Ho intervistato a febbraio scorso lo sviluppatore di software e consulente informatico forense Andrea Lazzarotto (sul tema dei data breach, che ho poi affrontato nel podcast di oggi. Con colpevole ritardo, dovuto alla speranza a lungo coltivata di riuscire ad affiancare a quest’intervista quella di una figura analoga svizzera, pubblico qui l’intervista a Lazzarotto. Alcuni passaggi sono stati leggermente riveduti per maggiore chiarezza; se ci sono errori, sono colpa della mia trascrizione (segnalatemi eventuali cose da sistemare). La foto qui accanto è tratta dal suo sito.

Andrea Lazzarotto, ci descriva brevemente la sua professione.

Io mi occupo di sviluppo software e consulenza informatica forense, che poi è forse l'attività più correlata anche alla tematica di cui parleremo oggi. Il consulente informatico forense è una figura professionale che si occupa di assistere i propri clienti dal punto di vista tecnico, nel mio caso informatico, nelle vicende che possono essere ad esempio giudiziarie, quindi a carattere penale, o anche in controversie di tipo civile, in cui si entra in un contesto in cui viene introdotta un qualche tipo di evidenza e di prova informatica o digitale. Quindi non necessariamente solo casi in cui magari si ha a che fare con crimini prettamente informatici, come immaginiamo un'azione di violazione di un sistema informatico, ma anche in realtà situazioni in cui gli elementi digitali possono entrare in casistiche che di fatto non erano vicende informatiche. Pensiamo ad esempio all'analisi di un dispositivo come un cellulare, che può anche venire fuori in vicende di altro tipo, come minacce oppure anche concorrenze sleali. Quindi io affianco il cliente dal punto di vista tecnico, mentre l'avvocato lo affianca dal punto di vista legale.

Parliamo in particolare di reclami presso il garante privacy, che per molti sono un mistero. Sentiamo sui giornali che ci sono violazioni dei dati, fughe di dati, data breach e via dicendo e molto spesso queste aziende coinvolte vengono segnalate al Garante, o il Garante avvia un’istruttoria e poi a volte c'è una sanzione, una pena di qualche tipo. In concreto, che cosa succede quando un sito si lascia sfuggire dei dati che vengono poi presi da un attore ostile che cerca di rivenderli? O comunque quando un sito se li è lasciati scappare e quindi ha commesso una violazione della garanzia di riservatezza fatta ai clienti?

In questo caso dobbiamo distinguere tra cosa succede ai dati che sono stati violati e cosa succede invece all'azienda che potrebbe essersi resa responsabile o comunque negligente da questo punto di vista. 

Per quanto riguarda i dati la situazione è un po' complicata, nel senso che una volta che è avvenuto un data breach e quindi questi dati sono stati violati e acceduti da soggetti ignoti e indeterminati, è probabile che, soprattutto se sono non dati di una singola persona, ma solitamente succede che vengono acceduti interi archivi, ad esempio di dati di tutti i clienti o di una buona parte dei clienti, questi dati abbiano per i criminali informatici un valore economico di fatto, perché il motivo per cui avvengono queste violazioni è generalmente di tipo economico. 

Le persone che si introducono nei sistemi per violare i dati e carpirli, dopo li vanno solitamente a rivendere in una sorta di mercato nero. Ci sono online questi mercati, questi marketplace, in cui chi ha rubato dei dati solitamente cerca di rivenderli a terzi per i motivi più disparati. 

Ad esempio, se sono stati rubati nei casi più gravi i dati di pagamento, questi dati di pagamento ovviamente fanno gola a chi poi va a fare le truffe sulle carte di credito sia per rubare direttamente denaro oppure anche per fare degli acquisti usando carte altrui. Se invece si tratta di dati, diciamo, magari anche un po' meno correlati al pagamento, un po' meno privati, come ad esempio delle liste di indirizzi email, queste liste di indirizzi email potrebbero ad esempio fare gola a persone che fanno attività di spamming, che significa mandare delle email pubblicitarie non sollecitate e non autorizzate a una vasta quantità di persone per fare pubblicità oppure anche per fare delle truffe, perché anche le email vengono usate a volte per mandare messaggi di cosiddetto phishing. Il phishing è una tecnica di attacco verso le persone per cui ci si spaccia per un sito affidabile, per esempio Facebook oppure Microsoft, e si manda un'email fasulla alla vittima in cui si richiede di cliccare un link per ad esempio rieffettuare l'accesso, per esempio per fare una verifica di un account, oppure ci si può anche fingere la banca e far cliccare il link malevolo a una persona in modo da indurla a fidarsi, magari perché vede il logo della banca o la grafica perfetta del sito che è stata clonata, e quindi avere gli indirizzi mail di tante persone aumenta la quantità di potenziali vittime che si vanno a colpire.

Poi, per la parte delle aziende, la questione è un po' più variata, nel senso che ci sono due strumenti che le persone possono utilizzare. La segnalazione è uno strumento che può utilizzare sostanzialmente chiunque per scrivere all'autorità garante per la protezione dei dati personali, ad esempio quella italiana o a seconda di dove uno risiede, per comunicare che c'è una certa situazione. Non è necessario per la segnalazione essere una delle persone che ha subito il data breach.

Invece le persone che sono state soggette di un data breach o comunque vedono violati i propri diritti alla riservatezza, alla protezione dei dati personali, possono utilizzare uno strumento un po' più specifico che è il reclamo. Il reclamo quindi deve essere fatto dall'interessato, o direttamente o tramite il proprio avvocato; quindi si va a scrivere al Garante per segnalare questo tipo di comportamento. Potrebbe essere un reclamo verso l'azienda: se io scopro che l'azienda X ha subito un data breach e io ero uno dei clienti dell'azienda X, ragionevolmente posso pensare che i miei dati siano stati violati e vado a fare un reclamo verso l'azienda X. Oppure nel caso ad esempio arrivino attività di pubblicità, quindi mi arrivano email pubblicitari di spam e io non so perché sto ricevendo un email pubblicitario dell'azienda Ypsilon che per qualche motivo ha il mio indirizzo email ma non mi risulta di averglielo fornito, posso anche in quel caso fare un reclamo.

Diciamo che in questo caso, soprattutto prima di fare un reclamo per un'attività di spamming, la cosa da fare preventivamente è contattare il titolare del trattamento, quindi l'azienda per cui vengono mandate le comunicazioni pubblicitarie, e fare una richiesta di esercizio dei diritti in materia di protezione dei dati personali, qui in Europa abbiamo il GDPR, e si può fare una richiesta di accesso ai dati personali, quindi richiedere all'azienda che ci sta scrivendo quali sono i dati personali nostri che sono in suo possesso, quali sono anche le categorie che vengono trattate, le finalità per cui vengono trattate, quindi nel caso specifico dovranno comunicare ad esempio che le stanno usando per mandarci questa email pubblicitaria, e quali sono eventualmente i criteri con cui vengono stabiliti di periodo di conservazione e anche l'origine dei dati, perché se io ricevo una comunicazione pubblicitaria posso richiedere qual è l'origine del mio indirizzo di posta o indirizzo email su cui mi sta venendo mandata la pubblicità. 

Poi si può richiedere anche, sempre ai sensi del GDPR, la richiesta di intervento. Quindi si può richiedere, ad esempio, di cancellare i dati perché magari non è mai stato richiesto di ricevere pubblicità oppure si era richiesto in passato ma non si desidera più riceverla.

E poi, infine, un'altra cosa che si può fare è una richiesta di opposizione al trattamento per le finalità di marketing. Questa richiesta poi dovrà essere riscontrata dall'azienda entro 30 giorni dal momento in cui è stata inviata. Se la risposta, quindi il riscontro, non è ritenuto sufficiente perché l'azienda o non ha risposto, oppure ha risposto in modo evasivo o non ha accolto la richiesta, a quel punto chiaramente si può fare un reclamo al garante per la protezione dei dati personali, descrivendo anche il fatto che è stata inviata una richiesta e che la risposta eventualmente ricevuta non è ritenuta soddisfacente.

Queste segnalazioni, questi reclami, vanno fatti secondo qualche procedura particolare, per esempio bisogna mandare una posta elettronica certificata, bisogna immettere dei dati nel sito del garante? Come si procede in pratica? Supponiamo che io sia vittima di un data breach, quindi so che i miei dati personali di qualche genere, per esempio una login e una password di un mio account, sono stati esposti da una ditta. Cosa faccio?

Sicuramente se ho già le evidenze che i miei dati certamente sono stati coinvolti nel breach, posso contattare direttamente il garante. Oppure, una cosa che possiamo consigliare è che per essere certi di essere nel breach, perché a volte questi breach riguardano una fetta di utenti ma non tutti gli utenti di un'azienda, possiamo contattare proprio l'azienda stessa. Quindi anche in questo caso possiamo fare un esercizio dei diritti ai sensi del GDPR, per cui troviamo anche una modulistica, diciamo un esempio di richiesta, sul sito del garante.

Ad esempio, il Garante della privacy italiano ci fornisce un esempio di richiesta [dovrebbe essere questo], però in realtà la richiesta verso l'azienda può essere fatta sostanzialmente in forma libera, quindi anche contattando il servizio clienti tramite l'email che viene messa a disposizione; oppure, se si vuole essere più formali e più sicuri dell'invio, si può inviare una raccomandata con avviso di ricevimento o una PEC. Quindi nella richiesta possiamo descrivere, ad esempio, come è capitato anche a me di fare in un caso, che tramite la stampa è stato riscontrato che l'azienda ha subito un data breach o comunque ha visto acceduti i propri dati di alcuni clienti da parte di ignoti. In ragione di ciò si richiede all'azienda di fornire una copia di tutti i dati personali e indicare soprattutto se questi dati o quali di questi dati sono stati coinvolti nella violazione. In questo caso, come dicevo prima, la richiesta di esercizio dei diritti deve essere riscontrata entro 30 giorni; questo è un obbligo legale previsto dal GDPR, quindi l'azienda non può ignorarla, o comunque se lo fa si espone eventualmente a delle conseguenze.

Trascorsi questi 30 giorni possiamo avere ricevuto una risposta che ci chiarisce esattamente cosa è successo, oppure avere non ricevuto una risposta, oppure un riscontro inadeguato. In questi casi, se abbiamo ricevuto la risposta che ci dice che effettivamente i nostri dati sono stati violati, oppure se non abbiamo ricevuto un riscontro, possiamo procedere a effettuare un reclamo all'autorità garante.

Anche per il reclamo, il Garante della privacy italiano ci fornisce un modello. In questo caso il reclamo viene fatto tramite la trasmissione appunto all'autorità del nostro reclamo all'ufficio protocollo, quindi viene fatto o tramite una PEC, che è il metodo più semplice, oppure tramite una raccomandata. Nel caso in cui mandiamo una PEC possiamo avere l'atto firmato digitalmente, quindi se siamo in possesso di una firma digitale possiamo semplicemente sottoscrivere il PDF. Se invece facciamo un reclamo scritto che firmiamo a penna, dovremo poi allegare anche un documento di identità per farci riconoscere.

Per le aziende che subiscono questi data breach, quali sono le conseguenze? C'è una sanzione? Il Garante, una volta accettato il reclamo, che cosa fa concretamente? Molto spesso chi non segue queste vicende in dettaglio non ha una percezione molto chiara di tutti i passaggi successivi al reclamo o alla segnalazione.

Ci possono essere diversi tipi di risultato, che vanno dal caso in cui si è verificato che il reclamo non è fondato, oppure è un reclamo relativo a un fatto non particolarmente grave, come ad esempio un'e-mail pubblicitaria, e poi il titolare del trattamento, quindi l'azienda, ha riscontrato e accolto la richiesta di cancellazione, ad esempio, dalle email pubblicitarie; il reclamo può essere anche archiviato, quindi il procedimento viene archiviato senza particolari conseguenze. 

Oppure, nei casi un po' più gravi, un po' più fondati, ci sono vari tipi di sanzioni, dal più semplice, che può essere un ammonimento. L'ammonimento sembra una sciocchezza, come se fosse sgridare un bambino, ma in realtà dal punto di vista privacy è una sanzione che ha un suo significato, perché poi eventuali successive violazioni verrebbero valutate in modo anche più grave.

In alternativa ci possono essere delle imposizioni, quindi l'autorità garante, ordina, impone di terminare il trattamento, quindi può anche disporre un divieto di ulteriore trattamento dei dati, sempre ad esempio se parliamo di trasmissione di materiale pubblicitario; l'autorità potrebbe vietare il successivo trattamento di questi dati, oppure ci possono essere delle sanzioni in denaro, quindi quelle che un po' impropriamente a volte definiamo multe. Non sono multe, ma sono sanzioni pecuniarie che vengono calcolate anche in base alla grandezza dell'azienda, a quanto è il volume, il giro d'affari, quindi anche quanto è il fatturato annuo e anche ovviamente alla gravità della violazione, perché ci sono condotte che sono più gravi e altre che sono meno gravi. Infatti le sanzioni hanno un massimo che può raggiungere anche cifre molto elevate, perché pensiamo che il massimo che la legge prevede fino a 10 o 20 milioni di euro oppure dal 2 al 4% del fatturato mondiale annuo, se questo è superiore. Diciamo che è una norma, quella del massimo della sanzione che è stata prevista soprattutto per le aziende molto grandi, le multinazionali.

L'importo, l'ammontare di questa sanzione a chi finisce? Alla vittima, al garante, altrove?

Il reclamante in questo contesto non riceve denaro, il procedimento innanzi al Garante non è come un processo civile in cui vado a chiedere i danni, ma è un procedimento in cui l'interessato fa rispettare i propri diritti alla privacy. Quindi la sanzione non va a finire in mano al reclamante, ma viene elargita di fatto all'autorità, quindi è come se fosse una multa, anche se non è una multa.

Facciamo un caso concreto: un utente che non è coinvolto direttamente, non sono i suoi dati a essere stati trafugati, ma si accorge che c'è un'azienda che sta disseminando consapevolmente o meno i dati dei suoi clienti, fatture, documenti di identità, si accorge di questa cosa. Fa quindi una segnalazione al garante. A quel punto il garante che cosa fa? Manterrà aggiornata la persona che ha fatto la segnalazione o ci sarà un rapporto soltanto con la ditta interessata?

Per quanto riguarda le segnalazioni, da quello che so, anche se non ho moltissima esperienza perché seguo abitualmente tanti reclami ma non molte segnalazioni, siccome il segnalante non è direttamente interessato, ovviamente non viene messo al corrente di tutto l'iter e di tutto quello che segue. Salvo che ci sono diversi casi in cui, alla fine dell'istruttoria e dell'eventuale decisione sanzionatoria, il Garante della privacy alcuni provvedimenti li pubblica. Anche la pubblicazione sul sito del Garante è una sanzione accessoria che può essere comminata per alcuni casi un po' più gravi; invece se una persona è reclamante, quindi è direttamente interessata, chiaramente viene tenuta al corrente del percorso che segue l’istruttoria.

Con che frequenza avvengono situazioni di questo tipo, ossia che ci siano reclami non per spamming ma proprio per violazione dei dati, dati disseminati?

È un po' difficile da stimare, anche perché queste situazioni di data breach in realtà non sempre vengono messe alla luce come dovrebbero. Diciamo che il GDPR prevede che nel momento in cui un'azienda si rende conto che ha subìto un data breach o comunque che ha subìto una violazione che potrebbe anche avere esposto dei dati personali, deve agire in un tempo molto breve, perché la legge prevede un termine di 72 ore, salvo casi particolari. 

In queste 72 ore dovrebbe fare una valutazione di quella che è stata la violazione e determinare se fare una segnalazione al garante, quindi tra virgolette autosegnalarsi in un certo senso, oppure se è stato un caso particolarmente piccolo, non vi è anzi l'obbligo necessariamente di comunicarlo all'autorità, ma deve essere annotato su un apposito registro interno, che è il registro delle violazioni. 

Adesso entriamo in una materia che è più legale, è tecnica e riguarda di più i DPO o gli avvocati, però diciamo che l'azienda che è messa al corrente dovrebbe segnalarsi da sola al garante. Se invece l'azienda non è al corrente, perché magari se ne accorge qualcun altro, allora può essere che un altro cittadino faccia la segnalazione all'azienda e a quel punto parte il termine. E' anche vero che in alcuni casi può anche succedere, soprattutto con aziende piccole e non strutturate, che l'azienda preferisca o ritenga di non gestire particolarmente bene questa cosa, magari perché pensa che nascondere la testa sotto la sabbia possa essere una buona strategia; può capitare anche quello.

Quindi in casi come questi, se l'azienda fa finta di niente e i dati rimangono aperti e accessibili, qual è il passo successivo?

Nel caso in cui una persona o interessata o un semplice segnalante decida di fare qualcosa, può fare una segnalazione o un reclamo all'autorità garante.

C'è da dire una cosa, comunque, che soprattutto per le segnalazioni abbiamo fatto prima l'esempio che se uno scopre in modo accidentale che un'azienda espone dati di altri può fare la segnalazione, certamente può farlo. Quello che è un po' problematico, dal mio punto di vista in Italia, è che la definizione che abbiamo dal punto di vista del codice penale, quindi parlo dell'articolo dell'ipotesi di reato di accesso abusivo a sistema informatico, è estremamente vaga.

Se andiamo a leggere letteralmente l'articolo, ci sono scenari in cui uno potrebbe scoprire in modo di tutto accidentale, ad esempio perché cerca delle parole su Google e uno dei link lo riporta a un documento che presenta dati personali che non c'era motivo di esporre o per altri motivi. Questo potrebbe portare una persona a vedersi, diciamo, paventata la minaccia più o meno fondata, diciamo anche magari per spaventarlo, di una possibile querela per accesso abusivo a sistema informatico, perché se noi andiamo a vedere l'articolo 615 ter, si parla di accedere a una risorsa, quindi a un sistema informatico, contro la volontà espressa o tacita di chi ha diritto di escluderlo. 

Uno potrebbe dirmi “ma perché tu hai aperto questo documento PDF con i dati personali dei miei clienti?”. “Stavo cercando su Google un'altra cosa, ho cliccato un link e è venuto fuori quel documento”. “Però io non volevo che tu accedessi a quel documento, quindi la mia volontà era quella di non farti accedere ai dati.” Allora comincia a diventare complicato. 

È chiaro che poi lì si parlerebbe di sistemi protetti da misure di sicurezza, però purtroppo c'è anche questa cosa che non abbiamo un framework legale, diciamo un sistema per cui chi va a segnalare alle aziende che ha questo problema di privacy viene tutelato legalmente in modo automatico, come stanno pensando di fare in altri paesi europei, cioè di mettere delle regole per cui se tu segnali una problematica a un'azienda sei sostanzialmente schermato da possibili denunce o altri tipi di azioni. 

In Italia non abbiamo questo, quindi rimane tutto in seno al buon senso delle singole aziende. Sicuramente ci sono tante aziende che di fronte a una segnalazione del genere ringrazierebbero e quindi ne vinceremmo tutti perché l'azienda scopre un problema, lo risolve e ne mitiga gli effetti. Ma io immagino che ci possono anche essere aziende che non siano molto felici di vedersi segnalate queste problematiche, perché poi devono gestire queste situazioni.

La situazione varia da paese a paese. Ci sono dei paesi che hanno già attivato questo scudo per chi fa segnalazioni di questo genere? Se sì, quali sono?

Stavo leggendo qualche ora fa una notizia relativa al Belgio, su una cosa in fase di pianificazione, e lì si parlava proprio di accessi dei controlli di sicurezza sulle aziende, quindi è una tematica più ampia rispetto allo semplice accertamento della protezione dei dati. In Belgio stanno pensando di tutelare legalmente i dati e di tutelare legalmente coloro che scoprano in modo più o meno accidentale che un'azienda ha problemi di sicurezza informatica e nel momento in cui chi lo scopre lo segnala immediatamente, cioè entro tre giorni, all'azienda.

Stanno pensando di introdurre proprio una sorta di immunità da eventuali conseguenze. Questo tipo di iniziative, secondo me, ha un impatto molto positivo, perché spesso si tende a scoprire in modo del tutto fortuito documenti tramite Google, per esempio, documenti PDF o file Excel o altre cose che contengono dati personali. E la frase standard che circola un po' anche fra i miei conoscenti, i colleghi, è "OK, fai finta che non abbia visto niente e lascia stare, perché se lo segnali non sai mai cosa potrebbe succedere, potrebbero ringraziarti o potrebbero anche minacciarti di una denuncia perché stavi aprendo un PDF che hai trovato casualmente su Google". 

Invece avendo una sorta di scudo, automaticamente tutte le persone verrebbero invogliate a segnalare queste scoperte, anche accidentali, e di conseguenza si migliora complessivamente lo stato della sicurezza informatica e della protezione dei dati. 

La situazione è ancora complessa, è ancora in divenire, però c'è un problema di proteggere appunto chi trova queste cose e poi cerca di fare il suo dovere di cittadino in un certo senso.

Voi che siete nel settore, siete in tanti ma avete tutti lavoro a tempo pieno per gestire questi problemi o i casi sono relativamente pochi per cui tutto sommato si naviga abbastanza bene?

È difficile parlare un po' per categoria, perché in realtà tanti professionisti anche in questo settore si specializzano in diverse categorie. Ci sono colleghi che si occupano tantissimo di dati personali, di privacy, ci sono altri colleghi che magari vedono pochi casi perché si occupano di più di altre cose come la sicurezza informatica nelle aziende oppure anche le perizie su smartphone e così via. Quindi è un po' difficile fare un commento generale su questo aspetto.

Io personalmente devo dire che nel mio caso la maggior parte dei reclami che seguo dal punto di vista privacy sono cose che seguo io personalmente come diretto interessato e reclamante come privato cittadino, mentre lavorativamente me ne capitano meno spesso.

Le aziende italiane sono attente al problema o lo prendono sotto gamba? Perché sembra perché ci siano molti casi, anche piuttosto grossi, di aziende che si fanno trovare con i dati a spasso. C'è un problema di sensibilità delle aziende secondo lei?

Secondo me sì e direi inoltre che è un problema di sensibilità, un problema forse anche culturale, cioè manca la cultura della sicurezza informatica. Dobbiamo tenere in considerazione, comunque, che in Italia soprattutto le aziende sono molto, in grandissima percentuale sono PMI e ci sono anche tantissimi casi di aziende che hanno 1, 2, 3, 5 persone all'interno in tutta l'azienda, quindi parliamo proprio di microimprese, e chiaramente in questi contesti è molto difficile avere tutte le competenze anche dal punto di vista della sicurezza informatica, perché una grande azienda, che può essere la classica grande azienda americana che ha migliaia e migliaia di addetti, al suo interno avrà un'unità dedicata alla sicurezza informatica, mentre una microimpresa probabilmente si rivolge per fare le proprie attività anche a fornitori esterni o consulenti quando serve, che gli sistemano il sito, gli sistemano il gestionale e così via. Quindi manca un po' anche la cultura della fiducia perché certi tipi di istruzioni probabilmente non vengono neanche visti con la dovuta considerazione. Cioè ci sono piccole aziende, soprattutto che quando si parla del problema della tutela dei dati rispondono "Sì, ma vuoi che vengano proprio da me ad attaccare? Non sono Microsoft, una piccola azienda, quindi cosa vuoi che mi succeda?” Di conseguenza si sottovaluta probabilmente anche il problema.

Ringrazio Andrea Lazzarotto per questa esplorazione molto esaustiva del settore dei reclami, di come ci si interfaccia con un garante europeo e spero che tutto sommato rimanga... senza lavoro, almeno da questo punto di vista. Ma nel frattempo per chi volesse sapere esattamente che fine fanno i suoi dati e che tipo di reazione e risposta c'è da parte dell'autorità, abbiamo qualche luce in più sull'argomento. Grazie ancora Andrea Lazzarotto.

Grazie a voi.

Pubblicazione iniziale: 2023/11/12 13:28, Ultimo aggiornamento: 2023/11/18 11:10. Immagine iniziale generata da DALL-E.

In questi giorni sto viaggiando in treno in Italia e ho notato che spesso gli utenti di iPhone e iPad lasciano aperta a tutti la funzione AirDrop, che permette di inviare file da un dispositivo Apple a un altro. La funzione non richiede che i dispositivi siano collegati alla stessa rete Wi-Fi.

Per esempio, facendo una semplice scansione (con il normale Finder del mio Mac) dei dispositivi raggiungibili via AirDrop ho trovato questi utenti:

“CIA Asset 4752” è il mio iPhone di test, che ho lasciato aperto per l’occasione. Ma l’iPad di Lele, gli iPhone di Viola, Dany ed Eradis e il Macbook Air di Lorenza non sono miei. Non ho tentato di inviare file, per non allarmarli.

Non è prudente tenere AirDrop aperto a tutti: chiunque vi può mandare foto indesiderate o malware, fare stalking o commettere altre molestie o abusi. AirDrop andrebbe attivato solo quando serve per trasferire dati da un dispositivo all’altro. Queste sono le opzioni disponibili sull’iPhone in Impostazioni - Generali - AirDrop: Ricezione non attiva (che consiglio come impostazione da tenere attiva normalmente), Solo contatti e Tutti per 10 minuti.

Per ridurre la vostra esposizione di dati personali quando attivate AirDrop, attivatelo solo verso i vostri contatti e in ogni caso togliete il vostro nome e il tipo di dispositivo dalla stringa del nome che viene trasmesso. Non accettate mai dati da sconosciuti.

Se avete un iPhone, iPad o Mac, andate in Impostazioni - Generali - Info - Nome, poi cambiate nome. 

Siate creativi. Io, per esempio, ho scelto questo:

Bitdefender ha effettuato un sondaggio sulle pratiche di base di sicurezza informatica in 11 paesi, e i risultati sono piuttosto deludenti: c’è ancora tanta strada da fare. Per esempio, il 50% degli intervistati ha ammesso disinvoltamente di usare la stessa password per tutti gli account. Un altro 32% ha detto di usare solo poche password, che adopera più volte su vari account.

Il sondaggio (PDF scaricabile, in inglese; comunicato stampa riassuntivo in italiano) si basa su un campione di 10.124 intervistati in Australia, Stati Uniti, Regno Unito, Francia, Germania, Italia, Spagna, Paesi Bassi, Romania, Svezia e Danimarca, di età fra 18 e 65 anni.

Sempre a proposito di password, più di una persona su quattro usa password banali (tipo 1234) come PIN di blocco del cellulare, e più di una persona su dieci non usa nessun PIN. Gli uomini tendono a usare password semplici più delle donne (31% contro 23%). Poi chiediamoci come mai i furti di account sono così frequenti.

Per quanto riguarda gli antivirus, più di uno su tre (35%) non ne usa sul proprio smartphone e il 30% ritiene che i telefonini non ne abbiano bisogno. Eppure il 66% dice di aver avuto almeno una minaccia informatica su quello stesso cellulare negli ultimi 12 mesi.

Il sondaggio copre anche l’uso degli smartphone e degli altri dispositivi digitali connessi da parte dei bambini (36% è senza supervisione) e molti altri aspetti della vita digitale.

Nel comunicato stampa sono disponibili anche i dati riferiti all’Italia. Qualche esempio: le piattaforme maggiormente utilizzate sono WhatsApp e Facebook (nessuna sorpresa); fra i 18 e 24 anni spadroneggiano Instagram e TikTok, nella fascia 25-34 si usano maggiormente Instagram e Netflix, e dai 45 ai 65 anni prevalgono Gmail e Facebook. Gli smartphone più diffusi sono gli Android. Un quarto degli utenti non usa un antivirus sul proprio dispositivo mobile; un quinto abbondante (23%) usa una password semplice per gli account online mentre il 22% usa una password semplice o non ha affatto una password.

WhatsApp sta attivando una funzione che a suo dire permette agli utenti di condividere foto e video che si cancellano automaticamente dopo che sono state viste una sola volta. 

Chi le riceve verrà avvisato da un’apposita icona che si tratta di contenuti temporanei, simili ai messaggi temporanei che già esistono da qualche mese in WhatsApp, come in altre app di messaggistica. 

Queste foto e questi video non potranno essere inoltrati usando WhatsApp, non verranno salvati nella galleria di immagini e verranno eliminati automaticamente dopo 14 giorni se non sono stati visti.

Interessante, ma attenzione a non interpretare questa nuova funzione come una giustificazione per pensare di potere condividere disinvoltamente foto intime o personali contando sul fatto che una volta viste spariranno per sempre: come per tutte le foto “autocancellanti”, esistono modi banalissimi (dallo screenshot in su) per rendere quelle immagini assolutamente permanenti.

Ben venga, quindi, l’uso di questa funzione per eliminare automaticamente le foto che scattiamo per usi temporanei, come per esempio quelle fatte per mostrare a qualcuno un prodotto o un vestito visto in un negozio, ma niente di più. La funzione è utile per non occupare spazio inutilmente sul proprio smartphone riempiendolo di foto e video che non servono, ma prima di usare questo servizio di “cancellazione” automatica, chiedetevi che cosa succederebbe se la foto “temporanea” diventasse permanente e circolasse.

Qualche giorno fa ho comprato per pochi euro due di questi portachiavi con la dicitura “PULL TO EJECT” tipica dei seggiolini eiettabili degli aerei.

L’ho fatto per una burla, ma anche per una ragione di sicurezza molto seria. Come molte auto della sua categoria, anche TESS (la mia Tesla Model S di seconda mano) ha un sistema elettrico di bloccaggio delle portiere posteriori. Non è quello della sicurezza bambini: è proprio una chiusura elettrica aggiuntiva a quella meccanica. La sicurezza bambini è un comando separato.

Quando si tira la maniglia interna per aprire, questo bloccaggio si disinnesta elettricamente. In caso di incidente, i sistemi di sicurezza lo disattivano, sempre elettricamente, e consentono l’apertura puramente meccanica (Model S Emergency Response Guide, pagina 23: “When an airbag inflates, Model S unlocks all doors, unlocks the trunk, and extends all door handles”). Ma che succede se l'impianto elettrico è danneggiato da una collisione o è guasto per qualche motivo? Se la batteria a 12V dell’auto è a terra o non fa contatto, che si fa?

Se non c’è alimentazione elettrica, il bloccaggio elettrico non si disattiva e la portiera non si può aprire dall'interno, neppure se si tira la maniglia. Brrr. Così prima di comprare l’auto ho sfogliato il manuale alla ricerca del sistema meccanico d’emergenza. Ho trovato la spiegazione a pagina 8. Il sistema c’è, ma è un po’ nascosto. Lo vedete?  

No, vero? Provate a trovarlo in quest’altra foto: 

Sì. È quella linguettina nera su sfondo nero sotto la seduta del sedile posteriore. Una di quelle cose che non troverai mai quando ti serve, se non sai già benissimo dov‘è. E che magari non sai neanche che esiste, visto che quando sei seduto sui sedili posteriori non la puoi nemmeno vedere e di solito non te ne parla nessuno. Oltretutto normalmente è coperta da una linguetta di moquette.

Qui sopra la vedete illuminata perché ho piazzato appositamente una lampada per scattare la fotografia. Normalmente è praticamente invisibile.

Per sbloccare le portiere bisogna trovarla e tirarla: un cavo collegato alla linguetta aziona meccanicamente il meccanismo di blocco e lo disinnesta. Il manuale lo spiega così (qui mostro la versione inglese, ma c’è anche la versione italiana):

 

Sottolineo, per maggiore chiarezza, che questo sblocco meccanico serve soltanto in un’emergenza tale per cui l’impianto elettrico è completamente andato. Normalmente, infatti, per aprire la portiera si tira semplicemente la maniglia interna (se non è attiva la sicurezza bambini). Questo attiva lo sblocco elettrico. 

Questa situazione non mi piace per nulla, così ho deciso di rendere un po’ più evidente questa misera linguetta agganciandoci qualcosa di ben visibile: quel “PULL TO EJECT” giallo e nero. Qui vedete la manopolina dell’altro sedile posteriore, alla quale ho già applicato il portachiavi. Ho provato e funziona: tirando il portachiavi la portiera si sblocca.

In questo modo, quando sale a bordo qualcuno che trasporto su TESS per la prima volta, gli posso fare il briefing di sicurezza come sugli aerei: “Per i passeggeri della seconda fila, si prega di notare la linguetta gialla e nera con scritto “PULL TO EJECT” situata sotto il sedile fra le vostre gambe. In caso di emergenza, tirate con forza la linguetta...". Poi posso aspettare la reazione perplessa di chi si chiede se davvero le Tesla, notoriamente ipertecnologiche, abbiano anche il seggiolino eiettabile e sdrammatizzare la situazione intanto che insegno una precauzione di sicurezza importante.

Seriamente: tante auto hanno questi blocchi elettrici. Sarebbe opportuno che fosse ben indicato dove si trova lo sblocco meccanico d’emergenza, che il conducente si informasse sulla sua collocazione e ne informasse anche i passeggeri. Fateci un pensierino. Se avete un'auto di questo genere, scoprite dove sta lo sblocco. Ammesso che ci sia. Prudenza.

 

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

Con un miliardo di account creati dalla sua nascita nel 2010 e circa 100 milioni di foto condivise ogni giorno dai suoi utenti, Instagram è ormai uno dei social network fondamentali. Naked Security di Sophos ha pubblicato una miniguida per usarlo e vivere felici che riassumo qui nei suoi punti salienti. Se vi interessa la versione completa, è qui in inglese.

Occhio al furto di account. Gli account Instagram fanno gola ai criminali e ai molestatori, che s’inventano mille modi per rubarli e saccheggiarne i contenuti o semplicemente toglierli ai legittimi utenti. Questo è un reato che vedo avvenire sempre più spesso, soprattutto a danno degli utenti più giovani. La trappola è solitamente un messaggio che chiede alla vittima di cliccare su un link che la porta a una pagina web che finge di essere quella di richiesta password di Instagram ma è in realtà gestita dai truffatori. Un altro trucco frequente è la finta segnalazione di violazione di copyright, come quelle mostrate qui sotto.

Finte offerte di sponsorizzazione. I truffatori fingono di essere un marchio famoso e offrono agli utenti di diventare influencer pagati per promuovere il loro brand. Poi chiedono le coordinate bancarie sulle quali pagare i compensi e le usano per le loro altre attività criminose.

Truffe sentimentali. Un classico: il finto corteggiatore (o corteggiatrice) costruisce un rapporto di lunga durata con la vittima, adulandola anche per mesi, e ne conquista la fiducia per poi chiederle denaro con la scusa di doversi tirare fuori da un guaio. Non è vero nulla, ma la vittima ci crede e manda i soldi, che non rivedrà più.

Offerte allettanti. I truffatori fingono di offrire un prodotto esclusivo a prezzo stracciato a pochi fortunati, ma per riceverlo bisogna pagare delle “spese di spedizione”. Il prodotto non arriva e i soldi pagati non tornano.

Investimenti sicuri. I criminali si mostrano come persone di grande successo materiale e dicono di aver fatto fortuna con un “sistema” che sono disposti a rivelare a chi manda loro un piccolo anticipo. Chi abbocca riceve spesso dei finti “estratti conto” che fanno sembrare che il “sistema” stia rendendo bene. Così la vittima manda altri soldi da “investire” e magari coinvolge anche parenti e amici. Un bel giorno il truffatore svanisce e con lui spariscono anche tutti i soldi.

Naked Security ha quattro consigli di base per vivere serenamente su Instagram:

1. Password robuste e differenti. Non usate su Instagram una password che usate altrove. Se temete di aver dato la vostra password a un sito ingannevole, cambiatela subito, prima che lo facciano i criminali. Valutate la possibilità di usare un password manager.
2. Condivisione limitata. Anche se oggi è considerato normale condividere pubblicamente su Instagram gran parte della propria vita, non è obbligatorio raccontare tutto a tutti. Chiedetevi chi o cosa c’è anche sullo sfondo delle foto prima di pubblicarle.
3. Siate vigili. Se un account o un messaggio vi insospettisce, non interagite, non rispondete e non cliccate sui link che vi manda. Se una cosa sembra troppo bella per essere vera, presumete che non sia vera.
4. Rendete privato il vostro account. Se non avete ambizioni di diventare influencer e invece usate Instagram per restare i contatto con gli amici, impostate il vostro account in modo che sia privato. Solo chi vi segue potrà vedere le vostre foto. Controllate periodicamente l’elenco di questi follower e bloccate chiunque non riconoscete e chiunque non volete più fra coloro che hanno accesso ai fatti vostri. Per rendere privato un account è sufficiente andare nelle Impostazioni e poi scegliere Privacy e attivare il selettore Account privato.
   

Moltissime stampanti di una marca molto famosa sono connesse direttamente a Internet senza nemmeno una password che le protegga. In altre parole, sono attaccabili da chiunque, per esempio per cambiarne le impostazioni, bloccarle con una password e chiedere un riscatto, o addirittura per leggere i documenti riservati che sono rimasti nella memoria della stampante.

Già il fatto di collegare direttamente a Internet una stampante di rete è un atto di incoscienza notevole. Collegarla senza password (o con la password predefinita, disponibile nel manuale della stampante) rasenta la follia. Ma lo stato di allucinazione si raggiunge quando ci si accorge che trovare queste stampanti è facilissimo: basta usare Google.

È infatti sufficiente digitare in Google il numero di telefono dell’assistenza clienti di questa marca (che non nomino per ovvie ragioni) per ottenere dal motore di ricerca un elenco di risultati che contiene i link diretti per accedere a queste stampanti.

Non è neanche necessario collegarsi alla stampante per vederne le impostazioni: farlo potrebbe essere considerato violazione di domicilio informatico. Infatti è sufficiente usare la cache di Google, dove le impostazioni delle stampanti sono salvate pubblicamente. Lì mi sono fermato, senza tentare login che, stando alla segnalazione che mi è arrivata, sono fin troppo facili da fare. Il guaio è che non c’è modo di contattare i proprietari di queste stampanti, che resteranno quindi vulnerabili. Se avete suggerimenti su come fare, scrivetemeli nei commenti.

I link reperibili in Google includono l’indirizzo IP di ciascuna stampante, dal quale è facile risalire alla collocazione geografica approssimativa. C’è per esempio una stampante completamente aperta situata (secondo Iplocation.net) in Campania, che ha una particolarità: è già stata visitata da qualcuno, che ha lasciato un avviso eloquente che a quanto pare non ha letto nessuno.

“METTETE UNA PASSWORD ALLA STAMPANTE”.

È una domanda ricorrente quando faccio lezione di sicurezza e privacy nelle scuole: quanto è sicuro usare Tor per navigare in modo anonimo?

La risposta breve è “molto, se fai molta attenzione”. Il problema è proprio l’attenzione: anche se si usa Tor, basta un passo falso per non essere più anonimi. Chi sta pensando che basti installare Tor per fare tutto quello che vuole impunemente, per proteggere la propria sfera personale o eludere sorveglianze commerciali o governative, sbaglia.

Partiamo dalle basi. Tor è un browser, concepito inizialmente dalla Marina degli Stati Uniti, che ci serve per due cose fondamentali: nascondere dove ci troviamo, in modo che i siti visitati non sappiano da dove siamo collegati, e rendere difficile per qualcuno sorvegliare le nostre attività di navigazione nel corso del tempo.

Tor prende la nostra richiesta di visitare un sito, la cifra con della crittografia molto forte, e la passa a caso a un relay, ossia un computer che offre il servizio Tor. Qualunque computer può farlo. Questo relay passa la richiesta a un altro relay a caso, cifrando di nuovo i dati, e così via, fino alla destinazione, che quindi non ha modo di sapere chi siamo e da dove ci colleghiamo.

Ma attenzione: se fate acquisti online usando una carta di credito o altro strumento di pagamento che include la vostra identità, siete comunque identificabili. Se scaricate tramite Tor un file e quel file viene trovato sul vostro computer, siete comunque identificabili. Se andate su un forum usando Tor e usate lì il vostro account, che è associato alla vostra mail, siete comunque identificabili.

C’è anche un altro rischio poco conosciuto nell’uso di Tor: la rete Tor è piccola. I relay di uscita attivi, quelli che si collegano al sito che volete visitare, in qualunque dato momento sono circa un migliaio in tutto il mondo (trovate i dati presso Metrics.torproject.org). Questo vuol dire che un criminale (o un governo) che vuole sorvegliare il traffico su Tor non deve fare altro che attivare qualche centinaio di relay, sapendo oltretutto che chi usa Tor ha qualcosa da proteggere o da nascondere e quindi il traffico su Tor è particolarmente interessante. Non è teoria: è già successo, come raccontano Sophos e Intego.

Se poi usiamo Tor per visitare una pagina in http anziché in https, questi relay di uscita ostili possono non solo leggere il traffico, ma possono anche alterarlo. Questo succede soprattutto nel mondo delle criptovalute.

Morale della storia: non pensate di poter semplicemente installare Tor per poi lanciarvi a commettere vandalismi o trollaggi credendo di essere invisibili e invincibili. Se non siete esperti, lascerete delle tracce che vi incastreranno. Se ci tenete a proteggere la vostra riservatezza, studiatelo a fondo e chiedete aiuto agli esperti.

Ma le VPN?

C’è chi obietta che per navigare in anonimato basta usare una VPN, senza le complicazioni e i rallentamenti tipici di Tor. Non è così, e per una ragione molto semplice: se usate una VPN, chi gestisce la VPN vede tutto il vostro traffico. Avete semplicemente spostato il punto di (potenziale) raccolta dei dati: invece del vostro provider Internet, che forse conoscete, vi siete affidati a un gestore di VPN che sta chissà dove e si guadagna da vivere facendo chissà cosa. Scegliete bene il vostro fornitore di VPN e non affidatevi al primo che trovate in giro. Chiedetevi sempre qual è il suo tornaconto, specialmente se il servizio è offerto gratuitamente.

Non c’è nessun problema di selezione di fornitori, invece, se si usa una VPN semplicemente per eludere le restrizioni geografiche adottate da alcuni siti. Se volete vedere un trailer di un film che viene pubblicato in modo da limitarne la fruizione a uno specifico paese, potete usare una qualsiasi VPN che faccia sembrare che siete in quel paese. Molti siti di giornali statunitensi, per esempio, non sono accessibili dall’Europa perché dovrebbero implementare misure di compatibilità con il GDPR che per loro sono solo un costo ingiustificabile. Il Salt Lake Tribunal, per citarne uno, mostra agli europei questa schermata:

 

Ma la navigazione privata?

Anche questa è una domanda ricorrente: i browser hanno una funzione di navigazione in incognito o privata, e molti la usano pensando che li renda anonimi. Non è così.

La navigazione privata offerta dai browser è anonima per il dispositivo che usate, non per il resto di Internet. In altre parole, se la usate il computer o tablet o telefonino non conserva ricordo o traccia della navigazione fatta: nella cronologia di navigazione non rimane nulla. Ma i siti che visitate sanno da dove vi collegate (in particolare sanno il vostro indirizzo IP, che è tutto quello che serve per identificarvi). E se scaricate un file durante la navigazione privata, il file rimane sul dispositivo e vi può incastrare. 

Usate la navigazione privata soltanto se volete adoperare temporaneamente i vostri account sul dispositivo di qualcun altro e non volete lasciargli le vostre informazioni, se volete visitare un sito senza che si ricordi delle vostre preferenze, o se non volete lasciare traccia della navigazione sul vostro dispositivo. Ma ricordate che Internet vi vede anche se navigate “in incognito”.

Non comprate gattini online.

Oggi è il Black Friday e molti utenti si scateneranno negli acquisti online.

Oggi più che mai Internet sarà piena  di offerte allettanti e anche i truffatori saranno più attivi del solito, contando sulla fretta e sull’emozione degli acquirenti. Conviene quindi usare un po' di attenzione per evitare delusioni e raggiri.

• Le offerte troppo belle per essere vere continuano a non essere vere anche nel Black Friday. Se qualcuno vi offre un iPhone a 1 franco/euro senza associarlo a un abbonamento cellulare, è sicuramente un tranello. Nessuno regala niente per niente, nemmeno su Internet, nemmeno nel Black Friday.
• Attenzione alle versioni vecchie di prodotti. Il Black Friday è anche il giorno in cui i negozi svendono quello che normalmente non riescono a vendere, e quindi saranno in evidenza a prezzi scontati dei prodotti che a prima vista sembrano l’ultimo modello ma in realtà sono quello precedente, magari con caratteristiche nettamente inferiori o non più aggiornabile.
• Controllate bene i nomi dei siti dai quali acquistate, specialmente se li raggiungete seguendo un link o cliccando su una pubblicità. I truffatori creano siti di vendita falsi i cui nomi somigliano molto a quelli veri. Il loro obiettivo è ottenere i dati della vostra carta di credito. Se vi accorgete di aver fatto un acquisto, anche piccolo, in un sito sospetto, bloccate la vostra carta prima che vi vuotino il conto.
• Se possibile, usate una carta prepagata almeno sui siti che non avete mai usato prima. Questo eviterà danni peggiori in caso di sito fraudolento.
• Usate un gestore di password. Molti siti vi chiederanno di creare un account per fare acquisti: sapere chi compra cosa è per loro molto importante, in modo da profilare i clienti e inviare pubblicità su misura. Nella fretta, probabilmente dimenticherete le password che avete usato. Lasciate che il gestore di password le ricordi per voi, scegliete password lunghe e non ovvie e non soccombete alla tentazione di usare la stessa password dappertutto. Va bene, almeno temporaneamente, anche segnarsele su un foglio di carta. Il gestore di password, fra l’altro, vi eviterà di digitare la password in un sito fasullo che ne imita uno vero.

 Buona spesa!

Credit: Facebook/The Register.

Facebook ha annunciato la propria criptovaluta, denominata Libra, che sarà alla base del sistema di pagamento che verrà introdotto in Facebook Messenger e in WhatsApp dal 2020.

Le intenzioni, stando ai documenti, sono buone: fornire un sistema di pagamento facile e a bassissimo costo, o addirittura a costo zero, a chi ne ha più bisogno, ossia a chi ha pochi soldi e ha solo uno smartphone. La criptovaluta sarà vincolata a un paniere di valute convenzionali per evitare gli sbalzi di valore che affliggono le altre criptovalute.

Ma le obiezioni non mancano: la reputazione di Facebook in fatto di tutela dei dati degli utenti non è particolarmente robusta, per usare un eufemismo. Si spera che custodisca i soldi meglio di quanto custodisca le foto cosiddette “private” degli utenti.

Sarà infatti interessante vedere quanti se la sentiranno di affidare i propri soldi e le proprie transazioni personali o di lavoro a un’azienda che ha dichiarato pubblicamente, in tribunale, che “non c’è nessuna attesa di privacy” su Facebook e che “non c‘è nessuna invasione della privacy, perché non c’è privacy”?

Si spera che gli utenti custodiranno meglio di quanto facciano adesso i propri account social, visto che finora se li sono fatti rubare in massa dai criminali anche se già contengono cose di valore come, appunto, le proprie immagini intime. Le occasioni di saccheggio per i malintenzionati saranno ancora più ghiotte. Per non parlare del rischio che il Libra diventi la valuta ufficiale necessaria in un’economia basata sui social network, come insegna Black Mirror.

Dalla puntata Nosedive di Black Mirror.

L’esperta informatica Sarah Jamie Lewis (quella delle falle nel sistema di e-voting svizzero) ha riassunto bene il problema:

The only mention of "privacy" in the whitepaper is in a citation defining "Pseudonymity" which just about sums up Facebook's entire approach to privacy. Names don't matter when they have locations, dates, times, social graphs and transaction amounts.

— Sarah Jamie Lewis (@SarahJamieLewis) June 20, 2019

Per prima cosa cita Matthew Green (professore associato di informatica presso il Johns Hopkins Information Security Institute statunitense), che scrive che “Francamente mi sbigottisce che un’azienda con un enorme problema di riservatezza dei dati abbia lanciato una valuta globale non privata”, e poi nota che “L’unico riferimento alla privacy nel whitepaper è in una nota che definisce lo ‘pseudoanonimato’, e questo riassume bene l’intero approccio di Facebook alla privacy. I nomi non importano, se loro hanno luoghi, date, orari, grafi dei rapporti sociali e importi delle transazioni”.


Fonti aggiuntive: The Register, Ars Technica.

"Per intrufolarci al Festival di Sanremo ci serve un pass! Come facciamo a falsificarne uno? Ci servirebbe un’immagine molto nitida del pass. Ma dove la troviamo? Siamo fregati!"

(guarda Twitter)

"Aspetta...."


Sicurezza degli accessi, lesson one: mai e poi mai lasciare i pass e i badge in bella vista, e mai e poi mai fotografarli da vicino o lasciare che vengano fotografati.

Anche nel caso di dispositivi a chip o banda magnetica, una persona che indossa un pass, specialmente se lo fa con disinvoltura, viene considerata automaticamente affidabile da chiunque incontri, per cui può sempre scroccare un’apertura di porta dicendo “Scusa, non mi funziona il pass, mi aiuti?”. Specialmente se è una donna attraente.


2019/01/14 21:10

Aggiorno questo articolo con la triste notizia dell’uccisione di Pawel Adamowicz, sindaco di Danzica, accoltellato durante un evento di beneficenza da un uomo che “si era impossessato di un pass stampa per accedere all’evento”.


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Il 4 novembre scorso è andata in onda sulla RSI una puntata di Linea Rossa dedicata a dati, sicurezza e privacy. Da 13:50 circa c’è un servizio nel quale faccio una piccola demo di intrusione (consensuale) in un telefonino per rivelare quanti dati personali lasciamo in giro usando gli smartphone.

Nella demo, l’ambiente che si intravede è il mio ufficio nel Maniero Digitale, al suo debutto televisivo. Noterete alcune chicche :-). La trasmissione prosegue con un faccia a faccia con i giovani partecipanti al programma. Buona visione!

Se il video ha restrizioni regionali, provate questa versione.

Intercettazione del traffico in aeroporto. Credit: Troy Hunt.

Da qualche giorno chi usa Google Chrome per navigare nel Web vede spesso un avviso secondo il quale il sito visitato non è sicuro (“La tua connessione a questo sito non è protetta” e simili).

Si tratta di un effetto di una novità introdotta da Google con la versione 68 di Chrome e annunciata in dettaglio qui.

In pratica, tutti i siti che non usano la crittografia (HTTPS) verranno segnalati come non sicuri. La crittografia serve per proteggere la connessione fra voi e il sito che visitate, in modo da impedire che altri possano intercettarla (rubando password o dati di carte di credito) oppure inserirvi contenuti alterati (pubblicità) oppure ostili (censura, malware).

L’adozione di HTTPS ovunque migliora la privacy e rende molto più difficili alcuni degli attacchi informatici di massa più diffusi.

Se non volete perdervi nei dettagli tecnici, ricordate almeno questo: mai, mai, mai digitare password o dati segreti in un sito che non è protetto da HTTPS. È sicuramente una trappola o è gestito da incompetenti.

Troy Hunt ha preparato un articolo e un video che dimostrano l’utilità di usare HTTPS ovunque e i rischi ai quali ci si espone visitando siti che non lo usano.


Fonti: The Verge, Graham Cluley, Electronic Frontier Foundation.

La nuova versione di iOS, la 11.4.1, uscita pochi giorni fa, introduce una misura di protezione molto importante che si chiama USB Restricted Mode e rende molto più difficile estrarre dati dall’iPhone, dall’iPad o dall’iPod touch senza il consenso del proprietario: è una tutela in più per chi custodisce dati sensibili sul proprio dispositivo.

Lo USB Restricted Mode è una risposta di Apple ai vari dispositivi, come per esempio GrayKey, che permettono di scavalcarne le protezioni e che vengono usati dagli inquirenti e (a volte) dai ladri professionisti per sbloccarne i contenuti senza conoscerne la password, collegandosi al connettore Lightning dell’iPhone/iPad/iPod.

La nuova protezione disattiva la trasmissione di dati attraverso questo connettore dopo un’ora dall’ultimo blocco di sicurezza del dispositivo e quindi impedisce l’intrusione. Trascorsa quest’ora, per trasferire dati bisogna digitare la password del dispositivo in questione.

In emergenza si può attivare questa protezione premendo il tasto di accensione cinque volte in rapida successione.

Purtroppo in alcuni paesi la differenza fra ladri, inquirenti e spie è piuttosto tenue, per cui è opportuno premunirsi anche per chi non ha nulla da nascondere ma ha qualcosa da proteggere, dai dati personali alle informazioni aziendali.

La nuova protezione viene spiegata da Apple in dettaglio in un’apposita pagina informativa. Per come viene descritta, sembrerebbe che gli aspiranti intrusi abbiano a disposizione soltanto un’ora dal momento in cui vi sottraggono l’iCoso al momento in cui lo consegnano all’esperto per sbloccarlo, e questo sembra molto rassicurante.

Ma i ricercatori della società di sicurezza Elcomsoft hanno scoperto che il cronometro che misura quest’ora può essere azzerato semplicemente collegando l’iCoso a qualunque dispositivo USB compatibile: fatto questo, l’iCoso resta privo di questa protezione indefinitamente. E procurarsi un dispositivo USB compatibile è facilissimo: ce ne sono vari in vendita nel negozio online di Apple. L’adattatore Lightning-USB 3 per fotocamere, per esempio, costa soltanto 39 dollari.

Insomma, la sicurezza degli iPhone/iPad/iPod touch è migliorata e funziona decentemente contro i ladri improvvisati, ma non è così magica e invulnerabile come potrebbe sembrare a prima vista. È meglio saperlo e regolarsi di conseguenza.

Molti utenti hanno uno smartphone dotato di sensore d’impronta e sono abituati a pensare che il telefonino sia quindi ben protetto da accessi indesiderati o inopportuni, ma una notizia pubblicata dal Times of India offre un esempio delle conseguenze decisamente estreme di questo eccesso di fiducia.

Il 5 novembre scorso un volo della Qatar Airways fra Doha (in Qatar) e Bali (in Indonesia) è stato costretto ad effettuare un atterraggio d’emergenza a Chennai, in India, a causa delle intemperanze di una passeggera. La donna, infatti, ha approfittato del fatto che il marito si era addormentato per prendergli il dito e appoggiarlo sul sensore d’impronta del telefonino (quello del marito), sbloccandolo e sfogliandone il contenuto.

Nel telefonino ha scoperto messaggi che ha interpretato come prova schiacciante dell’infedeltà del coniuge. Questo, insieme ad uno stato di ebbrezza, ha innescato una zuffa tra moglie e marito (che a questo punto presumibilmente ha smesso di dormire) che ha coinvolto anche il personale di bordo.

Vista la situazione, il comandante del velivolo ha deciso di far scendere la coppia scoppiata, insieme al figlio, e ha fatto scalo d’emergenza a Chennai, scaricando i tre per poi ripartire per la destinazione iniziale.

Morale della storia: il sensore d’impronta è molto efficace, ma ha dei limiti che è meglio conoscere.

Ultimo aggiornamento: 2017/09/16 00:15.

Apple ha annunciato pochi giorni fa l’iPhone X (si pronuncia “dieci”, a quanto pare). Ci sarebbe molto da dire sull’idea di spendere mille dollari per un telefonino, e soprattutto di spenderli per poter creare delle emoji animate personalizzate, ma credo che sia più importante cogliere l’occasione per parlare del riconoscimento facciale come sistema di accesso e di sicurezza, perché ha dei limiti precisi che è importante conoscere.

Prima di tutto, FaceID, il riconoscimento facciale proposto da Apple, è piuttosto furbo: fa una scansione tridimensionale del volto, per cui non dovrebbe essere ingannabile da una fotografia come alcuni concorrenti (ehm, Samsung). E in caso di emergenza, se non funziona il riconoscimento si può digitare un PIN di sblocco. Inoltre la scansione del volto resta sul telefonino, secondo quanto dichiarato da Apple, per cui non ci sarebbe da temere una schedatura di massa dei nostri volti.

Ma è il concetto stesso di usare come codice di sblocco proprio il volto, che per definizione è una delle cose più pubbliche che esistano, che si scontra con la sicurezza: come dice l’esperto di sicurezza Dan Tentler (@Viss), “È come impostare come password la parola ‘password’ e poi tatuarsela sulla fronte”.

C'è chi obietta che le stesse critiche furono mosse ai sensori d’impronta: vero, ma qui c’è la complicazione che le dita sono dieci ma la faccia è una sola e non ne puoi scegliere un’altra o cambiarla come fai con una password, salvo interventi drastici di chirurgia plastica. E se hai un gemello identico, sei fregato (i gemelli hanno impronte digitali differenti).

Con un sensore d’impronta, un intruso deve prenderti il dito giusto e puoi anche definire un “dito d’emergenza” (duress finger) da appoggiare sul sensore al posto di quello normale per disabilitarlo e bloccare il telefono contro un’aggressione. Con un riconoscimento facciale, invece, un ladro o un ficcanaso può entrare nel telefonino e farlo suo semplicemente così:

"Mi scusi, questo telefono è suo?"

"Mi faccia vedere..."

"TA-DA! Fregato!" (e scappa con il telefono sbloccato)

Va detto che Apple ha previsto una funzione di blocco d’emergenza sia per il sensore d’impronta, sia per il riconoscimento facciale: premere cinque volte di seguito il tasto Home (nel caso del sensore d’impronta) o cinque volte il tasto di accensione o a lungo i due laterali (nel caso del riconoscimento facciale). Ma le perplessità degli esperti abbondano: ammesso che funzioni bene, nota per esempio Edward Snowden, abitua la gente a un’operazione invasiva come la scansione del volto. Su Motherboard trovate i pareri di altri esperti del settore.

E tutto questo, in fondo, avviene in gran parte per una questione di design: così, infatti, l’iPhone X si distingue perché non ha più tasti frontali ed è tutto schermo. Altri telefonini, invece, hanno trovato una soluzione che consente la stessa cosa, costa meno di mille dollari e non compromette la sicurezza così tanto: nel mio Nexus di LG/Google il sensore d’impronta è sul retro.

Ultimo aggiornamento: 2017/07/21 11:35. 

Se avete un dispositivo Android, provate ad andare nelle Impostazioni, selezionate la voce Google - Sicurezza (da non confondere con Accesso e sicurezza) - Verifica app. Se avete questa voce e compare un’icona con uno scudo verde e il triangolo di Google Play, come mostrato qui accanto, siete protetti da Google Play Protect, un nuovo “antivirus” per Android realizzato e distribuito automaticamente da Google.

Play Protect effettua una scansione di sicurezza di tutte le app installate, consente di ritrovare un dispositivo smarrito o rubato e protegge la navigazione in Internet: è insomma una risorsa utilissima per evitare le app truffaldine e infette che spesso compaiono anche nel Play Store ufficiale e ancora più spesso circolano sui siti poco raccomandabili. In pratica può sostituire o affiancare molti degli antivirus per Android già esistenti e forniti da altre aziende.

È importante sottolineare che Play Protect non è un’app: è una voce aggiuntiva dei menu del dispositivo. Diffidate delle app con nomi simili che stanno affollando il Play Store: nel caso migliore sono distrazioni o vi bombardano di pubblicità, nel caso peggiore sono inganni infettanti.

Non tutti i dispositivi Android riceveranno Play Protect: secondo la documentazione di Google, occorre un Android aggiornato almeno alla versione 7.0, ma i commenti arrivati dopo la pubblicazione iniziale di questo articolo mi segnalano che Play Protect compare anche su versioni precedenti.

Maggiori informazioni su Play Protect, comprese le istruzioni per disattivarlo se necessario, sono nella Guida e nella pagina informativa di Google.


Fonte aggiuntiva: HDblog.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi per incoraggiarmi a scrivere ancora. Ultimo aggiornamento: 2017/06/06 12:05.

In occasione dell'attentato a Londra di sabato sera e in risposta ai conseguenti proclami del primo ministro britannico Theresa May di voler “togliere agli estremisti i loro spazi sicuri online”, Cory Doctorow ha aggiornato il proprio saggio del 2015 sulla fondamentale stupidità e inutilità di quest'idea, che implica vietare completamente la crittografia delle comunicazioni.

In parole semplici: chiunque proponga di mettere al bando la crittografia in nome della sicurezza antiterrorismo non ha capito come funziona Internet, non ha capito come funziona l'informatica e dimostra solo la propria incompetenza e la propria voglia di usare Internet come babau di comodo senza risolvere i problemi reali, come il taglio drastico delle risorse di polizia (verificato da FullFact).

Propongo qui, in traduzione italiana, le parti salienti del saggio di Doctorow. Sentitevi liberi di sostituire “Theresa May” con qualunque governante (con rarissime eccezioni): l'equazione non cambia.

...È impossibile esagerare nel dire quanto sia imbecille l'idea di sabotare la crittografia agli occhi di chi capisce la sicurezza informatica. Se vuoi proteggere i tuoi dati sensibili quando sono fermi -- sul tuo disco rigido, nel cloud, sul telefonino che hai dimenticato sul treno la settimana scorsa e non hai più rivisto -- o quando sono in viaggio, quando li mandi al tuo medico o alla tua banca o ai tuoi colleghi di lavoro, devi usare della buona crittografia. Se usi crittografia intenzionalmente compromessa, che ha una "porta sul retro" di cui in teoria dovrebbero avere le chiavi soltanto i "buoni", in pratica non hai sicurezza.

... Questo succede per due ragioni. La prima è il dubbio che si possa rendere sicura una crittografia mantenendo un passepartout usabile dalle autorità. Come ha spiegato l'avvocato e informatico Jonathan Mayer, aggiungere la complessità dei passepartout alla nostra tecnologia “introdurrebbe rischi di sicurezza non quantificabili”. Rendere ermetici i sistemi di sicurezza che proteggono le nostre case, le nostre finanze, la nostra salute e la nostra privacy è già difficile: renderli ermetici tranne quando le autorità non vogliono che lo siano è impossibile.

Quello che Theresa May crede di dire è “Ordineremo a tutti i creatori di software che riusciamo a raggiungere di introdurre nei loro strumenti delle 'porte sul retro' (backdoor) per noi”. Questo comporta problemi enormi: non esistono porte sul retro che fanno entrare soltanto i buoni. Se nel tuo Whatsapp o Google Hangouts c'è un difetto inserito intenzionalmente, allora le spie straniere, i criminali, i poliziotti corrotti [...] prima o poi scopriranno questa vulnerabilità. Saranno in grado anche loro -- e non solo i servizi di sicurezza -- di usarla per intercettare tutte le nostre comunicazioni. Che includono cose come le foto dei tuoi bimbi che fanno il bagnetto e che mandi ai tuoi genitori o i segreti commerciali che mandi ai tuoi colleghi.

Ma questo è solo l'inizio. Theresa May non capisce granché la tecnologia, per cui in realtà non sa cosa sta chiedendo.

Affinché funzioni la sua proposta, Theresa May dovrà impedire ai britannici di installare software proveniente da creatori che sono al di fuori della sua giurisdizione. Le forme di comunicazione sicura migliori sono già progetti liberi/open source, mantenuti da migliaia di programmatori indipendenti in tutto il mondo. Sono ampiamente disponibili e grazie a cose come la firma crittografica sono scaricabili da qualunque server del mondo (non solo quelli grandi come Github) ed è possibile verificare, in modo molto attendibile, che non sono stati alterati.

May non è l'unica: il regime che propone è già in atto in paesi come Siria, Russia e Iran (per la cronaca, nessuno di questi paesi ha avuto molto successo nel farlo). I governi autoritari tentano di limitare l'uso delle tecnologie sicure in due modi: filtraggio della rete e obblighi tecnologici.

Theresa May ha già dimostrato di credere di poter ordinare ai provider nazionali di bloccare l'accesso a certi siti (anche qui, per la cronaca, la cosa non ha avuto molto successo). Il passo successivo è ordinare un filtraggio in stile cinese che usi la deep packet inspection per cercare di distinguere il traffico e bloccare i programmi proibiti. Questa è una sfida tecnologica formidabile. I protocolli fondamentali di Internet, come l'IPv4/6, il TCP e l'UDP, hanno la capacità intrinseca di creare “tunnel” di un protocollo nell'altro. Questo rende trascendentalmente difficile capire se un dato pacchetto è in una lista bianca o in una lista nera, specialmente se si vuole ridurre al minimo il numero di sessioni “buone” bloccate per errore.

Ancora più ambiziosa è l'idea di stabilire per legge quale codice possano eseguire i sistemi operativi nel Regno Unito. Nella piattaforma iOS di Apple e in varie console di gioco abbiamo dei regimi nei quali una singola azienda usa contromisure per garantire che solo il software da lei benedetto giri sui dispositivi che ci vende. Queste aziende potrebbero, in effetti, essere obbligate (da un ordine del Parlamento) a bloccare il software di sicurezza. Ma anche così bisognerebbe fare i conti col fatto che gli altri stati dell'UE e paesi come gli Stati Uniti probabilmente non farebbero la stessa cosa e quindi chiunque comprasse il suo iPhone a Parigi o a New York potrebbe entrare nel Regno Unito con il proprio software di sicurezza intatto e mandare messaggi che il governo non potrebbe leggere.

Ma poi c'è il problema delle piattaforme più aperte, come le varianti di GNU/Linux, BSD e gli altri unix, Mac OS X e tutte le versioni di Windows non per dispositivi mobili. In teoria gli operatori commerciali -- Apple e Microsoft -- potrebbero essere obbligati dal Parlamento a cambiare i propri sistemi operativi in modo da bloccare in futuro i software di sicurezza, ma questo non impedirebbe alla gente di continuare a usare tutti i PC già esistenti per eseguire del codice che il Primo Ministro vuole bandire.

Ancora più difficile è il mondo dei sistemi operativi liberi/aperti come GNU/Linux e BSD, che sono lo standard di riferimento per i server e sono usati diffusamente sui computer desktop (specialmente dai tecnici e dagli amministratori che fanno funzionare l'informatica del paese). Non esiste alcun meccanismo tecnico o legale che permetta a del codice progettato per essere modificato dai suoi utenti di coesistere con una regola che dice che il codice deve trattare i suoi utenti come avversari e cercare di impedire loro di eseguire codice proibito.

In altre parole, questo è quello che propone Theresa May:

-- tutte le comunicazioni dei cittadini britannici devono essere facilmente intercettabili da criminali, guardoni e spie straniere

-- a qualunque azienda a portata del governo britannico deve essere vietato di produrre software di sicurezza

-- tutti i principali archivi di codice, come Github e Sourceforge, devono essere bloccati

-- i motori di ricerca non devono rispondere alle ricerche di pagine Web che contengano software di sicurezza

-- deve cessare praticamente tutta la ricerca accademica britannica nella sicurezza informatica: questa ricerca deve svolgersi solo in ambienti proprietari che non hanno obblighi di pubblicazione dei propri risultati, come i laboratori di ricerca e sviluppo delle industrie e i servizi di sicurezza

-- tutti i pacchetti in ingresso e in uscita dal paese, e all'interno del paese, devono essere assoggettati a una deep packet inspection in stile cinese e devono essere bloccati tutti quelli che sembrano provenire da software di sicurezza.

-- i giardini cintati esistenti (come iOS e le console di gioco) dovranno essere obbligati a vietare agli utenti di installare software di sicurezza

-- chiunque visiti il Regno Unito dall'estero deve farsi sequestrare gli smartphone in frontiera fino a quando riparte

-- i produttori di sistemi operativi proprietari (Microsoft e Apple) devono ricevere l'ordine di riprogettare questi sistemi operativi come giardini cintati che consentano agli utenti di eseguire solo software proveniente da un app store che non venderà o fornirà software di sicurezza ai cittadini britannici

-- i sistemi operativi liberi/open source, che alimentano settori come l'energia, le banche, il commercio elettronico e le infrastrutture, dovranno essere totalmente vietati.


Theresa May dirà che non vuole fare niente di tutto questo: dirà che ne vuole implementare versioni più deboli, per esempio bloccando solo alcuni siti “famosi” che ospitano software di sicurezza. Ma qualunque intervento meno drastico di quello elencato sopra non avrà alcun effetto concreto sulla capacità dei crminali di effettuare conversazioni perfettamente segrete che il governo non potrà leggere. Se un qualunque PC generico o un telefonino craccato può eseguire una qualunque delle applicazioni di comunicazione più diffuse al mondo, i “cattivi” semplicemente ne faranno uso.

Craccare un sistema operativo non è difficile. Scaricare un'app non è difficile. Impedire alla gente di eseguire del codice che vogliono eseguire lo è. Cosa peggiore, mette terribilmente in pericolo l'intero paese, gli individui e le aziende.

Questa è un'argomentazione tecnica, ed è assai valida, ma non c'è bisogno di essere dei crittografi per capire il secondo problema delle "porte sul retro": i servizi di sicurezza sono pessimi sorveglianti dei propri comportamenti.

Se questi servizi hanno una “porta sul retro” che consente loro di accedere a tutto quello che è protetto dalla crittografia, dalle serrature digitali di casa vostra o del vostro ufficio alle informazioni necessarie per vuotare il vostro conto bancario o leggere tutta la vostra mail, ci saranno tante persone che vorranno corrompere qualcuno dei tanti autorizzati ad usare la “porta sul retro”, e gli incentivi a tradire la nostra fiducia saranno enormi.

Se volete un'anteprima di cosa sia una “porta sul retro”, vi basta guardare i passepartout della Transportation Security Administration statunitense che aprono le serrature delle nostre valigie. Dal 2003, la TSA esige che tutti i bagagli in viaggio negli Stati Uniti o in transito abbiano serrature Travelsentry, concepite per consentirne l'apertura a chiunque abbia un passepartout diffusissimo.

Cos'è successo dopo l'introduzione del Travelsentry? Dalle valigie ha cominciato a sparire roba. Tanta roba. Un'indagine della CNN ha trovato migliai di casi di furti commessi da dipendenti TSA.

[...] Consentire allo stato di aprire le tue serrature in segreto significa che chiunque lavori per lo stato, o chiunque sia in grado di corrompere o costringere chi lavora per lo stato, può impadronirsi della tua vita. Le serrature crittografiche non si limitano a proteggere le nostre comunicazioni ordinarie: sono la ragione per la quale i ladri non possono imitare la chiave elettronica d'accensione della tua auto; sono la ragione per la quale è possibile fare operazioni bancarie online; e sono la base di tutta la fiducia e la sicurezza del ventunesimo secolo.

[...] qualunque politico colto a parlare di “porte sul retro” non è adatto a governare da nessuna parte tranne a Hogwarts, che è l'unica scuola dove il dipartimento d'informatica crede alle “chiavi d'oro” che permettono soltanto alle gente del tipo giusto di violare la tua crittografia.