skip to main | skip to sidebar
0 commenti

L’antivirus silenzioso dei Mac si aggiorna in segreto

Contrariamente a un mito molto diffuso, i “virus” (più propriamente malware) per Mac esistono: ne abbiamo visto un esempio la settimana scorsa con il caso del malware che spiava gli utenti attraverso le telecamere dei loro Mac. Ma sono in pochi a sapere che Apple include nei propri Mac un “antivirus” per proteggerli contro alcuni malware particolarmente insidiosi. Questo antivirus esiste dal 2009, si chiama XProtect e si aggiorna senza avvisare l’utente. Apple non pubblica annunci o documentazione in proposito.

Funziona come i comuni antivirus: gestisce un elenco di minacce informatiche conosciute e confronta le loro caratteristiche con quelle di qualunque file scaricato. Se trova una corrispondenza, visualizza un avviso di pericolo. L’elenco di minacce si trova presso System/Library/Core Services/CoreTypes.bundle/Contents/Resources/XProtect.plist.

L’unico controllo che ha a disposizione l’utente è nelle Preferenze di Sistema, dove la voce App Store include un’opzione di installazione degli aggiornamenti di sistema e di sicurezza, che consente di attivare o disattivare gli aggiornamenti di XProtect. Volendo li si può disattivare, ma normalmente non ce n’è motivo ed è altamente sconsigliabile.

Questo “antivirus” di Apple è molto semplice e limitato, e non sostituisce quelli di altre marche ma li complementa: ora che sapete che c’è, non cambia il fatto che vi serve comunque installare un antivirus nel vostro Mac.

Se volete sapere cosa fa e contro cosa vi protegge questo antimalware silenzioso, la società di sicurezza informatica Digita Security ha attivato un servizio online che elenca la cronologia degli aggiornamenti e delle minacce gestite da XProtect: lo trovate presso Digitasecurity.com/xplorer. Lì scoprirete che Apple ha aggiornato XProtect senza dire niente a nessuno molto di recente: il 17 gennaio scorso. L’aggiornamento precedente risale al 30 novembre 2017.

Allo stesso indirizzo trovate anche la possibilità di ricevere una notifica via mail ogni volta che Apple effettua uno di questi aggiornamenti segreti e un’app per approfondire la conoscenza di XProtect.

0 commenti

Usare Musical.ly in sicurezza

Ho ricominciato da poco ad andare nelle scuole per presentare degli incontri di sensibilizzazione alla sicurezza e alla privacy informatica e una delle domande più frequenti riguarda Musical.ly, un‘app cinese per iOS e Android che permette di creare e mettere su Internet brevi video musicali in cui l’utente mima canzoni molto in voga e applica vari effetti speciali, come accelerazioni, rallentatori e filtri. Musical.ly ha oltre 200 milioni di utenti nel mondo.

I dettagli del funzionamento di Musical.ly per la creazione di questi video sono spiegati dagli innumerevoli tutorial che trovate su Youtube, per cui non mi dilungo su questo aspetto e mi concentro sulle questioni di privacy e sicurezza.

Quando create il vostro profilo Musical.ly:
  • tenetelo separato da quelli che avete su Instagram e Facebook. Musically consente di iscriversi usando i dati di questi social network, ma questo vuol dire che se qualcuno vi ruba la password di Facebook o Instagram vi ruba automaticamente anche il profilo Musical.ly; registratevi invece usando un indirizzo di mail sacrificabile;
  • ricordatevi di usare una password differente da quella che usate negli altri siti;
  • usate un nome di fantasia invece del vostro nome e cognome e una foto non personale per il profilo: così evitate di dare appigli ai molestatori e ai bulli, che magari vi prendono in giro stupidamente per i vostri esperimenti video;
  • impostate il vostro profilo in modo che sia privato (Impostazioni - Account Privato) e attivate Solo contatti amici con direct.ly: questo vi permette di far vedere i vostri video soltanto a chi volete voi e blocca i messaggi degli sconosciuti;
  • disattivate la geolocalizzazione (la procedura dipende dal telefonino che usate, iOS o Android).
 Nell’uso, invece, è meglio usare questi trucchi:
  • tenete presente che un video di un profilo privato non è necessariamente segreto: se lo condividete con qualcuno, quella persona può mandarlo ad altri;
  • nelle chat di Musical.ly, non date a nessuno informazioni personali, come nome, cognome o indirizzo;
  • occhio agli acquisti in-app: se usate le monete virtuali di Musical.ly per mandare doni ai vostri muser (creatori di video) preferiti, state spendendo soldi reali e un singolo dono può costare anche 100 franchi (100 euro) veri. Conviene quindi attivare il blocco degli acquisti in-app per evitare tentazioni.

Fonti: USA Today, SheKnows, Commonsensemedia, Protect Young Eyes, Aranzulla.it, Variety, CNN, Influencer Marketing Hub.
5 commenti

Ricerca avanzata di immagini in Rete: strumenti contro bufale e fake news

Uno degli elementi ricorrenti delle fake news è l’uso (e spesso l’abuso) di immagini alterate, prese fuori contesto o ripescate dal passato ma presentate come attuali, come è successo nella recente polemica sulle immagini dei rifiuti a Roma. Difendersi da questo genere di manipolazione non è facile, ma Internet ci offre strumenti preziosi che aiutano a indagare sulla vera origine di una fotografia.

In altre puntate di questa rubrica ho già segnalato strumenti come Tineye.com, Karmadecay.com e la ricerca per immagini di Google: servizi che consentono di trovare un’immagine o le sue varianti, ordinarle cronologicamente e arrivare spesso alla fonte originale di una fotografia e da lì capire se è vera o falsa. Ma Internet è grande e di solito una ricerca generale fatta in questo modo, specialmente con la ricerca per immagini di Google, produce una valanga incontenibile di risultati, molti dei quali non c’entrano nulla con l’argomento desiderato.

Per fortuna ci sono alcuni trucchi che consentono di addomesticare questo servizio di Google, che è reperibile presso Images.google.com oppure cliccando sul link Immagini nella schermata principale di Google.

Il primo trucco è aggiungere parole chiave all’immagine da cercare: per esempio, se mandate a Google Immagini una foto, il servizio risponde mostrandovi tutto quello che ha trovato, compresi molti risultati non pertinenti e le parole che secondo lui sono associate a quella foto. È molto abile: quando gli ho mandato una foto di David Bowie su un set cinematografico, ha riconosciuto il cantante e ha anche identificato il film dal quale era tratta l’immagine, ma ha anche incluso molte foto che non c’entravano affatto.


Per affinare questa ricerca basta andare nella casella che contiene le parole che Google Immagini associa alla foto e cambiarle o aggiungerle: con poche digitazioni si arriva al risultato preciso desiderato.

Il secondo trucco è immettere in questa casella non solo delle parole, ma dei comandi specifici. Per esempio, scrivendo la parola inglese site seguita senza spazi dai due punti e dal nome di un sito si restringe la ricerca a quello specifico sito (tipo site:davidbowie.com).

La ricerca per immagini di Google offre anche altre tecniche di affinamento dei risultati: per esempio, potete andare alla pagina standard di Google, presso Google.com, digitare delle parole chiave pertinenti all’argomento che vi interessa, e premere Invio. Questo farà comparire i risultati e un menu dal quale potrete scegliere Immagini e poi Strumenti: troverete sullo schermo una serie di opzioni (Dimensioni, Colore, Tipo e Ora). Quella che vi interesserà di più nella caccia alle foto di fake news sarà l’opzione Ora, perché permette di specificare un intervallo di date. In parole povere, permette di scoprire se una foto è nuova come dice la notizia che state verificando oppure no.

Un ultimo consiglio: quando usate Google Immagini in pubblico, ricordatevi di attivare l’opzione SafeSearch, che sta in alto a destra, e filtra i risultati espliciti. Questo ridurrà il rischio di imbarazzi a tutto schermo se cercate immagini o parole ambigue, come è capitato a me proprio con David Bowie. Buona caccia.


Questo articolo è il testo preparato per il mio servizio La Rete in 3 minuti per Radio Inblu del 18 gennaio 2018.
47 commenti

Un impianto idrico comandabile via Internet, senza password e senza crittografia

Quando si parla di “attacchi hacker” ci si immagina facilmente un gruppo di agguerritissimi incursori informatici che scavalcano abilmente un labirinto di difese digitali. Ma la realtà è spesso molto meno spettacolare e decisamente più imbarazzante. Ancora oggi tante, troppe aziende non prendono le misure minime di difesa informatica.

Vi racconto un caso pratico, senza fare nomi per ovvie ragioni. Molte aziende hanno impianti gestiti tramite telecontrollo: macchinari, dighe, depuratori e altro ancora. È quella che si chiama in gergo l’Internet delle Cose. È un sistema molto comodo, che fa risparmiare tempo, denaro e trasferte, ma bisogna usarlo in modo responsabile. Il problema, infatti, è che questo telecontrollo in molti casi viene svolto via Internet usando connessioni non protette da password e crittografia.

Questo significa che chiunque può sorvegliare abusivamente questi impianti e spesso prenderne anche il controllo. Tutto quello che serve è saperne le coordinate Internet, ossia l’indirizzo IP, e poi immetterlo in un programma liberamente scaricabile, come per esempio VNC. Fatto questo, l’aggressore può cliccare sui pulsanti dell’impianto come se ce l’avesse davanti.



Purtroppo molti installatori, gestori e utenti di questi impianti pensano che questo indirizzo IP non sia facilmente reperibile e quindi credono di essere al sicuro e che proteggere la connessione con una password non serva e sia anzi solo una scocciatura che intralcia il loro lavoro: tanto, se nessuno sa qual è l’indirizzo IP, non c’è pericolo. Ma è un errore gravissimo, perché esistono motori di ricerca per gli indirizzi IP dei dispositivi connessi a Internet: una sorta di Google per macchinari online.

Di conseguenza, un aggressore non deve fare altro che usare questi motori di ricerca pubblicamente accessibili, come Shodan.io, per scoprire tutti i dispositivi connessi in modo insicuro, presentati su una pratica cartina geografica. Il talento informatico che gli serve è praticamente zero. A quel punto è pronto per un attacco all’impianto aziendale, per esempio a scopo di sabotaggio o estorsione.


Ieri ho trovato su Internet uno di questi apparati, accessibile senza alcuna password o protezione: era un sistema per la gestione di una cosiddetta “opera di presa”, una di quelle che preleva acqua da un fiume o un torrente.

Ho avvisato telefonicamente e via mail i responsabili dell’impianto e la Polizia Postale del luogo, ma sono passate molte ore prima che qualcuno rimediasse alla falla di sicurezza aperta da chissà quanto tempo [correzione: il rimedio che sembrava essere imminente quando ho preparato questo testo non c’è ancora stato].

Nel frattempo chiunque avrebbe potuto manovrare l’impianto e causare danni. E come questo impianto ce ne sono molti altri, in Italia e nel mondo.

Screenshot del 15/1/2018. Sì, la data visualizzata è sbagliata in avanti di un giorno.


Episodi come questo sono un forte monito a chi si occupa di sicurezza degli impianti da cui noi tutti dipendiamo: è ora di smettere di pensare che se non si pubblica l’indirizzo IP di un dispositivo, di una telecamera, di una paratoia di una diga, di un impianto antincendio o di un altoforno, nessuno lo troverà mai. Pensare in questo modo è l’equivalente di lasciare la chiave di casa sotto lo zerbino perché tanto nessuno sa che è lì. Lo sanno tutti. Se potete, adeguatevi.


Questo articolo è il testo preparato il 15 gennaio 2018 per il mio servizio La Rete in 3 minuti per Radio Inblu del 16 gennaio 2018 e ampliato per la puntata del Disinformatico della Radiotelevisione Svizzera del 19 gennaio 2018. Alcuni dettagli sono stati omessi, mascherati o alterati per esigenze di riservatezza e sicurezza. Ultimo aggiornamento: 2018/01/19 8:00.


Cronologia degli eventi


2018/01/15 13:15. Ho telefonato all’azienda per avvisarla del problema.

13:22. Ho inviato una mail informativa all’azienda, come richiesto dalla persona raggiunta telefonicamente.

13.25. Ho fatto il mio primo tweet pubblico sulla vicenda, anonimizzandola rigorosamente. Non ho pubblicato l’indirizzo IP, il nome dell’azienda o il nome della località, come potete leggere qui sotto:



16:00. Ho telefonato alla Polizia Postale di zona per informarla della situazione.

16:06. Ho inviato alla Polizia Postale di zona una mail con i dettagli, come richiesto.

2018/01/16 10:05. L'impianto è risultato ancora accessibile come prima, senza password e senza crittografia. Ho inviato una seconda mail di avviso all’azienda.

14:10. Ancora nessuna risposta o reazione da parte dell’azienda.

16:40. Tutto come prima. Sembra proprio che non gliene freghi niente a nessuno.

18:00. Per tutti quelli che me l’hanno chiesto:

  • sì, lo so che data e ora visualizzate sullo schermo dell’impianto sono sbagliate (la data è avanti di un giorno, l’ora di qualche minuto);
  • no, non credo che sia un honeypot, vista la reazione telefonica dei titolari e della Polizia Postale;
  • sì, c’è il rischio che qualcuno clicchi sui pulsanti e poi venga accusato io di averlo fatto; ma l’indirizzo IP dal quale proverrebbero le cliccate abusive non sarebbe il mio;
  • no, non intendo divulgare l’indirizzo IP dell’impianto prima che la vulnerabilità sia stata risolta;
  • no, non intendo cliccare su qualche pulsante per dimostrare che l’impianto è controllabile a distanza. Il fatto stesso che sia accessibile senza password è una lacuna di sicurezza più che sufficiente.


20:00. Rispondo a un’altra domanda ricorrente: ma il fatto di guardare tramite VNC un impianto come questo non è reato? Non sono un legale, ma direi che questa citazione dal sito della Polizia Postale è importante: “La norma [Art.615-ter, accesso abusivo ad un sistema informatico e telematico] esplicitamente prevede che il sistema informatico o telematico (sistema che integra informatica e telecomunicazioni), perché si configuri il reato in argomento, sia protetto da misure di sicurezza.... in assenza di misure di sicurezza, l´introduzione in sistemi informatici non costituisca reato". E per chi contesta che sto entrando in un sistema informatico altrui e quindi è come se stessi entrando in casa di qualcuno senza permesso: no, non sto entrando, sto guardando quello che si vede da fuori, dalla porta lasciata stupidamente spalancata, e sto avvisando che da quella porta spalancata rischiano di passare ladri e vandali.

22:00. Ho mandato un’ultima mail sconsolata all’azienda. Intanto ho saputo che l’impianto è in queste condizioni da febbraio 2017. A questo punto ci rinuncio: se all‘azienda sta bene che chiunque possa giocherellare con i loro apparati, buon pro le faccia.

2018/01/17 9:30. Nessuna risposta neanche all’ultima mail. L’impianto è ancora accessibile a chiunque.

10:25. L’azienda ha risposto ringraziando e dicendo laconicamente “ce ne stiamo occupando.”

16:20. L’accesso è ancora aperto senza password.

2018/01/18 23:40. Tutto è ancora come prima.
0 commenti

Podcast del Disinformatico del 2018/01/12

È disponibile per lo scaricamento il podcast della puntata di oggi del Disinformatico della Radiotelevisione Svizzera. Buon ascolto!
Articoli precedenti