Quando si dice che i criminali non guardano in faccia a nessuno è vero. E gli hacker, nei prossimi anni, potrebbero prendere di mira pacemaker, strumenti per i diabetici, protesi e altri apparecchi medici. Per ora si tratta solo di dimostrazioni scientifiche ed esperimenti, ma le aziende e i pazienti devono capire che anche la sanità è suscettibile di attacchi informatici, e deve includere la sicurezza degli strumenti fra le priorità.
La medicina utilizza sempre più componenti tecnologici e connessi alla rete. E questo non solo per le funzionalità, ma che per il monitoraggio: un pacemaker in grado di inviare statistiche sui battiti del cuore o una pompa insulinica programmata dal personale medico, hanno dei vantaggi enormi per gestire le cure.
Ciononostante, se da un lato gli strumenti sono più potenti perchè connessi, sono anche più passibili di attacchi.
Quando gli hacker attaccano i pacemaker
E’ dal 2008 che sono emersi i primi studi in materia, ma il caso più eclatante è certamente quello del 2016. L’azienda di sicurezza MedSec, che da anni monitorava l’affidabilità dei dispositivi medici, si accorse che i prodotti della St. Jude Medical non era sicuri, in quanto mancavano sia di autenticazione (password) si di sistemi di criptazione per proteggere le proprie connessioni. L’azienda, che aveva anche un proprio tornaconto personale, avvisò la compagnia di valutazione finanziaria Muddy Waters, che diramò la notizia causando una considerevole perdita in borsa alla St. Jude.
Ma aldilà del dispetto finanziario, il dato tecnico rimane.
Un pirata informatico, con una strumentazione abbastanza elementare come un PC, un radio connessa ad internet e dei software reperibili gratuitamente sul web, può inviare un consistente numero di segnali contraddittori a pacemaker, defibrillatori e risincronizzatori del cuore impiantati direttamente nei pazienti.
Il risultato possono essere dei gravi malfunzionamenti dell’apparecchio, che possono tradursi in fibrillazioni ventricolari o in gravi aritmie.
Una seconda tecnica di attacco riguarda invece la batteria. Tramite una serie di impulsi, si indica al dispositivo di modificare la propria gestione della batteria. In alcuni test la pila è stata ridotta al 3% di carica, vicinissima allo spegnimento, per 24 ore. Per eseguire l’attacco l’hacker deve trovarsi comunque in prossimità della vittima entro un raggio di 15 metri.
Momento iconico in questo settore, la dimostrazione pubblica dell’esperto di sicurezza presso McAfee, Barnaby Jack, che inviò ad un pacemaker funzionante una scossa di 830 volt, che avrebbe ucciso una persona all’istante.
Non solo il cuore. A rischio hacking anche gli apparecchi per l’insulina
Un’altra categoria di prodotti a rischio è certamente quella destinata ai diabetici.
I pazienti che soffrono di malattie metaboliche usano spesso delle pompe insuliniche, ovvero dei piccoli oggetti da portare con sè come uno smartphone, che iniettano sottopelle delle quantità previste di insulina ad orari determinati.
Anche in questo caso un pirata informatico può utilizzare delle frequenze radio per inviare comandi errati al dispositivo: basta modificare una virgola, ovvero indicare ad una pompa insulinica di iniettare non 0,2 ml ma 2,0 ml di sostanza ad un determinato orario per uccidere un diabetico in poche ore. Oppure, si può indicare alla pompa di scaricare nel sangue della vittima tutto il contenuto di insulina in una volta sola, come ha fatto sempre Jack nella sua dimostrazione pubblica.
Anche in questo caso, l’hacker deve trovarsi in prossimità della vittima, ad un massimo di una trentina di metri.
Una aggravante, sta nel fatto che attacchi come questi sono molto difficilmente rilevabili durante una ipotetica autopsia. Non solo non rimangono tracce nel dispositivo, ma pochi medici arriverebbero a pensare ad una disfunzione dell’apparecchio, e pochissimi avrebbero le competenze forensi necessarie per verificare se vi sia stata una intromissione a distanza.
Pacemaker, pompe di insulina ma anche stimolatori gastrici e impianti cocleari. Diversi apparecchi sono vulnerabili ad attacchi hacker. Ma per ora il rischio è ancora teorico
Insomma, dell’attacco non rimane alcuna traccia dopo la morte.
Se queste dimostrazioni rimangono per ora nel campo della sola teoria, le statistiche aggiungono degli elementi abbastanza preoccupanti.
I numeri del fenomeno e i primi episodi reali
La società di sicurezza Trend Micro, ha utilizzato un motore di ricerca apposito, Shodan, per cercare da remoto dispositivi medici rilevabili e vulnerabili ad attacchi di questo tipo e ne ha individuati 100mila in poche ore. Insomma, chiunque potrebbe cercare e trovare un grande quantitativo di apparecchi scoperti.
Un caso concreto, anche se fortunatamente circoscritto, avvenne nel maggio del 2017. A quei tempi il Governo della Corea del Nord, utilizzò una vulnerabilità di Windows scoperta qualche tempo prima dai servizi segreti americani dell’NSA e inavvertitamente pubblicata, per lanciare un attacco agli USA.
Gli hacker nord coreani trovarono migliaia di computer di ospedali e cliniche private con una vecchia versione del sistema operativo, e riuscirono a bucare i dispositivi Bayer Medrad, che si utilizzano nel campo della diagnostica per immagini. In quella occasione, per fortuna, il tutto si tradusse con un aggiornamento dei sistemi e con qualche radiografia rimandata di alcune ore, ma tecnicamente è la prova che un attacco a sistemi sanitari è concretamente possibile.
I dati preoccupanti e quelli che ci tranquillizzano
Il pericolo è potenzialmente molto elevato, ma per riequilibrare il discorso prendiamo considerazione alcuni elementi. Alcuni preoccupanti e altri incoraggianti.
Il primo elemento preoccupante è sicuramente il fatto che per eseguire questo tipo di attacchi non bisogna avere una preparazione tecnica elevatissima. L’utilizzo del wifi, delle onde radio e l’invio di segnali sono argomenti alla portata di qualsiasi studente medio di informatica e gestione delle reti, per cui chiunque potrebbe sviluppare in poco tempo le capacità necessarie a lanciare degli attacchi.
Il secondo punto “non molto bello” è che i costi, una volta piuttosto elevati, si sono abbassati drasticamente: alcuni apparecchi necessari per compromettere i pacemaker sono ormai acquistabili su eBay a poco prezzo. Un attacco su una pompa insulinica, è stato eseguito da un hacker con una scheda Arduino di poco meno di 20 euro.
Una parte importante del problema sta poi nel fatto che gli ospedali e il personale medico sono largamente impreparati ad uno scenario simile e molto spesso non immaginano neanche che si possa hackerare un pacemaker. Nel caso in cui dovessero essere “aggiornati” i dispositivi, proprio per proteggerli da attacchi informatici, sarebbe poi necessario per i pazienti recarsi in ospedale.
Non sono necessari interventi chirurgici invasivi, questo no, ma l’operazione deve essere comunque eseguita in day hospital da personale medico.
Barnaby Jack di McAfee: ha dimostrato pubblicamente come si può spingere un pacemaker a scaricare 800 volt nel cuore o svuotare una pompa insulinica in pochi minuti in un diabetico. Tutto a distanza di circa 30 metri
Un fattore che può mitigare il pericolo, è la distanza. L’aggressore deve comunque trovarsi ragionevolmente vicino o perlomeno nella stessa area della vittima, e questo esclude attacchi da remoto.
Più rassicurante, il lato puramente economico.
A parte il fatto che un hacker che dovesse uccidere persone tramite questo tipo di attacchi si ritroverebbe qualsiasi forza dell’ordine sulle sue tracce, dove sarebbe il guadagno?
In altre parole: il pirata informatico potrebbe anche chiedere denaro per non sferrare l’attacco ad un paziente-vittima, ma come potrebbe riscuotere? Posto che deve essere ragionevolmente vicino al suo target, il passaggio di denaro sarebbe fisico e tracciabile.
Insomma, non ci sono i presupposti perchè questo scenario, almeno nel breve periodo, si trasformi in una fonte di guadagno illecito.
Infine, alcuni produttori stanno mettendo in campo delle prime soluzioni, come degli “scudi di frequenza” per bloccare onde radio irregolari, anche se si tratta di tecniche piuttosto rudimentali.
Non possiamo gridare all’allarme. Come detto, anche se tecnicamente esiste la possibilità di hackerare dispositivi medici, vi sono degli elementi come la prossimità al target e l’impossibilità di riscuotere denaro che mantengono questo argomento ancora nel campo della teoria tecnico-informatica.
Ma è un segno dei tempi: a mano a mano che i dispositivi diventeranno sempre più intelligenti, i pericoli seguiranno di pari passo e la posta in gioco, in molto più di un caso, potrà essere ben più grave di un semplice pc o smartphone inutilizzabile.
La riforma dell’Unione Europea sul copyright sta spaventando tutta internet: blocco delle news, fallimento dei piccoli editori, filtri ai contenuti e censura. Si parla di “morte dei meme” e di “addio YouTube”. Gli esperti di Alground hanno analizzato in maniera approfondita la legge approvata recentemente dal Parlamento Europeo: vi spiegheremo cosa dice e perchè potrebbe essere una catastrofe. Ma anche come venirne fuori.
Vi proponiamo prima alcune domande e risposte per comprendere rapidamente i punti del discorso e successivamente potete leggere l’intero dossier per una trattazione completa.
COSA DICE LA RIFORMA UE DEL COPYRIGHT?
Ha tanti articoli e molte norme, ma i punti focali sono due: la difesa degli editori dagli aggregatori di notizie e dei controlli per bloccare preventivamente le violazioni del diritto d'autore.
COSA DICE L'ART. 11 E DOVE E' IL PROBLEMA?
Dice che coloro che inseriscono un link ad un articolo assieme ad un riassuntino o ad un estratto del contenuto, devono pagare una tassa all'editore che ha scritto quel contenuto (tassa sul link). Stessa cosa per le piattaforme che propongono titolo, foto e un estratto del testo di una news (gli aggregatori tipo Google News).
Ma all'atto pratico mentre gli aggregatori sono potenti, i singoli siti no, perchè le loro letture dipendono spesso dalle queste piattaforme. Non hanno pari potere contrattuale.
Quindi se i piccoli giornali scelgono di andarsene dagli aggregatori, perdono tutte le visite, e se gli danno il permesso di prendere i loro contenuti, è tutto come prima e la legge diventa inutile. Alla fine gli unici a poter contrattare alla pari sono i grandi gruppi editoriali di ogni paese.
COSA DICE L'ART. 13 E PERCHE' NON VA?
L'art. 13 dice che quando un utente carica un contenuto su una piattaforma (tipo Youtube), il sito deve verificare tramite dei filtri che non sia materiale protetto dai diritti d'autore. Questo per evitare violazioni del copyright.
Il problema sta nel fatto che tutti i contenuti sono filtrati. Come se i postini aprissero le lettere per controllare che non ci siano illeciti. Inoltre un meccanismo del genere può rapidamente portare al blocco di attività sacrosante come la satira. Addirittura potrebbe trasformarsi in censura.
E' GIA' AVVENUTO QUALCOSA DI CONCRETO?
La Cina blocca Twitter, la Russia i siti LGBT e l'Ecuador usò la scusa del copyright per bloccare decine di siti che criticavano il Governo, il rischio è reale.
L'ATTUALE LEGGE ITALIANA COSA PREVEDE?
Per il discorso delle news, non c'è ancora una normativa specifica. Per il copyright tutti i contenuti possono essere caricati online. Poi se il proprietario dell'opera segnala una violazione del contenuto, la piattaforma la deve rimuovere. L'ente italiano, che può intervenire anche oscurando siti o pagine web è l'AGCOM.
A CHE PUNTO E' LA LEGGE?
E' stata approvata dal Parlamento Europeo. Ora deve passare al consiglio, dove ogni stato membro dovrà dire la sua, e poi ci sarà la votazione finale.
SE VOGLIO MANIFESTARE CONTRO LA LEGGE CHE POSSO FARE?
Puoi seguire gli aggiornamenti dell'europarlamentare tedesco Julia Reda, che guida l'opposizione a questa riforma. E sul sito Change.org puoi firmare la petizione per chiedere di bloccare il percorso della legge.
Ora che abbiamo chiarito i punti principali, partiamo inquadrando il pensiero alla base di tutto: l’Europa vuole costruire un mercato unico digitale, che permetta attraverso internet di scambiare qualsiasi cosa, dai prodotti alle informazioni su tutto il continente.
E’ con questo ideale che sono state elaborate negli anni scorsi diverse leggi. Ad esempio quella sul roaming: una volta se eri di un operatore telefonico nostrano e andavi in un altro paese, dovevi pagare una tassa per usare l’infrastruttura della nazione che ti ospitava, mentre ora non è più così. Un altro esempio più recente è la normativa GDPR, che vuole responsabilizzare le aziende nel trattamento dei dati degli utenti.
La riforma della legge sul copyright ha quindi, in linea teorica, un intento positivo, cioè quello di aiutare la comunità europea a far valere i suoi diritti.
La legge è molto lunga e complessa, ma gli articoli fondamentali sono due. L’articolo 11, che riguarda sostanzialmente la gestione delle news e delle informazioni, e l’articolo 13, che tocca la diffusione dei contenuti e il diritto d’autore.
Riforma UE sul copyright. L’art. 11 e la difesa degli editori dagli aggregatori
Per capire l’articolo 11 dobbiamo fare un piccolo passo indietro nel tempo. Negli ultimi 10 anni, i siti di informazione più o meno grandi potevano iscriversi agli aggregatori di notizie, Google News in primis, ma anche Yahoo! News , Libero(in Italia), Pulseo Flipboard.
Gli aggregatori citavano le notizie dei vari giornali e diventavano grossi e famosi, e in cambio veicolavano milioni di click ai giornali iscritti, che poi ci guadagnavano su.
Cosa è cambiato ad un certo punto? Che le piattaforme di aggregazione, hanno iniziato ad includere sempre più informazioni fino ad integrare il titolo della news, una foto e lo “snippet”, cioè un piccolo riassuntino del contenuto. E in questo modo i lettori, ad esempio di Google News, riuscivano a capire la notizia senza andare a leggere il giornale che l’aveva scritta.
E questo ha rotto l’incantesimo: alla fine ci guadagnava solo l’aggregatore che “sfruttava” gli editori.
Se lo snippet degli aggregatori riporta tutto il necessario per capire la notizia, gli utenti non hanno motivo di leggere la fonte. E’ a questo che vorrebbe porre rimedio l’art.11 della riforma UE sul copyright
Dopo tante polemiche e proposte, la legge europea, e in particolare l’articolo 11, sono stati sviluppati per raddrizzare la situazione. Secondo la norma se inserisci il link ad una notizia, con un riassuntino scritto da te o con la citazione di un pezzo dell’articolo, devi pagare una tassa all’editore. Una vera e propria “tassa sul link“.
Ma soprattutto, e questo è diretto sostanzialmente a Facebook e Google, se crei un trafiletto con Titolo, foto, snippet e link, devi ugualmente pagare l’editore.
Insomma, l’idea in sè non è cattiva, anzi. E’ una misura di giustizia nei confronti di chi lavora per produrre contenuti.
Il problema sta che fra il dire e il fare c’è di mezzo la realtà. Questa legge obbliga le piattaforme di aggregazione e i singoli siti web a rinegoziare i loro accordi. Tuttavia, mentre Google o Facebook sono immensamente potenti, il singolo quotidiano che magari deve a loro il 70% o l’80% del suo traffico, non ha lo stesso potere di contrattazione. E’ molto più debole.
E all’atto pratico se sceglie di usare la linea dura, esce dall’aggregatore e perde utenti e denaro, mentre se consente l’utilizzo pieno dei suoi snippet, ecco che la legge non è servita a nulla.
Gli unici che possono realmente parlare alla pari con le piattaforme, sono i grandi gruppi editoriali dei singoli paesi, e dunque piove sul bagnato. Si salvano sempre i soliti.
La norma imposta in Spagna, ha portato alla rottura tra Google News e gli editori ispanici. L’aggregatore non esiste più e migliaia di giornali online hanno perso traffico
Il bello, si fa per dire, è che abbiamo già delle prove concrete delle conseguenze di questa “lotta”: in Spagna non si è trovato l’accordo e Google News praticamente non esiste più, con un danno immenso nei confronti dei millemila siti che ci vivevano attaccati. In Germania, gli aggregatori citano solamente i titoli, ma alla fine sono sopravvissuti solo i grandi giornali e la situazione è più o meno la stessa.
La norma rischia, nonostante le buone intenzioni, di causare un disastro.
Riforma UE sul copyright: l’art. 13 per la protezione dei diritti d’autore
Il secondo problema è relativo all’articolo 13. Anche qui le volontà dei legislatori sarebbero le migliori, e riguardano la difesa del diritto d’autore.
Nella situazione attuale, tutti possono caricare dei contenuti online liberamente, specie sulle piattaforme che vivono sullo User Generated Content come Facebook o Youtube. Nel caso in cui il proprietario di un contenuto veda la sua opera riprodotta o condivisa senza il suo permesso, può segnalare la cosa alla piattaforma e in Italia all’AGCOM, che interviene rimuovendola.
Esiste poi il Creative Common, cioè una serie di licenze che consentono di dare una progressiva libertà al riutilizzo dei propri contenuti.
L’articolo 13, invece, dice sostanzialmente che le piattaforme devono eseguire un controllo preventivo su ogni contenuto caricato dagli utenti, al fine di verificare che non vi sia alcuna violazione del copyright e solo successivamente accettarlo e renderlo disponibile online.
Giusto nella teoria, ma di nuovo devastante nella pratica.
Innanzitutto uno dei principi fondamentali del diritto è che chiunque è innocente fino a prova contraria. Se trasferiamo questo nei contenuti, ogni contenuto è legittimo fino a prova contraria. Ma inserire a priori un filtro significa affermare l’opposto: ogni contenuto è irregolare e non pubblicabile fino al via libera di una autorità. E’ inaccettabile.
Per farvi capire un esempio non esattamente allineato ma calzante: se scrivo una lettera di insulti, il postino la recapita e sarà il destinatario a lamentarsi. Con la nuova legge, è come se il postino aprisse la busta, e leggesse per controllare che non ci siano parolacce.
L’art. 13 impone un controllo preventivo su ogni contenuto caricato online, per verificare che non vi sia violazione del diritto d’autore. Da lì alla censura, il passo è brevissimo
Il secondo problema è intellettuale: i filtri automatici non capiscono le sfumature dei significati umani, ad esempio l’ironia. Un meme che prende in giro un politico, potrebbe essere bloccato per via dell’immagine del personaggio o per la citazione di una frase, senza capire che non si vuole redistribuire contenuto protetto ma fare satira.
Il tutto potrebbe poi prendere la via della censura vera e propria. Un controllo totale su tutto quello che viene caricato online può diventare in un attimo repressivo. Penserete che sia una ipotesi lontana, ma tanto lontana non è: nel 2015, il Governo dell’Ecuador utilizzò la legge sul copyright per mettere i bastoni fra le ruote ad una dozzina di giornali online che criticavano l’operato dell’esecutivo.
Infine il problema puramente tecnico, ovvero degli errori di calcolo e dei blocchi non previsti. La tecnologia esistente più simile è il YouTube ID, che verifica l’audio di un video e lo blocca in caso di violazione. Ebbene, nel 2012, un video con un uccellino che cinguettava fu fermato perchè il suono era presente in un video musicale, e lo sbarco di un modulo della NASA su Marte, venne scambiato per qualcos’altro e rimosso. Simile sorte ad un live streaming del 2013, dove qualcuno si mise a cantare “Buon compleanno” e la diretta fu stoppata.
E dire che il sistema è stato sviluppato nel corso di 11 anni, il che fa capire quanto sia costoso. Da qui anche un altro problema: gli unici a poter avere dei filtri decenti sarebbero le grandi compagnie tecnologiche. Strada sbarrata a piccole iniziative private di condivisione contenuti.
Le proteste internazionali per bloccare la legge
Le due norme sono state accolte con enorme preoccupazione dai giganti del web. In una lettera aperta, gente come Tim Berners Lee (creatore del WWW) o Jimmy Wales (fondatore di Wikipedia), chiedono al presidente dell’Europarlamento Antonio Tajani di intervenire. La lettera recita:
[miptheme_quote author=”” style=”text-center”]
Come gruppo di architetti e pionieri di Internet e loro successori, scriviamo a Lei per una questione urgente, una minaccia imminente per il futuro della Rete.
La proposta della Commissione europea per l ‘articolo 13 della proposta di direttiva per il diritto d’autore ha le migliori intenzioni.
Condividiamo la preoccupazione che ci dovrebbe essere un’equa distribuzione delle entrate online e un corretto uso delle opere d’autore, che avvantaggiano creatori, editori e piattaforme. Ma l’articolo 13 non è il modo giusto per raggiungere questo obiettivo.
Richiedendo alle piattaforme Internet di eseguire il filtro automatico di tutti i contenuti che i loro utenti caricano, l’Articolo 13 fa un passo senza precedenti verso la trasformazione di Internet da piattaforma aperta per la condivisione e l’innovazione, in uno strumento per la sorveglianza e il controllo dei suoi utenti.
L ‘Europa ha già un ottimo modello di responsabilità, in base al quale coloro che caricano contenuti su Internet hanno la responsabilità della sua legalità, mentre le piattaforme sono responsabili di rimuovere tali contenuti una volta che la loro illegalità sia stata portata alla loro attenzione. Invertendo questo modello di responsabilità e rendendo le piattaforme direttamente responsabili di garantire la legalità dei contenuti, i modelli di business e gli investimenti delle piattaforme grandi e piccoli dovranno cambiare. [/miptheme_quote]
Jimmy Wales, fondatore di Wikipedia, e Tim Berners Lee, padre del WWW. Anche loro hanno scritto una lettera aperta al europresidente Antonio Tajani, per chiedere di bloccare la legge
[miptheme_quote author=”” style=”text-center”]
Il danno che questo può fare ad una Internet libera e aperta è difficile da prevedere, ma nelle nostre opinioni potrebbe essere sostanziale. In particolare, lungi dall’influenzare solo le grandi piattaforme Internet americane (che possono permetterselo), l’ònere dell’articolo 13 ricadrà più pesantemente sui loro concorrenti, comprese le start-up e le PMI europee. Il costo di mettere in atto le tecnologie di filtraggio automatico necessarie saranno costose e onerose.
In effetti, se l’articolo 13 fosse stato messo in atto quando i protocolli e le applicazioni di base di Internet furono sviluppate, è improbabile che Internet esisterebbe come lo conosciamo oggi. L’impatto dell’articolo 13 si ripercuoterebbe anche sugli utenti ordinari di piattaforme Internet non solo quelli che caricano musica o video, ma anche coloro che contribuiscono con le foto, testo o codice per aprire piattaforme di collaborazione come Wikipedia e GitHub.
Anche gli studiosi dubitano della legalità dell’articolo 13; per esempio, il Max Planck Institute per l’innovazione e la concorrenza ha scritto che “l’obbligo di applicare un filtro a tutti i dati di ciascuno dei suoi utenti prima del caricamento sui servizi pubblici è contrario all’articolo 15 della direttiva InfoSoc e alla Carta europea dei diritti fondamentali.
Una delle disposizioni particolarmente problematiche dell’articolo 13 come originariamente proposta dal Commissione e nei testi di compromesso del Consiglio e del Parlamento, è che nessuna di queste versioni del testo fornirebbe né chiarezza né coerenza nel tentativo di definire quali piattaforme Internet sarebbero obbligate a conformarsi e quali possono esserne esenti. L’incertezza che ne deriva guiderà le piattaforme online a lavorare fuori dall’Europa e impediranno loro di fornire servizi a livello europeo.
Sosteniamo le misure che potrebbero migliorare la capacità dei creatori di ricevere un compenso equo per l’utilizzo delle loro opere online. Ma non possiamo sostenere l’articolo 13, che imporrebbe alle piattaforme Internet l’incorporazione di un’infrastruttura automatizzata di monitoraggio e censura in profondità nelle loro reti.
Per il futuro di Internet, Vi esortiamo a votare per la cancellazione di questa proposta.[/miptheme_quote]
A combattere contro la proposta, l’europarlamentare tedesco Julia Reda, leader della fazione avversaria al nuovo regolamento, e anche semplici cittadini digitali, che sul portale Change.org hanno già raccolto 400mila firme per abolire il testo.
Il fatto che la legge abbia incassato una prima approvazione è il segnale che il Parlamento Europeo, sulla questione, ha questo orientamento. E ciò influisce in maniera determinante nel processo di ratifica definitiva delle norme. Esistono però ancora due passi: il Consiglio Europeo, dove ciascun paese membro dovrà dare la sua approvazione, e il voto finale di tutto il Parlamento.
Insomma, ci sono ancora dei passaggi, anche se la strada è abbastanza chiara.
Riforma UE sul copyright. La fine dell’Internet libera?
Ci troviamo di fronte alla fine dell’Internet libero? Secondo noi no, e sostanzialmente perchè la riforma, anche se approvata in via definitiva, dovrà poi essere applicata e adattata alla realtà di ogni specifica nazione europea. E in Italia abbiamo due armi. La prima è il Trattato di Nizza, ovvero la carta dei diritti fondamentali del cittadino Europeo, i cui articoli relativi alla libertà (6-19), potrebbero essere usati per opporsi alla legge.
E in secondo luogo, il carissimo e salvifico articolo 21 della costituzione, che sancisce il diritto alla cronaca e che potrebbe in molti casi “salvare” la libera espressione dal fuoco incrociato di regole e regolette.
Non possiamo fare altro che attendere gli sviluppi, anche se la riforma del copyright dimostra ancora una volta il modo con cui l’Europa intende l’Internet. Gli stati considerano sostanzialmente Google e Facebook come l’internet stessa, e non come due portali che ne fanno parte, e che sono i singoli consumatori od aziende a rischiare maggiormente.
Per loro le uniche vie di salvezza sono la non ancora capillarità della legge, che spesso si traduce in un nulla di fatto, e i singoli articoli delle costituzioni nazionali, che gli permettono di opporsi in situazioni al limite della logica.
La privacy e la libertà in rete, sono diritti umani fondamentali. Ma per alcuni è meno fondamentale di altri e per salvare il nostro diritto alla riservatezza potrebbe venirci in soccorso niente meno che la blockchain, la tecnologia alla base del funzionamento della moneta virtuale Bitcoin che ha però applicazioni che vanno oltre il semplice scambio di denaro digitale.
Se da un lato alcune parti del mondo si dedicano alla privacy come l’Europa e il suo GDPR, ci sono ancora molte nazioni, dalla Nord Corea al Venezuela alla Russia, che intervengono pesantemente nel violare la privacy degli utenti e il numero dei casi sta aumentando.
All’inizio di questo mese, ad esempio, l’assemblea nazionale del Vietnam ha obbligato le multinazionali ad aprire i loro archivi per poter accedere più facilmente ai dati personali dei loro clienti. E questo è un segno dei tempi.
Dal momento che la globalizzazione porta la tecnologia al servizio dei cittadini in ogni angolo del mondo, i regimi oppressivi stanno sfruttando appieno l’accesso ai dati personali per iniziative legislative, per la censura e l’arresto di disobbedienti e contestatori. Si tratta di un problema fondamentale che richiede una soluzione definitiva.
Ma com’è possibile garantire sicurezza a dati e interazioni online in un mondo dove queste sono per struttura tutto tranne che private? E anche trovando il metodo tecnico, come possiamo creare una piattaforma che sia in grado di operare fuori dal controllo dei governi?
Privacy e libertà in rete. Il fallimento delle reti sicure…
La risposta, non sufficiente, data finora, è stata quella delle tecnologie centralizzate per la creazione di reti basate sulla privacy. Un buon esempio di questo si è verificato in Russia, dove per anni i cittadini hanno utilizzato una Rete Virtuale privata (VPN) per le loro comunicazioni. Ma nel 2017 il presidente russo Vladimir Putin ha diramato una legge che restringe l’utilizzo degli anonimizzatori per adattare le infrastrutture agli standard imposti dal governo.
Questo significa che tutti i servizi che per anni hanno permesso lo scambio di informazioni a giornalisti, attivisti per i diritti umani, studenti e contestatori politici, sono stati annientati. Insomma il fallimento delle comunicazioni centralizzate.
Ma per fortuna, laddove la centralizzazione fallisce, la blockchain salva.
…e la nuova frontiera: la blockchain
La blockchain è un sistema di comunicazioni decentralizzato dove i dispositivi (detti “nodi”), scambiano dati, dove il trasferimento delle informazioni è preventivamente approvato da tutta la community e dove la transazione è tracciata in maniera immodificabile. È un sistema che vive da solo, senza bisogno dell’intervento di un’autorità superiore e per questo completamente libero.
Queste piattaforme possono essere criptate in tutti gli stadi del loro funzionamento per garantire che l’identità degli utenti non sia mai divulgata, nemmeno inavvertitamente, durante il trasferimento delle informazioni. In questo modo, nessuna regime oppressivo potrebbe domandare alla blockchain di consegnare gli accessi o i dati degli utenti perché non c’è nessuna entità che abbia l’effettivo controllo del sistema.
E’ la tecnologia alla base del funzionamento e dello scambio della moneta digitale Bitcoin, ma il sistema stesso della blockchain può essere applicato a qualsiasi altro aspetto della vita digitale.
Esistono in realtà esistono già adesso delle piattaforme basate sulla blockchain che permettono di eseguire interazioni, dai pagamenti, alla pubblicazione di notizie fino ai Social media, che sono effettivamente protetti da un intervento governativo.
In un’era dove le violazioni dei diritti umani stanno diventando sempre peggiori, la possibilità di avere a disposizione questi sistemi sta diventando una questione di vita o di morte per moltissime persone che vivono in paesi con condizioni restrittive.
Dalla comunità LGBT in Russia, alla Cina dove è proibito l’uso di Twitter fino ai giornalisti che lavorano in Turchia.
Ma, attenzione, questo è un problema che affligge tutti noi e non solo chi combatte ogni giorno per la libertà. È stato stimato che due terzi di tutti gli utenti del mondo sono stati in qualche modo coinvolti dalla censura governativa.
Più in generale i diritti politici e le libertà civili in tutto il mondo si sono deteriorate e hanno raggiunto il livello più basso negli ultimi decenni. Il livello di libertà è in continuo declino. Ecco perché dei miglioramenti basati su una blockchain anonimizzata possono essere così importanti.
In realtà ci sono pochi diritti umani così trasversali e importanti come la privacy. E se milioni di persone che vivono in governi oppressivi non possono esercitare i loro diritti questa nuova tecnologia potrebbe restituire ad internet quelle caratteristiche di completa libertà che erano tanto care ai padri fondatori del web.
Il nuovo sistema operativo mobile iOS 12 per iPhone, iPad e i dispositivi Apple è stato rilasciato con delle soluzioni di sicurezza e privacy abbastanza soddisfacenti. In altre parole: non sono moltissime, ma quelle presenti sono state pensate bene.
Apple è una delle aziende più in grado delle altre di introdurre sistemi di sicurezza nel grande pubblico. