RSS

Archivi categoria: security

Nel mondo digitale la sicurezza assoluta non esiste. Punto

10 Lug

piccola2[1]

Senza scendere in dettagli sull’argomento specifico, vorrei solamente sottolineare che l’attacco ad Hacking Team (azienda italiana che si occupa di sicurezza informatica) conferma che nel mondo digitale non esiste la sicurezza assoluta e quindi nessuna cassaforte è inespugnabile. E’ sempre questione di tempo, determinazione e risorse.

Sul tema specifico, uno degli spunti di riflessione più interessanti lo ha scritto da Matteo Flora, che evidenzia in particolare:

Nel caso non vi fosse ancora chiaro, dal 6 di Luglio uno dei più sofisticati e perfezionati sistemi di intercettazione a livello globale è libero e disponibile a chi ha anche limitate capacità di comprendere ed installare il codice che si trova all’interno dei Torrent. Significa che in capo a pochi giorni assisteremo alla messa online di installazioni di “Black RCS” o “Black Galileo”: installazioni “pirata” del software con bersagli decisi dai criminali. E questi bersagli possono benissimo essere politici, magistrati, competitor o anche – nel caso di paesi diversamente democratici – attivisti e oppositori di regime.

Al netto delle varie considerazioni che potremmo fare su come si sia potuta verificare una simile fuga di dati & informazioni (non escludendo l’opera di qualche insider), altri spunti vengono dalle domande che pone Umberto Rapetto:

Riusciamo a prendere per buona la versione di un’azienda che le organizzazioni a tutela dei diritti civili non hanno mai considerato attendibile e che oggi invita a considerare una bufala tutto quel che sta saltando fuori? O leggendo le righe di codice che – a dispetto delle cancellazioni da questo e quel sito – continuano a veleggiare su Internet come monito, dobbiamo temere il peggio?

Le organizzazioni pubbliche e private che hanno comprato prodotti e servizi del genere, adesso, cosa hanno da raccontare? Qualcuno ha immaginato di individuare il responsabile di certi tanto facili quanto onerosi acquisti? Qualcun altro sa dire quali valutazioni economiche e di impatto avrebbe comportato l’uso di certe soluzioni, atteso che difficilmente si aveva effettiva capacità di committenza? Possibile che proprio nessuno abbia immaginato che certi ‘programmini’ potessero avere una backdoor in grado di permettere al produttore di conoscere le modalità (destinatario incluso) di impiego della così portentosa applicazione?

Mumble mumble…

P.S.: Questo post inizialmente aveva un titolo diverso: Rivalutare piccioni viaggiatori e pizzini.

 
Commenti disabilitati su Nel mondo digitale la sicurezza assoluta non esiste. Punto

Pubblicato da su 10 luglio 2015 in news, security

 

Tag: ,

Chi legge news trasmette informazioni

24 Feb

Trackography

Chi controlla gli utenti che consultano notizie tramite Internet?

Che viaggio fanno le loro informazioni durante la navigazione?

E’ possibile scoprirlo con Trackography, che svela come ogni consultazione di un sito di news (agenzie di stampa, testate giornalistiche e non solo) comporti la raccolta di informazioni dal dispositivo da cui si naviga. Informazioni che fanno letteralmente il giro del mondo per essere trasmesse ad altre organizzazioni, spesso aziende private, che le rielaborano a scopo di marketing e profilazione degli utenti.

Basta selezionare il Paese da cui si naviga e i siti di informazione consultati abitualmente per avere una panoramica di chi traccia (Paesi, organizzazioni, eccetera). E non mancano suggerimenti per adottare misure preventive.

 
Commenti disabilitati su Chi legge news trasmette informazioni

Pubblicato da su 24 febbraio 2015 in news, security

 

Tag: , , , , , , , , ,

Giornata Europea della Privacy. E quindi?

28 Gen

online_privacy_cloud_security_shutterstock-100031848-large[1]

Oggi la Giornata Europea della Privacy è stata trattata – in coerenza con il suo tema – con grande riservatezza. Ma come avrebbe potuto essere celebrata? Con iniziative focalizzate a sensibilizzare tutti sul fatto che oggi, più che mai, le nostre informazioni personali, che abbiamo il diritto di proteggere dall’invadenza altrui, sono estremamente vulnerabili.

Mentre a Roma il nostro Garante della Privacy ospita un convegno intitolato “Il pianeta connesso. La nuova dimensione della privacy”, il Guardian ci spiega che il nuovo piano antiterroristico approntato dalla Commissione UE prevede la raccolta e la memorizzazione di 42 differenti tipi di dati personali relativi a chi viaggia in aereo su voli da o per l’Europa (dati anagrafici, informazioni relative al viaggio, ma anche “all forms of payment information”, “general remarks” nonché “any collected advanced passenger information system information”).

Ancora nessuno dei promotori istituzionali, però, nemmeno nella (o a partire dalla) giornata che hanno dedicato alla protezione dei dati personali, mette in guardia i cittadini europei sulle possibili violazioni a cui tutti vanno quotidianamente incontro, ne’ sulle soluzioni da adottare per avere maggiore tutela.

Qualche spunto – molto superficiale e per nulla esaustivo – che riguarda il mondo digitale:

  • Quante volte vi è stato raccomandato di non spedire un messaggio e-mail con molti destinatari in chiaro per non diffondere informazioni altrui senza consenso?
  • Vi hanno mai fatto notare che, in un gruppo WhatsApp, il vostro numero telefonico viene liberamente diffuso a terzi e potrebbe quindi finire anche sotto gli occhi di qualche utente da voi non tollerato?
  • Siete capaci, in Facebook, di impostare il vostro account mantenendo sotto controllo chi può vedere ciò che pubblicate?
  • In Internet, se effettuate un pagamento online, siete certi di utilizzare un servizio basato su server sicuro?
  • Sapete riconoscere un messaggio e-mail fraudolento mirato a carpire i vostri dati di accesso a conto corrente bancario, account della carta di credito o altri servizi finanziari?
  • Sapete che spesso i concorsi online hanno lo scopo di promuovere un prodotto o un servizio, e nel contempo di raccogliere i dati personali degli utenti che vi partecipano?
  • Siete consapevoli che buona parte dello spam che ricevete tramite e-mail, ma anche delle telefonate promozionali che ricevete, è frutto di un consenso che avete accordato a qualcuno mentre inserivate i vostri dati personali?
  • Qual è l’utilizzo che un supermercato può fare della vostra tessera fedeltà?
  • Perché su Internet vedo banner pubblicitari sull’ultimo prodotto di marca XYZ (e simili) proprio dal giorno dopo in cui ho cercato in Internet notizie sui prodotti di marca XYZ?
  • Come fa Google a far comparire nel suo doodle gli auguri di buon compleanno proprio nel giorno in cui lo festeggiate?

Se non sapete dare una risposta (o una spiegazione) ad almeno una di queste domande, che rappresentano semplici esempi quotidiani, significa che non siete stati efficacemente sensibilizzati sulla tutela della vostra privacy. E quindi, per chi organizza la Giornata Europea della Privacy, c’è ancora tanta strada da fare…

 
Commenti disabilitati su Giornata Europea della Privacy. E quindi?

Pubblicato da su 28 gennaio 2015 in security, telefonia

 

Tag: , , , ,

Phishing maldestro: evitate… l’autotruffa

30 Ott

PhishingIntimao

Non mi stupisco più dei messaggi mail truffaldini di phishing che arrivano, anche se nella maggior parte dei casi si tratta di tentativi improbabili e affatto credibili, c’è sempre qualcuno che ci casca (probabilità data dall’alto numero di destinatari dei messaggi inviati).

Certo, quando il mittente coincide con il destinatario, qualche sospetto dovrebbe venire in ogni caso. Ma anche avendo fiuto per capire immediatamente che certi messaggi sono pura fuffa come quello riportato sopra, non è impensabile che qualcuno caschi comunque nel tranello, perché a ben vedere le trappole qui sono tre:

  1. la prima è nei contenuti leggibili nel messaggio, che riporta nell’intestazione “Ministério Pùblico Federal”, nell’oggetto ha un “procedimento investigatorio” e in calce ha i riferimenti del coordinamento IT della “Policia Federal” di Brasilia; credibilità limitata all’eventualità che il destinatario del messaggio abbia un collegamento con quella città o almeno in Brasile;
  2. la struttura del messaggio: apparentemente si tratta di un messaggio tradizionale, costituito da un corpo testuale, un’immagine inserita (peraltro praticamente illeggibile) e un allegato. In realtà si tratta di un’unica immagine che riproduce testo, immagine e link all’allegato (un mandato di comparizione) e il tutto è ben camuffato;
  3. cliccando sull’immagine (l’unica azione a cui mira il messaggio) si segue un link che implica un download diretto senza richiesta di conferma, chi è curioso e vuole aprire il file zip che è appena approdato sul computer cade nel tranello e rischia di compromettere la sicurezza dei propri dati personali, che potrebbero essere trasmessi a terzi
 
