RSS

Archivi tag: vulnerabilità

Il problema non è (solo) Kaspersky

14 Mar

C’è da scuotere la testa a leggere, in questi giorni, le parole di Franco Gabrielli, attualmente Sottosegretario di Stato con delega alla sicurezza nazionale. In un’intervista al Corriere della Sera Gabrielli ha parlato di segnali di crisi e alert su possibili attacchi informatici esistenti già da gennaio, dichiarando:

“Dobbiamo imparare a vivere gli alert come gli annunci di eventi meteorologici avversi: non con disperazione ma con spirito di reazione per evitare le conseguenze peggiori. Tenendo presente che scontiamo i limiti strutturali di un sistema di server pubblici inadeguato, e che pure in questo ambito dobbiamo liberarci da una dipendenza dalla tecnologia russa».

Che tipo di dipendenza?

«Per esempio quella di sistemi antivirus prodotti dai russi e utilizzati dalle nostre pubbliche amministrazioni che stiamo verificando e programmando di dismettere, per evitare che da strumento di protezione possano diventare strumento di attacco».

Nessun nome viene pronunciato nell’intervista, ma già qualche anno fa era emerso che le soluzioni di sicurezza di Kaspersky Lab, da tempo accusate di essere suscettibili di subire interferenze da parte del governo russo, erano state adottate da molte pubbliche amministrazioni italiane: tra queste – si legge in un articolo di Euronews – vari ministeri inclusi Difesa, Giustizia, Infrastrutture, Economia, Interno, Istruzione, Sviluppo Economico, alcune Authority (Agcom e Antitrust), l’Enav, il CNR e la Direzione centrale dei Servizi Elettorali.

L’argomento “Kaspersky” però potrebbe essere solo l’ultima criticità “a valle” di un problema ben più complesso: Gabrielli ha parlato esplicitamente di un sistema di server pubblici inadeguato e, se teniamo conto che solo nel 2021 è stata istituita una Agenzia per la Cybersicurezza Nazionale, capiamo che l’inadeguatezza non è semplicemente una questione di sistemi obsoleti o sottodimensionati, o di un piano in attesa dell’approvazione di un budget appropriato, le vulnerabilità sono alle fondamenta e derivano anche da una consapevolezza tardiva dell’importanza della sicurezza nell’infrastruttura informatica della pubblica amministrazione, che già nel 2017 venne etichettata come “un colabrodo” da Giuseppe Esposito, allora vicepresidente del Copasir.

Dico che le vulnerabilità derivano anche da una consapevolezza tardiva perché c’è un altro aspetto da considerare: il problema della dipendenza tecnologica non deve farci guardare solo in direzione della Russia, ma verso tutte le realtà di provenienza esterna a organismi e alleanze di cui fa parte l’Italia (ad esempio Unione Europea, Nato). Adottare soluzioni e piattaforme di aziende estranee a questa sfera fanno sfuggire quella sovranità tecnologica che potrebbe dare maggiori garanzie, soprattutto in enti e organizzazioni che hanno rilevanza critica per il Paese. Considerando che un software come un antivirus è in comunicazione frequente e continua con i server dell’azienda da cui proviene (ad esempio per il download di tutti i vari aggiornamenti e l’upload di log per analisi di quanto rilevato), è comprensibile la massima attenzione su questo fronte.

Una curiosità: lo scorso anno è stato pubblicato il rapporto Telehealth take-up: the risks and opportunities (tradotto sommariamente: L’adozione della telemedicina: i rischi e le opportunità), con i risultati di un’indagine che ha coinvolto un campione di 389 fornitori di servizi sanitari di 36 Paesi, da cui è risultato che l’89% delle organizzazioni sanitarie italiane utilizza apparecchiature e dispositivi medici con sistemi operativi obsoleti (e quindi privi di quel supporto che ne garantirebbe le possibilità di aggiornamento per la sicurezza).

Se non l’avete già scoperto cliccando sul link inserito nel titolo del rapporto, ve ne svelo l’autore: Kaspersky Lab.

