Blog di "Il Disinformatico"
Perché Facebook chiede la password della mail?
апреля 5, 2019 3:57
Il fenomeno è stato segnalato per la prima volta il primo d’aprile scorso; passato il dubbio che si trattasse di un bizzarro scherzo di stagione, Facebook ha chiarito che la richiesta compare ad alcuni utenti che adoperano fornitori di caselle di mail che non supportano lo standard di autenticazione OAuth, che è invece supportato da quasi tutti i fornitori più diffusi. Il social network ha inoltre dichiarato che non conservava le password richieste e che comunque smetterà di chiederle.
Comunque sia, questa è stata una scelta molto infelice e pericolosa da parte di Facebook. Non solo ha contribuito a farlo sembrare ancora più ficcanaso di quanto già sia, ma rischia di creare negli utenti la pessima abitudine di dare la propria password di mail a terzi.
Fra tutte le password che abbiamo, infatti, quella che protegge la casella di mail è una delle più preziose e potenti, perché quasi tutti gli account di altri servizi, dai social network ai giochi online ai sistemi di pagamento online, si basano su una casella di mail. Se un aggressore prende il controllo della nostra casella di mail, può chiedere ai nostri account nei social network di mandare un codice di reset, che arriva via mail e quindi può essere letto e usato dall’aggressore.
Prendere il controllo di una casella di mail, in sintesi, consente di prendere poi il controllo di tutte le attività online della vittima. Per questo la password di mail non va data mai, mai, mai a nessuno (ed è importante proteggere l’account con l’autenticazione a due fattori). Che Facebook abbia deciso di ignorare questa regola la dice lunga sul suo approccio alla protezione degli utenti.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Come ingannare l’Autopilot di Tesla e farlo andare contromano
апреля 5, 2019 3:39
Premessa importante per chi non è pratico del settore: l’Autopilot di Tesla e tutti i sistemi analoghi attualmente installati su auto di varie marche sono dispositivi di guida assistita e non autonoma: sono ausilii al conducente, che però rimane sempre e comunque responsabile della conduzione del veicolo. Hanno delle limitazioni d’uso ben precise, spiegate dettagliatamente nei rispettivi manuali, che però molte persone decidono incoscientemente di ignorare.
Una di questa limitazioni è che il sistema di guida si aspetta che la strada non voglia ingannarlo intenzionalmente. Normalmente è così, ma i ricercatori hanno invece creato dei particolari adesivi che sono quasi invisibili ai conducenti ma vengono interpretati dal software di gestione del sistema di guida come se fossero delle linee continue che delimitano una corsia.
I ricercatori hanno piazzati tre di questi adesivi in diagonale sulla strada, orientandoli verso il centro della carreggiata, e l’Autopilot li ha interpretati come una deviazione della corsia, sterzando verso il centro della strada e invadendo la corsia opposta.
Questo è un difetto estremamente serio e difficile da correggere, anche perché si tratta di un sabotaggio intenzionale della segnaletica stradale. È l’equivalente informatico di qualcuno che altera i cartelli stradali o ridipinge le strisce di delimitazione di corsia per portarvi fuori strada o farvi andare contromano.
Tesla ha riconosciuto il problema e ha proposto l’unica difesa attualmente possibile, dicendo che lo scenario non è realistico “considerato che un conducente può facilmente scavalcare l’Autopilot in qualunque momento agendo sul volante o sui freni e deve sempre essere pronto a farlo”.
Il problema di questa giustificazione è che in realtà affidarsi all’Autopilot rischia di allungare i tempi di reazione in caso di problemi, come ho visto accadere di persona (come passeggero di varie Tesla): il conducente perde istanti preziosi per rendersi conto che il sistema di guida assistita sta sbagliando, gli concede il beneficio del dubbio e quindi può esitare prima di intervenire.
Per questo motivo si raccomanda di utilizzare questi sistemi esclusivamente in condizioni stradali ottimali (strisce ben visibili, strade senza curve improvvise) e di tenere sempre le mani sul volante (l’Autopilot, fra l’altro, suona l’allarme se si tolgono le mani per più di qualche secondo).
Gli esperti di Keen Security Lab dicono che la scelta di Tesla di usare solo sistemi di visione computerizzata per decidere che cosa costituisce una corsia “comporta rischi di sicurezza” e che “il riconoscimento della corsia di marcia in senso opposto è una delle funzioni necessarie per la guida autonoma su strade non chiuse”. Il semplice riconoscimento di due righe parallele per identificare una corsia, insomma, da solo non basta.
Maggiori dettagli su questi e altri risultati di questi esperti, insieme al loro rapporto tecnico, sono su Ars Technica.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Prova pratica dell'“antifurto” di Instagram: autenticazione a due fattori
апреля 5, 2019 3:11
Ho creato un account Instagram, 123disinformatico, e ho pubblicato la password di questo account (123test), invitando le persone a tentare di “hackerarmi” il profilo Instagram, che ho decorato con numerose foto di gattini nella migliore tradizione di Internet.
L’account è ancora saldamente sotto il mio controllo nonostante diverse decine di tentativi di violarlo (ora ho cambiato password), ed è interessante vedere cosa succede quando questo “antifurto” viene messo alla prova da un attacco ripetuto.
Innanzi tutto Instagram avvisa dei tentativi di intrusione mostrando una schermata che dice “Modifica la tua password per proteggere il tuo account” e spiega che “Qualcuno potrebbe avere la tua password, pertanto effettueremo la disconnessione da tutte le sessioni. Chiunque stia tentando di accedere al tuo account non avrà più accesso a esso.”
Instagram, inoltre, segnala anche i singoli tentativi, indicando la localizzazione e dando la possibilità di dire “Non ero io” oppure “Ero io” (utile nel caso di accesso da un altro proprio dispositivo).
Nella casella di mail associata all’account arrivano poi altre informazioni sui tentativi di violazione: per esempio, viene spesso identificato il tipo di dispositivo che ha tentato l’accesso (Apple iPhone o Samsung SM-G973F, per esempio) e viene indicata la località di apparente provenienza del tentativo (per esempio Zurigo, Losanna, Giubiasco, Lugano, Zugo, Frick, Cugnasco, Canobbio, Cadenazzo, Berna) insieme al nome dell’app che ha tentato l’accesso (complimenti, fra l’altro, a chi ha usato Vivaldi invece del solito Chrome).
Dopo un certo numero di tentativi d’intrusione, inoltre, via mail arriva un avviso: “Ciao 123disinformatico, qualcuno ha provato ad accedere al tuo account Instagram. Se eri tu, usa il codice seguente per confermare la tua identità: [omissis] Se non eri tu, reimposta la tua password per proteggere il tuo account.”
Direi che la prova è andata bene: il sistema ha dimostrato di reggere e di gestire non solo attacchi multipli ma di consentire di usare comunque un account Instagram anche su più di un dispositivo. Cosa aspettate a usarlo?
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Puntata del Disinformatico RSI del 2019/03/29
апреля 4, 2019 15:13
È disponibile lo streaming audio della puntata del 29 marzo del Disinformatico della Radiotelevisione Svizzera.
La versione podcast solo audio (senza canzoni, circa 20 minuti) è scaricabile da questa sezione del sito RSI (link diretto alla puntata) oppure qui su iTunes (per dispositivi compatibili) e tramite le app RSI (iOS/Android); questa settimana non c’è la versione video.
Buon ascolto!
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Exodus, app spiona italiana in Google Play
апреля 2, 2019 5:01 |
| Credit: Security Without Borders. |
C’è parecchio clamore intorno alla notizia della scoperta di Exodus, un gruppo di app Android spione, capaci fra l’altro di intercettare gli SMS, le password delle reti Wi-Fi, i messaggi Telegram e Skype, le foto, i file audio e video di WhatsApp e di registrare le telefonate e l’audio ambientale, trasmettendo il tutto a un centro di controllo e trasformando lo smartphone infettato in una cimice perfetta con tanto di localizzazione in tempo reale.
Secondo le indagini tecniche svolte dal gruppo di ricercatori indipendenti Security Without Borders, le app della famiglia Exodus sono state realizzate da un’azienda calabrese che ha rapporti con le forze dell’ordine italiane e sono state disseminate tramite il negozio ufficiale delle app Android, ossia Google Play, senza che Google si accorgesse della loro pericolosità per ben due anni. Queste app venivano spacciate per strumenti per migliorare la gestione dello smartphone.
I dati resi pubblici fin qui indicano che queste app spia erano concepite come spyware di stato, ossia app che venivano installate con l’inganno sugli smartphone delle persone sorvegliate dalle forze di polizia, ma che per motivi ancora non chiari sono state installate anche su almeno un migliaio di altri smartphone italiani.
La scoperta ha comprensibilmente creato una certa inquietudine: è davvero così facile prendere il controllo completo di uno smartphone? E se app come queste sono ospitate da Google Play, che reali garanzie di sicurezza offre questo servizio di Google? I ricercatori di Security Without Borders hanno scoperto questo spyware, ma quanti altri ce ne sono che non sono stati ancora smascherati e risiedono impunemente in Google Play, magari travestiti da giochini?
Fortunatamente difendersi è abbastanza facile. Il primo passo è non installare app offerte da aziende sconosciute. In questo caso, per esempio, in Google Play le app Exodus erano presentate come un prodotto della sconosciutissima MobileWork Srl. Il secondo passo è evitare le app che promettono di avere vantaggi o guadagni in maniera anormale, come per esempio monete gratuite nei giochi che normalmente sarebbero a pagamento.
La prima linea di difesa è la prevenzione basata sul buon senso. Così come non facciamo entrare sconosciuti in casa, non bisogna far entrare nello smartphone app ignote.
Anche la tecnologia ci può dare una mano: ci sono molti antivirus per smartphone Android, realizzati dalle principali marche note del settore, che si accorgono dei comportamenti anomali nascosti delle app-spia e bloccano la loro installazione o ne impediscono l'azione. Conviene quindi installare preventivamente uno di questi antivirus su qualunque dispositivo Android.
In altre parole, sì, è facile usare il nostro smartphone come strumento per compiere intercettazioni, ma lo è soltanto se adoperiamo questo dispositivo in maniera disattenta e imprudente. Ed è vero che i controlli di Google Play non sono sufficienti da soli a garantirci, per cui dobbiamo difenderci adottando comportamenti cauti e protezioni informatiche. Dallo smartphone passa ormai quasi tutta la nostra vita: lavoro, affetti, confidenze. È il nostro maggiordomo digitale: trattiamolo con il rispetto che merita.
Fonti aggiuntive: ADNKronos, Open, Agenda Digitale, Motherboard, Repubblica, Macitynet.it.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
