Le trappole per “rubare” gli account nei social network sono tante. Qui spiego un espediente piuttosto ricorrente nei social network, basato semplicemente sulla modifica delle informazioni di contatto, che un utente può essere indotto ad aggiornare in modo ingannevole. Non chiamiamolo hackeraggio, non lo è: si tratta di un imbroglio. E in questo caso un utente incauto, senza accorgersene, serve il proprio account su un piatto d’argento direttamente ad un truffatore.
Una possibilità è questa: voi commentate il post Instagram (o Facebook) di un personaggio famoso o di un’azienda, il vostro commento viene notato da qualcuno che, tramite DM (Direct Message), vi contatta spacciandosi per un collaboratore, dice che il commento è interessante e vi promette di aprirvi un canale di comunicazione privilegiato ed esclusivo con il personaggio o l’azienda, inviandovi un link. L’opportunità attira la vostra attenzione: il commento che avevate scritto potrebbe essere ignorato, annegare in mezzo a migliaia di altri, qui invece vi propongono di aprire un contatto diretto e poter comunicare direttamente con la sicurezza di essere considerati, tutto ciò che dovete fare è seguire un link. Questo link vi porta alla gestione dei contatti del vostro account, in cui il truffatore vi indica di aggiungere un indirizzo mail (non il vostro, ma un indirizzo che vi dirà lui) “per permettere l’invio di messaggi diretti”. Il gioco è fatto: da quel momento, pensando di aver creato un collegamento con il personaggio o l’azienda in questione, in realtà avete dato ad un truffatore la delega a gestire il vostro account. Da lì a pochi minuti, ogni utente caduto nel tranello si trova ben presto a non poter più utilizzare il proprio account, perché il truffatore ha cambiato la password d’accesso e i contatti di riferimento. Pertanto è fondamentale fare sempre molta attenzione agli inviti ricevuti da persone sconosciute.
Aggiungo un elemento di complicazione: potreste ricevere questo stesso tipo di invito da una persona che conoscete, o almeno così credete. La persona che vi contatta potrebbe essersi impossessata dell’account del vostro conoscente, oppure potrebbe avere un account fasullo con lo stesso nome, per indurvi a fidarsi di lui. Anche qui, attenzione: il link che vi indica porta alla pagina che gestisce gli account del vostro profilo. Se ricevete quindi una richiesta simile, verificate sempre: prima di inserire o trasmettere qualsiasi informazione personale, contattate quella persona in un altro modo (telefonicamente oppure via mail, WhatsApp, Telegram, fax, piccione viaggiatore, citofonate a casa sua… quello che vi pare) e chiedetele se è stata lei a mandarvi quel link, che non serve a stabilire alcun canale di comunicazione privilegiato, ma a definire chi ha la possibilità gestire il vostro account.
Ultimamente ho ricevuto svariate segnalazioni di account rubati con espedienti simili e sabato scorso io stesso ho ricevuto questo tipo di esca, in cui mi è stato offerto di avere un contatto esclusivo con un’azienda che però conosco bene e con cui ho già un rapporto diretto. Il sospetto della truffa quindi era dietro l’angolo, ma in molti casi scoprirla non è semplice. Per cui ripeto, attenzione: si tratta a tutti gli effetti di un tentativo di furto di identità ed esserne vittime, oltre a creare problemi personali legati all’indisponibilità dell’account, può avere effetti collaterali anche molto sgradevoli. Se pensate a tutto ciò che può fare una persona che può agire sotto mentite spoglie, capite che si tratta di un argomento da prendere in seria considerazione. E se vi accade una cosa simile, oltre a non abboccare, segnalate l’account all’assistenza del social network
Tag: consapevolezza, cybersecurity, facebook, furto d'identità, hackerato, instagram, privacy, profilo, sicurezza
Nella classifica delle password più utilizzate, l’Italia si distingue (poco): mentre a livello mondiale resta saldamente in testa l’inossidabile “123456“, noi ci differenziamo con “admin” (dimostrando anche un discreto complesso di superiorità: l’admin è l’administrator, l’utente principale, il profilo con permessi di accesso “onnipotenti”). Ma in realtà la fantasia è poca, come si vede dal parallelo tra le top ten “Tutti i Paesi” e “Italia”. Perché nonostante siamo nel 2023, non tutti hanno maturato la consapevolezza che oggi, nell’era in cui tutto viene digitalizzato (dai documenti al conto corrente bancario), la password è la versione digitale della chiave – o della combinazione – che apre la cassaforte in cui conserviamo i nostri dati personali.
Si noti inoltre – sempre dalle classifiche qui riportate – quanto tempo serve per decifrare le password di uso comune: nel 70% dei casi basta meno di un secondo per aggirare l’ostacolo. Una menzione d’onore meritano però gli utenti che hanno scelto UNKNOWN, che danno più filo da torcere ai malintenzionati. Ovviamente uno dei criteri più diffusi resta sempre quello di utilizzare il proprio nome, ma nessun nome ricorrente potrà mai vantare presenze pari alle password più standard del mondo.
La debolezza della password è un problema? Sì perché, come detto sopra, le password sono le chiavi. Chiavi di casa digitali, del conto in banca, del computer. Se le perdiamo – o se ne perdiamo il controllo al punto da permettere a un’altra persona di impossessarsene e farne un utilizzo illecito – sapete meglio di me cosa può accadere: dal furto di informazioni a quello di identità, passando per i reati contro il patrimonio, le probabilità di subire un danno concreto sono direttamente proporzionali alla facilità di individuazione della parola chiave.
Le password devono essere complesse, e il più possibile slegate e indipendenti da qualunque informazione che ci riguarda: meglio pensare a qualcosa di differente dal nome (nostro o di qualcuno di famiglia, animali domestici inclusi), dalla data di nascita e da qualsiasi informazione che possa essere facilmente individuata, per conoscenza diretta o indiretta.
I criteri di composizione delle password devono andare in altre direzioni. Ad esempio si può pensare ad una frase, considerando le lettere iniziali di ogni parola che la compone e giocando con maiuscole e minuscole, usando anche lettere alternate a numeri e aggiungendo caratteri speciali. Oppure è possibile ricorrere a un generatore di password (come Roboform) e affidarsi alla sua scelta, senza utilizzare informazioni riconducibili a informazioni personali. Quando le password diventano tante e diventa difficile gestirle, anziché scriverle su un post it o in un foglio Excel, è il momento di affidarsi ad una soluzione di password management, cioè di qualcosa che possa aiutare a gestirne l’inventario e a recuperarle all’occorrenza. Una soluzione efficace e gratuita ad esempio è Devolutions Hub Personal.
Mai sottovalutare l’importanza delle password. Se pensate alle informazioni personali gestite dalle applicazioni installate su uno smartphone, ad esempio, capite bene quanta parte della vostra vita ha bisogno di password sicure: account social media, posta elettronica, conto corrente bancario, fascicolo sanitario elettronico, identità digitale. La possibilità che le nostre informazioni personali finiscano nelle mani sbagliate ci deve far riflettere: meglio una sola password, facile, da utilizzare per tutti gli account (che una volta rubata apre ai malintenzionati tutte le porte), oppure tante password complesse, diverse per ogni account?
Tag: consapevolezza, dati personali, password, privacy, riservatezza, security, sicurezza
In rete esistono ancora molti e-commerce ingannevoli che si pubblicizzano tramite i social media attirando nella loro rete molti utenti, attratti da prodotti interessanti presentati a prezzi favorevoli. Fate molta attenzione prima di procedere con gli acquisti su siti di e-commerce sconosciuti, perché è davvero semplice diventare vittime di truffe o pratiche commerciali ingannevoli, e con l’approssimarsi di offerte promozionali da “black friday” il rischio di cadere in trappola è davvero dietro l’angolo. Un esempio recente è dato dalla “attività” in cui mi sono imbattuto di recente, che si presenta con il nome Domenica Milano.
L’approccio parte da un annuncio ingannevole pubblicato sui social network, che inizia con la frase “Purtroppo annuncio con tristezza la chiusura della nostra amata azienda di famiglia”, prosegue descrivendo quanto una piccola attività commerciale non possa più competere con i “giganti online” e conclude indicando lo sconto che sarà applicato sulle collezioni poste in saldo per cessata attività. Tutto verosimile, ma da approfondire. E identico all’annuncio pubblicato da un’altra attività simile, Zorrato negozio.
E approfondendo si nota innanzitutto che l’annuncio di questo e-commerce italiano ha uno strano problema di lingua:
“Hasta el 75% de descuento”, “Existencias limitatadas – Envio Gratuito”. Un problema tecnico? Mah, se fosse un peccato di gioventù sarebbe un po’ anomalo per un’attività di famiglia che dichiara di essere sul mercato da tempo. Intanto prendiamo nota e proseguiamo, cliccando sul link che porta a domenicamilano.com. Il sito web ha caratteristiche standard, d’altronde utilizzando una piattaforma come Shopify è abbastanza semplice realizzare in poco tempo e con poche risorse un negozio online. I capi in vendita sono gli stessi che si possono trovare – a prezzi anche migliori – su un numero imprecisato di siti di e-commerce. Provate a vedere questa giacca venduta ad Eur 79,99:
I contatti offerti sono un indirizzo e-mail e un numero telefonico “poco milanese”, visto il prefisso internazionale francese +33. L’iscrizione alla newsletter (con promessa di uno sconto del 10%) viene confermata da un messaggio e-mail che riporta il codice sconto da utilizzare per il primo acquisto. Però, come già osservato in altri casi, sul sito web manca l’indicazione di informazioni obbligatorie per una attività commerciale che opera sul mercato italiano, i termini di utilizzo sono molto generici e approssimativi, così come è abbastanza vaga (e priva di riferimenti di legge) l’informativa sulla riservatezza. La cosiddetta azienda di famiglia fa parte di un gruppo con sede a Hong Kong, indicato nella pagina relativa ai termini di utilizzo:
Gli stessi di altri negozi online (molto simili a domenicamilano.com) come madiolisboa.com, annabcnboutique.com, nicoleberlin.de, angelikabutik.com e molti altri, tutti molto simili tra loro, che troverete con una semplice ricerca. Indubbiamente una grande famiglia!
Dulcis in fundo: un post sponsorizzato pubblicato su Facebook è stato commentato da alcuni utenti che hanno dato feedback negativi sugli acquisti effettuati (e non ricevuti), molto simili alle testimonianze scritte a commento di altri post della pagina Domenica Milano.
Tag: black friday, consapevolezza, Domenica Milano, e-commerce, Industex, online, shop, shopify, sicurezza, store
Nelle scorse ore, sui browser Google Chrome e Microsoft Edge è stata rilevata una vulnerabilità che potrebbe dare problemi di sicurezza. Se sfruttato, il bug potrebbe dare la possibilità ad un utente remoto di accedere indisturbato al vostro computer. Il problema si risolve semplicemente aggiornando il browser, è un’operazione molto agevole che è necessario effettuare appena possibile.
Per Chrome è sufficiente aprire il browser e andare a questo indirizzo interno: chrome://settings/help (potete copiarlo e incollarlo direttamente nella barra degli indirizzi di Chrome). Il browser, se rimasto ad una versione precedente, verrà aggiornato automaticamente (entro un minuto, talvolta l’update è quasi impercettibile) e in seguito comparirà un’indicazione come quella riportata sopra. Analogamente, per Edge si deve aprire il browser e andare all’indirizzo: edge://settings/help (anche in questo caso è possibile incollarlo nella barra degli indirizzi).
E’ possibile che vi troviate già con la versione aggiornata e in tal caso non è necessario fare altro, ma dal momento che ho già riscontrato computer che, pur avendo già ricevuto aggiornamenti automatici, si presentavano con il browser nella versione precedente, un controllo in più non guasta mai.
Tag: aggiornamenti, chrome, cybersecurity, edge, google, microsoft, sicurezza, update
Solo io trovo assolutamente normale che TikTok – così come il profilo personale personale esistente su ogni altro social network – non debba trovare posto sui dispositivi dei dipendenti pubblici che hanno accesso ai sistemi dell’ente per cui lavorano? Ovviamente stiamo parlando di dispositivi “aziendali” e non di quelli privati, che non accedono ai servizi di telefonia mobile degli enti pubblici. Se lo smartphone o il tablet sono personali e sono attivi con account privati, che nulla hanno a che vedere con l’attività lavorativa svolta, naturalmente l’utente ha la massima libertà di usare qualunque app lecita gli interessi, chiaramente mantenendo un comportamento consapevole e sui rischi che si possono correre utilizzandola.
Il fatto che solo adesso le pubbliche amministrazioni si pongano il problema di un divieto fa pensare che finora non sia mai esistita un’indicazione in questo senso a livello di regolamento per i dipendenti, una regola banalmente basilare che deve essere sicuramente definita a scopo di sicurezza, ma in primo luogo per correttezza verso il “datore di lavoro”. Per cui – leggendo titoli e articoli sul “bando” di TikTok dagli smartphone aziendali dei dipendenti pubblici – si potrebbe pensare che al personale retribuito con il denaro dei contribuenti fosse consentito il trastullo attraverso un dispositivo pagato con il denaro dei contribuenti. Ovviamente non è così, tuttavia sembra sempre sia necessario perdere del tempo per vietare ciò che già non è consentito, solamente per il fatto di non essere specificamente ed espressamente vietato. Certo, sarebbe sufficiente adottare una soluzione di gestione centralizzata dei dispositivi mobili (MDM) per impedire a monte (e per tutti) ogni installazione di app non conforme all’attività lavorativa. Nelle organizzazioni in cui questo è stato già fatto, non esiste la necessità di ulteriori provvedimenti di divieto.
Il “bando” deriva dal fatto che i tecnici TikTok che lavorano in Cina – come riportato dal Guardian – hanno accesso ai dati personali degli utenti. Quali informazioni si possono ottenere? Sicuramente la posizione dello smartphone, le app installate, quanto tempo sono state utilizzate, i contenuti della rubrica dei contatti e del calendario. Quando gli utenti vengono invitati a condividere audio e immagini mentre utilizzano l’app, di fatto condividono quei contenuti multimediali con TikTok. Ora forse non tutti sanno che nel partito comunista cinese esiste una commissione di cui fanno parte alcuni dipendenti della ByteDance, l’azienda che è alle spalle di TikTok. I legami con il governo di Pechino sono dunque piuttosto stretti e questo induce molti addetti ai lavori a pensare che i dati personali degli utenti possano essere trasmessi a enti delle istituzioni cinesi, sebbene l’azienda l’abbia sempre smentito.
Questi presupposti a me basterebbero per spegnere ogni smania di utilizzo di TikTok, soprattutto se fossi nei panni di uno qualunque fra i politici italiani che da poco tempo hanno aperto un profilo su questo social, nella speranza di conquistare i voti dei suoi giovani frequentatori.
Tag: Canada, Casa Bianca, cina, commissione europea, consapevolezza, cybersecurity, dipendenti pubblici, enti pubblici, EU, pa, politica, pubblica amministrazione, regole, sicurezza, social network, tiktok, UE, usa
Scoperti 13 mila siti fasulli di e-commerce grazie a Yarix, azienda italiana attiva nel campo della sicurezza informatica. Leggiamo da Bloomberg che 1.200 di quei fakecommerce si presentavano sul web con brand premium del mondo della moda millantando una disponibilità di articoli inesistenti a prezzi allettanti. Il classico business in cui il cliente ingolosito ordina, paga e… rimane a bocca asciutta.
Brand come Armani, Brunello Cucinelli, Dolce & Gabbana, Prada, Ermenegildo Zegna, Moncler campeggiavano sulle vetrine virtuali di questa enorme rete di vendita fasulla, gestita da un gruppo di criminali informatici cinesi. Una rete che fortunatamente ora è in corso di smantellamento.
La dinamica è consolidata, come abbiamo potuto vedere anche direttamente (leggete ad esempio il mio post E-commerce sospetti che spuntano come funghi). Spesso si tratta di imitazioni ben realizzate di siti di e-commerce autentici, con vetrine perfettamente credibili (spesso “montate” grazie alle stesse soluzioni utilizzate per veri negozi online, come Shopify), e sono dotati di una vera e propria piattaforma di pagamento online tramite carta di credito, dove si trova la vera e propria trappola: il cliente fornisce i propri dati, effettua il pagamento e il gestore del sito web incassa. Oppure si appropria dei dati delle carte con relative credenziali.
E’ necessario quindi usare la massima cautela quando si effettuano acquisti online: fatelo solo presso siti affidabili che abbiano domini controllabili e verificate sempre la presenza del protocollo https. Evitate siti web di aziende non identificabili, ignorate gli e-commerce che non permettono l’identificazione dell’attività commerciale. Ricordate che un venditore in buona fede non ha alcun problema a fornire i propri dati anagrafici e fiscali (alcune informazioni sono anzi obbligatorie, come ad esempio lanpartita Iva aziendale), con i riferimenti a cui può essere contattato, oltre ovviamente a mail, moduli online e altre forme di comunicazione rintracciabili.
I suggerimenti che ho indicato in questo post (che ho citato anche sopra) sono sempre validi, anche fuori dal periodo natalizio 😉
E-commerce sospetti che spuntano come funghi
Tag: consapevolezza, cybersecurity, e-commerce, fake, fake-commerce, frodi, Polizia delle Comunicazioni, polizia postale, sicurezza, sicurezza informatica, truffe, Yarix
I ransomware non sono tutti uguali: oltre a quelli che “rapiscono” i file presenti sui computer per poi “liberarli” solo dietro pagamento di un riscatto, ora scopriamo che ci sono anche quelli “etici”, che non chiedono denaro, ma… buone azioni. Come GoodWill, una nuova forma di minaccia informatica recentemente scoperta. Minacciosa solo all’apparenza? No, minacciosa come le altre.
La dinamica iniziale è quella tipica dei ransomware: quando il computer viene colpito, i file memorizzati vengono “blindati”. Per ottenere la chiave, però, non si deve cedere ad un’estorsione: più o meno come nel film Pay it forward (Un sogno per domani), l’utente si vede presentare l’invito ad eseguire tre buone azioni. Il motivo è nel messaggio che compare all’utente:
Il team di GoodWill non ha fame di denaro e ricchezza, ma di gentilezza. Vogliamo fare in modo che ogni persona sul pianeta sia gentile e vogliamo dare a tutti una forte lezione, per aiutare sempre i poveri e i bisognosi. Quindi, sarà necessario che tutte le nostre vittime siano gentili, per riavere i file (…)
E quindi quali sono le richieste? Donare abiti e coperte a chi vive e dorme per strada, donare una cena a cinque ragazzini bisognosi (di età inferiore ai 13 anni), e infine recarsi in un ospedale, andando dalle persone che si trovano in fila per una prestazione, e donare denaro a chi non si può permettere di pagarla. In ognuno di questi tre casi, la buona azione deve essere documentata con foto, video o registrazioni audio che possano testimoniarne l’esito, che dovranno poi essere pubblicate sui social network. Il link al post così pubblicato dovrà poi essere inviato agli autori di GoodWill che, accertata l’esecuzione delle buone azioni, permetteranno all’utente il download alla chiave utile a decifrare i file bloccati.
L’intento sembra originale e apparentemente non estorsivo, ma parliamoci chiaro: vedere i propri file bloccati da un ransomware, che chieda denaro o buone azioni, è comunque una rogna, evitabile con un buon backup periodico dei propri dati che oggi potrà mettere al riparo i vostri dati da ransomware sia tradizionali che “moralizzatori”, e domani vi proteggerà da altre minacce che potrebbero rivelarsi ben più inquietanti: a questa stregua, chi può escludere che un giorno un ransomware, per la liberazione dei file crittografati, chieda di eseguire cattive azioni?
Tag: backup, cybersecurity, GoodWill, malware, ransomware, sicurezza, virus
Il caro, vecchio SMS, che ormai nessuno usa più a livello personale, è uno strumento ancora ampiamente sfruttato da aziende e istituzioni per comunicare informazioni ai propri utenti o clienti, non raramente anche in veste di secondo fattore di autenticazione (la password temporanea rilasciata per confermare credenziali, disporre bonifici, eccetera). E in virtù di questo sopravvissuto utilizzo, piace molto anche ai truffatori che fanno smishing, ossia il phishing tramite SMS, appunto.
Il messaggio riportato è a prima vista verosimile, ma in realtà ha sufficienti caratteristiche per essere identificato come “trappola”. Escludendo un motivo strettamente personale legato al numero telefonico su cui è arrivato (numero che non è abbinato ad alcuna utenza di Poste Italiane, ragione che fa precipitare al suolo qualunque possibile attendibilità), troviamo un messaggio scritto in modo non consono all’ente che dovrebbe averlo spedito:
Abbiamo verificato accesso anomalo
Eventualmente dovremmo leggere “un” accesso anomalo (lo so, potrebbe sembrare irrilevante, ma gli SMS provenienti da Poste Italiane sono solitamente scritti in buon italiano). Ma c’è anche un link anonimo:
https://is.gd/pst2022
Il servizio con indirizzo is.gd permette di generare link brevi che sostituiscono indirizzi più lunghi, per farli diventare di facile riscrittura o dettatura, ma anche per occupare meno caratteri in un messaggio SMS o un tweet. Il nome PosteInfo è legato abitualmente a un mittente attendibile da cui potremmo ricevere SMS di vario tipo, inclusi gli aggiornamenti su una spedizione in arrivo, il cui link però è quasi sempre del tipo https://www.poste.it/eccetera.
Da un dispositivo sicuro (per quanto possibile) ho provato a seguire il link indicato, non si riesce ad approdare ad un sito web, il caricamento si ferma prima e permette solo di vedere l’indirizzo di destinazione del link abbreviato: belleviewvenue.com. Che verosimilmente non ha nulla a che fare con Poste Italiane, ma che potrebbe essere (come sempre accade) legato ad un form di richiesta credenziali. Da evitare come la peste.
Tag: cybersecurity, phishing, poste, security, sicurezza, smishing, sms, truffa
C’è da scuotere la testa a leggere, in questi giorni, le parole di Franco Gabrielli, attualmente Sottosegretario di Stato con delega alla sicurezza nazionale. In un’intervista al Corriere della Sera Gabrielli ha parlato di segnali di crisi e alert su possibili attacchi informatici esistenti già da gennaio, dichiarando:
“Dobbiamo imparare a vivere gli alert come gli annunci di eventi meteorologici avversi: non con disperazione ma con spirito di reazione per evitare le conseguenze peggiori. Tenendo presente che scontiamo i limiti strutturali di un sistema di server pubblici inadeguato, e che pure in questo ambito dobbiamo liberarci da una dipendenza dalla tecnologia russa».
«Per esempio quella di sistemi antivirus prodotti dai russi e utilizzati dalle nostre pubbliche amministrazioni che stiamo verificando e programmando di dismettere, per evitare che da strumento di protezione possano diventare strumento di attacco».
Nessun nome viene pronunciato nell’intervista, ma già qualche anno fa era emerso che le soluzioni di sicurezza di Kaspersky Lab, da tempo accusate di essere suscettibili di subire interferenze da parte del governo russo, erano state adottate da molte pubbliche amministrazioni italiane: tra queste – si legge in un articolo di Euronews – vari ministeri inclusi Difesa, Giustizia, Infrastrutture, Economia, Interno, Istruzione, Sviluppo Economico, alcune Authority (Agcom e Antitrust), l’Enav, il CNR e la Direzione centrale dei Servizi Elettorali.
L’argomento “Kaspersky” però potrebbe essere solo l’ultima criticità “a valle” di un problema ben più complesso: Gabrielli ha parlato esplicitamente di un sistema di server pubblici inadeguato e, se teniamo conto che solo nel 2021 è stata istituita una Agenzia per la Cybersicurezza Nazionale, capiamo che l’inadeguatezza non è semplicemente una questione di sistemi obsoleti o sottodimensionati, o di un piano in attesa dell’approvazione di un budget appropriato, le vulnerabilità sono alle fondamenta e derivano anche da una consapevolezza tardiva dell’importanza della sicurezza nell’infrastruttura informatica della pubblica amministrazione, che già nel 2017 venne etichettata come “un colabrodo” da Giuseppe Esposito, allora vicepresidente del Copasir.
Dico che le vulnerabilità derivano anche da una consapevolezza tardiva perché c’è un altro aspetto da considerare: il problema della dipendenza tecnologica non deve farci guardare solo in direzione della Russia, ma verso tutte le realtà di provenienza esterna a organismi e alleanze di cui fa parte l’Italia (ad esempio Unione Europea, Nato). Adottare soluzioni e piattaforme di aziende estranee a questa sfera fanno sfuggire quella sovranità tecnologica che potrebbe dare maggiori garanzie, soprattutto in enti e organizzazioni che hanno rilevanza critica per il Paese. Considerando che un software come un antivirus è in comunicazione frequente e continua con i server dell’azienda da cui proviene (ad esempio per il download di tutti i vari aggiornamenti e l’upload di log per analisi di quanto rilevato), è comprensibile la massima attenzione su questo fronte.
Una curiosità: lo scorso anno è stato pubblicato il rapporto Telehealth take-up: the risks and opportunities (tradotto sommariamente: L’adozione della telemedicina: i rischi e le opportunità), con i risultati di un’indagine che ha coinvolto un campione di 389 fornitori di servizi sanitari di 36 Paesi, da cui è risultato che l’89% delle organizzazioni sanitarie italiane utilizza apparecchiature e dispositivi medici con sistemi operativi obsoleti (e quindi privi di quel supporto che ne garantirebbe le possibilità di aggiornamento per la sicurezza).
Se non l’avete già scoperto cliccando sul link inserito nel titolo del rapporto, ve ne svelo l’autore: Kaspersky Lab.
Tag: #ACN, antivirus, consapevolezza, copasir, cybersecurity, Franco Gabrielli, giuseppe esposito, governo, informatica, italia, kaspersky, sicurezza, sistemi, sovranità tecnologica, vulnerabilità
Risulta valido – agli occhi della app VerificaC19 – il QR Code corrispondente al Green Pass legato al nome di Adolf Hitler con data di nascita 01/01/1930, diffuso in rete nelle scorse ore. Al netto delle palesi incongruenze che questa “certificazione” può presentare – fra le quali quella di minore importanza è la data di nascita non attendibile – questa “validità” dimostra che qualcuno ha preso possesso delle chiavi private utili a generare Green Pass formalmente validi, portando alla luce un rilevante problema di sicurezza.
Raid Forums è la fonte in cui è comparso il primo QR Code “intestato” al Führer, con i dati di una vaccinazione somministrata in Francia in data 11/07/2021 con una dose del vaccino Janssen (Johnson & Johnson). E’ fuori discussione che si tratti di una contraffazione e nel forum un utente che si presenta come przedsiebiorca dichiara di poter realizzare – per 300 dollari – Green Pass rilevati come validi dalle app autorizzate a leggerne i QR Code.
Assodato che un normale cittadino europeo non può aver accesso al sistema in grado di generare i Green Pass, non è affatto detto che il pittoresco caso del certificato intestato ad Adolf Hitler sia un esempio isolato di un’iniziativa dimostrativa, tant’è che ne esistono varie versioni (anche con data di nascita 01/01/1900 ad esempio). E se la possibilità di emettere un Green Pass è in mani sbagliate – eventualità che nessuno ora può escludere – è verosimile pensare che esistano molti certificati fasulli, ma formalmente ritenuti validi dai sistemi abilitati a verificarli. Questo renderebbe necessario:
- annullare la validità di tutti i certificati emessi con le chiavi finora utilizzate
- cambiare le chiavi
- riemettere con tali chiavi nuovi certificati per i cittadini già in legittimo possesso di un Green Pass (che in tal caso se lo vedranno revocare e sostituire)
Ovviamente, in parallelo a quel “cambiare le chiavi” è assolutamente necessario capire in che modo sia avvenuto l’utilizzo abusivo delle chiavi e adottare tutte le soluzioni per risolvere il problema e fare in modo che l’eventualità non si ripresenti.
Aggiornamento (28/10/2021): il QR Code legato al nome di Adolf Hitler ora non risulta più “valido”
Tag: Adolf Hitler, certificato, certificazione, chiavi, coronavirus, covid-19, crittografia, cybersecurity, green pass, Raid Forums, sicurezza, verde, VerificaC19
Ritrovarsi con l’hard disk pieno di file inutili e sapere che il problema è causato da un bug di Microsoft Defender, il software integrato in Windows, è la prova del nove del fatto che quel software non è una soluzione di security sufficiente. In realtà si allontana anche dal concetto di sicurezza, perché se questo problema può generare – come si legge su Reddit – milioni di file superflui occupando decine di GB in modo incontrollato, significa che improvvisamente pc e server possono improvvisamente bloccarsi. Se questo accade su computer con applicazioni importanti o critiche, è facile immaginare quali problemi potrebbero presentarsi.
Negli aggiornamenti periodici di Windows sono previsti anche quelli di Defender e questo automatismo, ad alcuni utenti, risponde a due esigenze principali:
- essere “a norma” (in quanto un sistema di antivirus aggiornato è una misura di sicurezza prevista per legge);
- avere uno strumento di sicurezza informatica che mette al riparo dagli inconvenienti
Se la prima di queste può dirsi soddisfatta, la seconda viene smontata dalla notizia che il software può riempire l’hard disk di fuffa, oltre che dal fatto che si tratta di uno strumento notoriamente molto light e di limitata efficacia. Sinceramente è poco consolante che con un nuovo aggiornamento sia possibile risolvere il problema con la versione 1.1.18100.6, del motore di Defender (gli utenti che hanno ancora la versione 1.1.18100.5 possono fare manualmente le pulizie cancellando i file che si trovano in questo percorso: C:\ProgramData\Microsoft\Windows Defender\Scans\History\Store).
La reputazione non eccelsa di questa applicazione ha ricevuto un altro colpo che dovrebbe spingere il produttore stesso a correre i ripari. Se siete utenti Microsoft, e per la sicurezza del vostro computer finora vi siete limitati ad affidarvi alla dotazione di serie, è tempo di pensare a qualcosa di più robusto. Le soluzioni, anche gratuite, non mancano e per aiutarvi a scegliere potete consultare fonti come Virus Bullettin o AV Comparatives.
Fra le soluzioni free più diffuse troviamo
Naturalmente il discorso vale anche per gli utenti Mac, che non sono esenti da inconvenienti, anche se gli attacchi puntano al mondo Microsoft che – come riferisce Netmarketshare, – rappresenta una quota del 87,5% del mercato mondiale (quella di MacOS è pari al 9,7%). Va soprattutto considerato che il sistema operativo di Apple include in partenza un maggior numero di funzioni e soluzioni di sicurezza, che vanno da XProtect (un antivirus essenziale che rimane pressoché invisibile all’utente) a Gatekeeper (che verifica l’affidabilità dei software scaricati), senza dimenticare altre funzionalità come la Library Randomization e l’adozione di una partizione nascosta (e in sola lettura) per i file di sistema.
In conclusione, è paradossale che un sistema di difesa e sicurezza, nato per permettere agli utenti di lavorare serenamente, generi problemi e inconvenienti. Ma d’altronde il contesto è caratterizzato da un altro paradosso, ben più famoso: nel mondo digitale, l’unica cosa di cui possiamo essere assolutamente sicuri al 100% è che la sicurezza assoluta al 100% non esiste.
Tag: aggiornamenti automatici, cybersecurity, Defender, microsoft, sicurezza, windows
Disservizi, hacker, vulnerabilità. Ormai le notizie sulle violazioni di piattaforme online sono all’ordine del giorno e ci danno la misura di quanto la sicurezza informatica sia tanto sottovalutata quanto fondamentale. Se volete sapere qualcosa di più sul leak dei dati di 533 milioni di utenti di Facebook (già accennato in gennaio), seguite il video con lo spiegone definitivo di Matteo Flora, davvero il più esaustivo sul tema. Io invece pongo l’attenzione sul cosiddetto hackeraggio dei registri elettronici.
Non bastavano DAD e DID a rendere problematico l’anno scolastico: ci mancava anche un attacco informatico sferrato ai danni di Axios Italia, sulla cui piattaforma si appoggiano il 40% delle scuole italiane. Il Registro elettronico è in pratica la risorsa che mantiene traccia delle presenze degli studenti, delle attività svolte, delle valutazioni, di compiti e consegne. Ma è anche lo strumento in cui gli insegnanti trasmettono comunicazioni di servizio a studenti e famiglie. Una piattaforma informativa fondamentale.
L’attacco ha generato un disservizio che ha reso inaccessibili i server e di cui l’azienda, il 3 aprile, ha dato conto immediatamente:
Gentili Clienti, a seguito di un improvviso malfunzionamento tecnico occorso durante la notte, si è reso necessario un intervento di manutenzione straordinaria. Sarà nostra cura darVi comunicazione alla ripresa del servizio.
Lunedì 5, la precisazione:
Gentili Clienti, a seguito delle approfondite verifiche tecniche messe in atto da Sabato mattina in parallelo con le attività di ripristino dei servizi, abbiamo avuto conferma che il disservizio creatosi è inequivocabilmente conseguenza di un attacco ransomware portato alla nostra infrastruttura.
Dagli accertamenti effettuati, al momento, non ci risultano perdite e/o esfiltrazioni di dati. Stiamo lavorando per ripristinare l’infrastruttura nel più breve tempo possibile e contiamo di iniziare a rendere disponibili alcuni servizi a partire dalla giornata di mercoledì.
I disservizi si sono protratti fino ad oggi, giornata in cui molti studenti italiani (approssimativamente due terzi) hanno ripreso le lezioni “in presenza”.
Va riconosciuta ad Axios una prontezza di reazione che le ha consentito di tamponare l’emergenza, trasmettendo istruzioni ad hoc per la gestione del registro in questa situazione. Ma va riconosciuto innanzitutto l’aspetto più serio: un problema di cybersecurity – in questo caso un attacco ransomware – può colpire anche l’istruzione. Eventualità che era già possibile o prevedibile, ma la vicenda rende evidente che anche al mondo della scuola e delle piattaforme che ne offrono i servizi – come si è visto anche in Francia – tocca fare i conti con il problema della sicurezza e la protezione delle informazioni, in massima parte legate ad attività svolte da utenti di minore età.
Tag: Axios, cloud, cybersecurity, elettronici, elettronico, francia, informatica, italia, ransomware, registri, registro, scuola, sicurezza
Il Comando Strategico dell’Esercito USA domenica ha pubblicato un tweet con questo messaggio:
;l;;gmlxzssaw,
Non è il nuovo nome del vaccino anti covid-19 di AstraZeneca e non ci sarebbe nulla di allarmante, se non fosse uscito da uno dei centri di comando del dipartimento americano della difesa, che controlla l’intero arsenale nucleare delle forze armate, comanda la difesa missilistica e svolge altre attività strategiche. Visto il peso dell’ente, messa da parte l’idea di un’incomprensibile violazione da parte di gruppi hacker malintenzionati, le ipotesi che si sono susseguite sono state le più disparate: violazione dell’account da parte di ignoti? Un improbabile messaggio in codice inviato a destinatari altrettanto ignoti? Il tweet poi è sparito, ma il mistero sulla sua pubblicazione è rimasto per qualche ora, finché non ne è stata chiarita la natura: si era trattato semplicemente di un messaggio senza senso, colpa di un’incauta gestione del telelavoro.
“Il gestore Twitter del comando, mentre si trovava in telelavoro, ha lasciato momentaneamente l’account Twitter del comando aperto e incustodito. Il suo giovanissimo figlio ha approfittato della situazione e ha iniziato a giocare con i tasti e purtroppo, inconsapevolmente, ha pubblicato il tweet“.
Questa è la risposta ufficiale data dal Comando a Mikael Thalen, che ne ha scritto su DailyDot, sgombrando il campo da ulteriori congetture nefaste o complottiste. Quindi non è stato il Comando Strategico dell’Esercito USA a pubblicare quel tweet, ma un innocente bambino.
L’aneddoto è utile a mettere a fuoco il tema dell’attenzione richiesta nel lavoro svolto da casa nelle sue varie declinazioni, dal telelavoro allo smart working (che non sono la stessa cosa, ma si inseriscono in un contesto di attività fuori sede che include anche dad o did). In questo caso non è accaduto assolutamente nulla di grave o irreparabile: il rischio comportato dalla leggerezza di lasciare per qualche istante – a casa propria – un computer incustodito con l’account Twitter aperto, mentre per casa si aggira un bambino curioso, è abbastanza irrisorio.
Lo scenario cambierebbe parecchio se il computer rimanesse disponibile e aperto su applicazioni con informazioni più critiche, annullabili da un delete (tasto di cancellazione) o dalla chiusura accidentale di un programma senza aver salvato nulla, o su un messaggio di posta elettronica ancora da correggere prima di essere spedito. Beninteso: probabilmente l’ambiente domestico è foriero di imprevisti meno gravi di quelli che potrebbero verificarsi in un ufficio o un laboratorio in cui un computer possa essere lasciato “aperto” con informazioni sensibili lasciate in bella mostra. Per non parlare del problema che si ripropone quando vengono lasciate incustodite le password. Rimane il fatto che, onde evitare spiacevoli inconvenienti, quando si lascia momentaneamente un computer, anche per pochi istanti, è opportuno bloccarne lo schermo:
- Ambiente Windows: tasto Windows + L
- Ambiente Mac: tasti CMD + CTRL + Q
- Ambienti Linux: una possibilità passa dai tasti CTRL + ALT + L (ma esistono altre possibilità, dovreste saperlo meglio di me!)
Tag: cybersecurity, defense, department, difesa, network, security, sicurezza, smart working, social, telelavoro, telework, tweet, twitter, usa, USSTRATCOM
Clubhouse ha qualche problema di privacy. Nel nuovo audio social network, su cui già esistevano perplessità in materia di riservatezza, a un utente è stato infatti possibile condividere gli audio di una “stanza” e ritrasmetterli esternamente in streaming tramite un sito web. Il leak è stato confermato dalla Alpha Exploration (l’azienda che ha realizzato la piattaforma), ed è stato reso noto solo pochi giorni dopo la scoperta, da parte dello Stanford Internet Observatory (SIO), di una vera e propria falla nella sicurezza del sistema, foriera di intrusioni non autorizzate e trasmissioni di dati.
Secondo quanto rilevato, la piattaforma si basa su tecnologie sviluppate della società cinese Agora, che secondo i ricercatori del SIO potrebbe accedere agli audio degli utenti e fornirne i contenuti al governo cinese. A quanto pare, però, esiste una vulnerabilità che è stata sfruttata, appunto, da un utente che ha scoperto come condividere le conversazioni, rendendole accessibili anche a utenti non iscritti, semplicemente sfruttando un sito esterno, chiamato OpenClubhouse.
Secondo quanto riferito da Bloomberg, Clubhouse ci ha messo una pezza bannando l’utente e dichiarando di aver apportato opportune contromisure, azione che presso il SIO non viene ritenuta credibile. Un problema non da poco e indubbiamente da risolvere in modo concreto, considerando la crescita esponenziale registrata in queste ultime settimane, in cui il social ha raggiunto quota 8 milioni di download, grazie anche all’ingresso di numerosi personaggi come Elon Musk, Kanye West e Mark Zuckerberg, che hanno indubbiamente contribuito ad accrescerne la popolarità.
Ma senza un deciso cambio di rotta sul fronte della sicurezza, tanta popolarità dopo l’entusiasmo per l’app del momento potrebbe tradursi in un problema di cattiva reputazione, per risolvere il quale una pezza non può essere sufficiente.
Tag: Agora, Alpha Exploration, Bloomberg, cina, clubhouse, consapevolezza, Elon Musk, Kanye West, mark zuckerberg, OpenClubHouse, privacy, sicurezza, social network
Dopo aver esclamato molte volte “You’re fired!” nello show The Apprentice, tocca a Donald Trump essere… “sbattuto fuori”. Definitivamente, da Twitter, come ha confermato ieri Ned Segal (CFO della piattaforma social) in un’intervista concessa a CNBC. :
“Per come funzionano le nostre politiche, quando vieni rimosso dalla piattaforma… sei rimosso dalla piattaforma, sia che tu sia un commentatore, che tu sia un CFO o che tu sia un ex o attuale funzionario pubblico”
La sospensione dell’account – annunciata e attuata l’8 gennaio, in seguito all’assalto a Capitol HIll – viene quindi ufficialmente confermata come irreversibile. L’account, però, non è stato esattamente eliminato: è online e rimane nella condizione di sospeso, un monito che viene mantenuto per trasmettere a tutti il messaggio che chi non rispetta le condizioni che ogni utente ha sottoscritto, è fuori dalla piattaforma. E in questo caso per sempre.
Una distorsione c’è: ciò che un utente condivide pubblicamente su Twitter non è a circuito chiuso, non è riservato ai soli iscritti (pochi o tanti che siano), è pubblico e potenzialmente visibile a tutto il mondo senza la necessità di essere iscritti alla piattaforma. Si tratta comunque di un’azienda privata, che ha sicuramente tutto il diritto di concedere agli utenti il proprio spazio alla condizione che vengano rispettale le regole di utilizzo richiamate al momento dell’iscrizione. E proprio nelle righe iniziali delle Regole di Twitter si legge:
Sicurezza
Violenza: non puoi minacciare di ricorrere alla violenza contro un individuo o un gruppo di persone. Anche l’esaltazione della violenza è un comportamento proibito. Per saperne di più, leggi le nostre norme sulle minacce di violenza e sulla esaltazione della violenza.
Nelle norme sull’esaltazione della violenza si legge:
Che cosa succede in caso di violazione di queste norme?
Le conseguenze della violazione delle nostre norme sull’esaltazione della violenza variano in base alla gravità della violazione e ai precedenti dell’account sulla nostra piattaforma.
Alla prima violazione ti chiederemo di rimuovere il contenuto e bloccheremo temporaneamente l’accesso all’account per impedirti di twittare di nuovo finché non avrai provveduto alla rimozione. Se continui a violare queste norme dopo aver ricevuto un avviso, il tuo account verrà sospeso in modo permanente. Se ritieni che il tuo account sia stato sospeso per errore, puoi inviare una contestazione.
Al netto dell’opportunità di inviare una contestazione, dal punto di vista di Twitter l’applicazione del regolamento è stato puntuale: Donald Trump è stato ritenuto l’istigatore dell’assalto al Congresso. Aveva già ricevuto avvisi in precedenza? Sì, anche se riferiti alla diffusione di informazioni riscontrate come non veritiere.
I presupposti indicati da Twitter consegnano al mondo un verdetto ritenuto accettabile dall’opinione pubblica. Nonostante però l’enormità della responsabilità e del “capo di imputazione”, importante pensando che Trump con quell’account aveva 88 milioni di persone a seguirlo (un numero considerevole, all’interno del quale non è improbabile trovare sciamani o facinorosi), si tratta di un verdetto arbitrario in quanto deciso e attuato unilateralmente dal titolare della piattaforma, che crea in tal modo un precedente che potrebbe avere strascichi pericolosi e innescare altre “sospensioni”, su Twitter come su altre piattaforme social.
Sanzioni soggettive, che per non esserlo richiederebbero anch’esse una regolamentazione, e – proprio per questo motivo – simili provvedimenti dovrebbero essere competenza di un organismo indipendente o un’Authority, e non lasciati alla discrezione di aziende private che in questa visione rivestono una funzione di pubblico ufficiale. Il succo del discorso è: non discutiamo del fatto che Twitter abbia fatto bene o male a sospendere a vita l’account di Trump. Discutiamo invece del fatto che questa responsabilità debba essere attribuita a un organismo indipendente e auspicabilmente super partes.
Altrimenti andrebbe rivisto un principio a monte, come ha osservato Farhad Manjoo, editorialista del New York Times, che pone un dubbio non peregrino: potrebbe essere opportuno che a tutti i politici, con particolare riguardo a capi di stato e di governo, venga proibito l’utilizzo dei social network a titolo personale?
Una persona a capo di uno Stato dovrebbe avere cose migliori da fare. Se il presidente vuole parlare, dovrebbe salire su un podio, pubblicare un comunicato stampa, parlare con un giornalista, comprare un annuncio o convocare i media allo Studio Ovale. La possibilità di scrivere i propri pensieri sulla guerra mentre si guarda la TV forse andrebbe lasciata a persone che non possono mettere fine al mondo premendo un pulsante.
Joe Biden sta sicuramente facendo uso di Twitter anche a livello istituzionale, ma la prassi che sta seguendo rende il social network non indispensabile: contrariamente al suo predecessore, si avvale di una portavoce che ogni giorno in conferenza stampa rende noti i suoi impegni. Certamente può apparire distante da chi fa uso (e abuso) dei social network, ma è senz’altro meno attaccabile sotto molti fronti.
Tag: assalto, Capitol Hill, condizioni, donald trump, Farhad Manjoo, Ned Segal, norme, regole, sicurezza, twitter, violazione, violenze
DARIO BONACINA 