WhatsApp posticipa al 15 maggio l’entrata in vigore delle nuove condizioni di utilizzo dei dati. Le preoccupazioni degli utenti che si sono evidentemente affrettati a trovare soluzioni alternative (Telegram e Signal in primis, che hanno registrato un’impennata di download, ma non sono le uniche alternative valide) hanno allarmato l’azienda al punto di decidere di allungare i termini di introduzione delle novità in materia di privacy, spostandone la “scadenza” dall’8 febbraio al 15 maggio. Ma basterà?
WhatsApp in prima istanza aveva scritto agli utenti imponendo loro di accettare i nuovi termini entro febbraio, altrimenti l’account non sarebbe stato accessibile. I cambiamenti previsti non sono enormi – soprattutto per Unione Europea e Regno Unito – ma sono stati visti come un’invasione nella privacy per molti, che hanno temuto che contenuti delle chat e altri dati personali potessero essere “intercettati” e hanno così pensato di cercare nuove soluzioni di messaggistica. Telegram, ad esempio, ha sfondato il tetto dei 500 milioni di download (25 milioni negli ultimi tre giorni), mentre Signal ha superato quota 50 milioni e in questa settimana è stata l’app più scaricata in India, un mercato di riferimento per WhatsApp.
Le condizioni di prossima introduzione non verranno riformulate. Quindi cosa risolve questo spostamento di (oltre) tre mesi? L’azienda, in un post sul proprio blog, spiega di aver sentito da molti utenti che c’è molta confusione sul nuovo aggiornamento e di voler dare loro più tempo per comprendere meglio le nuove condizioni, perché “c’è stata molta disinformazione che ha destato preoccupazione” e assicura (traduco):
“Proteggeremo sempre le vostre conversazioni personali con la crittografia end-to-end, in modo che né WhatsApp né Facebook possano vedere questi messaggi privati. È per questo che non conserviamo i log delle persone che inviano messaggi o effettuano chiamate. Inoltre, non possiamo vedere la tua posizione condivisa e non condividiamo i tuoi contatti con Facebook.
Con questi aggiornamenti, niente di tutto ciò sta cambiando. Invece, l’aggiornamento include nuove opzioni che le persone avranno per inviare messaggi a un’azienda su WhatsApp e fornisce ulteriore trasparenza su come raccogliamo e utilizziamo i dati. Sebbene non tutti oggi facciano acquisti con un’attività su WhatsApp, riteniamo che più persone sceglieranno di farlo in futuro ed è importante che le siano consapevoli di questi servizi. Questo aggiornamento non estende la nostra capacità di condividere dati con Facebook.
Ora stiamo spostando la data entro la quale alle persone verrà chiesto di leggere e accettare i termini. A nessuno verrà sospeso o cancellato il proprio account l’8 febbraio. Faremo anche molto di più, per chiarire la disinformazione su come funzionano la privacy e la sicurezza su WhatsApp. Andremo incontro alle persone per rivedere gradualmente la politica prima che nuove opzioni di business siano disponibili il 15 maggio.
WhatsApp ha contribuito a portare la crittografia end-to-end a persone in tutto il mondo e ci impegniamo a difendere questa tecnologia di sicurezza ora e in futuro. Grazie a tutti coloro che ci hanno contattato e ai tanti che hanno contribuito a diffondere i fatti e a fermare le voci. Continueremo a fare il possibile per rendere WhatsApp il modo migliore per comunicare in privato”.
Il tentativo è stato fatto. Sarà sufficiente a parare il colpo? Tutto dipende dagli utenti che sono risolutamente migrati su altre app e da quanto – se interessati – riusciranno a convincere altri contatti a compiere, allargandone le proporzioni, la stessa transumanza. Chiaramente la app deve essere la stessa per tutti, anche per consentire un trasferimento completo alle chat di gruppo a cui, sicuramente, tutti sono affezionatissimi 😉
Mi piace:
Mi piace Caricamento...
Tag: condizioni, dati, messaggistica, privacy, sicurezza, Signal, telegram, termini, utilizzo, whatsapp
Stiamo facendo tutte le verifiche interne per accertare come sia potuta avvenire la pubblicazione di un simile contenuto. Non si esclude, al momento, l’ipotesi di un tentativo di hackeraggio da parte di qualcuno che in un momento così delicato come questo potrebbe aver agito intenzionalmente per danneggiare l’immagine del presidente.
Così ha dichiarato Dario Adamo, responsabile editoriale sito web e social media della Presidenza del Consiglio (come si legge nel decreto di nomina) in seguito alla pubblicazione su Facebook di una storia “anti-renziana”. La dichiarazione è ufficiale, pertanto si attenderà l’esito delle verifiche interne: se si fosse trattato di hackeraggio, il passaggio obbligato successivo sarebbe la denuncia alla Polizia delle Comunicazioni. Altrimenti, cosa potrebbe essere accaduto? Se si escludesse la pista della violazione dell’account, si dovrebbe guardare nella direzione di chi ha le credenziali per accedere al profilo del Presidente del Consiglio, il medesimo utilizzato per le conferenze stampa che vengono poi rilanciate dai canali ufficiali. Polithinks ne ha un’idea abbastanza chiara:
Troppe volte abbiamo assistito a gaffe pubblicate sui social network e poi ritrattate con la motivazione del profilo hackerato, episodi che poi non hanno avuto seguito, vale a dire che nulla si è più saputo sull’eventuale colpevole dell’hackeraggio. Al punto che ora c’è un crescente scetticismo di fronte a queste giustificazioni che, se oggi provengono da un’alta carica dello Stato, possono costituire un precedente utile per molti, che sui social possono pensare di ritrattare qualche scivolone con la dichiarazione scusante “il mio profilo è stato hackerato”. Con il rischio che nessuno creda più a dichiarazioni simili, neppure quando corrisponderanno al vero.
Come potrebbe avvenire per i 533 milioni di utenti di Facebook i cui dati personali sono stati trafugati e messi in vendita online attraverso un bot su Telegram, che consente di risalire al numero telefonico di una persona in base al suo ID, ma permette anche di ottenere altre informazioni. Brutta falla 😦
Mi piace:
Mi piace Caricamento...
Tag: 533 milioni, consiglio, cybersecurity, Dario Adamo, giuseppe conte, governo, hacker, hackeraggio, media, presidente, profilo, sicurezza, social network, telegram
Elon Musk qualche giorno fa ha twittato “Use Signal“, indicando questa app come alternativa a WhatsApp che, con le nuove condizioni di utilizzo, sta preoccupando molti utenti. Stabilito che per Unione Europea e Regno Unito le modalità di condivisione di informazioni con Facebook non cambieranno rispetto a quelle già in uso da qualche anno, è comunque legittimo guardarsi in giro, possibilmente nella direzione di servizi più rispettosi dei dati personali degli utenti. Ma in questo scenario esiste più di una soluzione.
Signal ha l’etichetta di app sicura perché non acquisisce la mole di dati che altre app raccolgono, oltre che per il suo sistema crittografico. L’organizzazione alle sue spalle, la Signal Foundation, è guidata da Matthew Rosenfeld, in arte Moxie Marlinspike, fra gli autori del Signal Protocol, un sistema di crittografia end-to-end che ha il vantaggio di essere open source e che è alla base dei sistemi di cifratura utilizzati da Skype, Messenger… e WhatsApp.
Un fattore che richiede attenzione sono i metadati: si tratta di informazioni relative agli interlocutori di una conversazione (con chi), ai dati temporali (a che ora e quanto tempo, quanto rimani al telefono, quanto sei online). Signal non li acquisisce, mentre WhatsApp sì. In verità li raccoglie anche Telegram che inoltre, al pari di Messenger, non applica la crittografia end-to-end in modalità predefinita (deve essere l’utente ad attivarla; Signal invece non permette neppure di disattivarla). Altro plus di Signal: la possibilità di avere messaggi che si autodistruggono.
Ma tra le app sicure disponibili ci sono anche Threema e Wire. L’utente che inizia ad utilizzare Threema rimarrà colpito dal fatto che questa app non utilizza il numero telefonico come identificatore, prassi invece seguita da WhatsApp e Signal, ad esempio. L’ID utente è una sequenza alfanumerica frutto dello scorrimento del dito della mano mentre sul display compare una matrice di lettere e numeri che cambiano continuamente. Contatti e gruppi rimangono memorizzati solo sul telefono (non nell’applicazione e quindi non vengono trasmessi al cloud). Un minus di Threema è che non è gratuita, è quindi da valutare l’investimento di Eur 3,99.
Anche Wire assicura la crittografia end-to-end (a chat e chiamate vocali e video, anche di gruppo), consente la condivisione del proprio schermo con un utente e un gruppo, e può essere utilizzata da otto dispositivi differenti (sincronizzati). Fra i suoi plus, chiamate di gruppo fino a 300 interlocutori e la possibilità – a pagamento – di invitare un non-utente (privo di account) in una room protetta, accessibile da browser. Minus: raccoglie i metadati.
Mi piace:
Mi piace Caricamento...
Tag: app, cifratura, condivisione, consapevolezza, crittografia, facebook, instagram, Marlinspike, messenger, metadati, Musk, privacy, Protocol, security, sicurezza, Signal, skype, telegram, Threema, whatsapp, Wire
Ho. mobile, operatore del gruppo Vodafone, ha confermato di essere rimasto vittima di un attacco che ha portato la sottrazione dei dati personali “di parte degli utenti”, come è stato anticipato la scorsa settimana.
Il comunicato, da un lato, cerca di tranquillizzare la clientela:
L’azienda comunica che non sono stati in alcun modo sottratti dati relativi al traffico (sms, telefonate, attività web, etc.), né dati bancari o relativi a qualsiasi sistema di pagamento dei propri clienti.
Ma la conferma del tipo di dato sottratto all’azienda è nella risposta alla prima delle successive domande frequenti:
Quali dati sono stati sottratti?
Dalle ulteriori verifiche effettuate, che sono tuttora in corso, emerge che sono stati sottratti illegalmente alcuni dati di parte della base clienti con riferimento ai soli dati anagrafici (nome, cognome, numero di telefono, codice fiscale, email, data e luogo di nascita, nazionalità e indirizzo) e tecnici della SIM. NON sono stati in alcun modo sottratti dati relativi al traffico (telefonate, SMS, attività web, etc.) né dati bancari o relativi a qualsiasi sistema di pagamento dei propri clienti.
Come detto la scorsa settimana, è proprio con questi “soli dati anagrafici (…) e tecnici della SIM” che è possibile effettuare un’operazione di “sim swap”, che sostanzialmente permette di trasferire l’utenza su un’altra sim, quindi di clonarla… e questo non è meno preoccupante! Se ad esempio un utente avesse indicato quel numero telefonico come riferimento per ricevere OTP (One Time Password) per la conferma di pagamenti via bonifico o tramite carta di credito, un’eventuale clonazione della sua utenza consentirebbe ad altri di confermare transazioni a proprio beneficio. Prospettiva tutt’altro che rassicurante…
L’azienda comunque assicura che gli utenti i cui dati sono stati effettivamente copiati riceveranno una comunicazione personale con le indicazioni da seguire (simile a quella qui riportata). Ai clienti viene offerta inoltre la possibilità di chiedere gratuitamente la sostituzione della sim, che può essere effettuata solamente di persona presso un rivenditore autorizzato (la procedura prevede il riconoscimento fisico del cliente).
Mi piace:
Mi piace Caricamento...
Tag: attacco, consapevolezza, dark web, data breach, dati personali, hacker, ho. Mobile, OTP, privacy, security, sicurezza, sim swap, vodafone
Se siete clienti di ho. Mobile (l’operatore di telefonia mobile low cost di Vodafone) questa notizia potrebbe interessarvi: ieri sera su Twitter è comparsa la notizia di un attacco hacker ai suoi danni dell’azienda, che avrebbe ottenuto un database con i dati anagrafici di 2,5 milioni di utenti, il cui contenuto sarebbe in vendita sul dark web. Cosa contiene questo archivio? Per ogni cliente ci sarebbe nome, cognome, codice fiscale, data di nascita, numero di telefono, email, indirizzo di residenza completo e codice ICCID della scheda telefonica.
Con questi dati un hacker può fare un’operazione che si chiama “sim swap” (trasferire l’utenza su un’altra sim, quindi sostanzialmente clonarla). Per andare al sodo, ecco i rischi possibili e le contromisure:
- se un giorno perdete il segnale e non capite il perché: ve l’hanno clonata, rivolgetevi a un punto vendita/centro assistenza e chiedete il “cambio carta” (vi daranno una nuova sim legata al vostro numero telefonico);
- se usate quel numero di telefono per l’autenticazione a due fattori su qualche servizio (ad esempio: conferma disposizioni da internet banking con OTP, ossia un codice temporaneo inviato da sms), comunicate alla banca un numero telefonico diverso.
Vedremo se l’azienda confermerà l’attacco e il data breach. Se ci saranno aggiornamenti, saranno integrati in questo post 😉
AGGIORNAMENTO: breach confermato, come da comunicazione pubblicata in homepage sul sito dell’azienda all’indirizzo https://www.ho-mobile.it/comunicazione/
Ne parlo in questo post: https://blog.dariobonacina.net/2021/01/04/ho-mobile-confermato-il-furto-di-dati-personali/
Mi piace:
Mi piace Caricamento...
Tag: attacco, consapevolezza, dark web, data breach, dati personali, hacker, ho. Mobile, OTP, privacy, security, sicurezza, sim swap, vodafone
Possibile che qualcuno abbia già il vaccino “anti-Covid-19″, mentre le organizzazioni sanitarie nazionali lo stanno ancora ordinando ai produttori? Non è facile crederlo, eppure su Vice World News leggiamo che sulla darknet si trovano venditori che lo propongono, anche a prezzi esorbitanti, ad esempio oltre 1.300 dollari per singola dose. Due dei venditori interpellati dichiarano addirittura di aver acquistato il vaccino tramite il governo americano e di averlo già venduto a più clienti.
Quanto è probabile che queste offerte siano attendibili? Già non è semplice acquistare un farmaco online presso un sito di e-commerce ordinario, figuriamoci nel dark web in cui sembra che qualcuno possa vendere il vaccino Pfizer-BioNTech. Innanzitutto si può serenamente dubitare di un sito web che vende un vaccino presentando solamente una foto facilmente reperibile con un motore di ricerca, tanto più che delle (false) vendite online di vaccini si era già parlato lo scorso aprile, quando cominciarono a spuntare le prime inserzioni pubblicitarie.
Vanno poi tenute presente alcune considerazioni, sia tecniche che etiche. Innanzitutto è noto che per quel vaccino è prevista la conservazione a -70°: potrebbe essere consegnato agevolmente, con un corriere attrezzato in tal senso? Inoltre si tratta di un sistema discriminatorio, che bypassa i sistemi sanitari (con le relative pianificazioni in base ad esigenze legate a fragilità dei pazienti, fasce d’età, eccetera) e privilegia acquirenti facoltosi. E tutto questo al netto del fatto che chi lo acquista non ha accesso alla documentazione sulla sperimentazione e sugli studi effettuati.
Per cui, alla domanda della persona che mi ha scritto “Si può trovare su internet il vaccino anticovid?”, la risposta per me è NO. Sulla salute non si specula.
Mi piace:
Mi piace Caricamento...
Tag: biontech, covid-19, dark web, darknet, farmaci, online, pfizer, salute, sicurezza, speculazioni, truffe, vaccini, vaccino, vendita
Avete un account per l’Internet banking? Fate acquisti online pagando con carta di credito o strumenti come PayPal? Fate molta attenzione ai messaggi che vi invitano a confermare i vostri dati personali sul sito di uno di quei servizi, molto probabilmente si tratta di phishing: in tal caso il messaggio è una trappola con un link che, anziché portare al sito che vi interessa, rimanda ad una pagina web fasulla, realizzata appositamente per trarre in inganno gli utenti e indurli a inserire le proprie credenziali.
Inutile dire che così username e password finiscono in mani sbagliate. Dall’altra parte c’è chi può utilizzare l’account a nome di altri e utilizzarne conto corrente e carte di credito, ma c’è anche chi potrebbe rivendere i dati personali altrui sul dark web. E le conseguenze potrebbero non essere solo economiche: come spiega Kaspersky, in alcuni casi i dati altrui possono essere utilizzati a scopo di doxing: il doxing – o doxxing – consiste proprio nella ricerca e nella pubblicazione di informazioni private, personali se non sensibili, per ridicolizzare, denigrare o mettere in pericolo qualcuno.
Questo tipo di informazioni può essere ottenuto in molti modi, da contenuti condivisi superficialmente su social network, ma anche – come detto prima – tramite phishing. E sul dark web c’è un autentico mercato nero di informazioni personali che possono avere tariffe differenziate. Nomi, date di nascita, documenti di identità e codici fiscali possono costare anche meno di un euro, mentre la foto di una persona, un suo documento o una cartella clinica possono costare qualche decina di euro. Si possono trovare anche le credenziali per accedere a un conto corrente, e possono costare molto di più.
Quando ricevete un messaggio e-mail che sembra provenire da una banca, dall’istituto che ha emesso la carta di credito, dall’azienda che vi fornisce l’energia elettrica, dalle Poste o da qualunque mittente che possa sembrarvi affidabile, prima di cliccare sul primo link che trovate, verificate che si tratti effettivamente di ciò che sembra. A volte basta poco, perché il messaggio esteticamente è diverso da quelli autentici, o perché ci sono dettagli rivelatori nel testo del messaggio, che spesso tradisce una scarsa padronanza della lingua italiana. A volte il messaggio è invece ben realizzato, quindi dovete verificare l’indirizzo internet (url) del link che vi è stato indicato.
Guardate l’esempio dell’immagine seguente: l’indirizzo è chiaramente estraneo a Poste Italiane, ma spesso gli utenti non ci fanno nemmeno caso e proseguono a navigare ignari del pericolo. Occhio!
Lo stesso possiamo dire per questa pagina web, che evidentemente non è di Amazon:
Mi piace:
Mi piace Caricamento...
Tag: amazon, cyberbullismo, doxing, doxxing, paypal, phishing, poste italiane, security, sicurezza, truffa
Non abbiamo imparato niente: nonostante negli ultimi tempi si siano verificati numerosi casi di attacchi hacker, ransomware e violazioni di database con credenziali e dati riservati di utenti, siamo ancora così pigri da usare sempre le password più facili, intuibili e indovinabili. Le più stupide, quindi, come si può vedere nella classifica compilata da NordPass, che qui possiamo vedere in tutto il suo splendore…
Tutte abbastanza intuibili, in funzione del contesto in cui si lavora (per quanti se lo fossero chiesto, senha significa “password” in portoghese). I motivi per cui la password stupida regna sovrana sono sempre gli stessi: il tempo e la memoria.
Il tempo, perché la gravosa attività di pensare a quale nuova password scegliere viene vista come una rottura di scatole, per cui sovente si pensa rapidamente a quale inventarsi, e magari lo si fa di corsa perché una password è scaduta e si ha fretta di accedere, ma anche per digitarla serve (poco) tempo.
La memoria, perché ovviamente poi la password bisogna ricordarsela, per cui più è semplice, più sarà semplice ricordarsela… infatti, come dico spesso: si fa prima con “0000” oppure con “Qp5%èMa9C#”?
Però c’è un’altra cosa che osservo sempre: onestamente, tra digitare una password di 4 zeri e una password complessa, pur composta da lettere, numeri e caratteri speciali, c’è una differenza di qualche secondo. E’ da considerare come un investimento di tempo, breve ma utile alla sicurezza delle informazioni che dobbiamo proteggere.
Altrimenti è troppo facile indovinare le credenziali di un utente. Poi tocca dar ragione a quei personaggi che prima scrivono boiate su Twitter e Facebook, poi si accorgono di averla fatta grossa e ritrattano, accampando una scusa evergreen come “Non l’ho scritto io, il mio profilo è stato hackerato”.
Mi piace:
Mi piace Caricamento...
Tag: 123456, complessità, consapevolezza, credenziali, cybersecurity, facilità, password, sicurezza, vulnerabilità
21 settembre: i media parlano di un attacco hacker alla Luxottica, con conseguente blocco della produzione nelle sedi Agordo e Sedico (BL). L’azienda – riferisce una nota sindacale Femca-Cisl – dichiara di aver subito un “tentativo mosso dall’esterno di entrare negli apparati informatici Luxottica”. Un attacco ransomware che però, riporta la stessa nota, sarebbe riuscito solo in parte perché le misure di protezione avrebbero retto, non si sarebbe verificato alcun data breach e il blocco della produzione sarebbe stato la conseguenza di una disconnessione precauzionale dei server.
20 ottobre: un tweet di Odisseus, un ricercatore indipendente, svela che Nefilim – un gruppo criminale – ha diffuso sul dark web ben 2 GB di dati dell’azienda veneta, pubblicando una dichiarazione che si conclude così:
Sembra che i consulenti per la sicurezza non sappiano fare il loro lavoro, o che sia stato chiesto loro da Luxottica di mentire per loro. Luxottica sapeva che il breach era avvenuto e ha ricevuto le prove
Oggetto del breach, informazioni sulle risorse umane e sul settore finanziario. La rivelazione spazza via tutte le minimizzazioni diffuse a settembre e fa apparire uno scenario per nulla rassicurante. A farne le spese non è solo Luxottica, che è parte lesa per il danno patrimoniale derivante dall’attacco e dal blocco della produzione, ma anche per questioni di immagine e, forse, di business. Ma le prime vittime di questa violazione sono tutte le persone i cui dati personali – e probabilmente anche sensibili – sono stati pubblicati.
Mi piace:
Mi piace Caricamento...
Tag: attacco, cybersecurity, databreach, informatica, luxottica, nefilim, ransomware, sicurezza
10 settembre – Düsseldorf (Germania): la rete informatica dell’ospedale universitario della città tedesca viene bloccata da un attacco informatico. Una paziente, bisognosa di cure immediate, viene così trasferita al più lontano ospedale di Wuppertal, ma le sue condizioni sono troppo gravi e muore proprio perché non è stato possibile curarla tempestivamente. Secondo quanto riportato dalla stampa tedesca, si tratterebbe del primo caso di morte conseguente ad un ransomware, un malware che attiva un blocco sui contenuti dei computer colpiti, che possono essere sbloccati in seguito al pagamento di un vero e proprio riscatto.
21 settembre – Milano, Belluno, Padova – la rete di alcune sedi di Luxottica subisce un attacco sferrato allo stesso scopo (criptare i dati aziendali). L’azione non ottiene l’effetto sperato da parte dei malintenzionati, ma causa disagi che spingono l’azienda a disattivare alcuni servizi online e sospendere l’attività di alcuni reparti produttivi. Nel giro di alcune ore un problema analogo viene segnalato dal gruppo Carraro: attività lavorativa bloccata, settecento dipendenti in cassa integrazione per alcuni giorni, fino al ripristino dei sistemi informatici dell’azienda.
Sono solo due esempi recenti di quanto pericolisi possano essere attacchi di questo tipo. Gli ultimi in ordine di tempo, ma del tutto simili ad altri che sono accaduti in precedenza, ai danni di molte altre aziende, più o meno note al grande pubblico. Molto spesso – da chi non ha mai subìto conseguenze di rilievo – il “virus informatico” viene ritenuto un problema di lieve entità, con conseguenze superabili, da risolvere con un backup effettuato senza troppa attenzione. La realtà è ben diversa e naturalmente i problemi sono maggiori se l’attività dell’organizzazione ha importanza critica, coinvolge molte persone e viene svolta con un’infrastruttura complessa.
Non è necessario spiegare la criticità dell’attività di un ospedale, che si impegna nel curare e salvare vite umane (e si attendono conferme sulla possibilità che in un ospedale americano siano deceduti quattro pazienti per motivi analoghi), ma non deve sfuggire che un’azienda manifatturiera o di servizi che non può accedere alle proprie informazioni, può essere messa improvvisamente in ginocchio con conseguenze paragonabili alle peggiori crisi di mercato. Gli imprenditori, che sanno cosa significa avere un’azienda ferma e sanno cosa comporta dover mandare a casa i propri dipendenti, comprenderanno sicuramente la necessità di dotarsi di misure di sicurezza adeguate, che non devono più essere considerate un costo, ma un investimento.
Ma anche chi gestisce un servizio di interesse collettivo può cogliere l’occasione di riflettere su quanto possa essere a rischio un’attività il cui funzionamento tutti danno per scontato: dagli acquedotti agli enti che distribuiscono la corrente elettrica, fino alla gestione della viabilità di una città (semafori inclusi), i servizi che possono andare il tilt e creare danno estremamente seri sono moltissimi.
Proporzionalmente, questa necessità riguarda tutti noi: anche il privato cittadino ha solo da perdere, se non mette al sicuro i propri dati. Quindi cominciamo a vedere la sicurezza dei dati come una necessità, non come qualcosa in più.
Mi piace:
Mi piace Caricamento...
Tag: attacco, backup, Belluno, Carraro, cybersecurity, Düsseldorf, germania, hacker, informatica informatico, Luxottiva, malware, milano, ospedale, Padova, ransomware, rete, security, sicurezza, virus
Un articolo contenuto nel testo del Decreto Giustizia approvato in via definitiva alla Camera contiene una norma – originata da un emendamento firmato dal senatore Simone Pillon – che prevede l’applicazione di un blocco automatico sui contenuti pornografici. L’obiettivo può essere condivisibile, tuttavia, facendo un confronto tra la presentazione di questa norma e il suo testo effettivo, tecnicamente le differenze sono notevoli. La dichiarazione del senatore Pillon, riportata da più fonti, va in una direzione precisa e parla dell’installazione del filtro sui dispositivi:
“È stata accolta (una volta ogni tanto la maggioranza ci ascolta) la mia proposta, che rappresenta la cosa che mi sta più a cuore: l’introduzione dell’obbligo per i fornitori di telefonini, tablet, laptop, tv e altri device di preinstallare gratuitamente sugli apparati un filtro per bloccare contenuti violenti, pornografici o inadeguati per i minori”
Il testo approvato, invece, non coinvolge i fornitori dei dispositivi, bensì gli operatori di telefonia, cioè chi fornisce il servizio di connettività:
Articolo 7-bis. (Sistemi di protezione dei minori dai rischi del cyberspazio)
1. I contratti di fornitura nei servizi di comunicazione elettronica disciplinati dal codice di cui al decreto legislativo 1° agosto 2003, n. 259, devono prevedere tra i servizi preattivati sistemi di controllo parentale ovvero di filtro di contenuti inappropriati per i minori e di blocco di contenuti riservati ad un pubblico di età superiore agli anni diciotto.
2. I servizi preattivati di cui al comma 1 sono gratuiti e disattivabili solo su richiesta del consumatore, titolare del contratto.
3. Gli operatori di telefonia, di reti televisive e di comunicazioni elettroniche assicurano adeguate forme di pubblicità dei servizi preattivati di cui al comma 1 in modo da assicurare che i consumatori possano compiere scelte informate.
4. In caso di violazione degli obblighi di cui al presente articolo, l’Autorità per le garanzie nelle comunicazioni ordina all’operatore la cessazione della condotta e la restituzione delle eventuali somme ingiustificatamente addebitate agli utenti, indicando in ogni caso un termine non inferiore a sessanta giorni entro cui adempiere.
Da qualunque parte la si guardi, la norma così approvata rischia di essere più nociva che benefica, perché mette in difficoltà i fornitori di connettività: chi si vedrà impossibilitato ad applicare il filtro stabilito sarà etichettabile come fuorilegge, mentre chi ci proverà andrà incontro a problemi di discrezionalità e di censura (chi stabilisce se un contenuto deve essere bloccato, e con quali criteri oggettivi?). Ed è proprio per questo motivo che, nel Regno Unito, un’iniziativa analoga si è bloccata.
Il problema non è affatto banale: se la norma avesse davvero previsto l’installazione di un software sui dispositivi, come dichiarato dal senatore Pillon, il controllo sui contenuti sarebbe stato attuabile indipendentemente dal tipo di programma utilizzato. L’utente avrebbe potuto utilizzare TikTok, Facebook, Twitter, WhatsApp, il browser per navigare in Internet o qualunque altra soluzione, e il “filtro” avrebbe impedito l’accesso ai contenuti indicati come “vietati ai minori”.
La norma invece stabilisce che il “controllo parentale” sia applicato da chi fornisce la connettività ed è qui che si apre la questione: è molto difficile che un fornitore di connettività possa bloccare l’accesso a un contenuto “proibito”, perché dovrebbe analizzare tutto il traffico Internet che deriva dalla navigazione di un utente, ma dal momento che questa avviene su connessioni cifrate – ormai per quasi tutti i siti web – il provider non può sapere a quali contenuti l’utente sta accedendo.
Sicuramente può essere semplice bloccare totalmente l’accesso a un portale web dedicato ai contenuti pornografici (si può fare via DNS, soluzione comunque aggirabile, anche se non per tutti), ma è molto meno agevole farlo su piattaforme come i social network, per non parlare di sistemi di messaggistica come WhatsApp.
Per la serie “fatta la legge, trovato l’inganno”, ovviamente sappiamo che è possibile anche bypassare il problema di un blocco totale su un sito web utilizzando una VPN, cioè una connessione cifrata. Esistono soluzioni standard, ma anche soluzioni dedicate (c’è già chi ha pensato di offrire gratuitamente ai propri utenti un servizio VPN dedicato).
L’impressione è che – anche in questo caso – una norma che prevede presupposti tecnici sia stata pensata senza il supporto tecnico di professionisti competenti in materia.
Mi piace:
Mi piace Caricamento...
Tag: blocco, contenuti, dns, filtri, minori, parental control, pornografia, pornografici, privacy, sicurezza, simone pillon
Questa grafica diffusa dall’ANSA contiene un sommario delle informazioni rese note al pubblico – su cui tutti stanno basando le proprie considerazioni, riflessioni e osservazioni – in riferimento a Immuni, la app per smartphone iOS e Android per il contact tracing dei cittadini risultati positivi al nuovo coronavirus, selezionata dalla task force istituita dal Ministero per l’Innovazione tecnologica e la Digitalizzazione e dal Ministero della Salute, responsabili della scelta.
Innanzitutto, c’è la contraddizione nel nome: si chiama “Immuni” e serve per individuare i soggetti infetti. Probabilmente la scelta di un nome più coerente come “Infetti” ne avrebbe minato l’attrattiva, perché in un nome – così come uno slogan – si deve evitare le negatività: “Positivi” per esempio sarebbe andato benissimo.
Digressioni a parte, il nome dell’app creata da Bending spoons compare sull’ordinanza datata 16 aprile in cui il commissario per l’emergenza Domenico Arcuri ha disposto la stipula del contratto di concessione gratuita della licenza d’uso e di appalto di servizio gratuito. Secondo quanto indicato dal Ministero della Salute, non sarà obbligatoria (ma già si legge di possibili limitazioni negli spostamenti per chi non la vorrà utilizzare) e funzionerà tramite bluetooth, registrando la prossimità tra gli smartphone delle persone con i quali l’utente è venuto a contatto tramite dati “non direttamente idonei” a rivelarne l’identità, che “rimarranno all’interno del cellulare fino all’eventuale diagnosi di contagio”. Escluso l’obiettivo della geolocalizzazione, il fine dell’app è “tracciare per un determinato periodo di tempo degli identificativi criptati dei cellulari con il quale il soggetto positivo al virus è entrato in stretto contatto. Questo accade solo se in entrambi i cellulari è presente l’applicazione di tracciamento”. Tre le informazioni contenute dal “registro dei contatti” della app:
- dispositivo contattato
- distanza del contatto
- durata del contatto
L’elemento su cui convergono molte perplessità – e su cui al momento non sono disponibili dettagli tecnici – è in questo principio: i soggetti entrati in contatto con un utente risultato positivo al nuovo coronavirus, vengono informati di questo contatto con un alert dall’operatore medico autorizzato dal cittadino positivo (così spiega la nota del ministero).
Ma finché non saranno disponibili ulteriori informazioni concrete, inutile alimentare discussioni o fasciarsi la testa per qualcosa che potrebbe non essere di nostro gradimento o interesse. Meglio parlarne quando se ne saprà di più.
Mi piace:
Mi piace Caricamento...
Tag: bending spoons, contact tracing, coronavirus, covid-19, domenico arcuri, immuni, privacy, sicurezza
Molti utenti in questo periodo di isolamento o quarantena hanno conosciuto Zoom, una soluzione per videochiamate di gruppo che viene utilizzata da molti insegnanti per lo svolgimento di videolezioni, ma non è solo per la didattica, viene utilizzato anche a livello sportivo e professionale, contesto per il quale è stato pensato (è uno degli strumenti di cui parlavo un mese fa nel post su telelavoro, smart working e didattica a distanza). Gli utenti giornalieri attualmente sono circa 200 milioni, ma fino a dicembre non superavano i 10 milioni. L’impennata ha catturato l’attenzione di alcuni esperti di sicurezza, che si sono preoccupati di analizzarla. Risultato: bene, ma non benissimo.
Il
Washington Post ha
scoperto che su servizi come
Amazon Web Services,
Youtube e
Vimeo si possono trovare moltissimi video di videochiamate registrate. Zoom permette infatti la registrazione dei meeting e in tal caso ogni partecipante viene avvisato dall’applicazione, quindi è all’utente che spetta gestire se mantenere la registrazione sul proprio computer oppure online e nulla gli impedisce di caricare i video su una piattaforma di suo gradimento. L’azienda si limita a raccomandare estrema cautela e chiede agli utenti di essere “trasparenti” con i partecipanti alle videochiamate (“ah tizio, ti avviso che la registrazione della nostra conversazione vorrei caricarla su Youtube”).
Da una ricerca di
The Intercept emerge inoltre che in Zoom la crittografia sarebbe implementata solo tra utente e server della piattaforma, non tra gli utenti. E non è finita:
The Verge ci informa che con il software
zWarDial è stato possibile scovare in un giorno almeno 2.400 indirizzi di meeting organizzati con Zoom, e se per il meeting non è stata impostata una password… ci si può
imbucare (da cui è nato il termine
zoombombing). Niente di male per una trasmissione per cui si vuole intenzionalmente avere il maggior numero di partecipanti possibile, ma sarebbe una bella “scocciatura” per un meeting con scambio di informazioni riservate.
I vertici dell’azienda hanno
dichiarato di voler risolvere tutti i problemi legati alla privacy, riconoscendo di non essere stati all’altezza delle aspettative degli utenti e di quanto richiesto in termini di sicurezza. Doveroso, ma questo tradisce la superficialità dell’approccio adottato per una piattaforma che si dichiara nata per il mondo
enterprise, ma che ha un’intuitività di utilizzo che la rende adatta per il mondo dell’istruzione, oltre che per community di utenti privati.
In ogni caso, due raccomandazioni per quando si crea un meeting con Zoom:
- se lo registrate, mantenetelo sul vostro computer e non salvatelo online (a meno che non si tratti di uno storage in cloud, vostro e adeguatamente protetto);
- impostate una password per l’accesso al meeting (quest’ultima indicazione dovrebbe diventare o già essere un default, dato che Zoom pare aver recepito le numerose segnalazioni e lamentele)
Mi piace:
Mi piace Caricamento...
Tag: didattica, distanza, e-learning, isolamento, lavoro, meeting, privacy, quarantena, scuola, sicurezza, videochiamate, zoom, zoombombing
Uno dice: dopo quanto accaduto ieri, se oggi il sito INPS è di nuovo attivo sarà “a posto”! Giusto?
Pare di no: la ricostruzione curata da Gianmarco Vinciguerra su DR COMMODORE.it ci racconta un’altro problemino: dopo l’accesso al portale nella sezione del bonus baby-sitting, un utente si è trovato di fronte un pannello che sostanzialmente gli permetteva di leggere i dati di tutte le domande inserite in precedenza, con i dati personali dei richiedenti. Ma i dati non solo erano consultabili, ma anche modificabili:
Mi piace:
Mi piace Caricamento...
Tag: bonus, coronavirus, covid, data leak, inps, privacy, security, sicurezza
Qual è il mestiere di chi lavora per un’agenzia di intelligence? Raccogliere ed elaborare informazioni, senza limiti sugli strumenti utilizzabili, e parte integrante di questa attività è ovviamente lo spionaggio. Per cui non troveremmo nulla di stupefacente nell’apprendere che i servizi segreti USA (cioè la CIA) e quelli tedeschi (cioè la BND) hanno spiato le comunicazioni di oltre un centinaio di Stati per mezzo secolo. Ma il problema è nel “come” hanno condotto per decenni quell’attività di spionaggio, cioè utilizzando i dispositivi di crittografia prodotti da un’azienda svizzera, la Crypto AG. I Paesi adottavano quei dispositivi allo scopo di mettere in sicurezza le proprie comunicazioni, ignorando un’informazione fondamentale: la Crypto era “controllata” – dal punto di vista azionario, quindi a livello di proprietà – proprio da CIA e BND.
L’azienda ha iniziato questa attività durante la seconda guerra mondiale, trovando nell’esercito USA il suo primo cliente. Cavalcando l’evoluzione tecnologica, è cresciuta fino ai giorni nostri, fornendo a vari Paesi nel mondo i propri dispositivi in grado di criptare le comunicazioni più riservate e protette, che però servizi segreti americani e tedeschi erano perfettamente in grado di decodificare. CIA e BND avrebbero acquisito la proprietà della Crypto nel 1970, mediante una fondazione con sede nel Liechtenstein.
Secondo quanto ricostruito dall’inchiesta congiunta dal Washington Post e dalle redazioni giornalistiche della ZDF (emittente tedesca) e della SRF (emittente svizzera), l’agenzia di intelligence avrebbe ceduto le proprie azioni nel 1994, mentre la CIA sarebbe rimasta azionista fino al 2018, quando la proprietà è passata all’azienda svedese Crypto International, che in un comunicato pubblicato in questi giorni (addirittura sulla propria homepage) prende le distanze da tutta la vicenda, definendola “molto angosciante”.
Questa partnership sembrerebbe, a tutti gli effetti, uno dei segreti meglio custoditi durante la Guerra Fredda, che emerge ora proprio da questa inchiesta, che rivela un’enorme operazione di controllo, indicata prima con il nome in codice “Thesaurus” e poi “Rubicon”, e che l’inchiesta definisce “il colpo di stato dell’intelligence del secolo”.
In pratica, i governi clienti di Crypto pagavano inconsapevolmente miliardi di dollari a USA e Germania Occidentale perché potessero leggere le loro comunicazioni più riservate e la “maschera” di azienda operativa in un Paese neutrale come la Svizzera conferiva alla stessa Crypto un’etichetta di affidabilità che le permetteva di entrare sia in mercati alleati che in Paesi “ostili” (ad esempio Libia, Iraq, Iran). Nel portafoglio di Crypto c’erano anche l’Italia e lo Stato Vaticano (che nel frattempo, però, non avrebbero più rinnovato i contratti di fornitura). Assenti Russia e Cina, dato che induce a pensare che i due Paesi non riponessero fiducia nel produttore svizzero.
Sicuramente la vicenda non si chiude qui e avremo modo di parlarne di nuovo, molto probabilmente con nuovi dettagli!
Mi piace:
Mi piace Caricamento...
Tag: bnd, cia, controllo, crittografia, crypto, germania, intelligence, rubicon, segretezza, sicurezza, thesaurus, usa
DARIO BONACINA 