindi andare a colpo sicuro. Sicuro per loro.

Ieri (10 dicembre) sono stato ospite della Radiotelevisione Svizzera, nel programma Filo diretto, per parlare di tecnologie e sorveglianze commerciali. Uno dei conduttori, Enea, ha raccontato la propria esperienza, condivisa da tanti utenti, di aver parlato di una cosa molto insolita e specifica e di aver visto subito dopo la pubblicità di quella cosa nel proprio flusso di pubblicità nei social network.

Vuol dire che i social network ci ascoltano tramite i microfoni dei nostri telefonini? No: c’è un’altra spiegazione, e ne parlo da 4:30. Guardate però anche i servizi che accompagano il mio intervento e quello dell’ospite Giacomo Poretti, dell’Istituto sistemi informativi e networking della SUPSI.


Notate che a 16:44 Poretti mostra un tablet e-ink reMarkable. Poche ore dopo, fuori onda, sul mio telefono è comparsa in Instagram la pubblicità dello stesso, identico oggetto. Come è possibile?

Oggi pomeriggio ero a Filo Diretto @RSIonline e in studio c'era un tablet e-ink di questa marca. Stasera per la prima volta su Instagram vedo la pubblicità di quella stessa marca. I nostri dispositivi ci spiano /1 pic.twitter.com/oxDzLi1Uoh

— Paolo Attivissimo (@disinformatico) December 10, 2019

L’ipotesi leggermente complottista che i nostri smartphone ci abbiano ascoltato in questo caso è poco plausibile. Abbiamo parlato di tablet, ma il nome della marca è stato citato una singola volta (fuori onda) da uno dei conduttori, e oltretutto remarkable è una parola inglese molto comune.

Se la pubblicità iper-mirata si basasse sull’ascolto delle nostre conversazioni in studio, questo ascolto avrebbe dovuto rilevare le parole tablet e remarkable e associarle nonostante il fatto che erano state dette in momento piuttosto distinti e non certo consecutivamente: un livello di sofisticazione piuttosto implausibile.

Oltretutto, l’ipotesi è già stata smentita da varie ricerche (BBC/Wandera; CBS News), anche se i sospetti rimangono. Facebook, per quel che vale, ha categoricamente negato di usare i microfoni dei telefonini in questo modo.

C’è una spiegazione possibile molto più semplice: il mio smartphone potrebbe aver rilevato il tablet tramite Bluetooth e trasmesso questo rilevamento a Instagram, che avrebbe quindi proposto la pubblicità di un oggetto che sapeva che era (o era stato) vicino a me e quindi poteva interessarmi.

Questa possibilità tecnica è prevista esplicitamente dalle condizioni di contratto di Instagram:

...we collect information from and about the computers, phones, connected TVs and other web-connected devices you use that integrate with our Products, and we combine this information across different devices you use. For example, we use information collected about your use of our Products on your phone to better personalize the content (including ads) or features you see when you use our Products on another device, such as your laptop or tablet, or to measure whether you took an action in response to an ad we showed you on your phone on a different device.

Information we obtain from these devices includes:

• Device attributes: information such as the operating system, hardware and software versions, battery level, signal strength, available storage space, browser type, app and file names and types, and plugins.
• Device operations: information about operations and behaviors performed on the device, such as whether a window is foregrounded or backgrounded, or mouse movements (which can help distinguish humans from bots).
• Identifiers: unique identifiers, device IDs, and other identifiers, such as from games, apps or accounts you use, and Family Device IDs (or other identifiers unique to Facebook Company Products associated with the same device or account).
• Device signals: Bluetooth signals, and information about nearby Wi-Fi access points, beacons, and cell towers.

Una lettrice mi ha inoltre contattato in privato per dirmi che la stessa pubblicità le è comparsa dopo aver semplicemente letto il mio tweet e le relative risposte.

Certo, potrebbe trattarsi di memoria selettiva: reMarkable sta mandando la pubblicità a tanti utenti e se ne ricordano solo quelli che hanno visto la mia segnalazione in proposito. Ma io seguo molto il settore dei tablet, specialmente quelli con e-ink, e credo che mi ricorderei se avessi già visto quel prodotto (fra l’altro molto ben fatto e interessante).


In altre parole, i nostri telefonini non ci ascolterebbero continuamente alla ricerca di parole chiave pubblicitarie per tre ragioni fondamentali:

1. Sarebbe illegale e la rivelazione di un servizio del genere sarebbe catastrofica per la reputazione del social network o motore di ricerca che lo usasse.
2. Sarebbe molto onerosa in termini computazionali (miliardi di riconoscimenti vocali continui in centinaia di lingue e trasmissione del flusso di dati ai rispettivi server).
3. I social network e i motori di ricerca non ne avrebbero bisogno perché sanno già tutto quello che serve di noi grazie alle cose che scriviamo o cerchiamo, all’elenco degli amici e delle loro occupazioni, alla geolocalizzazione e ai vari sensori presenti negli smartphone.

Ma se volete essere ipersicuri di non essere ascoltati dal vostro smartphone, fate una cosa molto semplice: non portatelo con voi quando dovete fare una conversazione privata.

Credit: Japan Times.

Stare in un hotel in cui le camere sono dotate di robot può sembrare molto futuribile, ma è già realtà a Nagasaki, in Giappone, presso l’Henn na Hotel (il nome, a quanto pare, significa “hotel strano”). Tuttavia c’è un aspetto molto poco futuribile e assai concreto: i robot che gestiscono l’hotel sono un colabrodo di sicurezza.

Gizmodo e Graham Cluley descrivono infatti che i robot a forma di dinosauro o di fembot (robot femminilizzato) installati nelle camere infastidiscono gli ospiti reagendo erroneamente, per esempio attivandosi e svegliandoli quando russano perché i robot, dotati di microfoni di ascolto, interpretano il russamento come uno dei loro comandi vocali.

Il robot alla reception, invece, non è in grado di gestire nemmeno le domande più semplici, e il personale umano si è trovato costretto a fare gli straordinari per riparare i robot che si guastavano.

Ma non è finita: un ricercatore di sicurezza, Lance R. Vick, ha segnalato di aver avvisato i gestori della catena alberghiera che i robot da comodino presenti in ogni stanza sono facilmente modificabili per consentire a chiunque di spiare da remoto gli ospiti tramite il microfono e la telecamera integrati.

It has been a week, so I am dropping an 0day.

The bed facing Tapia robot deployed at the famous Robot Hotels in Japan can be converted to offer anyone remote camera/mic access to all future guests.

Unsigned code via NFC behind the head.

Vendor had 90 days. They didn't care. pic.twitter.com/m2z6yLbrzq

— Lance R. Vick (@lrvick) October 12, 2019

Non avendo ricevuto risposta dalla catena alberghiera, ha deciso di pubblicare i dettagli della vulnerabilità nella speranza che la figuraccia pubblica spingesse la catena a prendere provvedimenti.

Come capita spesso, la tattica dello svergognamento pubblico ha avuto successo e ora i media locali riferiscono che la catena, la HIS Group, ha riconosciuto che il difetto esiste e sta prendendo misure per risolverlo.

Senza arrivare a questi estremi di alberghi robotizzati, provate a fare un sopralluogo informatico della vostra prossima camera d’albergo e guardate se ci sono vulnerabilità informatiche: televisori smart con microfono e telecamera? Assistenti vocali da comodino, tipo Alexa o Google Home? Ma anche no, grazie. Copriteli o scollegateli, oppure chiedete agli albergatori di farlo per voi o di darvi una camera senza gadget. Meglio ancora, scegliete un albergo che non usi l’informatica in modo così appariscente ma vacuo e insicuro.