Blog di "Il Disinformatico"
Una Hyundai che usa Windows CE ed esegue qualunque software?
Aprile 27, 2019 20:49Sapete riconoscere che modello di Hyundai è questo?
This has become the easiest data extraction I've done in awhile pic.twitter.com/O3xaePfwf3— James Click (@realJamesClick) April 27, 2019
Secondo l’autore di questi tweet, queste foto mostrano un pannello di comando di una Hyundai che usa Windows Embedded CE 6.0 ed è dotata di un server telnet. Come se non bastasse, esegue qualunque software al quale venga dato il nome HyundaiUpdate.exe messo su una chiavetta USB. Non c’è alcun controllo di firma crittografica o di autenticazione.
Spero sinceramente che sia uno scherzo e che nessuna casa automobilistica sia così incosciente da aver davvero fatto qualcosa del genere. Ma temo di essere troppo ottimista.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Puntata del Disinformatico RSI del 2019/04/26
Aprile 26, 2019 12:50
È disponibile lo streaming audio della puntata del 19 aprile del Disinformatico della Radiotelevisione Svizzera.
La versione podcast solo audio (senza canzoni, circa 20 minuti) è scaricabile da questa sezione del sito RSI (link diretto alla puntata), qui su iTunes (per dispositivi compatibili) e tramite le app RSI (iOS/Android) o su TuneIn; la versione video (canzoni incluse, circa 55 minuti) è nella sezione La radio da guardare del sito della RSI ed è incorporata qui sotto.
La demo decisamente poco seria di Amazon Alexa è a 26:40 circa.
Buona visione e buon ascolto!
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Auguri a Samantha Cristoforetti, con un paio di immagini poco conosciute
Aprile 26, 2019 12:11Oggi è il compleanno di Samantha Cristoforetti, e per l’occasione ho fatto un paio di tweet pubblicando alcune immagini che forse non molti hanno visto.
Facciamo gli auguri di buon compleanno ad @AstroSamantha ! pic.twitter.com/rSpI2XRUkc— Paolo Attivissimo (@disinformatico) April 25, 2019
Giusto. Ne aggiungo un paio che credo abbiano visto in pochi a questa risoluzione :-) pic.twitter.com/aZgvR4EvVR— Paolo Attivissimo (@disinformatico) April 25, 2019
Oltre alle foto delle minifig Lego dedicate a lei e ai suoi compagni di missione Terry Virts e Anton Shkaplerov, ho pubblicato due fotogrammi del documentario IMAX A Beautiful Planet, nel quale Samantha e i suoi colleghi a bordo della Stazione Spaziale Internazionale raccontano la propria esperienza nello spazio.
Li ripubblico integrali e in originale 4K qui sotto: mostrano Samantha a bordo della Soyuz che l’ha portata alla Stazione e la sua espressione la prima volta che ha visto la Terra dagli oblò della Stazione stessa.
Se non avete visto A Beautiful Planet, potete vederlo in Blu-ray 4K. È splendido.
Lunga vita e prosperità, Sam!
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Come spegnere i motori di migliaia di auto connesse a Internet
Aprile 26, 2019 6:59 |
| Credit: Motherboard. |
Secondo quanto riferisce Lorenzo Franceschi-Bicchierai su Motherboard, un esperto informatico è riuscito a entrare negli account degli utenti di varie app di tracciamento GPS per auto, potendo così monitorare le posizioni di decine di migliaia di automobili in tempo reale.
Le app in questione sono Protrack e iTrack, usate dalle aziende per monitorare le flotte dei propri veicoli. L’informatico lo ha scoperto consultando il codice sorgente delle app e tentando milioni di possibili nomi utente insieme alla password predefinita: una forma di attacco classica.
A furia di tentare, contando sul fatto che molti utenti non avrebbero cambiato la password, è riuscito a collezionare identificativi IMEI, nomi, numeri di telefono, indirizzi di mail e indirizzi domestici o aziendali degli utenti, e poi ha avvisato i gestori delle app.
Come se non bastasse, l’informatico ha detto di essere in grado di spegnere a distanza i motori di centinaia di migliaia di veicoli sparsi per il mondo che usano queste app. Motherboard ha confermato le dichiarazioni dell’informatico consultando il produttore degli apparati di tracciamento usati da queste app: lo spegnimento sarebbe stato possibile durante la marcia a bassa velocità dei veicoli nei quali l’opzione di controllo del motore era attiva.
La casa produttrice di Protrack ha negato che siano avvenute violazioni ma sta ora avvisando gli utenti di cambiare password.
Ancora una volta, con sentimento: le password predefinite sono il male. Non usatele. Mai.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Banditi della blockchain rubano oltre 50 milioni di dollari indovinando le password troppo facili
Aprile 26, 2019 6:26
Wired racconta una versione estrema di questo comportamento: gente che ha protetto il proprio wallet di criptovalute usando come “password” (più propriamente, come chiave privata) il numero 1. E che puntualmente si è fatta derubare, per un totale di oltre 50 milioni di dollari.
La blockchain delle criptovalute è pubblica e quindi si presta ad analisi come quella svolta dal ricercatore di sicurezza Adrian Bednarek alcuni mesi fa. Bednarek ha cercato wallet che avevano chiavi private assolutamente banali, come appunto “1” al posto della sequenza di 78 cifre che di solito protegge i wallet Ethereum, e con sua sorpresa ne ha trovati oltre 700. Tutti vuotati.
Estendendo la propria analisi alle transazioni (che sono anch’esse pubbliche), ha scoperto non solo che parecchi utenti avevano protetto (per così dire) i propri soldi virtuali con chiavi private assolutamente banali, ma che esistono dei veri e propri “banditi della blockchain”, ossia ladri specializzati nell’approfittare delle chiavi private troppo facili scelte dagli utenti.
C’è, per esempio, un account Ethereum che con questa tecnica ha raccattato 45.000 ether, per un valore di circa 50 milioni di dollari all’epoca del furto (oggi varrebbero “solo” circa 7 milioni di dollari).
Bednarek ha scoperto che questi ladri usano un sistema automatico: ha infatti provato a versare l’equivalente di un dollaro in vari wallet protetti da chiavi private debolissime e già saccheggiati in passato, e ha visto che in pochi secondi il denaro è stato rubato. A volte il ricercatore ha visto che più di un ladro si è avventato sul wallet-esca: ha vinto quello che è arrivato qualche millisecondo prima degli altri.
Va detto che in alcuni casi la colpa non è degli utenti ma del software di gestione dei wallet, che a volte contiene errori di programmazione che gli fanno generare chiavi private insicure. Ma spesso è l’utente a voler usare delle chiavi facili da ricordare, per esempio tre o quattro parole in sequenza.
Normalmente una sequenza del genere è una protezione sufficiente, per esempio per un account social o di mail, ma se un wallet contiene tanti soldi i ladri investiranno molto tempo e molta potenza di calcolo per scardinarlo. Per le criptovalute conviene quindi usare chiavi private davvero complesse e software affidabile. Utente avvisato, meno depredato.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
