Da quando i messaggi di Facebook sono diventati a tutti gli effetti messaggi di posta elettronica (da fine 2010 chiunque può spedire messaggi a tali indirizzi), non c’è da stupirsi se nelle mailbox Facebook.com arriva spam, phishing e quant’altro rappresenti posta indesiderata.
Ricevete roba simile? Prima di cedere a qualsiasi tentazione, segnalatela.
Quando è stato lanciato il nuovo iPhone 5S dotato di Touch ID – il lettore di impronte digitali – Apple ha garantito la sicurezza del dispositivo, al punto che sarebbe stato inutile anche l’utilizzo di un dito mozzato.
Ma per aggirare l’ostacolo non serve arrivare a tanto: quei precisini del Chaos Computer Club, infatti, sono riusciti ad ingannare il touch id senza far male a nessuno. Certo, la tecnica utilizzata per la riproduzione dell’impronta non è alla portata di tutti, ma dimostra – ancora una volta – che nel mondo digitale (!), la sicurezza al 100% non esiste.
Non passa giorno senza una novità sul Datagate. Ma sono gli editori a pubblicare con il contagocce le rivelazioni di Edward Snowden, oppure è lui che svela una cosa alla volta, e ne ha così tante da raccontare da guadagnarsi l’attenzione (e non solo, gli auguro) dei media per il futuro a venire? E se invece la notizia fosse sempre quella, servitaci con piatti e condimenti diversi?
Per la precisione: giorni fa si parlava della possibilità, da parte della NSA, di accedere alle comunicazioni criptate. Il concetto era generale, valeva per tutte le comunicazioni elettroniche. Nelle scorse ore ha cominciato a circolare la notizia che questi servizi di intelligence possono accedere anche alle comunicazioni effettuate via smartphone, che in base a ciò che ci è stato raccontato in precedenza è abbastanza ovvio. Nelle prossime ore, quindi, mi aspetto che si gridi allo scandalo (tardivamente, anche il quel caso) quando qualcuno dirà che la NSA può infrangere le cifrature utilizzate nelle comunicazioni satellitari, che può aprire file cifrati protetti da password, che può entrare nei conti correnti bancari cifrati, e una cifra di altre cose riservate.
Su questo argomento è molto importante tenere viva l’attenzione di tutti, ma sarebbe auspicabile che ciò venisse fatto sulla base di nuove informazioni. E’ comunque opportuno che il dibattito non cada nel vuoto, affinché tutti sappiano che – lo ripeto – nel mondo digitale, non esiste la sicurezza assoluta al 100% che la segretezza di un’informazione non possa essere violata.
A margine di queste considerazioni vorrei rivolgere un appello ai giornali che pubblicano articoli corredandoli con le foto di Edward Snowden: riuscite a trovare un’immagine diversa dai fotogrammi estratti dall’unico video in circolazione? Dai, sforzatevi. Ci sono riuscito persino io.
La NSA (National Security Agency, l’agenzia americana per la Sicurezza Nazionale) e il GCHQ (Government Communications Head Quarter, l’ente britannico per la sicurezza nelle comunicazioni) sono in grado di acquisire informazioni dai sistemi di comunicazione anche quando i dati sono criptati.
E’ quanto riportato ieri da Guardian, New York Times e Pro Publica, citando ancora una volta Edward Snowden come fonte. Significa che queste organizzazioni di intelligence sono in grado di aggirare le soluzioni di crittografia, e di questo forse non dovremmo stupirci, visto il tipo di attività che svolgono le agenzie e – soprattutto – alla luce di quanto è emerso negli ultimi mesi.
La cosa che tuttavia può risultare più inquietante è il programma di collaborazione che NSA ha sviluppato con alcune grandi aziende d’oltreoceano che si occupano di tecnologia. Nell’ambito di questo programma, a quanto pare, è prevista una partecipazione – più o meno attiva – al progesso di progettazione e sviluppo dei prodotti, allo scopo di conoscere (o inserire ad hoc?) backdoor e punti deboli nei sistemi di cifratura, per poterli poi sfruttare e accedere alle informazioni protette dagli stessi sistemi. La stessa agenzia, negli ultimi anni, avrebbe inoltre operato affinché, nella stesura dei protocolli di comunicazione e delle regole di cifratura utilizzate come standard a livello internazionale, venissero inserite vulnerabilità appositamente studiate per agevolare operazioni di intelligence.
Non c’è scampo dunque? Non è esattamente così: se riteniamo attendibili le dichiarazioni finora rilasciate da Snowden, le possibilità di accesso non sono infinite e la NSA non ha conoscenza totale di tutti i sistemi di sicurezza. Un primo fatto certo, però, è che non tutte le informazioni che circolano al mondo sono interessanti e, quindi, non è detto che tutto sia suscettibile di intercettazione (quindi non temete che la mail innocentemente spedita all’amico possa essere utilizzata contro di voi). Un secondo fatto certo è che le novità su questo argomento non sono finite. Un terzo fatto certo – in realtà il più importante, da non dimenticare mai – è che, nel mondo digitale, non esiste la sicurezza assoluta al 100% che la segretezza di un’informazione non possa essere violata.
Nei giorni scorsi il Guardian è tornato a parlare del Datagate, divulgando ciò che la stampa ha etichettato come “nuove rivelazioni” di Edward Snowden. La notizia che sembra suscitare più stupore e scalpore riguarda Microsoft: secondo il nuovo scoop, l’azienda collabora con la NSA in relazione ai servizi di Outlook.com (intercettazioni delle chat online e impatto sulle mailbox della creazione di alias) e delle comunicazioni effettuate con Skype.
Io non capisco lo stupore di questi giorni, non sulle operazioni descritte. Il 6 giugno – oltre un mese fa – sono state pubblicate dal Guardian le ormai famose slide relative a PRISM. Una di esse delineava una linea temporale con le aziende coinvolte e la data in cui ha avuto inizio il loro coinvolgimento nel sistema di raccolta dati e informazioni sui servizi di comunicazione di queste aziende.
Come si può notare dalla figura (cliccare per ingrandire), Microsoft e Skype sono indicate chiaramente (la prima con data 11 settembre 2007, la seconda 6 febbraio 2011). Quindi mi chiedo: oltre un mese fa, cosa pensavano coloro che oggi si stupiscono? Nessuno, nell’apprendere di queste “collaborazioni” – a scopo di raccolta dati e intercettazioni – ha considerato che Microsoft offre da anni servizi di comunicazione (con Outlook.com, e prima Hotmail.com, ma ricordiamoci anche di Messenger), così come Skype, attiva anche prima di far parte del gruppo Microsoft? Quando è uscita quella slide pensavano che la NSA, con Microsoft e Skype, scambiasse figurine? Che si recapitassero piccioni viaggiatori?
L’unica verà novità che è emersa – ma pochi ne parlano – è che Microsoft ha lavorato con l’FBI per agevolare alla NSA l’accesso, attraverso PRISM, dei contenuti di SkyDrive, servizio di cloud storage che vanta oltre 250 milioni di utenti in tutto il mondo.
Quindi, nei prossimi giorni, nessuno cada dalle nuvole se si dovesse scoprire che la NSA, allo stesso scopo, ha sfruttato e sfrutta anche la collaborazione delle altre aziende come Google, Facebook e Yahoo, visto che si tratta di aziende che offrono mail, VoIP, piattaforme cloud per applicazioni e storage, social network con chat e servizi per condividere di tutto.
Ah, ricordo che di questo gruppo di aziende fa parte anche Apple. E che tutte queste aziende hanno utenti anche tra i cittadini italiani (ma all’orizzonte non si vedono istituzioni nostrane in allarme).
C’è un nuovo virus – un trojan – in grado di infettare dispositivi che utilizzano il sistema operativo Android (smartphone e tablet, essenzialmente). Gli effetti di questo virus sono simpatici quanto avere un portafoglio bucato.
A quanto pare il veicolo di Obad – questo il suo nome, come segnalato da Kasperky – è un SMS che contiene un link. Cliccando su questo link si agevola l’installazione di un malware che, sfruttando due vulnerabilità del sistema operativo, ottiene i privilegi di amministratore del dispositivo ed invia ad un server remoto i dati identificativi dell’apparecchio (indirizzo delle schede di rete, IMEI, numero della SIM e altre informazioni riservate). Nel frattempo avvia la spedizione di SMS (contenenti il link incriminato) verso altri numeri telefonici e verso numeri “a valore aggiunto” (con tariffa maggiorata).
Evitate quindi di cliccare su link anomali ricevuti via SMS!
Un CD-ROM può diventare inutilizzabile? Assolutamente sì. Nel nostro Paese, però, può accadere che un CD-ROM contenente gli atti di un’inchiesta giudiziaria diventi illeggibile e per questo motivo i giudici, dal momento che non è possibile consultarne il contenuto, annullino un’ordinanza di custodia cautelare e rimettano in libertà gli indagati (poi tornati agli arresti per la riemessione dell’ordinanza, visti i gravi indizi di colpevolezza).
“La tecnologia non sempre aiuta e certamente l’uso del vecchio sistema cartaceo elimina questo tipo di inconvenienti”, aveva commentato uno dei difensori con una frase che farebbe rodere il fegato a chiunque conosca i concetti di copia e di backup, che dovrebbero essere prassi consueta soprattutto per chi gestisce informazioni importanti, sensibili o critiche, ma essere anche riconosciuti per legge. In questo caso non so se esista una norma che esclude l’ammissibilità degli atti contenuti in una copia del CD (che renderebbe vana ogni opportuna cautela eventualmente adottata), ma comunque da questa notizia emerge ancora una volta il digital divide culturale che regna nel nostro Paese. Perché – contrariamente a quanto osservato dall’avvocato – un uso consapevole della tecnologia, in realtà, avrebbe aiutato!
Il putiferio che in queste ore viene dipinto con tinte apocalittiche e indicato come “il più grande cyber-attacco della storia” (o addirittura “l’attacco hacker che ha quasi distrutto internet”) sarebbe la degenerazione di una diatriba digitale. In realtà la vicenda appare largamente sovradimensionata: meno allarmante di come è stata trattata da molti, sarebbe nata da un attacco perpetrato ai danni di Spamhaus (che aggiorna una black list di generatori di spam, molto utilizzata) da parte di Cyberbunker, un hosting provider olandese, che “indispettito” per essere finito nella lista dei cattivi avrebbe pensato bene di spedire un po’ di fuffa digitale a Spamhaus, abbastanza da bloccarne l’attività.
Concordo sul fatto che l’evento sia indubbiamente considerevole: i due si sarebbero scambiati un botta-e-risposta che avrebbe raggiunto picchi da 300 Gbps (si parla di 300 Gigabit al secondo, circa 35 Gigabyte). Spamhaus, coadiuvata da CloudFlare, sarebbe riuscita a parare i colpi e a costringere Cyberbunker a orientare i propri attacchi altrove.
L’attacco si sarebbe quindi propagato anche ad alcuni Internet Exchange (quello che ha subito maggiori disservizi è il Linx, che il 23 marzo per un’ora ha lavorato al 50% delle proprie possibilità).
Tuttavia, analizzando alcune rilevazioni in tempo reale fornite da vari servizi disponibili sul web, non sembra affatto di essere vicini alla distruzione di Internet: il Real-Time Web Monitor di Akamai evidenzia effettivamente i picchi di traffico nelle zone interessate da questa vicenda, ma a livello globale mostra una situazione piuttosto tranquilla.
Come suggerito da un equilibrato articolo di Gizmodo, inoltre, è possibile consultare anche il traffico mensile rilevato da Internet Traffic Report.
Osservandolo notiamo anzi che all’inizio di marzo c’è stato di peggio (maggiori picchi di traffico, generati probabilmente da altre cause), ma nessuno ne ha parlato con l’enfasi di questi giorni e in effetti Internet è ancora in piedi, nonostante da qualche parte si legga che si è trattato di “qualcosa di simile alle bombe nucleari”, armi che però disintegrano, mentre finora al massimo abbiamo assistito a eventi temporanei.
Quindi è doveroso osservare questi fenomeni con molta attenzione, ma è opportuno porre altrettanta attenzione anche ai termini utilizzati per parlarne.
Avete presente il motivo per cui l’accesso ad un sistema è subordinato all’utilizzo di un nome utente (username) e di una password? E le (ovvie) ragioni per cui queste informazioni devono essere mantenute riservate?
Bene. Ora osservate questo esempio, non recentissimo, ma utile a rendere l’idea. La foto riprodotta qui sopra (click per ingrandire) ritrae il duca di Cambridge – meglio noto come principe William – in una base della RAF ed è stata pubblicata puramente per questioni di immagine. Qui non si nota niente di particolare, anche perché questa risoluzione non è il massimo per i dettagli, ma osservando bene l’immagine, in alto a sinistra c’è un foglietto appeso alla parete. In questo ingrandimento si vede meglio (intanto, meglio metterci delle pecette, va’):
Sicuramente quei MilFlip Logon Details non apriranno al mondo le porte di importantissimi segreti militari, ma – come si diceva sopra – se esistono credenziali di autenticazione, un motivo c’è. Lo conferma la reazione del ministero della difesa britannico che, dopo averne ricevuto segnalazione, ha provveduto a sbiancare il dettaglio incriminato…
Dopo aver registrato innumerevoli feedback negativi, critiche e lamentele da mezzo mondo in relazione alle novità sulle condizioni contrattuali rese note solo ieri, Kevin Systrom – co-fondatore di Instagram – scrive un nuovo post nel blog aziendale per spiegarsi meglio e “rispondere alle vostre domande, sistemare ogni errore ed eliminare la confusione”. Non solo:
“Modificheremo punti specifici delle condizioni per fare maggiore chiarezza su ciò che accadrà con le vostre foto. I documenti con valore legale possono essere facilmente mal interpretati”.
Rivolgendosi quindi alle specifiche preoccupazioni espresse da tutti, Systrom tiene a precisare che l’advertising è una fonte di auto-sostentamento, ma non è l’unica, e che l’obiettivo delle nuove condizioni è la volontà di sperimentare nuove forme di pubblicità appropriate per Instagram: “invece questo è stato interpretato da molti come l’intenzione di vendere le vostre foto senza alcun compenso. Questo non è vero e il nostro linguaggio fuorviante è un nostro errore . Per essere chiari: non è nostra intenzione vendere le vostre foto”. Foto che, aggiunge, non saranno cedute per diventare parte di inserzioni pubblicitarie.
La parte più rilevante del post chiarificatore è questa:
“Gli utenti di Instagram sono proprietari dei propri contenuti e Instagram non rivendica alcun diritto di proprietà sulle vostre foto”.
Chiarimenti anche sul fronte delle impostazioni della privacy: “Impostando le foto come private, Instagram le condividerà solamente con gli utenti approvati che vi seguono”.
Qualcuno, alla luce di queste spiegazioni, riguardo alla possibile vendita delle foto da parte di Instagram, ha parlato di bufala. Io non la liquiderei come tale: il fraintendimento non è stato circoscritto in una chiacchierata di quattro amici al bar, ma dalla stampa di mezzo mondo e da moltissimi utenti – tra cui il National Geographic, che come potete vedere ha già preso provvedimenti – e il motivo è nel fatto che tutti hanno letto frasi come questa, che riporto testualmente e traduco (più o meno maccheronicamente) nel seguito:
“You agree that a business or other entity may pay us to display your username, likeness, photos (along with any associated metadata), and/or actions you take, in connection with paid or sponsored content or promotions, without any compensation to you.”
Concordate che una società o altra entità possa pagarci per esporre i vostri nome utente, ritratto, le foto (insieme a tutti i metadati associati), e /o azioni da voi intraprese, collegati a contenuti a pagamento o sponsorizzati o promozioni, senza alcun compenso per voi
Registriamo quindi questa retromarcia da parte di Instagram (lo è, dal momento che introdurranno modifiche alle condizioni rese note ieri), ma continuiamo a mantenere ben dritte antenne e orecchie 😉
Conoscete Instagram? E’ una app famosissima, per iPhone e smartphone con Android, per editare foto, applicare filtri particolari alle foto e condividerle su una con altri utenti su una piattaforma disponibile su Internet, che Facebook ha acquistato la scorsa primavera pagandola oltre 700 milioni di dollari. Le possibilità di elaborazione delle foto, unite alla semplicità d’uso e alla gratuità, l’hanno resa molto popolare e sono moltissimi gli utenti che condividono foto trattate con Instagram anche sui social network.
Importanti novità attendono gli utenti di Instagram dal prossimo 16 gennaio 2013: come annuncia l’azienda dal proprio blog, sono in arrivo una nuova Privacy Policy e nuove Condizioni di servizio. L’annuncio è scritto solamente in inglese, e questo può rappresentare un problema per chi non lo conosce. Se volete risparmiarvene la lettura e/o la traduzione, mi permetto di offrirvi una sintesi dei più rilevanti dettagli (nei quali, si sa, si annida e nasconde il diavolo): dal 16 gennaio, gli utenti della piattaforma cederanno ad Instagram i diritti d’uso dei dati condivisi (foto, commenti – vostri o altrui – e qualunque altra informazione accessoria). Importantissimo è sapere che questi stessi dati potranno essere ricondivisi e venduti – anche a scopo pubblicitario – ad aziende che hanno rapporti commerciali con Instagram (cioè con Facebook).
La novità va vista da due fronti: uno è quello di Instagram (cioè di Facebook), cioè di una società che in questo modo trova una fonte di remunerazione ad un servizio che, come detto sopra, è gratuito. L’altro fronte è quello degli utilizzatori del servizio: nel ricordare che Instagram, esattamente come Facebook, prevede che l’età minima di un utente sia di 13 anni, non dobbiamo trascurare il fatto che esistono account che appartengono anche ad utenti di età inferiore, iscritti con la complicità di fratelli o genitori, pertanto consideriamo la cosa nel suo complesso. Tutto questo significa, fondamentalmente, che dal 16 gennaio dell’anno prossimo ogni foto e ogni informazione condivisa, anche se relativa a minori, potrebbe finire in una campagna pubblicitaria, senza che l’autore o il soggetto interessato abbiano concesso un consenso esplicito e senza percepire alcun compenso (Ah giusto, abbiamo già detto che è gratis?).
L’utente di un servizio di content sharing deve essere sempre consapevole di dove vanno le informazioni che condivide. Solo questa consapevolezza gli permette di decidere serenamente cosa fare: in questo caso, decidere se rimanere iscritto al servizio, oppure andarsene chiudendo l’account. In quest’ultima ipotesi, all’utente in procinto di disiscriversi – che potrebbe pensare di tenere per se’ le proprie foto – suggerisco di dare un’occhiata a Instaport o Instarchive.
UPDATE: Instagram fa retromarcia, dichiarando di essersi espressa male ed essere stata fraintesa (leggi il post successivo)
Da alcuni giorni l’antivirus del mio server di posta sta bloccando una marea di mail con mittente apparente service@vodafone.it, oggetto Vodafone MMS Message e hanno in allegato un file .zip. Se vi capita di ricevere messaggi di questo tipo, non lasciatevi tentare dalla curiosità: non provengono da Vodafone, ne’ da altri operatori di telefonia, contengono malware potenzialmente fastidiosi, quindi cestinateli senza pietà e svuotate anche il cestino. Questo è il risultato dell’analisi su uno dei messaggi incriminati:
========================================================
Incident information:
Event: Virus infection detected
Location: Vodafone-MMS-ID96028.zip
Replaced with text: No
Virus name(s): Troj/Agent-ZEB,Mal/EncPk-AFN,Mal/DrodZp-A ========================================================
P.S.: si tratta di piccole porcheriole in circolazione da tempo, ignoro il motivo di questa rinnovata diffusione, ma credo che ormai ogni antivirus abbia gli strumenti per annullarne la minacciosità. Se tuttavia non disponeste di un antivirus aggiornato, seguite il mio consiglio e cancellate senza remore.
Prendere la fotografia di un illustre sconosciuto, farla esaminare ad un software e ottenere la sua identità in pochi minuti. Fantascienza? Roba da CSI? Niente affatto: il software si chiama PittPatt ed è nato anni fa nell’Heinz College della Carnegie Mellon University, ma oggi è parte di un gruppo il cui nome è noto a chiunque conosca il web (continua a leggere su The New Blog Times)
Si stava meglio quando si stava peggio: quando si diffuse la notizia della memorizzazione frequente e costante, a bordo di iPhone e iPad, della posizione dell’utente in un file non criptato e accessibile senza troppi artifici, molti puntarono il dito contro Apple, accusandola di spiare gli utenti. Poi si è scoperto che anche Google ha inserito in Android una funzione analoga, e allora tutti a dare degli spioni anche a loro, e ad interrogarsi su chi giocasse sporco.
“Sta’ a vedere – mi ha detto un giorno un amico – che l’unica a salvarsi da queste accuse è Microsoft… su Windows Phone non si sono mai sentite ‘ste cose“. Adesso sì.
DARIO BONACINA 