Polle Vanderhoof, un ricercatore olandese di sicurezza informatica, si è accorto che alcune macchine per caffè Nespresso Pro dotate di un lettore di smart card per i pagamenti erano vulnerabili, e per dimostrarlo ha creato sulla propria tessera un credito di ben 167.772 euro e 15 centesimi di credito per consumare caffè.

Vanderhoof ha infatti scoperto che questi distributori usavano delle smart card obsolete, le Mifare Classic della NXP Semiconductor, le cui insicurezze sono note dal 2008.

Ma Nestlé (titolare del marchio Nespresso) ha continuato a usare queste smart card vulnerabili, e così Vanderhoof ha usato un lettore di carte NFC e del software per analizzare le comunicazioni crittografate fra le smart card e il distributore ed è riuscito a decifrarle.

Ha scoperto così che il valore della carta veniva salvato sulla carta stessa invece di risiedere su un server remoto: una soluzione molto semplice, snella ed efficace, ma anche molto vulnerabile. 

Il ricercatore ha così alterato i tre byte (24 bit) usati per memorizzare il credito disponibile sulla tessera e ci ha scritto il valore massimo possibile, ossia 167.772,15 euro.

Per chi stesse pensando di imitare Vanderhoof per avere caffè gratis a vita: sarebbe un reato, e comunque Nestlè ha già modificato i propri sistemi, proprio perché Vanderhoof l’ha avvisata: il ricercatore ha infatti agito responsabilmente e ha prima avvisato l’azienda e poi, una volta sistemato il problema, ha pubblicato un articolo tecnico che lo spiegava.

La vicenda resta utile come promemoria: per le altre aziende, del fatto che usare tecnologia obsoleta è un rischio; per noi comuni utenti, del fatto che la crittografia e le insicurezze informatiche si possono nascondere ovunque. Persino in un banale caffè.

Fonti aggiuntive: Sophos, The Register.

Mai sottovalutare l’astuzia degli utenti. Segnalo questo tweet (non autenticato, forse di fantasia) non tanto per dare idee malefiche agli studenti, ma per mettere in guardia i docenti che li devono gestire: “Mia moglie è un’insegnante e a quanto pare un ragazzino ha preso l’abitudine di cambiare il proprio nome in 'Riconnessione in corso' durante le lezioni su Zoom in modo che nessuno gli faccia domande. Sono settimane che lo fa. Questo ragazzo non deve preoccuparsi della sua formazione scolastica, è già un genio fatto e finito”.

My wife is a teacher and apparently one kid has been changing his name to 'Reconnecting' during the Zoom lessons so that he doesn't get asked any questions. Been doing it for weeks. The lad doesn't need to worry about his education, he's already a bona fide genius.

— Chris Arnold (@ChrisArnoldInc) January 25, 2021

A parziale contenimento di questo problema, in Zoom si può impedire agli utenti di cambiare il proprio nome durante le sessioni e gli amministratori possono cambiare i nomi agli utenti.

È stato chiuso Parler, il social network in stile Twitter usato dai sostenitori di Donald Trump per organizzare l’insurrezione violenta al Campidoglio negli Stati Uniti il 6 gennaio scorso. Ma prima di chiudere ha regalato amare sorprese agli utenti che si sono fidati di questo servizio.

Un’informatica, nota come donk_enby, ha preso l’iniziativa di creare una copia di tutti i messaggi di Parler, pieni di dettagli incriminanti, sapendo che prima o poi gli utenti si sarebbero resi conto che quei messaggi erano prova dei loro reati e che Amazon, Apple e Google avrebbero presto chiuso Parler. È riuscita a copiare circa il 99% dei messaggi pubblicati, ossia 80 terabyte, compreso circa un milione di video.

here it is on a graph pic.twitter.com/FuAPZQTQzA

— crash override (@donk_enby) January 11, 2021

donk_enby ha scoperto con meraviglia che Parler era un disastro di sicurezza informatica: non c’era autenticazione nella sua API pubblica, e quando un utente cancellava un messaggio, Parler in realtà si limitava a segnarlo come cancellato, senza eliminarlo realmente. Ogni post aveva un numero identificativo progressivo.

Questi errori dilettanteschi hanno permesso all’informatica di lanciare uno script che ha raccattato praticamente tutti i dati pubblicamente accessibili e li ha messi a disposizione di giornalisti, ricercatori e forze dell’ordine.

Non è finita: Parler non toglieva la geolocalizzazione dalle immagini e dai video. Twitter, Google e altri siti lo fanno abitualmente per proteggere i propri utenti, ma Parler consegnava a chiunque i file video e le foto con tutti i loro metadati.

Morale della storia: chiedetevi sempre quali dati digitali state disseminando e soprattutto a chi li state affidando. Spesso chi si presenta come salvatore e difensore delle libertà è il primo che non le tutela.

Fonti: Ars Technica, Vice, Gizmodo.

Un gruppo di viaggiatori bloccato in un’area isolata e senza connettività cellulare del Far North Queensland, in Australia, ha risolto il problema in maniera molto ingegnosa usando le tecnologie digitali.

Mettetevi nei loro panni. La vostra auto è bloccata in un torrente gonfiato dalle forti piogge. Siete in una vallata remota nella quale non c’è segnale cellulare. Avete un telefonino funzionante, ma senza ricezione è inutile. Avete un drone, ma non ha un’autonomia sufficiente a raggiungere un luogo abitato portando un messaggio. Cosa fate?

In casi come questi vale più l’inventiva del nerd che il coltellaccio di Crocodile Dundee. Uno dei componenti del gruppo ha pensato di agganciare il telefonino al drone e farli volare in alto, in modo che sbucassero dalla vallata e il cellulare potesse agganciarsi alla rete per chiamare i soccorsi.

Piccolo problema: il telefonino, una volta in quota, riesce a collegarsi, ma ovviamente non è possibile usarlo per fare chiamate, dato che gli utenti sono rimasti a terra e non possono comandarlo a distanza. Che si fa?

----

Soluzione: comporre a terra un SMS con la richiesta di soccorso e premere Invio prima di portare in volo il telefonino.

In questo modo il cellulare continua a tentare di inviare il messaggio fino a quando riesce a collegarsi alla rete telefonica; una volta arrivato in quota, lo invia, e soprattutto fornisce conferma dell’invio effettuato.

Il gruppo è stato tratto in salvo l’indomani, con la raccomandazione, per il futuro, di attrezzarsi con un localizzatore satellitare d’emergenza.

Fonte: ABC News.

Quarant’anni fa, nel 1980, usciva al cinema L'Impero Colpisce Ancora. Per celebrare la ricorrenza, sono stati pubblicati sei minuti e spiccioli di riprese inedite, ciak sbagliati e altre chicche dietro le quinte. Adesso è Natale.

Non so se vi ho mai raccontato di quanto ero ossessivamente travolto da Guerre Stellari e in particolare da questo secondo film della saga quando ero ragazzo. Non c’erano videocassette o altro e certi film in televisione proprio non passavano, per cui o andavi al cinema o ti attaccavi al tram. Quando uscì L'Impero Colpisce Ancora, fui così stregato da tutto il film che lo vidi quattro volte in due giorni (all’epoca lasciavano stare in sala fra una proiezione e la successiva).

Portai di nascosto al cinema la fotocamera (naturalmente a pellicola) per fotografare le immagini più belle, perché non c’era altro. Comprai il doppio album su vinile della colonna sonora, e cercai di memorizzare le scene e le battute il più possibile.

Una sera d’estate del 1981 o ‘82, a Pavia, il Comune organizzava il cinema all’aperto, alla Cupola Arnaboldi, e scoprii che avrebbero proiettato proprio L'Impero Colpisce Ancora. Sospetto che queste proiezioni fossero in realtà organizzate dai rivenditori di spray antizanzare, perché le proiezioni all’aperto a Pavia in prima serata erano un’orgia sanguinaria di nugoli di zanzare inferocite. Nel caldissimo pomeriggio di quel giorno il proiezionista, tutto solo, stava installando il massiccio proiettore per pellicola per la proiezione serale e aveva ancora da disporre tutte le seggioline di legno per il pubblico. Era chiaramente un po' stufo.

Io notai che il proiettore aveva un’uscita audio DIN (ovviamente analogica, a quei tempi), elaborai un piano e mi armai di quel coraggio che soltanto la passione poteva risvegliare in un nerd: andai dal proiezionista e gli proposi un baratto. Gli avrei portato e piazzato io tutte le seggioline di tutta la sala se quella sera mi avesse lasciato registrare l’audio del film.

Il proiezionista accettò, dicendo pigramente “Sì, ma non tutto quanto, solo dei pezzi” e confidando nel fatto che non c’era modo di registrare su cassetta due ore e dieci filate di sonoro, e io mi piegai al compromesso.

Andai di corsa a casa, presi il mio radioregistratore a batterie, una cassetta C120 e... feci hacking: modificai la velocità di scorrimento del nastro in modo da farci stare 127 minuti di audio su una singola cassetta. Non potevo usarne due per non perdere pezzi e per non far capire al proiezionista che stavo registrando tutto, e decisamente non avevo un registratore a bobine, men che meno uno trasportabile.

Tornai dal proiezionista e con l’aiuto degli amici appassionati di Star Wars ai quali avevo sparso la voce disponemmo le seggioline.

Quella sera il proiezionista, commosso da così tanta devozione, mi lasciò attaccare il cavetto DIN del radioregistratore al proiettore, facendo finta di non vedere. Mi disse di nascondere il radioregistratore: per fortuna il cavo di collegamento al proiettore era lungo e sottile. Il film partì e io registrai tutta la traccia audio, dall’inizio alla fine, nel magnifico doppiaggio italiano. Finsi di spegnere qualche volta quando il proiezionista mi guardava storto. Ora posso raccontarlo, il reato è prescritto e il proiezionista è probabilmente buonanima.

Anni più tardi ho riversato in digitale quella registrazione, rigorosamente mono, che avevo quasi consumato a furia di riascoltarla a occhi chiusi. Poi, naturalmente, ho comprato la videocassetta, e poi il DVD, e poi il Blu-Ray e il file digitale. Ma quella pastosa, compressa, distorta registrazione monofonica ha ancora un valore speciale per me.

Non solo per il film, e per la nostalgia di un’impresa di “pirateria” oggi impensabile. Ma perché fra gli appassionati che mi aiutarono a disporre quelle sedie c’era Elena: colei che poi, anni dopo, sarebbe diventata la Dama del Maniero.

Mai avrei immaginato che sarebbe diventata la mia Principessa Leia (va bene, va bene, Leila per i nostalgici). E mai avrei immaginato che un giorno avrei incontrato i protagonisti di quel film e avrei tradotto per loro, sempre con la Dama al mio fianco.

Mai avrei immaginato che un giorno quel doppio album di Guerre Stellari avrebbe ricevuto le loro firme con dedica. Anthony Daniels (C3PO), David Prowse (Darth Vader), Kenny Baker (R2D2). Ce l'ho qui ora, eccovelo: è enorme come solo un doppio LP poteva esserlo.

Bonus: il mio doppio LP de L'Impero Colpisce Ancora. Con le foto giganti e le note di copertina che oggi non si fanno più. Un po‘ consunto dal tempo, ma sempre memorabile. Grazie di aver letto fin qui, e che la Forza sia con voi.

Che gioia. Era possibile prendere il controllo di qualunque iPhone a distanza, accedendo anche a telecamere e microfono e rubando mail, foto e messaggi. Ma niente panico: la falla è già stata risolta tempo fa, con l’aggiornamento alla versione 13.5 di iOS (ora siamo alla 14.2). Se non l’avete già installato, fatelo.

La scoperta della falla è merito di un singolo ricercatore, Ian Beer di Project Zero, che ha passato (parole sue) “sei mesi del 2020 bloccato in un angolo della mia camera da letto, circondato da miei adorabili bambini urlanti... non [per trovare] un incantesimo per convincerli a dormire [...] ma un exploit wormable di radioprossimità che mi consentisse di prendere il controllo completo di qualunque iPhone nelle mie vicinanze.” Ognuno ha le proprie priorità.

Se non avete idea di cosa sia un “exploit wormable di radioprossimità”, traduco: una falla di sicurezza sfruttabile, capace di propagarsi da un dispositivo all’altro, che richiede solo che il dispositivo attaccato sia abbastanza vicino da essere raggiunto da un segnale radio e non richiede che la vittima faccia qualcosa.

Ian Beer racconta la sua avventura in un post dettagliatissimo, al limite dell’Odissea interiore, ma in sintesi: i dispositivi Apple possono scambiarsi file (per esempio foto) e condividere schermate tramite Wi-Fi (Apple chiama questa funziona Wireless Direct Link). Beer ha scoperto un difetto nel funzionamento di questo sistema e lo ha sfruttato, usando il proprio ingegno e dei componenti elettronici facilmente reperibili a basso costo (Raspberry Pi e degli adattatori Wi-Fi).

In questo modo ha avuto anche il potere straordinario di bloccare, spegnere e riavviare qualunque iPhone a distanza, usando solo apparecchi portatili, come mostra in questo video:

Per fortuna Beer è uno dei buoni: ha segnalato il problema ad Apple, che l’ha corretto prima che lo scoprissero i malintenzionati.

 

Fonti: BBC, Sophos.

Device Orchestra è un canale YouTube che prende vari elettrodomestici e li modifica facendoli diventare strumenti musicali. Beh, perlomeno se siete molto tolleranti nella vostra definizione di “musicali”. Ci trovate un po’ di tutto, compresi gli spazzolini elettrici e gli epilatori.

Anche questo, in un certo senso, è hacking: far fare ai dispositivi cose per i quali non sono stati concepiti. Buon ascolto. Non guarderete mai più il vostro epilatore come prima, se ne avete uno.

Ultimo aggiornamento: 2020/09/25 13:20.

Si va in farmacia, si cerca un test di gravidanza, e c’è l’imbarazzo della scelta: scegliere quello tradizionale, con uno speciale foglietto di carta che cambia colore in base al risultato del test, o uno di quelli moderni, elettronico e digitale, che mostra il risultato sotto forma di parole presentate su un display a cristalli liquidi?

Certo, quello elettronico è più costoso, però insomma è digitale, quindi sarà più preciso e userà una tecnologia più moderna, giusto? 

Un ricercatore informatico, Foone, ha scoperto che non è proprio così. Il test di gravidanza elettronico che ha esaminato, un prodotto svizzero, è fondamentalmente un sensore che si limita a guardare il colore assunto dallo stesso, identico foglietto di carta usato nei test tradizionali e indicare lo stato di gravidanza o meno in base a quel colore.

In altre parole, il principio di funzionamento di entrambi i tipi di test è identico, ma quello elettronico dà l’impressione di essere più moderno. Il problema, a parte il costo (12 dollari contro i 20 centesimi del test cartaceo), è che il test elettronico genera molta più spazzatura. In pratica contiene un circuito integrato, tre LED, due sensori di luce, una batteria e un display, il cui unico scopo è leggere il foglietto di carta del test tradizionale. E tutto questo si butta dopo un solo utilizzo.

Non solo: visto che il test elettronico è alimentato da una batteria, che potrebbe scaricarsi col tempo, c’è il rischio che la carta chimica venga illuminata insufficientemente e che quindi il sensore non ne legga correttamente i colori, dando una risposta sbagliata. Non ha senso usare tutta questa elettronica per fare una cosa che chiunque è in grado di fare usando semplicemente i propri occhi.

Foone, però, non si è fermato a segnalare l’ingannevolezza e lo spreco di questi dispositivi digitali notando che il processore aveva più potenza di calcolo dei primi personal computer (i PC IBM); ha anche sostituito il display e il processore del dispositivo in modo che ci potessero girare il celebre videogioco Doom.

Yesterday I had a lot of retweets and reddit posts and such for playing Doom on a pregnancy test.
But as I explained then, it wasn't really PLAYING on a pregnancy test, it was just a video being played back, not an interactive game.

Well, now it is. It's Pregnancy Test Doom! pic.twitter.com/Nrjyq07EVv

— foone (@Foone) September 7, 2020

 

Fonte aggiuntiva: BBC.

Il 10 giugno scorso il cortometraggio thriller Unsubscribe è diventato campione d’incassi in tutti gli Stati Uniti, secondo l’autorevole classifica pubblicata da Box Office Mojo.

Unsubscribe ha tre particolarità: è stato girato interamente con l’applicazione per videoconferenze Zoom, è costato esattamente zero dollari di produzione e promozione ed è stato realizzato indipendentemente da un gruppo di giovani sconosciuti. Come se non bastasse, questo primo posto in classifica è stato ottenuto con due soli spettatori. Come è stato possibile?

In termini informatici, gli autori del film hanno realizzato un hack: hanno usato un’anomalia del sistema. In questo caso, il sistema di conteggio degli incassi cinematografici statunitensi.

L’idea di diventare numero uno in classifica è venuta in mente a Eric Tabach, attore e YouTuber di Philadelphia, in Pennsylvania, e al filmmaker (o cineasta) Christian Nilsson di New York.

Si sono resi conto che a marzo 2020 la pandemia aveva fatto chiudere quasi tutte le sale cinematografiche statunitensi e hanno notato che gli incassi del periodo, per i pochi film in uscita, erano microscopici: qualche migliaio di dollari in tutto il paese. Sarebbe bastato poco per superarli se fossero riusciti a vendere un numero sufficiente di biglietti.

Hanno scritto, diretto e realizzato il loro film a tempo di record (un giorno per il copione, cinque giorni per le riprese), reclutando alcuni amici e un paio di attori professionisti, e poi hanno usato il trucco finale: il cosiddetto four-walling.

Il four-walling è la pratica in cui il distributore di un film noleggia una sala cinematografica al completo pagando una piccola cifra forfetaria e incassa tutti i soldi degli eventuali biglietti venduti. Tabach e Nilsson hanno proiettato il proprio film cinque volte a un cinema fuori New York usando il four-walling: si sono messi in abito da sera, hanno posato davanti all’insegna del cinema con il titolo del film e la scritta sold out (“tutto esaurito”) e sono stati gli unici due spettatori per tutte e cinque le proiezioni.

Tabach e Nilsson alla “prima” del loro film campione d’incassi.

Ma secondo il sistema di calcolo degli incassi statunitense, cinque proiezioni del film in four-walling equivalgono a cinque sale strapiene, per cui gli incassi di Unsubscribe vengono contabilizzati come 25.448 dollari (molto di più di quello che hanno speso i due per noleggiare la sala), battendo così la concorrenza: il secondo film più visto, The Wretched, ha incassato soltanto 22.566 dollari, pur essendo stato proiettato in 99 sale. E così l’esperimento folle può fregiarsi del titolo di campione d’incassi d’America.

Se volete vedere Unsubscribe, è su Vimeo. A pagamento.


Fonte: BBC.

Di solito si parla di intrusi informatici in senso negativo: malfattori che entrano nei computer altrui per fare danno. E poi ci sono quelli che fanno comparire sullo schermo falsi avvisi di infezione, per scherzo o per estorcere denaro. Ma stavolta non è così.

Numerosi utenti, segnala ZDnet, stanno ricevendo sui propri schermi un allarme sullo schermo che chiede educatamente, con tanto di “Please”, di installare un antivirus e aggiornare il computer.

Gli artefici di questo avviso, secondo le prime analisi, sono degli hacker buoni, che stanno rilevando via Internet la presenza del malware Phorpiex sui computer altrui e stanno quindi mettendo in guardia gli utenti di questi computer. Probabilmente questi hacker samaritani hanno preso possesso della rete di controllo di questo malware e la stanno usando per allertare le sue vittime.

Phorpiex è un malware usato per disseminare spam: infetta i computer Windows e li usa come punti di distribuzione di enormi campagne di mail pubblicitarie indesiderate, pagate da altri gruppi criminali. Secondo Check Point, questo genere di attività ha fruttato in passato 115.000 dollari in cinque mesi. La posta in gioco è insomma piuttosto alta.

Le auto di oggi sono sempre più dei computer su ruote. Sono quindi “hackerabili” come lo sono i computer? Spesso sì, e per risolvere questo problema bisogna trovare il modo di incoraggiare gli esperti a scoprire le falle informatiche delle auto e permettere ai costruttori di turarle.

Uno di questi modi è la gara annuale di hacking denominata Pwn2Own (si pronuncia “poun-tu-oun”), organizzata da Trend Micro, si terrà a Vancouver, in Canada, dal 18 al 20 marzo 2020. Anche quest’anno, come nel 2019, oltre ai premi per chi supera le difese di sistemi operativi e browser per computer verrà messa in palio anche una delle auto più informatizzate del mondo: una Tesla Model 3. Chi riuscirà a prenderne il controllo informatico se la porterà a casa, probabilmente insieme a qualche centinaio di migliaia di dollari in premi aggiuntivi.

Le regole della sfida sono strutturate in vari livelli: al primo livello (Tier 1) ci si aggiudica l’auto e mezzo milione di dollari se si riesce a prendere pieno controllo dei tre sottosistemi informatici del veicolo passando attraverso la sua connessione Wi-Fi o Bluetooth o il suo modem o sintonizzatore per raggiungere il sistema di infotainment e poi arrivare al sottosistema di guida assistita (Autopilot). Se poi l’attacco è persistente (ossia sopravvive a un riavvio dell’auto, ci sono altri 200.000 dollari.

Al secondo livello (Tier 2) il premio in denaro scende leggermente ma è sufficiente prendere il controllo di due sottosistemi su tre; al terzo livello (Tier 3) è sufficiente prendere il controllo di un solo sottosistema.

L’altra regola fondamentale è che la tecnica usata deve restare segreta e deve essere comunicata soltanto al costruttore (in questo caso Tesla).

Nel 2019 due ricercatori erano riusciti a prendere il controllo del browser del sottosistema di infotainment dell’auto con questa tecnica. Tesla aggiornò subito il software di tutte le auto per eliminare la falla.



Fonti aggiuntive: Macrumors, Zero Day Initiative.

Alcune vecchie pompe per insulina fabbricate dalla Medtronic hanno una falla di sicurezza, ma una volta tanto questo è un bene anziché un problema.

Questa falla, infatti, consente di riprogrammare le pompe con un software che riceve dati sul glucosio in circolo da un sensore separato sottopelle e calcola in tempo reale quanta insulina erogare. La versione non “hackerata” della pompa, invece, non è in grado di comunicare con questo sensore e quindi obbliga gli utenti affetti da diabete tipo 1 a continui calcoli e controlli manuali, giorno e notte.

Installare il software e accoppiare la pompa al sensore significa poter finalmente dormire una notte intera. Ma il software non è stato distribuito dalla casa produttrice: è stato creato da un gruppo di utenti e distribuito gratuitamente. Lo si trova presso OpenAPS.org.

La Medtronic formalmente scoraggia ogni modifica delle proprie pompe, ma di fatto oggi, grazie a questa falla e all’hacking che la sfrutta per accoppiare sensore e pompa tramite un normale smartphone, molti pazienti hanno una vita migliore. È vero che la falla teoricamente consentirebbe a un malintenzionato di prendere il controllo della pompa qualora si avvicinasse e conoscesse il numero di serie dello specifico esemplare, ma il rischio è considerato trascurabile rispetto ai benefici.

L’iniziativa ha avuto così tanto successo che altre case produttrici di pompe per insulina, come Accu-Chek e Dana, hanno consultato la comunità dei looper (si chiamano così gli utenti di questo software) per creare la propria applicazione.

Quando sentite parlare di hacker, insomma, non pensate sempre ai cattivi. Tutti i dettagli sono in questo articolo di The Atlantic.

Ultimo aggiornamento: 2019/01/26 7:05.

Piccolo promemoria per tutti i giornalisti italofoni che saranno tentati di copiaincollare la “notizia” dell’Express britannico riguardante un presunto “hackeraggio” del volo MH370 andato disperso nel 2014: copiare da un giornale che ha una prima pagina come questa significa abdicare a qualunque pretesa di serietà giornalistica. Disastri aerei accanto a culi al vento: che sintesi perfetta del giornalismo spazzatura.


In dettaglio: caso mai le parole tutte maiuscole e l’uso del termine “SHOCK” nel titolo non ve l‘avessero fatto intuire, l’articolo è semplicemente un pistolotto acchiappaclic per promuovere un documentario sensazionalistico su un incidente aereo nel quale hanno perso la vita oltre duecento persone. Abbiate un po’ di rispetto, se vi ricordate ancora cosa vuol dire.

Il documentario intervista un “esperto di cyberdifesa”, Chris Roberts, che teorizza (senza alcuna prova) che l’aereo sia stato colpito da un attacco informatico. Roberts dice (anche qui senza alcuna prova) che un hacker si sarebbe potuto collegare al sistema di intrattenimento di bordo e da lì raggiungere i sistemi informatici che governano il carburante o i motori.

L’articolo dice che Roberts “ha usato questo metodo per hackerare aerei commerciali in volo fino a 20 volte”. Ma in realtà, andando a pescare gli articoli che parlano delle sue prodezze emerge che è solo lui a dire di averlo fatto. Non è in grado di dimostrarlo, e molti addetti ai lavori (fra i quali c’è Stefano Zanero) sostengono che è impossibile passare dal sistema di intrattenimento di bordo a quello di pilotaggio perché sono separati.

In altre parole, l’articolo è pura fuffa. Copiatelo a vostro rischio e pericolo.


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Tesla offre da già qualche tempo (dal 2014) premi a chi scopre e comunica in modo responsabile le falle di sicurezza informatica nei suoi prodotti: le regole di questo bug bounty sono qui. Ha già erogato numerose ricompense e distribuito gli aggiornamenti correttivi alle proprie auto.

Ora ha alzato la posta: parteciperà alla gara di hacking Pwn2Own, in Canada, portandovi una Model 3 Mid Range (circa 44.000 dollari di listino) che verrà messa a disposizione di chi vorrà tentare di penetrarne le difese informatiche. Considerata la dipendenza fortissima delle Tesla dal software, la sicurezza di queste difese è un’esigenza fondamentale, e sfide come questa hanno già portato a migliorie importanti.

Tesla sarà l’unica casa automobilistica a partecipare a Pwn2Own. I premi per chi riesce a superare le difese della Model 3 variano da 35.000 dollari a 250.000. Il premio più basso è per chi riesce ad attaccare con successo il sistema di infotainment dell’auto; quello più alto andrà a chi avrà successo nel penetrare in uno dei tre sistemi chiave dell’auto, ossia il Gateway (gestore dei flussi di traffico interno di dati), l’Autopilot (sistema di guida assistita) e il VCSEC (sistema di sicurezza, allarme e antifurto).

Ci sono inoltre in palio 100.000 dollari per chi riesce a sbloccare le portiere scardinando le difese della chiave elettronica o dell’app di controllo dell’auto e per chi riesce ad avviare l’auto senza usarne la chiave.

Chi totalizzerà il punteggio più alto si porterà a casa non solo la ricompensa in denaro ma anche l’auto.


Fonti aggiuntive: Teslarati, Forbes, Electrek.


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Credit: Nest.

Racconto spesso storie inquietanti di intrusioni informatiche, ma non tutti gli intrusi vengono per nuocere. Hot for Security segnala quello che è successo ad Andy Gregg, un agente immobiliare che vive a Phoenix: si è accorto che qualcuno gli stava parlando attraverso la telecamera di sorveglianza Nest installata in giardino.

Il signor Gregg ha spiegato all’Arizona Republic che ha avuto la prontezza di registrare col proprio telefonino quello che gli è successo: la voce era quella di un hacker canadese che gli ha spiegato di far parte di un gruppo di informatici che prende il controllo delle telecamere per avvisare gli utenti che sono vulnerabili perché hanno impostato maldestramente questi dispositivi.

Come tanti altri, anche Gregg aveva protetto (si fa per dire) la propria Nest con la stessa password che usava per i propri account di altri servizi Internet. Uno di questi servizi era stato violato, come capita spesso, e quindi la sua login e la sua password erano in giro su Internet, a disposizione di qualunque malintenzionato, il cui primo tentativo sarebbe stato quello di provare a entrare con quella password in tutti gli account legati alla persona.

Gregg non aveva neanche usato l’autenticazione a due fattori, disponibile sull’app Nest. Gli è andata bene: avrebbero potuto rubargli l’indirizzo di mail account, prendere il controllo del suo profilo Facebook profile, ordinare merci su Amazon, e altro ancora. Invece l’incontro con l’hacker lo ha convinto a cambiare le proprie password e a scollegare la telecamera.

Non aspettate un incontro analogo per fare altrettanto.

Credit: BBC.

In tutto il mondo le stampanti stanno stampando strani messaggi che invitano ad iscriversi al canale Youtube di Pewdiepie e “sistemare le vostre stampanti”. È probabilmente l’incursione informatica più bizzarra dell’anno: ne trovate esempi qui e qui.

Un mese fa, qualcuno che si fa chiamare TheHackerGiraffe ha preso momentaneamente il controllo di circa 50.000 stampanti di varie marche in varie parti del mondo per creare dei volantini a favore dello Youtuber Pewdiepie.

L’incursore ha spiegato alla BBC, in forma anonima, che stava cercando di attirare l’attenzione su una vulnerabilità di alcune stampanti che permette di prenderne il controllo da remoto e può portare al loro danneggiamento permanente.

@grandayy @DolanDark @pewdiepie ok so basically a printer at a friend's workplace got hacked. not complaining pic.twitter.com/DcNGrKlbXj

— apex | IG @bobbywainwright (@apex2504) 27 novembre 2018

The Verge spiega che il firmware di queste stampanti è infatti scrivibile da remoto, ma supporta soltanto un numero limitato di cicli di scrittura. Questo vuol dire che un aggressore può rendere inservibile le stampanti in questione semplicemente mandando loro un numero elevato di comandi di scrittura del firmware, se queste stampanti sono accessibili via Internet tramite la porta 9100.

Secondo l’hacker contattato dalla BBC, esiste anche il rischio che qualcuno intercetti documenti sensibili o li modifichi mentre vengono stampati, sfruttando questa stessa vulnerabilità.

So this just randomly printed on one of our work printers. I think @pewdiepie has hacked our systems. pic.twitter.com/wSG9cprJ4s

— Dr.Moxmo (@Dr_Moxmo) 29 novembre 2018

La soluzione alla falla è semplice: impostare la propria rete informatica in modo che le stampanti non siano accessibili direttamente da Internet.

Se vi state chiedendo chi mai possa essere così imprudente da rendere accessibile via Internet la propria stampante, basta una ricerca apposita su Shodan per trovarne almeno 308 in Svizzera e circa 1500 in Italia (i link richiedono un account su Shodan).

Ultimo aggiornamento: 2018/11/25 13:15.

Avete cancellato di recente delle foto dal vostro iPhone? Siete sicuri di averle cancellate davvero? Se si tratta di foto potenzialmente imbarazzanti, ho una brutta notizia; se invece si tratta di foto che avete cancellato per errore, ho una bella notizia. Esiste infatti una tecnica semplice che in alcuni casi consente di recuperarle.

Naked Security racconta che questa tecnica di recupero è stata sfruttata pochi giorni fa per vincere a Tokio una gara di hacker, un concorso internazionale per esperti informatici che si chiama Mobile Pwn2own, ossia grosso modo “se riesci a prenderne il controllo, te lo porti a casa” (Pwn2own si pronuncia poun tu oun). Le regole della gara sono semplici: i concorrenti hanno a disposizione trenta minuti per prendere il controllo delle versioni più recenti e aggiornate di smartphone o altri dispositivi digitali mobili. Se ce la fanno, si portano a casa il dispositivo e anche un cospicuo premio in denaro.

Gare come questa si fanno a fin di bene: i concorrenti, infatti, sono tenuti a non pubblicare la tecnica che hanno usato per superare le protezioni dei vari dispositivi e a spiegarla soltanto ai rispettivi produttori, in modo che possano distribuire un aggiornamento che corregge la falla. La ricompensa monetaria permette di attirare talenti che altrimenti resterebbero inutilizzati o, peggio ancora, verrebbero sfruttati dal mondo criminale.

Nella gara di Tokio, il duo di hacker vincitore, composto da Amat Cama e Richard Zhu, ha incassato in totale ben 215.000 dollari. Fra le varie falle che hanno scoperto, sfruttato e spiegato ai fabbricanti ce n’è appunto una che consente di recuperare e rubare le foto cancellate da un iPhone nuovo e aggiornato, usando una falla di Safari che sarebbe sfruttabile semplicemente inducendo la vittima a visitare un sito Web appositamente confezionato. Niente panico: la falla verrà corretta a breve.

Quello che conta, però, è che la loro tecnica sfrutta una funzione documentata dell’iPhone che è meglio conoscere per poterla gestire bene. Quando si va nell’app Foto e si cancella una fotografia, in realtà l’immagine non viene eliminata davvero. Viene messa temporaneamente in un album che si chiama Eliminati di recente e viene cancellata realmente solo dopo trenta giorni di giacenza. Lo stesso avviene anche per i video che avete ripreso.

Questo è un bene se vi accorgete di aver eliminato per errore una foto o una ripresa video che volevate invece tenere, oppure se cambiate idea dopo averla eliminata. Ma significa anche che chi ha accesso al vostro smartphone può andare a sfogliare le foto e i video apparentemente eliminati e può recuperarli.

Vi conviene quindi vuotare questo deposito temporaneo dopo aver eliminato foto che potrebbero essere usate contro di voi. Basta andare nell’app Foto, selezionare gli Album e poi andare in fondo all’elenco degli album, dove se ne trova uno denominato appunto Eliminati di recente. Si tocca ciascuna foto o ripresa video e poi si tocca Elimina per farla sparire per sempre oppure Recupera per ripristinarla. Ma fate attenzione, perché stavolta la cancellazione è a prova di hacker.

Chi soffre di apnea ostruttiva nel sonno dipende da speciali macchine, denominate CPAP (Continuous Positive Airway Pressure), che vanno regolate con precisione per non causare danni.

Secondo quanto riferisce Motherboard, una delle aziende che fabbrica queste macchine e le vende in tutto il mondo si chiama Resmed. L’azienda cifra i dati generati dalle proprie macchine e si aspetta che i pazienti portino questi dati a mano ai propri medici su schedine di memoria SD e che i medici leggano questi dati per calibrare le macchine usando un programma speciale, ResScan, che i pazienti non possono acquistare: un procedimento assurdamente lento e complicato, che anche i medici hanno pochissimo tempo di eseguire.

Ma Mark Watkins, uno sviluppatore australiano affetto da quest’apnea, ha scritto un software, Sleepyhead, che decodifica i dati cifrati e permette ai pazienti di fornirli ai propri medici oppure di interpretarli ed effettuare piccole regolazioni degli apparecchi senza doversi sottoporre a queste trafile.

Piccolo problema: distribuire Sleepyhead è probabilmente illegale in molti paesi, perché le macchine di CPAP della Resmed usano una cifratura anticopia (DRM, Digital Rights Management) per proteggere l’accesso al proprio funzionamento, come tanti altri dispositivi per uso medico, e disseminare strumenti che scavalchino queste protezioni è spesso una violazione delle leggi sulla pirateria informatica. Usare questi strumenti è legale, ma diffonderli non lo è. Un amico che ne fornisce una copia a un malato commette un reato.

Ovviamente questo fai-da-te è rischioso anche dal punto di vista medico oltre che da quello legale, ma per molti pazienti l’alternativa è aspettare mesi per una regolazione professionale che consenta loro di dormire adeguatamente, e quest’attesa può essere devastante per la salute, per i rapporti sociali e per il lavoro.

Non è l’unico caso di hacking da parte di utenti per riprendere il controllo dei propri dispositivi, perché usare il copyright e i meccanismi anticopia per controllare l’uso delle macchine o degli elettrodomestici acquistati dagli utenti è una prassi diffusissima. Ci sono agricoltori che lo fanno per poter riparare i propri trattori della John Deere. Esistono persino macchine per il caffé della Keurig che usano la legge e i sistemi antipirateria per vietare agli utenti di adoperare cialde di altri produttori. Se non siamo padroni dei nostri dispositivi, non siamo utenti: siamo schiavi digitali.

Ultimo aggiornamento: 2018/11/16 7:50.

A quanto pare la Svizzera sta invitando gli informatici a mettere alla prova il sistema di voto elettronico messo a punto dalla Posta svizzera.

La RSI cita la NZZ am Sonntag, che a sua volta fa riferimento a “fonti della Cancelleria federale”, e dice che nel 2019 “i due sistemi di voto elettronico in fase di sviluppo in Svizzera [...] saranno messi alla prova dai pirati informatici di tutto il mondo.” Il sistema della Posta sarà sottoposto a prova di intrusione per quattro settimane la prossima primavera.

Ci sarebbero ben 250 mila franchi (circa 220 mila euro) “per organizzare la prova e offrire un montepremi che sia allettante per un gran numero di esperti informatici [...] Gli interessati a partecipare possono già iscriversi rivolgendosi alla Posta via Internet.”

Se volete cimentarvi insieme a me, o comunque soltanto discutere delle tecnologie e della sicurezza del voto elettronico, i commenti sono a vostra disposizione.

La RSI nota che “non è specificato a quale indirizzo” ci si debba rivolgere e ipotizza che “forse è già una prima prova”. In effetti le istruzioni per iscriversi non sono linkate dalle varie fonti che annunciano la prova e non sembra esserci un link pubblico sul sito della Posta. Le informazioni per esperti sul sistema di e-voting sono invece facilmente reperibili qui e una demo è qui.

2018/11/13 11:50

Come è tipico di tante cose in Svizzera, basta chiedere: un commentatore, Angus, ha scoperto le istruzioni di preiscrizione semplicemente chiedendole via mail alla Posta svizzera. Sono presso https://pit.post.ch/en (solo in inglese).

2018/11/16 7:50

Le istruzioni contengono soltanto un fomulario di preiscrizione e queste informazioni (evidenziazioni aggiunte da me):

Swiss Post is continuing to develop its online voting solutions for Federal votes and elections.
For its next-generation system, Swiss Post is looking into running a public intrusion test in 2019 under the requirements of the Swiss Confederation and the Swiss Cantons.
Would you like to receive further information? You can now pre-register here below.
Pre-registered researchers will obtain additional information and a link to sign up until the end of 2018 if the public intrusion test (PIT) will be carried out.
Contact: pit@swisspost.ch

Notate il “is looking into” e quell’“if”, che indicano che si tratta per ora di una ipotesi ancora in fase di valutazione.

Naturalmente mi sono preiscritto: ho ottenuto questa laconica risposta, che ribadisce che non è ancora detto che il test si faccia davvero (evidenziazioni aggiunte da me):

Thank you for your interest. If the public intrusion test (PIT) will be carried out, you will obtain additional information and a link to sign up until the end of 2018.

Contact: pit@swisspost.ch

Fonti aggiuntive: 20min.ch, Swissinfo.ch, Corriere del Ticino, Ticinonews.ch.

Nota: alcuni dettagli di questa vicenda sono stati alterati oppure omessi per proteggere gli interessati ma in modo da non alterare il senso tecnico del racconto. Ultimo aggiornamento: 2018/11/10 01:00.

Un paio di giorni fa mi è capitata un’occasione molto particolare: la possibilità di assistere al lavoro di una persona esperta nell’hacking, che chiamerò Mario (ovviamente non è il suo vero nome). Io ho assistito come giornalista per documentare e raccontare una sessione dimostrativa di questo lavoro, facendo attenzione a non rivelare troppo pur mantenendo il valore educativo degli esempi concreti che ho visto.

Cominciamo dall’inizio. La prima questione è capire che c’è una grandissima differenza fra un attacco mirato a un obiettivo specifico e una pesca a casaccio. Nel primo caso ci vuole molto tempo ed è necessaria una pianificazione attenta. Nel secondo, beh, il mare è pieno di pesci: basta scegliere quello più vulnerabile.

Mario stavolta va appunto a pesca. È una pesca a strascico, che prende chiunque riesca a prendere, quella che coglie in fallo tutti quelli che dicono “Ma io non sono nessuno, ho un’aziendina come tante, chi vuoi che mi prenda di mira?”. Nella pesca a strascico finiscono tutti, grandi e piccoli, aziende e privati, perché è facile. Terribilmente facile.

Infatti trovare informazioni lasciate incautamente online è spesso soltanto una questione di saper usare Google. Niente violazioni di siti: basta un po’ di Google hacking, basato su parametri come il tipo di file e sulla ricerca di parole o coppie di parole potenzialmente interessanti, oppure di nomi di file particolari che vengono generati per esempio da backup o da programmi per l'archiviazione della mail.

Sì, la gente mette online inavvertitamente documenti contenenti password e altri dati personali, backup completi dei propri database e altro ancora. Li mette in directory pubblicamente accessibili di un proprio server perché così è comodo (“tanto se nessuno sa che sono lì, non li troverà nessuno”), come ben sa la BBC. Comodo anche per chi li vuole trovare, visto che vengono indicizzati da Google. So che sembra impossibile: non ci credi finché non lo vedi con i tuoi occhi.

Essendo dati pubblicati online, formalmente non è neanche un’intrusione. Basta scaricare i file e poi analizzarli con calma. Nel caso preso in esame da Mario, si tratta di un classico file di testo nel quale l’utente conserva in chiaro tutte le proprie password; è ancora lì, online, in questo momento, in una sezione di un sito pubblico creato per un cliente. Il file contiene tutte le coordinate di una ditta del sud Italia.

Mario esamina il file: nota che gli utenti elencati tendono a usare sempre la stessa password, la stessa casella di mail e lo stesso nome utente nei vari account, sia mail sia social, sia privati sia di lavoro. Un classico.

L’autenticazione a due fattori (2FA) si rivela un salvagente prezioso: l’esperto trova nel file password e nome utente di un account Paypal: se avesse intenzioni ostili, questo sarebbe il suo primo bersaglio, immediatamente monetizzabile. La password è banale e valida, ma c'è la 2FA che allerta l’utente e blocca l’intrusione. Ottimo. Lo stesso vale per Gmail, Skype e Amazon. Non sarebbe possibile quindi causare danni economici diretti saccheggiando conti o facendo acquisti, ma sapere le password di account del genere sarebbe più che sufficiente per fare attacchi di social engineering come quello recente “so la tua password, ti ho registrato mentre guardavi siti porno”.

Le cose si fanno più interessanti con gli account social. Su quello Twitter non c’è 2FA, ma nel file di password manca il nome dell’account: ci sono solo (si fa per dire) l’indirizzo di mail e la password. Ma per Mario la cosa non pone nessun problema: basta guardare gli schemi usati altrove e diventa facile indovinare il nome dell’account. È quello dell’azienda seguito dal tipo di ragione sociale.

Se Mario entrasse a fondo nell’account, avrebbe accesso a tutti i messaggi pubblici e privati e potrebbe fare qualunque cosa: cancellare l’account, scaricare le foto (anche quelle definite “private”), mandare messaggi fingendo di essere l’azienda e distruggerne la reputazione, cambiare la password dell’account e chiedere denaro per ridarne il controllo al legittimo proprietario, eccetera. Ma si tratta di una dimostrazione, per cui si limita a lasciare su Twitter un messaggio per avvisare che la password è nota e consigliare di cambiarla.

Anche l’account Facebook non è protetto dalla 2FA. Ci sono anche foto di bambini (i figli?) e naturalmente ci sono i nomi degli amici e i luoghi visitati. Anche qui il potenziale di far danni è altissimo, ma Mario non fa nulla.

Ci sono anche i documenti: account di canali TV a pagamento cessati, vecchie bollette telefoniche, carte di credito scadute. Anche così, comunque, sono utili perché forniscono nomi, cognomi, indirizzi, codici fiscali e partite IVA, utilissimi per fare escalation e imbastire un attacco informatico più approfondito. Per esempio, l’azienda usa un sistema di fatturazione online, e uno dei parametri necessari per consultarlo (oltre ai codici, incautissimamente scritti nel file lasciato su Internet) è la partita IVA. Che Mario ha subito a disposizione tramite le fatture. A questo punto sarebbe banale ficcare il naso nella fatturazione dell’azienda e acquisire altri dettagli utili: i nomi dei fornitori, le coordinate bancarie e altro ancora.

Ci sono anche le credenziali di affiliazione a un movimento politico, ma Mario non se ne fa nulla a parte riderci sopra.

La lezione finale, piuttosto sorprendente, di questa storia è che bisogna lasciare una traccia innocua del proprio passaggio perché altrimenti spesso non si verrà creduti quando si avviserà l’utente che le sue password sono a spasso. Così Mario cambia l’immagine nel profilo Telepass (che potrebbe usare per sorvegliare gli spostamenti del titolare) e ci mette un bel gattino. Fine della dimostrazione.



A me restano le questioni etiche: quante violazioni del GDPR avrà accumulato quest’azienda? E se ci fossero di mezzo altre persone (clienti, fornitori), sarebbe opportuno o necessario avvisarle? Una cosa è certa: l’azienda va informata. L’ho fatto subito via mail e via SMS, perché chiunque potrebbe trovare online quei dati (basta una banale ricerca in Google) e fare danni: l’azienda ha risposto stamattina dicendo che si stava recando alla Polizia Postale.

Utente avvisato, mezzo salvato: spero che questo resoconto, anche se pesantemente anonimizzato, possa ispirare chi lo legge a prendere precauzioni più serie e a non pensare di essere troppo poco interessante o appetibile.

Ricordo che per le segnalazioni di dati riservati lasciati incautamente online, in Svizzera ci si può rivolgere all’apposita pagina dell’Ufficio Federale di Polizia e a quella di MELANI (la Centrale d'annuncio e d'analisi per la sicurezza dell'informazione), mentre in Italia si può contattare il CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche).

2018/11/10 01:00

I dati sono spariti dall’URL pubblicamente accessibile. Noto ora che in una delle risposte di una delle persone interessate c’è questa chiusura:

Nessun virus nel messaggio.
Controllato da AVG - www.avg.com
Versione: 2016.0.8048 / Database dei virus: 4793/15883 -  Data di rilascio: 14/08/2018
Database dei virus interno non č aggiornato.

Sicurezza, questa sconosciuta.