skip to main | skip to sidebar
7 commenti

Gli appuntamenti pubblici della settimana: Novara, Lugano e Modena

Questa sera (20 novembre) sarò a Novara, ospite del Rotary Val Ticino, per parlare con loro di bufale e disinformazione (questo appuntamento è riservato ai soci); domattina, grazie al Rotary, terrò tre lezioni di sicurezza e privacy online per i peer educator delle scuole di Novara presso l'ITI Omar.

Giovedì mattina (23 novembre) sarò all’Istituto Elvetico di Lugano per parlare di informazione online con gli studenti.

Domenica sera (26 novembre alle 18) sarò a Modena, alla Biblioteca Civica Antonio Delfini, per parlare del problema della conservazione dei dati digitali.

Tutti i dettagli sono nel mio calendario pubblico.
0 commenti

Podcast del Disinformatico del 2017/11/17

È disponibile per lo scaricamento il podcast della puntata di oggi del Disinformatico della Radiotelevisione Svizzera. Buon ascolto!
46 commenti

Pensarci prima no? Amazon vuole dare le chiavi (digitali) di casa ai fattorini. Subito craccate

A volte viene proprio da chiedersi se per caso, nelle grandi società informatiche, c'è qualcuno che ha ancora un neurone funzionante o se stanno andando avanti tutti a furia di deliri di onnipotenza e incapacità di fermarsi e dire “Un momento, siamo proprio sicuri di voler fare questa cosa?”.

Prendete Amazon, per esempio: ha partorito l’idea che gli utenti diano ai suoi fattorini il permesso di entrare in casa per le consegne, installando una serratura elettronica, chiamata Amazon Key, che il fattorino di Amazon sbloccherebbe con un’apposita app sullo smartphone se l’utente non è nell’abitazione.

Per evitare abusi, ha pensato bene Amazon, una webcam sorveglierebbe la porta d’ingresso per registrare eventuali comportamenti scorretti dei fattorini. Ma non c’è voluto molto per trovare una falla molto semplice in quest’idea straordinariamente infelice: dato che la webcam è collegata via Wi-Fi, basta sovraccaricare la rete Wi-Fi di appositi segnali (pacchetti di deauthorization) per scollegare la webcam dalla rete e intercettare il comando di richiusura della serratura, che quindi rimane sbloccata. In questo modo l’utente riceve dalla webcam solo l’ultima immagine fissa trasmessa prima del blocco e non può vedere cosa fa il fattorino, che può rientrare in casa, non visto, dopo aver effettuato la consegna ed essersene apparentemente andato via senza far nulla.

È stato pubblicato un video dimostrativo che spiega in dettaglio la vulnerabilità e Amazon ha diffuso un aggiornamento di sicurezza automatico che avvisa i clienti se si verificano attività sospette. L’azienda ha anche obiettato che questa tecnica farebbe cadere immediatamente i sospetti sul fattorino, che sarebbe rintracciabile e quindi non avrebbe nessuna convenienza ad abusare del sistema. Ma gli esperti hanno notato che una terza persona, un criminale informatico in agguato, potrebbe approfittare della visita del fattorino, bloccare la serratura elettronica in posizione aperta e poi far cadere la colpa di un furto sul povero fattorino innocente. Uno scenario non facile, certo, ma non impossibile.

Ci sono poi altre considerazioni: per esempio, che succede se in casa c’è un animale domestico che scappa (o attacca il fattorino)? O se la casa è dotata di allarme antifurto? Forse pensarci prima sarebbe stato un risparmio di tempo per tutti.


Fonte aggiuntiva: The Register.
4 commenti

Occhio alle false app di WhatsApp: questa è stata scaricata un milione di volte

Di solito si può stare tranquilli con le app presenti negli store ufficiali (App Store per iOS, Google Play per Android), ma ogni tanto qualche app truffaldina supera i controlli e viene ospitata negli store fino al momento in cui viene scoperta e rimossa.

Di recente Google Play ha rimediato una pessima figura ospitando una falsa app di WhatsApp che è stata scaricata più di un milione di volte prima che qualcuno si accorgesse che era pericolosa.

L’app si chiamava Update WhatsApp Messenger: un nome decisamente ingannevole. Ma la cosa più ingannevole era il nome del produttore, che era WhatsApp Inc.: indistinguibile dall’originale, almeno per l’utente comune, perché era scritto inserendo un carattere speciale che visivamente sembrava un normale spazio.

La falsa app conteneva pubblicità, scaricava software sui dispositivi delle vittime e cercava di nascondersi nell’elenco delle applicazioni. Ora è stata rimossa, ma è imbarazzante che Google non abbia pensato a prevenire questo genere di facile omonimia apparente.

Chi riceve gli aggiornamenti di WhatsApp in modo automatico non ha corso alcun pericolo: la trappola scattava soltanto per chi era ingolosito dall’idea di avere una versione di WhatsApp più aggiornata rispetto agli amici (sì, questo genere di competizione esiste, soprattutto fra gli utenti più giovani) e quindi andava a cercare aggiornamenti come questo. Prudenza.


Fonte aggiuntiva: BBC.
4 commenti

Attenzione alle false promozioni di grandi marche su WhatsApp

Credit: BBC.
La BBC segnala un’ondata di messaggi truffaldini circolanti su WhatsApp: si tratta di inviti a cliccare su un link per ricevere quelli che dovrebbero essere buoni sconto di supermercati molto noti se si partecipa a un semplice sondaggio e si manda il messaggio a venti dei propri amici. Lo scopo di questa truffa è raccogliere dati personali, come nomi, indirizzi e coordinate di carte di credito.

Fra i nomi colpiti, secondo il sito ActionFraud della polizia britannica, ci sono Marks and Spencer, Tesco, Asda, Nike, Lidl, Aldi e anche Singapore Airlines. È probabile che la stessa truffa circoli anche in versioni nazionali in altri paesi europei.

I messaggi sono molto credibili perché i link che presentano sono quasi identici a quelli dei veri siti dei supermercati presi di mira: è facile non accorgersi che sotto o sopra una delle lettere che compongono il nome del sito c’è un puntino, o che la lettera è barrata in alto.

La tecnica è nota come internationalized domain name homograph attack: in sintesi, i truffatori creano un sito il cui nome usa lettere di alfabeti diversi da quello latino. Per esempio, al posto di Aldi.com (il sito autentico) creano il sito Alḍi.com oppure Alđi.com e vi mettono delle pagine che somigliano a quelle del vero supermercato. Le vittime immettono i propri dati personali in queste pagine, credendo di poter ricevere un premio, e invece vengono imbrogliate.

I servizi antifrode di Internet hanno già messo un blocco su molti di questi siti ingannevoli, ma è meglio restare vigili e guardare sempre con molta attenzione il nome del sito linkato in qualunque messaggio, diffidando come sempre delle offerte troppo belle per essere vere.

Soprattutto è importante non ubbidire mai agli inviti a inoltrare un messaggio pubblicitario ad altri utenti: se lo fate, rendete più credibile la truffa, perché i vostri amici la ricevono da una fonte di cui si fidano, cioè voi.
Articoli precedenti