 
Commenti disabilitati su Il problema non è (solo) Kaspersky

Pubblicato da su 14 marzo 2022 in news

 

Tag: , , , , , , , , , , , , , ,

La tossicità dei social, spiegata (da Facebook)

07 Ott

Qualche settimana fa il Wall Street Journal ha pubblicato un’inchiesta per illustrare lo studio che Facebook ha commissionato ad un gruppo di propri ricercatori riguardo all’impatto di Instagram sui giovani utenti, che ha portato alla luce effetti particolarmente dannosi soprattutto per le ragazze nell’età dell’adolescenza. L’inchiesta, però, fa parte di un corposo dossier chiamato Facebook Files, focalizzato su documenti aziendali riservati che si concentrano su varie tematiche, che riguardano – oltre l’effetto di Instagram sull’utenza più giovane – le modalità di trattamento di opinioni controverse, gli utilizzi fraudolenti e l’approccio al tema “Covid 19 + Vaccini”.

Facebook Inc. è pienamente consapevole che le sue piattaforme sono piene di difetti che possono causano danni, spesso in modi che solo l’azienda comprende pienamente. Questa è la conclusione centrale di una serie del Wall Street Journal, basata sull’analisi di documenti interni di Facebook, inclusi rapporti di ricerca, discussioni online dei dipendenti e bozze delle presentazioni al senior management.

In più occasioni, i documenti mostrano che i ricercatori di Facebook hanno identificato gli effetti negativi della piattaforma. Nonostante le udienze del Congresso, le sue stesse promesse e numerose dichiarazioni attraverso i media, l’azienda non ha risolto nulla. I documenti offrono forse il quadro più chiaro finora di quanto i problemi di Facebook siano ampiamente noti all’interno della società, persino allo stesso amministratore delegato.

(dall’introduzione dell’inchiesta “The Facebook Files”)

Fra le fonti del Journal – lo si è scoperto in questi giorni – c’è Frances Haugen, ingegnere informatico che ha lavorato per l’azienda di Mark Zuckerberg per un paio d’anni, per poi uscirne dopo aver constatato che la sicurezza e la serenità degli utenti sono sempre state messe in secondo piano, per favorire il profitto:

Sono entrata in Facebook nel 2019 perché qualcuno a me vicino è stato radicalizzato online. Mi sono sentita in dovere di assumere un ruolo attivo nella creazione di un Facebook migliore e meno tossico. Durante il mio periodo in Facebook, prima lavorando come lead product manager per la Civic Misinformation e poi per il Counter-Espionage, ho avuto la possibilità di osservare come Facebook abbia ripetutamente affrontato conflitti tra i propri profitti e la nostra sicurezza. Facebook ha sempre risolto questi conflitti in favore dei propri profitti. Il risultato è stato un sistema che amplifica la divisione, l’estremismo e la polarizzazione e mina le società di tutto il mondo. In alcuni casi, questo pericoloso discorso online ha portato alla violenza reale che danneggia e addirittura uccide le persone. In altri casi, la loro macchina di ottimizzazione del profitto sta generando autolesionismo e odio verso se stessi – specialmente per gruppi vulnerabili, come le ragazze adolescenti. Questi problemi sono stati confermati ripetutamente dalla ricerca interna di Facebook.

Lo studio condotto su Instagram negli ultimi tre anni ha effettivamente evidenziato aspetti di rilevanza socio-psicologica come l’ansia e la depressione di cui soffrono molte ragazze, a causa del confronto con l’aspetto fisico ostentato da altre utenti. Per avere un’idea di quanto è emerso dalla ricerca si può partire da un dato alquanto emblematico, riportato da una slide pubblicata nel marzo 2020 nella bacheca interna di Facebook: “Il trentadue per cento delle ragazze adolescenti hanno detto che, quando si sentivano male per il loro corpo, Instagram le faceva sentire peggio”. I risultati della ricerca sarebbero ben noti internamente a Facebook (che ha acquisito Instagram nel 2012 per rimettere le mani sul bacino d’utenza che stava perdendo), per la quale i giovani utenti rappresentano una base fondamentale per il suo fatturato, che ammonta in un anno a oltre 100 miliardi di dollari e proviene dal business delle inserzioni pubblicitarie. Gli utenti fino ai 22 anni di età rappresentano oltre il 40% del totale degli iscritti. Le problematiche più serie rilevate nella ricerca – osservano gli autori nelle proprie conclusioni – riguardano soprattutto Instagram, e non altri social media come TikTok o Snapchat ad esempio, perché si focalizza sullo stile di vita e sul corpo degli utenti, per cui spinge al confronto sociale, cioè a quanto una persona valuta il proprio “valore” e lo rapporta agli altri sul piano del successo, della ricchezza economica e dell’attrattiva.

E’ necessario riportare che, sempre secondo lo stesso studio, la maggior parte degli utenti in età adolescenziale utilizza Instagram come strumento di comunicazione tra amici o per l’intrattenimento personale e, in tal modo, gli effetti dannosi non vengono percepiti, o comunque vengono gestiti ed evitati. Tuttavia i numeri delle “vittime” di questo fenomeno del confronto sociale, da una ricerca condotta tra gli utenti di Stati Uniti e Gran Bretagna, emerge che oltre su Instagram oltre il 40% degli utenti che hanno dichiarato di sentirsi “poco attraenti” ha confidato che tale sensazione è scaturita dall’utilizzo dell’app, da cui però non si staccano per un senso di dipendenza, che si è accentuato durante i periodi di isolamento nell’emergenza sanitaria.

L’obiettivo aziendale è favorire la proliferazione di post, commenti e reazioni, indipendentemente dall’argomento. E con questo presupposto il sistema è stato messo in grado di apprendere quali temi suscitano reazioni contrariate da parte di un utente (sulle quali è più propenso ad esprimersi, scatenando ulteriori reazioni), rendendo ancor più facile il gioco a vari influencer. La dirigenza di Facebook, dovendo scegliere, anziché agire e trovare una soluzione in grado di smorzare i toni per placare gli animi ha preferito lasciare che gli utenti potessero (virtualmente) azzuffarsi tra loro a favore della “crescita delle conversazioni”.

Sul fronte legato a Covid 19 e relativi vaccini, invece, Facebook si è proposta quale strumento di supporto per aiutare gli utenti a trovare il più vicino centro vaccinale e fornire ulteriori informazioni con il Covid Information Center per Instagram e una serie di chatbot attivati su WhatsApp, come dichiarato nel comunicato pubblicato lo scorso marzo. Nell’algoritmo di presentazione di contenuti agli utenti sono state inserite istruzioni per limitare al massimo i post con invito a non sottoporsi a vaccinazione, regola che però è andata a scontrarsi con tute le indicazioni che nell’algoritmo devono favorire la diffusione e la proliferazione di commenti da parte degli utenti. Risultato: ogni post “pro-vax” otteneva (e ottiene) per reazione una valanga di commenti e post contrari alla vaccinazione, reazione che in realtà è stata prevista e ben nota ai vertici dell’azienda. Non solo: tutto questo ha vanificato l’efficacia dei filtri posti a contrasto della diffusione di bufale e fake news. Contromisure? Nessuna.

Ora, un po’ di buon senso: come ho osservato tempo fa, nell’utilizzo dei social network da parte degli utenti più giovani è assolutamente necessario non essere abbandonati dagli adulti, che anzi devono mantenere quella vicinanza e quel supporto che, con il tempo, permettono di cogliere le opportunità creative e di intrattenimento, ma soprattutto contribuiscono alla crescita e la maturazione della consapevolezza delle proprie azioni, così come dei rischi a cui i ragazzi vanno incontro isolandosi in quella sfera virtuale in cui sono inevitabilmente soli, anche quando si illudono di mantenersi in contatto (superficiale) con tantissime persone. Affidare uno smartphone o un tablet a un figlio deve essere una scelta consapevole di tutto ciò che questa responsabilità comporta e non può essere limitata alla spinta del confronto sociale (concetto che ritorna, qui in altro aspetto), quel confronto trasmesso dal “ce l’hanno anche gli altri”, men che meno dalla presunta necessità di dargli uno strumento di intrattenimento per “tenerlo tranquillo”. Sicuramente è più semplice dirlo che concretizzarlo, ma non bisogna mai demordere.

 
1 Commento

Pubblicato da su 7 ottobre 2021 in news

 

Tag: , , , , , , , , , , , , , , , , ,

Parola d’ordine? Password!

03 Dic

Non abbiamo imparato niente: nonostante negli ultimi tempi si siano verificati numerosi casi di attacchi hacker, ransomware e violazioni di database con credenziali e dati riservati di utenti, siamo ancora così pigri da usare sempre le password più facili, intuibili e indovinabili. Le più stupide, quindi, come si può vedere nella classifica compilata da NordPass, che qui possiamo vedere in tutto il suo splendore…

Tutte abbastanza intuibili, in funzione del contesto in cui si lavora (per quanti se lo fossero chiesto, senha significa “password” in portoghese). I motivi per cui la password stupida regna sovrana sono sempre gli stessi: il tempo e la memoria.

Il tempo, perché la gravosa attività di pensare a quale nuova password scegliere viene vista come una rottura di scatole, per cui sovente si pensa rapidamente a quale inventarsi, e magari lo si fa di corsa perché una password è scaduta e si ha fretta di accedere, ma anche per digitarla serve (poco) tempo.

La memoria, perché ovviamente poi la password bisogna ricordarsela, per cui più è semplice, più sarà semplice ricordarsela… infatti, come dico spesso: si fa prima con “0000” oppure con “Qp5%èMa9C#”?

Però c’è un’altra cosa che osservo sempre: onestamente, tra digitare una password di 4 zeri e una password complessa, pur composta da lettere, numeri e caratteri speciali, c’è una differenza di qualche secondo. E’ da considerare come un investimento di tempo, breve ma utile alla sicurezza delle informazioni che dobbiamo proteggere.

Altrimenti è troppo facile indovinare le credenziali di un utente. Poi tocca dar ragione a quei personaggi che prima scrivono boiate su Twitter e Facebook, poi si accorgono di averla fatta grossa e ritrattano, accampando una scusa evergreen come “Non l’ho scritto io, il mio profilo è stato hackerato”.

 
3 commenti

Pubblicato da su 3 dicembre 2020 in news

 

Tag: , , , , , , , ,

Spiati dalle smart tv? Fosse solo quello il problema…

15 Ott

Utenti spiati dalle smart tv, colpiti alcuni modelli di Sony Bravia

Così titolava Repubblica tre giorni fa, introducendo un articolo di Alessandro Longo relativo a tre vulnerabilità ai danni di alcuni modelli di smart tv della gamma Sony Bravia. Gli effetti di queste falle segnalate da Fortinet – che Sony dichiara di aver sanato con il rilascio degli opportuni aggiornamenti – vanno dalla possibilità di controllo totale dell’apparecchio (e quindi ad esempio della webcam, da cui si potrebbe essere spiati e registrati) al malfunzionamento di alcune applicazioni disponibili sul dispositivo.

Come detto sopra, rilevato il problema e individuata la soluzione, il produttore rilascia gli aggiornamenti di sicurezza, ma il dispositivo resta vulnerabile se questi update non vengono scaricati e installati: è quindi vitale verificare le impostazioni del sistema affinché vengano applicati automaticamente appena disponibili.

La gamma Bravia è solo l’ultima (scoperta) tra le possibili vittime di questo tipo di bug: per rimanere in tema di prodotti molto diffusi, in febbraio Consumer Reports aveva illustrato altre criticità per televisori Samsung, TCL e device Roku. Alla base del problema c’è il fatto che i dispositivi connessi alla rete sono sostanzialmente “esposti” e ciò implica la necessità che tale collegamento avvenga in un contesto controllato e consapevole. Dall’altra parte della connessione, infatti, è molto semplice e agevole monitorare gli utenti dei dispositivi connessi, e non importa che si tratti di TV, computer, sistemi di automazione domestica o industriale, smartphone.

Anni fa ho avuto occasione di evidenziare un esempio di quanto Google fosse in grado di controllare gli spostamenti degli utenti attraverso la Location History (cronologia delle posizioni). Quanti, oggi, ne sono consapevoli? Davvero dal Datagate non abbiamo imparato nulla, con tutte le tracce che lasciamo in rete?

 
Commenti disabilitati su Spiati dalle smart tv? Fosse solo quello il problema…

Pubblicato da su 15 ottobre 2018 in news

 

Tag: , , , , , , , , ,

Avete Windows XP? Pensateci su, ma niente panico…

31 Mar

XPpensionato

Microsoft ha annunciato che dall’8 aprile cesserà il supporto a Windows XP, rilasciato nell’ottobre del 2001. Ha mantenuto questo sistema operativo per oltre dodici anni, ma nel frattempo non è rimasta con le mani in mano e ha rilasciato anche nuove versioni (Vista, 7 e 8). Nonostante alcuni media, parlando di questa scadenza, tendano a seminare il panico tra gli utenti, è importante tenere presente alcuni fattori: innanzitutto, dato che qualcuno si pone il dubbio, è bene ricordare che dall’8 aprile i computer con Windows XP continueranno a funzionare. Effettivamente si tratta di un sistema operativo obsoleto, ma è opportuno capire se – per l’utilizzo che fate del vostro computer – questa obsolescenza rappresenta un problema da risolvere con urgenza oppure no.

Molti servizi e articoli giornalistici seminano terrorismo psicologico e, per citare una fattispecie eclatante, sottolineano il rischio sicurezza degli sportelli Bancomat basati su XP, focalizzandosi paradossalmente sui computer che invece corrono meno rischi, perché esclusi dalle connessioni Internet e connessi ad una rete che offre loro un accesso ad un numero limitato di operazioni e informazioni. Senza contare che esistono sportelli che hanno Windows XP Professional for Embedded Systems (per cui il supporto cesserà effettivamente l’8 Aprile), mentre altri utilizzano Windows XP Embedded Service Pack 3 (per cui il supporto cesserà invece il 12 Gennaio 2016, come precisa la stessa Microsoft).

Lo stesso discorso di minore vulnerabilità vale per quei computer presenti in molti stabilimenti che fungono da interfaccia ad impianti di produzione e che potrebbero persino non essere in rete: recentemente mi è capitato di vederne alcuni, perfettamente funzionanti, su cui non era stato installato nemmeno il service pack 1. Ok, anche questo è forse un esempio paradossale, ma rende l’idea della soggettività del problema. In breve: Windows XP va in pensione? E’ un problema? Forse, ma è inutile generalizzare come fa la stampa…

La cessazione del supporto si traduce nel termine di una serie di attività: gli aggiornamenti periodicamente rilasciati da Microsoft non saranno più disponibili e quindi non sarà più possibile tappare le vulnerabilità ai rischi per la sicurezza e ai virus che verranno rilevate. Non solo: le aziende che producono software e hardware non prenderanno più in considerazione Windows XP per la compatibilità dei propri prodotti. Quindi, nel prossimo futuro, potreste avere la necessità di un nuovo software o di un nuovo hardware (una stampante, o altre periferiche o accessori) e scoprire che quel prodotto non è più compatibile (e quindi non funziona) con Windows XP. E’ questo, a mio parere, il fattore principale su cui è opportuno regolarsi per valutare se sia necessario affrettarsi ad aggiornare il sistema operativo, o se si possa attendere qualche tempo per sfruttare la prima occasione utile. Quindi, senza dubbio a medio/lungo termine potrebbe essere necessario l’aggiornamento, ma per capire quale sia la soluzione più opportuna da adottare nell’immediato futuro (prima di affidarvi a notizie ansiogene), pensate qualche minuto alla vostra realtà.

 
3 commenti

Pubblicato da su 31 marzo 2014 in news

 

Tag: , , , ,

 
%d blogger hanno fatto clic su Mi Piace per questo: