Blog di "Il Disinformatico"
Paper.io è pericoloso? No, ma è meglio conoscerlo bene,
Marzo 8, 2019 8:00
Si tratta di un gioco in sé innocuo come concezione: non ci sono spargimenti di sangue o altre situazioni di violenza ed è estremamente astratto, ma allora come mai viene classificato come “rara e/o moderata violenza”? È solo questione di classificazione prudenziale: nel dubbio, i classificatori scelgono una categoria superiore a quella che potrebbero assegnare.
Il gioco in sé non comporta problemi particolari di sicurezza informatica o privacy (anche se durante l’installazione avvisa che raccoglie dati personali, senza specificare quali) e non consente interazioni con altri giocatori.
Tuttavia è concepito per creare dipendenza, per cui va giocato ponendosi dei limiti, e il suo scopo è indurre i giocatori a guardare pubblicità, da cui deriva gran parte del profitto dell'azienda produttrice. Su Gamasutra trovate (in inglese) una sintesi dei trucchi psicologici usati per sedurre i giocatori.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Antibufala: le frasi di Shakespeare sulle donne
Marzo 8, 2019 7:48La faccio molto, molto breve, perché i colleghi di Bufale un Tanto al Chilo hanno già approfondito la questione qui: in occasione della Giornata Internazionale delle Donne stanno circolando due frasi poetiche attribuite nientemeno che a William Shakespeare.
Per tutte le umiliazioni che ha subito,
per il suo corpo che avete calpestato,
per la bocca che le avete tappato,
per la libertà che le avete negato,
Per tutto questo, in piedi, signori
davanti a una donna
La donna uscì dalla costola dell’uomo,
non dai piedi per essere calpestata,
non dalla testa per essere superiore ma dal lato,
per essere uguale,
sotto il braccio per essere protetta,
accanto al cuore per essere amata.
Come avrete già sospettato dal fatto che ne parlo qui, le frasi non sono affatto di Shakespeare. BUTAC ha tutti i dettagli e anche il nome del probabile vero autore.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Password svizzere rubate, che fare? Niente panico
Marzo 8, 2019 7:30
Ricevo da Michela una domanda: di recente ha controllato se i suoi indirizzi di mail sono su Haveibeenpwned.com e Breachalarm.com, siti che consentono di sapere se un indirizzo è stato incluso in uno di questi archivi e quindi potrebbe essere stato violato. Quanto sono attendibili questi siti?
I siti in sé sono attendibili e gestiti responsabilmente: ma si basano su dati prodotti da criminali informatici, che non hanno necessariamente una grande attendibilità. Questi criminali, infatti, mirano a far soldi vendendo archivi di milioni di indirizzi, per cui riempiono questi archivi con dati non sempre esatti.
Il fatto che fra gli account trovati in questi archivi ci siano quelli di parlamentari federali o di membri dell'esercito non vuol dire che queste persone si siano fatte rubare i dati o le credenziali di accesso. Vuol dire semplicemente che il loro indirizzo di mail è negli archivi.
Ma per i criminali è facile raccattare gli indirizzi di mail di funzionari pubblici, visto che sono pubblicati sui rispettivi siti istituzionali, e poi abbinarli a qualcosa che somigli a una password ma che non è affatto la vera password dell’account, per gonfiare il numero di credenziali presenti nell’archivio da vendere. Lo so perché un “furto” di password analogo l’ho subito anch’io, e la password che era abbinata al mio account non era mia e non lo era mai stata.
Vale tuttavia la pena di cogliere l’occasione per ripassare e magari migliorare le proprie regole di sicurezza informatica:
- usando password lunghe
- usando password differenti per ogni servizio
- attivando l’autenticazione a due fattori
- usando un password manager di buona reputazione per gestire tutte queste password
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Le parole di Internet: shadowban
Marzo 8, 2019 7:22
Ma il termine shadowban è un po’ meno conosciuto: è una forma di ban nella quale l’utente non viene bandito formalmente da un sito, avvisandolo di questo fatto, ma quello che scrive viene reso silenziosamente invisibile agli altri utenti.
Il risultato è che un utente può essere colpito da uno shadowban senza rendersene conto, perlomeno finché qualcuno non gli chiede che fine ha fatto o come mai non pubblica più nulla.
I complottisti spesso lamentano di essere colpiti da uno shadowban, ossia di essere volutamente nascosti e oscurati dai “poteri forti”, per cui lo shadowban è spesso ritenuto un parto della fantasia di un paranoico, ma in alcuni casi il fenomeno è reale.
Se volete saperne di più, l’apposita pagina di Wikipedia in italiano è un buon punto di partenza.
Molti social network, come Instagram o Twitter, sono stati accusati di praticare lo shadowbanning; Twitter ha negato pubblicamente di adottarlo e ha dichiarato che si tratta di interpretazioni errate, da parte degli utenti, di alcune sue regole interne di moderazione e filtraggio di comportamenti non accettabili.
Se volete provare se il vostro account Twitter è stato shadowbannato (perdonatemi l’orrido neologismo), usate Shadowban.eu: basta immettervi il nome del vostro account Twitter e attendere qualche secondo intanto che Shadowban.eu effettua una serie di test. Cliccando sui risultati di ciascun test si ottiene una breve spiegazione.
Se scoprite di essere shadowbannati, lamentarsi è inutile: è più costruttivo capire quali sono stati i comportamenti che hanno portato a questa situazione ed evitarli in futuro. Non è giusto, secondo molti, ma è così.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
A proposito di quell'archivio clienti lasciato online
Marzo 8, 2019 7:12
L’azienda non ha risposto alle mie segnalazioni private, ma di fatto l’archivio non è più reperibile all’indirizzo IP presso il quale si trovava a disposizione di chiunque. Non mi è arrivata nessuna risposta neanche dal campione di indirizzi di mail dei clienti presenti nell‘archivio. La questione resterà quindi un mistero, e siccome potrebbe trattarsi di un archivio fittizio di prova (anche se mi pare improbabile), non credo che sia corretto fare il nome dell’azienda.
Su Internet ci sono tanti altri archivi di questo genere altrettanto accessibili e vulnerabili; trovarli è facile, usando gli appositi servizi di ricerca (come nello screenshot mostrato qui sopra), che per uno specifico tipo di database mi restituiscono oltre 700 risultati sparsi per il mondo.
Se vi interessa sapere quali sono questi servizi di ricerca, utilissimi anche per verificare la propria sicurezza informatica aziendale, ne segnalo alcuni:
- Shodan.io
- Binaryedge.io
- Zoomeye.org
- Censys.io
- FoFa.so
Se vi state chiedendo se sia pericoloso mettere a disposizione questi motori di ricerca, la risposta forse sorprendente è no: gli intrusi informatici esperti sanno benissimo come agire anche senza questi servizi. L’esistenza di questi motori consente semmai di facilitare il lavoro agli addetti alla sicurezza delle aziende, che grazie a questi strumenti possono verificare più rapidamente se hanno dati visibili esternamente.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
