Yahoo: come sono sfruttabili dati rubati di tre anni fa?
December 27, 2016 8:57
Il disastro del miliardo di account Yahoo violati annunciato di recente ha un’unica circostanza attenuante: essendo avvenuto tre anni fa, nel frattempo molti utenti hanno comunque cambiato le proprie password o hanno smesso di usare i propri account Yahoo. Ma questo non vuol dire che quest’enorme collezione di dati non sia sfruttabile e non faccia gola ai grandi criminali informatici.
I dati sottratti sono stati venduti al mercato nero ad almeno tre acquirenti distinti, ciascuno dei quali avrebbe pagato circa 300.000 dollari, stando alle fonti del New York Times. Gli acquirenti sarebbero due spammer e un altro gruppo interessato allo spionaggio.
Ma cosa se ne fanno, questi criminali, di account che hanno probabilmente password obsolete? Una risposta è che di solito gli utenti cambiano periodicamente le password, ma raramente cambiano le risposte alle domande di recupero password (anche perché domande del tipo “Come si chiamava tua madre da nubile?” di solito hanno risposte che non variano nel tempo).
Questo significa che i malfattori possono rubare gli account anche se non hanno la password aggiornata: usano le risposte alle domande di recupero, che fanno parte dei dati trafugati a Yahoo. Non solo: dato che appunto le risposte alle domande non cambiano, possono usare quelle che avete immesso in Yahoo per rubarvi anche account che avete altrove e che dipendono dalle stesse domande. Di conseguenza, sarebbe una buona idea prendere l’abitudine di rispondere con dati di fantasia alle domande di recupero (segnandosi ovviamente in un luogo sicuro le risposte).
Ma c’è un motivo ancora più significativo per l’acquisto di dati come quelli sottratti a Yahoo: Bloomberg segnala che fra i dati ci sono quelli di oltre 150.000 dipendenti governativi e militari statunitensi. Per una potenza straniera, mettere le mani su “nomi, password, numeri di telefono, domande di sicurezza, date di nascita e indirizzi di e-mail di riserva” di “personale attuale e passato della Casa Bianca, membri del Congresso USA e loro assistenti, agenti dell’FBI, dell’NSA, della CIA” e altri ancora, elencati da Bloomberg, è altamente desiderabile.
Il cinico business delle bufale. Seconda parte: Affaritaliani.it
December 26, 2016 6:58
È facile interpretare le recenti iniziative governative di vari paesi contro le false notizie come un’operazione di creazione del consenso popolare che consenta la censura della Rete e della libertà di espressione dei comuni cittadini. Può anche darsi che l’intento sia davvero questo. Sarebbe un intento decisamente miope e idiota, perché le false notizie non sono un problema soltanto di Internet: i principali disseminatori di “bufale” sono i media tradizionali e le testate giornalistiche regolarmente registrate.
Certo, un post di un utente comune con una foto falsa di Aleppo può fare trecentomila condivisioni, ma è nulla in confronto ai milioni di telespettatori di un servile “dibattito” sul fatto del giorno, alla tiratura quotidiana di un giornale o alle visite al sito Web di una testata giornalistica. Il Daily Mail britannico, fabbrica incessante di bufale mediche e di false notizie razziste, tira un milione e mezzo di copie giornaliere, che vengono lette da sei milioni e mezzo di persone, e quattordici milioni di visitatori giornalieri tramite PC (dati Newsworks, dicembre 2016).
Rispetto alla potenza di fuoco di testate come queste, una condivisione di un cittadino comune sui social è una scoreggia in un uragano. In altre parole, se qualcuno pensa che il problema delle false notizie sia colpa dei singoli cittadini e che la soluzione sia rimettere la comunicazione in mano alle testate giornalistiche registrate, sta sbagliando di grosso.
Faccio un esempio di questo concetto prendendo un caso sul quale vado a colpo sicuro e al riparo da ogni dubbio sulla mia competenza sulla materia trattata per una ragione molto semplice: l’argomento della falsa notizia sono io.
Affariitaliani.it è una testata giornalistica regolarmente registrata; ha un direttore responsabile. Sulla sua home page questo è dichiarato a chiare lettere: “Testata giornalistica registrata - Direttore responsabile Angelo Maria Perrino - Reg. Trib. di Milano n° 210 dell'11 aprile 1996 - P.I. 11321290154”. Dovrebbe quindi attenersi alle norme sulla stampa e alla deontologia professionale, che include la diligente verifica delle fonti e dei fatti: quello che adesso si chiama fact-checking.
Ma guardate cosa ha scritto Affaritaliani.it, a firma di Giuseppe Vatinno (ex deputato), a proposito di me in questo articolo (linko la copia salvata su Archive.is per non regalare clic pubblicitari e per garantirmi da eventuali modifiche).
- “Paolo Attivissimo assunto dalla Boldrini. Ma le tasse le paga in Svizzera” scrive Vatinno nel titolo. Considerato che vivo in Svizzera, lavoro in Svizzera e collaboro con la Radiotelevisione Svizzera da più di dieci anni, dove altro dovrei pagare le tasse? Nel Camerun?
- Vatinno afferma che sulle bufale ho costruito “una sorta di impero mediatico e di lucrosi guadagni...”. Piccola nota di fact-checking: no. Se Vatinno ha delle prove di questi “lucrosi guadagni”, è pregato di pubblicarle, anche perché io non li ho ancora visti. Ho un “impero mediatico” e manco lo so. Mo’ me lo segno, direbbe Troisi.
- Vatinno prosegue: “seguendo il richiamo del soldo, l’Attivissimo prese a collaborare con il nuovo giornale di Belpietro, “La Verità””. Altra piccola nota di fact-checking: La Verità non mi paga. Non scrivo per La Verità. Il giornale di Belpietro ha semplicemente il permesso di ripubblicare su carta quello che scrivo in questo blog, sotto licenza Creative Commons. Se Vatinno avesse fatto il proprio lavoro secondo deontologia, prima di scrivere questa panzana avrebbe verificato.
- E ancora: “lo Stato italiano deve pagargli costose trasferte dalla Svizzera all’Italia. Ma come? Un esperto informatico come lui non può usare Skype per le riunioni? Invece no. Taxi, aerei, Hotel (magari di lusso), magnate nei migliori ristoranti romani e poi ancora taxi, altri aerei, altre magnate. Insomma un bel po’ di soldi pubblici che se ne andranno per un lavoro che si può, per definizione, fare da casa (sempre in Svizzera però…).” Terza piccola nota di fact-checking: la mia collaborazione con la Camera è stata svolta proprio usando Skype e Hangouts. Sono andato a Roma una sola volta, in treno, per moderare il convegno sulle false notizie il 29 novembre scorso, perché moderare un convegno via Skype è un tantinello impossibile. L’amatriciana che ho mangiato a Roma la sera prima del convegno me la sono pagata io. Se Vatinno vuole esaminare lo scontrino, basta che chieda.
Questo, vorrei sottolineare, è un articolo pubblicato su una testata giornalistica, sulla quale vigila (in teoria) un direttore responsabile e che vive di clic pubblicitari. Non è il delirio di un utente Facebook o di un blogger in libertà. E non è firmato da un cittadino qualsiasi, ma da un ex deputato.
Non mi si venga a dire che il problema delle false notizie è un problema di Internet.
Cose informatiche da non fare in volo: far credere di avere un Samsung Galaxy Note 7 “incendiario”
December 26, 2016 0:46 |
| Credit: PhoneArena. |
Un nome che mette i brividi, visto che il Samsung Galaxy Note 7 è stato vietato a bordo degli aerei di linea statunitensi dal Dipartimento dei Trasporti per via della sua spiacevole tendenza a prendere fuoco spontaneamente. E se c’è una cosa che non piace né ai piloti né ai passeggeri, è un incendio a bordo, come già accaduto per colpa di questo dispositivo elettronico difettoso.
Lucas ha dapprima segnalato su Twitter la propria scoperta e poi, sempre su Twitter, ha raccontato il seguito.
Dopo circa un’ora di volo, l’equipaggio ha fatto un annuncio ai passeggeri, chiedendo che l’eventuale possessore del telefonino incendiario si facesse riconoscere. Silenzio inquieto in cabina passeggeri.
Un quarto d’ora dopo, l’equipaggio ha minacciato di accendere le luci (erano le 23 locali) e di perquisire tutti i bagagli in cabina fino a trovare lo smartphone sospetto. Ancora silenzio.
Dopo un’altra quindicina di minuti è intervenuto personalmente il comandante, avvisando che se il proprietario del telefonino non si fosse fatto avanti sarebbe stato necessario far atterrare anticipatamente l’aereo e farlo perquisire, causando disagi a tutti. Trovarsi nel cuore della notte in un aeroporto inatteso dopo un’emergenza (in Wyoming, secondo The Register), ha spiegato il comandante, sarebbe stato “terribile. Non c’è aperto nulla nel terminal. Nulla.”
Queste parole, dettate dal protocollo della compagnia aerea per la gestione dei telefonini a rischio d’incendio, hanno finalmente convinto i passeggeri a collaborare, ed è emerso con sorpresa che non c’era a bordo nessun Samsung Galaxy Note 7: semplicemente, uno dei passeggeri aveva attivato la funzione hotspot Wi-Fi del proprio telefonino e le aveva assegnato il nome Samsung Galaxy Note7_1097. Non si sa bene se si sia trattato di un nome scelto automaticamente dal telefonino o se sia stata invece una scelta intenzionale del proprietario.
Ma di fatto, il nome di un Wi-Fi oggi è sufficiente a rischiare un atterraggio d’emergenza di un aereo di linea. Quindi se prendete un aereo, gestite responsabilmente il vostro smartphone. Tenetelo spento, se non vi serve, e controllate che la funzione hotspot Wi-Fi non si attivi con qualche nome che possa creare inquietudini.
Fate come me e usate come nome NSA o CIA.
Podcast del Disinformatico del 2016/12/23
December 24, 2016 7:07È disponibile per lo scaricamento il podcast della puntata di ieri del Disinformatico della Radiotelevisione Svizzera. Buon ascolto e Buone Feste!
Cose informatiche da fare a Natale (o prima di Natale)
December 23, 2016 8:25Capita sempre più spesso di fare acquisti natalizi su Internet, e così la società di sicurezza informatica Sophos ha pubblicato un promemoria in dodici punti su come tenersi in sicurezza durante le feste. Eccone un assaggio.
Pulizia delle password. La pausa di Natale è una buona occasione per fare riordini di vario genere. Magari ci sta anche quello delle password, che devono essere differenti per ciascun sito, per evitare che un sito violato permetta a un criminale di rubarvi tutti gli account. Non è difficile, se usate un password manager che crea e si ricorda per voi tutte le password usando codici complicatissimi.
Aggiornamenti. Se ricevete in regalo qualche dispositivo digitale che si connette a Internet, per prima cosa aggiornate il suo software, per evitare che s’infetti. Fatelo subito.
Cambiate le password predefinite dei nuovi dispositivi. Molti dispositivi che potreste ricevere come regalo hanno delle password standard che sono note a tutti i malandrini della Rete: cambiatele, dunque, prima di affacciarvi a Internet. La raccomandazione vale in particolare per telecamerine di sorveglianza, monitor per bebè, televisori, lettori DVD e Blu-Ray, console di gioco e decoder TV.
Lucchetti nello shopping. Se andate su un sito a fare acquisti, controllate che accanto al nome del sito, nella casella dell’indirizzo del browser, ci sia un lucchetto chiuso: indica che la connessione al sito è cifrata e che nessuno può intercettarla per leggere i dati della vostra carta di credito.
Attenzione alle false mail degli spedizionieri. I criminali informatici in questo periodo sanno che stiamo ricevendo tanti regali per posta o tramite spedizionieri, per cui hanno avviato campagne di ransomware e rubapassword basate su mail che sembrano provenire dalle Poste o simili e sembrano annunciare l’arrivo di un pacco, sapendo che molti utenti si aspettano mail di questo genere e quindi le apriranno e soprattutto ne apriranno gli allegati infettanti.
