RSS

Archivi tag: consapevolezza

Non solo Signal

Elon Musk qualche giorno fa ha twittato “Use Signal, indicando questa app come alternativa a WhatsApp che, con le nuove condizioni di utilizzo, sta preoccupando molti utenti. Stabilito che per Unione Europea e Regno Unito le modalità di condivisione di informazioni con Facebook non cambieranno rispetto a quelle già in uso da qualche anno, è comunque legittimo guardarsi in giro, possibilmente nella direzione di servizi più rispettosi dei dati personali degli utenti. Ma in questo scenario esiste più di una soluzione.

Signal ha l’etichetta di app sicura perché non acquisisce la mole di dati che altre app raccolgono, oltre che per il suo sistema crittografico. L’organizzazione alle sue spalle, la Signal Foundation, è guidata da Matthew Rosenfeld, in arte Moxie Marlinspike, fra gli autori del Signal Protocol, un sistema di crittografia end-to-end che ha il vantaggio di essere open source e che è alla base dei sistemi di cifratura utilizzati da Skype, Messenger… e WhatsApp.

Un fattore che richiede attenzione sono i metadati: si tratta di informazioni relative agli interlocutori di una conversazione (con chi), ai dati temporali (a che ora e quanto tempo, quanto rimani al telefono, quanto sei online). Signal non li acquisisce, mentre WhatsApp sì. In verità li raccoglie anche Telegram che inoltre, al pari di Messenger, non applica la crittografia end-to-end in modalità predefinita (deve essere l’utente ad attivarla; Signal invece non permette neppure di disattivarla). Altro plus di Signal: la possibilità di avere messaggi che si autodistruggono.

Ma tra le app sicure disponibili ci sono anche Threema e Wire. L’utente che inizia ad utilizzare Threema rimarrà colpito dal fatto che questa app non utilizza il numero telefonico come identificatore, prassi invece seguita da WhatsApp e Signal, ad esempio. L’ID utente è una sequenza alfanumerica frutto dello scorrimento del dito della mano mentre sul display compare una matrice di lettere e numeri che cambiano continuamente. Contatti e gruppi rimangono memorizzati solo sul telefono (non nell’applicazione e quindi non vengono trasmessi al cloud). Un minus di Threema è che non è gratuita, è quindi da valutare l’investimento di Eur 3,99.

Anche Wire assicura la crittografia end-to-end (a chat e chiamate vocali e video, anche di gruppo), consente la condivisione del proprio schermo con un utente e un gruppo, e può essere utilizzata da otto dispositivi differenti (sincronizzati). Fra i suoi plus, chiamate di gruppo fino a 300 interlocutori e la possibilità – a pagamento – di invitare un non-utente (privo di account) in una room protetta, accessibile da browser. Minus: raccoglie i metadati.

 
1 Commento

Pubblicato da su 14 gennaio 2021 in news

 

Tag: , , , , , , , , , , , , , , , , , , , ,

Un altro ecommerce “anonimo” a cui fare attenzione…

Realizzato sulla medesima piattaforma – con grafica identica – del fantomatico PesoloShop (sparito pochi giorni dopo la sua comparsa, ne avevo parlato qui: Black Friday, attenti agli ecommerce anonimi), si è materializzato in questo periodo il sito web Alme-shop.com, che si presenta come “una società di e-commerce specializzata nella vendita di prodotti di Informatica, Elettronica, Elettrodomestici, Giochi e Telefonia consegnati su tutto il territorio Europeo. Fondata nel 2017, è oggi uno dei primi e-tailer europei del settore high-tech”.

Fondata nel 2017, va bene… ma con un sito nato il 5 gennaio 2021, come risulta dai dati pubblici di registrazione:

Questo tipo di negozi online, come in altri casi già descritti, deve suscitare immediatamente diffidenza perché già da un’analisi superficiale si può notare che manca completamente l’indicazione dei dati obbligatori – come la ragione sociale e la partita Iva – così come non sono disponibili numeri telefonici o indirizzi geografici. Le uniche possibilità di contatto sono una chat e un form online (l’indicazione “rispondiamo immediatamente”, dopo un’attesa di circa 24 ore, mi sembra un tantino sovrastimata):

La novità che è possibile riscontrare in questo sito è una delle modalità di pagamento proposte, ossia il pagamento con bonifico bancario, per il quale l’acquirente – una volta ultimato l’inserimento dell’ordine – riceve online tutte le istruzioni:

Avrei anche un’ulteriore elemento da osservare con attenzione: esattamente come nel sito pesoloshop.com, anche in questo c’è la pagina “Garanzie sui prodotti” che è assolutamente identica a quella dell’altro sito, parola per parola. Unica eccezione, ovviamente, la diversa indicazione del nome del negozio online, che viene peraltro indicato con un indirizzo web errato, uno scivolone non ammissibile per “uno dei primi e-tailer europei del settore high-tech”:

Ribadisco quanto già detto in precedenza: sconsiglio caldamente di effettuare acquisti online da aziende non identificabili, ignorate i siti di ecommerce che non permettono l’identificazione dell’attività commerciale. Un venditore in buona fede non ha alcun problema a fornire i propri dati anagrafici e fiscali, magari fornendo anche un numero telefonico a cui può essere contattato, oltre ovviamente a mail, moduli online e altre forme di comunicazione rintracciabili.

AGGIORNAMENTO THE DAY AFTER: il sito è già sparito. Inesistente.

 
Lascia un commento

Pubblicato da su 12 gennaio 2021 in news

 

Tag: , , , , , , , , , ,

Attacco al Congresso, colpa della Rete? Ma basta!

Siamo nel 2021 e c’è ancora molta – troppa – confusione sul rapporto tra eventi e Internet, perché ancora oggi non tutti sono in grado di rendersi conto che non esiste correlazione tra fatti e strumenti senza intervento umano e c’è sempre chi individua nella rete la causa, in un’analisi superficiale del rapporto causa-effetto che ha caratterizzato quanto avvenuto a Washington il 6 gennaio.

E’ fuori discussione che Internet – con i social network, che ne sono un sottoinsieme – sia uno strumento di comunicazione formidabile e che questo sia evidente in contesti di campagna elettorale. Per ogni strumento esistono stili e linguaggi per comunicare: siamo passati da giornali, radio e tv prima di arrivare alla rete e ai social, e lo stile comunicativo ad ogni passaggio si è semplificato e velocizzato. Ma si tratta pur sempre di strumenti di comunicazione che l’uomo ha adottato e utilizzato.

L’assalto e gli scontri tra manifestanti e forze dell’ordine da dove sono nati? Dai social, sono stati pensati e fomentati dalla rete? Riflettendoci anche solo per un istante, si tratta di una conclusione superficiale e fuori strada: è come assistere a una protesta partecipata da una moltitudine di persone guidate da un capopopolo che parla con un megafono, e prendersela col megafono e con chi lo ha prodotto, per averlo reso così squillante.

I social network dovrebbero fermare prima la trasmissione di questi messaggi, per non rendersene veicolo? Questo aspetto non è affatto banale e va analizzato con attenzione, perché al momento non esiste una risposta assolutamente centrata: Facebook o Twitter, per nominare le realtà che hanno preso provvedimenti in seguito alla pubblicazione di alcuni messaggi da parte di Donald Trump, sono aziende private e non sono testate giornalistiche (che pure si appoggiano a Internet e ai social per sfruttarli come cassa di risonanza), non hanno un editore o un direttore responsabile dei contenuti pubblicati.

Dal momento che ogni utente è responsabile in proprio di ciò che pubblica (principio riconosciuto dalla legge), sicuramente le piattaforme non possono assumere un ruolo censorio, tuttavia non deve essere loro preclusa la possibilità di intervenire per evitare la diffusione di notizie false e campagne di odio e istigazione alla violenza. Il rischio che si corre parte proprio dalla natura privata di queste piattaforme e dalla loro possibilità di vietarne l’utilizzo ad un utente, unilateralmente.

Attenzione alle parole di Mark Zuckerberg: “Riteniamo che i rischi di consentire al Presidente di continuare a utilizzare il nostro servizio durante questo periodo siano semplicemente troppo grandi. Pertanto, stiamo estendendo il blocco che abbiamo posto sui suoi account Facebook e Instagram a tempo indeterminato e per almeno le prossime due settimane fino al completamento della transizione pacifica del potere”. Ma anche Twitter è drastica: “Dopo aver rivisto i recenti tweet da @realDonaldTrump, abbiamo deciso di sospendere permanentemente l’account per il rischio di ulteriore incitamento alla violenza”.

La situazione è eccezionale perché il blocco riguarda il presidente degli Stati Uniti (un utente che gode di visibilità mondiale con enormi capacità di influenzare chi lo segue) per l’utilizzo che ha fatto finora dei social network , ma situazioni di questo tipo potrebbero verificarsi nuovamente anche su fronti diversi e, se non regolamentate, potrebbero essere affidate al libero arbitrio di chi gestisce lo strumento.

Sullo sfondo è evidente la crisi dell’autorevolezza delle istituzioni e il rispetto nei loro confronti degenera ulteriormente quando l’utente abusa delle possibilità comunicative che i social network gli offrono, dimenticando che quanto scrive non è una chiacchierata fra quattro amici al bar che volevano cambiare il mondo. Manca una preparazione culturale finalizzata ad un utilizzo virtuoso delle nuove tecnologie, di Internet e i social network, una preparazione che dovrebbe far parte dei programmi scolastici. L’ideale sarebbe che venisse impartita in un contesto educativo strutturato, per ridurre o abbattere il rischio che ci si trasformi prima in leoni da tastiera e poi in fomentatori di rivolte, approfittando di soggetti più vulnerabili o culturalmente deboli per spingerli ad azioni violente come quella di due giorni fa.

 
Lascia un commento

Pubblicato da su 8 gennaio 2021 in news

 

Tag: , , , , , , , , , , , , , ,

Ho. mobile, confermato il furto di dati personali

Ho. mobile, operatore del gruppo Vodafone, ha confermato di essere rimasto vittima di un attacco che ha portato la sottrazione dei dati personali “di parte degli utenti”, come è stato anticipato la scorsa settimana.

Il comunicato, da un lato, cerca di tranquillizzare la clientela:

L’azienda comunica che non sono stati in alcun modo sottratti dati relativi al traffico (sms, telefonate, attività web, etc.), né dati bancari o relativi a qualsiasi sistema di pagamento dei propri clienti.

Ma la conferma del tipo di dato sottratto all’azienda è nella risposta alla prima delle successive domande frequenti:

Quali dati sono stati sottratti?

Dalle ulteriori verifiche effettuate, che sono tuttora in corso, emerge che sono stati sottratti illegalmente alcuni dati di parte della base clienti con riferimento ai soli dati anagrafici (nome, cognome, numero di telefono, codice fiscale, email, data e luogo di nascita, nazionalità e indirizzo) e tecnici della SIM. NON sono stati in alcun modo sottratti dati relativi al traffico (telefonate, SMS, attività web, etc.) né dati bancari o relativi a qualsiasi sistema di pagamento dei propri clienti.

Come detto la scorsa settimana, è proprio con questi “soli dati anagrafici (…) e tecnici della SIM” che è possibile effettuare un’operazione di “sim swap”, che sostanzialmente permette di trasferire l’utenza su un’altra sim, quindi di clonarla… e questo non è meno preoccupante! Se ad esempio un utente avesse indicato quel numero telefonico come riferimento per ricevere OTP (One Time Password) per la conferma di pagamenti via bonifico o tramite carta di credito, un’eventuale clonazione della sua utenza consentirebbe ad altri di confermare transazioni a proprio beneficio. Prospettiva tutt’altro che rassicurante…

L’azienda comunque assicura che gli utenti i cui dati sono stati effettivamente copiati riceveranno una comunicazione personale con le indicazioni da seguire (simile a quella qui riportata). Ai clienti viene offerta inoltre la possibilità di chiedere gratuitamente la sostituzione della sim, che può essere effettuata solamente di persona presso un rivenditore autorizzato (la procedura prevede il riconoscimento fisico del cliente).

 
1 Commento

Pubblicato da su 4 gennaio 2021 in news

 

Tag: , , , , , , , , , , , ,

Sveglioni in bella mostra sui social

Scusate, ma davvero qualcuno pensava di non subire conseguenze per aver – poco furbamente – pubblicato sui social network foto e video di una festa di San Silvestro partecipata da 126 persone, in un periodo in cui in tutta Italia è in vigore la zona rossa con tutte, e dico tutte, le note restrizioni che tutti, e dico tutti, sono tenuti a rispettare?

Davvero c’è ancora qualcuno che pensa che pubblicare qualcosa sui social network sia come chiacchierare tra quattro amici al bar, senza arrivare a capire che ciò che viene condiviso può avere una platea ben più vasta?

, davvero!

E’ sempre indispensabile ricordare che ognuno, condividendo qualunque tipo di materiale – testo o immagini – assume a proprio nome la responsabilità di ciò che pubblica e, in caso i contenuti coinvolgano altre persone, non può permettersi di ignorare che possono verificarsi conseguenze collaterali, legate alla presenza di quelle persone nel materiale pubblicato: è banalmente possibile scoprire, ad esempio, dove si trovava una persona in un determinato momento, e non è detto che tale persona gradisca la diffusione di questa informazione, a maggior ragione se intendeva mantenere riservata la sua presenza.

Voglia di mostrarsi trasgressivi? Al di sopra di quanto previsto dalla legge? Vanità? Ne vale la pena?

Buon anno ragazzi, con l’augurio che il 2021 porti maggiore consapevolezza e senso di responsabilità.

 
Lascia un commento

Pubblicato da su 1 gennaio 2021 in news

 

Tag: , , , , , , , , , , , , ,

Ho. mobile, violati i dati personali degli utenti?

Se siete clienti di ho. Mobile (l’operatore di telefonia mobile low cost di Vodafone) questa notizia potrebbe interessarvi: ieri sera su Twitter è comparsa la notizia di un attacco hacker ai suoi danni dell’azienda, che avrebbe ottenuto un database con i dati anagrafici di 2,5 milioni di utenti, il cui contenuto sarebbe in vendita sul dark web. Cosa contiene questo archivio? Per ogni cliente ci sarebbe nome, cognome, codice fiscale, data di nascita, numero di telefono, email, indirizzo di residenza completo e codice ICCID della scheda telefonica.

Con questi dati un hacker può fare un’operazione che si chiama “sim swap” (trasferire l’utenza su un’altra sim, quindi sostanzialmente clonarla). Per andare al sodo, ecco i rischi possibili e le contromisure:

  • se un giorno perdete il segnale e non capite il perché: ve l’hanno clonata, rivolgetevi a un punto vendita/centro assistenza e chiedete il “cambio carta” (vi daranno una nuova sim legata al vostro numero telefonico);
  • se usate quel numero di telefono per l’autenticazione a due fattori su qualche servizio (ad esempio: conferma disposizioni da internet banking con OTP, ossia un codice temporaneo inviato da sms), comunicate alla banca un numero telefonico diverso.

Vedremo se l’azienda confermerà l’attacco e il data breach. Se ci saranno aggiornamenti, saranno integrati in questo post 😉

AGGIORNAMENTO: breach confermato, come da comunicazione pubblicata in homepage sul sito dell’azienda all’indirizzo https://www.ho-mobile.it/comunicazione/

Ne parlo in questo post: https://blog.dariobonacina.net/2021/01/04/ho-mobile-confermato-il-furto-di-dati-personali/

 
1 Commento

Pubblicato da su 29 dicembre 2020 in news

 

Tag: , , , , , , , , , , , ,

Facebook fa la morale a Apple

Facebook ha avviato una campagna contro Apple acquistando intere pagine di giornale – su The New York Times, Wall Street Journal e Washington Post – alzando la voce per criticare con forza le nuove impostazioni relative alla privacy di iOS 14, il sistema operativo di prossima introduzione su iPhone. Le modifiche permetteranno agli utenti di non autorizzare (e quindi disattivare) la tracciabilità dei propri dati attraverso app e siti web, impedendo ai social network e ad altre aziende di raccogliere dati personali (interessi, preferenze, geolocalizzazione) per la profilazione dei consumatori. Il gruppo di Mark Zuckerberg promuove questa battaglia sostenendo che questa novità danneggerà le piccole imprese che perderanno visibilità pubblicitaria… che però è la base del fatturato di Facebook.

