Blog di "Il Disinformatico"
Asus, utenti attaccati tramite aggiornamenti di sistema; come rimediare
March 29, 2019 8:02Un attacco informatico molto strano ha colpito i computer Windows di Asus tramite gli aggiornamenti dei driver e del firmware. Qualcuno ha preso il controllo dei server di aggiornamento e ha iniettato nel sistema di aggiornamento del malware che si è propagato poi ad alcune migliaia di computer degli utenti. L’analisi dell’attacco è ancora in corso, ma sembra che il bersaglio sia un numero ristrettissimo (circa 600) di computer di questa marca.
Se volete saperne di più e soprattutto scaricare e usare il software predisposto da Asus per la verifica contro questo attacco, potete leggere il comunicato dell’azienda e queste info di Tripwire e di Motherboard.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
App di sorveglianza colabrodo: Family Locator
March 29, 2019 7:34
L’app è concepita per consentire per esempio a un genitore di sapere quando il figlio arriva a scuola o a un figlio di sapere se il genitore è arrivato in ufficio o è tornato a casa: il suo intento sarebbe dare sicurezza e tranquillità alle famiglie che la usano, ma il risultato è stato esattamente contrario.
I dati degli utenti venivano infatti accumulati in un database MongoDB non protetto, ospitato maldestramente nel cloud e quindi facilmente reperibile con un motore di ricerca specializzato come Shodan, e venivano custoditi (si fa per dire) senza cifratura. Nel database c’erano“ non solo le coordinate geografiche ma anche le foto di profilo, il nome, l’indirizzo di mail e la password di ciascun utente.
In altre parole, nota Naked Security, chiunque accedesse a questo database poteva sapere che aspetto aveva “vostra figlia tredicenne, dove si trovava in tempo reale, il suo nome, il suo indirizzo di mail, il suo indirizzo di casa, l’indirizzo della sua scuola e il suo percorso da casa a scuola e viceversa”.
La falla è stata scoperta da Sanyam Jain della GDI Foundation. La società australiana che gestisce Family Locator non ha risposto alle prese di contatto e quindi il sito di notizie informatiche TechCrunch ha contattato Microsoft, che ospitava il database, ed è riuscito a farlo rendere irraggiungibile via Internet.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Apple chiude 51 falle di sicurezza
March 29, 2019 7:10
MacOS arriva alla versione 10.14.4 e iOS viene portato alla versione 12.2. Le falle riguardano principalmente il browser; ne spiccano inoltre due che avrebbero consentito a un’app iOS di accedere al microfono senza che comparisse l’indicatore di attività del microfono (CVE-2019-6222, CVE-2019-8566) e una (CVE-2019-8553) che avrebbe permesso di prendere il controllo di un dispositivo iOS convincendo il bersaglio a cliccare su un link in un SMS.
Un’altra falla, stavolta per MacOS, consentiva a un’app ostile di estrarre password dal gestore password dei Mac, ossia Keychain.
Come sempre, è importante aggiornare i propri dispositivi appena possibile, perché i criminali informatici non perdono tempo a creare nuovi attacchi che colpiscono chi non si aggiorna. Gli aggiornamenti si eseguono usando la solita procedura: su iPhone, Impostazioni - Generali - Aggiornamento Software; su Mac, clic sul menu Apple - Informazioni su - Aggiornamento software.
Fonte aggiuntiva: Naked Security.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
App di sorveglianza colabrodo: MobiiSpy
March 29, 2019 6:51
La falla di privacy, scoperta dal ricercatore di sicurezza Cian Heasley, era particolarmente grave non solo per i contenuti ma anche perché il proprietario dell’azienda creatrice del software non rispondeva alle segnalazioni di allarme. Intanto le immagini e le registrazioni continuavano ad accumularsi dove chiunque avrebbe potuto scaricarle.
Alla fine è stato necessario contattare Codero, la società di hosting che ospitava il database dei dati, e convincerla a scollegarlo da Internet.
Quando si installa un’app di monitoraggio così invasiva, che raccoglie dati anche da smartphone di bambini, bisogna insomma fare attenzione alla reputazione del creatore dell’app, altrimenti c’è il rischio che un genitore che pensa di proteggere il figlio monitorandolo tramite app finisca in realtà per renderlo più vulnerabile e sorvegliabile da sconosciuti.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Passa la direttiva UE sul copyright. E adesso?
March 26, 2019 16:33Ultimo aggiornamento: 2019/03/26 20:25.
Il Parlamento dell’Unione Europea ha approvato oggi il testo finale del progetto di direttiva sul diritto d’autore. Entrerà in vigore nell’UE dal 2021, se approvata dagli stati membri, e ha vari problemi.
