Sicurezza on Melabit

Senza contatto

Sat, 18 Aug 2018 18:00:00 +0000

Venerdì mattina mi chiama mia figlia da Londra. Ha perso il portafogli con la carta prepagata, è preoccupata, probabilmente teme anche la mia reazione. L’ha cercato a casa e a scuola, niente, l’ultima speranza è il pub dove sono stati la sera prima, ma apre solo nel pomeriggio.

Io invece sono tranquillo: deve tornare il giorno dopo, per cui mi preoccupo molto di più della carta d’identità, che per fortuna non aveva dietro, che della carta prepagata. “Tanto c’è il pin”, le dico, “se non l’hai scritto sulla carta non c’è problema”, sapendo benissimo che i miei avvertimenti passati su quanto sia stupido fare queste cose hanno colpito nel segno e che il pin l’ha imparato a memoria.

“Tanto c’è il pin”. Errore! Perché la sua carta Superflash ora è contactless, si possono effettuare pagamenti fino a 30 sterline semplicemente avvicinando la carta al terminale POS (Point of Sale), senza bisogno di autenticarsi con un pin o con una firma.

Quindi se qualcuno ha trovato la carta prepagata di mia figlia può effettuare tanti piccoli acquisti – un centro commerciale con i suoi tanti negozi uno vicino all’altro è l’ideale – senza correre nessun rischio di essere identificato o tantomeno scoperto. Avevo ricaricato la carta proprio all’inizio della settimana e c’erano ancora circa duecento euro, non un gran danno ma nemmeno una cifra trascurabile.

Per farla breve, devo mollare tutto e tornare a casa per verificare sul sito della banca se c’erano state transazioni sospette (lascio a casa il generatore di codici di sicurezza e finora non ho mai sentito il bisogno di attivarlo anche sul telefono). Entro nel sito della banca e, eccoli!, due pagamenti proprio quella mattina. Per fortuna chi aveva trovato la carta in fondo era stato onesto e si era limitato a comprare due biglietti del treno da 10 sterline ciascuno. Poco male, però meglio bloccare la carta lo stesso.

Alla fine la cosa più fastidiosa è stata dover andare dai carabinieri per denunciare lo smarrimento e poi in banca per chiedere una carta sostitutiva e, chissà, il rimborso della (piccola) somma perduta (ma su questo sembra ci sia una situazione alla Comma 22).

Il vero problema è un altro e riguarda ancora una volta la sicurezza, o meglio la mancanza di sicurezza, di questi nuovi oggetti tecnologici. Succede con i termostati e i vibratori, succede con le videocamere di sorveglianza o con le app di fitness, questa volta tocca alle carte di pagamento.

Le carte contactless sono comode anzi comodissime per i piccoli pagamenti, soprattutto in nazioni come la Gran Bretagna, in cui i pagamenti elettronici sono molto più diffusi che da noi. Ma sono anche piuttosto pericolose, non a caso in Gran Bretagna nel solo primo semestre del 2017 le frodi con le carte contactless hanno raggiunto l’importo di 5.6 milioni di sterline, circa 6.3 milioni di euro, superando per la prima volta l’importo delle frodi con gli assegni.

Da un paio di anni girano per la rete presunte “notizie” secondo le quali un POS portatile (o uno smartphone con app apposita) avvicinato di soppiatto al portafogli o alla borsa della vittima in un luogo affollato può sottrarre soldi dalle carte contactless senza che nessuno se ne accorga. Sono notizie tutte copiate una dall’altra (guardare per credere questo “articolo” del 17 febbraio 2016, questo di due giorni dopo, quest’altro del 20 giugno 2016 oppure questo del giugno 2017) e, come ha dimostrato l’ottimo David Puente, sono solo delle volgari bufale, buone al più per vendere qualche portafogli “corazzato”.

Ma anche se l’equivalente tecnologico (e asessuato) della palpatina sull’autobus è un fake, resta comunque il fatto che le banche sembrano trascurare apposta i principi più elementari della sicurezza: firme false su assegni o su richieste di finanziamento prese per buone senza fiatare, documenti visibilmente contraffatti fatti passare per originali, sportelli bancomat che possono essere manomessi in pochi secondi per catturare i dati dei clienti, porte blindate di accesso ai bancomat manomesse in modo analogo, malware che infetta gli sportelli del bancomat, soprattutto quelli più vecchi su cui gira ancora Windows XP.

Ma le banche sono così trascurate che si fanno anche male da sole, ad esempio usando dispositivi bancomat così mal progettati da poter essere controllati da remoto per fargli sputare denaro a piacimento. Oppure lasciando così tanti buchi nelle reti di comunicazione da consentire agli attaccanti di infettare direttamente i computer di controllo, in modo da istruire gli sportelli bancomat ad emettere banconote al momento desiderato.

Ci voleva proprio Apple per inventare un sistema di pagamento contactless efficiente e molto più sicuro di tutti i sistemi concorrenti presenti sul mercato,¹ il cui unico e vero difetto è quello di essere legato strettamente ai dispositivi prodotti dall’azienda californiana? Non sarebbe stato molto meglio che le banche ci pensassero da sole, producendo un sistema sicuro e non legato ad un particolare produttore o tecnologia? I soldi non gli mancano di certo, manca solo la volontà, tanto alla fine chi paga è sempre il cliente.

Qualcuno afferma il contrario ma, ammesso e non concesso che sia vero (basta leggere questi commenti), chi lo fa dimentica che questa presunta debolezza risiede ancora una volta nelle procedure bancarie e non nei protocolli utilizzati da Apple Pay. ↩︎

Pericolo dal cielo

Tue, 27 Feb 2018 06:00:00 +0000

Rimaniamo ancora sulle mappe, ma questa volta sociali.

Strava è una delle tante app di fitness che permettono di registrare e condividere i dati della propria attività fisica. L’app registra il percorso fatto mentre si corre, si va in bici, si scia o si nuota, e poi permette di analizzare le prestazioni personali e di confrontarle con quanto fatto in precedenza.

Naturalmente – può mancare oggi l’aspetto social in un’app come questa? – i dati vengono condivisi con gli amici della rete, con lo scopo di stimolare l’emulazione e la competizione.¹

Detto così non è niente di particolarmente originale, ma Strava ha due assi nella manica. Il primo è che l’app funziona non solo su iOS, Android e relativi smartwatch, ma anche su un numero praticamente infinito di dispositivi per il fitness. L’altro è che tutti questi dispositivi consentono a Strava di raccogliere una enorme mole di dati relativi alle attività fisiche effettuate dai propri utenti. A novembre Strava aveva raccolto ben mille miliardi di posizioni GPS e 27 miliardi di chilometri percorsi, per un totale di 10 TB di dati.

E cosa hanno pensato di farci con tutti questi dati? Di metterli online, generando una mappa globale dei percorsi seguiti durante l’attività fisica dagli stravers sparsi per il mondo.

Bellissima mappa, non c’è che dire. Ingrandendo la mappa l’effetto visivo diventa ancora più sorprendente, provate ad esempio a guardare come appare il centro di Roma (l’anello luminoso in basso a destra è il Colosseo).

Ma come ha riportato il Guardian, i dati online di Strava sono così dettagliati da rappresentare un serio pericolo per certe attività militari e di spionaggio.

Le normali mappe online di Google, così come quelle di Apple e di Bing (di Microsoft), nascondono le informazioni più sensibili, come ad esempio la posizione delle basi militari o dei siti nucleari segreti, e in ogni caso non hanno una risoluzione tale da consentire di visualizzare le basi più piccole, come quelle situate in zone di guerra o utilizzate temporanemente per operazioni clandestine.

Ma le mappe messe online da Strava non hanno queste censure e consentono di identificare con molta precisione basi o attività militari (americane, ma non solo) che dovrebbero rimanere ben nascoste.

Come è possibile? Perché tanti militari attivi in queste basi si allenano indossando degli smartwatch o dei dispositivi per il fitness che scaricano i loro dati sui server di Strava, consentendo senza volere a chiunque di visualizzare sul computer tracce di attività fisica in zone che in teoria dovrebbero essere desertiche. Le tracce virtuali lasciate durante la corsa arrivano perfino a mostrare la disposizione delle strade, e di conseguenza anche quella degli edifici, all’interno delle basi, anche quando le stesse basi viste dal satellite appaiono invisibili.

Un’esagerazione giornalistica? Non mi sembra, ho fatto anch’io un giretto sulle mappe di Strava trovando parecchie cose interessanti. Come ad esempio questa traccia precisissima a cui corrisponde il… nulla, potrebbe essere una strada intorno a una struttura abbandonata o nascosta sotto terra (oppure rasa al suolo).

Oppure questa traccia di una o due persone in marcia su e giù per un sentiero di montagna, al confine fra l’Afghanistan e il Pakistan, molto vicino ad un’area rettangolare piuttosto misteriosa (in basso a destra nella foto).

