Ultimo aggiornamento: 2021/04/10 22:40.

“RE è basato su altissimi standard di sicurezza, i nostri server sono tutti in Italia (Arezzo), tutte le connessioni sono effettuate tramite il protocollo HTTPS e crittografia SSL con certificato dei più importanti CA al mondo: Verisign Symantec e GeoTrust. Ma non basta, prima di essere inviati tutti i dati sono crittografati a priori e questa tecnologia, unica nel suo genere, raddoppia le garanzie di sicurezza rendendo RE sicuro come nessun altro.” Così scriveva Axioscloud.it, il sito che ospita il Registro Elettronico di molte scuole italiane (circa il 40%, secondo ANSA). Sito che ora è irraggiungibile.

Un attacco ransomware ha infatti buttato giù il sito “sicuro come nessun altro” e “basato su altissimi standard di sicurezza”. Questo è uno screenshot di com’era prima dell’attacco, come si può vedere su Archive.org.

Secondo Quotidiano Piemontese, il problema è iniziato sabato 3 aprile ed è poi peggiorato. Il quotidiano pubblica uno screenshot di Axios Italia che dice di stare “lavorando alacremente con l’obiettivo di rendere disponibili tutti i servizi web entro pochi giorni”.

Su Facebook, Axios Italia ha dichiarato inizialmente (3 aprile) che si trattava di un “improvviso malfunzionamento tecnico occorso durante la notte” che avrebbe “reso necessario un intervento di manutenzione straordinaria”. Lo stesso risulta dalla copia salvata su Archive.org il 5 aprile.

Oggi (5 aprile) l’azienda ha scritto, sempre su Facebook, che “a seguito delle approfondite verifiche tecniche messe in atto da Sabato mattina in parallelo con le attività di ripristino dei servizi, abbiamo avuto conferma che il disservizio creatosi è inequivocabilmente conseguenza di un attacco ransomware portato alla nostra infrastruttura. Dagli accertamenti effettuati, al momento, non ci risultano perdite e/o esfiltrazioni di dati. Stiamo lavorando per ripristinare l'infrastruttura nel più breve tempo possibile e contiamo di iniziare a rendere disponibili alcuni servizi a partire dalla giornata di mercoledì. Sarà nostra cura tenervi costantemente aggiornati.” 

Gli stessi messaggi sono presenti attualmente sul sito di Axios Italia. 

Fonti confidenziali mi segnalano una situazione piuttosto pesante. Non pubblico altri dettagli, per il momento, in attesa di conferme e riscontri: sarebbe utile che Axios facesse una dichiarazione pubblica sullo stato dei backup, su quale infrastruttura sia stata compromessa e su eventuali negoziati con gli autori dell’attacco. Comunque stiano le cose, temo che per il DPO di Axios il ritorno dalle ferie di Pasqua sarà piuttosto impegnativo.

2021/04/06 13:10. Secondo la mail inviata da Axios alle scuole, l’azienda è stata informata dell’attacco ransomware da parte del servizio di sicurezza di Aruba intorno alle due del mattino del 3 aprile e il disaster recovery avrebbe mitigato i danni. L’amministratore unico di Axios Italia, Stefano Rocchi, dice a Giornalettismo che è stato “deciso di non pagare alcun riscatto”.

2021/04/08 13:00. Al momento in cui scrivo questo aggiornamento il Registro Elettronico è ancora offline; redemo.axioscloud.it mi risponde con un timeout. Il sito di Axios Italia ospita ora un’informazione più dettagliata (screenshot qui sotto, cliccabile per leggerlo), che invita a consultare una comunicazione (PDF). Questa comunicazione dice, fra le altre cose, che “I dati personali gestiti non sono stati persi/distrutti e non vi è stata alcuna visione/estrapolazione indebita" e che “Le misure di sicurezza adottate, incluse le soluzioni di Disaster Recovery, nonostante un “attacco brutale con finalità estorsive” similare a quello ricevuto recentemente da multinazionali (esempio ACER), hanno consentito di preservare i dati gestiti nel rispetto della normativa privacy.”

Intanto la notizia è ormai riportata da molti siti e giornali (Cybersecurity360, Punto Informatico, Giornalettismo, per fare qualche esempio) e mi è arrivata una diffida dall’avvocato di Axios, alla quale ho risposto per quanto riguarda gli aspetti tecnici ricordando inoltre l’inevitabile Effetto Streisand.

2021/04/08 22:00. Come segnalato nei commenti, quella del 3 aprile 2021 non è la prima aggressione informatica che colpisce il Registro Elettronico di Axios Italia; il 9 aprile 2020 era stato bloccato da un attacco DDOS, riferiscono per esempio Repubblica e RAI.

2021/04/10 22:40. Axios ha dichiarato, sul proprio sito, quanto segue:

Gentili Clienti,
siamo lieti di comunicarVi che sono tornati online il Registro Elettronico, le funzionalità per le famiglie ed ulteriori servizi.
Stiamo inoltre continuando a monitorare la corretta funzionalità di tutti i sistemi ripristinati.
Vi ringraziamo ancora per la vicinanza e la pazienza dimostrata in questi giorni.

Continueremo a mantenerVi costantemente aggiornati sugli sviluppi.

10/04/2021 - Ore 18:05

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Ultimo aggiornamento: 2021/04/07 8:30.

Martedì prossimo, 6 aprile, sarò ospite di CICAP Live per una chiacchierata-conferenza intitolata Memorie digitali. Dove finiranno le nostre testimonianze? insieme all’informatico Francesco Sblendorio, socio attivo del CICAP dal 2009, coordinatore del gruppo Lombardia dal 2011 al 2012, e webmaster del sito del CICAP Lombardia.

2021/04/07 8:30. La registrazione della chiacchierata è qui sotto. Buona visione, e fate bene i vostri backup.

Ultimo aggiornamento: 2021/06/15 17:40.

A gennaio scorso ho trovato un sito statale italiano che mette a disposizione di chiunque i CV di avvocati, autorizzazioni di contratti, fatture con nomi, IBAN, cognomi e importi, scansioni di documenti d'identità. Tutto facilmente reperibile con una semplice ricerca in Google.

Ho avvisato il sito via mail il 28 gennaio:

Buongiorno,

sono un giornalista informatico. Da segnalazione confidenziale mi
risulta che sul vostro sito siano disponibili a chiunque, con semplice
ricerca in Google, documenti contenenti informazioni confidenziali o
sensibili, comprese immagini di carte d'identità.

Esempio: [omissis]

Allego immagine opportunamente anonimizzata.

Segnalo questa situazione affinché possiate rimediare.


Cordiali saluti

Paolo Attivissimo

Siamo al 2 aprile: non ho ricevuto nessun riscontro e i dati sono tuttora a disposizione di chiunque.

Trovo davvero vergognoso che nel 2021 un ente di stato non solo non sia capace di tutelare digitalmente i suoi utenti ma non abbia nemmeno la cortesia di rispondere a chi segnala educatamente il problema in privato.

Sottolineo che tutti questi dati, sotto forma di documenti PDF, sono reperibili semplicemente con una ricerca banale in Google. Non ci vuole nessuna password o conoscenza informatica sofisticata. È deprimente.

Stasera ho mandato una segnalazione dettagliata al CSIRT (Computer Security Incident Response Team) della Presidenza del Consiglio dei Ministri.

Poi la gente mi chiede perché segnalo pubblicamente questi casi invece di limitarmi a contattare in privato gli interessati. Semplice: gli interessati non sono interessati. Si muovono solo se vengono denunciati pubblicamente per la loro inettitudine. E a volte neanche così.

 ---

2021/04/07 8:30. I dati sono ancora perfettamente accessibili. Un esempio (immagine parziale per proteggere i malcapitati):

2021/04/11 15:00. I dati sono ancora accessibili come prima.

2021/04/22 13:25. Nessun cambiamento.

Dati di avvocati italiani liberamente accessibili online. Li ho avvisati a gennaio scorso. Niente. Visto il perdurare, ho avvisato lo CSIRT il 2 aprile.

I dati sono ancora lì a disposizione del primo che passa. pic.twitter.com/sNco6TyKhs

— Paolo Attivissimo (@disinformatico) April 22, 2021

2021/05/04 10:00. Niente da fare. I mesi passano e i documenti personali restano lì, a disposizione di tutti. Ho avvisato, ho aspettato. Inutile. A questo punto, la gente i cui documenti vengono messi a spasso ha il diritto di tutelarsi. Il sito è l’Avvocatura dello Stato italiano. Chi volesse tutelarsi può contattarmi in privato.

---

2021/05/05 16:30. Il Garante per la Privacy ha tweetato pubblicamente che “La questione è già all’attenzione dell’Autorità”.

La questione è già all'attenzione dell'Autorità

— Garante Privacy (@GPDP_IT) May 5, 2021

---

2021/06/15 17:40. È passato un mese e i dati sono ancora lì, in bella vista. Ho inviato una PEC alla persona alla quale appartiene il documento d’identità, affinché possa prendere le misure del caso.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

È disponibile il podcast di oggi de Il Disinformatico della Rete Tre del Radiotelevisione Svizzera, condotto da me insieme a Tiki.

Questi sono gli argomenti trattati, con i link ai rispettivi articoli di approfondimento:

• Aggiornamento urgente per iPhone e iPad
• Come perdere 600.000 dollari grazie a un’app nell'App Store di Apple
• Mega-operazione di polizia contro bari nei videogiochi
• Quando l’app di fitness fa la spia

Il podcast di oggi, insieme a quelli delle puntate precedenti, è a vostra disposizione presso www.rsi.ch/ildisinformatico (link diretto) ed è ascoltabile anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto!

Ultimo aggiornamento: 2021/04/05 00:25.

Nel 2018 Elon Musk e l’imprenditore giapponese Yusaku Maezawa avevano annunciato un progetto, denominato dearMoon, per portare in volo intorno alla Luna un gruppo di passeggeri. Ne avevo scritto all’epoca in questo blog. Poche settimane fa sono state aperte le candidature per la selezione di quei passeggeri, e mi sono candidato.

So benissimo che le probabilità di essere selezionato sono minime, ma tentare non costa nulla. Oltretutto il viaggio sarebbe gratuito, pagato direttamente da Maezawa a otto passeggeri.

Tentar non nuoce, insomma, e comunque dovessero andare le cose avrò l’occasione di raccontarvi cosa succede durante il processo di selezione e quali domande molto concrete ci si fa quando si affaccia la possibilità, anche solo remota, di essere caricati su un razzo e lanciati nello spazio. 

Aggiornamento (2021/04/02 13:45): Grazie a tutti per l’incoraggiamento! Scusate se non posso ringraziarvi uno per uno.

---

2 marzo 2021 - Step 1

Si aprono le preselezioni dei candidati. Gli unici requisiti iniziali sono di essere attivi in un settore nel quale un viaggio nello spazio aprirebbe nuove possibilità di utilità sociale e di essere predisposti per il lavoro di squadra e collaborativo.

Per ora si tratta solo di dare nome, paese di residenza e indirizzo di mail e di indicare quali account social di Maezawa seguo. Questo produce un “biglietto” che probabilmente indica il numero della propria pre-candidatura (forse con ripartizione per paese). Non ridete per la mia faccia inserita automaticamente dal sito: ero di fretta e ho mandato la prima foto che avevo a portata di mano. E l’ho pure tweetata, perché non ho ritegno.

Anche mia moglie Elena si candida, per una lunga serie di ragioni: a parte il fatto che sarebbe magnifico andarci addirittura insieme, mi dice molto pragmaticamente che preferirebbe essere con me se qualcosa dovesse andare storto durante il viaggio. Una seconda candidatura, inoltre, permette di fare confronti nel processo di selezione.

Riceviamo entrambi una mail di conferma dei dati immessi, che avvisa che verremo contattati via mail dopo il 15 marzo.

15 marzo 2021 - Step 2

A entrambi arriva una mail che ci invita alla selezione iniziale (Initial Screening). Questa fase comporta semplicemente la compilazione di un breve questionario online: nome, cognome, indirizzo di mail, paese di nascita e di residenza, data di nascita, genere, competenza in inglese, attività lavorativa, una foto, l’elenco dei propri account social con rispettivo numero di follower e quali account social di Maezawa seguo.

C’è poi una seconda parte che descrive i criteri iniziali con l’aiuto di un video che include Maezawa e Musk:

Viene poi chiesto di descrivere in inglese un progetto per il quale si ha grande passione e di spiegare come partecipare a dearMoon permetterebbe di far crescere questo progetto e quale sarebbe il suo contributo alla società. Qui la mia passione per la divulgazione scientifica e per lo spazio mi rende molto facile rispondere.

Un clic sul pulsante di invio e compare la schermata di ringraziamento:

Chi supererà la prima selezione, dice la schermata, verrà contattato via mail entro fine aprile. Questa fase si conclude il 22 marzo (con un giorno di proroga rispetto alla scadenza iniziale). Non si sa quanti siano i candidati e non si sa quanti abbiano superato questa selezione.

25 marzo 2021 - Step 3

Mi arriva una mail che mi avvisa che ho superato la selezione iniziale. Elena no. Peccato. Beh, almeno sappiamo che una selezione di qualche genere c’è (il regolamento non mi consente di pubblicare, per ora, i dettagli; potete però consultare la privacy policy).

La mail mi chiede di fare e mandare entro il 31 marzo un video con contenuto a mia scelta e con queste semplicissime linee guida: non più di un minuto, niente musica che violi copyright, e presentarsi all’inizio del video. Non è specificata la lingua, ma come tanti ho optato per l’inglese.

Questo è quello che il poco tempo lasciatomi dal lavoro (particolarmente intenso e ricco di cambiamenti e stravolgimenti in questo periodo) mi ha permesso di fare, in stile “buona la prima” (sono disponibili i sottotitoli in italiano):

Ricevo una mail che mi dice che se avrò passato questa selezione riceverò una mail entro metà maggio, per un colloquio video che sarà il quarto step. Finora è stato pubblicato soltanto un quinto step, che è descritto come “colloquio finale e controllo medico”, a fine maggio 2021.

Non so quanti siano i candidati che hanno inviato il video, ma ho decisamente dei concorrenti eccezionali e meritevoli, che hanno confezionato video splendidamente prodotti, da quel che ho visto cercando su Youtube l’hashtag #dearMoonCrew o #dearMoon.

Ora non mi resta che aspettare e rimuginare su cosa comporterebbe un’eventuale ammissione. Anche se non dovessi arrivare a volare, ci saranno presumibilmente test medici e psicologici, e magari un voletto su un aereo a zero G, un giro in centrifuga e/o una prova di una tuta spaziale di SpaceX o della toilette di bordo, materiale ottimo per le mie conferenze oltre che affascinante come esperienza personale.

Cominciamo anche a ragionare sulle implicazioni pratiche di un mio eventuale volo. Le mie polizze assicurative coprono una situazione del genere? Probabilmente no. Come si assicurano gli astronauti? 

Noto anche che la sola ipotesi di un’avventura del genere mi cambia le abitudini. Sto ancora più attento a non inciampare o fare cose potenzialmente pericolose: metti che mi rompo una gamba e perdo l’occasione di una vita. Comincio a riguardarmi un po’, perché vorrei arrivare in forma fisica non larvale a un eventuale check-up medico. 

Elena e io parliamo dei nostri sentimenti: se la sentirebbe di vedermi partire su un razzo? Me la sento io? Quel razzo sarà un derivato perfezionato delle Starship di Elon Musk che in questo momento si schiantano esplosivamente all’atterraggio. Sì, se la sentirebbe, perché sa quanto ci terrei e preferisce che io rischi la pelle facendo qualcosa che amo profondamente piuttosto che rischiarla (o lasciarla) per colpa di un cretino in autostrada o di un idiota senza mascherina. E questi sono tempi nei quali di doman non v’è certezza. E me la sento anch’io, per gli stessi motivi.

Come si svolgerà il viaggio

Il piano di volo pubblicato prevede un lancio nel 2023 con questo svolgimento:

Gli astronauti decolleranno su una Starship di SpaceX, portata in orbita intorno alla Terra con l’aiuto di un primo stadio Super Heavy riutilizzabile, i cui prototipi sono in costruzione adesso. Cavalcheranno un gigante alto circa cento metri, potente quanto un mitico Saturn V delle missioni lunari Apollo.

Il grafico sembra indicare che la rampa di lancio sarà in Florida, presumibilmente al Kennedy Space Center, non in Texas dove avvengono oggi i lanci di prova della Starship. Tutte le illustrazioni che seguono sono tratte dal sito di dearMoon.

Otto minuti dopo il decollo i viaggiatori saranno in orbita di parcheggio intorno alla Terra, a circa 28.000 km/h. Già a questo punto saranno a tutti gli effetti astronauti e saranno in assenza di peso per tutto il resto del viaggio. Lo spettacolo della Terra dai finestrini sarà mirabile, simile a quello che si gode dalla Stazione Spaziale Internazionale.

Meno di quaranta minuti dopo la partenza, i motori della Starship verranno riaccesi per accelerare ulteriormente e inserire il veicolo spaziale in traiettoria verso la Luna, che verrà raggiunta circa due giorni dopo. Ci sarà il tempo di essere incantati dall’assenza di peso e dal doppio spettacolo della Luna che si avvicina e della Terra che si allontana, con la luce abbagliante del Sole contro il nero assoluto dello spazio che si alternerà con il firmamento ricchissimo, limpidamente visibile quando la Starship rivolgerà i suoi finestrini in direzione opposta al Sole.

La Starship volerà intorno alla Luna, senza entrare in orbita intorno ad essa: questo semplifica la missione, eliminando un punto critico importante, e consente di usare la tecnica del “ritorno libero” usata da molti dei voli degli astronauti Apollo. In altre parole, non saranno necessarie manovre o accensioni dei motori primari per tornare: la Starship sarà automaticamente sulla traiettoria di ritorno.

Il sorvolo della Luna, a una distanza non ancora precisata dalla sua superficie, durerà oltre un giorno. Questo suggerisce che la distanza dalla Luna sarà notevole; in tal caso gli occupanti potrebbero stabilire un nuovo primato di distanza di esseri umani dalla Terra, se il volo avviene nel momento in cui la Luna è alla massima distanza dal nostro pianeta. 

Il volo intorno alla Luna permetterà di vederne la faccia nascosta e di assistere al sorgere della Terra sul suo orizzonte. Saranno momenti assolutamente straordinari. Gli astronauti di Apollo 8 furono i primi a vedere questo spettacolo nel 1968, scattando foto come questa.

Due giorni di caduta progressiva verso la Terra porteranno la Starship a rientrare nell’atmosfera, a una velocità presumibile di circa 40.000 km/h. Le superfici alari e lo scudo termico della Starship dissiperanno questa velocità, con una caduta e planata controllata in “spanciata” (il veicolo sarà orizzontale), che si concluderà con un’accensione dei motori Raptor che farà ruotare la Starship fino a orientarla verticalmente, con la punta in alto, per la manovra di frenata finale e di atterraggio, che dipende interamente dal corretto funzionamento dei motori.

Gli astronauti atterreranno sulla terraferma, presumibilmente al Kennedy Space Center, non lontano dalla rampa di lancio, dopo cinque giorni e 23 ore di volo.

Gli occupanti indosseranno, perlomeno per le fasi più critiche della missione, le tute spaziali di SpaceX, le stesse usate dagli astronauti attualmente per i voli verso la Stazione Spaziale Internazionale con le capsule Crew Dragon.

Si tratta di tute pressurizzate, adatte a consentire agli astronauti di sopravvivere in caso di depressurizzazione dell’abitacolo: non permettono “passeggiate spaziali” all’esterno del veicolo.

Da quel che ho capito, Yusaku Maezawa farà parte dell’equipaggio, e ci saranno uno o due astronauti professionisti e alcuni piloti di SpaceX. Non è prevista la presenza a bordo di Elon Musk. Non si sa ancora se sarà possibile portare con sé degli oggetti, o come e cosa si mangerà a bordo, o come funzioneranno le toilette a zero G della Starship.

È davvero fattibile un viaggio privato intorno alla Luna? È credibile che fra meno di due anni ci siano davvero pronti un vettore gigante (che non ha ancora volato) e un veicolo spaziale più grande di qualunque altro mai lanciato con equipaggio? E che SpaceX sia all’altezza di gestire tutto questo in una traiettoria di precisione intorno alla Luna? Non lo so. Lo scopriremo presto. Nel frattempo, sognare non costa nulla, e in questo periodo c’è davvero bisogno di sogni.

Pubblicherò gli aggiornamenti a questa mia piccola pazzia non appena ce ne saranno.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

La polizia del Kent, nel Regno Unito, segnala un caso piuttosto bizzarro di infrazione del limite stradale di velocità. Pochi giorni fa ha rilevato sull’autostrada A2, vicino a Gravesend, un automobilista che viaggiava ben oltre il limite di velocità: andava a circa 200 km/h in un tratto in cui il limite consentito è poco sotto i 100 (per la precisione è 60 miglia, ossia 96 km/h). 

Purtroppo in questo periodo di lockdown, con le strade semideserte, alcuni automobilisti pensano di poter approfittare della situazione per provare i propri bolidi ignorando sicurezza e limiti di legge.

Un agente ha fermato il conducente e gli ha contestato il superamento dei limiti a livelli tali da comportare la possibile revoca della patente. L’automobilista non ha potuto opporsi al rilevamento di polizia, anche perché sul suo telefonino è comparsa una notifica della sua app di fitness, che si congratulava con lui per il suo nuovo record di velocità nella corsa: 200 km/h. E l’agente l’ha notato.

As I was dealing with this driver at the roadside for his excess speed on the A2, a notification popped up on his phone congratulating him on his new highest speed. You guessed it - 120mph! 🙄#WhenFitnessTrackersBackfire #SCRPU ^JR pic.twitter.com/BlChzGIjdm

— Kent Police Specials (UK) (@KentSpecials) March 31, 2021

Il tweet della polizia mostra il rilevamento ufficiale, non quello dell’app di fitness.

Casi come questo ci ricordano che spesso non ci rendiamo conto di quanti dati vengono acquisiti dai dispositivi che indossiamo e portiamo con noi e che quei dati permettono di ricostruire moltissimi dettagli della nostra vita. Compresi quelli imbarazzanti o criminali come questo.

Fonte aggiuntiva: KentOnline.

La banda, situata principalmente nella Cina orientale, aveva rastrellato circa 76 milioni di dollari grazie ai suoi servizi a pagamento, disponibili in quasi tutto il mondo, che consentivano ai videogiocatori di vincere più facilmente a giochi come Overwatch o Call of Duty: Mobile.

Gli agenti hanno arrestato dieci persone. Fra i beni sequestrati alla banda figura anche una collezione di auto sportive di lusso.

I clienti dei servizi offerti dai bari pagavano dieci dollari al giorno: segno che c’è gente disposta a spendere grandi cifre pur di vincere disonestamente a un videogioco, usando software che conferisce poteri come la “vista a raggi X” (per rendere trasparenti i muri nel gioco) o l’auto-targeting, che migliora la precisione di tiro nei giochi sparatutto.

Non è la prima operazione di polizia del genere: nel 2018 Tencent aveva collaborato con la polizia cinese per arrestare ben 120 cheater del gioco PlayerUnknown’s Battlegrounds. In Cina, infatti, la legge punisce con il carcere le interferenze con le reti informatiche, che includono anche le reti di gioco. E in effetti disseminare cheat a pagamento è una grossa interferenza.

Chi usa i servizi di questi cheater probabilmente non ci pensa, ma sta alimentando il crimine organizzato e sta rovinando il piacere del gioco.

Questo è il vero Trezor.

Secondo quanto riportato dal Washington Post, un proprietario di criptovalute, Phillipe Christodoulou, afferma di aver perso circa 600.000 dollari per colpa di un’app presente nel blindatissimo App Store di Apple.

L’utente ha cercato nello store di Apple un’app per Trezor, un dispositivo speciale che custodisce criptovalute (un wallet hardware). Ha trovato l’app, con tanto di recensioni a cinque stelle, e l’ha scaricata e installata. Poi ha immesso le proprie credenziali nell’app. In meno di un secondo ha perso 17,1 bitcoin, che all’epoca dei fatti valevano circa 600.000 dollari. Anche altri utenti hanno lamentato furti analoghi.

L’app, infatti, era una truffa, creata da criminali informatici che hanno abusato del nome Trezor per rendersi visibili e ingannare gli utenti di questo dispositivo. Trezor, infatti, non ha un’app ufficiale.

Christodoulou, però, non se la prende soltanto con i ladri informatici: incolpa Apple di aver contribuito a ingannarlo dandogli un falso senso di fiducia. Apple, infatti, presenta il suo App Store come un luogo sicuro e affidabile, nel quale ogni app viene controllata prima di essere messa a disposizione degli utenti.

L’utente ha segnalato il caso all’FBI e fa notare che Apple incassa dal 15 al 30% sulle vendite delle app e dice che questa commissione serve a finanziare i controlli. Ma i controlli sono evidentemente meno robusti di quello che viene dichiarato negli slogan. Apple ha rimosso l’app truffaldina, ma è ricomparsa subito nello Store.

I controlli vengono aggirati con una tecnica semplice: il creatore dell’app pubblica nello Store una versione innocua dell’app, che supera le verifiche, e poi la sostituisce con un’altra versione che contiene la trappola. In questo caso, inoltre, i truffatori avevano usato apertamente il nome Trezor e il logo dell’azienda. Apple non se n‘è accorta.

Per evitare questo genere di danno, anche se non siete titolari di grandi cifre in criptovalute, è sempre consigliabile andare sul sito ufficiale del produttore di un dispositivo o di un’app e usare il link allo Store appositamente fornito, invece di cercare alla cieca sullo Store.

Fonte aggiuntiva: Cointelegraph.

Ultimo aggiornamento: 2021/04/01 13:45.

Apple ha rilasciato la versione 14.4.2 di iOS e iPadOS per correggere una falla che viene già sfruttata concretamente dai criminali informatici: un problema di universal cross-site scripting. In altre parole, un guaio grosso.

L’azienda ha rilasciato un aggiornamento correttivo per la stessa falla anche per iOS 12.5.2, ossia per i vecchi iPhone 5s, 6 e 6 Plus e sui vecchi iPad. Il problema tocca anche gli Apple Watch, che vanno portati alla versione 7.3.3 di watchOS.

La falla è stata classificata con il riferimento CVE-2021-1879.

Il cross-site scripting (XSS) è un tipo di vulnerabilità nel quale un sito può intercettare e manipolare il contenuto di un altro sito se entrambi sono aperti contemporaneamente sul dispositivo della vittima. Per esempio, se state visitando un negozio online, avete trovato un prodotto che vi interessa e nel frattempo state cercando in Google lo stesso prodotto a un prezzo migliore, può capitare di finire in un sito di truffatori che usa il cross-site scripting per leggere o prendere il controllo della vostra attività nel negozio legittimo.

Normalmente un XSS richiede che la pagina legittima abbia dei difetti tecnici; lo universal XSS, invece, agisce anche senza difetti nella pagina legittima, per cui può colpire anche siti bancari e altri siti ad elevata sicurezza. Il difetto, infatti, non sta nei siti, ma nel software del dispositivo usato. Per questo viene considerato un guaio grosso e viene corretto in fretta.

Fate quindi gli aggiornamenti appena possibile: Impostazioni - Generali - Aggiornamento software.

Nel frattempo, tenete presente un trucchetto che riduce il problema: visitate un solo sito per volta e riavviate periodicamente il vostro dispositivo. La persistenza degli attacchi informatici è infatti molto difficile da ottenere, per cui questo comportamento è consigliabile sempre e dovrebbe far parte delle buone abitudini di igiene informatica.

Fonte aggiuntiva: Ars Technica, Acunetix.