Commenti disabilitati su Phishing maldestro: evitate… l’autotruffa

Pubblicato da su 30 ottobre 2014 in Buono a sapersi, security

 

Tag: , , , , ,

Collegarsi a Internet a volte implica un sacrificio. Inconsapevole

10 Ott

AccessPointWiFi

La password WiFi sarà fornita solamente se il destinatario acconsentirà a cedere il proprio primogenito all’azienda, per la durata dell’eternità. 

Il testo che avete appena letto è la Clausola Erode inserita nelle condizioni di servizio da accettare per essere abilitati ad utilizzare un hotspot WiFi pubblico a Londra, nell’ambito di un’indagine investigativa basata su un esperimento organizzato da F-Secure ed Europol e realizzata dal Cyber Security Research Institute con gli specialisti di sicurezza di SySS. La singolare clausola, che naturalmente non è mai stata applicata, è solo l’elemento più eclatante della disattenzione e della mancanza di consapevolezza degli utenti  nell’utilizzo di servizi di connettività, concetti che l’esperimento aveva l’obiettivo di evidenziare.

Oltre al rischio di accettare e sottoscrivere clausole tutt’altro che chiare annegate nelle condizioni contrattuali, che troppo spesso vengono completamente ignorate per utilizzare un servizio, l’indagine ha fatto emergere che è sufficiente una spesa minima per mettere in funzione un accesso WiFi che, nel consentire l’accesso a Internet, possa spiare tutta l’attività dell’utente connesso.

F-Secure ha chiesto a Finn Steglich della SySS di realizzare un kit WiFi portatile, affinché potesse essere attivato agevolmente in un punto qualunque della città. Con una spesa di circa 200 euro è stato realizzato un piccolo sistema perfettamente funzionante e presentato in rete con un nome “credibile”.

Il primo obiettivo era rilevare quanti utenti avrebbe agganciato uno hotspot sconosciuto una volta posizionato e reso disponibile.

AccessPointWiFi2

In mezz’ora sono stati rilevati 250 dispositivi, 33 dei quali si sono connessi, 21 sono stati identificati. Sono stati captati 32 MB e sei utenti hanno accettato la clausola erode prima che venisse disattivata la pagina in cui erano riportare le condizioni di servizio.

In ogni caso, chi ha utilizzato il servizio per navigare in Internet si è sottoposto ad una rilevazione costante di tutta l’attività svolta online durante tutto il collegamento. Il rischio esiste, anche in considerazione del fatto che su molti smartphone è attiva per default la ricerca e l’aggancio del miglior accesso WiFi disponibile in zona. Se l’access point è aperto e non protetto, il collegamento può avvenire senza che l’utente se ne accorga e nel frattempo – se esiste un’attività di cattura dei dati in transito sul dispositivo – questi dati possono essere rilevati e memorizzati (smartphone o tablet lavorano anche quando rimangono in una borsa, quando ad esempio sono attive la ricezione di mail e altre app che ricevono o trasmettono informazioni).

La conclusione: il WiFi è molto utilizzato (laddove disponibile), ma gli utenti non sono a conoscenza delle possibilità e dei rischi derivanti da un uso incauto di queste tecnologie. L’avvertimento di F-Secure è chiaro: nessuno deve dare per scontata la sicurezza di un WiFi pubblico, che è un servizio da utilizzare con consapevolezza e, qualora la sicurezza dei dati sia critica, è opportuno adottare soluzioni di sicurezza, dalla VPN ad altre soluzioni ad hoc in grado di proteggere i dati.

E come conclude oggi Federico Guerrini nel suo articolo, per quanto riguarda coloro che hanno accettato la clausola Erode, “F-Secure, bontà sua, non ha intenzione di far valere i propri diritti (che comunque sarebbero difficili da sostenere in tribunale). È probabile, però, che d’ora in poi i genitori facciano un po’ più di attenzione”.

Nel video (con audio in inglese), il racconto dell’esperimento.

 
Commenti disabilitati su Collegarsi a Internet a volte implica un sacrificio. Inconsapevole

Pubblicato da su 10 ottobre 2014 in cellulari & smartphone, Internet, security, WiFi

 

Tag: , , , , , , , , , , ,

Password Gmail trafugate, un altro caso per riflettere

11 Set

isleaked-com

Da ieri circola la notizia di un clamoroso furto di password ai danni degli utenti di Gmail: si parla di circa 5 milioni di utenze, i cui dati di accesso sarebbero stati pubblicati da un utente del forum russo Bitcoin Security.

Nel comunicare la notizia, molte fonti indicano di rivolgersi al sito isleaked.com, per le opportune verifiche. Il sito è stato messo online a nome di Egor Buslanov, con un dominio registrato in data 8 settembre 2014, proprio due giorni prima della pubblicazione su Bitcoin Security (dati verificabili attraverso qualunque servizio whois disponibile in rete). Non fornisce alcun elenco, ma chiede all’utente di inserire il proprio indirizzo e-mail promettendo un celere responso. La homepage di default è scritta in russo, con versioni in inglese e spagnolo.

Questi presupposti – insieme a quanto sto per aggiungere – mi sembrano sufficienti ad essere guardingo e a non affrettarmi a sfruttare questo servizio. Per consapevole autolesionismo tecnologico ho inserito personalmente i dati di un account Gmail. Il responso è stato positivo, tanto che isleaked.com – per dimostrarsi attendibile – mi ha anche indicato i primi due caratteri della password che gli risulta trafugata. Peccato che non fossero affatto corrispondenti a quelli della password reale (ne’ attuale, ne’ precedente).

Questo risultato inattendibile, insieme al fatto che la verifica si basa sul fatto che un utente debba comunicare il proprio indirizzo e-mail ad uno sconosciuto, suggerisce di utilizzare la dovuta cautela e di rivolgere attenzione altrove. Certo, il rischio più immediato potrebbe essere limitato a ricevere un po’ di spam aggiuntivo, ma personalmente penso di poterne comunque fare a meno.

L’Online Security Blog di Google ieri ha pubblicato un articolo in cui si spiega che, fra tutti i dump pubblicati in rete (ottenuti dalla combinazione di dati provenienti da fonti esterne a Google), le combinazioni username+password che possono realmente consentire l’accesso ad un account altrui sono meno del 2% e, in ogni caso, i sistemi anti-hijacking di Google sono in grado di bloccare buona parte dei tentativi di accesso fraudolento. Considerando che l’ecosistema Google in fatto di privacy è imbattibile (nel senso che loro sono maestri assoluti nel raccogliere ed elaborare informazioni personali altrui), penso che l’affidabilità di questi sistemi sia quantomeno verosimile.

Avete il dubbio che il vostro account possa essere stato compromesso? Non pensateci due volte: cambiate password, scegliendone una forte e sicura (come ricordavo qualche giorno fa), perché…

Il rischio aumenta quando la password è semplice e non è stata generata con gli opportuni criteri di complessità (ad esempio quelli illustrati nell’articolo Scegliere password più sicure su Mozilla Support, oppure in Creazione di una password forte a cura di Google Support). Oppure se il servizio di password reset è impostato con risposte prevedibili o facilmente reperibili.

 
Commenti disabilitati su Password Gmail trafugate, un altro caso per riflettere

Pubblicato da su 11 settembre 2014 in security

 

Tag: , , , , , , , ,

Specchietti per allodole sprovvedute

06 Set

image

A volte mi chiedo se, per gli autori di questi messaggi di phishing maldestro, valga ancora la pena spedire massivamente queste esche ingannevoli con l’obiettivo fraudolento di raccogliere dati personali (da nomi e indirizzi fino agli estremi di carta di credito e/o conto corrente).

Davvero esiste qualcuno che casca in un tranello scritto in modo così approssimativo (ma soprattutto pessimamente tradotto) da far capire subito che si tratta di una truffa senza appello?

 
1 Commento

Pubblicato da su 6 settembre 2014 in Buono a sapersi, security, truffe&bufale

 

Tag: , , , , ,

The Fappening, un’altra lezione sulla protezione di dati e foto personali

02 Set

icloud keys

Avete letto o sentito del furto e della diffusione di foto personali ai danni di alcune celebrità come Kirsten Dunst, Kim Kardashian, Selena Gomez, Bar Refaeli e Jennifer Lawrence? E, soprattutto, avete capito cos’è accaduto?

In breve: le foto, inizialmente memorizzate sui loro dispositivi personali (iPhone, iPad, Mac), erano poi sincronizzate su iCloud (un disco fisso virtuale, cioè un servizio per l’archiviazione di dati in Internet realizzato da Apple per i propri utenti). L’impostazione standard (modificabile, sapendolo) prevede il salvataggio automatico delle foto per poterle gestire su Mac con iPhoto. In seguito ad un attacco hacker, le immagini – prevalentemente intime – contenute in tali spazi sono state copiate dagli account di queste persone e diffuse via web sulla piattaforma 4chan e su Reddit. Pare che l’obiettivo iniziale fosse quello di metterle sul mercato e venderle all’industria del gossip, ma negli Stati Uniti questo genere di azioni è reato e non hanno suscitato l’interesse atteso: per questo sarebbero state distribuite sul web.

Si è ripresentato – su più vasta scala – il problema di violazione della privacy accaduto due anni fa a Scarlett Johansson. Christina Aguilera e Mila Kunis (il colpevole era stato trovato e condannato a scontare 10 anni di reclusione e al pagamento di una sanzione di 76mila dollari).

Ciò che è accaduto poteva essere prevenuto, evitato da chi voleva davvero tutelare la propria privacy? Assolutamente sì, in modi sia analogici che tecnologici, che esporrò in ordine di efficacia:

  1. non scattare foto di quel genere (ok è un po’ radicale, ma è la soluzione che offre maggiori certezze);
  2. conoscendo il valore che tali foto possono acquisire sul mercato dei bavosi, se proprio non è possibile trattenersi dallo scatto hot, sembra decisamente opportuno mantenerle conservate su un supporto di memorizzazione fisico di cui si possa avere il reale controllo (scheda di memoria, chiavetta USB, hard disk, CD, DVD…)
  3. pensare allo scopo per cui è stata scattata la foto… era da mostrare a una persona, a una platea ristretta o a chiunque? Ecco. In ogni caso, lasciarla lì o trasferirla via chiavetta;
  4. se proprio dovete utilizzare un servizio cloud, scegliete una password complessa, createne una diversa per ogni account e, se il servizio prevede il password reset attraverso alcune domande, impostate risposte non facilmente identificabili (esempio: “Qual è il cognome di tua madre da nubile?” Risposta possibile: “Lansbury”, oppure “Merkel” o anche “Jeeg”… insomma, non dev’essere necessariamente reale perché potrebbe essere ottenibile da malintenzionati)

    5. .

Intendiamoci: iCloud, così come Dropbox, GoogleDrive, OneDrive , non è affatto un sistema insicuro, la protezione dei dati che vengono memorizzati è assicurata da un algoritmo di cifratura AES a 128 bit. Ma è sufficiente arrivare a conoscere la password legata all’account per avere l’accesso. Come a dire: una cassaforte può essere ipersicura e a prova di qualunque scasso, ma basta averne la combinazione e il gioco è fatto. E ottenere la password dell’Apple ID (e quindi dell’account iCloud) di queste celebrità potrebbe non essere stato difficile, dato che – finché Apple non se n’è accorta – esisteva la possibilità di scovarla tramite un software. Il rischio aumenta quando la password è semplice e non è stata generata con gli opportuni criteri di complessità (ad esempio quelli illustrati nell’articolo Scegliere password più sicure su Mozilla Support, oppure in Creazione di una password forte a cura di Google Support). Oppure se il servizio di password reset è impostato con risposte prevedibili o facilmente reperibili.

Come già detto più volte in precedenza, nessuna soluzione tecnologica è in grado di garantire la sicurezza assoluta al 100% della propria efficacia. Quindi, meditate su questo aspetto.

Altri aspetti su cui è necessario meditare: l’accidentale (?) sacrificio della privacy in nome della vanità (le foto non sono state certo scattate per essere inviate al dermatologo per un controllo sommario) e – soprattutto – la diffusissima mancanza di consapevolezza dei rischi comportati da determinate azioni compiute attraverso Internet.

 
1 Commento

Pubblicato da su 2 settembre 2014 in Internet, News da Internet, privacy, security

 

Tag: , , , , , , , , , , , ,

BlackBerry investe sulla sicurezza

30 Lug

BlackberrySecusmart

Per chi si interessa di telefonia mobile e pone attenzione al fattore sicurezza, il fatto che Blackberry abbia acquistato l’azienda tedesca Secusmart è una buona notizia.

Lo è perché testimonia innanzitutto che l’azienda canadese è viva e vivace, contrariamente a quanto riferito da alcuni pettegolezzi che la danno per spacciata o schiacciata sul mercato sotto il peso di Samsung, Apple, Microsoft Mobile (Nokia) e altri competitor (altra testimonianza del miglioramento del suo stato di salute, il ritorno all’utile nello scorso trimestre fiscale).

Certo, la sua fetta di mercato è giunta a dimensioni ormai minime, mentre sono enormi quelle che i concorrenti sono riusciti a ritagliarsi grazie a soluzioni accattivanti che hanno conquistato il grande pubblico. Ma il target di BlackBerry si è sempre identificato in una clientela business, meno incline alle frivolezze e più orientata ad utilizzi professionali (che comunque i competitor non disdegnano). E il recente acquisto dell’azienda tedesca conferma che il target è rimasto il medesimo (secondo motivo per cui è una buona notizia): Secusmart si occupa di soluzioni di crittografia per la sicurezza delle comunicazioni e di sistemi a prova di intercettazione.

Se a questo si aggiungono le migliorie apportate a BlackBerry OS 10.3, i margini di miglioramento non mancano.

 
Commenti disabilitati su BlackBerry investe sulla sicurezza

Pubblicato da su 30 luglio 2014 in cellulari & smartphone, security

 

Tag: , , , , , ,

WhatsApp, uno script decifra le chat

12 Mar

L’olandese Bas Bosschert dice che basta un piccolo script e i dati delle chat di WhatsApp si decriptano con la stessa facilità con cui si apre un lucchetto aperto. Considerando che:

  • le chat sono memorizzate su alcuni file (msgstore.db, wa.db e msgstore.db.crypt) nella schedina microSD interna
  • per molte app è richiesto l’accesso ai dati sulla microSD

… a buon intenditor, poche parole 😉

 
Commenti disabilitati su WhatsApp, uno script decifra le chat

Pubblicato da su 12 marzo 2014 in security

 

Tag: , ,

L’occhio che spiava le webcam degli utenti Yahoo

28 Feb

NSA_occhio

Altre novità in tema di Datagate: il Guardian riporta nuove rivelazioni di Edward Snowdenracconta l’operazione Optic Nerve avviata dal 2008 al 2012 dal GCHQ (l’intelligence inglese) per la registrazione delle riprese delle webcam di milioni di utenti di Yahoo! Utenti normalissimi, cioè non indagati ne’ sotto osservazione da parte delle autorità di polizia. L’obiettivo dichiarato dell’operazione era la raccolta di immagini che ritraessero il viso di persone che potessero essere di potenziale interesse.

La raccolta veniva effettuata intercettando le videochat degli utenti, catturando un fotogramma ogni cinque minuti e trasmettendo il materiale raccolto alla NSA. Una volta immagazzinate, le immagini venivano poi esaminate per identificare potenziali obiettivi. 

L’agenzia dichiara di aver agito nel rispetto della legge e di essere stata autorizzata alla raccolta di queste informazioni visive, anche se l’articolo del Guardian evidenzia la mancanza della prevista autorizzazione da parte del ministero competente. Yahoo si è dichiarata ignara dell’operazione (possibile?). Operazione che – a conti fatti – ha ottenuto il risultato di un database abbastanza inutile, pieno di immagini di contenuto pornografico, pubblicitario e famigliare. Tra l’altro, anche il sistema di analisi delle immagini si è dimostrato inaffidabile: il sistema è tarato per misurare la quantità di pelle visibile in una foto e, superato un certo limite, la classifica come pornografica. Tuttavia, tale classificazione sembra aver riguardato molti ritratti di volti di persone. 

Solo ritratti? Messaggi niente?

Cui prodest?

Ne sentiremo ancora?

 
Commenti disabilitati su L’occhio che spiava le webcam degli utenti Yahoo

Pubblicato da su 28 febbraio 2014 in privacy, security, tecnologia

 

Tag: , , , , , , , ,

Una Internet “europea”?

17 Feb

EuropaInternet

Lo scandalo esploso l’anno scorso con il nome di Datagate continua a partorire conseguenze più o meno prevedibili. L’ultima – ma solo per ora, in ordine di tempo – è l’idea espressa da Angela Merkel di realizzare una rete di comunicazioni europea, separata dagli USA e non controllabile dai servizi di intelligence d’oltreoceano. La cancelliera intende approfondire questo progetto con il presidente francese Francois Hollande in occasione del loro incontro a Parigi, prefigurando la costituzione di una sorta di asse franco-tedesco che guidi l’Europa verso una Internet indipendente.

Al pari di quelle di molti altri rappresentanti di Stato, anche le conversazioni telefoniche di Angela Merkel sono state intercettate nell’ambito del programma PRISM lanciato dalla NSA, ma anche dal programma TEMPORA avviato dal GCHQ britannico. Una vicenda che ha fatto scroprire alla Merkel che una fetta enorme del traffico di telecomunicazioni generato dall’Europa passa dagli USA, per questioni fondamentalmente economiche, dato che in America esistono infrastrutture di telecomunicazioni che permettono di veicolare le informazioni a condizioni molto convenienti. E come riporta il settimanale tedesco Der Spiegel, la Germania – legittimamente – non può tollerare di essere in grado di assicurare alla giustizia un borseggiatore e di non riuscire neppure ad aprire un’indagine sulle intercettazioni al cellulare della cancelliera.

Da queste vicende (ma non solo) parte l’idea di realizzare una rete di telecomunicazioni europea, un progetto che però dovrà considerare di dover prendere una posizione nei confronti della Gran Bretagna, che non si trova oltreoceano e che è parte dell’Europa. Dovrà considerare anche gli accordi dell’intesa chiamata Safe Harbor, siglata tra Stati Uniti ed Europa, che alle aziende americane che operano su Internet con clienti europei offre una certa flessibilità sul rispetto delle normative privacy in vigore nel Vecchio Continente.

Inoltre non potrà trascurare che l’avvento delle moderne tecnologie di comunicazione, e quindi della Internet che conosciamo, quella per cui risulta più conveniente far passare dagli Stati Uniti persino un messaggio di posta elettronica spedito da Milano a Roma, ha abbattuto i confini geografici e cambiato il concetto di sicurezza nazionale. Soprattutto ha reso più complesso quello della sicurezza dei dati e delle informazioni: le operazioni di spionaggio da parte dei servizi di intelligence americani non costituiscono un problema esclusivamente europeo. Anche alcuni servizi europei vi hanno preso parte e gli spiati non sono solo europei. E ciò è stato reso possibile con la collaborazione più o meno volontaria delle aziende di cui tutti sfruttano i servizi di comunicazione, nonché grazie alla conoscenza di tecnologie per eludere o escludere i sistemi di sicurezza adottati sulle reti. Questi fattori si ripresenterebbero con la stessa criticità anche se venisse realizzata una rete di telecomunicazioni esclusivamente europea, pertanto il problema della sicurezza verrebbe trasferito, anzi “localizzato”, ma non eliminato.

Merkel e Hollande forse non conoscono personalmente questi aspetti, ma nel loro entourage annoverano sicuramente consiglieri ed esperti che li conoscono a fondo e che sono perfettamente consapevoli delle difficoltà tecniche, politiche ed economiche che questa idea incontrerà. Ma in questo momento, probabilmente, è più importante annunciare il progetto per dare alla cittadinanza europea l’impressione di un interessamento concreto. Sull’opportunità e sulla fattibilità dell’idea si ragionerà più avanti. Forse.

 
Commenti disabilitati su Una Internet “europea”?

Pubblicato da su 17 febbraio 2014 in Internet, istituzioni, news, security

 

Tag: , , , , , , , , , , , , , , ,

Google pensa alle password audio

17 Feb

Google ha messo le mani su SlickLogin, azienda israeliana specializzata in applicazioni che permettono il login – ossia l’accesso – attraverso password audio o sonore.

Il funzionamento di una password audio è abbastanza semplice: da un’app installata su un dispositivo mobile (smartphone o tablet) si analizza un segnale audio emesso da un computer dotato di altoparlanti. Quello specifico segnale deve corrispondere a quello generato dinamicamente da un altro computer in un preciso istante. In pratica il procedimento è simile a quello che, ad esempio, genera certe password temporanee emesse da una banca per confermare le operazioni di Internet Banking, la differenza è che – invece di inserire un codice alfanumerico, ricevuto via SMS o ottenuto da un token – si deve confermare un suono.

 
Commenti disabilitati su Google pensa alle password audio

Pubblicato da su 17 febbraio 2014 in Internet, security

 

Tag: , , , , , ,

Google è un grande “follower”

12 Dic

download

Chi ha un account Google e lo utilizza sul proprio smartphone Android gradirà conoscere questo interessante giochino: si chiama Location History (Cronologia delle posizioni), una soluzione utilizzata da Google per tracciare e registrare gli spostamenti di un utente. Per chi si ricorda di Google Latitude (lanciato nel 2009), nulla di nuovo. Ma tenendo presente che questo servizio esiste da oltre un paio d’anni e può essere attivato o disattivato liberamente dall’utente, sarebbe interessante sapere quanti utenti lo hanno attivo sul proprio account e – soprattutto – se ne sono consapevoli.

Alla pagina https://maps.google.com/locationhistory/b/0/ l’utente può visualizzare – giorno per giorno – la mappa dei propri spostamenti e gestire l’eventuale cancellazione della cronologia, o l’esportazione degli itinerari giornalieri in file formato KML, leggibili da Google Earth. Nella dashboard del servizio l’utente può trovare tutte le statistiche al riguardo che, pur essendo approssimative, espongono un elevato numero di informazioni, raccolte attraverso una serie di fonti: innanzitutto GPS, WiFi e Cell-ID, ma non solo:

Altri sensori disponibili del dispositivo, ad esempio l’accelerometro, la bussola, il giroscopio e il barometro, vengono inoltre utilizzati per migliorare l’esperienza complessiva di identificazione della posizione. Ciò comprende, tra l’altro, l’incremento della durata della batteria e il miglioramento della precisione della posizione.

 

 
Commenti disabilitati su Google è un grande “follower”

Pubblicato da su 12 dicembre 2013 in privacy, security

 

Tag: , , , , , , , , , ,

Un codice nucleare insospettabile

04 Dic

Minuteman

Quanto è sicura la password 00000000 (otto zeri)? Per nulla sicura, sembra uno di quei PIN predefiniti per sbloccare funzioni di un dispositivo qualunque (come 0000, 1234, 9999, eccetera). Eppure – riferisce Today I Found Out – nel periodo della Guerra Fredda e per almeno quindici anni (dal 1962 al 1977), quel codice è stato la password necessaria a sbloccare il lancio di cinquanta Minuteman, missili balistici intercontinentali con testata nucleare utilizzati dall’esercito USA per colpire bersagli distanti anche migliaia di km.

Il 1962 è l’anno in cui JFK firmò il National Security Action Memorandum 160, provvedimento che stabiliva che ogni arma nucleare utilizzata degli USA dovesse essere dotata di un PAL (Permissive Action Link), un piccolo dispositivo di blocco con un codice di sicurezza, un lucchetto blindato che potesse essere sbloccato, in caso di necessità estrema, solo dall’autorità competente. La presenza di questi missili in Paesi alleati al di fuori degli Stati Uniti costituiva una preoccupazione e il PAL sembrava la giusta misura di sicurezza per evitare utilizzi indesiderati e indebiti, in quanto era considerato particolarmente sicuro e pressoché impossibile da forzare.

Talmente sicuro che allo Strategic Air Command, allergici alle disposizioni impartite da Robert McNamara (segretario alla Difesa ai tempi della presidenza Kennedy), non appena questi lasciò l’incarico resettarono tutti i PAL  impostando su ognuno il codice 00000000, rendendo così inutile l’attesa di una conferma presidenziale. Il codice fu impostato correttamente solo nel 1977, dopo che Bruce Blair rivelò al mondo questa incongruenza e il conflitto tra norme di sicurezza e necessità belliche (i militari incaricati al presidio dei missili, in caso di guerra nucleare, sarebbero stati impossibilitati a lanciare i missili qualora non avessero potuto contattare nessuno all’esterno.

 

 
Commenti disabilitati su Un codice nucleare insospettabile

Pubblicato da su 4 dicembre 2013 in news, security

 

Tag: , , , , , , , , ,

Articoli più vecchi
Articoli più recenti
 
%d blogger hanno fatto clic su Mi Piace per questo: