skip to main | skip to sidebar
0 commenti

Ecco perché si raccomanda di usare password differenti

Uno degli errori più comuni nella sicurezza informatica è usare la stessa password dappertutto, nella convinzione che se è sufficientemente complicata non verrà indovinata da nessuno.

Il difetto fatale di questo approccio è che se viene violato uno qualsiasi dei siti nei quali abbiamo usato quella password, i criminali informatici hanno in mano le chiavi di tutti i siti e servizi che usiamo: social network, mail, negozi online, account nelle reti di gioco, eccetera.

Usare la stessa password dappertutto, insomma, è come dare una copia delle proprie chiavi di casa a tutti i negozianti che incontriamo e sperare che tutti, dal primo all’ultimo, le custodiscano con cura perfetta e nessuno se le faccia rubare da un malintenzionato.

Purtroppo non tutti i negozianti custodiscono in modo assolutamente sicuro le password dei clienti. Un caso concreto viene segnalato dalla Centrale d’annuncio e d‘analisi per la sicurezza dell’informazione svizzera (MELANI), che pochi giorni fa ha annunciato che sono stati trafugati i dati d’accesso di circa 70.000 utenti di un noto sito svizzero di vendita di DVD. Secondo HaveIbeenPwned, le password erano custodite in chiaro: l’equivalente informatico di lasciare le chiavi di casa sotto lo zerbino.

Chiunque abbia usato altrove la password che ha usato su quel sito deve presumere che la sua password non sia più un segreto e farebbe quindi bene a cambiarla dappertutto. MELANI ha messo a disposizione un minisito, Checktool.ch, nel quale si può immettere il proprio indirizzo di mail (non la password!) per sapere se si è coinvolti in questo furto di massa.

È importante ricordare che i ladri di password rubano i dati di chiunque e che quindi non bisogna pensare “io non sono nessuno, a chi vuoi che interessi la mia password?”, come purtroppo sento spesso obiettare.

E già che siete in ballo a cambiare le password, attivate la verifica in due passaggi o l’autenticazione a due fattori presente in quasi tutti i siti importanti: fa da ulteriore protezione contro i furti.
0 commenti

Come far sembrare autentico un sito falso: aprire una ditta di nome “Identity Verified”

Una delle consuetudini errate ma molto diffuse tra gli internauti è che se un sito mostra accanto al nome un lucchetto chiuso si tratta di un sito autentico e quindi vi si può immettere tranquillamente la propria password (non si tratta, insomma, di un sito-fotocopia di phishing). Questo era abbastanza vero fino a qualche anno fa, ma in realtà oggi il lucchetto indica soltanto che la comunicazione con il sito è criptata e non è più una forma di autenticazione, perché adesso chiunque può procurarsi un certificato digitale di sicurezza (che attiva la visualizzazione del lucchetto) anche gratuitamente, come scrivevo pochi giorni fa.

Il ricercatore di sicurezza informatica James Burton ha trovato un modo ingegnoso per rendere ancora più credibile un sito falso, ed è meglio conoscerlo per non farsi ingannare.

Burton ha aperto una ditta nel Regno Unito (un’operazione molto semplice e poco costosa) e l‘ha chiamata Identity Verified. Poi si è rivolto a Symantec e si è fatto dare un certificato digitale di sicurezza per aziende intestato alla Identity Verified e associato al proprio sito personale Nothing.org.uk, con un periodo di prova gratuito di trenta giorni. Infine ha creato sul proprio sito una copia delle pagine di login di Google e Paypal.

Risultato: una vittima che visita il sito con il proprio iPhone e Safari (per esempio perché ha cliccato su un link in una mail che finge di essere un allarme di Google o Paypal) si trova davanti quello che si aspetta, ossia la schermata di immissione password di Google o Paypal, e vede in alto, al posto del nome del sito (che potrebbe rivelare l’inganno), le parole rassicuranti Identity Verified. Parole che sembrano autenticare il sito, ma sono semplicemente il nome della ditta.

Il browser Safari di Apple, infatti, quando incontra un sito criptato da un certificato digitale di sicurezza, mostra al posto del nome del sito il nome riportato nel certificato.

Va un pochino meglio, ma non molto, con altri browser, come Google Chrome, che visualizzano il nome del sito ma gli affiancano un rassicurante lucchetto verde con la dicitura Identity Verified.

Morale della storia: non fidatevi di quello che vedete nel browser dopo aver cliccato su un link ricevuto in un messaggio di allerta. Meglio ancora, non cliccate su questo genere di link ma visitate manualmente il sito citato nel link, scrivendone il nome oppure usando i Preferiti se l’avete già salvato tra i Preferiti.
12 commenti

Video monetizzabili, motore di fake news

Ultimo aggiornamento: 2017/12/14 20:55.

In questi giorni hanno iniziato a circolare due notizie apparentemente slegate ma in realtà parallele.

La prima riguarda un video che mostra un uomo che cammina in un grande giardino tenendo in mano un telo trasparente: quando lo dispiega davanti a sé, l’uomo diventa invisibile. Sembra quasi che il mantello dell’invisibilità di Harry Potter sia diventato realtà grazie alla scienza, se si dà retta alla descrizione che accompagna il video e che parla di “materiali quantici.. usabili dai militari”, ma in realtà si tratta di un effetto speciale video ottenuto con la tecnica cinematografica nota come chroma key oppure blue screen o green screen: il telo è di un particolare colore (di solito blu o verde) che viene sostituito digitalmente con un’immagine preregistrata di quello che sta dietro il telo, che così sembra creare l’invisibilità.

La seconda ha a che fare con un ventiduenne inglese, Jay Swingler, che ha deciso volontariamente di mettere la propria testa dentro un forno a microonde riempito di schiuma espandente, allo scopo di riprendersi in un video da pubblicare su Youtube insieme ad altri dello stesso genere demenziale. La schiuma si è solidificata e il ragazzo ha rischiato di morire soffocato, ma è stato salvato dall’intervento di ben cinque vigili del fuoco, come riferiscono la BBC e i pompieri delle West Midlands.

Cos’hanno in comune queste due storie? Lo stesso movente: fabbricare video che diventano popolari e generano soldi. Se un video riceve tante visualizzazioni, i social network e i siti come Youtube pagano i suoi creatori in cambio del diritto di inserirvi pubblicità. Questo meccanismo di monetizzazione dei video ha creato una vera e propria industria amatoriale di video falsi, con contenuti spesso scioccanti o demenziali, costruiti a tavolino per far parlare di sé ed essere condivisi, che non esisterebbero se non ci fosse l’incentivo del guadagno. E ci sono anche sciacalli che rubano i video virali altrui per monetizzarli.

Il video del mantello dell’invisibilità, per esempio, proviene dal social network cinese Weibo, ma è stato visto 32 milioni di volte da quando è stato condiviso su Facebook ed è stato citato da numerose testate giornalistiche (specificando chiaramente che si trattava di una finzione). Il video del gesto d’incoscienza del ragazzo britannico ha accumulato oltre tre milioni di visualizzazioni in pochi giorni. Questo significa che chi li ha pubblicati riceverà qualche migliaio di euro di compenso.

La monetizzazione su Internet di video falsi o fabbricati è una delle ragioni del boom delle notizie false basate su questi video: costano poco e rendono molto, anche per le testate giornalistiche che le ripubblicano senza verificarle. I social network stanno correndo ai ripari togliendo le pubblicità, e quindi l’incentivo economico, ai video che incoraggiano o promuovono comportamenti dannosi o pericolosi, ma questa rimozione avviene soltanto se un video viene segnalato dagli utenti (è successo per il video della testa nel microonde). Spetta quindi a noi utenti, insomma, agire per disincentivare questa forma di fake news.


Fonti aggiuntive: Bufale.net; Gizmodo; Snopes.com. Questo articolo è il testo preparato per il mio servizio La Rete in 3 minuti per Radio Inblu del 14 dicembre 2017.
21 commenti

Lucchetto chiuso, icona sempre più usata dai truffatori online

Rispondete al volo: che cosa significa l’icona del lucchetto chiuso che si vede ogni tanto accanto al nome di un sito Internet? Per molti utenti significa sicurezza e autenticità. Si consiglia spesso di controllare che quest’icona sia presente prima di digitare una password o immettere dati personali in un sito, e alcune app di navigazione, come per esempio Google Chrome, visualizzano la parola “Sicuro” accanto a questo lucchetto.

Ma in realtà la parola “sicuro” è un po’ ingannevole e può creare un falso senso di fiducia che apre le porte ad alcune truffe informatiche. Questo lucchetto, infatti, non garantisce affatto che il sito sia autentico: indica soltanto che i dati che immettiamo vengono trasmessi via Internet in maniera criptata e quindi difficilissima da intercettare. Non dice nulla sull’identità e sull’affidabilità del sito.

Questo vuol dire che i truffatori possono costruire un sito che imita visivamente l’aspetto grafico di un sito famoso (per esempio quello di Facebook, di Google, di una banca o di un negozio) e poi possono inviare alla vittima una mail o un messaggio Facebook o WhatsApp per invitarla a visitare il sito fraudolento e poi digitarvi la propria password per rubargliela, con l’impressione rassicurante di trovarsi nel sito autentico perché viene visualizzato il lucchetto chiuso insieme alla parola “Sicuro.”

La vittima si salverà da questa trappola (chiamata in gergo phishing) soltanto se noterà che il nome del sito non è quello giusto. Ma sono in pochi a controllare anche il nome di ogni sito che visitano: di solito ci si ferma a controllare l’aspetto visivo del sito e la presenza del lucchetto, specialmente sugli schermi piccoli dei telefonini, e nulla più.

Secondo dati pubblicati pochi giorni fa dalla società di sicurezza PhishLabs, oggi un quarto dei siti-trappola creati dai truffatori per rubare password mostra il lucchetto chiuso. Un aumento straordinario, visto che soltanto un anno fa i siti truffaldini con questa capacità erano meno del tre per cento.

Questo boom significa che i ladri di password si sono resi conto che gli utenti abbassano le proprie difese quando vedono il lucchetto chiuso e quindi si sono attrezzati in massa per mostrarlo. Cade così una delle raccomandazioni di sicurezza più diffuse e longeve: oggi non basta più cercare il lucchetto chiuso ma bisogna anche controllare che il nome del sito sia quello giusto, ed è facile confondersi. Per esempio, il sito della vostra banca, o quello di quel negozio online che usate spesso, si scrive con o senza il trattino in mezzo?

Per evitare tutti questi rischi per fortuna c’è una soluzione: ignorare qualunque messaggio che ci inviti a cliccare su un link per visitare un sito e usare invece l’app corrispondente al sito. Per esempio, invece di seguire un link che sembra portarci ad Amazon, su smartphone e tablet ci conviene usare l’app di Amazon, che ci porta sicuramente al sito autentico. Sui computer, invece, saremo più sicuri se cliccheremo sui Preferiti, dove abbiamo registrato il nome esatto del sito in questione. Tutto qui.


Fonte aggiuntiva: Naked Security. Questo articolo è il testo preparato per il mio servizio La Rete in 3 minuti per Radio Inblu del 12 dicembre 2017.
0 commenti

Gli appuntamenti pubblici della settimana: Garbagnate Milanese, Mendrisio e radio

Martedì 12 alle 11.10 sarò in diretta sulla Rete Uno della RSI (streaming), ospite di Nicola Colotti, per parlare di come Facebook sia diventato talmente pervasivo e complesso da produrre effetti deleteri inattesi (come ha ammesso di recente Sheryl Sandberg, COO di Facebook, sul New York Times) e di come i governi tentano di usare i social network per zittire i dissensi.

Sempre martedì 12, ma alle 21, sarò a Garbagnate Milanese, alla Sala della Biblioteca Comunale (corte Valenti, via Monza 12), per la conferenza Una giornata spaziale! che racconta, attraverso le parole dei protagonisti, come si vive sulla Stazione Spaziale Internazionale. La serata è dedicata agli studenti.

Giovedì 14 alle 14:30 sarò a Mendrisio, alla Sala del Consiglio Comunale, per la seconda parte della conferenza Gli inganni della mente nell’ambito dei Corsi UNI3.

Come consueto, inoltre, sarò ospite di Radio InBlu il martedì e il giovedì alle 9.03 e alle 17.03 per la rubrica La Rete in 3 minuti e venerdì condurrò una puntata del Disinformatico sulla Rete Tre della RSI (streaming).


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.
Articoli precedenti