Julian Assange chiede la residenza in Svezia (guai con la giustizia a parte), WikiLeaks anche: ecco il bunker da guerra fredda dove saranno trasferiti alcuni server.
(via Gizmodo)
Archivi categoria: security
Dal 15 settembre, Diaspora
In maggio – l’ultima volta in cui ne ho parlato – era ancora un progetto. Ma nel campo della tecnologia, e soprattutto in Internet, lo sviluppo dei progetti può essere breve e ora Diaspora sembra già maturo per partire: presentato come social network innovativo, open source, che consente all’utente un reale controllo delle proprie relazioni in una piattaforma di condivisione trasparente, prenderà il via il 15 settembre.
Come spiegano i quattro studenti Ilya, Raphael, Maxwell e Daniel – che si erano prefissati l’obiettivo di raccogliere almeno 10mila dollari attraverso Kickstarter per finanziare l’avvio del progetto – il codice è pronto, i test (condotti dai quattro studenti e da un gruppo di amici) sono stati soddisfacenti e presto si potrà contare su una degna interfaccia utente. Il 15 settembre sarà il giorno in cui verrà reso pubblico il codice e si darà avvio alle iscrizioni al nuovo social network. Con il plus di poter scegliere, di volta in volta, chi tra gli “amici” potrà vedere che cosa, senza alcun rischio di consegnare dati personali al mondo del marketing.
La partenza è promettente per due fattori fondamentali: i primo è che Diaspora, con queste premesse, sembra rispondere alle esigenze dei detrattori di social network come Facebook, sempre più orientato al business derivante dalla monetizzazione delle relazioni dei propri iscritti. Il secondo è il consenso finora riscosso dal progetto: a fine agosto, i 10mila dollari fissati come primo traguardo sono stati ampiamente superati – scrive Dave Rosenberg su Cnet – da un capitale raccolto pari a 200mila dollari.
Curiosamente, tra i primi donatori figura anche un certo Mark Zuckerberg, il papà di quel Facebook che, secondo il Financial Times, oggi vale 33,7 miliardi di dollari. Il fatto è curioso proprio perché l’inaspettato consenso conseguito dal progetto Diaspora sembra essere in buona parte legato all’insoddisfazione degli utenti per la percepita disattenzione verso la loro privacy da parte di Facebook e altri social network.
iTunes, cocktail di scam con phishing
Utenti iTunes, attenzione: fonti bene informate segnalano che ha preso il via un’operazione di scam mirata a prosciugare gli account PayPal.
Da PayPal informano della serietà della questione e sulla possibilità di risarcimento per gli utenti, benché dichiarino che i malintenzionati abbiano approfittato di un problema di sicurezza della piattaforma iTunes e a questo siano da imputare le frodi denunciate dagli utenti derubati (uno di essi ha scoperto un addebito di 4.700 sollari sul proprio account).
Apple non conferma, ma consiglia agli utenti iTunes di rivolgersi alla banca per adottare provvedimenti cautelativi, come il blocco del conto corrente o la modifica delle password di accesso e gestione del conto. Sono infatti stati segnalati casi di phishing, con e-mail apparentemente inviate da PayPal che segnalavano addebiti relativi ad acquisti su iTunes. Alcuni utenti PayPal messi in guardia da queste segnalazioni fasulle sono cascati nel tranello, hanno cliccato il link segnalato nella mail (un sito PayPal anch’esso fasullo) e servito i propri dati (username e password) su un piatto d’argento ai malintenzionati, consentendo loro di accedere agli account e effettuare acquisti o addebiti.
Google Street View, la Corea indaga
Pare che in Corea del Sud sia giunta solo ora l’eco della vicenda dei dati delle reti WiFi raccolti dalle Google-car.
Afghan Leakdown
Sono varie e contrastanti le conseguenze della pubblicazione di Afghan War Diary, 2004 – 2010 da parte di WikiLeaks e – a cascata – di New York Times, Guardian e Der Spiegel.
Da un lato c’è chi apprende nuove informazioni su ciò che sta accadendo in Afghanistan da sei anni a questa parte: è noto che ci sia una guerra in corso e che purtroppo durante le operazioni belliche possano verificarsi “errori”, meno nota è la loro entità e le reali conseguenze, dirette o indirette.
Dall’altra parte, chi sta conducendo questa guerra accusa WikiLeaks di aver commesso un atto che indebolisce la democrazia e di aver messo in pericolo altre persone (cosa che la guerra ha comunque già fatto). Posizione supportata anche da alcuni media (qui l’articolo del Washington Post che bolla Wikileaks come un’organizzazione criminale e auspica la sua eliminazione).
Limitarsi alle parole non è sufficiente, ma le autorità USA hanno cominciato a passare ai fatti e colto un’occasione propizia, prendendo la mira su Jacob Appelbaum, un collaboratore di WikiLeaks che – appena tornato negli USA dall’Olanda – ha subìto dagli ufficiali della dogana una perquisizione, un fermo con un interrogatorio mirato e il sequestro dei telefoni cellulari, ottenendo la promessa di subire il medesimo trattamento in occasioni analoghe. In seguito, un incontro con due persone presentatesi come agenti FBI.
Contromisura adottata da Wikileaks, verosimilmente approntata prima di questa vicenda, il file cifrato Insurance: 1,4 GB di informazioni riservate, pronte a fuoriuscire allargandosi a macchia d’olio qualora accadesse qualcosa a Julian Assange o alla stessa WikiLeaks. Linkato nella pagina web dell’Afghan War Diary, il file (molto più corposo di quanto già finora diffuso e pubblicato) è in circolazione sulle reti di condivisione Torrent e quindi disponibile per il download. In caso di switch-off forzato della piattaforma, un oceano di nuovi dati (in molteplice copia) è quindi pronto per essere diffuso anche senza il supporto di WikiLeaks. Basta una password.
Non aprite quella mail
Chi ha in programma un viaggio troverà provvidenziale e tempestiva una mail che ha come mittente l’indirizzo autovelox @ poliziadistato.it e che “rende pubbliche le tratte stradali dove sono operativi, giorno per giorno, gli strumenti di controllo della velocità”.
Peccato che si tratti di una trappola che porta con se’ un virus, a cui la Polizia di Stato è completamente estranea. Di conseguenza, in caso riceviate una mail con quelle caratteristiche, cassatela senza pietà.
Il mittente, con l’indirizzo che fa riferimento a poliziadistato.it, serve a dare autorevolezza alla mail, ma dal momento che si tratta di un dato falsificabile in modo banalmente facile, mai fidarsi di ciò che appare attendibile.
La mail non è sgrammaticata come altri messaggi truffaldini diffusi in passato (evidentemente la mail del capitano Prisco Mazzi ha insegnato qualcosa ai malintenzionati) e chi ha escogitato questo espediente per diffondere il virus ha gioco facile: il numero di italiani in viaggio o in procinto di partire per le vacanze è elevato, il nuovo codice della strada con le sue nuove regole è appena entrato in vigore. L’utente italiano potrebbe dunque essere una facile preda di questo tranello, che stando a quanto comunicato dalla Polizia delle Comunicazioni proverrebbe dalla Germania (verificando il testo della mail si scopre poi che il percorso a cui conduce il link porta a server che si trovano in Ucraina e Colombia).
Il posizionamento di autovelox e tutor sulle strade italiane è comunque un dato pubblicamente disponibile: per saperlo basta andare nell‘apposita sezione del sito della Polizia di Stato.
Phishing ottimista
Io rinuncio a questa vincita, se volete potete presentarvi voi, a nome vostro 😉
A parte gli scherzi, vi fossero mai capitate mail di questo tipo, è inutile che vi dica che sono truffaldine, vero?
Hardware trojan horse
Con colpevole ritardo (che comunque non fa perdere il carattere d’attualità della notizia) segnalo un interessante post di Stefano che ci mette in guardia sui potenziali rischi di security derivanti da una gestione non pienamente consapevole di copiatrici e stampanti multifunzione:
La fotocopiatrice moderna: un colabrodo di dati
Perchè un hacker dovrebbe impiegare ore e ore del suo tempo cercando di penetrare i sistemi di una rete aziendale per carpirne i dati più sensibili e confidenziali, quando, con molto meno tempo e meno rischi di essere individuati, basta proporre un rimpiazzo economicamente vantaggioso di una fotocopiatrice?
Da poco meno di una decina d’anni, la maggior parte delle fotocopiatrici è dotata di un hard disk interno che, con l’opzione di default, consente la copia di ogni singola pagina fotocopiata e restituita all’utente su carta… (continua a leggere)
Sull’hard disk installato su queste macchine possono dunque rimanere molte informazioni riservate, che nella migliore delle ipotesi è opportuno eliminare prima della dismissione (vendita in permuta, rottamazione) della copiatrice.
Elemento da non trascurare: la copiatrice multifunzione (con modulo stampante di rete, scanner, fax) può non essere di proprietà dell’azienda che la utilizza, data la crescente proposta di soluzioni di renting all-inclusive (l’azienda dispone della copiatrice come se fosse di sua proprietà, in virtù di un contratto di noleggio a lungo termine che prevede un canone mensile che include materiali di consumo e manutenzione, praticamente tutto tranne la carta; in questo modo l’azienda fruisce di un servizio e non gestisce la copiatrice come cespite).
Questo utilizzo ovviamente impedisce all’azienda di prendere l’hard disk e di passarlo sotto uno schiacciasassi, ma non di (far) eliminare tutti i dati in esso contenuti.
Body scanner nelle stazioni?
L’intento dichiarato dal ministro Roberto Maroni di installare body scanner anche nelle stazioni ferroviarie mi lascia molto perplesso, e questo credo valga per chiunque abbia una vaga idea di cosa significhi accedere ad una stazione per partire (o per arrivare) in treno. Vedo molti fattori critici che renderebbero poco efficace questa contromisura, ma soprattutto poco verosimile la fattibilità di questa idea. Ovviamente questo è un parere del sottoscritto, che è stato ed è un viaggiatore e ha lavorato per un’azienda di produzione di veicoli ferroviari, ma temo che i problemi si moltiplichino agli occhi di chi si occupa professionalmente di organizzazione e gestione del traffico ferroviario e delle stazioni.
Già, le stazioni. Sono punti di accesso che consentono ai passeggeri di accedere ai treni. In Italia esistono 13 grandi stazioni (gestite dalla società Grandi Stazioni SpA) attraversate da 600 milioni di persone ogni anno e 103 stazioni di medie dimensioni (gestite dalla società Centostazioni SpA) frequentate da altri 500 milioni di persone. Pensare di dotare di body scanner solo le stazioni delle grandi città è limitativo, perché è vero che esistono luoghi a più alto rischio di altri, ma è altrettanto vero che un malintenzionato può salire su un treno accedendo alla rete ferroviaria da una qualunque delle oltre 2.270 stazioni presenti sul territorio, molte delle quali ad accesso libero per chiunque, ossia senza alcun filtro all’ingresso. Per non parlare del fatto che la rete è comunque fisicamente accessibile in virtù di numerose aperture, fisiologiche (ad esempio i passaggi a livello) e accidentali (recinzioni basse, divelte, danneggiate).
Per il considerevole volume di viaggiatori dato dai numeri citati sopra (sono tutti dati ufficiali dichiarati dalle società del gruppo Ferrovie dello Stato), credo che anche un numero adeguato di body scanner installato in una stazione rappresenti un collo di bottiglia estremamente vincolante per la fluidità della circolazione dei passeggeri.
Questi sono, a mio avviso, impedimenti di carattere pratico e organizzativo alquanto limitanti. Non mi soffermo a parlare di quelli di carattere tecnico, men che meno di quelli di tipo economico, che non si limiterebbero solamente alla copertura finanziaria per l’acquisto dei body scanner, ma anche all’adeguamento dell’infrastruttura ai requisiti di sicurezza. Ammesso e non concesso che il body scanner sia di per se’ efficace.
Street View e privacy, il Garante indaga
Prima conseguenza italica dell’inconsapevole raccolta di dati effettuata da Google dalle reti WiFi aperte, dal comunicato stampa del Garante della Privacy:
Google: Garante Privacy avvia istruttoria su Street View
[…] Il procedimento dell’Autorita’ e’ stato aperto in merito alla raccolta effettuata dalla societa’ sul territorio italiano e che, secondo quanto ammesso dalla stessa Google Italia, ha riguardato, oltre che immagini, anche dati relativi alla presenza di reti wireless e di apparati di rete radiomobile, nonche’ frammenti di comunicazioni elettroniche, eventualmente trasmesse dagli utenti su reti wireless non protette. Riguardo a quest’ultima tipologia di dati, l’Autorita’ ha invitato la societa’ a sospendere qualsiasi trattamento fino a diversa direttiva dello stesso Garante.
Bene. Però Mi da l’impressione che potrebbe trattarsi della classica bolla di sapone, perché…
Con particolare riferimento a tutti i dati eventualmente “captati” dalle “Google cars”, la società dovrà comunicare al Garante la data di inizio della raccolta delle informazioni, per quali finalità e con quali modalità essa è stata realizzata, per quanto tempo e in quali banche dati queste informazioni sono conservate.
Non vedo problemi per le finalità ufficiali che Google dovrà dichiarare (non c’era finalità, ha dichiarato che si è trattato di un errore), ne’ per i tempi e per le banche dati in cui i dati sono stati conservati e (come Google ha assicurato) segregati. Però…
Google dovrà chiarire, inoltre, l’eventuale impiego di apparecchiature o software “ad hoc” per la raccolta di dati sulle reti WiFi e sugli apparati di telefonia mobile. La società dovrà comunicare, infine, se i dati raccolti siano accessibili a terzi e con quali modalità, o se siano stati ceduti.
Perché le auto dotate di impianto fotografico panoramico e di apparati wireless erano in grado di raccogliere i dati in transito sulle reti WiFi aperte che si trovavano nel loro raggio d’azione? Non avrebbero dovuto limitarsi ad interfacciarsi con dispositivi Google dedicati al servizio?
Non solo peerateria
Tra i tantissimi esempi di impiego professionalmente utile del peer-to-peer, eccone uno fresco fresco: oggi non riuscivo a collegarmi in remoto con un PC di un’altra sede collegata ad Internet, a cui – normalmente – riesco ad accedere da una normale VPN. Dopo alcuni tentativi di bypassare il problema, grazie ad un amico ho provato con successo Hamachi, un sistema per creare una VPN gestita centralmente, e ho risolto il problema.
Il requisito da soddisfare è che i due PC da collegare devono essere connessi a Internet, Hamachi (installato su entrambe le macchine) permette di instaurare un collegamento diretto anche in presenza di NAT. Grazie ad esso è possibile controllare un PC da remoto e condividere dati e risorse (come le stampanti), attraverso un traffico peer-to-peer cifrato (la sicurezza del collegamento è data dal fatto che, una volta stabilito il collegamento, la comunicazione tra i client è diretta e sul server non transitano altri dati).
Giudizio critico: consigliato, da provare.
E ora spiegatevi con l’Agcom
A fine marzo Telecom Italia ha annunciato agli utenti l’avvio di un test di sei mesi, limitato ad una ristretta cerchia di utenti, relativo all’introduzione di tecniche di network management.
Ora, dal momento che l’iniziativa non mostra di avere connotati molto trasparenti, l’Agcom – spinta da una segnalazione dell’AIIP – le chiede i necessari chiarimenti.
Spigolature certificate
Coloro che, la scorsa settimana, fossero riusciti ad attivare una casella a proprio nome dal sito www.postacertificata.gov.it , in queste ore dovrebbero avere ricevuto una conferma dell’attivazione del servizio.
Come spiegato qui (e sottolineato dal particolare mittente), non si tratta di una casella di PEC (Posta Elettronica Certificata), ma di una CEC-PAC:
In realtà è una PEC limitata, cioè un servizio per comunicare solamente con la Pubblica Amministrazione, per richiedere informazioni, inviare istanze, ricevere documenti, comunicazioni:
La PostaCertificat@ garantisce un canale di comunicazione chiuso ed esclusivo tra Pubblica Amministrazione e Cittadino, non sono, infatti, previste comunicazioni al di fuori di tale canale, ad esempio tra Cittadino e Cittadino.
Questo canale, dunque, non prevede altri interlocutori e quindi non è possibile utilizzare questo servizio per comunicazioni certificate tra privati o con altri soggetti. Pertanto, chi desiderasse una PEC utilizzabile per comunicare con chiunque e avere uno strumento a cui verrà riconosciuto il valore di una raccomandata a.r., deve dotarsi di un altro servizio erogato da uno dei gestori di Posta Elettronica Certificata.
Sicurezza, non siamo ancora messi bene
L’Italia è tra i primi in classifica, lo dice l’ultimo Internet Security Threath Report, appena pubblicato da Symantec al 2009. Il problema è che si tratta di una classifica di livelli negativi: il nostro Paese è primo nel phishing tra le nazioni non anglofone, secondo in Europa e sesto nel mondo per numero di dispositivi bot infected (cioè utilizzati da malintenzionati per diffondere malware, spam e phishing all’insaputa dell’utente), siano essi computer fissi o device portatili (netbook e smartphone inclusi).
Ci sono due magre consolazioni: la discesa dal quarto al sesto posto per la proliferazione delle cosiddette attività malicious e il nono posto tra i Paesi che originano spam (l’anno scorso eravamo al quinto).
Teniamo presente che il nostro Paese risente ancora di un notevole digital divide, tecnologico – gli utenti con connessione broad band sono 13 milioni – ma anche culturale: gli utenti poco preparati, che utilizzano il computer e navigano in Internet valutando in modo errato ciò che capita davanti ai loro occhi, sono moltissimi.
Considerando che determinati fenomeni (phishing innanzitutto) sono legati ad attività truffaldine, mirate ad esempio a carpire i dati d’accesso a conti correnti bancari o i numeri di carte di credito, si può intuire quanto sia importante conoscere il problema quanto più possibile, per adottare comportamenti più “sicuri”:
“I dati relativi alle carte di credito sono sempre quelli più richiesti; con appena 30 dollari è possibile acquistare numeri di carte di credito, mentre liste di indirizzi e account di e-mail oscillano tra 1 e 20 dollari, fino ad arrivare agli 850 dollari per le credenziali bancarie”
La sicurezza al 100% non esiste, ma è fondamentale un’attività di prevenzione, basata sull’adozione di corrette policy di sicurezza, ma soprattutto su un’adeguata attività di formazione. Perché – come si nota da questo video di Altroconsumo – molti utenti non conoscono i fondamenti:
Ma dovete dirci qualcosa?
Questa la pubblico ora per evitare sospetti di pesci d’aprile.
Se date un’occhiata alla sezione news del sito 187.it troverete l’annuncio dell’avvio, da parte di Telecom Italia, di una sperimentazione mirata di tecniche di Network Management. Per sei mesi, il test sarà effettuato sugli utenti broad band di sole 44 centrali, con un’iniziativa tesa a “fornire all’operatore uno strumento di controllo e miglioramento della qualità delle connessioni ad internet, per prevenire situazioni di rallentamento della velocità a seguito di picchi di traffico”.
Sulla carta si tratta di voler capire che strada prendere per ottimizzare il traffico quando ci sono applicazioni che possono congestionarlo (vedi peer-to-peer). Ma dietro l’angolo potrebbero esserci soluzioni che minano i principi di neutralità della rete e dei servizi. L’annuncio è stato dato in maniera ufficiale, ma in sordina e con toni rassicuranti, all’insegna dell’understatement. In caso di aggiornamenti ne riparleremo 😉
DARIO BONACINA 