Sto cercando una soluzione software semplice (più semplice di quella attuale, che è OBS) che mi permetta di configurare una webcam virtuale e di sovrapporre un logo o sottopancia (lower thirds o overlay), come nell’illustre esempio qui accanto, a un'immagine della webcam vera, da mandare in streaming durante sessioni Zoom.

Mi va bene sia per Windows, sia per macOS (se c’è per entrambi, tanto meglio). Anche a pagamento: l’importante è che sia molto facile da installare e configurare, perché dovrei fare un deployment di massa a utenti non esperti che hanno pochissimo tempo a disposizione, guidandoli nell’installazione. Idee?

Queste sono le proposte che mi sono arrivate fin qui:

• Manycam (sembra promettente, Mac e Windows, 71 dollari per la licenza Standard)
• Bandicam (ma non sembra avere una funzione picture in picture o simil per i sottopancia)
• Ecamm (solo macOS, 16 dollari al mese)
• SplitCam (macOS e Windows, gratuito)
• Virtual-webcam (scartato per troppa complessità di installazione)
• ChromaCam (macOS e Windows)
• CamTwist (solo macOS)
• AlterCam (solo Windows, 40 dollari licenza Home, 200 dollari licenza Business)
  

Aggiungo che ho già considerato i filtri video integrati in Zoom, ma non vanno bene perché si possono personalizzare soltanto per chi ha un account Zoom a pagamento e le persone alle quali vorrei fornire un sottopancia non hanno account di questo tipo. Inoltre non posso acquisire i video da Zoom, aggiungere i sottopancia e poi far uscire altrove il video risultante: tutto deve svolgersi in Zoom e all’interno della stessa sessione Zoom.

Ultimo aggiornamento: 2022/01/28 2:40.

Se avete un computer Apple, aggiornatelo appena possibile alla versione più recente di macOS, la 12.2. Un informatico, Ryan Pickren, ha infatti scoperto una serie di falle davvero notevoli nella sicurezza dei computer di questa marca, che permettevano di prendere il controllo di tutti gli account aperti della vittima e, ciliegina sulla torta, anche della sua webcam. 

La buona notizia è che l’aggiornamento a macOS 12.2 chiude queste falle e Pickren è un hacker buono, ossia uno di quelli che invece di tenere per sé un potere del genere o rivenderlo a qualche banda di criminali informatici contatta le aziende e segnala le vulnerabilità, tenendole segrete fino al momento in cui sono disponibili delle correzioni. Per questa sua scelta responsabile Apple lo ha ricompensato con 100.500 dollari, come previsto dal programma di bug bounty dell’azienda, che prevede premi variabili a seconda della gravità della falla segnalata responsabilmente.

Ma come è possibile che delle falle di un sistema operativo (in questo caso macOS) permettano di prendere il controllo degli account della vittima? A prima vista sembrerebbero due cose molto distinte. Pickren ha spiegato i dettagli della sua tecnica di attacco.

Il primo passo è molto banale: convincere la vittima a visitare con Safari, il browser standard di Apple, un sito che fa da trappola. Il sito non contiene virus o altro: ospita semplicemente un documento innocuo, per esempio un’immagine di un tenerissimo cucciolo o il classico buongiornissimo caffé, collegato tramite un link (URI) speciale, icloud-sharing:, che viene usato normalmente da Safari per i documenti condivisi tramite iCloud.

In pratica la vittima, quando visita il sito-trappola, riceve un invito a scaricare un documento condiviso innocuo. Se accetta, come è probabile se il documento ha un nome allettante, Safari scarica il documento stesso. La vittima apre il documento, vede che è una foto non pericolosa e non ci pensa più.

Fin qui niente di speciale. Ma la falla di macOS scoperta da Ryan Pickren ha un effetto molto insolito: siccome il documento è stato scaricato usando la funzione di condivisione di Apple, il creatore del documento condiviso può cambiare a proprio piacimento il contenuto della copia scaricata sul computer della vittima. In altre parole: la foto del cucciolo puccioso viene sostituita per esempio da un programma eseguibile, che a questo punto l’aggressore può attivare sul Mac della vittima quando vuole.

L’astuzia non è finita. Normalmente macOS non consente di eseguire programmi non approvati (grazie a Gatekeeper). Ma Pickren ha scoperto un modo per eludere questi controlli. Il programma ostile iniettato nel Mac della vittima può quindi agire indisturbato, senza che la vittima riceva richieste di approvazione, ed eseguire per esempio del JavaScript che può fingere di provenire da Twitter, Google, Zoom, PayPal, Gmail, Facebook o qualunque altro sito (è possibile impostarne l’origin a piacimento) e può fare tutto quello che può fare la vittima nel proprio account presso questi servizi: pubblicare messaggi, cambiare impostazioni, cancellare contenuti e anche attivare la webcam.

Questa falla, comunque, è stata ora corretta, insieme a un’altra molto grave che permetteva di prendere il controllo dei Mac e di sorvegliarne le attività (creando una backdoor).

Morale della storia: non fidatevi delle offerte di scaricare documenti condivisi da siti che non conoscete, neanche se i documenti sembrano innocui, e aggiornate il vostro macOS appena possibile, naturalmente dopo aver creato una copia di sicurezza dei vostri dati.

A proposito di aggiornamenti Apple: ce ne sono anche per gli Apple Watch, per i media player della stessa marca, per i suoi altoparlanti smart (che finalmente introducono il riconoscimento vocale multiutente in italiano),  per gli iPhone e per gli iPad. Smartphone e tablet passano alla versione 15.3 e risolvono una falla che permetteva ai siti ostili di scoprire quali altri siti avevate visitato e di ottenere altri dati personali. Anche qui, conviene aggiornarsi al più presto. Le istruzioni per farlo sono come sempre sul sito di Apple.

Collegarsi a una videoconferenza e accorgersi troppo tardi che chi ha usato il computer prima di noi ha lasciato attivi i filtri che aggiungono baffi o orecchie da coniglietto può capitare, ma stavolta è capitato in un contesto particolarmente comico.

L‘avvocato texano Rod Ponton ha cercato di collegarsi su Zoom con il tribunale per un‘udienza e si è reso conto che il suo volto veniva sostituito digitalmente da un filtro, diventando quello di un gattino che ne seguiva i movimenti e le espressioni, muovendo la bocca quando l‘avvocato parlava.

Lo spezzone di video dell’incidente ha fatto subito il giro di tutta Internet, non solo per le espressioni ridicole del gattino ma anche per la serietà e l’aplomb con il quale tutti hanno gestito la situazione, specialmente quando l’avvocato ha detto al giudice, Roy B. Ferguson, che non riusciva a disattivare il filtro e che era disposto a proseguire l’udienza in quelle condizioni, dichiarando solennemente di essere presente e di non essere un gatto. "I'm here live; I'm not a cat".

L‘avvocato Ponton è diventato immediatamente una celebrità mondiale grazie al fatto che il giudice ha pubblicato lo spezzone su Twitter, usandolo per diffondere un avviso: “CONSIGLIO IMPORTANTE PER ZOOM: se un bambino ha usato il vostro computer, prima di collegarvi a un’udienza virtuale controllate le Opzioni Video di Zoom per assicurarvi che i filtri siano disattivati. Questo gattino ha appena rilasciato una dichiarazione formale in un caso presso il 349° [tribunale distrettuale]”.

Il giudice ha lodato l’impegno e la professionalità di tutti i partecipanti e ha chiarito che il momentaneo inconveniente è stato risolto e l’udienza è proseguita regolarmente. L’avvocato, da parte sua, ha spiegato che ha usato il computer della sua segretaria, sul quale era attivo quel filtro per ragioni non meglio chiarite. 

Succedeva anche agli antichi egizi.

 

Ma a questo punto, finite le risate, all’informatico viene spontanea e irresistibile una domanda: come si fa, di preciso, ad attivare in Zoom il filtro testa di gatto? Non c’è. I filtri disponibili Zoom aggiungono barba e/o baffi, occhiali, cappelli, orecchie o antenne e poco altro. Non c’è traccia di gattini. Allora da dove arriva il gattino animato dell’avvocato texano?

Secondo LifeHacker e la BBC, quello specifico gattino così comicamente animato esiste soltanto in Live Cam Avatar della Reallusion, un vecchio software per webcam della Dell che risale al 2010 circa. 

Se però vi accontentate di un filtro che ottenga un effetto analogo anche se non identico, potete usare Snap Camera, per Windows 10 o macOS 10.13 o successivi. Dopo averlo installato, cercate uno dei suoi filtri felini, attivatelo e poi lanciate Zoom o Teams o qualunque altro software di videoconferenza, avendo cura di scegliere come webcam non quella integrata nel computer ma quella virtuale creata da Snap Camera. 

Per disattivare questo filtro è sufficiente riselezionare la webcam normale.

La domanda finale, però, arriva dall’account Twitter di Larry the Cat, il gatto del numero 10 di Downing Street: “Esiste un filtro per Zoom che trasforma i gatti in avvocati?”

Che senso ha un sito come Onemoretry.app, che mostra l’immagine della webcam del computer in ritardo di vari secondi? Molto più di quel che si potrebbe pensare a prima vista.

Onemoretry è la creazione di Tom Lum, che come skater si è reso conto che era molto scomodo registrarsi col telefonino per rivedersi mentre provava una nuova acrobazia con lo skateboard: significava far partire la registrazione, fare la prova, fermare la registrazione, cercare il punto in cui aveva fatto la prova, e poi cancellare e ricominciare. Perché non creare un software che facesse tutto questo in automatico?

Tom Lum è anche un informatico, per cui si è scritto da solo il software e già che c’era ha pensato di metterlo a disposizione di tutti gratuitamente.

A parte lo skateboard, Onemoretry è ideale per provare vestiti (per vedersi di spalle, per esempio), per provare un passo di danza, esercitarsi con un gioco di prestigio e per mille altre situazioni. Oltretutto il sito non acquisisce nulla, perché la registrazione e l’elaborazione avvengono sul computer dell’utente, e questo vuol dire che può essere usato anche senza essere connessi a Internet: basta visitare il sito, caricare la pagina di Onemoretry, dare i permessi di accesso a webcam e/o microfono, e poi ci si può scollegare. Il ritardo e la durata del loop di registrazione sono entrambi regolabili.

Buon divertimento!

Nella puntata precedente del Disinformatico radiofonico ho parlato delle telecamere IP troppo facilmente accessibili anche a sconosciuti tramite siti come Insecam.org, che è sufficiente visitare per poter vedere le immagini trasmesse in diretta da questi dispositivi. Ma esistono metodi ancora più facili, e vale la pena conoscerli per far capire ai proprietari di queste telecamere che trovarle e anche identificarle con precisione è molto più facile di quello che pensano.

Quando dico “facile”, intendo che basta usare Google.

Ogni telecamera IP visibile, infatti, viene vista anche dai motori di ricerca, dato che le sue immagini vengono presentate come pagine Web, e quindi basta digitare il titolo di queste pagine (che è standard per ogni modello di telecamera) per trovarne intere collezioni. Aggiungendo altri parametri alla ricerca è possibile selezionare ulteriormente regioni geografiche. Queste ricerche si chiamano in gergo google dork. Questi sono alcuni esempi, segnalati dall’informatica Stefanie Proto:

"please visit" intitle:"i-Catcher Console" Copyright "iCode Systems"

intitle:"active webcam page"

inurl:”MultiCameraFrame?Mode=Motion”

intitle:”snc-rz30 home”

allintitle: “Network Camera NetworkCamera”

Per esempio, questa telecamera che riprende un ingresso è addirittura comandabile oltre che osservabile.



È sufficiente invertire l’immagine per leggere le scritte visibili sulle porte a vetri, inquadrate quando si fa muovere la telecamera, e ottenere il numero di telefono e il nome del locale e quindi capire, con una rapida ricerca in Google, che si tratta dell’ingresso di una chiesa a Glenville, a Wichita, in Kansas.



Google Street View ci permette di vederla anche da fuori:


Questo permetterebbe di sorvegliare chi entra e chi esce da questo luogo di culto. I gestori di questa telecamera lo sanno e ne sono contenti?

Gliel'ho chiesto ieri (30 luglio) via mail. Vediamo se rispondono.

Le telecamere IP o webcam sono diffusissime ma moltissimi utenti si ostinano a installarle senza cambiarne le password predefinite o addirittura senza impostare una password. Il risultato è che online si trovano migliaia di queste telecamere le cui immagini possono essere viste in diretta da chiunque, con tutte le conseguenze del caso.

Alcuni siti, come il classico Insecam.org, catalogano queste telecamere pubblicamente accessibili (e in molti casi comandabili) per area geografica (in maniera molto imprecisa), per marca e per tema delle immagini mostrate.



Insecam sottolinea che queste telecamere non sono state “hackerate”: sono pubblicamente accessibili, anche se forse i proprietari non se ne rendono conto. Le FAQ di Insecam spiegano inoltre quanto è facile usare semplicemente Google per trovare queste telecamere aperte: non è necessaria alcuna particolare abilità informatica, per cui se avete una di queste telecamere non pensate (come fanno molti) “ma tanto chi vuoi che perda tempo a cercare e trovare proprio la mia”, perché il tempo necessario è zero e i curiosi vanno a caso.

Qualche esempio: l’interno di una chiesa, un rifugio per animali in Svizzera, un ingresso di un edificio, un refettorio (forse) e un campo d’aviazione a Kaegiswil, nel canton Obvaldo. In alcuni casi la località è indicata direttamente sullo schermo; in altri è facilmente deducibile da qualche elemento presente nell’inquadratura (insegne, cartelli, edifici caratteristici); in tutti è facilmente circoscrivibile, dato che i loro indirizzi IP sono visibili e questo permette di risalire al luogo di installazione.

Pensateci bene, insomma, prima di lasciare la vostra webcam visibile al mondo.

Dopo anni di raccomandazioni da parte degli esperti di sicurezza, che invitano a coprire la webcam del computer per evitare di essere visti e sorvegliati, Apple ha pubblicato un articolo nel quale consiglia di “[n]on chiudere il tuo MacBook, MacBook Air o MacBook Pro con una copertura applicata sulla videocamera”.

L’azienda avvisa che “[c]hiudere il notebook Mac con una copertura sulla videocamera potrebbe danneggiare il display [...] in quanto lo spazio tra il display e la tastiera è progettato per sopportare tolleranze minime. Coprire la videocamera integrata potrebbe anche interferire con il sensore di luce ambientale e impedire il funzionamento di funzioni quali la luminosità automatica e True Tone.”

Chi usa computer fissi o tablet non ha problemi, perché le tolleranze citate da Apple riguardano solo i portatili, e non si tratta comunque di una contrarietà totale alle webcam cover: Apple precisa infatti che se è necessario coprire la webcam, lo si può fare benissimo anche sui laptop, se si usa una copertura che non sia spessa più di un decimo di millimetro (un comune foglio di carta da stampante).

L’azienda specifica inoltre che l’indicatore luminoso si accende sempre quando la webcam viene usata e che si può andare nelle Preferenze di Sistema per verificare quali app la possono usare, ma ovviamente questo indicatore è inutile se si sta già facendo uso della webcam (per esempio per una videoconferenza) e quindi la sua luce è già accesa per altre ragioni.

Cose da fare quando sei chiuso in casa: guadagnare 75.000 dollari, e farlo legalmente. È quello che è riuscito a fare un ricercatore di sicurezza, Ryan Pickren, che ha scoperto una serie di falle tecniche che consentivano di prendere il controllo da remoto della telecamera degli iPhone, degli iPad e dei laptop Apple.

In Safari, il browser di Apple, c’erano infatti ben sette vulnerabilità (CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784 e CVE-2020-9787). Concatenandone tre in modo astuto e corretto, permettevano a un sito ostile di accedere alla telecamera e al microfono della vittima, due delle risorse che Apple protegge maggiormente per ovvie ragioni.

Tutto quello che doveva fare la vittima era aver autorizzato in precedenza l’uso della telecamera e del microfono da parte di una qualsiasi app di Apple, cosa che fanno praticamente tutti, e visitare il sito ostile con Safari (cosa facilissima da ottenere con un classico messaggio “clicca qui per vincere un premio” o simile).

Pickren ha segnalato il problema con la massima discrezione ad Apple, che ha un bug bounty, ossia un programma di ricompense per chi segnala in maniera responsabile i difetti dei suoi prodotti, e l’azienda lo ha ringraziato dandogli appunto 75.000 dollari.

Niente panico: le falle più gravi sono state risolte dalle versione 13.0.5 in poi di Safari, uscita a fine gennaio, e le altre sono state messe a posto con Safari 13.1 a fine marzo. Se non avete ancora aggiornato Safari, fatelo.

Se vi interessano i dettagli tecnici delle scoperte di Pickren, li trovate qui in versione estesa e qui in sintesi.

Le telecamerine di sorveglianza IP, quelle che si collegano tramite Wi-Fi e si usano per tenere d’occhio bambini, animali o ambienti domestici e di lavoro, si rivelano ancora una volta dei colabrodo di sicurezza. Chi ha una Mi-Cam di MiSafes, per esempio, in vendita in negozi online come Amazon, si espone al rischio che chiunque gli possa guardare in casa, ascoltare le conversazioni e addirittura mettersi a parlare con chi è in casa. Se l’idea che uno sconosciuto parli al vostro bambino nella sua cameretta non vi entusiasma, staccate questa telecamera.

Secondo la società austriaca di sicurezza informatica SEC Consult, infatti, le telecamerine Mi-Cam di MiSafes (e tutte quelle analoghe con altri marchi) hanno una serie di difetti gravissimi di progettazione. Hanno, per esempio, una password di amministrazione predefinita di quattro cifre. Cosa ancora più grave, sono interrogabili via Internet semplicemente modificando una singola richiesta HTTP (in pratica basta cambiare i parametri del link di collegamento).

Questo significa che uno sconosciuto, usando soltanto una normale connessione a Internet, può guardare, ascoltare e persino parlare attraverso queste telecamere.

La cosa peggiore, però, è che il fabbricante non solo non rilascia aggiornamenti correttivi, ma non risponde neanche alle segnalazioni di vulnerabilità dei suoi prodotti. L’unica cosa che può fare chi ha comprato questa telecamera è buttarla via oppure usarla sapendo che le immagini e l’audio sono pubblici.


Fonti aggiuntive: Naked Security.

Credit: Patrick Wardle.

Phillip Durachinsky, un ventottenne residente in Ohio, è stato incriminato come autore di un malware per Mac che ha usato per oltre un decennio per spiare migliaia di vittime. Ha iniziato a farlo quando aveva quattordici anni.

Il malware, denominato Fruitfly, gli consentiva di prendere il controllo dei computer Apple che infettava, registrando dalla webcam e dal microfono, guardando cosa c’era sullo schermo, comandando mouse e tastiera e scaricando file. Ne avevo parlato a luglio del 2017, quando i dettagli del caso erano ancora riservati.

Durachinsky, secondo l’atto di incriminazione, ha usato questo suo malware per infettare e spiare migliaia di computer, rubando dati personali, informazioni bancarie, password e informazioni intime delle vittime, compresi moltissimi bambini: gli atti parlano di “milioni di immagini”. Per questo è accusato anche di produzione di pedopornografia.

Fra l’altro, Durachinsky aveva programmato Fruitfly in modo da mandargli un avviso se una delle vittime infettate digitava parole associate alla pornografia. Il suo intento, insomma, era molto chiaro.

Le intrusioni di Durachinsky sono andate avanti indisturbate per più di dieci anni: Fruitfly è stato scoperto soltanto l’anno scorso dalla società di sicurezza Malwarebytes. All’epoca Apple aveva rilasciato un aggiornamento di sicurezza per bloccare Fruitfly, ma nessuno sapeva chi fosse il suo mandante o creatore. Gli utenti che avevano aggiornato i propri Mac erano al sicuro, ma chi non si era aggiornato ed era infetto con Fruitfly continuava ad essere spiato.

Nei mesi successivi Patrick Wardle, ex dipendente NSA che oggi lavora per la Digita Security e offre strumenti di sicurezza gratuiti per Mac, ha analizzato il malware e ha scoperto come prenderne il controllo (ha trovato i nomi di dominio di riserva usati da Fruitly per comunicare con il suo padrone in caso di emergenza e li ha registrati a proprio nome, ricevendo così i dati inviati dal malware).

Wardle è riuscito a intercettare le comunicazioni fra i Mac infettati e il gestore del malware, scoprendo chi erano le vittime, e ha avvisato l’FBI, mostrando agli agenti i dettagli tecnici delle proprie scoperte. Le indagini hanno poi portato all’identificazione e all’incriminazione di Durachinsky.

Il problema è ora risolto: Fruitfly è stato disattivato e il suo autore non è più in grado di nuocere. Ma il ricercatore di sicurezza che ha snidato Durachinsky non ha parole tenere per Apple, che a suo dire era “concentrata anche sulla prospettiva di un’attenzione mediatica negativa”, rivelando “un esempio sorprendente di quali siano le priorità di Apple... Non è colpa di Apple se questo malware è entrato in tutti questi Mac... è imperativo che gli utenti Mac comuni siano consapevoli che esistono questi hacker malati e perversi che prendono di mira le loro famiglie, ma abbiamo Apple che spinge continuamente questa propaganda di marketing che dice che i Mac sono incredibilmente sicuri. Ma l’effetto collaterale è che gli utenti Mac diventano ingenui o eccessivamente fiduciosi”.

Morale della storia: i “virus” per Mac esistono e chiunque può esserne bersaglio. Meglio non credere troppo alle parole del marketing e attrezzarsi con un po’ di sana diffidenza e con un buon antivirus. Anche su Mac.

In occasione della partenza dell’astronauta Paolo Nespoli per la Stazione Spaziale Internazionale, prevista per le 17:41 di oggi con arrivo alle 23:15 (diretta su RaiNews24 e streaming su NASA TV), segnalo alcuni siti utili per avvistare la Stazione a occhio nudo (non occorre un telescopio) e per seguire Paolo nella sua missione.

Paolo è su Twitter come @astro_paolo, su Facebook come ESAPaoloNespoli e su Instagram come astro_paolo; tutte le informazioni sulla sua missione e il suo addestramento sono presso paolonespoli.esa.int.

Se volete vedere la Stazione, consiglio le app ISS Spotter e ISS Locator (iOS) oppure ISS Detector e ISSonLive (Android). Se preferite un sito, consiglio ISS Tracker oppure Spot the Station della NASA (quest’ultima app richiede un’iscrizione gratuita per ricevere le notifiche).

Se invece volete vedere il mondo dalla Stazione in tempo reale in HD, come lo vedono gli astronauti, allora andate a Ustream sul canale ISS HD Earth Viewing Experiment. Ci sono anche le webcam di bordo, non sempre attive, presso il canale Ustream Live ISS Stream. Ustream è disponibile anche come app Android e iOS.

E se tutto questo non basta, date un’occhiata a questo mio elenco di risorse spaziali. Buona visione.

L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2015/10/09 20:50.

Si sa che i guardoni digitali, quelli che spiano le proprie vittime usando le webcam dei loro computer, esistono: ma sono un'idea troppo spesso astratta, che fa venir voglia di pensare “tanto a me non capiterà”. Un po' di concretezza arriva dal Regno Unito, con la notizia della condanna di uno di questi guardoni, un trentatreenne di Leeds, che usava il malware denominato Blackshades per infettare i computer (specificamente PC Windows) delle vittime e attivarne le webcam di nascosto.

L'uomo era stato arrestato a novembre del 2014 nell'ambito di una retata internazionale di utenti di Blackshades condotta insieme all'FBI. Sui suoi computer sono state trovate immagini di persone “impegnate in attività sessuali su Skype o davanti ai propri computer”, spiega il comunicato della National Criminal Agency britannica. Il guardone ha ammesso di aver usato Blackshades per monitorare le webcam altrui e i loro schermi, carpendone password e contenuto delle mail, e di aver trascorso da cinque a dodici ore al giorno in quest'attività ossessiva, durata circa tre anni, spiando non solo sconosciuti ma anche donne che conosceva personalmente.

L'uomo è stato condannato a 40 settimane di carcere (che sono state sospese e non sconterà se non commette altri reati), verrà iscritto per sette anni nel registro dei colpevoli di reati sessuali e dovrà svolgere 200 ore di lavoro sociale non retribuito; tutti i suoi computer sono stati sequestrati. La sentenza definitiva è stata emessa mercoledì scorso.

Difendersi da questi molestatori non è difficile: spesso basta un buon antivirus aggiornato che controlli tutto quello che viene scaricato, abbinato all'abitudine di non scaricare e installare applicazioni provenienti da chissà chi e soprattutto a un coperchio per la webcam, che la copra quando non è in uso. Passi semplici, che però si è poco motivati a fare. Magari mostrare la faccia di questi guardoni, come ha fatto la National Criminal Agency, è un buon incentivo a darsi da fare per non farsi fregare.

Si sta facendo un gran parlare di Insecam, un sito che visualizza e geolocalizza le telecamere IP di sorveglianza i cui proprietari non hanno cambiato la password predefinita, in barba a tutte le buone norme di sicurezza, col risultato che chiunque può vederne le immagini.

Le telecamere proposte da Insecam sono decine di migliaia, sparse per il mondo: in Svizzera ce ne sono in questo momento 188, in Italia 2588. Non sono state “hackerate” in alcun modo, perché per trovarle e vederne il contenuto è sufficiente una ricerca in Google, come spiegato nelle FAQ di Insecam. Per togliere la propria webcam dall'elenco è sufficiente fare quello che raccomanda il manuale della telecamera, ossia smettere di usare la password predefinita, che è nota a chiunque sia interessato all'argomento.

Lo scopo di Insecam è sensibilizzare gli utenti al concetto che il manuale non è un inutile spreco di tempo e le norme di sicurezza non sono una scocciatura per pedanti: servono per evitare figuracce come quelle proposte da queste webcam. Purtroppo molti pensano ancora di potersi perdere nel mare di Internet e non sanno che esistono servizi di ricerca e localizzazione come Shodan. Foscam, una delle marche di webcam citate da Insecam, ora obbliga gli utenti a cambiare password durante l'installazione.

C'è chi ha criticato Insecam perché guadagna sul voyeurismo degli internauti, ma va notata una cosa: invece di pubblicare il flusso diretto delle singole webcam, che permetterebbe di risalire al loro indirizzo IP e quindi di identificare con precisione dove sono installate, Insecam pubblica una copia (l'HTML dell'immagine è del tipo src="http://img6.insecam.com:8080/96388/0/nocache/"), sostenendo quindi dei costi di gestione più alti.

Pertanto la geolocalizzazione (per esempio "Lugano", anche qui) presentata da Insecam è in realtà solo approssimativa e non verificata.

Funziona questa sensibilizzazione forzata? Pare di sì. Rispetto a ieri, per esempio, le webcam italiane visibili sono trecento in meno; quelle svizzere sono una quarantina in meno.

Ne parlerò in dettaglio nella puntata di domani del Disinformatico radiofonico sulla Rete Tre della Radio Svizzera, ma mi sembra opportuno allertare subito che è stata resa pubblica una dimostrazione della possibilità di disabilitare la spia delle webcam anche nei Macbook, macchine che si pensava fossero intrinsecamente immuni (per via del modo in cui sono costruite) da questo genere di trappola. Ne parlano il Washington Post e c'è un paper tecnico. Il software di difesa è qui.

Il test si riferisce a Macbook del 2007 e 2008, quindi non recenti; non è chiaro se ci sia la stessa vulnerabilità anche nei modelli attuali. Ma il paper nota che “Apple’s most recent FaceTime cameras in its 2013 MacBook Air model eschews USB 2.0. Instead, the camera is connected to the host computer over PCIe [33]. Vulnerabilities in the camera would potentially enable an attacker to have DMA access to the host system. This is a significantly stronger capability than USB access.”

Ho già da tempo un pezzo di nastro adesivo sopra la mia webcam.

Questo articolo vi arriva grazie alla gentile donazione di “stuper” e “dlevi.m*” ed è stato aggiornato dopo la pubblicazione iniziale.

Torna, dopo una lunga pausa, la serie di post Le cose che non colsi: tutte le meraviglie che trovo in Rete e che non ho il tempo, purtroppo, di raccontare in dettaglio. Piuttosto che lasciarle andare, ve le segnalo almeno brevemente.

Nello spazio non si russa, si dorme benissimo, e si usano sia biro, sia matite. Cura definitiva per il russamento? Dormire in assenza di peso, come fa Chris Hadfield sulla Stazione Spaziale Internazionale, dove contrariamente a una popolare leggenda metropolitana si usano sia biro, sia matite: specificamente portamine, Space Pen (biro con refill pressurizzato) e pennarelli inodori, oltre che stampanti ed etichettatrici. Lo ha detto lui su Twitter.

Il volo della capsula Dragon salvato per un pelo. Un microscopico errore di fabbricazione di una valvola stava per condannare al fallimento il secondo lancio del veicolo di rifornimento privato della ISS fabbricato da SpaceX. Software scritto in tempo reale, upload usando stazioni di trasmissione militari e altre cose da paura (Universe Today).

La NASA va a caccia di asteroidi per portarne uno a casa (forse). C'è un progetto NASA per andare a prendere un asteroide da 500 tonnellate e parcheggiarlo vicino alla Luna per studiarlo meglio, anche con equipaggi. Data prevista: 2019 (Associated Press). Ne parla in italiano Astronautinews.

Ma quanto è lontano Marte? Supponiamo che la Terra sia larga 100 pixel: a questa scala, quanto sarebbe lontano il pianeta rosso dove sta lavorando una squadra di nostri robot? Lo mostra graficamente, in maniera splendida, Distancetomars.com. Lo spazio è grande.

Time-lapse poetico dalla Stazione Spaziale. Non è il primo, lo so, ma la potenza delle immagini del nostro pianeta che arrivano dall'avamposto orbitante è sempre un incanto e non stanca mai.


Tappate la webcam; lo fanno anche gli esperti. C'è chi trova ridicolo ed eccessivamente paranoico mettere un pezzetto di nastro adesivo davanti alla webcam; ma esiste un circuito di guardoni digitali, i ratter, che spiano la gente attraverso queste telecamere. Ne ho parlato in una puntata recente del Disinformatico radiofonico. E si può disabilitare la luce-spia della webcam in alcuni modelli. Salta fuori che anche molti esperti di sicurezza, da Martin Muensch (FinFisher/FinSpy) a Mikko Hypponen (F-Secure) hanno, più o meno discretamente, tappato le proprie webcam (Sydney Morning Herald).

Sindone: le datazioni “alternative” di Giulio Fanti. Porta a porta e Voyager hanno presentato acriticamente le “scoperte” di Giulio Fanti che, guarda caso, dicono che la Sindone risalirebbe all'era di Cristo e non sarebbe quindi un falso medievale (come documentano invece tutte le altre indagini serie). Leggete questo articolo di Gian Marco Rinaldi per conoscere i metodi ben poco rigorosi di Fanti e la reazione della Chiesa a questa datazione. Spoiler: non è quella che immaginate (Queryonline).

Foto di ragazza che parla al cellulare nel 1938? Sabrina Pieragostini, nella sezione “scientifica” (sic) di Panorama, riprende un articolo del Daily Mail e ipotizza che un video del 1938 mostri una viaggiatrice nel tempo. Perché se vedi una ragazza che tiene qualcosa in mano vicino alla faccia in un filmato d'epoca, dev'essere per forza un cellulare e quindi lei dev'essere una crononauta. Non fa una grinza. A Panorama, quando sentono rumore di zoccoli, pensano subito che stia passando un unicorno. Aggiornamento (2013/04/10): Query fa le pulci alle varie ipotesi.

È disponibile il podcast della puntata di ieri del Disinformatico radiofonico. Ecco i temi e i rispettivi articoli d'accompagnamento:

• Antivirus AVG cancella un pezzo di Windows, blocca i PC
• Quanto è facile spiare attraverso le webcam
• Le parole di Internet: RATter
• Google Reader chiude a luglio: che fare?
• Nomi infelici di prodotti informatici (ma non solo)

Aggiungo, sul tema dei nomi infelici di prodotti, il mitico VINCULO, da leggere naturalmente con l'accento sulla I e non sulla U. Grazie a @latente_flickr per la segnalazione.

Questo articolo vi arriva grazie alla gentile donazione di “angelagabri*”.

Ieri, proprio mentre ero in una scuola di Locarno a raccontare agli studenti come riconoscere i tentativi d'inganno, di attacco e di molestia via Internet, è arrivata la notizia del fermo di un uomo di 47 anni, residente nella zona di Berna, per molestie sessuali, atti sessuali con fanciulli e ricatto.

I reati sono stati compiuti selezionando via Internet le vittime (adolescenti maschi fra i 15 e i 17 anni) con una tecnica micidiale: per due anni, sui social network (in particolare Facebook), l'uomo fingeva impunemente di essere una ragazzina (usando foto raccolte in Rete) e offriva materiale pornografico ai ragazzi presi di mira. Difficile resistere alle lusinghe di una ragazzina disinibita: i giovani venivano così convinti a ricambiare l'offerta esibendosi davanti alla webcam. Le loro attività venivano registrate e poi usate come arma di ricatto da parte del pedofilo, sfociando in incontri di persona.

I ragazzi hanno esitato a lungo prima di denunciare i fatti: come avviene spesso in questi terribili casi, la vittima si vergogna di essere caduta nella trappola, teme di essere ulteriormente umiliata se il suo comportamento viene reso pubblico e quindi non ne parla con nessuno, men che meno con i genitori. Il pedofilo crea insomma una situazione dalla quale la vittima non vede alcuna via d'uscita e questo consente alle molestie di protrarsi.

Ma quando questi crimini avvengono via Internet lasciano delle tracce digitali molto chiare, che gli esperti sanno analizzare, non solo per identificare i colpevoli ma anche per confermare, in prima istanza, le accuse dei minorenni coinvolti, che spesso temono di non essere presi sul serio. Internet aiuta i molestati a dimostrare i fatti terribili che raccontano, come ho suggerito in un'intervista [2018/10: link non più funzionante] per il telegiornale della RSI.

Vale, come sempre, la regola di fondo: mai fare davanti a una webcam o a qualunque fotocamera o telecamera nulla che non si farebbe sulla pubblica piazza, neanche quando si crede di conoscere l'interlocutore. Purtroppo molti utenti, non solo giovani, non sanno quanto è facile creare false identità in Rete, si fidano troppo, credono spesso di essere abbastanza furbi da riconoscere un impostore e non immaginano che qualcuno possa essere così vile da circuirli per settimane e anche mesi prima di far scattare la trappola del ricatto.

E se la trappola scatta, l'unico modo per uscirne è parlarne ai genitori e alle autorità, con il conforto di essere creduti grazie alle tracce lasciate inevitabilmente in Rete dai tormentatori.

Nella puntata del Disinformatico radiofonico di venerdì scorso, scaricabile come podcast qui, ho parlato dello skeuomorfismo, della primissima webcam nata per sorvegliare una brocca di caffè, delle licenze di Windows 8 regalate per errore da Microsoft, dei negozi che offrono autoritratti solidi grazie alle stampanti 3D e dei manichini bionici che sorvegliano e analizzano i clienti.

Che ci faccio col clickjacking? Accendo le webcam altrui e spio

Il clickjacking è una tecnica che consente di intercettare una cliccata di un utente e dirottarla altrove. Viene usata spesso su Facebook per esempio per far rispondere inavvertitamente gli utenti a un sondaggio sul quale gli organizzatori del clickjacking percepiscono una commissione per ogni sondaggio compilato. L'utente crede di cliccare su un pulsante per vedere un video, partecipare a un giochino o fare qualcos'altro di allettante, ma il suo clic in realtà viene usato per selezionare le risposte del sondaggio, che si trovano in un iframe invisibile.

È l'equivalente informatico di quando si fa firmare un foglio innocuo a qualcuno mettendo però sotto la carta carbone che copia la firma su un documento compromettente. Il termine clickjacking è stato coniato nel 2008 da Hansen e Grossman in questo articolo.

Pochi giorni fa lo studente d'informatica Feross Aboukhadijeh ha creato una demo di clickjacking che non si limitava a rubare il clic per usarlo in un sondaggio, ma accendeva webcam e microfono della vittima senza che a video comparissero avvisi.


Questo effetto era possibile, spiega Feross, perché i clic venivano trasferiti alla pagina delle impostazioni di Flash sul sito di Adobe, attraverso la quale si possono definire i siti autorizzati ad accedere via Flash a webcam e microfono. Lo studente aveva segnalato ad Adobe la vulnerabilità di questa pagina delle impostazioni tempo addietro, ma Adobe ha corretto il problema soltanto dopo che Feross l'ha reso pubblico.

Va chiarito che nonostante le apparenze (e almeno un paio di articoli d'allarme), le impostazioni degli utenti non sono custodite presso il sito di Adobe ma risiedono sul computer di ciascun utente. La pagina delle impostazioni non fa altro che visualizzare le impostazioni presenti nel computer dell'utente.

C'è, ovviamente, un modo molto semplice per bloccare l'attivazione della webcam: coprirla. Ci sono addirittura venditori di mascherine magnetiche apposite. Questa soluzione, però, non blocca il microfono, che specialmente nei laptop potrebbe essere difficile da scollegare o tappare.


Questo articolo è stato aggiornato dopo la pubblicazione iniziale e vi arriva grazie alla gentile donazione di “marziopanc*”.

Questo articolo era stato pubblicato inizialmente sul sito della Rete Tre della Radiotelevisione Svizzera, dove attualmente non è più disponibile. Viene ripubblicato qui per mantenerlo a disposizione per la consultazione.

Molte webcam moderne sono webcam IP: in altre parole, hanno un proprio indirizzo IP e si comportano come dei mini-siti Web il cui unico scopo è visualizzare quello che stanno inquadrando. Sono facili da installare e configurare e costano poco, per cui rappresentano un'alternativa molto diffusa alle tradizionali telecamere di sicurezza.

Ma c'è un piccolo problema: se le impostazioni di sicurezza della rete locale non sono regolate correttamente, il mini-sito Web della webcam è visibile da chiunque via Internet, ed è incredibilmente facile trovarlo. È sufficiente usare Google con un trucchetto.

Basta infatti digitare in Google inurl:indexFrame.shtml "Axis Video Server" o intitle:"Live NetSnap Cam-Server feed", oppure una qualunque delle chiavi di ricerca pubblicate per esempio qui, per trovare webcam in ogni parte del mondo, come questa, questa o questa.

Per distinguere quelle lasciate intenzionalmente accessibili da quelle aperte per errore si può guardare se la webcam viene trovata da Google associandola a un indirizzo IP numerico o a un nome di dominio: nel primo caso è probabile che sia accessibile per errore.

Come se non bastasse, queste webcam sono anche comandabili a distanza per puntarle in varie direzioni e regolarne lo zoom. Si può poi usare l'indirizzo IP per determinare la zona in cui si trova la telecamera. Buona caccia.