Blog di "Il Disinformatico"
E-voting svizzero ha problemi di affidabilità: analisi tecnica
March 12, 2019 5:37
Sarebbe infatti possibile creare una “manipolazione dei voti non rilevabile”: “nel sistema SwissPost, i voti elettronici cifrati devono essere rimescolati per proteggere la riservatezza del singolo voto. Ogni server che rimescola i voti dovrebbe dimostrare che l’insieme di voti in ingresso che ha ricevuto corrisponde esattamente ai voti diversamente cifrati in uscita. Questo ha lo scopo di fornire un equivalente elettronico dell’uso pubblicamente osservabile di un’urna fisica o teca trasparente”.
I ricercatori forniscono “due esempi di come un’autorità che implementasse o amministrasse un server di rimescolamento potrebbe produrre una trascrizione che viene verificata perfettamente mentre in realtà i voti vengono manipolati.”
Aggiungono inoltre che nella loro analisi “nulla suggerisce che questo problema sia stato introdotto intenzionalmente. È totalmente compatibile con un’implementazione ingenua di un protocollo crittografico complesso da parte di persone con buone intenzioni che non hanno una piena comprensione dei suoi assunti di sicurezza e di altri dettagli importanti.”
In questo flusso di tweet, Sarah Jamie Lewis osserva che SwissPost ha dichiarato che si tratta effettivamente di un difetto e che lo si sapeva sin dal 2017, ma che Scytl (società partner del progetto) non l’aveva corretto. Ora SwissPost ha annunciato la correzione.
Si potrebbe dire che lo scopo del test pubblico del sistema di voto elettronico sia stato parzialmente raggiunto: evidenziare eventuali lacune prima che venga utilizzato. Ma è importante sottolineare che è stato raggiunto grazie al fatto che questi ricercatori non hanno rispettato i paletti inaccettabili di riservatezza proposti dal test, che richiedevano ai partecipanti al test di sottoscrivere un accordo di non pubblicazione salvo approvazione da parte di SwissPost.
La domanda, a questo punto, è come mai questi difetti del software di voto sono stati scoperti e corretti soltanto oggi, dopo anni, e da tre ricercatori esterni che si sono chinati per qualche giorni sulla questione, invece di essere rivelati dalle ripetute verifiche interne di SwissPost e Scytl. E soprattutto quanti altri errori attendono di essere scoperti.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Internet delle Cose: antifurto “smart” per auto non è affatto smart
March 12, 2019 5:05Questo articolo può essere ascoltato qui su Radio Inblu.
In informatica, e soprattutto nella sicurezza informatica, ci sono due regole non scritte ma fondamentali. La prima è che la parola “smart”, anche se letteralmente significa “intelligente”, deve essere capita come sinonimo di “vulnerabile”. Far diventare “smart” un oggetto lo fa diventare attaccabile. Un orologio normale non è un rischio di sicurezza: un orologio “smart”, invece, contiene dati e connessioni usabili per esempio per localizzare una persona o sapere quando è sveglia o dorme o è in intimità. I battiti del cuore e i movimenti, registrati da questi dispositivi, sanno essere molto rivelatori.
La seconda regola è che non bisogna mai vantarsi che il proprio prodotto sia “inattaccabile” o “a prova di hacker”, perché farlo è un invito a nozze per qualunque appassionato esperto che abbia voglia di divertirsi a saggiare questa presunta invulnerabilità e far fare al produttore una pessima figura pubblica.
Indovinate cos’è successo quando due aziende che vendono antifurto per auto hanno deciso di violare entrambe queste regole, introducendo un antifurto “smart” e vantandosi che era “a prova di hacker”. I ricercatori si sono scatenati e hanno dimostrato in pochissimo tempo che questi antifurto erano attaccabilissimi e anzi rendevano meno sicura l’auto rispetto agli antifurto non “smart”.
Questi antifurto, distribuiti sotto vari marchi, sono comandabili tramite smartphone e via Internet. Idea interessante, ma realizzata talmente male che tutto quello che doveva fare un aggressore era inviare un indirizzo di mail differente da quello del proprietario nei parametri passati al sito di gestione degli antifurto. Questo gli faceva ricevere un codice di reset o reimpostazione dell’account dell’antifurto e gli permetteva di prendere il controllo di questo account.
Fatto questo, poteva localizzare l’auto tramite GPS, sapere di che marca e modello si tratta (per non perdere tempo con auto che valgono poco), aprirne le serrature e persino avviarne il motore. In uno dei modelli di antifurto “smart” era anche possibile attivare i microfoni di bordo e ascoltare le conversazioni delle persone presenti nell’auto.
Un video dimostrativo, realizzato dalla società di sicurezza Pen Test Partners, mostra tutto questo e aggiunge una chicca finale: l’aggressore fa scattare l’allarme di un’auto in movimento, disorientando il conducente, che accosta, e poi gli spegne il motore, immobilizzando l’auto. Uno scenario perfetto per un’aggressione fisica.
Ma per fortuna il video è realizzato in condizioni controllate e la vittima è un collega consenziente degli esperti di sicurezza, che oltretutto si sono comportati responsabilmente e hanno già provveduto ad allertare con discrezione i fabbricanti, che hanno corretto la falla.
La morale di questa storia è chiara ma frequentemente trascurata: nella corsa verso soluzioni “smart”, che fanno sembrare all’avanguardia un prodotto, ci si dimentica spesso che la sicurezza non si ottiene a colpi di slogan e che ogni funzione in più è un appiglio in più per un aggressore. Conviene quindi adottare soluzioni semplici, con meno effetti speciali e più sostanza reale, e tenere d’occhio le recensioni degli esperti prima di fare qualunque acquisto digitale.
Fonti: The Register, Hot for Security.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Linkiesta e le auto elettriche: perché tante sciocchezze tecniche?
March 10, 2019 11:56
Ultimo aggiornamento: 2019/03/10 14:30.
Non so se è scoppiata una moda o se si tratta di emulazione o semplicemente di un argomento che giornalisticamente “tira”, ma ultimamente noto molti articoli allarmisti a proposito dei presunti pericoli delle auto elettriche.
Dopo le baggianate pubblicate da Difesaonline, stavolta mi state segnalando un articolo di Linkiesta.it (link intenzionalmente alterato, togliete “togliquesto” dall’URL) a firma di Marco Bentivogli (che, secondo la segnalazione di un lettore, è questo Marco Bentivogli, segretario generale metalmeccanici FIM CISL, autore anche di questo articolo di critica alle auto elettriche).
Ho salvato qui su Archive.is l’articolo de Linkiesta, così potete leggerlo senza regalare clic e visibilità.
Se volete darmi una mano a correggerne gli errori grossolani, che sono frammisti a considerazioni condivisibili, i commenti sono a vostra disposizione. Comincio io segnalandone un paio di dimensioni epiche.
...per ricaricare un auto elettrica serve una rete che sostenga i 150 kW e per quella rapida almeno i 300kW. Significa che se mettiamo sotto carica una Porsche o una Tesla di ultima generazione a Piazza Barberini oggi mandiamo in black-out elettrico diversi isolati.
Questa è una scempiaggine terroristica che si poteva benissimo evitare. Io carico senza problemi la mia auto elettrica, una piccola Peugeot iOn di seconda mano, anche a casa mia, sul mio contatore domestico. A casa mia posso caricare anche una Tesla. L’ho fatto, giusto per provare, e non è andato in blackout l’isolato.
 |
| Una Tesla Model S, sotto carica sulla mia presa domestica, assorbe 11 kW. La presa è da 400 V, ma il display indica 230 V perché visualizza la tensione fra fase e neutro, mentre i 400 V sono fra fase e fase. I dettagli sono su Fuori di Tesla. |
Anche in Italia conosco proprietari di auto elettriche che caricano tranquillamente di notte, sul normale contatore domestico, senza causare blackout condominiali.
Infatti non è vero che “serve una rete che sostenga i 150 kW e per quella rapida almeno i 300kW.” Nessuna auto elettrica attualmente in commercio carica a 300 kW, tanto per cominciare, e comunque 150 kW è un valore necessario soltanto per le cariche ultrarapide, che sono una situazione rara e occasionale. La maggior parte delle auto elettriche oggi in circolazione non è neanche in grado di accettare 150 kW.
Normalmente un‘auto elettrica si carica con calma, durante la notte o nelle ore di sosta, consumando qualche kW. La carica ultrarapida serve soltanto durante i viaggi. E ovviamente le colonnine con questa potenza sono installate non da imbecilli che tirano una prolunga, ma da specialisti che dimensionano gli impianti in modo da non mandare “in black-out elettrico diversi isolati.”
Questo, per esempio, è il Supercharger (fino a 120 kW per auto) del Monte Ceneri, in Svizzera, in una foto che ho scattato ieri. Funziona e non ci sono blackout.
E questa è invece la stazione di ricarica gratuita dell’Ikea di Grancia, vicino a Lugano: sotto carica contemporaneamente una Tesla, la mia piccola iOn e (credo) una Zoe. Nessun blackout anche qui.
Simpatica anche quest’affermazione:
Non è la prima volta che sollecitiamo, prima la Fiat e poi la Fca a investire sulla nuova mobilità e su questo è evidente il nostro dissenso sui ritardi che la strategia di Marchionne su questo tema ha generato. Ma dal 29 novembre siamo riusciti a far cambiare strada al gruppo.
Avete letto bene. Linkiesta (o Bentivogli, come rappresentante del sindacato) si prende il merito di aver fatto cambiare la politica aziendale di un’intera casa automobilistica. Poteri forti, George Soros, fatevi da parte.
Come dimostrato da ricercatori italiani nel 2004, bastano 3 sigarette fumate in un box per generare 10 volte più PM10 di un motore diesel Euro 3 in 30 min.
Chi siano questi ricercatori italiani non si sa: peccato non includere un link alla loro ricerca. Siamo su Internet, suvvia, le fonti si possono anche citare. Tim Berners-Lee ha inventato i link apposta. Ma a parte questo, il paragone è insensato e tende a far sembrare trascurabile l’inquinamento prodotto da un motore diesel.
È insensato perché io posso anche scegliere di non essere così stupido da fumare tre sigarette in un box, ma non posso scegliere di non respirare l’aria che c’è per strada. E chiunque voglia asserire che un diesel Euro 3 acceso in un box sigillato è meno pericoloso di tre sigarette è pregato di dimostrarlo concretamente. Preferibilmente con Vigili del Fuoco e ambulanza pronto a soccorrerlo.
C’è poi da affrontare il tema della standardizzazione delle tecnologie di ricarica che richiederebbe di essere affrontata almeno a livello europeo.
Non è vero: come notato nei commenti qui sotto, a livello europeo le tecnologie di ricarica sono già standardizzate intorno a due tipi di connettore: il Tipo 2 per le auto che caricano in corrente alternata e il CCS Combo 2 per quelle che caricano in corrente continua.
Per il resto, l’articolo dice cose abbastanza sensate: per esempio, dice che non basta adottare le auto elettriche per risolvere il problema dell’inquinamento, visto che anche i riscaldamenti domestici antiquati sono un fattore molto importante nella generazione di emissioni inquinanti. Verissimo. Ma non siamo mica obbligati a fare una sola cosa per volta, come sembra suggerire l’articolo.
Non è che dobbiamo prima aspettare che siano sistemati tutti i riscaldamenti per poi passare alle auto elettriche. Possiamo fare le due cose insieme, cimentarci col problema su due fronti. Questa storia di “prima di fare X dobbiamo fare Y” suona molto come una classica scusa per non fare niente.
Chi può permettersi l’auto elettrica, di fatto, toglie dalla strada un’auto inquinante e rumorosa. Chi può cambiare riscaldamento in favore di un impianto meno inquinante riduce le emissioni per tutti. Scusate se è poco.
Scrivere “L’inquinamento delle auto a combustione è minimo rispetto a quello dei riscaldamenti: finiamola, quindi, con le mode” significa incoraggiare a ignorare il problema. Significa che chi ha i soldi per comprarsi un’auto elettrica comprerà invece un altro mega-SUV inquinante, usando come alibi dichiarazioni come quelle de Linkiesta.
Proviamo a fare meno terrorismo e più concretezza. Altrimenti, oltre all’aria inquinata, ci troveremo assediati dall’aria fritta.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Linkiesta e le auto elettriche: mi date una mano?
March 10, 2019 8:09Non so se è scoppiata una moda o se si tratta di emulazione o semplicemente di un argomento che giornalisticamente “tira”, ma ultimamente noto molti articoli allarmisti a proposito dei presunti pericoli delle auto elettriche.
Dopo le baggianate pubblicate da Difesaonline, stavolta mi state segnalando un articolo di Linkiesta.it a firma di Marco Bentivogli (che, secondo la segnalazione di un lettore, è questo Marco Bentivogli, segretario generale metalmeccanici FIM CISL). L’ho salvato qui su Archive.is, così potete leggerlo senza regalare clic e visibilità a Linkiesta.
Se volete darmi una mano a correggerne gli errori grossolani, che sono frammisti a considerazioni condivisibili, i commenti sono a vostra disposizione. Comincio io segnalandone un paio di dimensioni epiche.
...per ricaricare un auto elettrica serve una rete che sostenga i 150 kW e per quella rapida almeno i 300kW. Significa che se mettiamo sotto carica una Porsche o una Tesla di ultima generazione a Piazza Barberini oggi mandiamo in black-out elettrico diversi isolati.
Questa è una scempiaggine terroristica che si poteva benissimo evitare. Io carico la mia auto elettrica senza problemi. A casa mia, sul mio contatore domestico, posso caricare anche una Tesla. L’ho fatto.
|
| Una Tesla Model S, sotto carica sulla mia presa domestica, assorbe 11 kW. La presa è da 400 V, ma il display indica 230 V perché visualizza la tensione fra fase e neutro, mentre i 400 V sono fra fase e fase. I dettagli sono su Fuori di Tesla. |
Anche in Italia conosco proprietari di auto elettriche che caricano tranquillamente di notte sul normale contatore domestico, senza causare blackout condominiali.
Infatti non è vero che “serve una rete che sostenga i 150 kW e per quella rapida almeno i 300kW.” Nessuna auto elettrica attualmente in commercio carica a 300 kW, tanto per cominciare, e comunque 150 kW è un valore necessario soltanto per le cariche ultrarapide, che sono una rarità.
Normalmente un‘auto elettrica si carica con calma, durante la notte o nelle ore di sosta, consumando qualche kW. La carica ultrarapida serve soltanto durante i viaggi. E ovviamente le colonnine con questa potenza sono installate non da imbecilli che tirano una prolunga, ma da specialisti che dimensionano gli impianti in modo da non mandare “in black-out elettrico diversi isolati.”
Questo, per esempio, è il Supercharger (fino a 120 kW per auto) del Monte Ceneri, in Svizzera, in una foto che ho scattato ieri. Funziona e non ci sono blackout.
Simpatica anche quest’affermazione:
Non è la prima volta che sollecitiamo, prima la Fiat e poi la Fca a investire sulla nuova mobilità e su questo è evidente il nostro dissenso sui ritardi che la strategia di Marchionne su questo tema ha generato. Ma dal 29 novembre siamo riusciti a far cambiare strada al gruppo.
Avete letto bene. Linkiesta (o Bentivogli) si prende il merito di aver fatto cambiare la politica aziendale di un’intera casa automobilistica. Poteri forti, George Soros, fatevi da parte. Quella che comanda veramente è la redazione de Linkiesta.
Come dimostrato da ricercatori italiani nel 2004, bastano 3 sigarette fumate in un box per generare 10 volte più PM10 di un motore diesel Euro 3 in 30 min.Chi siano questi ricercatori italiani non si sa: peccato non includere un link alla loro ricerca. Siamo su Internet, suvvia, le fonti si posso citare. Tim Berners-Lee ha inventato i link apposta. Ma a parte questo, il paragone è insensato e tende a far sembrare trascurabile l’inquinamento prodotto da un motore diesel.
È insensato perché io posso anche scegliere di non essere così stupido da fumare tre sigarette in un box. Ma non posso scegliere di non respirare l’aria che c’è per strada. E chiunque voglia asserire che un diesel Euro 3 acceso in un box sigillato è meno pericoloso di tre sigarette è pregato di dimostrarlo concretamente. Preferibilmente con Vigili del Fuoco e ambulanza pronto a soccorrerlo.
Per il resto, l’articolo dice cose abbastanza sensate: per esempio, dice che non basta adottare le auto elettriche per risolvere il problema dell’inquinamento, visto che anche i riscaldamenti domestici antiquati sono un fattore molto importante nella generazione di emissioni inquinanti. Verissimo. Ma non siamo mica obbligati a fare una sola cosa per volta, come sembra suggerire l’articolo.
Non è che dobbiamo prima aspettare che siano sistemati tutti i riscaldamenti per poi passare alle auto elettriche. Possiamo fare le due cose insieme. Questa storia di “prima di fare X dobbiamo fare Y” è una classica scusa per non fare niente.
Chi può permettersi l’auto elettrica, di fatto, toglie dalla strada un’auto inquinante e rumorosa. Chi può cambiare riscaldamento in favore di un impianto meno inquinante riduce le emissioni per tutti. Scusate se è poco.
Scrivere “L’inquinamento delle auto a combustione è minimo rispetto a quello dei riscaldamenti: finiamola, quindi, con le mode” significa incoraggiare a ignorare il problema. Significa che chi ha i soldi per comprarsi un’auto elettrica comprerà invece un altro mega-SUV inquinante, usando come alibi dichiarazioni come quelle de Linkiesta.
Proviamo a fare meno terrorismo e più concretezza. Altrimenti, oltre all’aria inquinata, ci troveremo assediati dall’aria fritta.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
A proposito di quell’archivio clienti italiano lasciato online: l’ho segnalato alla Postale
March 8, 2019 14:12
A fine febbraio ho segnalato il caso di un’azienda italiana, che gestisce prenotazioni online per ristoranti, che aveva lasciato accessibile online quello che sembrava essere un archivio dei dati dei propri clienti (circa 140.000).
L’azienda non ha risposto alle mie segnalazioni private, ma di fatto l’archivio non è più reperibile all’indirizzo IP presso il quale si trovava a disposizione di chiunque. Non mi è arrivata nessuna risposta neanche dal campione di indirizzi di mail dei clienti presenti nell‘archivio. La questione resterà quindi un mistero, e siccome potrebbe trattarsi di un archivio fittizio di prova (anche se mi pare improbabile), non credo che sia corretto fare pubblicamente il nome dell’azienda.
Su Internet ci sono tanti altri archivi di questo genere altrettanto accessibili e vulnerabili; trovarli è facile, usando gli appositi servizi di ricerca (come nello screenshot mostrato qui sopra), che per uno specifico tipo di database mi restituiscono oltre 700 risultati sparsi per il mondo.
Se vi interessa sapere quali sono questi servizi di ricerca, utilissimi anche per verificare la propria sicurezza informatica aziendale, ne segnalo alcuni:
- Shodan.io
- Binaryedge.io
- Zoomeye.org
- Censys.io
- FoFa.so
Prima che me lo chiediate: consultare questi servizi, dopo aver creato un account, è legale e non costituisce violazione di domicilio informatico, visto che visitate le pagine di questi motori di ricerca e non quelle dei siti contenenti dati vulnerabili. Ma abusare delle informazioni contenute in questi servizi per violare un sistema informatico è palesemente illegale.
Se vi state chiedendo se sia pericoloso mettere a disposizione questi motori di ricerca, la risposta forse sorprendente è no: gli intrusi informatici esperti sanno benissimo come agire anche senza questi servizi. L’esistenza di questi motori consente semmai di facilitare il lavoro agli addetti alla sicurezza delle aziende, che grazie a questi strumenti possono verificare più rapidamente se hanno dati visibili esternamente.
2019/03/08 16:25
Come non detto: poco dopo la pubblicazione iniziale di questo articolo mi è arrivata la segnalazione che un altro database della stessa azienda, con i dati di circa 1000 account, è online, senza password (basta conoscerne l’indirizzo IP) e pubblicamente accessibile in lettura e (presumo) scrittura o cancellazione, presso un indirizzo IP diverso da quello precedente.
Visto che il problema si ripete, ho allertato via mail la Polizia Postale fornendo tutti i dettagli. Sarà così possibile capire se si tratta di un database di clienti reali, messo online senza alcun riguardo per GDPR e protezione dei clienti, o se si tratta di un database di prova.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