- La direttiva rischia di creare leggi differenti per ciascun paese UE.
- È un salto nel buio, perché (come nota l’avvocato Guido Scorza su AgendaDigitale e sul Fatto Quotidiano) non è supportata da nessuno studio economico sul suo impatto, per cui non si sa quanto (e nemmeno se) i titolari dei diritti guadagneranno più soldi come promesso dai sostenitori della direttiva. Esperimenti analoghi in Germania non hanno ottenuto un soldo.
- Il suo articolo 15 (ex articolo 11) crea in sostanza una sorta di tassa sulle citazioni: gli editori dovranno autorizzare espressamente ogni ripubblicazione delle loro notizie, salvo che si tratti di singole parole o “estratti molto brevi”. Quanto brevi? Non è specificato. Questo dovrà essere chiarito dalle norme più dettagliate basate sulla direttiva. Ma una norma dello stesso genere esiste già in Spagna e ha prodotto la concentrazione del traffico sui grandi editori, svantaggiando quelli piccoli. Piccoli come il blog che state leggendo, per esempio.
- Il suo articolo 17 (ex articolo 13) impone che tutti i grandi siti che permettono agli utenti di caricare contenuti debbano ottenere una licenza su quei contenuti e debbano filtrare quelli che violano il diritto d’autore; inoltre saranno responsabili per i contenuti immessi dagli utenti. In pratica si tratta di un filtro preventivo sugli upload, ossia una soluzione tecnica irrealizzabile (come si filtra un modello per stampante 3D sotto copyright?), oltre che uno strumento di censura formidabile (se ne volete un assaggio, guardate come si comporta il ContentID di Youtube). Per non parlare dell’assurdità di procurarsi una licenza preventiva per ogni possibile contenuto coperto da copyright: non solo musica e film, ma libri, foto, video, software, disegni, testi. Chi potrà negoziare una licenza a tappeto del genere? Solo chi ha tanti soldi.
- L’articolo 17 prevede alcune esenzioni per l’esercizio del diritto di critica, recensione, parodia e collage, per cui i memi dovrebbero essere salvi. Sono esentati anche i siti come Wikipedia (le enciclopedie online non a scopo di lucro), le piattaforme di sviluppo di software open source, i servizi cloud, i negozi online e i servizi di comunicazione.
Per esempio, si chiede la BBC, cosa succederà a chi condivide le proprie sessioni di videogioco su Youtube o Twitch? Il video di una sessione è una nuova opera, i cui diritti spettano al giocatore, ma include opere di proprietà dell’azienda creatrice del gioco. Opere al plurale, perché un videogioco contiene grafica, musica, dialoghi e software, ciascuno vincolato da un diritto d’autore separato. Verrà filtrato automaticamente? Un video di una festa di compleanno che contiene una canzone in sottofondo verrà bloccato?
E cosa cambierà in questo blog, per esempio? Per ora nulla: io vivo e lavoro in Svizzera, per cui quello che scrivo non è toccato dalla direttiva, salvo che la Svizzera decida di adottare norme analoghe. Lo stesso vale anche per tutti i contenuti prodotti fuori dall’UE. Il risultato, insomma, è che chi sta nell’UE verrà penalizzato e chi ne sta fuori (Google o Facebook, per esempio) continuerà come prima e anzi starà meglio di prima, perché nessun europeo se la sentirà di costituire un’azienda concorrente.
Ma soprattutto mi sembra che i creatori di questa direttiva, e i politici che l’hanno approvata, non abbiano tenuto conto di una cosa fondamentale: non è che siccome adesso c'è la direttiva, allora i siti dei pirati audiovisivi che distribuiscono film, telefilm, musica e libri violando il diritto d’autore smetteranno improvvisamente di farlo.
Come andrà a finire non lo sa nessuno. Staremo a vedere. Ma se padri di Internet come Tim Berners-Lee e tanti altri sono contrari, forse dovremmo ascoltarli. Anche perché ci hanno detto più volte che quando la Rete trova un ostacolo, trova anche la maniera di aggirarlo.
Ma se volete una sintesi perfetta di cosa non va in questa direttiva, leggete cosa ha tweetato Luca Sofri in proposito:
Al di là di tutte le ragioni e i torti, nessun giornale è capace di spiegare come mai, se Google o FB sfruttano i contenuti “senza dare nulla in cambio”, nessuno di quei giornali faccia la cosa più semplice: non indicizzarsi su Google, star via da FB. La risposta è facile.— Luca Sofri (@lucasofri) March 26, 2019
Fonti aggiuntive: Cory Doctorow, Gizmodo, EFF, Torrentfreak. Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
