Categoria: sicurezza

Pubblicato il

A che punto è la questione Musk vs Twitter?

Per caso vi state chiedendo com’è finita la vicenda Musk/Twitter?
Eravamo rimasti all’acquisto per 44 miliardi di dollari, poi al dietrofront di Musk per una controversia sul numero di bot presenti (che, secondo Musk, sarebbero ben oltre il 5% dichiarato da Twitter) e infine alla citazione in giudizio di Musk, da parte di Twitter, per violazione contrattuale e danni all’immagine.
Poi c’è l’affaire Zatko (o Mudge com’è noto negli ambienti hacker), noto esperto di sicurezza informatica assunto nel 2020 alla guida il team della sicurezza di Twitter e licenziato a gennaio 2022.  Zatko (lo pubblica ad agosto il Washington Post e la CNN), dopo il licenziamento, denuncia Twitter all’autorità sulla vigilanza del mercato finanziario, al Dipartimento di Giustizia e alla Federal Trade Commission, per i grossi problemi di sicurezza esistenti all’interno dell’azienda, tali da creare un serio rischio per tutti gli utenti.
Se volete leggere la denuncia di Zatko è qui.
Zatko sostiene che Twitter avrebbe un altissimo numero di incidenti di sicurezza, circa uno alla settimana (il 70 per cento dei quali legati a problemi di access control) e che il governo americano avrebbe informato l’azienda sulla presenza di più dipendenti assoldati da un’agenzia di intelligence straniera.
Nella denuncia si parla anche della questione dei bot (intitolata proprio “Lying about Bots to Elon Musk”) e Zatko dice che Twitter ha una metrica sugli “utenti attivi giornalieri monetizzabili”,  che definisce l’importo dei premi economici dei dirigenti, i quali sono poco portati a individuare bot per escluderli da tale metrica.
Ovviamente Musk ha chiamato a testimoniare Zatko contro Twitter e sempre ovviamente il suo CEO ha dichiarato che la denuncia sarebbe priva di fondamento, piena di falsità e contraddizioni, e che Zatko sarebbe stato licenziato per “scarso rendimento”.
Ora più di come possa finire una diatriba legale e tra miliardari, potrebbero interessarci alcune cose.
Tipo che la sicurezza degli utenti in Twitter è una banderuola poiché vista come un impedimento al business dell’azienda e che i dati degli utenti vengono utilizzati per chissà quante cose “strane” e che ci sono intelligence di vari paesi infiltrati nell’azienda (ma già nel 2019 due dipendenti furono accusati di aver spiato determinati utenti passando poi le informazioni all’Arabia Saudita).

Cosa dire?  Che se non sei ancora fuori da Twitter sei sempre in tempo a farlo.

Pubblicato il

L’app che non ti frega solo il sudore

Stamattina un’amica mi chiede informazioni su “SweatCoin”  (letteralmente moneta per il sudore) che è un’app che fa guadagnare dei “punti virtuali” (che molti confondo con i bitcoin ma in realtà non sono soldi virtuali poiché non si tratta di una criptovaluta su tecnologie blockchain) con i quali poter acquistare dei prodotti all’interno dei negozi legati alla piattaforma.

Ogni mille passi tracciati dal Gps dello smartphone,  compiuti esclusivamente all’aperto (non valgono tapis roulant o spostamenti dentro casa), fanno  guadagnare uno sweatcoin, anzi 0,95 e per comprare qualcosa ce ne vogliono minimo 15; ma ovviamente per qualcosa di serio ce ne vuole qualche migliaio.

Dicono nelle condizioni d’uso che “Gli sweatcoin possono essere utilizzati per riscattare prodotti, servizi e altri benefici tramite l’app Sweatcoin, nella misura in cui tali prodotti, servizi e altri vantaggi sono offerti dagli utenti. L’utente riconosce e accetta che Sweatcoin non può essere riscattato in denaro da SweatCo o da una delle sue affiliate” e che “potremmo decidere di imporre un onere della commissione denominato Sweatcoin sulla generazione di Sweatcoin che ci autorizza a detrarre una parte degli sweatcoin che generi”.

Comunque se fate due calcoli veloci ci vogliono mesi o anni per poter accumulare una cifra dignitosa e anche se siete un maratoneta folle, con l’app gratuita non potete fare più di 5.000 passi al giorno e guadagnare più di 5 sweatcoin.

Bisogna quindi passare a una modalità a pagamento che permette di poterne accumulare di più. Gli utenti, infatti, sono stati divisi in quattro categorie in funzione del numero massimo di crediti che possono accumulare quotidianamente:

Insomma, mentre voi vi inondate di sudore la SweatCo avrà già monetizzato tutti i dati raccolti all’interno del vostro dispositivo e avrà già venduto la vostra dettagliata profilazione a qualche azienda che poi vi seguirà anche se state seduti sul divano di casa.

Ora a parte tutti i problemi tecnici sul conteggio dei passi di cui si lamenta la maggioranza degli utenti (https://play.google.com/store/apps/details?id=in.sweatco.app&showAllReviews=true), date un’occhiata alle autorizzazioni che bisogna concedere all’app per farla funzionare:

Identità

  • read your own contact card

Contatti

  • read your contacts

Luogo

  • approximate location (network-based)
  • precise location (GPS and network-based)

Telefono

  • read phone status and identity

Foto/elementi multimediali/file

  • read the contents of your USB storage
  • modify or delete the contents of your USB storage

Spazio di archiviazione

  • read the contents of your USB storage
  • modify or delete the contents of your USB storage

Fotocamera

  • take pictures and videos

Informazioni sulla connessione Wi-Fi

  • view Wi-Fi connections

ID dispositivo e dati sulle chiamate

  • read phone status and identity

Altro

  • receive data from Internet
  • view network connections
  • full network access
  • run at startup
  • draw over other apps
  • control vibration
  • prevent device from sleeping

fonte: https://play.google.com/store/apps/details?id=in.sweatco.app

Pubblicato il

Cryptojacking

I bitcoin (o qualsiasi delle 900 cryptovalute ormai in circolazione) sono delle monete virtuali generate da un computer e usate esclusivamente in rete.  Non è una moneta ufficiale e non ha una banca o uno stato che li emetta ma un software distribuito che, utilizzando internet, memorizza tutte le transazioni, ne tiene traccia e ne garantisce la sicurezza.  Ci sono però alcuni stati, come il Giappone, che ne riconoscono validità, valore e corso legale.

Ancora oggi non si sa bene chi ne sia stato l’inventore. In rete viene chiamato Satoshi Nakamoto e Newsweek, nel 2014, provò a fare alcune ipotesi sulla sua identità.    Una cosa è certa ed è che Nagamoto è stato un attuatore delle teorie anarco-capitaliste di Rothbard.

Con la blockchain Nagamoto ha cercato di mettere su un sistema valutario decentralizzato, indipendente dai poteri centrali e regolato solo dai mercati. La disponibilità di bitcoin è prefissata (scarsità), perchè il suo prezzo non deve rispettare le politiche monetarie o le variazioni di tasso di interesse, ma dipendere esclusivamente dalla domanda sul mercato.  Anche se non c’è nessun divieto ad accumularli o «che enti intermediari, basandosi sulla necessità di utenti meno esperti di monitorare e gestire il loro gruzzolo (i cosiddetti wallet), divengano col tempo dei centri importanti della rete. Di peer-to-peer, inteso come rapporto tra pari basato sul mutuo appoggio e la solidarietà, c’è davvero poco. Ci sono delle differenze insuperabili, basate sulla competenza tecnica e i mezzi a disposizione, tra utenti medi e miners, ossia i produttori di nuovi bitcoin. Perché è un’operazione molto onerosa da un punto di vista computazionale ed energetico. Chi può e chi ci arriva prima ha due moventi: domina la tecnica o ha grossi fondi da investire, gli altri sono dei perdenti. La retorica della disintermediazione fa presa sui narcisisti ego-riferiti che pensano di poter fare a meno degli altri.»  (dal gruppo Ippolita)

Tecnicamente il sistema usa il protocollo proof-of-work con l’algoritmo hashcash (usato nelle applicazioni di posta elettronica) che dovrebbe scoraggiare gli attacchi DOS o tentativi di contraffaziomni o sottrazioni, all’interno di una rete peer-to-peer, con l’unica differenza che, in questo caso, gli hash rendono competitivo il mining.  Praticamente il primo miner che, attraverso un software (che deve trovare determinate stringhe di codice all’interno dei  blocchi di dati che ricostruiscono le transazioni), riesce a trovare la stringa corretta, viene ricompensato con un numero di criptomonete prestabilito.

Il miner esegue un programma nel pc che raccoglie, dagli scambi di monete online, tutte le transazioni non confermate, ne forma dei “blocchi” che saranno accettati dalla rete soltanto quando viene scoperto (tramite un metodo di prova ed errore) un hash con un sufficiente numero di zero bit che raggiunga l’obiettivo. Tutti i blocchi accettati dai miner formano una catena di blocchi di bitcoin (blockchain) che diventa il registro crescente di tutte le transazioni effettuate dalla creazione della moneta ad oggi.

Il sistema P2P fa si che tutti gli utenti verifichino tutte le transazioni: quando avviene un pagamento in bitcoin, tutti i computer collegati alla rete debbono risolvere un problema crittografico e il primo computer che ci riesce conferma il blocco di transazioni aggiungendolo alla blockchain generale che è l’unico posto dove vengono registrate le transazioni e che tiene il conto sia della quantità di bitcoin in circolazione che dei loro proprietari.  La blockchain  impedisce, per esempio, che un utente possa spendere i bitcoin già spesi, poiché il loro passaggio di proprietà è stato registrato ed è accessibile a tutti.  I proprietari vengono identificati da un codice e tutte le transazioni da una chiave pubblica (che verifica l’operazione) e da una chiave privata (che autorizza la transazione) da custodire gelosamente perchè è l’unica cosa che garantisce i soldi (ecco perchè è possibile rubarli, chi ha la chiave privata ha anche i soldi).

E’ la blockchain che fa quello che farebbe una banca: assicurarsi dell’esatta entità del conto dell’utente, prelevare i soldi che sono stati spesi e registrare l’operazione.

Oltre al “normale” pericolo di essere derubati della chiave privata c’è anche un pericolo per chi di criptomoneta non ne ha mai senito parlare ed è quello di diventare un miner senza saperlo.

E’ il cosiddetto “cryptojacking” che consiste nel minare criptovalute a discapito di computer ospiti (o zombi).  Sostanzialmente si infetta un dipositivo e lo si fa lavorare (CPU e/o scheda grafica) a suo discapito. Ormai i cracker sono quasi tutti impegnati a sfruttare le vulnerabilità (soprattutto JavaScript) per infilare nei computer delle vittime dei software di cryptomining. Le ultime analisi di sicurezza parlano anche delle pubblictà “DoubleClick” su YouTube e di quelle su Amazon quali maggiori responsabili di infezioni da estrattori di criptovaluta.

Neanche gli smartphone sono esclusi da questi attacchi, anche se la loro potenza di calcolo è trascurabile, Secondo Malwarebytes, quest’attività è diventata la seconda forma di crimine informatico attualmente più diffusa sui dispositivi Android, mentre sui dispositivi iOS si registra un trend in veloce crescita (nell’ultimo trimestre del 74%).

In alcuni casi non si installa nulla sul dispositivo ma lo si fa lavorare direttamente in una pagina web (drive-by cryptominin), ovviamente se si chiude la navigazione l’estrazione s’interrompe. Poi ci sono i “pop-under”  che non vedi perchè si aprono sotto la barra delle applicazioni e anche quando credi di aver abbandonato il sito la scheda continua a lavorare.

In generale sono attacchi che consumano un’enormità di risorse del computer vittima e che quindi rallentano notevolmente il suo normale funzionamento; per cui se notate un eccessivo rallentamento e/o un riscaldamento (ventole super accese), oppure un sito eccessivamente lento, installate adblock in modo da poter gestire tutta la pubblicità online del vostro browser.

Per finire c’è anche un cryptomining “etico” nel senso che l’utente lo sa già dall’inizio che quella data società succhia potenza di calcolo del PC ofrrendo in cambio qualche servizio senza pubblicità, e quello “collaborativo” di quei siti che offrono di farti minare con loro prendedosi delle commissioni (20/30%) su ogni guadagno.

Pubblicato il

Un decalogo (appena, appena) utile

Dieci piccole regole utili.

  1. Non connettetevi mai ai vostri servizi privati tramite reti pubbliche o non protette (quelle senza https), ricordatevi degli Sniffing.
  2. Non aprite gli allegati (.pdf, .doc, .docx, .ppt, xls, etc..) provenienti da mail di sconosciuti, se dovesse capitarvi non concedete “privilegi macro“. Purtroppo Microsoft Office è pericoloso.
  3. Non cercate e non installare software craccato e non fidatevi delle fonti sconosciute (eMule non lo è), perchè i casi sono tre:
      – chi ha prodotto quel software voleva farlo Open ma ha le idee confuse;
      – quel software è stracolmo di pubblicità;
      – dopo che l’avete installato vi succhierà i dati per guadagnarci in qualche modo.
  4. Sui social, soprattutto su Facebook, non fate la telecronaca in tempo reale di cosa state facendo (figuriamoci un video in diretta), soprattutto se siete al mare e state mangiando pesce o ballate in discoteca; farete invidia al vostro vicino, è vero, ma sarà contento di saperlo anche quello che ha deciso di fare un salto a casa vostra sapendo che non ci siete.
  5. Insomma, ricordatevi che internet non è abitata soltanto dai vostri amici… E, soprattutto, non dimenticatevi di scollegare i vostri account loggati su browser in giro.
  6. Le password devono essere complesse e diverse per ogni account: non usate date di nascita o singole parole, ma frasi con all’interno lettere maiuscole, minuscole, numeri e simboli. Più spesso le cambiate più sicuri state. Soprattutto: cambiate le password di default del router/modem e della rete wireless.
  7. Il vostro Sistema Operativo dev’essere sempre aggiornato, non rimandate e non dimenticate di installare gli aggiornamenti.
  8. Cifrate il vostro Hardisk e mettete una password sul BIOS (su Windows 7 o 10 lo potete fare facilmente). La cifratura è l’unica cosa che garantisce l’impossibilità dell’accesso fisico al tuo computer quando è spento.
  9. Non mettete nel Cluod i vostri documenti privati e sensibili, teneteli offline. Al massimo metteteli in un HD esterno ed attaccatelo solo quando vi serve.
  10. Cercate di tenere sempre una copia in più dei vostri dati: fate un Backup offline e mai sullo stesso supporto.

Liberamente spirato a hack or die

Pubblicato il

WannaCry: che fare?

Qualche giorno fa, oltre duecentomila computer nel mondo, sono stati infettati da un ransomware che, come al solito, ha criptato i file (rendendoli inaccessibili) per poi chiedere il pagamento in cambio della chiave di decriptazione. Il malware si chiama WannaCry  e si è diffuso con una rapidità incredibile in un bel numero di paesi; ha sfruttato una falla di sicurezza nel sistema di condivisione dei file e di conseguenza ha avuto gioco facile all’interno delle reti a dominio Windows.

La debolezza era già nota a Microsoft, poiché l’exploit usato (EternalBlue), messo a punto dalla NSA per i loro consueti usi di spionaggio, era stato rubato dal gruppo Shadow Brokers che l’aveva messo on-line ad aprile (una settimana dopo che Trump aveva ordinato il bombardamento della base siriana).

Infatti Microsoft, il 14 marzo, aveva rilasciato degli aggiornamenti, per corregge la modalità con le quali SMBv1 gestisce “le richieste appositamente create a un Microsoft Server Message Block 1.0“.  

Ma si sa che gli utenti windows sono dei buon temponi che non badano troppo agli aggiornamenti di Windows Update (a dirla tutta sono forse gli unici utenti che stanno loggati h24 come administrator sulle proprie macchine) e che hanno permesso a WannaCry di moltiplicarsi a dismisura. Poi nelle lan aziendali, dove le politiche di aggiornamento sono elefantiache, l’intrusione è stata uno scherzetto (benedetto WSUS).

Ora, se non siete stati infettati (e l’Italia è fra le nazioni meno colpite) potete semplicemente avviare Windows Update, verificare la presenza di aggiornamenti e installarli subito, altrimenti vi tocca ripristinare i file dal vostro backup. Se non avete fatto neanche quello… pazienza, vi servirà da lezione e magari, poi, imposterete gli aggiornarsi in modalità “automatica”.
Anche per quelli che ancora smanettano su Windows XP (un sistema ormai dismesso da Microsoft) è stato diffuso un aggiornamento di sicurezza che dovrebbe metterli al sicuro.

Questa era la parte, per così dire, tecnico-descrittiva dell’azione, ora dovremmo cercare di capirne la natura e la logica sottesa a quello che solitamente ci raccontano.

Edward Snowden sostiene che gli attacchi alla rete arrivano anche dagli stati nazionali che si combattono, attraverso le agenzie di intelligence, a colpi di software malevoli. Forse non è un caso se WannaCry sia una diretta derivazione di quello della NSA.

Brad Smith, president and chief Legal Officer di Microsoft, ha detto che questo attacco fornisce un esempio della grande attività di “stoccaggio delle vulnerabilità da parte dei governi”: un po’ come se rubassero agli Usa qualche suo missile Tomahawk. 

Secondo altri, esistono consistenti evidenze di legami tra Shadow Brokers e Putin. Proprio Shadow Brokers aveva detto a Trump di aver votato per lui, ma di aver perso la fiducia riposta nell’attività del neo presidente.

Per tutto il resto vi consiglio questo articolo di Daniele Gambetta su Il Manifesto.

Pubblicato il

L’instant messaging XMPP (Jabber)

Ho già parlato di alcuni software di messaging qui, in riferimento a quelli più diffusi, ma il problema della sicurezza e della privacy degli utenti era e continua a rimanere una piaga aperta su cui i più, purtroppo, buttano semplicemente del sale. Qualsiasi ragionamento facciamo nella direzione della sicurezza/privacy, continua ad albergare all’interno di un’area di approssimazione, più o meno, accettabile.

Ora vorrei parlarvi di Jabber (o XMPP – Extensible Messaging and Presence Protocol – che è la stessa cosa) che l’officina ribelle eigenlab di Pisa ha presentato qualche giorno fa. Si tratta di un servizio di messaging open source che gira sul server di una rete XMPP privata (quella di eigenlab appunto) e che permette l’accesso, sicuro e protetto, alla rete XMPP pubblica.  Al contrario degli altri software come WhatsApp, Telegram o Signal, XMPP è un protocollo “federato”,  nel senso che i client della rete globale dialogano tra loro al di là del server sul quale si sono registrati e quindi  entrano in contatto anche con client di reti che utilizzano protocolli differenti (come OSCAR, .NET, ecc…).

Ovviamente esistono client multiprotocollo, ma a differenza di questi, XMPP (acronimo di “protocollo estendibile di messaggistica e presenza”) risolve la cosa già all’accesso del client sul server, poiché ha già messo insieme tutti i protocolli e le tecnologie necessarie, annullando così l’onere di dover programmare un supporto al protocollo a livello di client.
L’idea di Jabber nasce nel 1998 con Jeremie Miller e un gruppo di sviluppatori indipendenti che riescono a sviluppare una rete di instant messaging aperta ed espandibile a qualsiasi altro servizio di messaggistica già  esistente. Inoltre la filosofia open source garantì, già da subito, uno sviluppo migliore e un controllo generalizzato sulla sincerità e la bontà della sicurezza dei dati.

Per spiegare l’architettura XMPP, Markus Hofmann e Leland R. Beaumont utilizzano i personaggi “Romeo and Juliet” della tragedia shakespeariana. La metafora racconta che Giulietta e Romeo utilizzano account diversi, appartenenti ciascuno al proprio server familiare. Giulietta, con il proprio account juliet@example.com, invia al suo server un messaggio (Art thou not Romeo and a Montague?) per romeo@example.net; il testo viene ricevuto dal server “example.com” che contatterà il server “example.net” (che ospita l’account di Romeo) e verificata la rispondenza di indirizzo e di linguaggio, si stabilirà una connessione tra i due server recapitando così il messaggio al giusto destinatario che potrà rispondere (Neither, fair saint, if either thee dislike) e così via.

In sostanza, anche se gli utenti hanno client e sistemi operativi diversi, i server su cui poggiano gli account faranno in modo di portare a buon fine lo scambio comunicativo.
E’ quello che si chiama “sistema scalabile”: nessun server centrale che si occupa di smistare i messaggi, ma tanti server che diventano nodi di scambio all’interno della rete XMPP. Questo significa che anche se una parte della rete non funzionasse, quella restante continuerebbe a svolgere egregiamente il proprio compito.

XMPP fornisce sia chat singola che di gruppo, ha una rubrica per i contatti, permette di scambiare file e immagini in chat e stabilisce comunicazioni criptate sia singole che di gruppo.

E’ possibile installare una grande quantità di Clients per qualsiasi tipo di piattaforma e qui trovate tutta la lista.  Il migliore per Android è sicuramente Conversations che su Google Play è a pagamento mentre con F-Droid puoi scaricarlo gratis (se volete potete seguire questa guida); mentre per iOS consiglio Monal che trovate gratis sullo store ufficiale.

La sicurezza e la privacy, anche qui, sono affidate a una crittografia end-to-end ed è possibile ricevere messaggi cifrati su più dispositivi, o inviarli anche se il destinatario è offline. La crittografia funziona anche per immagini, file e messaggi vocali. I protocolli crittografici sono implementati in modo trasparente e, grazie allo sviluppo comunitario di questo open source, chiunque può verificare l’assenza di backdoor e di falle di sicurezza nel codice.

Ma per la nostra sicurezza, la domanda giusta è: di chi e di cosa ci fidiamo quando decidiamo di  dialogare con qualcuno?

Qualche esempio, un po’ grossolano, sulla nostra percezione (e sulle pratiche) della sicurezza in tema di conversazioni.

La prima cosa che facciamo quando instauriamo una conversazione è quella di capire/decidere, immediatamente, il livello (pubblico, sociale, privato, intimo) a cui tale tipo di comunicazione appartiene. Al netto di disturbi psicologici, sappiamo come discutere in un bar o nella sala d’attesa di un barbiere/parrucchiere, sappiamo (forse un po’ meno) come e cosa scrivere sulla nostra bacheca di Facebook, comprendiamo che per parlare di cose di famiglia è meglio farlo in casa nostra, allo stesso modo ci appartiamo in luoghi e con distanze opportune (curando bene il “canale”) per dialogare di cose intime.

Basandoci su tale paradigma, risolviamo una semplice proporzione che ci da, approssimativamente, il peso della propagazione dell’informazione, in rapporto al numero delle persone presenti nella conversazione. Ovvero, il potenziale di diffusione parte da un numero imprecisato (teoricamente infinito) “x” della conversazione pubblica e arriva fino a “2” nella conversazione intima (ovviamente parliamo di partecipanti e non di rischio diffusione o intercettazione).

Se, dunque, in analogico possiamo assumere come valore minimo teorico di diffusione il numero “2“, in digitale questo valore minimo dev’essere almeno “3” (i due dialoganti/intimi più colui che gestisce il canale). Questo vuol dire almeno due cose: la prima è che non esistere la condizione di “intimità” in una chat; la seconda che, come conseguenza della prima, la nostra soglia di prevenzione della privacy è diventata un po’ più “lasca”.

Ora, possiamo fare tutti i ragionamenti che vogliamo, sulla proprietà, sui sistemi e anche sulla criptazione o qualcos’altro, ma fondamentalmente dobbiamo sempre fidarci di qualcuno che è “altro” rispetto al nostro interlocutore intimo. In sostanza sta a noi scegliere se questo “altro” debba essere Zuckerberg (Messenger, WhatsApp, Instagram), Durov (Telegram), Google (Hangout e Yahoo! Messanger), Microsoft (MSN MessangerSkype) oppure un’organizzazione no-profit come Open Whisper Systems che gestisce l’open source Signal.

Ecco forse sta proprio qui la chiave di volta: fidarsi di chi  non crede che tutti gli scambi debbano essere per forza di natura economica, di chi non venderà i dati appena possibile, di chi non capitalizzerà il successo e di chi da anni si batte per una rete paritaria e democratica.

 

 

Pubblicato il

L'internet delle cose vostre

Prima di raccontavi questa storia è bene evidenziare 4 parole chiave.

IoT

è l’acronimo di Internet of things (Internet delle cose) ed è la possibilità concessa agli oggetti di connettersi alla rete e comunicare tra loro. Per esempio un piccolo termostato installato su un frigorifero, un forno, una caldaia, che avvisa via internet il raggiungimento di una temperatura, oppure delle scatoline porta-farmaci che fanno squillare il cellulare di un familiare se il nonno si dimentica di prendere la pillola, tutte le smartTV, l’impianto di riscaldamento o di climatizzazione, ecc….  Insomma tutti quegli oggetti che attraverso un protocollo IP sono in grado di dialogare con qualche nodo della rete Internet e dei quali ci occupiamo poco in termini di sicurezza perché ci viene facile pensare che nessuno voglia entrare nel nostro tostapane.

DNS

è l’acronimo di Domain Name System e serve a “risolvere” i nomi dei nodi della rete in indirizzi IP e viceversa. Per esempio se digitiamo sulla barra degli indirizzi del nostro browser questo indirizzo IP: 216.58.198.36 ci comparirà la pagina di Google, come se avessimo scritto www.google.com. Sostanzialmente a questo serve il DNS e prima della loro invenzione (giugno 1983) se avessimo voluto trovare Google avremmo dovuto conoscere esattamente il suo indirizzo IP.  In pratica, ogni dominio internet viene registrato con un indirizzo IP pubblico e un nome, poi dei database sui server DNS si incaricano di accoppiarli sempre.

Ddos

Il Distributed Denial of Service è un tipo di attacco malevolo che, sfruttando la logica della comunicazione con il protocollo TCP, consiste nell’inviare molti pacchetti di richieste a un server il quale, dovendo rispondere necessariamente a ogni richiesta, si “ingolfa” al punto da rendersi inefficiente.  Quindi tutti gli apparati collegati a internet con TCP sono potenzialmente soggetti a questo tipo di attacco. Ovviamente maggiore è la quantità delle richieste inviate al server e più letale sarà il Ddos, ecco perché, prima di sferrare l’attacco, i cracker devono mettere insieme un buon numero di macchine attaccanti.  Siccome queste macchine sono poi individuabili, i cracker infettano prima un buon numero di apparati, attraverso virus che aprono delle porte esterne, e poi le comandano da remoto. Tutti questi computer diventati “zombie” entrano a far parte della BotNet che diventa la vera macchina da guerra.  E’ interessante sapere che vengono preferite le macchine che eseguono Windows perché è più facile inoculare un trojan ed è praticamente assicurata la diffusione dell’infezione a tutti i contatti presenti sul computer, quindi automaticamente ingigandire la botnet.

ddos-attackEra la primavera del 2013 e i server di  Spamhaus, un’organizzazione che fornisce filtri per bloccare lo spam nelle email, subisce una serie di attacchi informatici che costringono a una navigazione lenta e addirittura nulla in intere regioni del Belgio, Lussemburgo, Olanda, Gran Bretagna e in minima parte anche in Germania e in Francia. Si tratta di attacchi Ddos partiti ai primi di marzo in sordina e che verso la metà del mese erano diventati già insostenibili per i server di Spamhaus. La mole di dati che bombarda questi server viaggiano, all’inizio, a circa 10 Gigabit al secondo, poi si incrementano fino a 100 Gigabit e alla fine raggiungono i 300 Gigabit per secondo (cioè una cosa come 300 miliardi di bit al secondo).  Subito dopo tutti parlano del più grande attacco informatico che la rete abbia mai conosciuto e, per inciso, i sospetti cadranno su  CyberBunker, un gruppo olandese di web hosting che era stato accusato, proprio da Spamhaus, di usare lo spam per la vendita di prodotti e per questo l’aveva inserito nella sua lista per i filtri antispam.  Anche se, in verità, la polemica era già iniziata prima, nel momento esatto in cui CyberBunker aveva ospitato il dominio di “The Pirate Bay”.

Fra coloro che subirono più disservizi ci fu la webtv Netflix che restò irraggiungibile per un bel po’ di tempo.

C’è di nuovo Netflix fra i siti bloccati con l’ultimo attacco Ddos di qualche giorno fa, insieme a Twitter, Spotify, Airbnb, Reddit, Etsy, SoundCloud, GitHub e The New York Times, giusto per fare i nomi più grossi.  La trama è simile a quella appena raccontata e si riparla del “più grande attacco a internet“: la tecnica è la stessa, cambia solo il target,  ma la quantità di dati inviati ai server attaccati è di oltre 620 Gigabit al secondo, più del doppio di quello del 2013.

Alla base c’è sempre il solito Ddos (ormai il 90% degli attacchi sono di questo tipo) ma la prima differenza è rappresentata dal bersaglio: i server di Dyn.com, una società che offre il DNS ai molti domini Internet, che appena attaccata crea un effetto domino su un numero incredibilmente alto di altri server che non riescono più ad essere raggiunti nella rete perchè non rispondono più alla chiamata in chiaro in internet. La seconda sostanziale differenza è costituita dalla botnet: non più un esercito di computer zombie ma una massa indecifrata di attrezzature e oggetti che utilizzano l’IoT:  immaginate un esercito zombie di frigoriferi, televisori, lavatrici, macchine fotografiche, termostati, router, telecamere, video registratori digitali, strumenti della robotica, ecc…. che lanciano l’attacco alla Dyn.

E’ da tempo che l’internet delle cose veniva accusato di non badare troppo alla sicurezza, lo diceva già Forbes nel 2014, per esempio.  Brian Krebs, fra i maggiori esperti di sicurezza informatica, l’aveva previsto e aveva lanciato l’allarme denunciando la presenza di un codice che alimenta la botnet costruita su IoT.

Insomma, l’attacco del 21 ottobre sicuramente farà storia per la semplicità con la quale è riuscita a piegare i grandi di internet senza attaccare i loro server. Farà anche accademia per quanti vorranno provarci seguendo uno dei tanti tutorial disponibili in rete e noleggiando una botnet per 5 dollari l’ora.

Chi è stato? Al momento è difficile dirlo o fare delle previsioni, tutte le strade sono aperte: un gruppo di cracker ingaggiati da qualche azienda o qualche partito? oppure una semplice prova sul campo di una nuova strategia di intelligence?

Pubblicato il

La nostra sicurezza nelle chat

In una ricerca pubblicata qualche giorno fa, Amnesty International ha stilato una classifica di 11 aziende (Apple, Blackberry, Facebook, Google, Kakao Corporation, LINE, Microsoft, Snapchat, Telegram, Tencent e Viber Media), proprietarie di applicazioni di messaggistica istantanea, che hanno maggior rispetto per la privacy dei loro clienti.

<img class=”wp-image-4163 alignleft” src=”http://www this content.vitocola.it/wordpress/wp-content/uploads/2016/10/prism2-300×225.jpg” alt=”prism” width=”440″ height=”330″ srcset=”http://www.vitocola.it/wordpress/wp-content/uploads/2016/10/prism2-300×225.jpg 300w, http://www.vitocola.it/wordpress/wp-content/uploads/2016/10/prism2.jpg 700w” sizes=”(max-width: 440px) 100vw, 440px” />Peccato che sia in testa che in coda alla classifica ci siano gli stessi nomi che dal 2007 al 2013 erano presenti nel famoso caso PRISM.  Amnesty International non ignorava la cosa e ha chiarito di essersi interessata alle aziende “commerciali” con le applicazioni più diffuse. Ecco perché, per esempio, non c’è Signal che appartiene a un gruppo non-profit.

In sostanza Amnesty classifica quelle aziende con più attinenza e rispetto della propria policy in modo da consigliarci un male minore.

I criteri indagati sono stati 5 (1-riconoscere le minacce online alla libertà di espressione e diritto alla privacy come i rischi per i suoi utenti attraverso le sue politiche e le procedure; 2- applica la crittografia “end-to-end” di default; 3-sensibilizza gli utilizzatori sulle minacce alla loro privacy e alla libertà di espressione; 4-rivela i dettagli del richieste del governo per i dati utente; 5-pubblica i dati tecnici del suo sistema della crittografia) ma nessuna analisi tecnica è stata condotta sulla sicurezza globale del servizio di messaggistica.

Precisiamo che neanche con la crittografia “end-to-end”  si è al riparo dagli spioni, poiché sarebbe sempre possibile entrare in possesso delle chiavi crittografiche private con un po’ di “social engineering”, ad esempio, fingendosi uno dei destinatari, oppure assicurandosi il controllo di un nodo della connessione, o anche semplicemente accedendo ai dati di backup del cloud, ecc…., più o meno quello che la NSA faceva con x-keyscore.

Dunque, forse, sarebbe stato più utile considerare “se, dove e come” queste aziende conservano i dati dei clienti.

overall-ranking

Per farla breve ne viene fuori che WhatsApp (il più utilizzato sia per numero di ore che per frequenza di utilizzo e che usa lo stesso protocollo di Signal) è la chat più sicura di tutte, superando anche la concorrente Telegram che, invece, dal 2015  ha messo in palio 300mila dollari per chiunque riesce a superare il proprio sistema di sicurezza.

Ultima cosa importante del documento di Amnesty è che solo la metà delle aziende intervistate, rende pubblico un report sulla quantità di dati degli utenti che viene dato ai governi in seguito a esplicite richieste.

