Amazon Echo accetta ordini di acquisto da chiunque. Anche da una voce alla TV
13 de Janeiro de 2017, 8:11
Echo è un piccolo dispositivo domestico di Amazon che si collega a Internet ed è dotato di microfoni sempre in ascolto, che consentono di usarlo come maggiordomo virtuale al quale dare ordini a voce. Echo, infatti, riconosce i comandi vocali e risponde con una voce sintetica chiamata Alexa. In una casa “smart”, per esempio, può essere usato per comandare luci, tapparelle, serrature, riscaldamento, apricancello, citofoni e altro ancora, facilitando enormemente l’attività di chiunque abbia problemi di mobilità.
Ma Echo, o meglio Alexa, come la chiamano i suoi utenti, di recente ne ha combinata una grossa, che ha rivelato i limiti di questa tecnologia e soprattutto del modo in cui Amazon l’ha impostata. Alexa, infatti, accetta ordini da chiunque, non solo dalla voce dei suoi proprietari. E così Brooke, una bimba di sei anni che vive in Texas, ha usato l’Alexa di casa per ordinare su Amazon una casa per bambole e due chili di biscotti a insaputa dei genitori e senza neanche rendersene conto: ha semplicemente detto ad Alexa “Puoi giocare alla casa delle bambole con me e prendermi una casa delle bambole?” (“Can you play dollhouse with me and get me a dollhouse?”).
Questo acquisto clandestino è stato possibile perché questi dispositivi vengono forniti da Amazon già preimpostati per gli acquisti automatici: è l’utente che deve decidere di disabilitarli o proteggerli con un codice segreto di autorizzazione. Una preimpostazione un po’ furbetta, molto vantaggiosa per Amazon, ovviamente, ma svantaggiosa per chi compra il dispositivo, secondo una tendenza sempre più diffusa fra i produttori di dispositivi e servizi informatici: la sicurezza del cliente è secondaria e quello che conta è raccogliere il più possibile dati personali da rivendere, come nel caso dei social network, oppure rendere più facile fare acquisti impulsivi, come nel caso di Amazon.
Ci sarebbe anche da riflettere sul concetto piuttosto inquietante di avere in casa dei microfoni che ascoltano tutto quello che viene detto e lo condividono con un’azienda, ma i pasticci di Alexa non sono ancora finiti: infatti la notizia della bimba texana è stata ripresa dai telegiornali statunitensi e in particolare il conduttore di un’emittente televisiva di San Diego, in California, l’ha commentata in diretta dicendo “Adoro la bimba che dice ‘Alexa, ordinami una casa per bambole’” (video, a 2:00).
Avete già indovinato cos’è successo a quel punto: numerosi dispositivi Amazon Echo dei telespettatori hanno interpretato la voce del conduttore come un comando dato da una persona in casa e hanno tentato in massa di ordinare case per bambole su Amazon. I telespettatori hanno chiamato l’emittente avvisandoli del problema e lamentandosi che il conduttore aveva fatto partire ordini indesiderati.
Amazon è corsa subito ai ripari dichiarando che gli ordini fatti per errore potranno essere restituiti gratuitamente e ha ricordato che gli acquisti automatici di Alexa possono essere disabilitati, ma il doppio equivoco ha messo in luce un problema di fondo delle tecnologie basate sul riconoscimento vocale: per ora non sono abbastanza selettive da distinguere una voce specifica da un’altra e quindi le possibilità di equivoco, dispetto o di sabotaggio sono troppo elevate.
Anche perché Amazon non può risolvere un problema di fondo: come spiegare a un bimbo o a una bimba che il bellissimo giocattolo che è appena arrivato dovrà essere rimandato indietro?
Fonti: CNN, Fortune, Graham Cluley.
Mini-lezione di debunking in nove tweet: Repubblica
12 de Janeiro de 2017, 15:33Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi per incoraggiarmi a scrivere ancora. Ultimo aggiornamento: 2017/01/12 18:15.
1. Micro-lezione di debunking: come sbugiardare @repubblicait quando posta una foto falsa.— Paolo Attivissimo (@disinformatico) 12 gennaio 2017
2. Prima cosa: avere follower svegli che si accorgono della bufalahttps://t.co/HQOUkoSU4t— Paolo Attivissimo (@disinformatico) 12 gennaio 2017
3. Fare uno screenshot della #fakenews di @repubblica citando l'autore (Marzia Papagna). pic.twitter.com/RBXB4NkAbs— Paolo Attivissimo (@disinformatico) 12 gennaio 2017
4. Salvare la bufala su Archive punto is a imperitura memoria per evitare cancellazioni furbette: https://t.co/cITdVLdPWo pic.twitter.com/SIcTTL92rW— Paolo Attivissimo (@disinformatico) 12 gennaio 2017
5. Cercare l'immagine con Tineye punto com e scoprire che la foto risale ad almeno 8 anni fa. https://t.co/aMezJXI0dD pic.twitter.com/WiL3TyJF6F— Paolo Attivissimo (@disinformatico) 12 gennaio 2017
6. Dirlo a un debunker che viene letto da @repubblicait— Paolo Attivissimo (@disinformatico) 12 gennaio 2017
7. Chiedere educatamente a @repubblicait se non si vergogna almeno un pochino di lavorare così— Paolo Attivissimo (@disinformatico) 12 gennaio 2017
8. Segnarsi l'episodio e tirarlo fuori ogni volta che @repubblicait dice che le #fakenews sono un problema di Internet, non del giornalismo.— Paolo Attivissimo (@disinformatico) 12 gennaio 2017
9 (fine). Fatelo ogni volta che vedete una bufala giornalistica documentabile.— Paolo Attivissimo (@disinformatico) 12 gennaio 2017
Fine della micro-lezione
Ci sarebbe anche da parlare della totale mancanza di rispetto per il diritto d’autore sulla foto, ma lasciamo perdere.
Quei titoloni su Draghi, Renzi e Monti “hackerati” sono una bufala: colpa di una pagina mancante
11 de Janeiro de 2017, 18:19Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi (Paypal/ricarica Vodafone/wishlist Amazon) per incoraggiarmi a scrivere ancora.
Ieri c’è stato un delirio collettivo di titoli di testate giornalistiche che dichiaravano senza alcun dubbio che gli account di mail di Draghi, Renzi e Monti erano stati violati da Giulio e Maria Francesca Occhionero, colpiti da ordinanza di custodia cautelare nell’ambito del caso denominato EyePyramid. Ma queste dichiarazioni sono basate sul nulla: o meglio, sul fatto che nella versione circolante ieri dell’ordinanza di custodia cautelare per gli Occhionero mancava una pagina.
La pagina in questione era la 14, come segnalavo ieri, ed è una pagina cruciale: senza di essa, infatti, l’ordinanza sembra includere degli account di Matteo Renzi e di Mario Draghi fra quelli violati (“674 account, 29 dei quali corredati dalla relativa password”):
Stamattina ho scritto che la mancanza di quella pagina poteva trarre in inganno, e poco dopo Agi.it ha pubblicato una descrizione della pagina mancante, che spiega che l’elenco di pagina 15 (quello con i nomi di Renzi e Draghi) riguarda “account presenti nel database, benché privi di password” (sottolineatura presente nell’originale). L’ordinanza completa (inclusa la pagina 14) è stata pubblicata oggi qui su Agi.it.
Senza password, i nomi degli account non valgono nulla e la mancanza della password sembrerebbe indicare che questi account non sono stati affatto violati. Il Fatto Quotidiano scrive oggi che “Nei confronti degli ex presidenti del Consiglio Matteo Renzi e Mario Monti, nonché del presidente della Bce Mario Draghi c’è stato solo un tentativo, ma non l’accesso, alle caselle di posta elettronica.” Dello stesso tenore è anche questo articolo di Agi.it.
La notizia, insomma, si sgonfia notevolmente. Molte testate giornalistiche hanno dato l’impressione che queste personalità fossero state attaccate con successo e spiate per anni: ora tutto indica che non è affatto così.
Segnalo, per chiudere, il sunto della situazione realizzato da Stefano Zanero.
“Cyberspionaggio” contro Renzi, Monti, Draghi e “20.000 vittime”: calma un attimo
11 de Janeiro de 2017, 0:07
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi per incoraggiarmi a scrivere ancora.
I media italiani si sono forse lasciati un po’ prendere la mano sulla notizia dell’arresto di due persone, Giulio Occhionero e Francesca Maria Occhionero, con l’accusa di spiare “politici e istituzioni, anche Renzi, Draghi e Monti” (RaiNews). Sarebbero “circa 20mila le vittime accertate sinora” dalla Polizia postale (RaiNews; Askanews/Cyber Affairs). Secondo AGI, il malware usato dagli accusati “controllava migliaia di politici italiani”.
RaiNews dice che fra gli “account ‘hackerati’... figurano anche quelli di Matteo Renzi, di Mario Monti, dell'ex governatore della Banca d'Italia Fabrizio Saccomanni; di Piero Fassino, Ignazio La Russa Mario Canzio e dell'ex comandante della Guardia di Finanza Saverio Capolupo. Spiati anche Vincenzo Scotti, Walter Ferrara, Alfonso Papa, Paolo Bonaiuti, l'ex ministro Maria Vittoria Brambilla, Luca Sbardella, Fabrizio Cicchitto, Daniele Capezzone, Vincenzo Fortunato, il ministro Paolo Poletti. L'ex presidente della Regione Campania Stefano Caldoro e il senatore Domenico Gramazio.”
Ho letto le 46 pagine dell’ordinanza di custodia cautelare pubblicata da AGI (con un lodevole atto di trasparenza e buon giornalismo digitale) per andare il più possibile alla fonte diretta e diradare la cortina fumogena del passaparola giornalistico. Dalla versione pubblicata manca, stando alla numerazione, la pagina 14.
La pagina mancante (o altri atti che al momento non ho potuto esaminare) potrebbe cambiare molto le mie considerazioni, ma sulla base di quello che è stato pubblicato fin qui segnalo alcuni punti significativi e ua correzione a una notizia errata pubblicata dall’Huffington Post.
20.000 vittime? Dipende cosa si intende per “vittime”. L’ordinanza, a pagina 12, parla di “un elenco di 18327 username univoche” di cui però solo 1793 sono “corredate da password”, e parla di “tentativi di infezione, più o meno riusciti”. Sottolineo il “tentativi”. Mi viene il dubbio che alcuni giornalisti abbiano considerato come vittime anche gli account che hanno soltanto subìto un tentativo di intrusione. Se uno username viene citato in questo elenco senza la rispettiva password, è probabile che l’intrusione in quell’account non sia riuscita. Conteggiare anche i tentativi falliti sarebbe ingannevole: con questo criterio, io dovrei considerarmi “vittima” e “hackerato” ogni volta che ricevo una mail con un malware allegato.
Fra l’altro, anche la conoscenza della password non sarebbe garanzia di intrusione riuscita. Se una vittima ha attivato l’autenticazione a due fattori (2FA o “verifica in due passaggi”), la sua password può essere trafugata ma non sarà utilizzabile da un aggressore (con la 2FA possono accedere all’account solo i dispositivi autorizzati dall’utente; gli altri, tipo quelli usati dall’aggressore, vengono bloccati e l’utente viene allertato). Spero e prego che i vari politici citati nelle notizie si siano dotati di 2FA sugli account. Lo so, sono un inguaribile ottimista.
Per contro, la tecnica d’intrusione descritta nell’ordinanza (invio di mail con un allegato contenente un malware già conosciuto, denominato Eyepyramid, nulla di particolarmente sofisticato ma un semplice strumento di amministrazione remota o RAT) permetterebbe di monitorare da remoto il computer della vittima, se la vittima esegue il malware senza protezioni, e quindi di leggere o esportare la mail anche senza conoscerne la password.
Renzi, Draghi, Monti sono stati violati o no? L’ordinanza è ambigua al riguardo: non dice chiaramente che gli account di questi tre esponenti delle istituzioni sono stati violati come sostengono le fonti giornalistiche. Indica soltanto le date dei tentativi di violazione di questi account, mentre per altri, legati a domini sensibili delle istituzioni come Interno.it, Camera.it, Senato.it, Esteri.it e Giustizia.it “o riconducibili ad importanti esponenti politici” precisa che sono “comprensivi di password”. Manca però la pagina 14, che potrebbe forse fare chiarezza.
Non ho trovato nessuna dichiarazione diretta della Polizia Postale che dica che gli account di Renzi, Monti e Draghi sono stati effettivamente violati, ma solo affermazioni giornalistiche in questo senso: se avete dichiarazioni dirette degli inquirenti che mi sono sfuggite e confermano la violazione specifica, segnalatemele.
L’ordinanza, per contro, specifica chiaramente (a pagina 2) che alcuni dei tentativi di intrusione sono andati a segno e hanno permesso di acquisire “notizie che, nell’interesse politico interno o della sicurezza pubblica devono rimanere riservate”. Non voglio insomma sminuire la gravità dei reati commessi, ma precisarne l’effettiva entità e portata.
No, l’ENAV non è stata violata. Huffington Post scrive che gli Occhionero “hanno penetrato il 28 aprile 2016, ma già sotto controllo dall’inizio di gennaio - attraverso i computer dell’avvocato Francesco Di Maio, responsabile della sicurezza dell’Enav - l’intero sistema informatico dell’aviazione civile italiana, comprese tutte le comunicazioni relative”. Questa affermazione è stata smentita seccamente da Giovanni Mellini, che lavora nella sicurezza informatica dell’ENAV, in una mail che mi ha inviato e che cito testalmente con il suo permesso: “ENAV ed il suo SOC hanno segnalato al CNAIPIC in maniera responsabile e con evidenze uno 0day assimilabile ad un APT per le azioni istituzionali del caso e non c'è stata alcuna compromissione della nostra rete e nello specifico dell'account di Francesco Di Maio, il mio responsabile.”
Questo corrisponde a quanto dichiarato nell’ordinanza (pagine 1, 2 e 4): gli Occhionero sono indagati specificamente per aver tentato un’intrusione nei sistemi informatici di Francesco Di Maio (responsabile della sicurezza di ENAV) mandandogli il 26 gennaio 2016 “un messaggio di posta elettronica contenente un allegato malevolo (virus informatico EyePyramid), che una volta auto-installato nel sistema informatici [sic] dell’ENAV S.p.A., avrebbe permesso di accedere abusivamente al relativo sistema informatico”. Notate il condizionale “avrebbe”, che indica che l’auto-installazione non è avvenuta. Infatti l’ordinanza chiarisce poi che Di Maio “anziché visualizzarla e scaricarne l’allegato, provvedeva opportunamente ad inviarlo per l’analisi tecnica” a una società di sicurezza informatica.
La questione ENAV è particolarmente importante perché stando alle dichiarazioni del direttore della Polizia Postale e delle Comunicazioni, Roberto Di Legami, e riportate da Askanews/Cyber Affairs, è stata proprio la segnalazione del tentativo di intrusione ai danni dell’ENAV che ha portato alla scoperta delle attività degli Occhionero.
C’è ancora sicuramente molto da scoprire su questa vicenda, visto che i dati rubati erano custoditi negli Stati Uniti e quindi è coinvolta anche l’FBI. Staremo a vedere: nel frattempo, questa vicenda è di certo un monito per chiunque ricopra una carica importante a ricordare che la sicurezza informatica è una cosa seria e che pensare “ma chi vuoi che se la prenda con me” è un errore sul quale i criminali informatici contano quotidianamente.
Fonti aggiuntive: Corriere del Ticino, AGI, Formiche.net, Rainews, Sole 24 Ore, AGI, Il Fatto Quotidiano, The Guardian.
Diritto all’oblio: se un ex spammer chiede di essere dimenticato
8 de Janeiro de 2017, 14:49Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi (Paypal/ricarica Vodafone/wishlist Amazon) per incoraggiarmi a scrivere ancora.
Oggi ho avuto un lungo scambio di corrispondenza con una persona italiana che in passato ho segnalato come spammer in quanto era stato classificato fra gli spammer più prolifici da una delle principali organizzazioni di monitoraggio antispam.
La persona mi chiedeva di rimuovere il suo nome da un mio articolo in cui parlavo dello spam e citavo il suo nome fra quelli presenti in classifica.
Considerato che, per sua stessa ammissione, questa persona è stata espulsa da almeno tre provider per violazioni delle loro policy d’uso e che è ancora attiva nel settore Internet, mi sono rifiutato di togliere il suo nome dall’articolo.