O questa immagine che mostra una intensa attività di corsa (traccia più intensa) e di ciclismo (traccia sottile rossa), in un’area apparentemente priva di qualunque segno dell’uomo (ma forse l’area in questione è censurata).

È chiaro che non era facile per Strava prevedere che mettere online i dati delle attività fisiche dei suoi utenti potesse mettere a repentaglio la sicurezza nazionale. Ma è altrettanto chiaro che condividere troppe informazioni (spesso superflue) qualche rischio alla fine lo crea di certo.

Cosa sarebbe successo se nel 2011 i Navy Seal all’attacco della base di Bin Laden fossero stati visti mentre si avvicinavano al rifugio del terrorista a causa delle tracce lasciate da qualche braccialetto per il fitness dimenticato al polso?

Post Scriptum. Mentre girellavo per le mappe di Strava, mi sono imbattutto in questa frase che sembra incisa sul fianco di una montagna ma che probabilmente è solo una scritta virtuale (se fosse vera, l’incisione sarebbe lunga quasi 200 metri). Forse opera di qualche mattacchione di Google, che ha voluto celebrare così le nozze d’argento di un familiare. Sessant’anni insieme non sono uno scherzo, tanti auguri agli sposi!

Dall’altra parte della valle, lo stesso(?) buontempone ha inciso anche le lettere “OJ”. Chissà se voleva ricordare quell’O.J. Simpson che, una volta terminata la carriera sportiva, ha riempito le cronache (nere) degli ultimi vent’anni. Fossi un abitante della zona mi girerebbero un po’…

Ma agli amici interesserà veramente conoscerle? ↩︎

È intelligente, ma non fa il caffè

Thu, 22 Feb 2018 18:00:00 +0000

– Fonte: Flickr.

Ogni mattina mio marito ed io imploravamo Alexa di prepararci il caffé. Ma lei reagiva solo quando la richiesta veniva fatta in un modo ben preciso, e neanche sempre.

“[Alexa], chiedi a Behmor [la macchina del caffé connessa in rete, NdT] di preparare il caffè.”

Ma Alexa si limitava a rispondere: “Behmor, una passione per il caffè. Come posso aiutarti?”

“Prepara il caffè.”

“Non capisco”, diceva lei.

La cosa era particolarmente grave per due drogati di caffeina [come mio marito e me], che non avevano ancora potuto avere la loro dose mattutina.

A volte provavamo a ripetere la domanda finché Alexa non riusciva a capire, ma nella maggior parte dei casi uno di noi si alzava, andava in cucina e premeva il pulsante della macchina del caffè, senza farlo in modo “intelligente”.

Un piccolo estratto di La casa che mi spiava, un articolo molto godibile ma anche piuttosto inquietante. È solo in inglese, ma vale la pena fare un piccolo sforzo per leggerlo.

Non sono un luddista o un retrogrado, anzi la tecnologia mi piace moltissimo, però un futuro analogo a 1984 non mi alletta per niente.

Quello che il nostro esperimento ci ha rivelato è che tutti i dispositivi collegati [ad internet] telefonano costantemente ai loro produttori.

Non saprai mai che queste conversazioni stanno avvenendo a meno che tu non sia tecnicamente esperto e che monitori accuratamente il router, come abbiamo fatto noi.

E anche se lo sei, dato che le conversazioni sono solitamente criptate, non sarai comunque in grado di valutare cosa stanno trasmettendo i tuoi dispositivi.

Quando acquisti un dispositivo “intelligente”, questo non appartiene solo a te, ma [piuttosto] è in affidamento congiunto con l’azienda che l’ha realizzato. Non è solo un problema di privacy, ma significa anche che quelle aziende possono modificare il prodotto a loro piacimento dopo che l’hai comprato.

Notizie in Anteprima da Giorgio dell'Arti

Thu, 25 Jan 2018 06:00:00 +0000

Giorgio dell’Arti è un bravo giornalista. L’ho sentito più volte a Prima Pagina, la trasmissione di Radio 3 dedicata alla lettura dei giornali del mattino che ascolto ogni giorno in macchina, e ne ho sempre apprezzato la capacità di scegliere gli articoli da leggere, oltre che il garbo e la competenza nel rispondere alle domande degli ascoltatori.

Da qualche giorno Giorgio dell’Arti ha lanciato una nuova iniziativa, Anteprima, una newsletter giornaliera contenente una “spremuta di giornali”, una selezione ragionata e commentata degli articoli del giorno, inviata via email agli abbonati.

Il costo dell’abbonamento è più che onesto, da 10 euro al mese a 50 euro all’anno. Si può anche provare Anteprima gratuitamente per 10 giorni, basta solo registrarsi fornendo nome, cognome e indirizzo email.

L’ho provata anch’io. La newsletter non è per niente male, la scelta degli articoli è fatta con criterio, la sintesi di Dell’Arti ne estrae davvero il succo essenziale e può veramente sostituirsi alla lettura dei quotidiani online.

Il sistema di registrazione ad Anteprima è semplice e veloce, e richiede di fornire solo i dati strettamente indispensabili. Ottima idea, chiedere troppe informazioni al primo approccio ha solo l’effetto di infastidire ed allontanare i potenziali abbonati.

Purtroppo il sistema di registrazione è anche piuttosto debole e permette a chiunque di rinnovare all’infinito il periodo di prova. Elenco qui tre metodi diversi (ma non saranno di certo gli unici), uno leggermente più complicato dell’altro sia per quanto riguarda l’esecuzione che, soprattutto, per le contromisure da prendere per prevenirne l’uso.

Prima di proseguire, voglio ricordare che gli indirizzi email sono divisi in due parti, nome utente e dominio, separati dal simbolo della chiocciola @ (o at ). Nell’indirizzo email nome.cognome@mioemail.it, la prima parte nome.cognome è il nome utente, mentre mioemail.it è il dominio.

Metodo #1, livello facile. Il primo metodo sfrutta una funzione caratteristica (e molto utile) di Gmail. Se aggiungiamo alla fine del nome utente un + seguito da una stringa qualunque, ad esempio nome.cognome+abcd@gmail.com, tutti i sistemi di posta elettronica considereranno questo nuovo indirizzo email diverso da quello originale, ma Gmail continuerà comunque ad associarlo alla stessa casella di posta elettronica. Lo stesso succede se inseriamo uno o più punti nel nome utente: nome.cognome@gmail.com, no.me.co.gno.me@gmail.com o nomecognome@gmail.com sono indirizzi email diversi ma per Gmail corrispondono sempre allo stesso account.

A cosa serve? A separare e a filtrare le email di servizi web diversi: se uso per la banca l’indirizzo email nome.cognome+banca@gmail.com e per le bollette del telefono nome.cognome+telefono@gmail.com, le email provenienti da ciascun servizio potranno essere marcate automaticamente da Gmail con un colore ed una etichetta specifica.

Nel caso di Anteprima, basta registrarsi una prima volta con un indirizzo email di Gmail e, alla scadenza del periodo di prova, ripetere la registrazione aggiungendo qualunque cosa alla fine del nome utente (+1234, +abcd, +pippo, va bene tutto basta che ci sia il +) per riuscire a rinnovare all’infinito il proprio periodo di prova.

Contromisure #1. Anteprima usa MailChimp per gestire la registrazione e l’invio della newsletter giornaliera. Non l’ho mai usato, ma mi stupirebbe se non si potesse implementare un filtro – in fondo basta una semplice espressione regolare – che nel corso della registrazione controlli se nel nome utente è presente un + e, in caso positivo, butti via il + via con tutto quello che segue, ottenendo un indirizzo email univoco da confrontare con il database degi utenti già registrati.

Metodo #2, livello intermedio. Questo metodo è leggermente più complicato e richiede l’utilizzo di un servizio di posta anonimo, accessibile tramite webmail. Ce ne sono a decine, da MailDrop a Fake Mail Generator, Hide-Your-Email.com o Guerrilla Mail, forse il più famoso servizio di questo tipo. Questi servizi di email usa-e-getta nascono per uno scopo molto sentito, evitare di utilizzare il proprio indirizzo email reale per registrarsi a siti poco affidabili o di cui ci importa poco. Utile per la privacy e per evitare di ricevere spam, ma ancora più utile per aumentare il livello di sicurezza con cui navighiamo in rete. Nel caso in cui il sito in questione venisse bucato, il cracker non potrebbe utilizzare i dati di registrazione forniti per provare ad accedere ai siti più interessanti (per noi e per lui).¹

È chiaro che se si utilizza uno di questi servizi ci si potrà registrare a Anteprima un numero illimitato di volte, generando ogni volta un nuovo indirizzo email anonimo e ricevendo la newsletter alla pagina web corrispondente all’email del momento. L’unica controindicazione è che, nella maggior parte dei casi, sarà necessario mantenere il browser sempre aperto sulla pagina web in questione, altrimenti dopo un po’ l’email viene considerato inutilizzato e viene cancellato automaticamente. Alcuni servizi anonimi però conservano per alcuni giorni tutte le email che ricevono, oppure possono ritrasmettere ad un indirizzo email normale le email che arrivano all’indirizzo usa-e-getta.

Contromisure #2. In questo caso le contromisure possono per forza di cose essere solo parziali. Quello che si può fare è impedire a priori la registrazione ad Anteprima a chi utilizza un indirizzo email anonimo, controllando che il dominio non appartenga ad una blacklist contenente i domini utilizzati dai servizi di posta anonimi più popolari. Non credo che una simile blacklist esista già, e quindi sarà necessario prepararne una da sé facendo un un giro per la rete in cerca dei servizi anonimi più utilizzati. Purtroppo è una soluzione parziale – il numero di servizi di questo tipo è enorme e alcuni permettono perfino di creare domini alternativi a volontà – però è sempre meglio di niente. Una persona determinata e che sappia il fatto suo troverà sempre il modo di utilizzare un metodo come questo, ma è probabile che la maggior parte degli utenti si arrenda dopo qualche tentativo fallito.

Metodo #3, livello difficile. Qui torniamo di nuovo a Gmail. Se abbiamo già un indirizzo email di Gmail, possiamo facilmente creare dei nuovi indirizzi email utilizzando ogni volta un nome utente diverso. Una cosa analoga si può fare con Libero e praticamente con qualunque altro servizio di webmail gratuita. Naturalmente, una volta in possesso di un nuovo indirizzo email, possiamo usarlo per ottenere un ulteriore periodo di prova su Anteprima.

Contromisure #3. Sembra sorprendente, ma non ce ne sono. Le aziende come Google e Libero usano la webmail per fidelizzare gli utenti, portandoli sui loro siti e stimolandoli ad usare gli altri servizi disponibili. Ovvio che cerchino di semplificare il più possibile la creazione di nuovi account. Anche controllare l’indirizzo IP da cui ha origine il collegamento ha poco senso, perché gli utenti casalinghi hanno IP variabili assegnati di volta in volta dal loro fornitore di accesso a internet (provider). La cosa più ragionevole da fare in questo caso è fidarsi dei propri utenti: perché la maggior parte delle persone interessate ad un servizio come questo è onesta e per di più non ha né la voglia né le conoscenze tecniche per eseguire queste acrobazie solo per risparmiare qualche euro.

Conclusioni

Spero che Giorgio Dell’Arti non me ne voglia. L’obiettivo di questo articolo non è quello di stimolare l’illegalità ma piuttosto quello di aiutare ad individuare le falle sempre presenti nei sistemi informatici e a definire le contromisure più opportune.

Internet è una cosa bellissima ma è anche estremamente complessa. Usarla essendo consapevoli dei rischi della rete e conoscendo almeno le basi della sicurezza non può che aiutare a migliorare l’esperienza d’uso e ad evitare fregature che potrebbero costare molto care.

Spero che Giorgio Dell’Arti non me ne voglia anche per un altro motivo. Purtroppo Anteprima non fa per me e alla fine ho deciso di non abbonarmi. I riassunti non mi hanno mai attirato, anche quando li scrive un giornalista in gamba come Dell’Arti. Mi manca il contesto, preferisco leggere pochi articoli ma leggerli per intero. Parere personale, è ovvio, spero vivamente che tanti non la pensino come me e si abbonino.

Post Scriptum: Come è giusto fare in questi casi, ho inviato preventivamente l’articolo a Giorgio Dell’Arti per dargli il tempo di correggere, per quanto è possibile, le falle del sistema. Non ho ricevuto nessun feedback ma, visto che mi ha dato subito il via libera per pubblicarlo, penso che equivalga ad un silenzio-assenso.

Perché, lo sappiamo tutti, si tende ad usare sempre lo stesso email e la stessa password per registrarsi su qualunque sito. ↩︎

La privacy al tempo dell'Internet of Things: gran finale

Sat, 20 Jan 2018 06:00:00 +0000

La teoria è tanto bella ma la pratica permette di capire molto di più.

Si può parlare all’infinito dei rischi associati a certi comportamenti su internet, ma finché non ci si sbatte contro si tenderà sempre a minimizzare e a pensare che non ci riguardino.

Usare password banali per accedere ai siti è rischioso? Lo sanno tutti ma (quasi) tutti le usano lo stesso. Almeno finché non scoprono con stupore che l’email e la password che usano sempre si trovano anche su internet, pronti per essere usati da qualche figuro senza scrupoli per farci passare guai seri.

Lo stesso succede con i dispositivi IoT. Sono insicuri, lo sappiamo, lo abbiamo visto fino a stufarci nel corso di questa lunga serie (primo tempo, interludio, secondo tempo, secondo interludio e terzo tempo).

Ma tendiamo sempre a pensare che la cosa non ci riguardi finché, novelli San Tommaso, non tocchiamo direttamente con mano quello che può succedere.

Shodan è un motore di ricerca per i dispositivi IoT, con il quale si possono trovare con facilità i dispositivi accessibili pubblicamente su internet e quindi potenzialmente vulnerabili all’attacco di un qualunque cracker.

Questo articolo di parecchi anni fa spiega molto bene come usare Shodan per craccare un certo tipo di videocamere di sorveglianza. Ho provato a rifare la procedura descritta e dopo quasi 10 anni funziona ancora perfettamente, a dimostrazione che il tempo non ha aumentato la consapevolezza dei rischi presenti sulla rete.

Quest’altro articolo più recente è ancora più dettagliato, ci sono perfino i dati di autenticazione di default di parecchi produttori di videocamere, chi avesse tempo e voglia di provare ad usarli potrebbe trovare di tutto.

Ma non c’è bisogno di essere così sofisticati. Le funzioni di ricerca di Shodan permettono agli account gratuiti di visualizzare solo due pagine di risultati (ma bastano 49 dollari per ottenere l’accesso completo), ma basta usare la mappa mondiale per analizzare velocemente e senza limitazioni un gran numero di dispositivi potenzialmente attaccabili.

Affinando progressivamente la ricerca in base alla nazione, alla città o al servizio che ci interessa, si possono anche superare i limiti degli account gratuiti.

Qualunque metodo si usi, la quantità di informazioni che si possono ottenere è stupefacente. Niente che non si possa già ottenere con i metodi classici di penetrazione (nmap e simili), ma vedere tutto messo in bella mostra su una pagina web sa quasi di magia.

Se provo a cercare su Shodan con la parola chiave “sonos” ottengo più di 10.000 risultati, distribuiti con poca sorpresa soprattutto nell’Europa del Nord e nel Nord America. Con “thermostat” o “nest” i risultati sono decisamente meno numerosi, ma non vorrei essere nei panni di quello a cui spengono il riscaldamento a distanza in pieno inverno.

Le cose diventano ancora più interessanti se si usa la parola chiave “webcam”. Shodan ne trova solo 5.000, magari perché sono intrinsecamente più sicure dei dispositivi Sonos, magari perché questi ultimi sono più di diffusi di quanto ci si possa aspettare. Sta di fatto che ci sono almeno 5.000 videocamere di sorveglianza in giro per il mondo che possono potenzialmente mostrare a tutti quello che “vedono”.

In parecchi casi lo mostrano già nella pagina di ricerca o cliccando su uno dei puntini rossi della mappa (l’immagine di anteprima è probabilmente quella visualizzata al momento dell’ultima analisi del motore di ricerca). Queste videocamere sono esposte sulla rete senza nemmeno la protezione di una password di default e basta un click per entrare in casa e vedere quello che stanno inquadrando in questo preciso momento.

In alcuni casi funziona anche il microfono, per cui non solo si vede ma si sente anche tutto quello che succede nei dintorni della videocamera. Come questa nonna latino-americana che guarda la televisione con la nipotina o la bambina che mette in ordine la cuccia del cane. Volendo si può registrare un video di quello che stiamo vedendo o andare a curiosare fra le immagini e i video salvati nella memoria della videocamera.¹

A me sembra inquietante. E a voi?

Ancora più inquietante è rendersi conto che uno bravo può fare praticamente quello che vuole con i dispositivi IoT esposti sulla rete. Può accedere ai router, ai semafori, ai sistemi di controllo degli impianti idraulici, elettrici e, Dio non voglia!, nucleari. Sembra incredibile, ma tante installazioni professionali hanno livelli di sicurezza praticamente nulli.

Un hacker si limita a guardare, a studiare e ad informare, senza fare danni. Ma cosa succede se ci si imbatte in un cracker cattivo? Ci sono delle contromisure che possiamo prendere?

Se abbiamo in casa qualche dispositivo IoT in funzione, possiamo usare questo servizio web per controllare se è visibile su internet. Non so quanto sia efficace, ma di sicuro è meglio che non fare niente.

Nel lungo periodo, è chiaro che le aziende che producono i dispositivi IoT devono decidersi a curare di più (e meglio) la sicurezza del software di gestione dei loro dispositivi, rendendosi pienamente conto dei rischi associati al loro uso. I dispositivit IoT non saranno pericolosi quanto una macchina lanciata a piena velocità in autostrada, ma è sempre meglio non sfidare la sorte.

Io l’ho fatto per scrivere questo articolo ma non mi è piaciuto per niente. E comunque poi ho cercato di rimettere tutto a posto. ↩︎

La privacy al tempo dell'Internet of Things: terzo tempo

Fri, 12 Jan 2018 06:00:00 +0000

Dopo aver letto le puntate precedenti di questa serie (primo tempo, interludio, secondo tempo e secondo interludio), qualcuno potrebbe obiettare che, tutto sommato, poter controllare la casa o il riscaldamento a distanza è molto più vantaggioso dei rischi per la privacy che ne derivano. Alla fine, cosa sarà mai ricevere qualche annuncio pubblicitario mirato?

Magari fosse così! Come abbiamo già visto, non si tratta solo di pubblicità ma di spiattellare dati che dovrebbero rimanere riservati, oltre che di rischi concreti e significativi per la nostra sicurezza.

Ma anche mettendo da parte per un momento queste questioni, bisogna notare che i dispositivi dell’Internet delle Cose (IoT da ora in poi) presentano un altro problema grosso come una casa: in realtà non sono mai veramente nostri!

Li compriamo, spesso a caro prezzo, li montiamo, li configuriamo, e ci aspettiamo di poterli usare quanto e come vogliamo. Ma non è così, proprio il fatto che siano controllabili a distanza li mette alla mercé delle aziende produttrici, che possono decidere in qualunque momento di staccare la spina rendendoli inutilizzabili, se appena appena gli garba (o gli conviene).

Da remoto, a costo zero, per i motivi più svariati e improbabili, spesso senza nemmeno informare i propri clienti.

Succede da anni con il software, che troppo spesso non viene veramente venduto ma solo ceduto in locazione. Succede con gli eBook, Amazon se vuole può revocare in ogni momento il permesso di utilizzare gli eBook acquistati per il Kindle (e qualche volta l’ha fatto veramente).

Ma con i dispositivi IoT è ancora peggio, perché la disattivazione non dipende da presunti comportamenti illeciti dell’utente ma solo dagli sghiribizzi della politica aziendale del momento. Se l’azienda decide che il nostro dispositivo non deve più funzionare, può trasformarlo in pochi secondi in un ammasso inutile di plastica e di metallo.

Esagero? Sono troppo estremo? Vediamo qualche esempio concreto.

Il primo caso in assoluto di cui ho tenuto traccia si è verificato quasi due anni fa, esattamente ad aprile del 2016, quando mi è arrivato via email il link a questo articolo: Google Nest stacca la spina a Revolv: gli utenti sono furiosi.

All’inizio del 2014 Google ha acquistato la startup Nest, produttrice di una ampia gamma di dispositivi per l’automazione casalinga, termostati, videocamere, sensori di gas e altro. Poco dopo Nest ha acquisito a sua volta Revolv, un’altra startup che aveva messo a punto un hub intelligente, in grado di controllare da un’unica applicazione per smartphone parecchi dispositivi IoT di aziende diverse, normalmente incompatibili fra loro. Sono passati due anni, nel corso dei quali Nest (e quindi Google) ha integrato la tecnologia di Revolv nei propri prodotti. A questo punto ha deciso di disabilitare da remoto l’hub di Revolv, rendendolo di fatto inservibile. L’edizione USA di Wired ha dedicato un lungo articolo alla questione, intitolandolo molto significativamente La disattivazione dell’hub di Nest dimostra che è assurdo acquistare prodotti IoT. Qualcuno ha avuto il coraggio di sostenere che la decisione di Nest/Google fosse sostanzialmente corretta, “perché l’hub di Revolv aveva già qualche anno e non generava più profitti.” Vorrei proprio vedere cosa penserebbe se il forno o la lavastoviglie di casa sua smettesse improvvisamente di funzionare solo perché l’azienda produttrice ha deciso di punto in bianco che non vale più la pena fornire assistenza tecnica per un modello non più in vendita.

Passa un anno, siamo ad aprile dell’anno scorso, e viene fuori un’altra notizia interessante. Dopo aver comprato un apriporta intelligente, un utente insoddisfatto dall’app di controllo scrive una recensione negativa su Amazon. Succede, qualche volta l’ho fatto anch’io, non è la fine del mondo, e del resto se le recensioni fosse tutte positive non servirebbero a niente.

Il produttore, invece di lasciar perdere, di scusarsi o di spiegare in modo civile le sue ragioni al cliente, che fa? Si vendica, mettendo fuori uso il prodotto del cliente insoddisfatto.

Una reazione del tutto fuori luogo, un modo tremendamente poco professionale di stare sul mercato (oltre che una conferma implicita della correttezza delle opinioni negative espresse dal cliente). In questo caso il cliente ha potuto chiedere il rimborso ad Amazon, ma resta il fatto che il produttore non si è fatto nessuno scrupolo di mettere fuori uso in modo arbitrario un prodotto regolarmente acquistato e pagato.

Qualche mese dopo anche Sonos la fa grossa. Sonos è una azienda piuttosto affermata che produce componenti audio per la casa. Niente di particolarmente Hi-Fi, ma meglio di tanta robaccia che gira nel settore. Ad agosto, nel pieno del caldo estivo, Sonos invia una email a tutti gli utenti registrati, informandoli di aver cambiato unilateralmente la propria politica relativa alla gestione dei dati personali acquisiti dai propri utenti. Ma a differenza di quello che succede normalmente, gli utenti non potevano rifiutare o contestare i cambiamenti avvenuti, rimanendo quindi totalmente alla mercé delle decisioni dell’azienda. In caso contrario non avrebbero più potuto aggiornare il firmware del proprio sistema audio Sonos, riducendone a poco a poco le funzionalità, Nei casi più estremi la cosa avrebbe potuto comportare perfino l’interruzione del servizio. Inutile girarci intorno: se una azienda decide di fare un passo del genere, significa solo che i nostri dati fanno molto più gola di quello che pensiamo.

Ma la vera chicca me la sono tenuta per la fine.

Ormai perfino i trattori sono diventati intelligenti. Purtroppo all’intelligenza è associata anche una bella fregatura, perché la John Deere, una delle principali aziende produttrici di macchine agricole, impone ai suoi clienti di firmare un contratto capestro con il quale si impegnano a far riparare i loro nuovi trattori solo dal personale autorizzato dell’azienda, con i costi e i tempi di inattività forzata che tutto ciò comporta. In caso contrario l’azienda si arroga il diritto di disattivare da remoto il trattore (una perdita economica enorme per un agricoltore), oltre che di attivare una causa legale contro il cliente inadempiente. Questa pretesa ha creato immediatamente un mercato parallelo di firmware craccato, con il quale è possibile disattivare le funzioni di controllo a distanza e tornare a poter mettere le mani autonomamente nei propri trattori.

La vicenda mi ha colpito perché ha qualche somiglianza con la lotta iniziata negli anni ‘80 da Richard Stallman, che voleva mettere le mani nella nuova stampante laser del suo dipartimento al MIT per rimediare ai frequenti inceppamenti della carta. Questa lotta, basata sui principi ideali di condivisione delle informazioni tipici della cultura della ricerca, ha portato ad un cambiamento epocale nelle modalità di distribuzione del software.

È chiaro che un firmware craccato più o meno malamente non è confrontabile con gli ideali di un personaggio estremo ma coerente come Stallman. Ma è altrettanto chiaro che se l’IoT vuole avere un futuro deve abbandonare al più presto il modello del software proprietario, chiuso e controllato solo ed esclusivamente dall’azienda produttrice, sostituendolo con applicazioni di gestione e di controllo aperte e interoperabili fra loro. Più o meno quello che aveva iniziato a fare Revolv.

La privacy al tempo dell'Internet of Things: secondo interludio

Fri, 08 Dec 2017 06:00:00 +0000

No, non me ne sono dimenticato, anzi l’ho messo apposta da parte per poterne parlare più diffusamente ora.

Perché la dimostrazione paradigmatica (erano anni che cercavo una scusa per usare questa parola!) dell’insicurezza intrinseca dei dispositivi IoT attuali è data da Amazon Key, il nuovo servizio di Amazon che permette ad un corriere di consegnare un pacco a casa nostra anche quando siamo assenti.¹

Amazon infatti ha un problema: con il servizio Amazon Prime si è impegnata a consegnare un gran numero di prodotti entro due giorni. Me se il corriere arriva quando la casa è vuota, la consegna non avviene. Non è colpa di Amazon, è chiaro, ma nell’economia digitale questo dettagio è irrilevante, conta solo il fatto che se i tempi si allungano i clienti sono meno invogliati a comprare e di conseguenza i profitti soffrono.

Per questo Amazon ha sviluppato il kit Amazon Key In-Home, costituito da una videocamera proprietaria ad alta risoluzione basata sul cloud e da una di quelle serrature non tanto intelligenti di cui si parlava ieri.

Una volta installato il kit, quando il corriere arriva davanti alla porta di casa scansiona il codice a barre del pacco e lo trasmette al servizio di Amazon. Se è tutto a posto, la serratura si sblocca e la videocamera inizia a registrare. Il corriere entra in casa, lascia il pacco, richiude la porta e chiede ad Amazon di bloccare di nuovo la serratura, tutto sotto l’occhio vigile della videocamera di sicurezza. Il cliente intanto viene informato della consegna tramite lo smartphone e riceve anche un video tranquillizzante che mostra come si è svolta la procedura.

Semplice, veloce e funzionale, apparentemente a prova di bomba. Ma è bastata solo una settimana per craccare il servizio.

La debolezza sta nel modo in cui viene gestito il blocco della serratura dopo la consegna.

Un corriere disonesto infatti può limitarsi a chiudere la porta senza richiedere la chiusura la serratura, mentre lancia da un portatile (ma basta anche un microscopico RaspberryPi) un programmino che mette offline la videocamera senza che il cliente se ne accorga. Anzi, il cliente continua a vedere l’ultima immagine registrata prima del blocco, quella della porta chiusa, che è esattamente ciò che si aspetta.

Intanto il corriere si ficca in casa, chiude di nuovo la porta, si allontana dal raggio di azione della videocamera e rimette online la videocamera, inviando regolarmente ad Amazon la richiesta di blocco della porta. Tutto si svolge in pochi secondi e senza che nessuno, prima di tutto Amazon, possa sospettare nulla. Intanto il delinquente è libero di aggirarsi per la casa, per rubare o ficcare il naso fra le nostre cose.

Non ci vuole molto per correggere questa vulnerabilità, basta inviare un’allerta al servizio ogni volta che la videocamera va offline anche per pochissimi secondi (ad esempio per uno sbalzo di tensione o per un blocco del router Wi-Fi), in particolare durante la consegna. Ma è probabile che prima o poi vengano fuori altre vulnerabilità, e comunque da Amazon ci si poteva (e ci si doveva) aspettare fin dall’inizio un meccanismo di sicurezza più affidabile.

Per quanto mi riguarda, penso che sia preferibile aspettare un pacco un giorno in più piuttosto che farsi svaligiare la casa. Forse le vecchie Poste non avevano tutti i torti a prendersela comoda.

E in futuro di ordinare altri servizi del tutto impensabili qui da noi, come far pulire la casa mentre siamo assenti o far fare la passeggiatina al cane. ↩︎

La privacy al tempo dell'Internet of Things: secondo tempo

Wed, 06 Dec 2017 18:00:00 +0000

Nelle puntate precedenti abbiamo visto come l’invasione nella vita privata operata dai dispositivi IoT sia tanto massiccia e intollerabile da rendere utile consultare una guida ai rischi per la privacy prima di acquistare un qualunque dispositivo IoT.

Purtroppo gli esempi presentati sono solo la punta dell’iceberg. Le modalità usate da questi dispositivi per spiarci sono praticamente infinite e superano di gran lunga le fantasia più audaci di una persona normale.

Perché anche le smart TV ci guardano e ci sentono – non è un caso che anche CIA e MI5 ci abbiano messo le mani dentro – e Samsung non si fa nessuno scrupolo di rivendere a terze parti le informazioni raccolte dalle sue TV.

Lo stesso vale per i termostati intelligenti, che in 15 secondi(15 secondi!) possono essere trasformati in spioni senza scrupoli. O per il frigorifero con una falla di sicurezza che espone al mondo i dati di login del nostro account Gmail, attraverso il quale si può raccogliere una grandissima quantità di informazioni sulla nostra vita e su quella dei nostri conoscenti.

Se inizialmente l’obiettivo di questa invasione nel privato – sapere quanto più possibile dei nostri gusti e delle nostre abitudini per poterci inviare suggerimenti di acquisto mirati – poteva essere considerato relativamente inoffensivo, la cosa si è trasformata rapidamente in una vera e propria minaccia per la nostra intimità e il nostro portafoglio, a volte per una strategia dolosa (vedi i casi Samsung e Sony riportati qui), in tanti altri casi per l’incapacità delle aziende produttrici di garantire un livello di sicurezza decente per i loro prodotti.

Una decina di anni fa lo scandalo del software malevolo installato di soppiatto da certi CD musicali della Sony per trasmettere a “casa” dati sulle abitudini musicali dell’acquirente scosse dalle fondamenta l’azienda giapponese e la costrinse ad una ritirata precipitosa.

Oggi succede molto di peggio ma, complici la smania di protagonismo e la frenesia di condividere qualunque emozione con i propri amici virtuali alimentata dai social network, nella percezione comune è diventato quasi naturale essere spiati 24 ore su 24, “tanto io non ho niente da nascondere”.

Sarà anche vero, ma non è così irrilevante.

Perchè ciò che dici in casa può essere usato dal datore di lavoro senza scrupoli per licenziarti. Quello che metti nel frigorifero può essere scrutato dalla tua assicurazione, che ti aumenta la polizza se decide che quello che mangi non è abbastanza sano e può farti venire l’infarto. Le foto scattate dalla videocamera di sicurezza quando giri per casa dopo la doccia possono finire su qualche sito equivoco prima ancora che ti asciughi i capelli. Parole e sospiri captati dall’Alexa di turno mentre fai sesso con l’amante possono essere usate contro di te dal partner tradito senza dover nemmeno scomodare il classico investigatore privato di serie D.

E se una azienda non è capace di garantire la riservatezza dei dati personali affidati ai propri dispositivi IoT, figuriamoci se sarà in grado di assicurare che questi non possano essere violati dai delinquenti che si aggirano per la rete.

Un ransomware può facilmente compromettere un termostato (poco) intelligente, minacciando di innalzare (o abbassare) la temperatura della casa ad un livello intollerabile, a meno di non pagare un riscatto salato. Ricatti analoghi possono essere portati tramite il frigorifero o il condizionatore. Una porta protetta (si fa per dire) da una serratura ancora meno intelligente può essere aperta senza troppi problemi (e quando non ci si riesce, basta un cacciavite ed un po’ di esperienza per superare le deboli difese meccaniche della serratura).

Persino i pacemaker sono a rischio. Pochi mesi fa la Food and Drug Administration (FDA) statunitense ha obbligato una azienda produttrice di pacemaker ad aggiornare il firmware di mezzo milione di suoi dispositivi, perché potevano essere penetrati così facilmente da remoto da mettere a rischio la vita dei pazienti cardiopatici che avevano la sfortuna di portarli.

Purtroppo non è l’unico caso, anzi è stato dimostrato che tutti i modelli di pacemaker “connessi” presentano così tante vulnerabilità da poter essere facilmente violati da chiunque possegga un minimo di conoscenze tecniche e attrezzature disponibili a pochi soldi perfino su eBay.

Una volta ottenuto il controllo del dispositivo, chi potrebbe impedire ad un terrorista di attentare alla vita di qualche alta personalità della politica o dell’industria con scompensi cardiaci? Oppure, più prosaicamente, di simulare un malfunzionamento che costringa la vittima a precipitarsi in ospedale, mentre l’abitazione lasciata senza sorveglianza viene svaligiata con tranquillità dai complici? Con conseguente infarto (questa volta vero) del malcapitato, al ritorno a casa.

Finora tutto ciò è rimasto solo a livello ipotetico, ma scommettiamo che prima o poi qualcosa di simile accadrà davvero?

La privacy al tempo dell'Internet of Things

Wed, 08 Nov 2017 06:00:00 +0000

– Lars Schleicher, Flickr.

Come reagireste se qualcuno si intrufolasse in casa vostra per registrare tutto ciò che dite? O se nascondesse una videocamera e osservasse quello che fate fra le mura domestiche? Il minimo sarebbe cacciarlo via a calci, fino ad arrivare nei casi peggiori ad una denuncia all’autorità giudiziaria.

Il guaio è che, mentre prestiamo molta attenzione agli spioni reali, non ci rendiamo conto di avere in casa un gran numero di spioni virtuali, oggetti tecnologici collegati ad internet che sentono e vedono tutto quello che facciamo e lo comunicano a mezzo mondo.

L’Internet of Things (IoT, Internet delle Cose) è il mantra di questi anni. Tutto deve essere intelligente e sempre connesso, tutto deve essere controllabile e gestibile a distanza, a volte per liberarci da presunte “fatiche” di cui non ci siamo mai accorti (la mia preferita è ordinare automaticamente quello che manca nel frigorifero).

La maggior parte delle applicazioni dell’IoT sono comode, non c’è che dire: controllare da lontano se qualcuno è entrato in casa, accedere o spegnere a distanza le luci o il riscaldamento, verificare che non ci siano perdite d’acqua (o di gas) e nel caso poter chiudere la valvola, sono funzioni utilissime, che si ripagano praticamente da sole.

Per poter fare tutto ciò, però, dobbiamo condividere con le aziende produttrici, tante (troppe?) informazioni sul nostro stile di vita, sulle nostre abitudini, su quando ci svegliamo, cosa mangiamo, quanto a lungo siamo fuori casa, cosa guardiamo in TV, quando andiamo a letto, persino cosa facciamo quando siamo sotto le lenzuola.

Purtroppo le aziende sono attentissime a raccogliere informazioni su tutto ciò che ci riguarda, ma sono molto meno attente quando si tratta di garantire la sicurezza delle informazioni che gli forniamo e ad evitare che vengano usate per scopi più o meno illeciti. Sembra una specie di “Corrida”, dilettanti allo sbaraglio in gara a chi fa di peggio. Qualche esempio venuto alla luce negli ultimi mesi.

C’è il robot aspirapolvere con videocamera incorporata di LG, utile per controllare la casa a distanza collegandosi tramite una app al proprio account personale. Ma anche un ladro può entrare (troppo) facilmente nell’account del malcapitato acquirente e controllare che non ci sia nessuno in casa. L’azienda ha corretto subito la vulnerabilità, è vero, ma quanti utenti di questi apparecchi si rendono conto dell’importanza di aggiornare al più presto il firmware dell’apparecchio per renderlo più sicuro (e sono in grado di farlo)?

C’è Echo, l’assistente digitale di Amazon, un maggiordomo virtuale sempre in ascolto, pronto a soddisfare tutti i nostri desideri. Ma basta avere l’occasione di rimanere pochi minuti da soli con Echo per tramutare l’assistente digitale in uno spione in grado di trasmettere a un dispositivo remoto tutto ciò che viene detto intorno al lui. Nel modello più recente questo errore di progettazione è stato corretto, ma ci sono in giro per il mondo circa sette milioni di dispositivi Echo vulnerabili, sette milioni di potenziali spioni. È non è solo un aquestione di corna. L’Echo spione non serve solo a dimostrare l’infedeltà di qualche marito (o moglie). Pensate ai segreti che può carpire qualche Echo trasformato installato strategicamente in alberghi o uffici.

C’è l’orsacchiotto intelligente che consente a genitori lontani di inviare messaggi vocali al loro bambino. Purtroppo il database contenente i dati di accesso degli utenti era liberamente accessibile a chiunque dal web, mettendo a disposizione dei malintenzionati 800.000 indirizzi email e password, crittografate in modo sicuro ma nella maggior parte dei casi così semplici da poter essere lo stesso facilmente craccabili (in fondo stiamo parlando di un giocattolo!). Con queste informazioni qualunque delinquente poteva accedere ai messaggi vocali associati, veri e propri tesori per pedofili, stalker e immonda compagnia cantante. L’azienda non si è nemmeno degnata di allertare i genitori inconsapevoli.

E poi c’è il We-Vibe Sync, un giocattolo per coppie controllabile a distanza, che trasmette all’azienda produttrice, senza il consenso degli interessati, dettagli personalissimi sull’uso dell’apparecchio, per di più associati all’indirizzo email dei clienti. Che se ne fa l’azienda di questi dati? Chi può impedire a qualche impiegato senza scrupoli di usarli a scopo di ricatto? Ma questo è ancora niente rispetto al modello concorrente con videocamera incorporata che crea un punto di accesso Wi-Fi – nemmeno fosse il router di casa – con SSID (il nome assegnato al punto di accesso) predefinito e password di default costituita da una semplice sequenza di otto “8”. Chi si trova nelle vicinanze può quindi accedere facilmente al giocattolo e guardare tutto quello che vede l’apparecchietto. Roba più da ginecologi che da amanti, ma i gusti sono gusti… Chi ha scoperto la vulnerabilità non ha potuto trattenersi dal notare che:

“A volte cadono decisamente le braccia. [Nel campo] della sicurezza [dell’Internet of Things] vediamo roba fatta veramente male, ma questa sembra assolutamente incredibile.”

Ma naturalmente non finisce qui…

La privacy al tempo dell'Internet of Things: interludio

Tue, 31 Oct 2017 06:00:00 +0000

Neanche a farlo apposta, subito dopo la pubblicazione dell’ultimo articolo sulla privacy al tempo dell’Internet of Things ho ricevuto dalla fondazione Mozilla (quella di Firefox e Pocket) questa interessantissima guida all’acquisto dei dispositivi tecnologici connessi alla rete, con un elenco dettagliato dei rischi che ciascun dispositivo comporta per la nostra privacy. Penso che sia difficile trovare in giro qualcosa di più utile per fare degli acquisti consapevoli.

Per quello che mi riguarda, io escluderei a priori tutto ciò che si arroga il diritto di condividere i miei dati con terze parti. Perché farsi tracciare perfino quando ci si lava i denti è veramente troppo!

Attenti ad HandBrake!

Tue, 09 May 2017 19:00:00 +0000

Più che un post questa è una vera e propria comunicazione di servizio.

Gli sviluppatori di HandBrake, quello che è probabilmente il miglior convertitore video per il Mac (e non solo), si sono accorti che uno dei loro server è stato compromesso e che le copie di HandBrake scaricate fra il 2 e il 6 maggio potrebbero contenere un cavallo di Troia (trojan horse), cioè un codice maligno capace ad esempio di intercettare quello che si scrive con la tastiera o, nei casi estremi, persino di prendere il controllo del Mac.

Controllare HandBrake

Chi avesse scaricato ed installato HandBrake nei giorni critici deve controllare che che in Monitoraggio attività non compaia il processo activity_agent e che il checksum del file HandBrake-1.0.7.dmg non corrisponda a quelli riportati qui.

Ricordo che il programma Monitoraggio Attività si trova nella cartella Applicazioni > Utility, mentre per calcolare il checksum del file HandBrake-1.0.7.dmg (che supponiamo sia nella cartella Downloads) basta lanciare il Terminale (si trova anch’esso in Applicazioni > Utility) ed eseguire i comandi

$ cd Downloads
$ shasum -a 1 HandBrake-1.0.7.dmg &#038;&#038; shasum -a 256 HandBrake-1.0.7.dmg

L’esecuzione del comando shasum su una copia legittima di HandBrake produce in risposta

6d2e5158f101dad94ede3d5cf5fda8fe9fd3c3b9  HandBrake-1.0.7.dmg
3cd2e6228da211349574dcd44a0f67a3c76e5bd54ba8ad61070c21b852ef89e2  HandBrake-1.0.7.dmg

mentre le copie maligne di HandBrake riportano dei valori completamente diversi.

Rimuovere HandBrake

Per rimuovere la versione corrotta di HandBrake insieme al suo trojan, bisogna eseguire dal Terminale i comandi seguenti (esattamente come sono scritti!):

$ launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
$ rm -rf ~/Library/RenderFiles/activity_agent.app

Inoltre, se il comando

$ ls -al ~/Library/VideoFrameworks/

riporta l’esistenza di un file proton.zip, bisogna rimuovere anche questo file insieme alla cartella che lo contiene con

$ rm -rf ~/Library/VideoFrameworks/

Fatto questo si può rimuovere HandBrake dal Mac trascinando l’icona dell’applicazione nel cestino oppure usando un programma di disinstallazione come AppCleaner o simili.

È opportuno anche riavviare il Mac, in modo da essere sicuri di rimuovere il programma activity_agent dalla memoria.

Infine, per maggiore sicurezza gli sviluppatori di HandBrake consigliano anche di modificare tutte le password salvate nel Portachiavi del Mac o nel browser. E questa è veramente una bella, grossa, seccatura!

Purtroppo sembra non ci sia più nessun freno (nemmeno a mano) a questa ondata di malware per il Mac.

Apple o non Apple, questo è un problema

Tue, 25 Apr 2017 06:00:00 +0000

L’abbiamo letto e sentito (e magari anche detto) mille volte: per evitare che ci vengano carpite in modo fraudolento informazioni personali riservate – login e password di servizi importanti, dati della carta di credito, informazioni bancarie – è fondamentale controllare sempre che l’indirizzo (URL) del sito riportato nella barra degli indirizzi del browser sia quello legittimo.

Infatti, anche se per un qualunque malintenzionato è piuttosto facile creare un sito fittizio identico a quello legittimo, quello che non può riprodurre è proprio l’URL del sito, che è attribuito in modo univoco ed è gestito da un singolo database distribuito in tutto il mondo.

Un malintenzionato potrà quindi anche ricreare in modo perfetto l’aspetto del sito di PayPal, http://paypal.com, ma dovrà per forza di cose usare un URL leggermente diverso, magari http://pay.pal.com, http://mypaypal.com, o simili, sperando che il malcapitato che ci finisce non se ne accorga. Basta quindi un po’ di attenzione per evitare problemi.

Almeno finora.

Provate ad inserire nella barra degli indirizzi del vostro browser questo URL apparentemente inoffensivo, https://www.xn–80ak6aa92e.com.

Se usare Firefox, Opera o Chrome (fino alla versione 57.x), quando premete Invio siete portati ad un sito web il cui URL sembra essersi trasformato quasi magicamente in quello di Apple.

A questo punto, basterebbe riprodurre l’aspetto del sito di Apple per rendere il sito finto praticamente indistinguibile da quello legittimo, con gravissimi pericoli per la sicurezza dei malcapitati che dovessero finirvi.

Per fortuna, Safari non è soggetto a questo problema e mostra sempre nella barra degli indirizzi l’URL originale. Anche i browser Microsoft, Edge e il venerabile Internet Explorer, sono immuni, a meno di non usare il Russo come lingua di sistema.

Il bug è legato all’uso dei caratteri unicode per gli indirizzi web, o meglio alla rappresentazione dei caratteri unicode tramite i soli caratteri ASCII (detta rappresentazione punycode).

L’URL https://www.xn–80ak6aa92e.com/ rappresenta delle lettere dell’alfabeto cirillico che sembrano identiche (o quasi) a quelle dell’alfabeto latino, ma che rimandano ad indirizzi web completamente diversi da quelli originali.¹ La stessa cosa si può fare anche con altri alfabeti che hanno lettere simili alle nostre, fra cui il greco e l’armeno (anche se mi sembra per quest’ultimo le letetre simili siano veramente poche).

I dettagli tecnici del bug si possono leggere qui.

Quello che mi preme di più è spiegare come proteggersi. Perché è chiaro che inizieranno prestissimo degli attacchi basati su questa debolezza della codifica unicode, attacchi molto più pericolosi e difficili da smascherare di quelli che abbiamo dovuto subire finora.

Come già detto, Safari, Edge ed Internet Explorer non sono a rischio. Per chi usa Chrome, basta aggiornare alla versione 58.x appena rilasciata. Per Opera non è chiaro cosa succederà, ma comunque Opera ha una quota di utenti relativamente ridotta rispetto agli altri due browser a rischio.

Il vero problema è Firefox. Perché gli sviluppatori di Firefox hanno annunciato che cambiare il comportamento di default del browser creerebbe problemi agli “utenti le cui lingue non usano l’alfabeto latino” e che invece “loro vogliono che tutte le lingue e gli alfabeti siano trattati allo stesso modo su internet”.

Un intento nobile, ma anche pericoloso. Per fortuna c’è la possibilità di cambiare il comportamento di default di Firefox, accedendo alle pzioni avanzate di configurazione del browser.

Per farlo, basta scrivere about:config nella barra degli indirizzi del browser e premere Invio. Comparirà una scritta bella grande che ci informa che l’operazione può invalidare la garanzia, compromettendo la stabilità, la sicurezza e le prestazioni del browser. Decisamente eccessivo. Non preoccupatevi e cliccate senza paura sul tasto che vi fa accettare il rischio.

Inserite ora la stringa punycode nella barra di ricerca in alto. Comparirà un unico parametro di configurazione, network.IDN_show_punycode, il cui valore di default è false. Fate doppio click su false, trasformandolo in true, e chiudete la pagina di configurazione. Da ora in poi anche Firefox si comporterà come Safari e sarete al sicuro da possibili attacchi di questo tipo.

Per ulteriori approfondimenti, consiglio di leggere prima di tutto l’articolo originale che descrive il problema, Phishing with Unicode Domains di Xudong Zheng. Molto interessante e dettagliato anche This Phishing Attack is Almost Impossible to Detect On Chrome, Firefox and Opera di Mohit Kumar, mentre Chrome And Firefox Adding Protection Against This Nasty Phishing Trick e Chrome and Firefox Phishing Attack Uses Domains Identical to Known Safe Sites, riportano altri due esempi di URL a rischio.

Se si guarda attentamente, la ӏ di apple visibile nella barra degli indirizzi non è proprio una l ma una lettera dell’alfabeto cirillico). ↩︎

Golf a rischio

Sun, 21 Aug 2016 06:00:00 +0000

È un periodaccio per la Volkswagen. Prima il dieselgate, lo scandalo delle emissioni truccate dei motori diesel, esploso un anno fa negli USA e che costerà all’azienda di Wolfsburg almeno 15 miliardi (!) di dollari di multe e rimborsi ai consumatori statunitensi (ma non a quelli europei, la Commissione Europea come al solito, forte con i deboli ma debolissima con i forti ha deciso di non perseguire la Volkswagen).

Poi la pubblicazione dell’esistenza di una falla nel sistema di accensione, che consente di mettere in moto da remoto le auto del gruppo costruite a partire dal 1995 anche se non si dispone del telecomando con chip RFID che in teoria dovrebbe proteggere l’auto dalle attenzioni dei malintenzionati.

Ora la scoperta di una grave vulnerabilità del sistema di sblocco della serratura. Un semplice congegno elettronico da 40 dollari, costruito utilizzando il diffusissimo micro-controller Arduino, permette di clonare il telecomando ed aprire a distanza la serratura delle Volkswagen, Audi, Seat, Skoda, costruite negli ultimi quindici anni. Fanno circa 100 milioni di auto a rischio.

La Volkswager ha fatto di tutto per evitare che questi problemi venissero resi pubblici, arrivando persino a perseguire legalmente i ricercatori che hanno scoperto le falle nei sui sistemi di sicurezza. Meglio nascondere la testa sotto la sabbia che tutelare i clienti cercando di risolvere il problema.

Intanto i veri cattivi probabilmente usano già queste tecniche per rubare le auto di alto livello del gruppo. Oppure per rubare oggetti di valore senza lasciare tracce. Ci sono i video che lo dimostrano: la polizia non ci si raccapezza, le assicurazioni non pagano, i danneggiati vengono considerati dei truffatori in cerca di un finto risarcimento.

Soluzioni? Una sola, proposta dagli stessi ricercatori che hanno scoperto le falle di sicurezza: usare la serratura meccanica. Come facevo a fine anni settanta con la 500 (quella vera) di mia madre.

KeRanger, il primo ransomware per il Mac

Mon, 07 Mar 2016 21:00:00 +0000

La settimana scorsa anche OS X è capitolato, dimostrandosi vulnerabile ai terribili ransomware. Potrei aggiungere che prima o poi doveva succedere, ma non è così, queste cose su un sistema Unix non dovrebbero succedere.

Innanzi tutto cos’è un ransomware? Il ransomware è attualmente la forma più pericolosa e più dannosa di attacco informatico. Una volta penetrato in un computer, cripta tutti i documenti del malcapitato utente in modo tale che non possano assolutamente essere decodificati, a meno di non pagare un vero e proprio riscatto al creatore dell’attacco.

Insomma, un ricatto bello e buono, fatto persino intelligentemente (ammesso che si possa considerare intelligente una cosa del genere). La cifra richiesta per lo sblocco in genere non è eccessiva, e chi viene infettato è quasi sempre disposto a pagare pur di non perdere dei documenti, che siano di lavoro o personali, unici e spesso irrecuperabili da altre fonti. Pagano perfino i poliziotti.

Il ricattatore è comunque (dal suo punto di vista) onesto e, una volta ottenuto il pagamento, invia sempre il codice di sblocco corretto. Ma solo perché non farlo sarebbe controproducente e ridurrebbe la probabilità che gli altri malcapitati chinino la testa e paghino come richiesto.

La facilità di guadagno e il rischio bassissimo di essere scoperti (il pagamento avviene tramite bitcoin non tracciabili) spinge a produrre nuovi ransoware sempre più pericolosi, creando una spirale di minacce e relativi pagamenti che è difficile spezzare.

Purtroppo contro i ransomware il backup non serve a niente, soprattutto se il disco di backup è sempre collegato al computer, come succede con Time Machine. Il ransomware non si fa problemi, e infetta tranquillamente tutti i dischi esterni e perfino quelli connessi in rete, come i NAS. Anche Dropbox e simili non servono a molto: i file criptati vengono salvati su Dropbox e, anche se sono disponibili le versioni precedenti in chiaro dei file, in caso di infezione sarebbe una vero problema doversele andarsele a cercare ad una ad una.

Finora i ransomware si sono limitati ad infettare Windows e, in qualche caso, anche Android. Fra tutti, il più famoso e diffuso è di sicuro CryptoLocker, con cui ho (purtroppo!) avuto anch’io a che fare un anno fa, dopo che aveva infettato il computer di una conoscente (ma questa è un’altra storia).

Ora dopo alcune dimostrazioni di fattibilità praticamente inoffensive, alla fine anche su OS X è arrivato un ransomware vero, OSX.KeRanger.A, che ha infettato Transmission, uno dei programmi più usati sul Mac per scambiare i file tramite il protocollo BitTorrent.

Le versioni infette di Transmission sono quelle scaricate dal sito web ufficiale fra le 20:00 del 4 marzo e le 4:00 del mattino del 6 marzo. Non è chiaro se possono essere infette anche le versioni aggiornate tramite rete nello stesso periodo.

In ogni caso, chi usa Transmission sul suo Mac (io sono fra questi) deve affrettarsi a controllare la versione installata, senza però lanciarla (le precauzioni non sono mai troppe).

Per farlo, basta cliccare con il tasto destro sull’icona di Transmission e selezionare la voce Chiedi Informazioni (oppure, da tastiera, cmd + I). La sezione Generale della finestra riporta il numero di versione dell’applicazione.

Se la versione installata di Transmission è la 2.90 si deve immediatamente cancellare l’applicazione dal Mac, magari usando uno strumento come AppCleaner che rimuove anche i file associati. Fatto questo, si può reinstallare la versione 2.92 di Transmission, non affetta dal ransomware, scaricandola dal sito ufficiale. Questa versione controlla ed eventualmente rimuove il ransomware presente sul Mac (sperando che non sia ormai troppo tardi), quindi è consigliabile installarla comunque, anche se si è deciso di non usare più Transmission.

Se invece la versione installata di Transmission è precedente alla 2.90, è sufficiente aggiornarla automaticamente alla 2.92 tramite rete.

Per ulteriori approfondimenti, consiglio di leggere questa pagina del forum di Transmission. Maggiori dettagli tecnici sull’infezione si trovano invece in questa pagina.

Un consiglio: cimentatevi ad analizzare il contenuto dell’applicazione, e a verificare che sia o meno infetta, solo se sapete esattamente cosa fare e, soprattutto, come evitare guai. Per tutti gli altri, la pulizia automatica è decisamente la strada più sicura.

iWorm, malware e pirati

Mon, 06 Oct 2014 06:00:00 +0000

Negli ultimi giorni si è sparsa la notizia che migliaia di Mac sono infetti da un nuovo malware, o più esattamente da un nuovo botnet, denominato Mac.BackDoor.iWorm.

Il botnet – una forma particolare di malware che crea una rete di computer infetti e controllati in remoto – è stato scoperto da Doctor Web, una società russa che produce un ottimo software antivirus per Windows e che si sta espandendo verso i nuovi mercati costituiti da Android e OS X. Dr. Web propone, in modo piuttosto discreto in verità, di usare il proprio software antivirus per proteggersi da questa minaccia per OS X, nonché da tutti gli altri (pochi) virus e malware esistenti per OS X.

Può essere una soluzione, in fondo l’antivirus costa poco e Dr. Web è una società seria ed affidabile. Ma serve veramente?

Leggendo i dettagli tecnici del funzionamento del botnet è chiaro che la chiave di tutto sta nel fatto che il malware riesce a creare la cartella (o meglio la directory) /Library/Application Support/JavaW, in cui viene salvato l’eseguibile e i componenti accessori del malware, e ad aggiungere un suo file plist in /Library/LaunchDaemons/, permettendogli di essere lanciato automaticamente all’avvio del sistema.

C’è qualcosa che non funziona…

Ma prima di affrontare questo aspetto, invito chi legge a controllare se sul proprio sistema è presente la directory /Library/Application Support/JavaW. Da Terminale basta eseguire i comandi seguenti

$ cd /Library/Application Support/
$ ls -al

verificando che la lista prodotta dal comando ls non contenga la directory JavaW, come è molto probabile.

In alternativa, come descritto in dettaglio su The Safe Mac, si può selezionare dal Finder la voce di menu Vai > Vai alla Cartella... (⇧+⌘+G) ed incollare il percorso /Library/Application Support/JavaW nella casella di testo che compare. Se il sistema risponde con un suono di avvertimento, significa che la directory non esiste e che il proprio sistema non è infetto.

Una volta accertato che il nostro sistema non è infetto, torniamo ad occuparci del punto vero della questione.

Come è possibile che un virus, un trojan, un malware, possa creare la directory JavaW in /Library/Application Support/ e un file di configurazione in /Library/LaunchDaemons/, se queste sono directory in cui è consentito scrivere solo a root, il superutente, l’amministratore supremo ed onnipotente di ogni sistema basato su Unix?

$ ls -ald /Library/Application\ Support/
drwxr-xr-x  19 root  admin  646 May 17T10:27:00 /Library/Application Support/
$
$ ls -ald /Library/LaunchDaemons/
drwxr-xr-x  12 root  wheel  408 Sep 19T14:04:00 /Library/LaunchDaemons/

I permessi delle sue directory ce lo dicono chiaramente. In entrambi i casi il permesso di scrittura w è associato solo a root, mentre gli utenti del gruppo admin nonché tutti gli altri utenti possono solo leggere (r) o eseguire (x) il contenuto delle due directory in questione.

Questo meccanismo contribuisce alla maggiore sicurezza dei sistemi Unix rispetto al solito Windows: le directory che contengono il sistema operativo sono accessibili in scrittura solo dagli utenti che (teoricamente) sanno come gestire il sistema e come mantenerlo sicuro, ad esempio utilizzando fra l’altro una password seria, difficilmente craccabile e tenuta il più riservata possibile.

E allora come fa il malware ad installarsi tramite la rete su migliaia di computer, superando la barriera rappresentata dalla conoscenza della password dell’amministratore del sistema? Possibile che gli sviluppatori abbiano trovato il modo di superare uno strato così basilare di sicurezza dei sistemi Unix?

La risposta è venuta fuori ieri, ed è la cosa più ovvia e più prosaica possibile.

Alcune copie pirata di software commerciale sono state infettate dal malware e vengono distribuite in rete attraverso i soliti canali illegali. Installando sul proprio Mac il software pirata si installa senza saperlo anche il malware.

Il tutto funziona perché al momento dell’installazione di un pacchetto software su OS X viene richiesta la password dell’amministratore del sistema – in genere il primo utente creato al momento dell’installazione di OS X – che diventa temporaneamente equivalente al superutente root. Ma aver concesso al programma di installazione, seppur temporaneamente, i privilegi dell’utente root consente di attribuire gli stessi privilegi anche al programma di installazione del malware, che supera le barriere di sicurezza del sistema operativo e si scava una bella cuccia comoda nelle due directory protette del sistema.

Una nuova falla di sicurezza di OS X (o di Linux) dopo la recente scoperta della vulnerabilità di bash?

Nemmeno per sogno, semmai una grave, gravissima, falla di sicurezza nei cervelli di certi utenti.

Ma come si fa, mi chiedo, a scaricare di tutto da Internet, ad installarlo senza controlli sul proprio Mac, e a meravigliarsi se succedono queste cose e se il proprio sistema diventa infetto ed è preferibile reinstallarlo da zero?

Non sono un santo, capisco benissimo che si possa essere tentati di usare del software più o meno illegale, ma una cosa è usare dei prodotti ufficiali con numeri di serie illeciti, un’altra è scaricare software craccato, e quindi modificato rispetto alle copie legali. Chi può garantire che chi ha effettuato il crack si sia limitato ad aggirare il codice relativo alla licenza del software e non abbia aggiunto anche un trojan, una backdoor, un worm (come in questo caso) o chissà che altra porcheria?

E in ogni caso, dovendo scegliere fra un prodotto illegale ed uno open source con funzionalità analoghe (anche se ridotte), personalmente preferirei sempre e comunque la seconda alternativa. A quanti serve veramente una copia craccata di Photoshop quando GIMP può fare tutto o quasi quello che fa Photoshop?

Aggiornato bash... finalmente!

Wed, 01 Oct 2014 06:00:00 +0000

Apple ha finalmente rilasciato l’aggiornamento per bash, un componente fondamentale dei sistemi operativi derivati da Unix, fra cui c’è lo stesso OS X.

La settimana scorsa si è sparsa la notizia della scoperta di questa gravissima falla di sicurezza nella shell bash, il componente software che interpreta ed esegue i comandi del Terminale, diventata ormai da anni la shell di default di OS X e di quasi tutte le distribuzioni di Linux.

Per scoprire se il proprio sistema è affetto dalla falla (e se siete su OS X lo è di sicuro), basta lanciare il Terminale ed eseguire questo comando,

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Se vengono stampate le due righe,

vulnerable
this is a test

la shell bash è affetto dalla vulnerabilità.

Scaricando l’aggiornamento di bash dal sito di Apple (quello di Mavericks è qui, ma ci sono anche le versioni per Mountain Lion e per Lion) ed installandolo sul proprio sistema, ci vuole un minuto in tutto, si dovrebbe riuscire a appare questa falla.

Dopo l’installazione, eseguendo di nuovo dal Terminale il comando di sopra si ottiene soltanto

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test

È un bene che Apple abbia rilasciato l’aggiornamento. Ma bisogna anche aggiungere: finalmente.

Avrebbe dovuto essere più veloce, non trincerarsi dietro la pretesa assurda che la vulnerabilità colpisce solo pochi utenti. Perché non è vero. Anche chi non sa nemmeno cosa sia il terminale può benissimo usare programmi che usano bash dietro le quinte, ritrovandosi a rischio senza nemmeno sospettarlo.