Ma allora, qual è l’app di messaggistica più sicura?

 

ALLO di Google neanche a parlarne. A parte la crittografia traballante c’è quel forte interesse (comune a tutte le aziende) a far soldi con i dati degli utenti che qui viene affinata ancor di più attraverso la “machine learning”. Si tratta di un servizio di profilazione avanzato degli utenti con il quale Google capisce sia il testo che le immagini contenute nei messaggi. In tal modo l’app riesce sia a suggerire frasi automatiche in risposta a delle immagini inviate che consigliare dei risultati di ricerca con una geolocalizzazione rapida su Maps in funzione del contenuto del testo digitato.  Dunque tutto il contrario della privacy dell’utente.

WhatsApp è la più popolare in assoluto, supera il miliardo di utenti e, come dice Amnesty, usa una crittografia end-to-end.  Il problema serio è rappresentato dalla raccolta di dati e metadati (la lista dei contatti, numeri di telefono e a chi si scrive) che Facebook può utilizzare per i propri fini e anche consegnarli alle autorità qualora venissero richiesti. Se poi si sceglie di salvare i contenuti delle conversazioni su cloud si completa il quadro del rischio per l’utente.

Telegram usa il protocollo MTProto definito, però, “traballante” da Thaddeus Grugq. A suo demerito va detto che salva tutti i dati sui propri server in chiaro e a suo merito i “bot” e le api libere per poterli creare, ma sopratutto i “canali” con i quali è possibile comunicare istantaneamente con un grandissimo numero di utenti.

Il migliore è sicuramente Signal e non perchè  l’abbia detto Snowden un anno fa, piuttosto per la sua filosofia di base che lo rende più sicuro.  signalIntanto è un sistema aperto e questo già basta a garantire sulla sicurezza da solo. Anche se può sembrare un ossimoro, in realtà  quando i codici sorgenti sono aperti, chiunque può migliorarli creando patch e sviluppi alternativi attraverso collaborazioni diffuse e riutilizzo del codice.

Inoltre Signal non raccoglie dati e metadati degli utenti da nessuna parte, ma annota soltanto i tempi di connessione. Anche quando chiede di condividere i contatti (in modo da trovare chi usa la stessa app) tutta l’operazione viene subito cancellata dai server.  Non essendo presente la funzione di backup della chat, nel caso si cambiasse smartphone, si dovrà spostare tutto a mano.

E’ stata creata da Open Whispers System, una società no profit che si finanzia solo con le donazioni volontarie. L’unico neo di questa app è quella di essere poco diffusa (sembra che sia stata scaricata da poco più di 1 milione di utenti contro il miliardo di utenti dichiarato da WhatsApp) e probabilmente resterà tale proprio a causa della sua filosofia sulla sicurezza che la rende poco user friendly.

Pubblicato il

Una scatola nera su tutte le auto e addio alla privacy

Il disegno di legge Concorrenza, ad opera di Salvatore Tomaselli e Luigi Marino del PD, sta per essere approvato in via definitiva e, tra le tante cose (come la regolamentazione di Uber), obbligherà tutti gli automobilisti all’installazione di una “scatola nera” all’interno dei propri autoveicoli.

Queste scatole nere non sono proprio una novità. Circa il 16% degli automobilisti ne ha già installata una, grazie al fatto che le compagnie assicurative offrono uno piccolo sconto sulla polizza in cambio della spontanea georeferenziazione del veicolo. L’automobilista, a fronte di questo sconto, cede la propria privacy e la propria libertà di spostamento.  Il Codacons dice però che lo sconto è poca cosa dal momento che la maggiore diffusione di questi apparati è quasi del tutto limitata a quelle province (Napoli, Caserta, Salerno, Reggio Calabria e Catania) dove il prezzo della Rc auto è la più cara d’Italia. E poi il costo dell’acquisto, del montaggio e della manutenzione del dispositivo (black box) restano a carico del cittadino.

L’obbligo partirà prima per i mezzi pubblici e, dopo un anno, si estenderà a quelli privati.  Il governo dovrà ancora definire quali informazioni minime dovranno essere obbligatoriamente rilevate e quale sarà il loro trattamento, ma di certo non potranno impedire ai GPS di tracciare e registrare l’attività dell’autoveicolo e, quindi, la sorveglianza sull’attività delle persone all’interno delle automobili è già compiuta.

Qualche tempo fa Maurizio Caprino, su Il Sole 24 Ore, ha sostenuto che la compatibilità di questo dll con le norme UE è tutta da verificare, dal momento che quest’ultima è interessata più a obblighi in materia di sicurezza (come i “sistemi di frenata automatica, allarme in caso di cambio di corsie involontario, cruise control attivo e simili”) che ai sistemi di tracciamento.

Allora a chi può interessare tutto questo affaccendarsi del governo per la scatola nera?

Certamente alle compagnie assicurative che attraverso il controllo sull’uso del veicolo, hanno la possibilità di verificare la dinamica di un incidente  in modo da smascherare eventuali truffe ai loro danni. E conviene anche ai produttori dei dispositivi che, manco a farlo apposta,  da tempo spingono in tal senso.

Insomma questo ddl Concorrenza attuerà, di fatto, una sorveglianza massiva attraverso la raccolta indifferenziata di informazioni sensibili su tutti gli automobilisti, sottoponendoli a una restrizione della propria libertà.

Qui non c’è in ballo la sicurezza delle persone ma soltanto un incremento del campo dei sistemi di sorveglianza di massa (come il pre-screening dei passeggeri sugli aerei, le intercettazioni di massa dell’NSA, il pullulare delle telecamere di sorveglianza privata con una legislazione che ne ha mollato completamente il controllo, ecc…).

Insomma per chi non vuole essere tracciato non resteranno che due opzioni: la bicicletta o l’hackeraggio della scatola nera.

 

 

 

Pubblicato il

A tutto Pokémon Go

Pokémon Go non è ancora ufficialmente in Italia ma molti già ci giocano avendo scaricato l’apk per Android o da un account americano per iOS.

Kotaku però si è accorto che Pokèmon Go fa più di qualsiasi altra app.

Oltre a tracciare lo smartphone anche se gli avete negato l’accesso e raccogliere dati per fornirli a società terze non dichiarate, si impossessa dell’accont Google.

Se si accede con un account Google, Niantic (la società produttrice di Pokèmon Go) diventa di fatto proprietaria dell’account e di tutto quanto è collegato ad esso. Può praticamente leggere le e-mail di Gmail, tutti i documenti di Google Drive e le foto di Google Foto.

Ovviamente, capite da voi, che il rischio è troppo alto.

La buona notizia è che Niantic lo sa e che, al momento, sta forzando l’app a non richiedere troppi permessi, ma è sempre meglio dare uno sguardo alla Google Dashboard.

Il consiglio è quello di aspettare la nuova release dell’app, ma soprattutto l’uscita italiana ufficiale.

Pubblicato il

Panama papers e altri numeri

Conto corrente estero e conto offshore

da l’Espresso

Per lo Stato italiano, e per l’Europa, è possibile possedere un conto corrente all’estero a patto che venga dichiarato fiscalmente, inserendolo nella dichiarazione dei redditi (nell’apposito quadro RW della dichiarazione dei redditi a partire da una giacenza o movimentazione annuale pari o superiore a 15 mila euri). La banca estera nella quale si apre il conto è obbligata a comunicare allo stato di residenza del correntista tutte le informazioni relative al conto corrente.
Il correntista, di conseguenza, verserà un’imposta (Ivafe) sul suo valore del deposito pari al 2 per mille, oltre alla normale tassazione sulle plusvalenze realizzate.
Sostanzialmente è come tenere un conto in una banca italiana, l’unica convenienza potrebbe essere rappresentata da migliori condizioni sulla tenuta del conto, da servizi più efficaci ed efficienti o dalla convinzione di aver depositato i propri soldi in una banca più solida e più sicura ma, credo, niente di più.
Chi mira, invece, a risparmiare sul pagamento delle tasse dovrà eludere tutta la procedura ufficiale e seguirne una “offshore”, ovvero aprire un conto estero sul quale le tasse non vengono pagate grazie alla segretezza dell’identità del correntista.

Panama papers

Questo è proprio il punto nodale di un conto offshore: la segretezza. Ma non è cosa semplice da realizzare. Considerato l’obbligo della trasparenza delle aziende e il grande impegno dell’OCSE nella lotta contro i paradisi fiscali, diventano indispensabili almeno due cose: primo rivolgersi a uno dei 14 paesi dove è ancora possibile richiedere segretezza (Belize, Brunei, Isole Cook, Costa Rica, Guatemala, Filippine, Liberia, Isole Marshall, Montserrat, Nauru, Niue, Panama, Uruguay e Vanuatu) e poi affidarsi a società o agenzie specializzate che riescono a far arrivare il denaro sul conto corrente di questa banca estera senza lasciare tracce. Anche tracce come le “ Panama papers”. Quasi dodici milioni di documenti, relativi a transazioni finanziarie segrete, sottratti allo studio Mossack Fonseca da un anonimo whistleblower che, come dice l’Espresso, li ha forniti al quotidiano tedesco Suddeutsche Zeitung che, a sua volta, si è rivolto al ICIJ (l’International Consortium of Investigative Journalists che ha condiviso il lavoro e la scoperta con le 378 testate partner tra cui l’Espresso).
Siccome stiamo parlando di 2,6 terabyte di dati, c’è chi sostiene che non si tratti di una semplice gola profonda ma crackers che hanno sfruttato la vulnerabilità di un vecchio plugin su WordPress (“Revolution Slider” che in una sua versione non aggiornata fa caricare una shell remota – corretta già da due anni da Wordfence) e di un server di posta, al quale accedevano tutti i clienti dello studio, che risedevano sullo stesso network.
Insomma una grossolana leggerezza che ha permesso di scaricare, per mesi, tutto l’archivio dello studio Mossack Fonseca. Infatti, dopo il 3 aprile, il loro dominio è passato a Incapsula che ha trasferito tutto su server neozelandesi.

Crackers?

Crackers perché l’operazione è stata pagata (non si sa se commissionata o offerta) e la filosofia hacker non collima con questa tipologia di finalità; e poi perché nella rete hacker non c’è stata nessuna eco dell’impresa.
Pagata dagli americani perché l’ICIJ è stato fondato da un giornalista americano (Chuck Lewis) ed è sostenuta da: Adessium Foundation, Open Society Foundations, The Sigrid Rausing Trust, Fritt Ord Foundation, Pulitzer Center on Crisis Reporting, The Ford Foundation, The David and Lucile Packard Foundation, Pew Charitable Trusts and Waterloo Foundation.
Tant’é che, al momento, tra tutti gli americani presenti nei documenti, non è ancora saltato fuori nessun nome eccellente a fronte dei 140 politici e uomini di Stato del resto del mondo.

I numeri

215 mila le società coinvolte, riferite a 204 nazioni diverse e 511 banche (tra cui le italiane Ubi e Unicredit);
378 giornalisti, in un forum chiuso, analizzano un database di 2,6 terabyte lungo 38 anni di registrazioni.
800 sono gli italiani coinvolti e tutto quello che ne verrà fuori continueremo a leggerlo sulle maggiori testate giornalistiche del mondo.