Storia di un furto telematico da tre milioni di dollari
апреля 8, 2016 6:49
La mail interna aziendale proveniva dal nuovo direttore generale della Mattel e ordinava il pagamento di questa cifra a un nuovo fornitore in Cina. L’ordine arrivava poco dopo un ricambio del personale a vari livelli, per cui la manager finanziaria che l’ha ricevuto era ansiosa di dimostrare la propria solerzia e diligenza. Così ha verificato la conformità dell’ordine ai protocolli di sicurezza, che esigevano che i trasferimenti di denaro avessero l’approvazione di due manager di alto livello. Lei aveva questa qualifica, e l'aveva anche il direttore generale, per cui il bonifico da tre milioni di dollari è partito subito alla volta di un conto presso la Bank of Wenzhou, in Cina.
Qualche ora dopo la manager ha accennato al pagamento durante una conversazione con il direttore generale, che però ha negato di aver dato un ordine del genere. Panico: è partita subito una serie di chiamate alla banca che doveva inviare il bonifico, alla polizia e all’FBI. Ma la risposta è stata inesorabile: troppo tardi, i soldi sono già in Cina.
La Mattel era finita in una trappola che ha già causato frodi per quasi due miliardi di dollari soltanto fra le aziende statunitensi: non il solito phishing generico e sgrammaticato, ma una mail accuratamente confezionata, molto realistica, che conteneva i nomi giusti delle persone (in questo caso quello del direttore generale e quello della manager), tratti probabilmente dalle notizie pubblicamente disponibili, e rispettava le prassi e i cicli di pagamento abituali dell’azienda. Si sospetta che in questo caso la Mattel abbia subito un’intrusione informatica che ha permesso di conoscere queste informazioni.
Ma stavolta il maltolto è stato ripreso dalle grinfie dei ladri informatici, perché Mattel ha agito tempestivamente e ha anche avuto fortuna: il bonifico è stato effettuato quando in Cina le banche erano chiuse per una festività locale e quindi la Mattel ha avuto tempo di avvisare la polizia cinese, che a sua volta ha avuto tempo di indagare. Quando la Bank of Wenzhou ha riaperto c’era già sul posto un responsabile antifrode della Mattel che recava una lettera dell’FBI che ha consentito alla polizia cinese di bloccare il conto destinatario del bonifico. Due giorni dopo i tre milioni di dollari sono stati restituiti.
Fonte: AP.
Come scavalcare il PIN di uno smartphone? Con l’astuzia
апреля 8, 2016 6:34
Si è parlato molto dei recenti problemi dell’FBI nello sbloccare l’iPhone di un terrorista, e questo ha creato una diffusa impressione che gli inquirenti siano sistematicamente beffati dalle protezioni offerte dalle tecnologie digitali. Non è sempre così, e una vicenda che arriva dal Regno Unito lo mostra chiaramente.
Junead Khan, un venticinquenne di Luton, ha ricevuto la visita di due dirigenti dell’azienda dove lavorava come autista addetto alle consegne. I due gli hanno chiesto chiarimenti sui suoi spostamenti e sulla sua presenza durante l’orario di lavoro e Khan ha risposto tirando fuori il proprio iPhone e dandolo in mano ai due interlocutori per mostrare loro il registro delle proprie attività.
Ma a questo punto i due interlocutori hanno rivelato di essere agenti di polizia in borghese e si sono tenuti il telefonino, che Khan aveva ovviamente sbloccato, e ne hanno disattivato subito il blocco. Khan era infatti sospettato di attività di preparazione di atti di terrorismo e secondo gli inquirenti la perizia sul suo smartphone ha rivelato documenti e informazioni che hanno confermato questo sospetto e hanno portato alla sua condanna insieme a un complice.
In altre parole, non c'è stato bisogno di ricorrere a backdoor o all’imposizione di crittografia debole per superare le difese dell’aspirante terrorista: è bastata un po’ di astuzia vecchio stile. Come al solito, l’anello più debole della catena di sicurezza è l’utente.
WhatsApp attiva la crittografia ovunque, ma non è invulnerabile
апреля 6, 2016 20:35 |
| Credit: alberto_cz. |
Martedì 5 aprile WhatsApp ha reso automaticamente disponibile la crittografia end-to-end per tutti i propri utenti, per rendere meno vulnerabili le loro conversazioni: ora, infatti, neanche WhatsApp sa cosa si dicono i suoi utenti. Il messaggio viene cifrato prima di lasciare il telefonino, viaggia cifrato via Internet e sui server di WhatsApp, e viene consegnato ancora cifrato al telefonino del destinatario, che è l’unico in grado di decifrarlo. Neanche i gestori di WhatsApp hanno la chiave di decifrazione.
Tutto il procedimento è automatico: per attivarlo basta scaricare la versione più recente dell’app. Se la comunicazione è cifrata, compare un avviso sullo schermo. La crittografia end-to-end si applica a ogni forma di comunicazione gestita da WhatsApp (compresi per esempio i gruppi, le chiamate vocali, le foto e i video) e funziona su tutti i tipi di telefonino (Android, iOS, Windows Phone).
È una svolta notevole: improvvisamente circa un miliardo di persone ha a disposizione uno strumento familiare che rende molto più difficile ai ficcanaso origliare le proprie comunicazioni. Soprattutto significa che i gestori di WhatsApp non possono più essere obbligati da un tribunale a fornire il contenuto di una conversazione effettuata tramite la loro app.
Certo, i criminali e i terroristi potranno comunicare tramite WhatsApp senza che gli inquirenti possano chiedere a WhatsApp di rivelare cosa si sono detti. Ma questa gente ha da sempre a disposizione strumenti sofisticati per nascondere le proprie comunicazioni. Fra l’altro, è ironico che la tecnologia di cifratura di WhatsApp sia stata sviluppata con i fondi stanziati dal governo statunitense, che ora si lamenta della crittografia che ha contribuito a creare, ma questa è un’altra storia.
Quello che conta, semmai, è che saranno meglio protette contro la sorveglianza di massa anche le persone normali nei paesi nei quali la libertà di comunicazione non è garantita, e che questa protezione è offerta tramite un’app popolarissima, non tramite qualche scomoda app di nicchia il cui possesso sarebbe già di per sé sospetto.
Tutto questo non vuol dire che le comunicazioni effettuate tramite WhatsApp siano perfettamente sicure e segrete: WhatsApp resta comunque una società commerciale il cui compito è fare soldi raccogliendo dati degli utenti. Per esempio, WhatsApp avvisa, nelle sue avvertenze legali, che si riserva la facoltà di registrare i numeri di telefonino e la data e l’ora di ogni scambio di messaggi, per cui è sempre possibile sapere chi ha chattato con chi e a che ora; e WhatsApp avvisa che conserverà “ogni altra informazione che è legalmente obbligata a raccogliere”. Le impostazioni di WhatsApp mettono bene in chiaro che la crittografia è applicata “quando possibile”.WhatsApp continua inoltre ad accedere periodicamente alla rubrica dei contatti “per localizzare i numeri di telefonino di altri utenti WhatsApp”, raccogliendo i numeri ma non i nomi associati ai numeri.
Questa novità, insomma, va vista non tanto come un’opportunità per gli utenti di comunicare al riparo da occhi indiscreti, quanto come un espediente che permette a WhatsApp (e quindi a Facebook) di ridurre drasticamente le proprie responsabilità legali: se un governo chiede a WhatsApp di accedere alle comunicazioni che un utente ha fatto tramite l’app, WhatsApp può rispondere semplicemente che non le ha.
Infine non va dimenticato che sul telefonino del mittente e del destinatario (o di ciascun partecipante a un gruppo) rimane una copia delle conversazioni effettuate con WhatsApp, e questa copia è accessibile se il telefonino non è protetto da un PIN e dalla cifratura dei suoi contenuti.
Un’altra copia può trovarsi sui server di Apple se si usa WhatsApp su iPhone ed è attivo iCloud. Inoltre se si usa WhatsApp su qualunque smartphone e si accetta la proposta dell’app di salvare le conversazioni sul cloud di WhatsApp, l’azienda ha una copia (si spera cifrata) delle conversazioni: questa copia automatica è disattivabile andando nelle impostazioni di WhatsApp. Nel caso di una conversazione di gruppo su WhatsApp, è importante tenere presente che se anche uno solo dei membri del gruppo ha attivato il backup su iCloud (o altro cloud), esiste una registrazione dell’intero scambio di messaggi.
Per tutti i dettagli tecnici c’è l’apposita documentazione pubblicata da WhatsApp.
Fonti aggiuntive: Whisper Systems, Wired.
WhatsApp attiva la crittografia ovunque
апреля 6, 2016 3:41Martedì 5 aprile WhatsApp ha reso automaticamente disponibile la crittografia end-to-end per tutti i propri utenti, per rendere meno vulnerabili le loro conversazioni: ora, infatti, neanche WhatsApp sa cosa si dicono i suoi utenti. Il messaggio viene cifrato prima di lasciare il telefonino, viaggia cifrato via Internet e sui server di WhatsApp, e viene consegnato ancora cifrato al telefonino del destinatario, che è l’unico in grado di decifrarlo. Neanche i gestori di WhatsApp hanno la chiave di decifrazione.
Tutto il procedimento è automatico: per attivarlo basta scaricare la versione più recente dell’app. Se la comunicazione è cifrata, compare un avviso sullo schermo. La crittografia end-to-end si applica a ogni forma di comunicazione gestita da WhatsApp (compresi per esempio i gruppi, le chiamate vocali, le foto e i video) e funziona su tutti i tipi di telefonino (Android, iOS, Windows Phone).
È una svolta notevole: improvvisamente circa un miliardo di persone ha a disposizione uno strumento familiare che rende molto più difficile ai ficcanaso origliare le proprie comunicazioni. Soprattutto significa che i gestori di WhatsApp non possono più essere obbligati da un tribunale a fornire il contenuto di una conversazione effettuata tramite la loro app.
Certo, i criminali e i terroristi potranno comunicare tramite WhatsApp senza che gli inquirenti possano chiedere a WhatsApp di rivelare cosa si sono detti. Ma questa gente ha da sempre a disposizione strumenti sofisticati per nascondere le proprie comunicazioni. Fra l’altro, è ironico che la tecnologia di cifratura di WhatsApp sia stata sviluppata con i fondi stanziati dal governo statunitense, che ora si lamenta della crittografia che ha contribuito a creare, ma questa è un’altra storia.
Quello che conta, semmai, è che saranno meglio protette contro la sorveglianza di massa anche le persone normali nei paesi nei quali la libertà di comunicazione non è garantita, e che questa protezione è offerta tramite un’app popolarissima, non tramite qualche scomoda app di nicchia il cui possesso sarebbe già di per sé sospetto.Tutto questo non vuol dire che le comunicazioni effettuate tramite WhatsApp siano perfettamente sicure e segrete: WhatsApp resta comunque una società commerciale il cui compito è fare soldi raccogliendo dati degli utenti. Per esempio, WhatsApp avvisa, nelle sue avvertenze legali, che si riserva la facoltà di registrare i numeri di telefonino e la data e l’ora di ogni scambio di messaggi, per cui è sempre possibile sapere chi ha chattato con chi e a che ora; e WhatsApp avvisa che conserverà “ogni altra informazione che è legalmente obbligata a raccogliere”. Le impostazioni di WhatsApp mettono bene in chiaro che la crittografia è applicata “quando possibile”.
WhatsApp continua inoltre ad accedere periodicamente alla rubrica dei contatti “per localizzare i numeri di telefonino di altri utenti WhatsApp”, raccogliendo i numeri ma non i nomi associati ai numeri.
Infine non va dimenticato che sul telefonino del mittente e del destinatario (o di ciascun partecipante a un gruppo) rimane una copia delle conversazioni effettuate con WhatsApp, e questa copia è accessibile se il telefonino non è protetto da un PIN e dalla cifratura dei suoi contenuti. Un’altra copia può trovarsi sui server di Apple se si usa WhatsApp su iPhone ed è attivo iCloud: questa copia automatica è disattivabile andando nelle impostazioni di WhatsApp.
Per tutti i dettagli tecnici c’è l’apposita documentazione pubblicata da WhatsApp.
Fonti aggiuntive: Whisper Systems, Wired.
I Panama Papers dimostrano il bisogno di crittografia libera per avere giornalismo libero
апреля 4, 2016 20:17
Mezzo mondo è in subbuglio per la rivelazione degli intrallazzi miliardari di politici, capi di stato, imprenditori e celebrità che hanno usato società offshore panamensi per nascondere al fisco i loro lauti guadagni (come ha fatto il padre del primo ministro britannico David Cameron) e per finanziare guerre eludendo la foglia di fico delle varie forme di embargo. I Panama Papers sono probabilmente il più grande archivio di segreti impresentabili della storia del giornalismo. E abbiamo quest’archivio grazie alla crittografia.
Molti colleghi si stanno un po’ perdendo nel far notare la presenza, fra gli elenchi dei coinvolti, di quel tale calciatore o di quel talaltro attore o politico o manager, o di questa o quell’altra banca svizzera, ed è passato in secondo piano (o forse è stato proprio ignorato) il dettaglio fondamentale che tutto questo scoperchiamento della cloaca delle società scudo è stato reso possibile dal fatto che la fonte segreta dei 2,6 terabyte di dati scottanti rivelati ha contattato un giornalista della Süddeutsche Zeitung, Bastian Oberway, tramite una chat cifrata. La fonte non ha voluto incontrare di persona nessuno perché la sua vita è, piuttosto ovviamente, in pericolo. Sputtanare i potenti della Terra di solito ha un prezzo molto alto: non lasciare tracce è vitale. I giornalisti di un numero straordinario di redazioni di vari paesi hanno potuto lavorare in segreto per un anno, comunicando e condividendo dati, grazie alla crittografia.
Ora magari anche ai più cocciuti sarà chiaro il motivo per il quale così tanti governi se la prendono con la crittografia forte e la vogliono bandire. Non è questione di lotta al terrorismo, come dicono continuamente: i terroristi difficilmente rispetteranno un divieto di usare la crittografia. È questione di controllare il dissenso.
Se i giornalisti non sono più in grado di comunicare in modo riservato, se non possono più contattare le proprie fonti confidenziali, se sanno che tutto quello che dicono è intercettato e intercettabile, non possono più fare il proprio lavoro fondamentale di criticare chi è al potere e smascherarne gli abusi e le bugie. Non è teoria: nel mio piccolo, di recente mi sono trovato proprio nella situazione di dover proteggere una fonte dalle ritorsioni e questa protezione si è basata per necessità sulla crittografia.
A costo di sembrare retorico, insomma, credo che senza una stampa libera di criticare i potenti non si abbia democrazia, e i fatti di queste ore dimostrano che senza la crittografia non si possa avere stampa libera. Per cui senza crittografia non c’è democrazia.
