Blog di "Il Disinformatico"

L’App Store di Apple non è infallibile: il caso Tor Browser

марта 21, 2014 7:35, by Unknown - no comments yet

Rispondo a una domanda ricorrente dei Disinformatici: ci si può fidare al 100% delle app presenti nell'App Store di Apple? Versione breve: no. Versione meno breve: solitamente sì.

Apple si vanta di esercitare un controllo molto rigoroso su tutte le app che distribuisce attraverso l'App Store; è un ambiente ben diverso da quello del rivale Google Play, nel quale le app ostili o scorrette superano spesso i controlli. La proposta commerciale di Apple è, in sostanza, che se l'utente accetta di rinunciare a qualunque altro negozio di app al di fuori dell'App Store, avrà in cambio una sicurezza maggiore.

Non si sa quale sia, di preciso, il processo di verifica usato da Apple, e questa dipendenza da un distributore unico non va giù a molti perché offre occasioni di monopolio e censura molto allettanti, ma per molti utenti è un compromesso che offre sicurezza (a patto, ovviamente, di non eludere tutti i controlli facendo il jailbreak del proprio iPhone, iPod touch o iPad per installarvi a scrocco app trovate nei peggiori anfratti di Internet).

Di solito questo patto funziona bene, ma non è una garanzia totale. È stato infatti segnalato che Tor Browser, un'app usata per sfogliare la parte di Internet “sommersa” accessibile soltanto tramite il sistema Tor, è un falso che ha funzioni di violazione della privacy (spyware) e di diffusione incontrollata di pubblicità indesiderata (adware). La segnalazione è stata fatta dai gestori del vero Tor a dicembre scorso, ma l'app è ancora al suo posto e Apple, come consueto, non ha ancora rilasciato alcun commento sulla vicenda.

Almeno una mela marcia, insomma, nell'App Store c'è, per cui formalmente non si può parlare di sicurezza al cento per cento. Ma il numero molto basso di contestazioni indica che il livello di sicurezza è ragionevole.

Fonti: Ars Technica, ThreatPost.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Otto anni di Twitter: aggirate il blocco in Turchia, scoprite il primo tweet di chiunque

марта 21, 2014 7:33, by Unknown - no comments yet

Credit: Wikipedia

Il 21 marzo 2006 veniva inviato il primo tweet, ossia il primo messaggio su Twitter: era quello di Jack Dorsey, uno dei cofondatori di questo laconico sistema di microblogging e messaggistica che imponeva il drastico limite di 140 caratteri. Non diceva nulla di storico o retorico, ma semplicemente “just setting up my twttr”, ossia “sto impostando il mio Twttr” (agli esordi il nome era scritto così, senza vocali).

Otto anni più tardi, su Twitter ci sono 240 milioni di utenti che pubblicano oltre 500 milioni di messaggi ogni giorno, e può essere interessante vedere il debutto su questo canale di comunicazione di aziende e celebrità: per questo Twitter ha attivato First-tweets.com, un sito nel quale basta digitare il nome di un utente Twitter per vedere il suo primo messaggio: spesso cauto, tanto per provare, talvolta sfacciatamente autopromozionale, e magari in alcuni casi imbarazzante col senno di poi.

In questa rassegna di esordi si possono trovare il primo tweet dalla Stazione Spaziale Internazionale (2010), quelli di Pelé (2012), Barack Obama (2007), Shakira (2009), Madonna (2012), Miley Cyrus (2011), Katy Perry (2009) e del Papa (2013). Quello di ReteTre è del 2011; e se proprio ci tenete, quello del Disinformatico, datato giugno 2007, è qui.

Credit: @paulmasonnews
(foto non verificata)

Il compleanno di Twitter vede anche un tentativo di oscurarlo da parte della Turchia: il primo ministro Erdogan ha dichiarato di voler “debellare Twitter”, probabilmente perché via Twitter stanno circolando documenti che asseriscono di dimostrare casi di corruzione che lo riguardano, e che “tutti vedranno il potere della Repubblica Turca”.

In Rete abbondano i suggerimenti per eludere il blocco: Twitter stessa suggerisce di mandare i tweet via SMS: per Avea e Vodafone si manda la parola START al numero breve 2444, mentre per Turkcell si manda la stessa parola al 2555. In alternativa i circa 10 milioni di utenti Twitter in Turchia possono cambiare il DNS della propria connessione a Internet e usare il DNS di Google: le istruzioni sono per esempio su Wikileaks Supporters Forum. Si può anche usare Tor o una VPN. Va detto, tuttavia, che queste operazioni potrebbero facilitare il tracciamento degli utenti che eludono il blocco, per cui è il caso di valutare con prudenza il da farsi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Aggiornate Firefox: turate al volo quattro falle appena scoperte

марта 21, 2014 7:23, by Unknown - no comments yet

Se usate Firefox, aggiornatelo alla nuova versione, la 28.0, che è stata pubblicata il 18 marzo: risolve quattro falle di sicurezza molto gravi, che consentivano di prendere il controllo del computer della vittima.

Le falle sono state corrette in tempi brevissimi: erano state annunciate il 13 marzo scorso, durante la gara annuale di attacco ai browser PWN2OWN che si tiene a Vancouver, in Canada. La gara offre ai migliori esperti di sicurezza l'occasione di vincere premi tutt'altro che trascurabili: gli sponsor hanno pagato 50.000 dollari a ciascuno degli specialisti che sono riusciti a superare le difese di Firefox.

Le regole del premio obbligano i vincitori a spiegare in modo riservato come hanno agito, in modo che i creatori di Firefox e degli altri browser possano correggere la falla senza divulgarla ai malfattori.

Se volete sapere che versione di Firefox state usando, guardate nei menu del browser oppure andate per esempio a Whatismybrowser.com. L'aggiornamento alla versione 28.0 è solitamente automatico, ma potete anche effettuarlo manualmente visitando Mozilla.org.

Fra l'altro, non è andata meglio agli altri browser: Internet Explorer 11, Google Chrome e Apple Safari sono tutti crollati sotto i colpi precisi degli aggressori a fin di bene. Anche le loro falle verranno corrette, si spera, altrettanto prontamente.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Siete utenti Cablecom? Occhio alle mail che promettono rimborsi

марта 17, 2014 8:47, by Unknown - no comments yet

Questo articolo vi arriva grazie alla gentile donazione di “nicola.rom*” e alla segnalazione di “kayott*”.

Se siete utenti di Cablecom (provider Internet e TV via cavo svizzero), fate attenzione alle mail che annunciano un rimborso e che invitano a cliccare su un link per ricevere il denaro.

Il link porta a quella che sembra essere una pagina del sito Cablecom che chiede i dati della carta di credito del “beneficiario” del presunto rimborso, ma in realtà risiede altrove (presso Til-nets.com) ed è presumibilmente controllata dai truffatori che stanno inviando le mail.

Questo è un campione delle mail in questione (scam):

Sehr geehrter Kunde,

Nach den neuesten Berechnungen des Einkommens Steuern, haben wir festgestellt, dass Sie Anspruch auf eine
Rückerstattung von uns für einen Betrag von 165.00 CHF zu erhalten sind.

Was sind die Schritte, um für mein Rückerstattung folgen?

Eine Rückerstattung kann aus verschiedenen Gründen verzögert werden. Zum Beispiel die Vorlage ungültige
Datensätze oder die Anwendung nach Ablauf der Frist.

Wir bitten Sie, Ihre Bankdaten aktualisieren, so dass ihre Rückerstattung so bald wie möglich gemacht werden,
und Sie erlauben uns 3 Arbeistage, um Ihre Situation zu verarbeiten.

Ich schaue mir die Schritte zu folgen >>

Aus Gründen der Sicherheit und der Privatsphäre, ist dieser Link zur Einzelnutzung und einer Dauer von 48 Stunden.

Vielen Dank und akzeptieren Sie bitte, Frau, Herr, Mit freundlichen Grüssen.

Una volta immessi i dati nel sito fasullo, la vittima viene portata al sito vero di Cablecom, col rischio di non accorgersi neppure di aver dato i propri codici a un truffatore.

Ho già segnalato a Netcraft il sito di phishing. Se ricevete questo genere di mail, cancellatela senza seguire eventuali link contenuti nel messaggio.

Mi sto chiedendo se potrebbe valere la pena di saturare il sito di phishing immettendogli dati fasulli ma credibili. Avrebbe il vantaggio di annacquare il database dei criminali. Qualcuno ha voglia di scrivere un'app o qualcosa del genere per automatizzare il processo?

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Ci vediamo domani (17/3) a Cesena per parlare di complotti(smi)?

марта 16, 2014 18:03, by Unknown - no comments yet

Domani sera (17 marzo) alle 20:45 sarò a Cesena, presso il Museo di Scienze Naturali (Piazza Zangheri 6), per parlare sul tema “Internet, complotti e leggende” nell'ambito dei “Lunedì del Museo”.

Segnalo inoltre altri appuntamenti golosi presso il Museo: lunedì 31/3 ci sarà Photobuster, alias il fototecnico Paolo Bertotti, esperto smascheratore di falsi fotografici e di inganni ufologici, che parlerà appunto sul tema “UFO: le prove fotografiche”; lunedì 7/4 ci saranno Pier Luigi Bazzocchi e Lorenzo Rossi, che parleranno di “Animali in mezzo a noi: fascino e paure”; il 14/4 sarà il turno di Medbunker, al secolo Salvo di Grazia, medico che spiegherà gli inganni delle pseudomedicine in una conferenza intitolata “Salute e bugie: come difendersi da farmaci inutili, cure fasulle e ciarlatani”.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.