skip to main | skip to sidebar
0 commenti

Come scambiare messaggi davvero privati fra Android e iOS

I messaggi “privati” proposti da molti social network in realtà non sono affatto privati: il gestore del social network li può leggere, e vengono trasmessi via Internet senza particolari protezioni. Se volete comunicare in modo davvero privato attraverso un dispositivo digitale servono soluzioni differenti, basate sulla crittografia.

Per gli smartphone Android c'è per esempio l'app gratuita TextSecure, che consente di scambiare facilmente messaggi cifrati, soltanto con altri utenti Android della stessa app. Il sistema di cifratura usato da TextSecure è lo stesso usato da WhatsApp a partire da novembre 2014 per la versione Android, e ha il pregio importante di essere open source: il suo funzionamento e il suo codice sono liberamente ispezionabili per verificare che non contengano falle o funzioni spia. La Electronic Frontier Foundation ha compilato una tabella comparativa della sicurezza delle app di messaggistica.

TextSecure, però, non c'è per i dispositivi iOS, per cui non è possibile usarlo per fare comunicazioni cifrate fra utenti iOS e Android. Ma adesso è arrivata la versione 2.0 di Signal, un'app gratuita per iOS che offre gli stessi servizi e la stessa trasparenza di TextSecure per gli utenti di iPhone e ha il vantaggio di essere compatibile con TextSecure. Non c'è da sorprendersi: entrambi sono prodotti dalla stessa azienda, la Open Whisper Systems.

In pratica, quindi, ora è possibile comunicare in modo realmente riservato, scambiando immagini, testi e anche telefonate, fra smartphone Apple e Android: sul primo si usa Signal 2.0, sul secondo si usa TextSecure in abbinamento con RedPhone per le comunicazioni a voce.

Naturalmente la riservatezza delle comunicazioni non viene garantita soltanto dall'uso di un'app. Servono anche comportamenti sicuri: va ricordato che se qualcuno mette le mani sul vostro smartphone o quello del vostro interlocutore, o se il vostro interlocutore mostra i messaggi a qualcun altro, la sicurezza è comunque compromessa. Custodite con attenzione il vostro smartphone, insomma.
0 commenti

GoPro intercettabili via Wi-Fi

Si parla tanto di Internet delle Cose: tutto deve essere interconnesso. Si parla meno dei problemi di sicurezza e di privacy che quest'interconnessione può causare inaspettatamente.

Un esempio? Fate attenzione se avete usato le funzioni Wi-Fi della videocamera sportiva GoPro: la password che consente accesso alla videocamera e di vederne foto e video tramite smartphone era custodita in chiaro sul sito della GoPro.

Infatti il ricercatore di sicurezza informatica israeliano Ilya Chernyakov ha scoperto che c'era un difetto nella procedura di ripristino di nome e password Wi-Fi della GoPro, per cui l'identificativo SSID e la password della rete Wi-Fi create dalla videocamera venivano custoditi sul sito della GoPro in un file il cui link era facilissimo da indovinare (era basato su un numero progressivo). A titolo dimostrativo, Chernyakov ha scaricato le password di più di mille utenti GoPro.

In pratica questa falla consentiva a chiunque fosse a portata del segnale Wi-Fi di una GoPro di intercettarne le immagini e prenderne il controllo. Dato che queste videocamere vengono spesso usate non solo per riprese sportive ma anche per altre attività più intime, il rischio era significativo. La falla è stata notificata responsabilmente al produttore e ora è chiusa.
0 commenti

FREAK: da dieci anni c’è una falla nella sicurezza HTTPS di Windows, Android, Apple. Aggiornatevi appena possibile

Aggiornamenti obbligatori per tutti: pochi giorni fa è stata annunciata una falla di sicurezza importante su un aspetto essenziale come la protezione HTTPS del traffico di Internet. Il bello (si fa per dire) è che la falla è aperta da circa dieci anni.

La falla, denominata FREAK (acronimo un po' forzato di Factoring Attack on RSA-EXPORT Keys), sta nel fatto che un aggressore può forzare un dispositivo o software vulnerabile ad abbassare il proprio livello di cifratura, riducendolo a una chiave di 512 bit. Il traffico cifrato con questa chiave debole viene poi analizzato usando servizi online di calcolo, come quelli di Amazon, e rivela la chiave privata di cifratura del sito visitato: a questo punto l'aggressore può spacciarsi perfettamente per il sito vero, imitandone anche la protezione HTTPS (il famoso lucchetto chiuso), e può rubare o modificare i dati riservati scambiati da tutti i visitatori con il sito in questione: password, transazioni bancarie, messaggi, tutto. La decifrazione della chiave di un singolo sito costa soltanto un centinaio di dollari su servizi di calcolo distribuito come quelli offerti da Amazon.

Inizialmente sembrava che la falla riguardasse soltanto i dispositivi Android, gli iPhone, i computer della Apple e gli smartphone di Blackberry, ma poi Microsoft ha annunciato che anche tutte le versioni correnti di Windows sono vulnerabili. Gli esperti hanno inoltre rilevato che al momento circa il 36% dei siti Web è affetto da questa falla. Fra i nomi di spicco ci sono AmericanExpress.com, Groupon.com e Bloomberg.com. Google e Facebook non sono vulnerabili.

Per correggere questa falla è indispensabile aggiornarsi: Google ha già reso disponibile la versione aggiornata di Chrome per Mac e Firefox non è vulnerabile; gli aggiornamenti per OS X e iOS e per Windows verranno distribuiti prossimamente.

Per sapere se i vostri browser sono vulnerabili, usateli per visitare il sito Freakattack.com (se compare un avviso su sfondo rosso, siete vunerabili); per sapere se un sito è attaccabile, basta immetterne il nome in questa pagina di Keycdn.com. Un elenco aggiornato dei principali siti che risultano affetti da questa falla è presso https://freakattack.com/#alexa; l'elenco completo include centinaia di siti svizzeri e italiani.

Ironicamente, questa falla è stata resa possibile dalle richieste governative (in questo caso statunitensi) di indebolire volutamente la cifratura vendibile all'estero, allo scopo di impedire ai paesi rivali, ai terroristi e ai malviventi di comunicare in modo non intercettabile. Visto che richieste analoghe vengono fatte tuttora da alcuni governi, come quello britannico, si spera che questa notizia serva da lezione per non ripetere gli errori del passato.
12 commenti

Non ridete: i colori di quel vestito virale sono una cosa seria

Credit: Canach.
Fonte: Tumblr.
Ora che sono passati alcuni giorni dalla tempesta mediatica e ci sono più dati concreti a disposizione, vale la pena di parlare seriamente della vicenda della fotografia di un vestito (mostrata qui accanto) che ha scatenato l'interesse e il dibattito in milioni di utenti di Internet perché alcuni vedono il vestito categoricamente in bianco e oro (succede a circa tre quarti dei visitatori di questa pagina di BuzzFeed) e altri altrettanto certamente in blu e nero.

Molti hanno pensato a un'immagine truccata che cambiava colore di soppiatto; altri hanno pensato a uno scherzo di amici e colleghi che s'erano messi d'accordo per confonderli mentendo sui colori che vedevano. Ma la spiegazione reale del fenomeno è molto più interessante e profonda.

Cominciamo dai fatti. Il vestito è in realtà blu e nero: è questo capo della Roman Originals. Ma l'oggetto del contendere, qui, è una specifica foto del vestito, fatta dalla madre di una futura sposa in Scozia, che è una cosa differente. Una fotografia, infatti, falsa spesso i colori rispetto alla realtà, specialmente se è realizzata in condizioni di luce difficili, come in questo caso: lo sfondo è fortemente illuminato, mentre il soggetto è in ombra e occupa gran parte dell'inquadratura.

La fotocamera (probabilmente quella di un telefonino) tenta di azzeccare automaticamente la regolazione giusta dell'esposizione e del bilanciamento del bianco, ma viene ingannata dalla grande superficie blu che ha davanti e dallo sfondo molto chiaro e quindi sbaglia, con il risultato di schiarire il vestito e alterarne i colori.

Potete verificarlo fotografando con il vostro telefonino l'immagine del vestito mostrata qui accanto e tratta da NYDailyNews.com: se lo inquadrate normalmente, con molto sfondo intorno, la fotocamera lo fotografa correttamente in blu e nero, ma se lo inquadrate in modo che occupi gran parte dell'inquadratura l'immagine viene schiarita e il blu e nero diventano azzurro e oro. Questi sono i colori indicati da strumenti come per esempio Photoshop, come ha fatto Wired.

A questo punto, però, interviene l'interpretazione dei colori che viene fatta dal cervello dell'osservatore. Noi non ce ne accorgiamo, ma il cervello corregge costantemente i colori degli oggetti che osserviamo, basandosi sul contesto. Per esempio, la luce al tramonto è molto più rossiccia rispetto a quella di mezzogiorno, eppure il bianco dei cartelli stradali ci appare bianco in entrambe le condizioni di luce, perché il cervello deduce dal contesto il colore della luce che sta illuminando i cartelli e lo sottrae dal colore percepito dall'occhio, creando la percezione del colore “naturale”.

In circostanze normali questo processo di correzione funziona benissimo. Ma in questa fotografia manca il contesto: il cervello dell'osservatore non sa che tipo di luce ambiente sta illuminando il soggetto e quindi cerca di dare un senso a quello che vede. Così alcune persone interpretano la foto pensando che la luce ambiente sia azzurrata e quindi deducono automaticamente che i colori reali sono bianco e oro; altre, invece. interpretano il blu dell'immagine come se provenisse dal vestito e quindi lo vedono in blu e nero, come è realmente.

La particolarità di questa fotografia, che l'ha resa un fenomeno virale (oltre 73 milioni di visualizzazioni del post originale in sei giorni, secondo Tumblr), è che per puro caso la fotocamera ha alterato i colori reali in modo da rendere particolarmente evidente che esistono fortissime differenze individuali nell'interpretazione delle immagini e che la vista non è affatto un senso obiettivo come molti credono. Jay Neitz, neuroscienziato presso la University of Washington, ha dichiarato a Wired che si tratta di una delle più importanti differenze personali nella visione dei colori che ha incontrato in trent'anni.

Fonti aggiuntive: Washington PostBBC.
9 commenti

Account Twitter della Rai promuove film porno

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla gentile donazione di “anna_cine*”. Se vi piace, potete incoraggiarmi a scrivere ancora.

L'account Twitter autenticato @SanremoRai ha al momento come ultimo tweet un invito a visitare un sito di video porno.

Complimenti ai responsabili dell'account per questa svolta nel marketing e nella gestione della sicurezza informatica.

Ho segnalato pubblicamente il problemino su Twitter e avvisato @rainews un'oretta fa e non è ancora cambiato nulla: il pornotweet è ancora al suo posto, ricevuto da 92.000 utenti.

Ovviamente sconsiglio vivamente di visitare il sito reclamizzato senza abbondanti protezioni antimalware. Fra l'altro, uno dei video proposti dal sito reclamizzato dall'account della Rai riguarda Belen Rodriguez e se non erro risale a quando lei era minorenne, per cui scaricarlo o fornirlo può implicare il reato di pedopornografia.

Ringrazio @corsicotrota per la segnalazione.

Aggiornamento (12:55): il tweet pro-porno è stato rimosso e al suo posto è comparso alle 10:53 questo messaggio di scuse:

SanremoRai
Come già evidente a molti, stamattina qualcuno si è intromesso nel nostro account. Ci scusiamo per l’accaduto
05.03.15 10:53