skip to main | skip to sidebar
0 commenti

Sono di nuovo candidato al premio Macchianera. Yay! Ma votate per qualcun altro, per favore

Sia chiaro che non voglio certo mancare di rispetto al Premio Macchianera, anzi: sono onorato di averlo vinto ripetutamente grazie a questo blog e mi fa un gran piacere essere nominato di nuovo fra i migliori siti tecnico-divulgativi e in così buona compagnia. Ma vorrei davvero che questo riconoscimento andasse ad altri, che fanno molto più di me nella divulgazione della tecnica, della scienza e dell'informatica.

Questi sono gli altri candidati per il premio come miglior sito tecnico-divulgativo, così come li elenca la pagina apposita, dove potete votare per tutte le categorie fino all'11 di settembre:

Informatici Senza Frontiere (www.informaticisenzafrontiere.org)
Le Scienze Blog (www.bressanini-lescienze.blogautore.espresso.repubblica.it)
Salvatore Aranzulla (aranzulla.tecnologia.virgilio.it)
Link2Universe (www.link2universe.net)
Scientificast (www.scientificast.it)
Wired (www.wired.it)
Lega Nerd (www.leganerd.com)
CICAP (www.cicap.org)
MedBunker (www.medbunker.blogspot.it)

Per cui, come ho detto dal palco del Premio l'anno scorso, largo al nuovo: votate per chi vi pare, ma non per me. Comunque alla serata del 13 settembre presso il Teatro Ermete Novelli di Rimini alle 21, e agli altri eventi dei Macchianera Italian Awards (in particolare alla colazione del 14 settembre alle 10 insieme a Domitilla Ferrari) ci sarò in ogni caso, per salutare i vincitori e fare due chiacchiere con tutti, per cui ci si vedrà lo stesso!
2 commenti

Foto celebrità violate, Apple smentisce ipotesi su falla in iCloud

Apple si è fatta attendere un po', ma finalmente ha pubblicato una dichiarazione ufficiale sul furto massiccio di immagini intime di celebrità, a quanto pare prelevate dai loro telefonini (in prevalenza iPhone) tramite i servizi cloud di Apple o di altri fornitori. Molti avevano messo in relazione questo furto e la recentissima pubblicazione e chiusura di una falla di sicurezza in Find my iPhone, ma Apple smentisce questo nesso:

...dopo oltre 40 ore d'indagine, abbiamo scoperto che certi account di celebrità erano stati compromessi da un attacco estremamente mirato sui nomi utente, sulle password e sulle domande di sicurezza, una prassi fin troppo comune su Internet. Nessuno dei casi che abbiamo indagato è stato prodotto da una falla nei sistemi Apple, compresi iCloud® o Find my iPhone.

Apple dice che continua a lavorare con le forze dell'ordine per aiutare a identificare i criminali implicati e consiglia agli utenti, per difendersi da questo tipo di attacco, di usare sempre una password robusta e di attivare la verifica in due passaggi (o autenticazione a due fattori), come descritto qui (in inglese) e qui (in italiano).

Nel frattempo, per i commentatori di questo blog che si chiedevano come mai nelle immagini trafugate non c'erano selfie maschili, Deadspin ha fatto un'analisi delle foto di Justin Verlander, il partner di Kate Upton, il cui account è stato violato. Gli autoscatti di uomini ci sono eccome, nelle collezioni trafugate, e sono anche piuttosto fallocentrici; cosa più importante, quelli analizzati da Deadpsin contengono talmente tanti dati di geolocalizzazione da permettere di tracciare gli spostamenti della coppia.
4 commenti

Antibufala mini: videogiocatore quindicenne manda veri SWAT ad altro giocatore, condannato a 25 anni

Piccola antibufala preventiva: pochi giorni fa un videogiocatore americano, Jordan Mathewson, si è trovato assalito da una vera squadra di SWAT mandata da un altro giocatore facendo una falsa segnalazione telefonica alla polizia. Il video impressionante circola online. Ci poteva scappare il morto, con la polizia che entra ad armi spianate.

Fin qui la notizia è vera, ma ora sta girando la diceria che il giocatore che ha ordito l'incursione sia stato condannato a 25 anni di carcere. Lo ha scritto anche Cory Doctorow su BoingBoing, che solitamente è una fonte attendibile, ma ha dovuto correggersi: la condanna è una bufala, come racconta Snopes.com: la fonte dell'annuncio della condanna è il sito di notizie inventate National Report.
26 commenti

Trafugate foto intime di decine di celebrità. Di nuovo. Colpa del cloud, forse, ma non necessariamente di iCloud

Questo articolo vi arriva grazie alla gentile donazione di “remot*” e “swiftgt*” ed è stato aggiornato dopo la pubblicazione iniziale.

Poche ore fa sul famigerato canale /b/ di 4chan è stata pubblicata una serie molto consistente di fotografie e video personali di circa un centinaio di cantanti e attrici e dei loro partner: Jennifer Lawrence, Kaley Cuoco, Avril Lavigne, Kate Upton, Ariana Grande, Lea Michele, Kirsten Dunst e molte altre.

Alcuni scatti sono estremamente intimi e sono stati autenticati dalle rispettive vittime del furto di massa, che è stato segnalato da Huffington Post, Gawker, Mashable, Business Insider, E!Online, BBC e in numerosi altri siti di notizie.

Si tratterebbe di un assaggio, studiato per invogliare gli utenti a mandare soldi (tramite bitcoin) all'autore del furto affinché pubblichi il resto del maltolto, evitando i rischi di una trattativa con siti di gossip o peggio.

Lasciando da parte il contenuto delle foto e passando agli aspetti tecnici (analizzati bene da @SwiftOnSecurity su Twitter e da Graham Cluley sul Guardian), molti dei siti che stanno pubblicando la notizia ipotizzano che il furto sia avvenuto a causa di una falla di iCloud di Apple, che metterebbe a repentaglio la privacy di chiunque usi un iPhone e i servizi online di Apple per custodire le proprie foto.

In effetti, l'entità massiccia del furto, perpetrato ai danni di più persone e contenente immagini risalenti a date differenti, anche recentissime (secondo le acconciature e i dati EXIF), e in alcuni casi addirittura cancellate (TMZ.com), e il fatto che si tratta in quasi tutti i casi di selfie o di foto chiaramente fatte con un telefonino, rendono molto plausibile la strada della sottrazione tramite accesso indebito alla copia conservata nel cloud senza adeguate precauzioni. Proprio oggi Apple ha corretto una falla che permetteva di accedere agli account iCloud tramite un banale bruteforcing, ma può darsi che sia semplicemente una coincidenza.

L'intrusione così ampia si potrebbe anche spiegare semplicemente con il fatto che il criminale ha avuto accesso alla rubrica telefonica di una vittima iniziale e vi ha trovato i numeri delle altre.

Tuttavia l'idea che il problema riguardi soltanto il cloud di Apple parrebbe smentita dal fatto che i telefonini visibili nelle foto non sono tutti iPhone (lo è quello mostrato qui sopra in mano a Jennifer Lawrence, ma altre foto mostrano cellulari di altre marche), anche se chi usa telefonini non-Apple potrebbe trovarsi comunque con il dispositivo collegato ad iCloud.

L'altra ipotesi plausibile è che il furto sia stato realizzato da una persona che lavora all'interno dei servizi cloud dei produttori dei telefonini o delle reti cellulari utilzzate dalle celebrità coinvolte.

Va notato, infine, che non si tratta soltanto del fatto che delle celebrità rivelano qualche centimetro di pelle in più e lo fanno magari prima del trucco e di Photoshop: nelle foto ci sono anche le coordinate GPS, con il conseguente rischio di stalking. Non tutti coloro che lavoro nel mondo dello spettacolo hanno i soldi per pagarsi guardie del corpo e servizi di vigilanza.

Non è la prima volta che avviene una predazione del genere: nel 2012 era successo a Scarlett Johansson, Mila Kunis e altre celebrità. L'autore del furto era stato identificato e condannato a dieci anni di carcere. Anche in questo caso, sottolineo che un adulto ha il diritto di farsi le foto intime che meglio preferisce e che questa è comunque una violazione della privacy anche nel caso di celebrità, la cui unica colpa è fidarsi delle promesse di riservatezza dei fornitori dei servizi che usano.

Per chi non ha tempo o voglia di studiare gli aspetti di sicurezza dei servizi cloud e dei telefonini (per esempio l'autenticazione a due fattori e la disattivazione dei dati GPS) resta valida la raccomandazione di sempre: se fate foto che non volete far circolare, non fatele mai usando un dispositivo collegato o collegabile a Internet e non affidatele ai servizi cloud. Meglio ancora, non fatevi foto intime, se non volete spendere tempo a imparare come proteggerle.

Tenete presente che anche se voi fate del vostro meglio, una fuga d'immagini compromettenti può avvenire lo stesso, a causa di una carenza di sicurezza del fornitore dei servizi cloud. Questi servizi non hanno a cuore la vostra privacy; hanno a cuore il profitto. Se a voi succedono guai perché loro non hanno protetto bene le vostre foto, ai loro dirigenti non frega nulla: sono assicurati e comunque di solito le clausole del servizio li esonerano da ogni risarcimento. Per cui se devono scegliere fra sicurezza e profitto, tipicamente sceglieranno il profitto.

Per chi invece si scatena nella caccia alle foto e ai video in questione, ricordo che tipicamente in questi casi i criminali informatici preparano subito copie fasulle contenenti malware o generano siti contenenti le parole chiave legate alla foto, e poi aspettano che i polli arrivino e scarichino, installando il malware o guadagnando dalle pubblicità visualizzate.

E per chi gongola spinto dal voyeurismo e dice che tanto sono celebrità e se la sono cercata, ricordo solo una cosa: questo potrebbe succedere anche a voi. Anche a vostra figlia.


Aggiornamento 1 (14:00): Secondo le discussioni in corso su 4chan, la serie di immagini sarebbe stata pubblicata inizialmente su Anonib (sito ad alto rischio di immagini scioccanti, come del resto 4chan) e farebbe parte di una collezione già circolante (almeno in parte) da tempo fra i cultori di questo genere di contenuti. Inoltre alcune analisi dei dettagli anatomici delle persone ritratte indicano che alcune delle foto sono false (manipolate) o attribuite alle persone sbagliate. Infine, alcuni membri di 4chan ritengono di aver individuato il colpevole della pubblicazione (che non è necessariamente il colpevole del furto), ma 4chan spesso pubblica storie come questa per assistere con compiacimento alla persecuzione di una persona che in realtà non c'entra nulla. Meglio attendere dati concreti prima di lanciarsi in una caccia alle streghe.

Aggiornamento 2 (20:30): Gawker sembra confermare che 4chan non è l'origine delle immagini, che invece sarebbe AnonIB, e che molte delle immagini circolavano già da qualche tempo.

Aggiornamento 3 (23:10): Ars Technica ha postato un articolo molto categorico nel mettere in relazione le immagini trafugate e la falla Apple, ma non spiega le ragioni di tanta certezza. Inoltre sottolinea che se un fornitore di servizi cloud ha una falla di sicurezza, l'utente può anche essere supremamente diligente e prudente, ma si mette nelle mani di quel fornitore. Che ha pochissimo incentivo a garantire la privacy dei suoi clienti.

Aggiornamento 4 (2014/09/02, 14:15): l'esame dei dati EXIF delle immagini circolanti indica, almeno in alcuni casi, date recentissime (metà agosto scorso) e l'uso di Photoshop Express e Windows Viewer; le immagini sarebbero state quindi manipolate prima di essere diffuse. C'è anche almeno uno UUID. Inoltre la natura caotica e frammentata della diffusione sembra indicare che si tratti non di un'unico furto di massa, ma della pubblicazione di una o più collezioni ottenute da fonti differenti: non ci sarebbe, insomma, una mente unica. È interessante notare, infine, che se è stata sfruttata una falla di iCloud o una tecnica di social engineering chi l'ha usata avrebbe potuto tranquillamente azzerare i dispositivi delle vittime, ma a quanto pare si è limitato a copiarne le foto.  A tutt'oggi non c'è nessuna conferma oggettiva di un eventuale nesso fra la falla di Find my iPhone e questi furti d'immagini.
25 commenti

Antibufala: Bank of Fuel promette sconti carburante fino al 40%

Questo articolo vi arriva grazie alla gentile donazione di “a.delmo*” e “rikioref*”.

Ho ricevuto parecchie segnalazioni riguardanti una sedicente Bank of Fuel, pubblicizzata tramite volantini come quello qui accanto (per il quale ringrazio ftrani). Bank of Fuel promette “sconti fino al 40%” sui “rifornimenti di benzina verde, diesel, GPL e metano”.

Il meccanismo proposto sarebbe questo: il cliente pagherebbe anticipatamente per avere una “Carta Carburante” usabile “in tutti i distributori di carburante presenti sul territorio nazionale ad esclusione dei distributori indipendenti”. Per esempio, una carta da 99 euro gli permetterebbe di avere 140 euro di credito carburante. Fantastico.

C'è un piccolo problema: in Italia il prezzo dei carburanti è costituito in grandissima parte (circa il 60%) da tasse e accise, per cui non è materialmente possibile ottenere sconti come quelli promessi.

C'è un altro problemino: la “Carta Carburante” mostrata reca il logo di Mastercard, ma Mastercard ha smentito di avere rapporti commerciali o economici con Bank of Fuel. Anche IP Italia si è dichiarata estranea.

E chi sono questi di Bank of Fuel? Secondo il sito www.bankoffuel.it (creato il 7 luglio scorso) e le indagini svolte dalle fonti che elenco qui sotto, si tratta di una piccola Srl di Savona, la BOF Italia Srl, costituita il 29 maggio scorso, con un capitale di 10.000 euro, intestata a due soli soci, un'ottantenne che detiene il 93% e un'altra persona con lo stesso cognome che detiene il resto.

Pensare che una piccolissima azienda, oltretutto inattiva secondo la visura camerale, possa mettere in piedi un sistema del genere, ottenendo sconti fortissimi in un settore ipercontrollato come quello dei carburanti, è irrealistico, per usare un termine educato. E ci sono mille altri campanelli d'allarme, descritti nelle indagini qui sotto: il logo riciclato, la popolarità su Facebook gonfiata artificiosamente, il nome del sito sul volantino diverso da quello reale, eccetera.

A mio avviso, è prudente stare alla larga, ma se vi fidate degli sconosciuti abbastanza da mandare loro 99 euro o più, affari vostri. Basta che non veniate a piangere da me se poi nessuno accetta la “Carta Carburante” di Bank of Fuel (se mai vi arriva).

Lo schema più probabile, in casi come questi, è il “prendi i soldi dei primi polli e scappa”: i truffatori raccoglierebbero i pagamenti dei primi clienti che abboccano e poi si dileguerebbero senza onorare gli impegni presi, sfruttando il tempo che passa tra il pagamento da parte dei clienti e il momento in cui devono erogare il servizio. E quando l'illecito arriva finalmente in tribunale, chi vuoi che metta in carcere un ottantenne?

Consiglio pratico, valido per tutte le occasioni presenti e future: se un'offerta vi sembra troppo bella per essere vera, solitamente è perché non è vera. Anche su Internet.


Fonti aggiuntive: Il Tirreno, Bufale.net, Paoblog, Triesteprima, Giornalettismo, David Puente, Bufale un tanto al chilo, Ternioggi.