Paolo Attivissimo

Syndicate content
Un blog di Paolo Attivissimo, giornalista informatico e cacciatore di bufale.
Questo blog è tutelato dal diritto d'autore, ma i contenuti sono liberamente ripubblicabili seguendo alcune semplici regole. Le donazioni di focaccia sono comunque gradite.
Updated: 19 min 24 sec ago

Il podcast del Disinformatico di venerdì

Tue, 03/25/2014 - 12:52
La puntata di venerdì scorso del Disinformatico radiofonico che ho condotto in diretta per la Rete Tre della Radiotelevisione Svizzera è scaricabile qui. Nella puntata ho trattato i seguenti temi, con i rispettivi articoli d'accompagnamento:

Le parole di Internet: morphing

Occhio ai siti che usano Google per rubare password

L'App Store di Apple non è infallibile: il caso Tor Browser

Aggiornate Firefox: turate al volo quattro falle appena scoperte

Otto anni di Twitter: aggirate il blocco in Turchia, scoprite il primo tweet di chiunque

Buon ascolto!Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Categories: Ultime dal web

Io no spik svizzerano: Burger King

Tue, 03/25/2014 - 12:48

“I BURGER DIVENTANO DI NUOVO PIÙ LUNGO!”. Poster di Burger King a Lugano, fotografato oggi da Rodri e pubblicato per sua gentile concessione.

Ma davvero è così difficile far controllare un poster da qualcuno che parli davvero italiano, prima di mandarlo in stampa e in giro facendo figure barbine?Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Categories: Ultime dal web

L’App Store di Apple non è infallibile: il caso Tor Browser

Fri, 03/21/2014 - 14:48
Rispondo a una domanda ricorrente dei Disinformatici: ci si può fidare al 100% delle app presenti nell'App Store di Apple? Versione breve: no. Versione meno breve: solitamente sì.

Apple si vanta di esercitare un controllo molto rigoroso su tutte le app che distribuisce attraverso l'App Store; è un ambiente ben diverso da quello del rivale Google Play, nel quale le app ostili o scorrette superano spesso i controlli. La proposta commerciale di Apple è, in sostanza, che se l'utente accetta di rinunciare a qualunque altro negozio di app al di fuori dell'App Store, avrà in cambio una sicurezza maggiore.

Non si sa quale sia, di preciso, il processo di verifica usato da Apple, e questa dipendenza da un distributore unico non va giù a molti perché offre occasioni di monopolio e censura molto allettanti, ma per molti utenti è un compromesso che offre sicurezza (a patto, ovviamente, di non eludere tutti i controlli facendo il jailbreak del proprio iPhone, iPod touch o iPad per installarvi a scrocco app trovate nei peggiori anfratti di Internet).

Di solito questo patto funziona bene, ma non è una garanzia totale. È stato infatti segnalato che Tor Browser, un'app usata per sfogliare la parte di Internet “sommersa” accessibile soltanto tramite il sistema Tor, è un falso che ha funzioni di violazione della privacy (spyware) e di diffusione incontrollata di pubblicità indesiderata (adware). La segnalazione è stata fatta dai gestori del vero Tor a dicembre scorso, ma l'app è ancora al suo posto [aggiornamento: è stata rimossa poco dopo la pubblicazione iniziale di questo articolo] e Apple, come consueto, non ha ancora rilasciato alcun commento sulla vicenda.

Almeno una mela marcia, insomma, nell'App Store c'è, per cui formalmente non si può parlare di sicurezza al cento per cento. Ma il numero molto basso di contestazioni indica che il livello di sicurezza è ragionevole.

Fonti: Ars Technica, ThreatPostL'articolo è stato aggiornato dopo la pubblicazione iniziale per rispecchiare la rimozione dell'app Tor Browser dall'App Store. Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Categories: Ultime dal web

Le parole di Internet: morphing

Fri, 03/21/2014 - 12:53
morphing. Effetto speciale visivo, generato tramite computer, che trasforma progressivamente un'immagine in un'altra senza stacchi visibili. Fu utilizzato in dettaglio per la prima volta al cinema nel film Willow (1988; video), anche se era già comparso, in forma molto grezza e non fotorealistica, ne Il Bambino d'Oro e in Rotta verso la Terra (entrambi del 1986).

Il morphing divenne popolare in particolare grazie al film Terminator 2 (1991), che lo usò massicciamente per animare il cyborg T-1000, interpretato da Robert Patrick: la sua capacità di assumere qualunque forma, con trasformazioni mostrate appunto tramite morphing, divenne uno degli aspetti centrali del film.

Questo effetto digitale, tuttavia, ha radici ben più remote: compie quarant'anni. Infatti risale al 1974 il cortometraggio d'animazione canadese Hunger/La Faim, che divenne il primo film animato al computer a ricevere una candidatura all'Oscar come miglior corto e un premio della Giuria al Festival di Cannes. Oggi questo film è visionabile online su Vimeo.

La tecnica del morphing usata in Hunger/La Faim fu concepita e realizzata da Nestor Burtnyk e Marceli Wein ispirandosi al lavoro degli animatori tradizionali: in un cartone animato disegnato a mano, l'animatore capo disegna le immagini principali (keyframe) che descrivono il movimento di un personaggio e una squadra di assistenti crea i disegni intermedi. Un procedimento manuale molto costoso e lento, che il sistema di Burtnyk e Wein rendeva automatico, consentendo animazioni e transizioni prima impossibili. Nel morphing moderno, un animatore capo segna e abbina i punti salienti nell'immagine iniziale e in quella finale e il computer provvede a generare le immagini fotorealistiche intermedie.


Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Categories: Ultime dal web

Otto anni di Twitter: aggirate il blocco in Turchia, scoprite il primo tweet di chiunque

Fri, 03/21/2014 - 12:33
Credit: WikipediaIl 21 marzo 2006 veniva inviato il primo tweet, ossia il primo messaggio su Twitter: era quello di Jack Dorsey, uno dei cofondatori di questo laconico sistema di microblogging e messaggistica che imponeva il drastico limite di 140 caratteri. Non diceva nulla di storico o retorico, ma semplicemente “just setting up my twttr”, ossia “sto impostando il mio Twttr” (agli esordi il nome era scritto così, senza vocali).

Otto anni più tardi, su Twitter ci sono 240 milioni di utenti che pubblicano oltre 500 milioni di messaggi ogni giorno, e può essere interessante vedere il debutto su questo canale di comunicazione di aziende e celebrità: per questo Twitter ha attivato First-tweets.com, un sito nel quale basta digitare il nome di un utente Twitter per vedere il suo primo messaggio: spesso cauto, tanto per provare, talvolta sfacciatamente autopromozionale, e magari in alcuni casi imbarazzante col senno di poi.

In questa rassegna di esordi si possono trovare il primo tweet dalla Stazione Spaziale Internazionale (2010), quelli di Pelé (2012), Barack Obama (2007), Shakira (2009), Madonna (2012), Miley Cyrus (2011), Katy Perry (2009) e del Papa (2013). Quello di ReteTre è del 2011; e se proprio ci tenete, quello del Disinformatico, datato giugno 2007, è qui.

Credit: @paulmasonnews
(foto non verificata)Il compleanno di Twitter vede anche un tentativo di oscurarlo da parte della Turchia: il primo ministro Erdogan ha dichiarato di voler “debellare Twitter”, probabilmente perché via Twitter stanno circolando documenti che asseriscono di dimostrare casi di corruzione che lo riguardano, e che “tutti vedranno il potere della Repubblica Turca”.

In Rete abbondano i suggerimenti per eludere il blocco: Twitter stessa suggerisce di mandare i tweet via SMS: per Avea e Vodafone si manda la parola START al numero breve 2444, mentre per Turkcell si manda la stessa parola al 2555. In alternativa i circa 10 milioni di utenti Twitter in Turchia possono cambiare il DNS della propria connessione a Internet e usare il DNS di Google: le istruzioni sono per esempio su Wikileaks Supporters Forum. Si può anche usare Tor o una VPN. Va detto, tuttavia, che queste operazioni potrebbero facilitare il tracciamento degli utenti che eludono il blocco, per cui è il caso di valutare con prudenza il da farsi.Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Categories: Ultime dal web

Aggiornate Firefox: turate al volo quattro falle appena scoperte

Fri, 03/21/2014 - 12:23
Se usate Firefox, aggiornatelo alla nuova versione, la 28.0, che è stata pubblicata il 18 marzo: risolve quattro falle di sicurezza molto gravi, che consentivano di prendere il controllo del computer della vittima.

Le falle sono state corrette in tempi brevissimi: erano state annunciate il 13 marzo scorso, durante la gara annuale di attacco ai browser PWN2OWN che si tiene a Vancouver, in Canada. La gara offre ai migliori esperti di sicurezza l'occasione di vincere premi tutt'altro che trascurabili: gli sponsor hanno pagato 50.000 dollari a ciascuno degli specialisti che sono riusciti a superare le difese di Firefox.

Le regole del premio obbligano i vincitori a spiegare in modo riservato come hanno agito, in modo che i creatori di Firefox e degli altri browser possano correggere la falla senza divulgarla ai malfattori.

Se volete sapere che versione di Firefox state usando, guardate nei menu del browser oppure andate per esempio a Whatismybrowser.com. L'aggiornamento alla versione 28.0 è solitamente automatico, ma potete anche effettuarlo manualmente visitando Mozilla.org.

Fra l'altro, non è andata meglio agli altri browser: Internet Explorer 11, Google Chrome e Apple Safari sono tutti crollati sotto i colpi precisi degli aggressori a fin di bene. Anche le loro falle verranno corrette, si spera, altrettanto prontamente.Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Categories: Ultime dal web

Come cifrare e autenticare la mail: terza parte

Mon, 03/17/2014 - 14:33
(continua da qui) Cominciamo con le cose semplici: mandiamo una mail autenticata. Per ora non si tratta di comunicare in modo segreto, ma semplicemente di dare a chi ci legge la possibilità di verificare che il nostro messaggio arriva veramente da noi e non è stato falsificato o alterato.

Mandare una mail autenticata è semplicissimo: la si compone esattamente come una mail normale, ma alla fine della composizione, prima di inviarla, si attiva l'autenticazione (di solito cliccando su un'icona OpenPGP o simile e scegliendo Firma il messaggio). Tutto qui.

Chi riceve la vostra mail autenticata troverà che contiene il testo normale, seguito da una serie di caratteri strani che iniziano con l'avviso “Begin PGP Signature”: quei caratteri sono la firma digitale del messaggio. Il messaggio in sé è ricevibile e leggibile da chiunque e con qualunque dispositivo e programma, anche da chi non usa la crittografia: la firma è semplicemente un'opzione che consente, a chi vuole, di verificare l'autenticità del mittente. Potete insomma firmare tutti i messaggi che inviate: se il destinatario ha il software giusto, come voi, potrà autenticarli. Se non ce l'ha, vedrà semplicemente questi caratteri strani in calce al messaggio, ma leggerà comunque senza problemi il testo del messaggio stesso.

Autenticare una mail ricevuta è altrettanto semplice: se avete installato il software di crittografia a chiave pubblica, il vostro programma di posta vi avvisa visivamente che il messaggio ricevuto contiene codici di autenticazione (è firmato, insomma) e vi informa sul livello di fiducia che ha la firma, che potete scegliere voi in base a quanto conoscete il mittente e al modo in cui avete ricevuto la sua chiave pubblica.

Fra l'altro, se il vostro interlocutore ha depositato la propria chiave pubblica su Internet (presso i cosiddetti keyserver), come proposto durante l'installazione, potete procurarvela semplicemente avviando il vostro software di gestione delle chiavi e digitando l'indirizzo di mail dell'interlocutore.

Ora vediamo come si invia una mail cifrata, che può essere letta soltanto dal destinatario che abbiamo scelto.

(segue)




Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Categories: Ultime dal web

Siete utenti Cablecom? Occhio alle mail che promettono rimborsi

Mon, 03/17/2014 - 13:47
Questo articolo vi arriva grazie alla gentile donazione di “nicola.rom*” e alla segnalazione di “kayott*”.

Se siete utenti di Cablecom (provider Internet e TV via cavo svizzero), fate attenzione alle mail che annunciano un rimborso e che invitano a cliccare su un link per ricevere il denaro.

Il link porta a quella che sembra essere una pagina del sito Cablecom che chiede i dati della carta di credito del “beneficiario” del presunto rimborso, ma in realtà risiede altrove (presso Til-nets.com) ed è presumibilmente controllata dai truffatori che stanno inviando le mail.

Questo è un campione delle mail in questione (scam):

Sehr geehrter Kunde,

Nach den neuesten Berechnungen des Einkommens Steuern, haben wir festgestellt, dass Sie Anspruch auf eine
Rückerstattung von uns für einen Betrag von 165.00 CHF zu erhalten sind.

Was sind die Schritte, um für mein Rückerstattung folgen?

Eine Rückerstattung kann aus verschiedenen Gründen verzögert werden. Zum Beispiel die Vorlage ungültige
Datensätze oder die Anwendung nach Ablauf der Frist.

Wir bitten Sie, Ihre Bankdaten aktualisieren, so dass ihre Rückerstattung so bald wie möglich gemacht werden,
und Sie erlauben uns 3 Arbeistage, um Ihre Situation zu verarbeiten.

Ich schaue mir die Schritte zu folgen >>

Aus Gründen der Sicherheit und der Privatsphäre, ist dieser Link zur Einzelnutzung und einer Dauer von 48 Stunden.

Vielen Dank und akzeptieren Sie bitte, Frau, Herr, Mit freundlichen Grüssen.
Una volta immessi i dati nel sito fasullo, la vittima viene portata al sito vero di Cablecom, col rischio di non accorgersi neppure di aver dato i propri codici a un truffatore.

Ho già segnalato a Netcraft il sito di phishing. Se ricevete questo genere di mail, cancellatela senza seguire eventuali link contenuti nel messaggio.

Mi sto chiedendo se potrebbe valere la pena di saturare il sito di phishing immettendogli dati fasulli ma credibili. Avrebbe il vantaggio di annacquare il database dei criminali. Qualcuno ha voglia di scrivere un'app o qualcosa del genere per automatizzare il processo?Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Categories: Ultime dal web

In Svizzera molti non facchiano la Quaresima

Sun, 03/16/2014 - 23:10
La contaminazione linguistica inevitabile nel tri/quadrilinguismo svizzero, combinata con il fatto che molta della produzione pubblicitaria italofona avviene nei cantoni svizzerotedeschi, ogni tanto produce scivoloni che fanno sorridere.

Per esempio, secondo il sondaggio mostrato qui accanto, il 70% degli interpellati ha risposto alla domanda “Durante la Quaresima a cosa rinuncia?” con “A nulla: non facchio la Quaresima”.


Scansione eseguita personalmente dall'edizione cartacea della rivista Cooperazione n. 10 del 4 marzo scorso.Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Categories: Ultime dal web

Ci vediamo domani (17/3) a Cesena per parlare di complotti(smi)?

Sun, 03/16/2014 - 23:03
Domani sera (17 marzo) alle 20:45 sarò a Cesena, presso il Museo di Scienze Naturali (Piazza Zangheri 6), per parlare sul tema “Internet, complotti e leggende” nell'ambito dei “Lunedì del Museo”.

Segnalo inoltre altri appuntamenti golosi presso il Museo: lunedì 31/3 ci sarà Photobuster, alias il fototecnico Paolo Bertotti, esperto smascheratore di falsi fotografici e di inganni ufologici, che parlerà appunto sul tema “UFO: le prove fotografiche”; lunedì 7/4 ci saranno Pier Luigi Bazzocchi e Lorenzo Rossi, che parleranno di “Animali in mezzo a noi: fascino e paure”; il 14/4 sarà il turno di Medbunker, al secolo Salvo di Grazia, medico che spiegherà gli inganni delle pseudomedicine in una conferenza intitolata “Salute e bugie: come difendersi da farmaci inutili, cure fasulle e ciarlatani”.Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Categories: Ultime dal web

Aggiornamento di Flash Player per Mac, Windows, Linux

Sun, 03/16/2014 - 19:21
Adobe ha rilasciato la versione 12.0.0.77 per Mac e Windows di Flash Player e la versione 11.2.202.346 per Linux. Questi aggiornamenti turano falle di sicurezza importanti, come descritto nel bollettino Adobe.

Se usate Flash, controllate se avete già la versione più aggiornata cliccando qui e scaricate l'aggiornamento qui.

Se usate Google Chrome come browser, l'aggiornamento della versione di Flash usata in questo browser è automatico.Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Categories: Ultime dal web

Il 30 marzo partirà per lo spazio un missile con le zampette

Sun, 03/16/2014 - 17:14

SpaceX lancerà il prossimo 30 marzo il missile mostrato in questa foto: un Falcon 9 dotato di zampe retrattili di atterraggio, come nei film classici di fantascienza. Mentre il resto del vettore (che è privo di equipaggio) proseguirà per lo spazio, raggiungendo la Stazione Spaziale Internazionale con materiali e risorse, il primo stadio tornerà a terra in modo controllato, estendendo le proprie zampe e riducendo la propria velocità a zero per simulare un atterraggio morbido.

Scrivo simulare perché per motivi di sicurezza questo primo test verrà effettuato sull'oceano, per cui il missile s'inabisserà. Ma se sarà riuscito a frenare, avrà dimostrato la fattibilità dell'idea, che mira a riutilizzare gli stadi dei missili e ridurre così i costi.

Se l'esperimento v'interessa, potrete seguirlo in diretta dalle 9 del mattino, ora italiana, su Livestream. Il decollo è previsto per le 4:41 AM EDT (9:41 AM italiane).Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Categories: Ultime dal web

Disinformatico radio, il podcast di ieri

Sat, 03/15/2014 - 09:10
Il podcast della puntata di ieri del Disinformatico radiofonico, dedicata interamente a come si autentica e protegge la propria mail tramite la crittografia a chiave pubblica, è a vostra disposizione qui. Ho trattato il tema con quattro articoletti di supporto: uno, due, tre, quattro. Buona cifratura a tutti!Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Categories: Ultime dal web

Come cifrare e autenticare la mail: quarta parte

Fri, 03/14/2014 - 19:18
L'articolo è stato aggiornato dopo la pubblicazione iniziale.

(continua da qui) Per mandare una mail cifrata (ossia illeggibile a chiunque non sia il legittimo destinatario) vi serve la chiave pubblica del vostro interlocutore, e ovviamente l'interlocutore deve averne una. La potete trovare in una sua mail oppure nel suo sito oppure ancora nei keyserver, come descritto nel passaggio precedente. Se non avete la sua chiave pubblica, il vostro programma di posta si ferma e vi propone di procurarvela.

Fatto questo, componete il messaggio come al solito e alla fine cliccate sul pulsante OpenPGP (o simile) scegliendo l'opzione Cifra il messaggio. Chiunque intercetti la mail cifrata vedrà soltanto l'indirizzo del mittente, quello del destinatario e il titolo: il contenuto sarà completamente incomprensibile.

Se invece ricevete una mail cifrata, il procedimento è molto simile: dovete aprirla su un computer nel quale ci sia la vostra chiave con il software di gestione. Questo impedisce ad altri di decifrare il messaggio. Tutto il processo è assolutamente trasparente: il software decifra automaticamente il messaggio e ve lo visualizza subito in chiaro, indicando che si tratta di un messaggio cifrato e autenticato.

La crittografia a chiave pubblica, insomma, non è un arcano riservato a spie e superesperti: è una garanzia che possiamo usare tutti per tutelare il nostro lavoro e la nostra privacy contro qualunque occhio indiscreto. Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Categories: Ultime dal web

Come cifrare e autenticare la mail: seconda parte

Fri, 03/14/2014 - 12:37
(continua da qui) GNU Privacy Guard, il software necessario per usare in modo trasparente la mail cifrata con chiave pubblica, si scarica presso Gnupg.org. La versione Windows è Gpg4Win; quella Mac è GPGTools; per Linux c'è per esempio GPA; le altre sono nella sezione di download di Gnupg.org.

L'installazione è piuttosto semplice ed è descritta in dettaglio nei rispettivi siti di download: la cosa importante è che al termine dell'installazione dovete generare la vostra coppia di chiavi (quella privata e quella pubblica), da associare all'indirizzo di mail che volete proteggere. In pratica, immettete nel software il vostro nome (o pseudonimo) e il vostro indirizzo di mail e poi generate una passphrase, ossia una password molto lunga e complessa. Questa passphrase deve restare assolutamente segreta e protetta, perché custodisce la vostra coppia di chiavi di cifratura: pensatela come la chiave che protegge un armadietto che custodisce delle altre chiavi.

A questo punto il software vi propone di pubblicare la vostra chiave pubblica presso un server su Internet, dove tutti potranno reperirla per mandarvi mail cifrate e verificare l'autenticità delle mail che mandate: è una scelta consigliabile, perché semplifica moltissimo tutto l'uso futuro della mail cifrata, ma se volete potete anche distribuire la vostra chiave pubblica in maniere differenti (per esempio dandola materialmente soltanto ad alcuni amici o colleghi).

Ultima fase: procurarsi un software che permetta al vostro programma di mail di cifrare le mail e autenticarle. Per esempio, per Thunderbird (Windows, Mac, Linux) c'è Enigmail e per Mail.app (Mac) c'è GPGTools. Li installate, riavviate il computer se richiesto, e siete a posto. Riavviando il vostro programma di mail troverete che sono comparsi dei pulsanti in più, che servono per gestire la crittografia e l'autenticazione delle vostre mail.

Il grosso è fatto. Resta solo da procedere alle prove pratiche, inviando mail autenticate e cifrate. Secondo le rivelazioni di Edward Snowden, a questo punto neanche l'NSA è in grado di leggere le vostre mail in transito su Internet: l'unica cosa che può fare per leggerle è cercare di entrare nel vostro computer.

(segue)


Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Categories: Ultime dal web

Come cifrare e autenticare la mail: prima parte

Fri, 03/14/2014 - 12:24
Nelle puntate precedenti del Disinformatico ho segnalato i limiti delle promesse di privacy e di garanzia d'identità dei social network e dei vari sistemi di chat, da WhatsApp a Telegram: in pratica non c'è nessun sistema social, per ora, che sia allo stesso tempo completamente trasparente e ispezionabile (open source), indipendente da un servizio o fornitore centrale e basato su uno standard universale per non avere il problema di convincere i nostri amici e contatti a seguirci nell'adottare un'app specifica.

C'è, però, un sistema di comunicazione via Internet che ha tutte queste caratteristiche. Esiste da prima che ci fossero le app e i social network: è la mail cifrata con la crittografia a chiave pubblica.

Anche se il nome può dare l'impressione che si tratti di una cosa difficile e riservata solo agli smanettoni, in realtà oggi è piuttosto facile da adoperare. Non solo vi consente di comunicare in modo realmente riservato, ma vi permette anche di autenticare i vostri messaggi e quelli altrui.

Tanto per fare un esempio, se tutti usassero la mail autenticata, sarebbero molto più difficili da portare a segno tutte le truffe basate sulle mail false che fingono di provenire da banche o altri servizi e ci invitano a cliccare su un link per confermare la password e in realtà ce la vogliono rubare (phishing).

Se volete un'analogia, la crittografia a chiave pubblica è come una busta che protegge una mail (che altrimenti è leggibile quanto una cartolina) e come un sigillo personalizzato che ne garantisce l'origine.

Interessati? Allora serve una breve introduzione al concetto di crittografia a chiave pubblica. Il limite dei sistemi di crittografia tradizionali è che richiedono che gli interlocutori si scambino un codice segreto prima di poter comunicare in modo protetto. Farlo per ciascuna persona con quale vogliamo comunicare sarebbe un lavoro immenso, e comunque per farlo bisogna già avere un canale segreto o sicuro, per cui diventa un circolo vizioso. La crittografia a chiave pubblica risolve il problema usando due chiavi, legate tra loro grazie a della matematica che non faccio neppure finta di capire a fondo (se volete, qui trovate i dettagli). Una chiave è segreta e viene custodita solo dall'utente che l'ha generata, mentre l'altra viene resa pubblica. Sì, sembra paradossale rivelare un pezzo di “password”, ma è così.

Questa chiave pubblica viene data proprio a tutti, tanto che viene indicata in coda a ogni mail autenticata o cifrata e c'è chi, come Glenn Greenwald, giornalista legato al caso Snowden, la mette in ogni articolo che pubblica su The Intercept, e serve principalmente per consentire a chiunque di autenticare i messaggi inviati dal suo proprietario e per mandargli messaggi cifrati. Soltanto chi ha la chiave privata può decifrare i messaggi destinati a lui e cifrati con quella chiave pubblica.

Confusi? È normale. In realtà l'uso pratico di questi sistemi è molto automatizzato: una volta che avete installato il software necessario, tutto avviene dietro le quinte, e il modo migliore per capire come funziona questo processo è vederlo in pratica. Vediamo allora come si installa un sistema di crittografia a chiave pubblica aperto e trasparente: GnuPrivacy Guard, che è software libero, gratuito e conforme allo standard OpenPGP e disponibile per tutti i sistemi operativi più diffusi.

(continua) Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Categories: Ultime dal web

Disinformatico radio del 2014/03/07, pronto il podcast

Mon, 03/10/2014 - 10:03
Potete scaricare qui il podcast della puntata di venerdì scorso del Disinformatico radiofonico, nella quale ho parlato dei seguenti temi:

Windows XP sta per cadere: cambiatelo, Microsoft vi aiuta

Europol: non usate i WiFi pubblici, sono a rischio di furto di dati. Come difendersi

Criminali informatici assaltano via Internet una banca. Quella sbagliata

Getty Images apre i propri archivi d'immagini all'uso gratuito non commerciale

Antibufala: lo skateboard antigravità di ”Ritorno al Futuro”

Buon ascolto.Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Categories: Ultime dal web

Windows XP sta per scadere: cambiatelo, Microsoft vi aiuta

Fri, 03/07/2014 - 12:52
Fonte: Net Market ShareManca meno di un mese alla fine del supporto tecnico per Windows XP, previsto per l'8 aprile, ma questo sistema operativo continua a essere usato da una fetta molto consistente degli utenti di Internet: circa il 30%. E sembra che quegli utenti non abbiano molta intenzione di abbandonare XP.

Restare con Windows XP su un computer che si affaccia a Internet sarà particolarmente rischioso dall'8 aprile in poi, perché da quella data Microsoft non fornirà più aggiornamenti di sicurezza che correggano le falle di XP man mano che verranno scoperte. Chi resterà a XP sarà quindi un bersaglio facile per gli attacchi informatici.

L'8 marzo prossimo (domani) Microsoft farà comparire sugli schermi di tutti i computer che usano XP e hanno gli aggiornamenti automatici attivi una finestra di allerta che li avviserà dell'imminente cessazione del supporto tecnico. L'avviso si ripeterà mensilmente. Inoltre Microsoft ha predisposto un sito, AmIRunningXP.com, che dice all'utente se ha o no Windows XP e lo aiuta nella migrazione (c'è anche questa pagina in italiano). Sì, molti utenti non sanno che sistema operativo stanno usando, purtroppo, anche se è l'equivalente di guidare un'auto senza sapere se è diesel o a benzina.

Microsoft offrirà inoltre del software gratuito, PCmover Express, per facilitare il trasferimento di dati e impostazioni da XP a Windows 8.1, e un sito informativo. Se avete Windows XP, datevi da fare: il tempo stringe.Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Categories: Ultime dal web

Europol: non usate i WiFi pubblici, sono a rischio di furto di dati. Come difendersi

Fri, 03/07/2014 - 12:41
Troels Oerting, responsabile dell'Europol (Ufficio di Polizia Europeo) per la lotta al crimine informatico, ha messo in guardia gli internauti contro il rischio di furto di dati sensibili se usano gli accessi WiFi pubblici.

In un'intervista alla BBC, Oerting ha segnalato la crescita degli attacchi effettuati utilizzando questi accessi “per rubare informazioni, identità o password e soldi... dovremmo insegnare agli utenti che non dovrebbero gestire informazioni sensibili quando usano un WiFi aperto non sicuro.” Il WiFi di casa va bene, ha aggiunto, ma è meglio evitare l'accesso senza fili spesso offerto da luoghi di ristoro o locali pubblici.

La tecnica d'attacco è semplice: il criminale crea un hotspot WiFi che somiglia a quelli pubblici (non è difficile, basta un laptop o uno smartphone) e convince le persone a collegarsi a Internet tramite quell'hotspot. In questo modo i dati delle vittime transitano dai dispositivi del criminale che, con il software opportuno, può intercettarli e decifrarli.

L'attacco in sé non è una novità (in gergo si chiama “man in the middle”, letteralmente “uomo che si mette in mezzo”): uno dei casi più noti riguarda il Parlamento europeo, che qualche mese fa ha spento il proprio sistema WiFi pubblico dopo che un informatico ha dimostrato quanto era facile usarlo per compiere proprio questo genere d'incursione.

La difesa, per fortuna, è semplice: usare la connessione dati cellulare invece del WiFi. Purtroppo questo diventa assai costoso se si è in roaming. In casi come questo si può usare il WiFi pubblico, avendo però l'accortezza di adottare un software di cifratura della connessione (VPN), che ha il vantaggio aggiuntivo di mascherare la reale posizione geografica e di scavalcare i filtri adottati da molti fornitori d'accesso (consentendo, per esempio, di vedere i video di Youtube che hanno restrizioni geografiche). Alcuni nomi: Anonymizer, Avast SecureLine, TunnelBear, disponibili per Windows, Android e iOS.


Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Categories: Ultime dal web

Criminali informatici assaltano via Internet una banca. Quella sbagliata

Fri, 03/07/2014 - 12:31
Figura barbina per Team Anonghost, un gruppo di vandali informatici che si è vantato di aver penetrato le difese digitali di un'importante banca britannica e di averne deturpato il sito.

Annunciando la trionfale scorribanda su p0ison e su Zone-h, gli Anonghost hanno dichiarato di aver colpito “la Yorkshire Bank, una delle più grandi banche del Regno Unito”. Solo che il bersaglio preso di mira non è affatto una banca: è il sito-trappola gestito da una banda di criminali, che simula la Yorkshire Bank per rubare password e soldi ai correntisti con la classica tecnica del phishing.

Nel phishing, le vittime ricevono una mail che sembra provenire dalla loro banca e contiene un link che porta al sito-trappola, il cui aspetto è identico a quello del sito della banca vera. Le vittime cadono nella trappola, immettono le proprie credenziali d'accesso e le regalano ai malviventi.

Stavolta i vandali sono andati a fare una spaccata in casa di ladri, insomma, e hanno quindi tolto da Internet un sito pericoloso: se prima il sito-trappola sembrava proprio quello di una banca e poteva quindi ingannare molti utenti, ora che contiene un'immagine inquietante e una grossa dicitura “Anonghost” sarà ben difficile che qualche utente creda di avere a che fare con una banca. Forse non erano proprio queste le loro intenzioni, ma comunque il risultato netto è positivo. Il sito della banca reale, fra l'altro, è ancora intatto.Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Categories: Ultime dal web