I post everyday the best scientific videos about Astronomy, Nanotechnology, Computer Science...Italian english blog.
Cerca nel blog
mercoledì 31 agosto 2016
martedì 30 agosto 2016
lunedì 29 agosto 2016
sabato 27 agosto 2016
venerdì 26 agosto 2016
Il Disinformatico di Paolo Attivissimo del 26 Agosto 2016 - #Apple #Sicurezza #Facebook #Haarp #PokemonGo #Profilazione
PUNTATA 467
I titoli di ogni notizia contengono un link all'articolo originale pubblicato sul blog Il Disinformatico di Paolo Attivissimo.
Argomenti della Puntata
Aggiornamento critico di Apple per iPhone e iPad
Apple ha rilasciato da poche ore l'update 9.3.5 di iOS per iPhone e iPad in grado di correggere 3 vulnerabilità gravissime dopo che un frammento di spyware è stato rintracciato sullo smartphone utilizzato da Ahmed Mansoor, noto attivista e difensore dei diritti umani negli Emirati Arabi Uniti.
Lo spyware sembra essere stato messo a punto dall'NSO Group, azienda israeliana e statunitense dedita alla creazione di tool per il monitoraggio di dissidenti e giornalisti. Le falle denominate Trident hanno permesso alla compagnia di sviluppare spyware così sofisticati da accedere alla posizione del dispositivo, ai contatti, ai messaggi, al log delle chiamate, alle email, al microfono...
Lo spyware sembra essere stato messo a punto dall'NSO Group, azienda israeliana e statunitense dedita alla creazione di tool per il monitoraggio di dissidenti e giornalisti. Le falle denominate Trident hanno permesso alla compagnia di sviluppare spyware così sofisticati da accedere alla posizione del dispositivo, ai contatti, ai messaggi, al log delle chiamate, alle email, al microfono...
Le falle, denominate Trident dagli esperti, consentono di prendere il controllo completo di un dispositivo iOS semplicemente mandandogli un SMS che contiene un link. Se la vittima tocca il link per visitarlo, il dispositivo viene silenziosamente infettato, per cui l’aggressore può intercettare tutte le comunicazioni: messaggi WhatsApp, Viber, Gmail, Facebook, Skype, FaceTime, Calendar, WeChat e altro ancora. Anche telecamera e microfono possono essere accesi da remoto. Se un dispositivo è infettato, l’infezione persiste anche se lo si aggiorna.[cit. articolo]
Apple ha sistemato le 3 vulnerabilità entro 10 giorni dopo essere stata informata del caso da due ditte di sicurezza, Citizen Lab e Lookout, che hanno collaborato insieme per raccogliere più informazioni.
Una volta che le vulnerabilità sono state rese pubbliche, ai criminali informatici non occorrono più di 48 ore per creare attacchi mirati a sfruttarle.
L'aggiornamento si installa in pochi minuti nella maniera solita: Impostazioni - Generali - Aggiornamento software. Sono aggiornabili tutti i dispositivi Apple recenti: dall’iPhone 4S in su, dall’iPad 2 in su, tutti gli iPad Mini e Pro, e gli iPod touch di quinta e sesta generazione. Chi non può aggiornarsi perché ha un iPhone o iPad molto vecchio resta gravemente vulnerabile se usa il dispositivo collegandolo a Internet e/o alla rete cellulare. [cit. articolo]
Altre fonti:
WhatsApp chiede agli utenti di passare dati a Facebook
Nonostante WhatsApp avesse dichiarato di voler rimanere indipendente da Facebook, ecco arrivare puntualmente agli utenti il messaggio con cui si chiede l'autorizzazione a condividere dati con il social in blu di Zuckerberg, in barba alla crittografia e altre garanzie di privacy.
Lo scopo dichiarato sarebbe quello di offrire pubblicità mirate agli utenti, ma nella realtà si tratta di ottenere più denaro dagli inserzionisti che riceverebbero molte più informazioni per profilare gli utilizzatori delle due piattaforme.
Chi vuole negare almeno in parte questo accesso può seguire le istruzioni apposite: quando compare la proposta di accettare le nuove condizioni d’uso, toccare Leggi per leggere il loro testo completo e poi toccare la casella per togliere il segno di spunta sulla condivisione dei dati con Facebook.
Chi ha già accettato ha 30 giorni di tempo per andare in Impostazioni - Account e disattivare la voce di condivisione delle informazioni. [Cit. articolo]
Facebook ha investito 22 miliardi di dollari per acquisire WhatsApp: era chiaro attendersi un ritorno economico da questa operazione. Nonostante le promesse iniziali di indipendenza da Facebook non siano state formalmente violate (le conversazioni infatti non vengono passate a Facebook) il travaso di dati personali è piuttosto consistente.
Vale sempre il solito adagio: se il servizio è gratuito, il prodotto sei tu.
Nel prossimo articolo un elenco dei dati conosciuti da Facebook per profilare i suoi utenti.
Facebook e il sistema di profilazione degli utenti: le 98 cose che FB conosce su di noi
Ogni pagina del web contribuisce alla schedatura in pratica (o almeno quelle che contengono un pulsante "Mi Piace" o "Condividi"): la profilazione è molto più complessa di quanto potrebbe sembrare.
Oltre ai dati ovvi (localizzazione, età, sesso..) si trovano altre informazioni come reddito, affinità etnica, anniversari in famiglia, impegni e relazioni nuove, nuove mamme, tipo di madre...
1. Localizzazione
2. Età
3. Generazione
4. Sesso
5. Lingua
6. Livello scolastico
7. Settore di studio
8. Scuola
9. Affinità etnica
10. Reddito e valore netto
11. Proprietà di case e tipo
12. Valore della casa
13. Dimensioni della proprietà
14. Metratura della casa
15. Anno di costruzione
16. Struttura della famiglia
17. Anniversario entro 30 giorni
18. Vive lontano dalla propria famiglia o città di riferimento
19. Amicizia con qualcuno che ha un anniversario, appena sposato, appena traslocato, o compleanno in arrivo
20. Impegno in rapporti a distanza
21. Impegno in relazioni nuove
22. Nuovo lavoro
23. Fidanzato da poco
24. Sposato da poco
25. Traslocato da poco
26. Compleanno imminente
27. È genitore
28. È in attesa di diventare genitore
29. Madre e tipo di madre
30. Disponibilità a impegno politico
31. Orientamento politico
32. Situazione relazionale
33. Datore di lavoro
34. Settore industriale
35. Qualifica professionale
36. Tipo di ufficio
37. Interessi
38. Possiede moto
39. Intende acquistare un’auto (e che tipo/marca e quando)
40. Ha comprato di recente ricambi o accessori per auto
41. Probabilmente avrà bisogno di ricambi o servizi per auto
42. Stile e marca dell’auto guidata
43. Anno di acquisto dell’auto
44. Età dell’auto
45. Quanto è probabilmente disposto a spendere per la prossima auto
46. Dove è probabile che acquisterà la prossima auto
47. Numero di dipendenti dell’azienda
48. Possiede una piccola azienda
49. Lavora come dirigente o amministratore
50. Ha fatto donazioni benefiche (suddivise per tipo)
51. Sistema operativo
52. Giocatore di giochi Canvas
53. Possiede console di gioco
54. Ha creato un evento Facebook
55. Ha usato Facebook Payments
56. Spende più della media in Facebook Payments
57. Amministra una pagina Facebook
58. Ha caricato di recente foto su Facebook
59. Browser usato
60. Servizio di mail usato
61. Pioniere/tardivo nell’adozione di tecnologie
62. Espatriato (con suddivisione per paese d’origine)
63. Membro di un’associazione di credito, banca nazionale o regionale
64. Investitore (con suddivisione per tipo d’investimento)
65. Numero di linee di credito
66. Usa attivamente carte di credito
67. Tipo di carta di credito
68. Possiede carte di debito
69. Ha sospesi sulla carta di credito
70. Ascolta la radio
71. Programmi TV preferiti
72. Usa dispositivi mobili (con suddivisione per marca)
73. Tipo di connessione a Internet
74. Ha acquisito di recente uno smartphone o tablet
75. Accede a Internet tramite smartphone o tablet
76. Usa buoni sconto
77. Tipi di abbigliamento acquistati in famiglia
78. Periodo dell’anno di maggiore spesa in famiglia
79. Consuma assiduamente birra, vino o alcolici
80. Compra cibo (e quali tipi)
81. Compra prodotti di bellezza
82. Compra medicinali per allergie, tosse/raffreddore, analgesici e medicinali da banco
83. Compra prodotti per la casa
84. Compra prodotti per bambini o animali domestici (e quali tipi di animali)
85. Appartiene a famiglia che acquista più della media
86. Tende a fare/non fare acquisti su Internet
87. Tipi di ristoranti frequentati
88. Tipi di negozi frequentati
89. “Ricettivo” a offerte di aziende che offrono via Internet assicurazioni auto, corsi d’istruzione superiore, mutui, carte di debito e per TV satellite prepagate
90. Tempo per il quale ha vissuto in casa
91. Probabilmente traslocherà presto
92. Interessato a Olimpiadi, football, cricket o Ramadan
93. Viaggia frequentemente per lavoro o piacere
94. Pendolare
95. Tipi di vacanza abituali
96. Tornato di recente da un viaggio
97. Ha usato di recente un’app per viaggi
98. Socio di una multiproprietà
[cit. articolo]
Fonte originale dell'inchiesta:
Pokemon Go perde più di 10 milioni di utenti
I dati di Bloomberg parlano chiaro e indicano che gli utenti, stufi della ripetitività del gioco, stanno muovendosi verso altre piattaforme.
Niantic ha appena rilasciato una nuova versione della sua App che permette di conoscere le capacità di attacco dei Pokemon contenuti nel proprio Pokedex: all'appello mancano ancora gli scambi e i combattimenti tra i giocatori, feature senza le quali il gioco morirà durante i lunghi mesi invernali in cui le passeggiate all'aperto non sono certo salubri.
L'inversione di tendenza è chiara, ma gli sviluppatori, appagati dal successo iniziale, non se ne curano affatto.
Antibufala: i misteri presunti dell'Haarp
La HAARP (acronimo di High Frequency Active Auroral Research Program) è un'installazione civile e militare situata negli Stati Uniti volta allo studio dei fenomeni atmosferici che avvengono ad altissima quota.
Secondo i soliti fenomeni cospirazionisti, questa rete di antenne avrebbe una potenza tale da poter controllare le menti degli esseri umani nonchè di scatenare, grazie alle potenti onde elettromagnetiche prodotte dalla base, disastri naturali di qualunque tipo nel mondo.
L'organizzazione è talmente stufa di queste illazioni che invita tutti in Alaska per un tour guidato della struttura.
giovedì 25 agosto 2016
mercoledì 24 agosto 2016
lunedì 22 agosto 2016
domenica 21 agosto 2016
venerdì 19 agosto 2016
Il Disinformatico di Paolo Attivissimo del 19 Agosto 2016 - L'Epic Fail dell'NSA e il futuro della Sicurezza Informatica
PUNTATA 466
I titoli di ogni notizia contengono un link all'articolo originale pubblicato sul blog Il Disinformatico di Paolo Attivissimo.
SOMMARIO
Software trafugato dall'NSA: rivelati i grimaldelli per gli hackeraggi
Disponibili online grimaldelli informatici per lo spionaggio
Il software è scaricabile a questo link. Il gruppo denominato Shadow Brokers (un chiaro riferimento al gioco Mass Effect) ha messo a disposizione di tutti un campionario gratuito dei prodotti utili per hackerare la maggior parte dei siti internet, utilizzati dall'Equation Group, hacker probabilmente legati all'NSA.
Si tratta di un piccolo assaggio: non è stata infatti ancora rivelata la password che permette di accedere alla seconda parte del file trafugato. La seconda tranche promette di essere molto più interessante, tanto che è stata organizzata un'asta in Bitcoin: mettete mano ai salvadanai però, si parte da un milione di Bitcoin (560 milioni di euro circa).
Cisco, Juniper e Fortinet: queste le aziende statunitensi compromesse
Nel campione omaggio si trovano script e file binari utili per attaccare i firewall hardware che dovrebbero proteggere le reti aziendali: le vulnerabilità sono riconducubili principalmente ai prodotti di 3 aziende USA, Cisco, Fortinet e Juniper.
Tali bachi informatici consentono di entrare impunemente ed invisibilmente in computer nonchè nei siti internet di pubbliche amministrazioni, governi e aziende.
Per quanto assurdo non si tratta di un falso
La notizia è che siamo di fronte ad una bufala: alcuni dei nomi degli strumenti pubblici sono rintracciabili nella documentazione NSA pubblicata da Snowden (che ne ha garantito l'autenicità via Twitter).
Cisco ha confermato che EXTRABACON, un componente del software pubblicato, contiene istruzioni per sfruttare una falla estremamente grave in tutte le versioni del suo prodotto Adaptive Security Appliance, che consente di sorvegliare tutto il traffico della rete difesa (sempre teoricamente) da questo prodotto.
La falla consente di accedere alla gestione del firewall senza conoscere né il nome utente né la password di amministrazione del dispositivo. Un disastro, insomma: e questo è solo uno degli strumenti d’attacco dell’NSA ora resi pubblici. [cit. articolo]
Ancora ignota l'identità del gruppo di hacker Shadow Brokers: potrebbe trattarsi dei servizi di sicurezza informatica russa oppure di una fonte all'interno dell'NSA stessa.
Conseguenze pratiche di questo spionaggio informatico
A breve termine si devono aspettare aggiornamenti a raffica su tutte le apparecchiature elettroniche, similmente a quanto accaduto dopo l'hackeraggio dell'Hacking Team di Milano.
I dispositivi di sicurezza delle aziende citate hanno subito un enorme danno d'immagine: i bachi rialenti al 2013 e conosciuti dall'NSA sono piuttosto banali una volta scoperti. Questo implica che da almeno 3 anni le aziende, i governi etc... che utilizzavano prodotti Cisco, Juniper e Fortinet potevano essere bucate dall'NSA senza potersene acorgere e senza possibilità alcuna di applicare contromisure di sicurezza.
Il Futuro della Sicurezza Informatica
L'NSA non ha ufficilamente commentato la notizia e se ne guarda bene dal farlo, come suo costume.
Questa situazione è da film SciFi, e non era nemmeno immaginabile sino a qualche anno fa.
Il problema è talmente grave che le politiche governative sulla sicurezza informatica dovranno necessariamente essere ripensate.
L'NSA conosceva queste falle da anni, ma non le ha mai rivelate alle aziende interessate: questo per continuare a monitorare comodamente i propri bersagli.
Così facendo hanno diminuito la sicurezza globale e compromesso l'immagine delle aziende a stelle e strisce coinvolte.
I malware di stato sono una realtà da qualche tempo a questa parte. Ma è realistico pensare che questi strumenti informatici rimangono solo nella mani delle autorità senza che possano cadere nelle mani dei cyber-criminali?
Il caso Apple è stato un ottimo preambolo per imbastire tale discussione.
I passepartout informatci sono pericolosi e, come dimostra questa assurda vicenda, prima o poi risorse informatiche di questo tipo vengono a trovarsi nelle mani sbagliate, o in quelle del migliore offerente.
Per approfondire:
giovedì 18 agosto 2016
martedì 16 agosto 2016
lunedì 15 agosto 2016
domenica 14 agosto 2016
sabato 13 agosto 2016
venerdì 12 agosto 2016
giovedì 11 agosto 2016
mercoledì 10 agosto 2016
martedì 9 agosto 2016
lunedì 8 agosto 2016
domenica 7 agosto 2016
Iscriviti a:
Post (Atom)