Andiamo con ordine: con iOS 14, ogni utente iPhone avrà la possibilità di bloccare la tracciabilità di ciò che fa su Internet. Di conseguenza sarà possibile scegliere di non trasmettere a nessuno i dati che riguardano l’attività svolta su Internet, cosa che avviene ad esempio quando fate una ricerca su un argomento o un prodotto, e in breve tempo – da siti web e pubblicità mostrate da app gratuite – si vedono banner pubblicitari che riguardano proprio l’oggetto di quella ricerca. Fra i maggiori attori sulla scena della raccolta pubblicitaria c’è proprio Facebook, che ovviamente è gratuito per gli utenti.

Sicuramente molti penseranno di utilizzare poco i social network e quindi di non essere il bersaglio ideale della pubblicità che veicola. Ma considerando che Facebook ha quasi 3 miliardi di utenti (e che il gruppo include anche Instagram e WhatsApp, su cui sono già in corso progetti pubblicitari), è certo che in questo insieme globale esista un mucchio di persone pronte a cliccare su banner pubblicitari e annunci sponsorizzati, dando linfa al suo business. Se una parte di questi iscritti smettesse improvvisamente di farsi tracciare e di condividere i dati sulle proprie attività in Internet, i numeri potrebbero cambiare parecchio: le inserzioni pubblicitarie generiche, non basate sulla profilazione degli utenti, generano il 60% in meno dei ricavi che invece vengono prodotti dagli annunci mirati ai consumatori (ossia, ad esempio, quelli che pubblicizzano pneumatici dopo che su Internet abbiamo usato un motore di ricerca per trovare informazioni su pneumatici, e visitato siti web di produttori di pneumatici o letto articoli pubblicati su siti web sull’automobilismo).

Facebook nelle proprie argomentazioni punta sempre a dichiarare che sarà Apple a beneficiare di queste iniziative: “Apple si sta comportando in modo anticoncorrenziale sfruttando il proprio controllo sull’App Store a vantaggio dei propri profitti, ai danni di artigiani e piccole imprese”. Proprio ad accuse di comportamento contrario alla leale concorrenza deve però rispondere la stessa Facebook, come è emerso nei giorni scorsi. Apple intende comunque andare avanti per la propria strada e difende la propria scelta, basata su un principio assolutamente condivisibile: gli utenti devono essere in condizioni di sapere quando i loro dati vengono raccolti e condivisi tra altre app e siti Web, e di scegliere se consentirlo oppure no.

Capito perché privacy non va d’accordo con gratuito? Perché la presunta gratuità in realtà si paga, ma con una diversa moneta: quella dei dati personali, che alimentano i consigli per gli acquisti a cui gli utenti vengono indotti, pagando di tasca propria. In conclusione: anche la gratuità ha un prezzo.

 
Lascia un commento

Pubblicato da su 17 dicembre 2020 in news

 

Tag: , , , , , , , , , , , , , , , ,

Parola d’ordine? Password!

Non abbiamo imparato niente: nonostante negli ultimi tempi si siano verificati numerosi casi di attacchi hacker, ransomware e violazioni di database con credenziali e dati riservati di utenti, siamo ancora così pigri da usare sempre le password più facili, intuibili e indovinabili. Le più stupide, quindi, come si può vedere nella classifica compilata da NordPass, che qui possiamo vedere in tutto il suo splendore…

Tutte abbastanza intuibili, in funzione del contesto in cui si lavora (per quanti se lo fossero chiesto, senha significa “password” in portoghese). I motivi per cui la password stupida regna sovrana sono sempre gli stessi: il tempo e la memoria.

Il tempo, perché la gravosa attività di pensare a quale nuova password scegliere viene vista come una rottura di scatole, per cui sovente si pensa rapidamente a quale inventarsi, e magari lo si fa di corsa perché una password è scaduta e si ha fretta di accedere, ma anche per digitarla serve (poco) tempo.

La memoria, perché ovviamente poi la password bisogna ricordarsela, per cui più è semplice, più sarà semplice ricordarsela… infatti, come dico spesso: si fa prima con “0000” oppure con “Qp5%èMa9C#”?

Però c’è un’altra cosa che osservo sempre: onestamente, tra digitare una password di 4 zeri e una password complessa, pur composta da lettere, numeri e caratteri speciali, c’è una differenza di qualche secondo. E’ da considerare come un investimento di tempo, breve ma utile alla sicurezza delle informazioni che dobbiamo proteggere.

Altrimenti è troppo facile indovinare le credenziali di un utente. Poi tocca dar ragione a quei personaggi che prima scrivono boiate su Twitter e Facebook, poi si accorgono di averla fatta grossa e ritrattano, accampando una scusa evergreen come “Non l’ho scritto io, il mio profilo è stato hackerato”.

 
2 commenti

Pubblicato da su 3 dicembre 2020 in news

 

Tag: , , , , , , , ,

Si chiamano assistenti perché assistono

Un assistente vocale è sempre all’ascolto: non è predisposto per attivarsi al primo suono che capta, ma in corrispondenza di una determinata frase. Quindi deve essere in grado di sceglierla, di distinguerla, di identificarla in mezzo al rumore, ad altri suoni e ad altre frasi. Non è difficile da capire: quando chiamiamo qualcuno per nome, da quel momento ci risponde e ci concede attenzione, ma le sue orecchie e il suo cervello erano già “accesi” da prima (…in condizioni normali, diciamo). Quindi, la prima cosa da capire e tenere presente quando si ha con sé (o in casa) un assistente vocale o virtuale, è questa: è in ascolto.

Ciò premesso, veniamo alle news: un servizio del Guardian rivela che per Siri – l’assistente vocale di Apple – sono impiegate persone incaricate di ascoltare l’audio raccolto per analizzarlo e catalogarne parole e frasi, allo scopo di migliorare il servizio fornito e le funzionalità della dettatura vocale. Apple dichiara che l’analisi viene effettuata su meno dell’1% delle richieste ricevute da Siri, di non associare queste registrazioni all’ID Apple degli utenti e che tutti i “revisori” sono tenuti al rispetto di rigidi vincoli di riservatezza”.

Perché anche Siri è sempre in ascolto. Ascolta i comandi che l’utente gli trasmette, ma anche le conversazioni. Può attivarsi “da solo”, perché capta una parola che assomiglia a “Hey Siri”. Se uno ha al polso un Apple Watch e alza il braccio mentre parla, anche in quel caso Siri può “svegliarsi”. L’articolo del Guardian riporta la preoccupazione di un dipendente per la gestione delle informazioni raccolte, perché possono consistere in dati personali e sensibili: “Ci sono stati innumerevoli casi di registrazioni contenenti colloqui privati tra medici e pazienti, trattative d’affari, discussioni su attività apparentemente criminali, incontri sessuali e così via. Queste registrazioni sono legate ai dati dell’utente e ne mostrano posizione, dettagli dei suoi contatti e dati relativi all’app”.

La privacy policy di Apple indica che Siri e la funzione Dettatura “non associano mai queste informazioni al tuo ID Apple, ma solo al tuo dispositivo tramite un identificatore casuale”. La fonte del Guardian però rimane perplessa per lo scarso controllo sulle persone che lavorano al servizio, per la mole di dati che possono analizzare in libertà e per la possibilità concreta di identificare comunque qualcuno in base ad alcuni dati forniti in modo accidentale: indirizzi, nomi, numeri telefonici sono i più semplici e, banalmente, possono facilmente essere riconducibili ad una persona.

Niente di diverso da ciò che accade con Alexa, assistente vocale di Amazon: come sappiamo da un rapporto pubblicato da Bloomberg, l’azienda ha un team di dipendenti e collaboratori che ascoltano e trascrivono ciò che viene captato. Analogo discorso vale anche per il Google Assistant. E, come ho avuto modo di ricordare su queste pagine un paio di mesi fa, le informazioni personali a disposizione di Google a questo proposito sono decisamente molte.

E’ sempre necessario che l’utente, per quanto riguarda i propri dati personali, sia correttamente e completamente informato sulla loro destinazione (di chi sono le mani e le orecchie in cui finiscono?) e sul loro utilizzo, sia esso di carattere tecnico, commerciale, politico o di qualsivoglia altra natura. E’ stato appurato che esistono aziende che hanno uno o più team di persone dedicate ad ascoltare e analizzare dati personali raccolti dal loro assistente vocale.Il fatto che questo si scopra solo attraverso un’inchiesta giornalistica – e non dalle condizioni del servizio – non è esattamente tranquillizzante, per chi ha a cuore la riservatezza delle proprie informazioni.

 
1 Commento

Pubblicato da su 31 luglio 2019 in news, privacy

 

Tag: , , , , , , , , , , ,

Due o tre cose che Google sa dei suoi utenti

Quando avete un account Google e pensate di non avere nulla da nascondere, probabilmente non vi preoccupate di ciò che un’azienda di quel calibro può conoscere sul vostro conto. Tuttavia esiste più di un motivo per capire che, quantomeno, dovreste comunque esserne pienamente consapevoli.

Piccolo (e non esaustivo) elenco di ciò che viene registrato solo perché avete un account Google:

OK facciamo un esempio sul secondo punto, dove è possibile trovare qualcosa del genere:

Anche se avete dettato qualcosa a WhatsApp – app molto diffusa e amata – e sebbene quella app possa apparire estranea al mondo Google (perché parte della galassia Facebook, insieme a Instagram), in realtà tutto viene memorizzato. Con “tutto” non intendo solo la trascrizione, e quel “Riproduci” che vedete ne è la prova: vi permette di sentire la registrazione di ciò che avete detto e se cliccate su dettagli scoprite perché…

Quindi, se queste informazioni non vi scompongono, va bene così. Se foste invece infastiditi da questa costante registrazione… andate in Gestione attività (https://myaccount.google.com/activitycontrols) e disattivate tutti gli “interruttori”!

Diciamo che, in un mondo in cui non è raro apprendere notizie su violazioni di account, furto di password, vulnerabilità che permettono l’accesso non autorizzato ai dati personali di un account e altre criticità analoghe, forse tutta questa attività di acquisizione dati andrebbe tenuta presente, ecco.

 
1 Commento

Pubblicato da su 24 maggio 2019 in news

 

Tag: , , , , , , , , ,

Google Nest Guard, il microfono c’era, ma non si vedeva (e nessuno sapeva)

Nest Guard, sistema di sicurezza domestico, a inizio febbraio è stato aggiornato e Google ha pensato bene di rendere noto che l’update lo ha reso compatibile con il suo assistente vocale. “Strano – hanno pensato gli utenti – le specifiche tecniche non indicano la presenza di un microfono, come può funzionare?” Il problema è proprio nella sbadataggine di Google: non si era dimenticata di integrarlo nel sistema, ma di avvisare i propri ignari utenti che il microfono era già presente.

“Si è trattato di un errore da parte nostra” dicono da Google, riferendosi ovviamente al fatto di non averlo indicato in alcun documento, ma il microfono – sempre a detta loro – “non è mai stato acceso e viene attivato solo quando gli utenti abilitano specificamente l’opzione”. La sua presenza era stata prevista con la prospettiva di aggiungere nuove funzionalità di sicurezza, ad esempio la possibilità di rilevare rumori sospetti, come quello della rottura di un vetro.

La (dis)attenzione di Google per la privacy degli utenti non è una novità, ma l’attenzione degli utenti verso queste problematiche deve essere sempre alta: tutti i dispositivi legati al mondo di smart home e smart building sono connessi e quindi potenzialmente sempre più vulnerabili alle possibilità di sfruttamento remoto da parte di terzi. In assenza di adeguata protezione, queste soluzioni possono consentire a qualcuno non solo di carpire dati personali (come nel caso di un microfono nascosto), ma potrebbero essere utilizzati anche per prendere letteralmente il controllo di un’appartamento o di un edificio e permettere azioni ai danni del proprietario, a partire dalla disattivazione dei sistema di allarme e sorveglianza fino ad arrivare all’attivazione di elettrodomestici e impianti, o all’apertura di porte e finestre.

 

 
Commenti disabilitati su Google Nest Guard, il microfono c’era, ma non si vedeva (e nessuno sapeva)

Pubblicato da su 21 febbraio 2019 in news

 

Tag: , , , , , , , ,

And the winner is… 123456! (le peggiori password del 2018)

Anche quest’anno 123456 è in vetta alla classifica delle peggiori password più utilizzate al mondo! Lo riferisce SplashData, che ha elaborato un database di credenziali (5 milioni di utenze) formato da dati resi pubblici in seguito ad attacchi di varia natura, inclusi phishing e ransomware.

La classifica viene stilata da otto anni e 123456 vince per il quinto anno consecutivo. E’ evidente come, nonostante l’aumento degli attacchi e la crescita delle vulnerabilità rilevate, la consapevolezza degli utenti rimanga sempre allo stesso livello: scarso.

Ferma restando la certezza che nel mondo digitale nulla è sicuro al 100%, è ormai risaputo che una password solida deve rispondere ad alcuni requisiti minimi di complessità che la rendano difficilmente individuabile ed è necessario considerare che, per scoprirla, oltre ad espedienti ingannevoli per carpirle direttamente agli utenti, è possibile ricorrere a programmi che la trovano tentando ogni possibile combinazione di caratteri. Questi sistemi riescono in pochissimo tempo a scovare una password “semplice”: una frazione di secondo è sufficiente per rivelare una password che deriva da un termine presente nel dizionario, altrimenti – in caso di stringhe di caratteri prive di senso compiuto – pochi secondi bastano per individuare una password di sei caratteri, una decina di minuti per una da sette caratteri.

Molti utenti si demotivano a creare password sicure per due ragioni: il tempo e la memoria. Perché il tempo? Perché scegliere una nuova password è una seccatura, quindi spesso viene ideata di fretta perché accade ad esempio di doverne inventare una nuova alla scadenza di una password vecchia, e allora si ricorre ad una soluzione rapida per accedere velocemente a computer o dati. Ma si ha fretta anche quando la si deve digitare, perché anche scrivere una password lunga viene ritenuta una seccatura. A monte di tutto questo c’è la necessità di doversela ricordare – per questo parlavo di memoria – e una password semplice e breve è ovviamente più facile da ricordare di una complessa: si fa prima con “0000” oppure con “Qp5%èMa9C#”?

Però, onestamente, tra digitare una password di 4 zeri e una password complessa, pur composta da lettere, numeri e caratteri speciali, c’è una differenza di qualche secondo. E’ da considerare come un investimento di tempo, breve ma utile alla sicurezza delle informazioni che protegge. Per capire quanto è sicura una password, propongo una piccola verifica su uno di questi due siti web:

Entrambi assicurano di non tenere traccia di quanto digitato, ma in ogni caso non è indispensabile scrivere esattamente la password che intendete utilizzare: è possibile provarne una simile, con lo stesso numero di caratteri e composta con lo stesso criterio.

 
Commenti disabilitati su And the winner is… 123456! (le peggiori password del 2018)

Pubblicato da su 17 dicembre 2018 in news, security

 

Tag: , , , ,

Il prezzo della gratuità al tempo dei social

Prima dell’avvento di Facebook, Instagram, Linkedin, Twitter e così via, il concetto di social network indicava essenzialmente, dal punto di vista sociologico, un gruppo di persone collegate tra loro da relazioni sociali, legami, interazioni. Le piattaforme di social network che conosciamo noi vorrebbero esserne la declinazione digitale, con tutti i pro e contro che ciò comporta, e che sono contaminati da un’illusione di fondo, più volte trattata anche dal sottoscritto: la presunta gratuità.

Facciamo un primo passo per definirla meglio e, anziché chiamarla gratuità, cominciamo ad inquadrarla come assenza di costi apparenti: effettivamente, i social network come altri servizi disponibili via Internet non richiedono costi di iscrizione o canoni di servizio. L’utente non riceve alcuna richiesta un esborso economico e questo aspetto, in qualche modo, lo induce ad alleggerire l’attenzione alle condizioni di utilizzo dei servizi che sottoscrive: si tratta di vere e proprie condizioni contrattuali, con clausole e particolari che impegnano le parti, ma dal momento che non esce nulla dal portafoglio o dal conto in banca, vengono spesso accettate nella superficiale consapevolezza di non subire danni patrimoniali (“male che vada, non perdo nulla perché non mi costa nulla”).

Nel caso dei social network, dal momento in cui si completa l’iscrizione si accetta di usufruire di quel servizio e si entra a far parte di un sistema, le cui dinamiche si basano sulla condivisione di informazioni (pensieri, opinioni, foto, video, audio) e di riscontri (i commenti, le risposte, i “mi piace” con le altre reazioni, le emoji, gli hashtag). Se la consapevolezza di ciò che si fa in quel sistema rimane superficiale, si entra a far parte di un gioco di cui non si arriva a comprendere le vere regole, molte delle quali sono sfruttare ai fini della profilazione pubblicitaria, tema che sfugge a chi si iscrive ad un social network per occuparsi di cazzeggio digitale, ma che è vitale per chi gestisce e mantiene la piattaforma.

Ciò che infatti agli utenti appare free – cioè senza costi apparenti – non è certo gratis per chi sta dall’altra parte di monitor e display: semplificando molto, tutto ciò che va dallo sviluppo software a tutta la parte hardware necessaria a mantenere in vita il tutto (computer, server, datacenter, energia elettrica, connettività), passando per la forza lavoro che muove il sistema, ha dei costi notevoli. Se questi costi non vengono pagati dai miliardi di utenti iscritti, come si sostengono i social network? Una piccola parte delle loro entrate è data da app e giochi, sviluppati da aziende che stipulano accordi commerciali con la piattaforma che le ospita. Ma la fetta più consistente dei ricavi arriva con l’advertising, ossia con la pubblicità, che sui social network colpisce in modo particolarmente efficace e mirato, proprio perché ogni utente – attraverso ogni condivisione e ogni riscontro – consegna un profilo di sé con dati anagrafici, gusti, posizioni, lavoro, hobby e legami con altre persone, che a loro volta hanno trasmesso il proprio profilo allo stesso modo.

Tutte queste informazioni vengono raccolte, memorizzate ed elaborate per rendere ancora più raffinato e ricco di particolari il profilo di ogni utente, allo scopo di proporgli inserzioni pubblicitarie aderenti alle sue preferenze ed esigenze. Per principio questo criterio potrebbe andare bene all’utente, che potrebbe ricevere solo informazioni pubblicitarie “su misura”. Il problema è che poco o nulla si sa riguardo all’effettivo utilizzo dei dati personali legati al suo profilo, a chi effettivamente li gestisce, e se ciò avviene solo per scopi legati all’advertising. Il caso Cambridge Analytica – la punta di un iceberg – ci ha dimostrato l’utilizzo politico e non dichiarato di queste informazioni. Ma al di là degli aspetti non trasparenti, esistono altre fattispecie che non consideriamo.

Fra le più eclatanti troviamo l’invadenza e la pervasività della pubblicità mirata, che arriva a bombardare l’utente fino a livelli inaspettati e, talvolta, devastanti. Non sto esagerando e un episodio che ne offre dimostrazione concreta è di questi giorni. La protagonista è Gillian Brockell, americana. Ha vissuto la propria gravidanza con legittimo entusiasmo, condiviso sui social network a colpi di post, foto e hashtag legati alla propria condizione, facendo ricerche sul web legate allo stesso argomento, e che hanno veicolato sul suo profilo – nonché sugli spazi pubblicitari dei siti web visitati – una lunga serie di pubblicità di prodotti per la gravidanza e per l’infanzia. Purtroppo perde il suo bimbo in grembo, ma nonostante questo trauma non si ferma il flusso di pubblicità di abbigliamento prémaman, cibi per neonati, lettini, passeggini, giochi, a cui lei stessa aveva aperto quelle porte che ora non riesce più a chiudere. Per questo ha scritto una lettera aperta alle “tech companies”:

“So che sapevate che fossi incinta. È colpa mia. Semplicemente non ho potuto resistere a quegli hashtag su Instagram #30weekspregnant, #babybump. Stupida! E ho persino cliccato una volta o due su pubblicità di abbigliamento da maternità che Facebook mi mostrava”

“Scommetto che Amazon vi ha anche detto la data prevista per la nascita – 24 gennaio – quando ho creato la lista nascita”.

Consapevole di aver seminato dettagli sulla propria gravidanza, metabolizzati dalle aziende che vivono di questi dati, Gillian Brockell sa comunque di aver proseguito a servirsi di motori di ricerca e social network per cercare informazioni sul fatto di non sentire più i movimenti del bambino, e di aver interrotto all’improvviso la sua compulsiva presenza su Internet, ripresa solo per scrivere nuovi post e nuovi hashtag, segnati però dal trauma dell’interruzione della gravidanza.

“Se siete abbastanza intelligenti da capire che sono incinta, siete sicuramente abbastanza intelligenti anche per capire che ho perso il mio bambino”.

Crediamo che il mondo abbia fatto progressi con l’intelligenza artificiale, ma l’asetticità dei sistemi che imbrigliano la versione digitale delle nostre vite dimostra che non siamo ancora arrivati alla sensibilità artificiale. Probabilmente – se raggiungibile – il percorso è ancora lungo. Nel frattempo possiamo imparare ad avere una maggiore consapevolezza su come si comportano le aziende che vivono sfruttando i nostri dati, e dedicare più tempo alla nostra vita reale e alle persone che ci circondano.

 
Commenti disabilitati su Il prezzo della gratuità al tempo dei social

Pubblicato da su 14 dicembre 2018 in news

 

Tag: , , , ,

Spiati dalle smart tv? Fosse solo quello il problema…

Utenti spiati dalle smart tv, colpiti alcuni modelli di Sony Bravia

Così titolava Repubblica tre giorni fa, introducendo un articolo di Alessandro Longo relativo a tre vulnerabilità ai danni di alcuni modelli di smart tv della gamma Sony Bravia. Gli effetti di queste falle segnalate da Fortinet – che Sony dichiara di aver sanato con il rilascio degli opportuni aggiornamenti – vanno dalla possibilità di controllo totale dell’apparecchio (e quindi ad esempio della webcam, da cui si potrebbe essere spiati e registrati) al malfunzionamento di alcune applicazioni disponibili sul dispositivo.

Come detto sopra, rilevato il problema e individuata la soluzione, il produttore rilascia gli aggiornamenti di sicurezza, ma il dispositivo resta vulnerabile se questi update non vengono scaricati e installati: è quindi vitale verificare le impostazioni del sistema affinché vengano applicati automaticamente appena disponibili.

La gamma Bravia è solo l’ultima (scoperta) tra le possibili vittime di questo tipo di bug: per rimanere in tema di prodotti molto diffusi, in febbraio Consumer Reports aveva illustrato altre criticità per televisori Samsung, TCL e device Roku. Alla base del problema c’è il fatto che i dispositivi connessi alla rete sono sostanzialmente “esposti” e ciò implica la necessità che tale collegamento avvenga in un contesto controllato e consapevole. Dall’altra parte della connessione, infatti, è molto semplice e agevole monitorare gli utenti dei dispositivi connessi, e non importa che si tratti di TV, computer, sistemi di automazione domestica o industriale, smartphone.

Anni fa ho avuto occasione di evidenziare un esempio di quanto Google fosse in grado di controllare gli spostamenti degli utenti attraverso la Location History (cronologia delle posizioni). Quanti, oggi, ne sono consapevoli? Davvero dal Datagate non abbiamo imparato nulla, con tutte le tracce che lasciamo in rete?

 
Commenti disabilitati su Spiati dalle smart tv? Fosse solo quello il problema…

Pubblicato da su 15 ottobre 2018 in news

 

Tag: , , , , , , , , ,

Facebook, 50 milioni di account compromessi da una falla. Sì, un’altra

Analitica

Il 2018 non è finito, e nemmeno i problemi di Facebook con i dati dei suoi utenti: secondo il New York Times, 90 milioni di loro in queste ore sono stati indotti ad autenticarsi per accedere di nuovo al social network, dopo l’attivazione di una procedura di sicurezza da parte dello staff guidato da Mark Zuckerberg, in seguito alla scoperta di una falla che ha compromesso la sicurezza dei dati personali relativi a 50 milioni di account.

Se anche a voi è capitato di dover accedere nuovamente tramite app o da browser, ecco spiegato il motivo. Nel frattempo è stato disattivato il servizio “Visualizza come…” (quello che permette all’utente di sapere come la sua timeline viene visualizzata da un determinato amico).

Le indagini sono tutt’ora in corso ed è probabile che a breve si possa capire qualcosa di più sul problema dichiarato. Cifre e versioni potrebbero cambiare. Ma sembra ormai assodato che, nonostante il caso Cambridge Analitica, Facebook continui a trattare i dati degli utenti con un’ingiustificabile disinvoltura e con un’attenzione inadeguata dal punto di vista della sicurezza delle informazioni.

Nel frattempo, la raccomandazione rimane sempre la stessa: non condividete su Facebook informazioni personali (sia nei dati del profilo che in testi, foto e video) che potrebbero essere sfruttate da malintenzionati. Più in generale, non cedete dati personali come contropartita di qualche servizio o beneficio apparentemente gratuito.

Mantenete sempre la consapevolezza del fatto che nel mondo digitale la sicurezza al 100% non esiste. La riservatezza di ciò che vi sta davvero a cuore non ha prezzo.

 
2 commenti

Pubblicato da su 28 settembre 2018 in news

 

Tag: , , , , ,

 
%d blogger hanno fatto clic su Mi Piace per questo: