Un blog di Paolo Attivissimo, giornalista informatico e cacciatore di bufale
Informativa privacy e cookie: Questo blog include cookie di terze parti. Non miei (dettagli)
Prossimi eventi pubblici – Sostegno a questo blog – Sci-Fi Universe
2016/06/10
Podcast del Disinformatico del 2016/06/10
È disponibile per lo scaricamento il podcast della puntata di oggi del Disinformatico della Radiotelevisione Svizzera. Buon ascolto!
Rapinatore catturato: Facebook l’ha suggerito alla vittima come amico
Potete immaginare la sopresa della vittima quando Facebook ha mostrato, fra le persone che poteva conoscere, il volto del malvivente, che è stato identificato e arrestato: si tratta di un ventunenne che si era macchiato di altri reati gravi e ora è stato condannato a 17 anni di carcere, come riferisce la BBC. Gli inquirenti dicono che le informazioni fornite dal social network sono state cruciali per le indagini.
Come è possibile un caso del genere? Facebook incrocia varie fonti di dati: gli amici in comune, l'attività lavorativa, le scuole frequentate e i contatti di mail importati. L'ipotesi più credibile, per ora, è che Facebook abbia proposto il ladro come possibile amico della vittima sulla base dei luoghi frequentati da entrambi. Cosa spinga un criminale ad avere un profilo Facebook nel quale riversa i propri dati personali, compresa la geolocalizzazione e l'indirizzo, è meglio non chiederselo.
Vuoi fare il criminale informatico? Non rubare nel tuo stesso paese
Non tutti i criminali informatici sono dei geni del male: spesso hanno successo semplicemente perché gli utenti e i servizi non prendono nemmeno le precauzioni più basilari. Ma anche i criminali a volte dimenticano le proprie precauzioni, come per esempio non lanciare attacchi che hanno effetto nel paese nel quale risiedono. Per esempio, il malware Mazar per dispositivi Android non si attiva se la vittima ha impostato come lingua il russo.
La ragione principale di questa tecnica è che è molto più facile, per gli inquirenti, rintracciare e arrestare chi commette reati localmente. Se gli attacchi informatici provengono da un altro paese, come capita di solito, i lavori d’indagine e soprattutto gli arresti diventano molto più onerosi da coordinare e le forze dell’ordine sono meno motivate a investire risorse su criminali che non fanno danni locali. Per questo molti reati informatici restano impuniti.
La lezione è stata imparata nel modo più duro di recente in Russia, dove sono state arrestate 50 persone nel corso di 86 perquisizioni in quindici territori russi: si tratterebbe della più grande retata contro il crimine informatico finanziario. La banda è sospettata di aver coordinato il furto di circa 25 milioni di dollari da banche e istituti finanziari russi, operando dal 2011 dapprima colpendo i correntisti usando un trojan denominato Lurk che rubava le credenziali di online banking e poi alzando il tiro con attacchi diretti ai sistemi informatici delle banche stesse.
La tecnica usata era basata sull'invio di mail false accuratamente confezionate che si spacciavano per messaggi della Banca Centrale Russa o dei suoi rappresentanti: chi apriva la mail finiva per infettarsi, aprendo la porta agli intrusi. Un classico, insomma: ma l'errore della banda è stato quello di toccare le banche nazionali, scatenando la reazione degli inquirenti.
Fonte: Sophos.
La ragione principale di questa tecnica è che è molto più facile, per gli inquirenti, rintracciare e arrestare chi commette reati localmente. Se gli attacchi informatici provengono da un altro paese, come capita di solito, i lavori d’indagine e soprattutto gli arresti diventano molto più onerosi da coordinare e le forze dell’ordine sono meno motivate a investire risorse su criminali che non fanno danni locali. Per questo molti reati informatici restano impuniti.
La lezione è stata imparata nel modo più duro di recente in Russia, dove sono state arrestate 50 persone nel corso di 86 perquisizioni in quindici territori russi: si tratterebbe della più grande retata contro il crimine informatico finanziario. La banda è sospettata di aver coordinato il furto di circa 25 milioni di dollari da banche e istituti finanziari russi, operando dal 2011 dapprima colpendo i correntisti usando un trojan denominato Lurk che rubava le credenziali di online banking e poi alzando il tiro con attacchi diretti ai sistemi informatici delle banche stesse.
La tecnica usata era basata sull'invio di mail false accuratamente confezionate che si spacciavano per messaggi della Banca Centrale Russa o dei suoi rappresentanti: chi apriva la mail finiva per infettarsi, aprendo la porta agli intrusi. Un classico, insomma: ma l'errore della banda è stato quello di toccare le banche nazionali, scatenando la reazione degli inquirenti.
Fonte: Sophos.
La Mitsubishi Outlander si ruba via Wi-Fi
Le automobili moderne sono sempre più spesso dotate di servizi online, ma la loro sicurezza a volte è davvero patetica. Ho già segnalato il caso della Nissan Leaf; ora emerge che la Mitsubishi Outlander PHEV si può rubare usando la sua connessione di controllo remoto. Come se non bastasse, è possibile localizzare tutti gli esemplari di quest’auto.La scoperta è stata fatta e documentata dagli esperti della società di sicurezza PenTestPartners. Normalmente l’app di gestione delle auto informatizzate usa la connessione cellulare. La Outlander, invece, usa una connessione Wi-Fi, che costa meno (non ci sono spese di trasmissione dati) ma ha una portata limitata. In pratica l’auto è una postazione Wi-Fi mobile: l’app di gestione funziona solo nel raggio di questa connessione.
Primo problema: la password che protegge la connessione è troppo semplice e corta, per cui gli esperti l’hanno trovata in meno di quattro giorni di tentativi. Quattro giorni possono sembrare tanti, ma non sono un ostacolo per un ladro di professione, specialmente se l’auto è parcheggiata a lungo nello stesso posto come capita di solito, e con computer più potenti il tempo necessario per scoprire la password si può ridurre.
Secondo problema: una volta scoperta la password, decifrare i comandi usati è piuttosto facile. Gli esperti di PenTestPartners sono riusciti ad accendere e spegnere le luci, l’aria condizionata e il riscaldamento, ma soprattutto sono riusciti a disabilitare l’antifurto. Sì, questa automobile ha un antifurto disabilitabile mandando un comando via Wi-Fi.
Terzo problema: il nome della postazione Wi-Fi di tutte le Outlander segue lo schema [REMOTEnnaaaa], dove nn è in cifre e aaaa è in lettere minuscole, per cui si possono usare servizi come Wigle.net per localizzare tutte le auto di questo tipo. Il ladro, insomma, può scegliersi con comodo da casa dove andare a rubare l’auto.
Il quarto problema è forse il peggiore: la società di sicurezza dice di aver contattato privatamente Mitsubishi per avvisare della grave vulnerabilità, ma di essere stata completamente ignorata. A quel punto si è rivolta alla BBC, rendendo pubblica la falla (senza darne tutti i dettagli) e ottenendo finalmente l’attenzione della Mitsubishi.
In attesa che la casa produttrice dell’auto sistemi la vulnerabilità, gli utenti possono disaccoppiare tutti i dispositivi mobili che si sono connessi all’auto. Questo mette in standby il modulo Wi-Fi di bordo, che si riattiva soltanto premendo dieci volte di seguito il telecomando della chiave d’avviamento.
Violati gli account Twitter e Pinterest di Mark Zuckerberg: usava "dadada" come password?
 |
| Fonte: @Ben_Hall. |
Ma le risate hanno distolto l’attenzione da alcuni dettagli importanti: il primo è che a parte le dichiarazioni degli intrusi non ci sono conferme indipendenti che la password fosse davvero così ridicola e quindi potrebbe trattarsi di un espediente mediatico per far diventare virale la notizia. Il secondo è che gli account Twitter e Pinterest di Mark Zuckerberg erano inattivi da tempo, per cui l’intrusione non è grave come può sembrare. Gli account Instagram e Facebook di Zuckerberg, invece, non sono stati violati.
Viene facile pensare che se neppure Zuckerberg è capace di difendersi dagli intrusi informatici, allora gli utenti comuni non hanno speranze e non vale neanche la pena di provarci. In effetti è stato un periodo buio per la sicurezza, con le notizie della pubblicazione di 65 milioni di password Tumblr, 164 milioni di password di LinkedIn, 152 milioni di password di Adobe e 360 milioni di password di Myspace, ma a mio avviso la lezione qui è un’altra: si dimostra la regola che se usate la stessa password per più di un sito fate davvero un favore enorme ai ladri. Basta infatti che uno solo dei siti che usate venga violato e i ladri avranno accesso a tutti i vostri account. Per questo si sospetta che gli account Twitter e Pinterest di Zuckerberg siano stati attaccati con successo sfruttando la massiccia violazione di LinkedIn avvenuta nel 2012.
In vendita 32 milioni di password rubate di utenti Twitter? Esperti dubbiosi
La fonte originale della notizia è Leakedsource.com, un sito che si offre come servizio di verifica di furto di password: si immette il nome utente del proprio account e si viene avvisati se la password dell’account è presente nelle varie collezioni di password rubate circolanti in Rete. LeakedSource dice di aver verificato soltanto 15 password presenti nell’elenco di quelle rubate di Twitter, ma tutte e quindici sono risultate autentiche.
Tuttavia è improbabile, a detta degli esperti, che l’elenco contenga davvero 32 milioni di password attualmente valide, perché Twitter protegge le password degli utenti conservandole soltanto in forma pesantemente cifrata (hash con bcrypt), che richiederebbe tempi e potenze di calcolo impraticabili per decifrarne 32 milioni in caso d’incursione nei server di Twitter. L’azienda ha comunque inviato un invito di cambio password ad alcuni milioni di utenti dopo aver rilevato che le loro password erano in circolazione.
Lo scenario più probabile è che non sia stato violato Twitter ma che siano stati violati gli utenti, per esempio perché hanno computer infetti. In ogni caso, se avete un account Twitter, è opportuno fare due cose:
– non fidarsi di inviti a cliccare su un link per aggiornare la vostra password. I ladri di password approfittano spessissimo di notizie come questa per mandare messaggi falsi che sembrano provenire dal gestore del servizio (in questo caso Twitter, appunto) ma in realtà portano a siti-clone, identici a quelli del servizio ma in realtà gestiti dai truffatori. Se volete aggiornare la password di un servizio, accedete al sito del servizio manualmente, scrivendone il nome.
– attivare la verifica in due passaggi, che vi salva in caso di furto di password: attivando questa verifica, infatti, la password funziona soltanto se viene immessa usando uno dei vostri dispositivi. Se un ladro vi ruba la password e la immette in uno dei suoi, gli viene negato l’accesso e ricevete un’allerta via SMS o in altro modo.
Su Twitter la verifica in due passaggi si attiva andando a https://twitter.com/settings/security e attivando la voce Verifica d’accesso. Già che ci siete, attivate anche le opzioni Richiedi informazioni personali per reimpostare la password e Richiedi sempre la password per accedere al mio account.
2016/06/06
La Luna sarà a Lugano il 9 giugno
Il tour di conferenze-spettacolo Ti porto la Luna arriverà a Lugano giovedì 9 giugno, portando una roccia lunare antichissima (quasi 4 miliardi di anni) prelevata nel 1971 dagli astronauti della missione Apollo 14, allo Studio 2 della Radiotelevisione Svizzera di via Besso. La roccia sarà visibile e fotografabile da vicino.
La conferenza inizierà alle 20 e sarà condotta da Luigi Pizzimenti e dal sottoscritto e moderata da Nicola Colotti, giornalista della Radiotelevisione Svizzera. Ci sarà anche un intervento di Angelo Consoli, membro della Commissione Federale svizzera per le questioni spaziali; al termine ci sarà inoltre una “pasticceria lunare” (non chiedetemi i dettagli: è una sorpresa anche per me).
Per l’occasione, la Rete Uno (radio) della Radiotelevisione Svizzera dedicherà l’intera giornata alla Luna. In particolare, la puntata di Millevoci in onda alle 11.05 sarà incentrata sull’avventura dell’esplorazione lunare: io sarò fra gli ospiti in studio per parlare delle tesi di complotto. La trasmissione sarà ascoltabile anche in streaming in diretta. C'è anche un concorso fotografico a tema lunare.
Per prenotare un posto per la conferenza allo Studio 2 della RSI di Lugano-Besso bisogna chiamare il numero svizzero 091 803 91 23 oppure 091 803 90 96. L’ingresso è libero; è indispensabile arrivare alla sede RSI per le 19.30.
Maggiori informazioni sono qui sul sito della RSI.
2016/06/04
Oggi Sam Cristoforetti riconsegna al WeFly! Team la bandiera spaziale a Caposile (VE)
Ultimo aggiornamento: 2016/06/05 18:10.
L’astronauta Samantha Cristoforetti sarà a Caposile (VE) oggi, 4 giugno 2016, alla manifestazione Flydonna, dedicata alle donne pilota, per un appuntamento molto speciale: la riconsegna della bandiera, portata da Sam sulla Stazione Spaziale Internazionale, al WeFly! Team, l’unica pattuglia aerea al mondo in cui due dei tre piloti sono disabili. La cerimonia ufficiale inizierà alle ore 16.
La bandiera della pattuglia era stata portata in orbita grazie all’iniziativa “WeFly! con Futura... osa volare”, organizzata con ESA, ASI e Aeronautica Militare, “per condividere con tutto il pianeta l’esempio di forza, tenacia e determinazione di persone così speciali e lanciare all’umanità un messaggio d’inclusione, contro discriminazioni e pregiudizi”, come segnala la nota stampa dell’evento di oggi.
I piloti del WeFly! Team sono Alessandro Paleri (leader), tetraplegico dal 1987, Marco Cherubini (gregario sinistro), paraplegico dal 1995, ed Erich Kustascher (gregario destro), istruttore di volo. La bandiera è stata ideata dal designer Mirco Pecorari, titolare dell’Aircraft Studio design.
CORREZIONE (aggiornata il 2016/06/05): Avevo scritto inizialmente che non ci potevo andare (oggi pomeriggio sarò a Piacenza per parlare di complotti lunari) e invitandovi ad andarci anche per me, ma mi hanno avvisato che la manifestazione è chiusa al pubblico e possono iscriversi solo donne pilota con gli eventuali accompagnatori.
L’astronauta Samantha Cristoforetti sarà a Caposile (VE) oggi, 4 giugno 2016, alla manifestazione Flydonna, dedicata alle donne pilota, per un appuntamento molto speciale: la riconsegna della bandiera, portata da Sam sulla Stazione Spaziale Internazionale, al WeFly! Team, l’unica pattuglia aerea al mondo in cui due dei tre piloti sono disabili. La cerimonia ufficiale inizierà alle ore 16.
La bandiera della pattuglia era stata portata in orbita grazie all’iniziativa “WeFly! con Futura... osa volare”, organizzata con ESA, ASI e Aeronautica Militare, “per condividere con tutto il pianeta l’esempio di forza, tenacia e determinazione di persone così speciali e lanciare all’umanità un messaggio d’inclusione, contro discriminazioni e pregiudizi”, come segnala la nota stampa dell’evento di oggi.
I piloti del WeFly! Team sono Alessandro Paleri (leader), tetraplegico dal 1987, Marco Cherubini (gregario sinistro), paraplegico dal 1995, ed Erich Kustascher (gregario destro), istruttore di volo. La bandiera è stata ideata dal designer Mirco Pecorari, titolare dell’Aircraft Studio design.
CORREZIONE (aggiornata il 2016/06/05): Avevo scritto inizialmente che non ci potevo andare (oggi pomeriggio sarò a Piacenza per parlare di complotti lunari) e invitandovi ad andarci anche per me, ma mi hanno avvisato che la manifestazione è chiusa al pubblico e possono iscriversi solo donne pilota con gli eventuali accompagnatori.
2016/06/03
Podcast del Disinformatico del 2016/06/03
È disponibile per lo scaricamento il podcast della puntata di oggi del Disinformatico della Radiotelevisione Svizzera. Buon ascolto!
Katy Perry, account Twitter violato: lezione per tutti
L’intruso, infatti, avrebbe potuto pubblicare link a siti-trappola per rubare password oppure per infettare i dispositivi degli utenti. Questi link sarebbero arrivati a 90 milioni di utenti, offrendo quindi un canale diretto a un bersaglio vastissimo per mettere a segno attacchi, spamming e truffe di ogni genere. Chi ha un account molto popolare, su qualsiasi social network e non solo su Twitter, deve quindi mettere in preventivo che verrà attaccato e ha una responsabilità molto importante nel proteggere i propri utenti.
Per gestire bene questa responsabilità è indispensabile usare almeno la sicurezza di base fornita dal social network. Nel caso di Twitter, attivate l'opzione Verifica le richieste d'accesso.
Iscriviti a:
Post (Atom)