RSS

Archivi tag: sicurezza

Clubhouse, abbiamo un problema. Di privacy

Clubhouse ha qualche problema di privacy. Nel nuovo audio social network, su cui già esistevano perplessità in materia di riservatezza, a un utente è stato infatti possibile condividere gli audio di una “stanza” e ritrasmetterli esternamente in streaming tramite un sito web. Il leak è stato confermato dalla Alpha Exploration (l’azienda che ha realizzato la piattaforma), ed è stato reso noto solo pochi giorni dopo la scoperta, da parte dello Stanford Internet Observatory (SIO), di una vera e propria falla nella sicurezza del sistema, foriera di intrusioni non autorizzate e trasmissioni di dati.

Secondo quanto rilevato, la piattaforma si basa su tecnologie sviluppate della società cinese Agora, che secondo i ricercatori del SIO potrebbe accedere agli audio degli utenti e fornirne i contenuti al governo cinese. A quanto pare, però, esiste una vulnerabilità che è stata sfruttata, appunto, da un utente che ha scoperto come condividere le conversazioni, rendendole accessibili anche a utenti non iscritti, semplicemente sfruttando un sito esterno, chiamato OpenClubhouse.

Secondo quanto riferito da Bloomberg, Clubhouse ci ha messo una pezza bannando l’utente e dichiarando di aver apportato opportune contromisure, azione che presso il SIO non viene ritenuta credibile. Un problema non da poco e indubbiamente da risolvere in modo concreto, considerando la crescita esponenziale registrata in queste ultime settimane, in cui il social ha raggiunto quota 8 milioni di download, grazie anche all’ingresso di numerosi personaggi come Elon Musk, Kanye West e Mark Zuckerberg, che hanno indubbiamente contribuito ad accrescerne la popolarità.

Ma senza un deciso cambio di rotta sul fronte della sicurezza, tanta popolarità dopo l’entusiasmo per l’app del momento potrebbe tradursi in un problema di cattiva reputazione, per risolvere il quale una pezza non può essere sufficiente.

 
Lascia un commento

Pubblicato da su 26 febbraio 2021 in news

 

Tag: , , , , , , , , , , , ,

Twitter, cartellino rosso per Trump. “Per sempre”?

Dopo aver esclamato molte volte “You’re fired!” nello show The Apprentice, tocca a Donald Trump essere… “sbattuto fuori”. Definitivamente, da Twitter, come ha confermato ieri Ned Segal (CFO della piattaforma social) in un’intervista concessa a CNBC. :

“Per come funzionano le nostre politiche, quando vieni rimosso dalla piattaforma… sei rimosso dalla piattaforma, sia che tu sia un commentatore, che tu sia un CFO o che tu sia un ex o attuale funzionario pubblico”

La sospensione dell’account – annunciata e attuata l’8 gennaio, in seguito all’assalto a Capitol HIll – viene quindi ufficialmente confermata come irreversibile. L’account, però, non è stato esattamente eliminato: è online e rimane nella condizione di sospeso, un monito che viene mantenuto per trasmettere a tutti il messaggio che chi non rispetta le condizioni che ogni utente ha sottoscritto, è fuori dalla piattaforma. E in questo caso per sempre.

Una distorsione c’è: ciò che un utente condivide pubblicamente su Twitter non è a circuito chiuso, non è riservato ai soli iscritti (pochi o tanti che siano), è pubblico e potenzialmente visibile a tutto il mondo senza la necessità di essere iscritti alla piattaforma. Si tratta comunque di un’azienda privata, che ha sicuramente tutto il diritto di concedere agli utenti il proprio spazio alla condizione che vengano rispettale le regole di utilizzo richiamate al momento dell’iscrizione. E proprio nelle righe iniziali delle Regole di Twitter si legge:

Sicurezza

Violenza: non puoi minacciare di ricorrere alla violenza contro un individuo o un gruppo di persone. Anche l’esaltazione della violenza è un comportamento proibito. Per saperne di più, leggi le nostre norme sulle minacce di violenza e sulla esaltazione della violenza.

Nelle norme sull’esaltazione della violenza si legge:

Che cosa succede in caso di violazione di queste norme?

Le conseguenze della violazione delle nostre norme sull’esaltazione della violenza variano in base alla gravità della violazione e ai precedenti dell’account sulla nostra piattaforma.

Alla prima violazione ti chiederemo di rimuovere il contenuto e bloccheremo temporaneamente l’accesso all’account per impedirti di twittare di nuovo finché non avrai provveduto alla rimozione. Se continui a violare queste norme dopo aver ricevuto un avviso, il tuo account verrà sospeso in modo permanente. Se ritieni che il tuo account sia stato sospeso per errore, puoi inviare una contestazione.

Al netto dell’opportunità di inviare una contestazione, dal punto di vista di Twitter l’applicazione del regolamento è stato puntuale: Donald Trump è stato ritenuto l’istigatore dell’assalto al Congresso. Aveva già ricevuto avvisi in precedenza? Sì, anche se riferiti alla diffusione di informazioni riscontrate come non veritiere.

I presupposti indicati da Twitter consegnano al mondo un verdetto ritenuto accettabile dall’opinione pubblica. Nonostante però l’enormità della responsabilità e del “capo di imputazione”, importante pensando che Trump con quell’account aveva 88 milioni di persone a seguirlo (un numero considerevole, all’interno del quale non è improbabile trovare sciamani o facinorosi), si tratta di un verdetto arbitrario in quanto deciso e attuato unilateralmente dal titolare della piattaforma, che crea in tal modo un precedente che potrebbe avere strascichi pericolosi e innescare altre “sospensioni”, su Twitter come su altre piattaforme social.

Sanzioni soggettive, che per non esserlo richiederebbero anch’esse una regolamentazione, e – proprio per questo motivo – simili provvedimenti dovrebbero essere competenza di un organismo indipendente o un’Authority, e non lasciati alla discrezione di aziende private che in questa visione rivestono una funzione di pubblico ufficiale. Il succo del discorso è: non discutiamo del fatto che Twitter abbia fatto bene o male a sospendere a vita l’account di Trump. Discutiamo invece del fatto che questa responsabilità debba essere attribuita a un organismo indipendente e auspicabilmente super partes.

Altrimenti andrebbe rivisto un principio a monte, come ha osservato del New York Times, i politici, con particolare riguardo a capi di stato e di governo, venga proibito l’utilizzo dei social network a titolo personale?

Una persona a capo di uno Stato dovrebbe avere cose migliori da fare. Se il presidente vuole parlare, dovrebbe salire su un podio, pubblicare un comunicato stampa, parlare con un giornalista, comprare un annuncio o convocare i media allo Studio Ovale. La possibilità di scrivere i propri pensieri sulla guerra mentre si guarda la TV forse andrebbe lasciata a persone che non possono mettere fine al mondo premendo un pulsante.

Joe Biden sta sicuramente facendo uso di Twitter anche a livello istituzionale, ma la prassi che sta seguendo rende il social network non indispensabile: contrariamente al suo predecessore, si avvale di una portavoce che ogni giorno in conferenza stampa rende noti i suoi impegni. Certamente può apparire distante da chi fa uso (e abuso) dei social network, ma è senz’altro meno attaccabile sotto molti fronti.

 
Lascia un commento

Pubblicato da su 11 febbraio 2021 in news

 

Tag: , , , , , , , , , , ,

Safer Internet Day, per una rete più sicura

Si celebra oggi la diciottesima edizione del Safer Internet Day per sensibilizzare tutti ad impegnarsi per “rendere Internet un luogo migliore e più sicuro per tutti, soprattutto per i bambini e i giovani”. Moltissime le iniziative promosse a tutti i livelli, da quelle locali a quelle nazionali. L’obiettivo di focalizzarsi soprattutto sugli utenti più giovani è motivato dai numeri, resi più indicativi dall’emergenza sanitaria che ha modificato usi e costumi di tutti noi:

1 su 5 si definisce praticamente sempre connesso, 6 su 10 sono online dalle 5 alle 10 ore al giorno. Numeri raddoppiati rispetto allo scorso anno, complici anche i periodi passati a casa, lontano da scuola o da altre attività di socializzazione, durante la pandemia. Per il 59% gli episodi di cyberbullismo sono aumentanti. (fonte: miur.it – generazioniconnesse.it)

Come per la giornata nazionale contro bullismo e cyberbullismo (domenica 7 febbraio), è bene ricordare che i principi e i valori che ci “ricordano” devono valere sempre e non solo in occasione delle giornate dedicate a questi argomenti. Altro aspetto da non ignorare è che si tratta di tematiche particolarmente interessanti per i giovani e per questo l’attenzione è particolarmente rivolta all’ambiente scolastico e il Ministero dell’Istruzione si fa promotore di molte iniziative in questo senso.

Bullismo e cyberbullismo, insieme alla necessità di avere in Internet un luogo migliore e più sicuro, non riguardano tuttavia solo la scuola e questo va tenuto presente soprattutto per quei giovani che in rete si rifugiano per trovare occasioni di socializzazione o di sfogo di cui difficilmente riescono a fare esperienza di persona, senza avvedersi di situazioni potenzialmente rischiose o pericolose.

E anche in questo caso, a costo di essere ripetitivo, torno su quanto scritto in alcuni post precedenti in merito all’uso di Internet da parte dei minori: il compito di chi ha la responsabilità genitoriale è importante, non lasciamoli soli in un cammino “da autodidatta”, ma aiutiamoli e affianchiamoli, anche nel loro percorso di conoscenza delle tecnologie di comunicazione.

La necessità di non lasciarli soli, oltre ad una questione educativa, può anche nascere da aspetti puramente materiali come ha scoperto, letteralmente a proprie spese, la madre di un bambino tedesco di sette anni che – “giocando” con lo smartphone – ha effettuato acquisti online per oltre 2.700 euro.

Chissà che questo genere di rischio non possa generare qualche scrupolo in più, d’altronde alcune persone capiscono più rapidamente, se toccate nel portafogli. Perché le esigenze di una rete più sicura non sono legate solo a cyberbullismo, social network e isolamento sociale dei ragazzi, ma anche a tematiche relative a privacy, identità digitale, dipendenze digitali, truffe online.

 
Lascia un commento

Pubblicato da su 9 febbraio 2021 in news

 

Tag: , , , , , , , , , , ,

TikTok: controlli (formali) maggiori sui minori

TikTok informa sull’accordo con il Garante della Privacy: dal 9 febbraio gli utenti italiani saranno chiamati ad aggiornare le informazioni personali del proprio profilo, confermando la propria data di nascita. Saranno sospesi gli account che dichiareranno un’età inferiore ai 13 anni:

TikTok è un’app riservata a persone di età pari o superiore a 13 anni e abbiamo già una serie di misure in atto per rilevare e rimuovere utenti di età inferiore ai 13 anni. Dal 9 febbraio, attraverso un aggiornamento della nostra app, faremo passare nuovamente ogni utente in Italia attraverso il nostro processo di verifica dell’età. Solo gli utenti di età pari o superiore a 13 anni potranno continuare a utilizzare l’app dopo aver eseguito questo processo. Gli utenti che hanno più di 13 anni ma che, per errore, potrebbero immettere accidentalmente un’età sbagliata, potranno presentare ricorso mentre il loro account rimane sospeso.

L’aggiornamento – non apportato ai requisiti di iscrizione, già definiti in tal senso, ma alla app – arriva in seguito ad una tragedia collegata all’utilizzo di TikTok che ha riportato d’attualità il tema dell’utilizzo di Internet e social network da parte dei minori, e della necessità di controlli adeguati sugli utenti che vi si iscrivono.

Basterà? Le dinamiche di controllo descritte da TikTok non sono realmente nulla di eccezionale: certo, prima non esistevano, ma non essendo nemmeno impossibili da aggirare, di fatto sono un “bastoncino tra le ruote” che rende ancor più intenzionale l’eventuale mancanza di rispetto delle regole sull’età minima degli iscritti. E’ come usare un lucchettino per chiudere un armadietto: forzarlo può essere un gioco da ragazzi, ma richiede volontarietà, perché rende impossibile un accesso inconsapevole e questo offre al social network la possibilità di dimostrare di aver adottato una soluzione per prevenirne l’utilizzo indebito.

A questa soluzione si potrebbe aggiungere quanto accennato in una nota dal Garante:

Per identificare con ragionevole certezza gli utenti sotto i 13 anni successivamente a questa prima verifica, la società si è impegnata a valutare ulteriormente l’uso di intelligenza artificiale.

La risposta a quel “basterà?” rimane “no”, poiché anche in questo contesto si parla di tecniche aggirabili e il motivo è molto semplice: non è raro che i minori utilizzino account aperti da figure più adulte in famiglia, come genitori o sorelle/fratelli maggiori. Per questo motivo, la campagna di sensibilizzazione che TikTok ha promesso di aprire a beneficio di genitori e figli è necessaria soprattutto per genitori e tutori: è compito loro – nostro – applicare i principi di responsabilità e consapevolezza su questi aspetti, delicati e rilevanti allo stesso tempo. Come dicevo in un precedente post su questo argomento: gli unici a fare davvero la differenza siamo noi.

 
Lascia un commento

Pubblicato da su 4 febbraio 2021 in news

 

Tag: , , , , , , ,

WhatsApp, utenti in fuga? Qualche “numero”

Alcuni effetti del discusso aggiornamento dei termini di servizio di WhatsApp sono visibili nei numeri registrati dalla concorrenza a cui si sono rivolti gli utenti più preoccupati per la propria privacy: l’impennata riguarda soprattutto Signal, che nelle prime settimane ha acquisito 7,5 milioni di nuovi utenti, e Telegram che ne ha raccolti e accolti 25 milioni, secondo i numeri resi noti dal Guardian e basati sui dati degli analisti di App Annie. Cifre interessanti, ma ancora piuttosto basse di fronte al numero di utenti che WhatsApp ha nel mondo, circa 2 miliardi.

E’ necessaria inoltre una considerazione: questi milioni non corrispondono a una perdita definitiva di utenti da parte di WhatsApp. Si tratta, più semplicemente, del numero di utenti che hanno scaricato app concorrenti e attivanto un account. Operazione che può essere stata effettuata per convinzione, per curiosità, o semplicemente per avere a disposizione ulteriori canali di comunicazione.

D’altro canto, se una migrazione completa è possibilissima, può non essere semplice per tutti: per una persona che lo utilizza da anni, abbandonare definitivamente WhatsApp significa perdere il contatto con gli utenti e i gruppi con cui si hanno chat attive. Il primo step da compiere, quindi, è convincere tutti i contatti a spostarsi sulla stessa piattaforma, un’operazione forse agevole per i contatti individuali, soprattutto se “ristretti”. Tuttavia le cose si complicano se all’utente interessa mantenere il rapporto con i vari gruppi di cui fa parte, che possono essere amministrati da amici, conoscenti, colleghi, ma anche da istituzioni: non sono pochi gli enti che fanno uso di gruppi e broadcast per trasmettere informazioni di interesse collettivo, coinvolgendo utenti che non si conoscono tra loro, e che potrebbero banalmente non condividere l’obiettivo di fuggire da WhatsApp.

Comunque, come ho già avuto modo di scrivere, non esistono solo Signal e Telegram: oltre alle alternative che ho già citato – come Threema e Wire – volevo ricordarvi che esiste ancora ICQ 😉

 
2 commenti

Pubblicato da su 25 gennaio 2021 in news

 

Tag: , , , , , , , ,

Immuni, occhio ai fake pericolosi

Se siete utenti Android alla ricerca dall’app Immuni, per installarla o reinstallarla, non cadete nella trappola scoperta recentemente e resa nota da Cert-Agid:

Ancora una volta, sfruttando il tema “Covid-19” e la popolarità dell’app Immuni, i criminali stanno diffondendo una versione fake della stessa app attraverso domini creati ad-hoc.

A segnalare la presenza della fake app Immuni nella scorsa giornata di giovedì 15 è stato il gruppo di ricercatori di Malware Hunter Team (MHT) attraverso un tweet. I ricercatori hanno condiviso con il Cert-AgID il sample in questione, fornendo anche i relativi C2 contattati dal malware.

Attraverso siti web contraffatti, come quello presente all’indirizzo it-immuni.com (che riproduce piuttosto fedelmente il sito ufficiale di presentazione della app), i malintenzionati distribuiscono una versione fasulla della app Immuni (“immuni.apk”). L’utente che la installa di fatto si porta a casa il malware Alien,  in grado di registrare quanto viene digitato sullo smartphone, installare software di controllo remoto, trasmettere informazioni (tra cui lista dei contatti, app installate, dati del dispositivo, posizione gps), installare e attivare ulteriori applicazioni, bloccare lo schermo mentre lo smartphone esegue altra operazioni e molto altro ancora.
Quanto basta per capire che si tratta di un malware decisamente dannoso e per ricordare a tutti che una app – non solo Immuni – va scaricata solamente dagli store ufficiali (Play Store per i dispositivi con Android) o comunque da siti web di solida reputazione e provata affidabilità.
 
Lascia un commento

Pubblicato da su 21 gennaio 2021 in news

 

Tag: , , , , , , , ,

WhatsApp rinvia, la concorrenza si allarga

WhatsApp posticipa al 15 maggio l’entrata in vigore delle nuove condizioni di utilizzo dei dati. Le preoccupazioni degli utenti che si sono evidentemente affrettati a trovare soluzioni alternative (Telegram e Signal in primis, che hanno registrato un’impennata di download, ma non sono le uniche alternative valide) hanno allarmato l’azienda al punto di decidere di allungare i termini di introduzione delle novità in materia di privacy, spostandone la “scadenza” dall’8 febbraio al 15 maggio. Ma basterà?

WhatsApp in prima istanza aveva scritto agli utenti imponendo loro di accettare i nuovi termini entro febbraio, altrimenti l’account non sarebbe stato accessibile. I cambiamenti previsti non sono enormi – soprattutto per Unione Europea e Regno Unito – ma sono stati visti come un’invasione nella privacy per molti, che hanno temuto che contenuti delle chat e altri dati personali potessero essere “intercettati” e hanno così pensato di cercare nuove soluzioni di messaggistica. Telegram, ad esempio, ha sfondato il tetto dei 500 milioni di download (25 milioni negli ultimi tre giorni), mentre Signal ha superato quota 50 milioni e in questa settimana è stata l’app più scaricata in India, un mercato di riferimento per WhatsApp.

Le condizioni di prossima introduzione non verranno riformulate. Quindi cosa risolve questo spostamento di (oltre) tre mesi? L’azienda, in un post sul proprio blog, spiega di aver sentito da molti utenti che c’è molta confusione sul nuovo aggiornamento e di voler dare loro più tempo per comprendere meglio le nuove condizioni, perché “c’è stata molta disinformazione che ha destato preoccupazione” e assicura (traduco):

“Proteggeremo sempre le vostre conversazioni personali con la crittografia end-to-end, in modo che né WhatsApp né Facebook possano vedere questi messaggi privati. È per questo che non conserviamo i log delle persone che inviano messaggi o effettuano chiamate. Inoltre, non possiamo vedere la tua posizione condivisa e non condividiamo i tuoi contatti con Facebook.

Con questi aggiornamenti, niente di tutto ciò sta cambiando. Invece, l’aggiornamento include nuove opzioni che le persone avranno per inviare messaggi a un’azienda su WhatsApp e fornisce ulteriore trasparenza su come raccogliamo e utilizziamo i dati. Sebbene non tutti oggi facciano acquisti con un’attività su WhatsApp, riteniamo che più persone sceglieranno di farlo in futuro ed è importante che le siano consapevoli di questi servizi. Questo aggiornamento non estende la nostra capacità di condividere dati con Facebook.

Ora stiamo spostando la data entro la quale alle persone verrà chiesto di leggere e accettare i termini. A nessuno verrà sospeso o cancellato il proprio account l’8 febbraio. Faremo anche molto di più, per chiarire la disinformazione su come funzionano la privacy e la sicurezza su WhatsApp. Andremo incontro alle persone per rivedere gradualmente la politica prima che nuove opzioni di business siano disponibili il 15 maggio.

WhatsApp ha contribuito a portare la crittografia end-to-end a persone in tutto il mondo e ci impegniamo a difendere questa tecnologia di sicurezza ora e in futuro. Grazie a tutti coloro che ci hanno contattato e ai tanti che hanno contribuito a diffondere i fatti e a fermare le voci. Continueremo a fare il possibile per rendere WhatsApp il modo migliore per comunicare in privato”.

Il tentativo è stato fatto. Sarà sufficiente a parare il colpo? Tutto dipende dagli utenti che sono risolutamente migrati su altre app e da quanto – se interessati – riusciranno a convincere altri contatti a compiere, allargandone le proporzioni, la stessa transumanza. Chiaramente la app deve essere la stessa per tutti, anche per consentire un trasferimento completo alle chat di gruppo a cui, sicuramente, tutti sono affezionatissimi 😉

 
Lascia un commento

Pubblicato da su 15 gennaio 2021 in news

 

Tag: , , , , , , , , ,

“Mi hanno hackerato” is the new “Al lupo! Al lupo!”

Stiamo facendo tutte le verifiche interne per accertare come sia potuta avvenire la pubblicazione di un simile contenuto. Non si esclude, al momento, l’ipotesi di un tentativo di hackeraggio da parte di qualcuno che in un momento così delicato come questo potrebbe aver agito intenzionalmente per danneggiare l’immagine del presidente.

Così ha dichiarato Dario Adamo, responsabile editoriale sito web e social media della Presidenza del Consiglio (come si legge nel decreto di nomina) in seguito alla pubblicazione su Facebook di una storia “anti-renziana”. La dichiarazione è ufficiale, pertanto si attenderà l’esito delle verifiche interne: se si fosse trattato di hackeraggio, il passaggio obbligato successivo sarebbe la denuncia alla Polizia delle Comunicazioni. Altrimenti, cosa potrebbe essere accaduto? Se si escludesse la pista della violazione dell’account, si dovrebbe guardare nella direzione di chi ha le credenziali per accedere al profilo del Presidente del Consiglio, il medesimo utilizzato per le conferenze stampa che vengono poi rilanciate dai canali ufficiali. Polithinks ne ha un’idea abbastanza chiara:

Troppe volte abbiamo assistito a gaffe pubblicate sui social network e poi ritrattate con la motivazione del profilo hackerato, episodi che poi non hanno avuto seguito, vale a dire che nulla si è più saputo sull’eventuale colpevole dell’hackeraggio. Al punto che ora c’è un crescente scetticismo di fronte a queste giustificazioni che, se oggi provengono da un’alta carica dello Stato, possono costituire un precedente utile per molti, che sui social possono pensare di ritrattare qualche scivolone con la dichiarazione scusante “il mio profilo è stato hackerato”. Con il rischio che nessuno creda più a dichiarazioni simili, neppure quando corrisponderanno al vero.

Come potrebbe avvenire per i 533 milioni di utenti di Facebook i cui dati personali sono stati trafugati e messi in vendita online attraverso un bot su Telegram, che consente di risalire al numero telefonico di una persona in base al suo ID, ma permette anche di ottenere altre informazioni. Brutta falla 😦

 
Lascia un commento

Pubblicato da su 14 gennaio 2021 in news

 

Tag: , , , , , , , , , , , , ,

Non solo Signal

Elon Musk qualche giorno fa ha twittato “Use Signal, indicando questa app come alternativa a WhatsApp che, con le nuove condizioni di utilizzo, sta preoccupando molti utenti. Stabilito che per Unione Europea e Regno Unito le modalità di condivisione di informazioni con Facebook non cambieranno rispetto a quelle già in uso da qualche anno, è comunque legittimo guardarsi in giro, possibilmente nella direzione di servizi più rispettosi dei dati personali degli utenti. Ma in questo scenario esiste più di una soluzione.

Signal ha l’etichetta di app sicura perché non acquisisce la mole di dati che altre app raccolgono, oltre che per il suo sistema crittografico. L’organizzazione alle sue spalle, la Signal Foundation, è guidata da Matthew Rosenfeld, in arte Moxie Marlinspike, fra gli autori del Signal Protocol, un sistema di crittografia end-to-end che ha il vantaggio di essere open source e che è alla base dei sistemi di cifratura utilizzati da Skype, Messenger… e WhatsApp.

Un fattore che richiede attenzione sono i metadati: si tratta di informazioni relative agli interlocutori di una conversazione (con chi), ai dati temporali (a che ora e quanto tempo, quanto rimani al telefono, quanto sei online). Signal non li acquisisce, mentre WhatsApp sì. In verità li raccoglie anche Telegram che inoltre, al pari di Messenger, non applica la crittografia end-to-end in modalità predefinita (deve essere l’utente ad attivarla; Signal invece non permette neppure di disattivarla). Altro plus di Signal: la possibilità di avere messaggi che si autodistruggono.

Ma tra le app sicure disponibili ci sono anche Threema e Wire. L’utente che inizia ad utilizzare Threema rimarrà colpito dal fatto che questa app non utilizza il numero telefonico come identificatore, prassi invece seguita da WhatsApp e Signal, ad esempio. L’ID utente è una sequenza alfanumerica frutto dello scorrimento del dito della mano mentre sul display compare una matrice di lettere e numeri che cambiano continuamente. Contatti e gruppi rimangono memorizzati solo sul telefono (non nell’applicazione e quindi non vengono trasmessi al cloud). Un minus di Threema è che non è gratuita, è quindi da valutare l’investimento di Eur 3,99.

Anche Wire assicura la crittografia end-to-end (a chat e chiamate vocali e video, anche di gruppo), consente la condivisione del proprio schermo con un utente e un gruppo, e può essere utilizzata da otto dispositivi differenti (sincronizzati). Fra i suoi plus, chiamate di gruppo fino a 300 interlocutori e la possibilità – a pagamento – di invitare un non-utente (privo di account) in una room protetta, accessibile da browser. Minus: raccoglie i metadati.

 
2 commenti

Pubblicato da su 14 gennaio 2021 in news

 

Tag: , , , , , , , , , , , , , , , , , , , ,

Ho. mobile, confermato il furto di dati personali

Ho. mobile, operatore del gruppo Vodafone, ha confermato di essere rimasto vittima di un attacco che ha portato la sottrazione dei dati personali “di parte degli utenti”, come è stato anticipato la scorsa settimana.

Il comunicato, da un lato, cerca di tranquillizzare la clientela:

L’azienda comunica che non sono stati in alcun modo sottratti dati relativi al traffico (sms, telefonate, attività web, etc.), né dati bancari o relativi a qualsiasi sistema di pagamento dei propri clienti.

Ma la conferma del tipo di dato sottratto all’azienda è nella risposta alla prima delle successive domande frequenti:

Quali dati sono stati sottratti?

Dalle ulteriori verifiche effettuate, che sono tuttora in corso, emerge che sono stati sottratti illegalmente alcuni dati di parte della base clienti con riferimento ai soli dati anagrafici (nome, cognome, numero di telefono, codice fiscale, email, data e luogo di nascita, nazionalità e indirizzo) e tecnici della SIM. NON sono stati in alcun modo sottratti dati relativi al traffico (telefonate, SMS, attività web, etc.) né dati bancari o relativi a qualsiasi sistema di pagamento dei propri clienti.

Come detto la scorsa settimana, è proprio con questi “soli dati anagrafici (…) e tecnici della SIM” che è possibile effettuare un’operazione di “sim swap”, che sostanzialmente permette di trasferire l’utenza su un’altra sim, quindi di clonarla… e questo non è meno preoccupante! Se ad esempio un utente avesse indicato quel numero telefonico come riferimento per ricevere OTP (One Time Password) per la conferma di pagamenti via bonifico o tramite carta di credito, un’eventuale clonazione della sua utenza consentirebbe ad altri di confermare transazioni a proprio beneficio. Prospettiva tutt’altro che rassicurante…

L’azienda comunque assicura che gli utenti i cui dati sono stati effettivamente copiati riceveranno una comunicazione personale con le indicazioni da seguire (simile a quella qui riportata). Ai clienti viene offerta inoltre la possibilità di chiedere gratuitamente la sostituzione della sim, che può essere effettuata solamente di persona presso un rivenditore autorizzato (la procedura prevede il riconoscimento fisico del cliente).

 
1 Commento

Pubblicato da su 4 gennaio 2021 in news

 

Tag: , , , , , , , , , , , ,

Ho. mobile, violati i dati personali degli utenti?

Se siete clienti di ho. Mobile (l’operatore di telefonia mobile low cost di Vodafone) questa notizia potrebbe interessarvi: ieri sera su Twitter è comparsa la notizia di un attacco hacker ai suoi danni dell’azienda, che avrebbe ottenuto un database con i dati anagrafici di 2,5 milioni di utenti, il cui contenuto sarebbe in vendita sul dark web. Cosa contiene questo archivio? Per ogni cliente ci sarebbe nome, cognome, codice fiscale, data di nascita, numero di telefono, email, indirizzo di residenza completo e codice ICCID della scheda telefonica.

Con questi dati un hacker può fare un’operazione che si chiama “sim swap” (trasferire l’utenza su un’altra sim, quindi sostanzialmente clonarla). Per andare al sodo, ecco i rischi possibili e le contromisure:

  • se un giorno perdete il segnale e non capite il perché: ve l’hanno clonata, rivolgetevi a un punto vendita/centro assistenza e chiedete il “cambio carta” (vi daranno una nuova sim legata al vostro numero telefonico);
  • se usate quel numero di telefono per l’autenticazione a due fattori su qualche servizio (ad esempio: conferma disposizioni da internet banking con OTP, ossia un codice temporaneo inviato da sms), comunicate alla banca un numero telefonico diverso.

Vedremo se l’azienda confermerà l’attacco e il data breach. Se ci saranno aggiornamenti, saranno integrati in questo post 😉

AGGIORNAMENTO: breach confermato, come da comunicazione pubblicata in homepage sul sito dell’azienda all’indirizzo https://www.ho-mobile.it/comunicazione/

Ne parlo in questo post: https://blog.dariobonacina.net/2021/01/04/ho-mobile-confermato-il-furto-di-dati-personali/

 
1 Commento

Pubblicato da su 29 dicembre 2020 in news

 

Tag: , , , , , , , , , , , ,

Covid-19 e vaccini, speculazioni nel dark web

Possibile che qualcuno abbia già il vaccino “anti-Covid-19″, mentre le organizzazioni sanitarie nazionali lo stanno ancora ordinando ai produttori? Non è facile crederlo, eppure su Vice World News leggiamo che sulla darknet si trovano venditori che lo propongono, anche a prezzi esorbitanti, ad esempio oltre 1.300 dollari per singola dose. Due dei venditori interpellati dichiarano addirittura di aver acquistato il vaccino tramite il governo americano e di averlo già venduto a più clienti.

Quanto è probabile che queste offerte siano attendibili? Già non è semplice acquistare un farmaco online presso un sito di e-commerce ordinario, figuriamoci nel dark web in cui sembra che qualcuno possa vendere il vaccino Pfizer-BioNTech. Innanzitutto si può serenamente dubitare di un sito web che vende un vaccino presentando solamente una foto facilmente reperibile con un motore di ricerca, tanto più che delle (false) vendite online di vaccini si era già parlato lo scorso aprile, quando cominciarono a spuntare le prime inserzioni pubblicitarie.

Vanno poi tenute presente alcune considerazioni, sia tecniche che etiche. Innanzitutto è noto che per quel vaccino è prevista la conservazione a -70°: potrebbe essere consegnato agevolmente, con un corriere attrezzato in tal senso? Inoltre si tratta di un sistema discriminatorio, che bypassa i sistemi sanitari (con le relative pianificazioni in base ad esigenze legate a fragilità dei pazienti, fasce d’età, eccetera) e privilegia acquirenti facoltosi. E tutto questo al netto del fatto che chi lo acquista non ha accesso alla documentazione sulla sperimentazione e sugli studi effettuati.

Per cui, alla domanda della persona che mi ha scritto “Si può trovare su internet il vaccino anticovid?”, la risposta per me è NO. Sulla salute non si specula.

 
Lascia un commento

Pubblicato da su 7 dicembre 2020 in news

 

Tag: , , , , , , , , , , , , ,

Phishing e doxing: la superficialità può fare male

Avete un account per l’Internet banking? Fate acquisti online pagando con carta di credito o strumenti come PayPal? Fate molta attenzione ai messaggi che vi invitano a confermare i vostri dati personali sul sito di uno di quei servizi, molto probabilmente si tratta di phishing: in tal caso il messaggio è una trappola con un link che, anziché portare al sito che vi interessa, rimanda ad una pagina web fasulla, realizzata appositamente per trarre in inganno gli utenti e indurli a inserire le proprie credenziali.

Inutile dire che così username e password finiscono in mani sbagliate. Dall’altra parte c’è chi può utilizzare l’account a nome di altri e utilizzarne conto corrente e carte di credito, ma c’è anche chi potrebbe rivendere i dati personali altrui sul dark web. E le conseguenze potrebbero non essere solo economiche: come spiega Kaspersky, in alcuni casi i dati altrui possono essere utilizzati a scopo di doxing: il doxing – o doxxing – consiste proprio nella ricerca e nella pubblicazione di informazioni private, personali se non sensibili, per ridicolizzare, denigrare o mettere in pericolo qualcuno.

Questo tipo di informazioni può essere ottenuto in molti modi, da contenuti condivisi superficialmente su social network, ma anche – come detto prima – tramite phishing. E sul dark web c’è un autentico mercato nero di informazioni personali che possono avere tariffe differenziate. Nomi, date di nascita, documenti di identità e codici fiscali possono costare anche meno di un euro, mentre la foto di una persona, un suo documento o una cartella clinica possono costare qualche decina di euro. Si possono trovare anche le credenziali per accedere a un conto corrente, e possono costare molto di più.

Quando ricevete un messaggio e-mail che sembra provenire da una banca, dall’istituto che ha emesso la carta di credito, dall’azienda che vi fornisce l’energia elettrica, dalle Poste o da qualunque mittente che possa sembrarvi affidabile, prima di cliccare sul primo link che trovate, verificate che si tratti effettivamente di ciò che sembra. A volte basta poco, perché il messaggio esteticamente è diverso da quelli autentici, o perché ci sono dettagli rivelatori nel testo del messaggio, che spesso tradisce una scarsa padronanza della lingua italiana. A volte il messaggio è invece ben realizzato, quindi dovete verificare l’indirizzo internet (url) del link che vi è stato indicato.

Guardate l’esempio dell’immagine seguente: l’indirizzo è chiaramente estraneo a Poste Italiane, ma spesso gli utenti non ci fanno nemmeno caso e proseguono a navigare ignari del pericolo. Occhio!

Lo stesso possiamo dire per questa pagina web, che evidentemente non è di Amazon:

 
Lascia un commento

Pubblicato da su 7 dicembre 2020 in news

 

Tag: , , , , , , , , ,

Parola d’ordine? Password!

Non abbiamo imparato niente: nonostante negli ultimi tempi si siano verificati numerosi casi di attacchi hacker, ransomware e violazioni di database con credenziali e dati riservati di utenti, siamo ancora così pigri da usare sempre le password più facili, intuibili e indovinabili. Le più stupide, quindi, come si può vedere nella classifica compilata da NordPass, che qui possiamo vedere in tutto il suo splendore…

Tutte abbastanza intuibili, in funzione del contesto in cui si lavora (per quanti se lo fossero chiesto, senha significa “password” in portoghese). I motivi per cui la password stupida regna sovrana sono sempre gli stessi: il tempo e la memoria.

Il tempo, perché la gravosa attività di pensare a quale nuova password scegliere viene vista come una rottura di scatole, per cui sovente si pensa rapidamente a quale inventarsi, e magari lo si fa di corsa perché una password è scaduta e si ha fretta di accedere, ma anche per digitarla serve (poco) tempo.

La memoria, perché ovviamente poi la password bisogna ricordarsela, per cui più è semplice, più sarà semplice ricordarsela… infatti, come dico spesso: si fa prima con “0000” oppure con “Qp5%èMa9C#”?

Però c’è un’altra cosa che osservo sempre: onestamente, tra digitare una password di 4 zeri e una password complessa, pur composta da lettere, numeri e caratteri speciali, c’è una differenza di qualche secondo. E’ da considerare come un investimento di tempo, breve ma utile alla sicurezza delle informazioni che dobbiamo proteggere.

Altrimenti è troppo facile indovinare le credenziali di un utente. Poi tocca dar ragione a quei personaggi che prima scrivono boiate su Twitter e Facebook, poi si accorgono di averla fatta grossa e ritrattano, accampando una scusa evergreen come “Non l’ho scritto io, il mio profilo è stato hackerato”.

 
2 commenti

Pubblicato da su 3 dicembre 2020 in news

 

Tag: , , , , , , , ,

Luxottica, a settembre ci fu anche un data breach

21 settembre: i media parlano di un attacco hacker alla Luxottica, con conseguente blocco della produzione nelle sedi Agordo e Sedico (BL). L’azienda – riferisce una nota sindacale Femca-Cisl – dichiara di aver subito un “tentativo mosso dall’esterno di entrare negli apparati informatici Luxottica”. Un attacco ransomware che però, riporta la stessa nota, sarebbe riuscito solo in parte perché le misure di protezione avrebbero retto, non si sarebbe verificato alcun data breach e il blocco della produzione sarebbe stato la conseguenza di una disconnessione precauzionale dei server.

20 ottobre: un tweet di Odisseus, un ricercatore indipendente, svela che Nefilim – un gruppo criminale – ha diffuso sul dark web ben 2 GB di dati dell’azienda veneta, pubblicando una dichiarazione che si conclude così:

Sembra che i consulenti per la sicurezza non sappiano fare il loro lavoro, o che sia stato chiesto loro da Luxottica di mentire per loro. Luxottica sapeva che il breach era avvenuto e ha ricevuto le prove

Oggetto del breach, informazioni sulle risorse umane e sul settore finanziario. La rivelazione spazza via tutte le minimizzazioni diffuse a settembre e fa apparire uno scenario per nulla rassicurante. A farne le spese non è solo Luxottica, che è parte lesa per il danno patrimoniale derivante dall’attacco e dal blocco della produzione, ma anche per questioni di immagine e, forse, di business. Ma le prime vittime di questa violazione sono tutte le persone i cui dati personali – e probabilmente anche sensibili – sono stati pubblicati.

 
Lascia un commento

Pubblicato da su 22 ottobre 2020 in security

 

Tag: , , , , , , ,

 
%d blogger hanno fatto clic su Mi Piace per questo: