Incastrato dal formaggio: nel Regno Unito, uno spacciatore è stato identificato online e condannato grazie a una foto delle sue dita che impugnavano un pezzo di Stilton, pubblicata online.

Il trentanovenne Carl Stewart, residente a Liverpool, è stato arrestato, si è dichiarato colpevole di spaccio di stupefacenti e condannato a tredici anni e sei mesi di reclusione. Tutto, secondo il resoconto della polizia del Merseyside, partendo da una singola fotografia di una sua mano.

La foto era stata postata su EncroChat, un servizio di messaggistica oggi scomparso, da un utente che si faceva chiamare Toffeeforce e che usava EncroChat per i suoi traffici illeciti. Una tipica foto da social network: una mano che, in un supermercato della catena Marks & Spencer, mostra alla fotocamera un pezzo di formaggio confezionato. 

Stewart non ha considerato che l’immagine aveva una risoluzione sufficiente a consentire di estrarne le impronte digitali e del palmo della mano e identificarle come appartenenti a lui. Questo ha permesso agli inquirenti di associare l’account su Encrochat alla sua identità e quindi di incriminarlo.

Non è la prima volta che vengono estratte impronte digitali dalle fotografie, come nota The Register: l’esperto di biometrica Jan Krisller lo aveva fatto nel 2014, a titolo dimostrativo, con una foto di una mano dell’allora ministro della difesa tedesco Ursula von der Leyen.

A parte la stranezza divertente di leggere in un rapporto di polizia che uno spacciatore di stupefacenti “è stato smascherato dal suo amore per il formaggio Stilton”, episodi come questi ci ricordano la differenza fondamentale fra impronta digitale e password, spesso dimenticata da chi si affida a sensori d’impronta e simili: la password è una cosa che puoi cambiare e tieni segreta, l’impronta digitale è fissa e la mostri letteralmente a tutti. E si può estrarre da una foto fatta con uno smartphone.

 

Fonte aggiuntiva: Snopes/Associated Press.

Nota: so che il link di questo articolo parla di poste svizzere. È un pasticcio combinato da Blogger. Lascio così per non creare ulteriore confusione.

Cellebrite è un’azienda israeliana che produce un programma di digital forensics, uno di quei software usati dalle forze di polizia di molti paesi per entrare nei telefonini degli indagati superandone le protezioni. Inevitabilmente è un programma che si presta ad abusi, perché nei regimi autoritari viene usato anche per violare i diritti dei dissidenti, degli attivisti e dei giornalisti o per perseguitare gruppi di persone che non piacciono al governo di turno.

Qualche tempo fa Cellebrite si è vantata di aver aggiunto al proprio software la capacità di acquisire dati da Signal. La cosa ha spaventato molti utenti, che usano legittimamente Signal (prodotto open source ed estremamente rispettoso e protettivo della privacy) al posto di WhatsApp o Telegram.

Moxie Marlinspike, uno dei creatori e gestori di Signal (insieme a Stuart Anderson), non l’ha presa bene e ha scritto un articolo in cui non solo fa a pezzi e ridimensiona le vanterie di Cellebrite, ma inserisce una trappola micidiale per l’azienda. Mai stuzzicare un informatico, specialmente uno che ci tiene molto alla difesa dei diritti umani. Se usate Signal, vi conviene leggere bene cosa ha scritto.

---

La prima cosa che Marlinspike chiarisce è che Cellebrite può agire soltanto sui dispositivi che gli inquirenti hanno fisicamente a propria disposizione: non fa intercettazione da remoto. 

La prima parte del suo software, chiamata UFED, fa un backup dei dati del dispositivo usando le risorse di backup presenti su di esso (adb backup per Android e il backup di iTunes per iOS); la seconda, Physical Analyzer (PA), analizza i file di questo backup per presentarli in forma esplorabile.

Questo vuol dire che il software di Cellebrite estrae dati che sono untrusted: ossia sono generati e controllati dalle singole app presenti sul dispositivo. E questo a sua volta vuol dire che UFED e Physical Analyzer sono vulnerabili qualora quei dati siano formattati in modi inattesi. Marlinspike nota, per esempio, che UFED/PA includono una versione delle DLL di FFmpeg che è ferma al 2012. Cellebrite non ha introdotto nessuno degli oltre cento aggiornamenti di sicurezza usciti in questi anni.

Avete già intuito dove sta andando a parare questa osservazione: Marlinspike nota che è possibile eseguire codice arbitrario sul computer che fa girare il software di Cellebrite “semplicemente includendo un file appositamente formattato, ma per il resto innocuo, in qualunque app presente in un dispositivo che viene poi collegato a Cellebrite e scansionato.”

Per esempio, basta includere nel dispositivo un file di questo genere per forzare Cellebrite a modificare non solo il report generato durante la scansione di quel dispositivo, ma anche tutti i report precedenti e futuri. Si possono aggiungere o togliere testi, mail, foto, contatti, file, eccetera, senza modifiche rilevabili dei timestamp e senza errori di checksum. In altre parole, qualunque report sarebbe invalidabile perché non darebbe alcuna garanzia di integrità dei dati raccolti. 

Un file “tossico” del genere potrebbe trovarsi in qualunque app, e finché Cellebrite non sistema tutte le vulnerabilità del proprio software l’unica contromisura praticabile per non trovarsi con un’installazione alterata e inattendibile è non fare scansioni di dispositivi.

Marlinspike include nel suo articolo un video che dimostra cosa è possibile fare con questa tecnica. Questo è il fotogramma finale:

L’azienda che produce Signal, scrive Marlinspike, è disposta a rivelare responsabilmente le falle che ha scoperto nel software di Cellebrite se Cellebrite farà altrettanto per tutte le falle che usa per estrarre i dati eludendo le protezioni dei dispositivi. Touché.

Fra l’altro, nota Marlinspike, il software di Cellebrite (specificamente l’installer di Physical Analyzer) contiene due pacchetti firmati digitalmente da Apple che sembrano essere stati estratti dall’installer per Windows di iTunes. Probabilmente questa è una violazione di licenza che potrebbe avere conseguenze legali per Cellebrite e i suoi utenti.

Per finire, Marlinspike annuncia, “come notizia completamente slegata”, che le future versioni di Signal includeranno dei file in più, che “non vengono usati mai per nulla in Signal... ma sono belli, e l’estetica nel software è importante”.

Credit: Fitbit.com.

È ormai ben noto che i braccialetti di fitness e gli smartwatch sono molto efficaci per chi pratica attività fisica e vuole monitorare i propri progressi e risultati; fanno anche monitoraggio dell’attività cardiaca e della qualità del sonno, in modo discreto e poco invadente. Non è altrettanto risaputo che sono dei testimoni digitali che permettono di risolvere crimini.

In California il presunto colpevole dell’omicidio di una donna di 67 anni, Karen Navarra, è stato incastrato proprio da un braccialetto di fitness. Non il suo, ma quello della sua vittima, come raccontano il New York Times e Naked Security.

Anthony Aiello, novantenne e patrigno della vittima, aveva detto alla polizia di essere andato a trovare la figliastra il giorno in cui è stata uccisa, l’8 settembre scorso, ma di averla lasciata ben prima dell’ora del delitto e anzi di averla notata passare in auto in compagnia di qualcuno nel tardo pomeriggio.

Ma Aiello non ha considerato che la figliastra indossava un braccialetto FitBit, che aveva registrato i battiti cardiaci della donna e li aveva trasmessi al suo computer e da lì agli archivi della casa produttrice del braccialetto digitale.

Gli inquirenti, armati di un mandato di perquisizione, hanno estratto i dati del braccialetto con l’aiuto di un responsabile della Fitbit e hanno visto che alle 15:20 del giorno del delitto il dispositivo aveva rilevato un improvviso aumento delle pulsazioni cardiache della donna, che erano completamente cessate alle 15:28.

Ma a quell’ora l’auto di Aiello era ancora parcheggiata accanto alla casa della vittima, come documentato da un’altra tecnologia: quella delle telecamere di sorveglianza.

I dati di un braccialetto di fitness non hanno necessariamente valore legale, soprattutto in un caso grave come un omicidio. Per cui a questo punto gli inquirenti hanno adottato una tecnica molto astuta: hanno interrogato Anthony Aiello, spiegandogli come funziona un Fitbit e raccontandogli che registra i movimenti fisici e i battiti cardiaci, assegnando a questi dati un riferimento temporale molto preciso. Infine gli hanno detto che i dati del Fitbit dimostravano che la figliastra era già morta quando lui l’aveva lasciata, e se ne sono andati lasciandolo nella stanza d’interrogatorio.

Secondo il rapporto di polizia, Aiello a quel punto ha cominciato a parlare da solo, dicendo ripetutamente “Sono rovinato”. Questo ha portato alla sua incriminazione per omicidio. A casa di Aiello sono stati anche trovati indumenti insanguinati.

Se Aiello verrà dichiarato colpevole, sarà insomma anche grazie alla traccia di dati digitali che ogni persona lascia dietro di sé, con telefonini che fanno geolocalizzazione silente, con acquisti effettuati con carte di credito, con le telecamere di sorveglianza e con i post nei social network. La tecnologia sta rendendo sempre più difficile mentire, e in casi come questo delitto è sicuramente un bene. Ma è anche importante ricordare che questa tecnologia non è perfetta: il mio account Google, legato al mio smartphone, giura che sono stato in Turchia l’11 maggio 2016, percorrendo 5375 chilometri in un’ora e 46 minuti a piedi. Attenzione, insomma, a non incriminare solo sulla base dei dati.


Nota: Visto che me lo state segnalando in parecchi, vorrei chiarire che so che il mio indirizzo di casa è visibile nell’immagine qui sotto. Va bene così. I complottisti verranno accolti con un sorriso e una fetta di torta. In faccia.

Fonte: Wikipedia.

I font sono una di quelle cose quotidiane alle quali non fai quasi mai caso: esistono e basta, senza che ci si debba pensare troppo. Tranne quando qualcuno fa una presentazione serissima usando font ridicoli come il Comic Sans. O quando un font finisce al centro di uno scandalo politico o finisce per rovinare la carriera di un giornalista.

In Pakistan è in corso il cosiddetto Fontgate: dei documenti che scagionerebbero il primo ministro Nawaz Sharif dall’accusa di aver accumulato denaro illecitamente sono scritti con il font Calibri. Solo che il Calibri è disponibile al grande pubblico dal 2007, mentre i documenti scagionanti che lo usano sono datati 2006, per cui il sospetto che siano falsi è molto alto.

È vero che il Calibri era disponibile nelle versioni beta di Windows Vista e Office 2007 fin dal 2006, ma quanto è probabile che qualcuno abbia usato un font presente in una versione sperimentale di Windows per un documento di lavoro?

Ars Technica cita questo caso insieme ad altri due dello stesso genere: nel 2012 il governo turco accusò oltre 300 persone di aver cospirato per compiere un colpo di stato sulla base di documenti risalenti al 2003, che però usavano il Calibri, che all’epoca non era neanche stato progettato. Il tribunale ignorò quest’impossibilità tecnica e condannò tutti lo stesso. E nel 2005 un font costò il posto e la carriera al celeberrimo giornalista Dan Rather della CBS e a molti componenti della sua redazione: presentò in TV dei documenti dattiloscritti datati 1973 che implicavano il presidente George W. Bush in uno scandalo riguardante il suo servizio militare, ma non si accorse che i documenti usavano font proporzionali e virgolette tipografiche, che nel 1973 non esistevano. Tutto per colpa di un font.

Se usate Safari su Mac, date un'occhiata alla cartella [utente]/Libreria/Caches/com.apple.safari/Webpage Previews: ci troverete una serie di immagini delle pagine Web che avete visitato. Sono le anteprime usate da Safari per la funzione Top Sites.

Queste anteprime sono in alta risoluzione e possono essere utili se vi serve uno screenshot di una pagina (anche perché spesso contengono un'immagine più ampia della porzione visibile sul vostro schermo), ma sono anche uno strumento utile d'indagine per sapere quali siti ha visitato un utente e quindi un potenziale rischio di privacy. Oltretutto le immagini si accumulano in fretta, occupando spazio e potenzialmente rallentando gli accessi a disco di Safari, e persistono per mesi. Io ne ho appena purgate oltre 1200 che occupavano circa 300 megabyte, eppure uso Safari molto poco.

Le immagini possono essere cancellate con il Finder. Chi usa OS X Lion si trova nascosta la cartella Libreria: per accedervi basta andare nel Finder e premere il tasto Opzione mentre si seleziona il menu Vai, nel quale comparirà appunto la voce aggiuntiva Libreria.

Sì, lo so, la tigre nasconde una sorpresa.

Questo articolo vi arriva grazie alla gentile donazione di “laba65”.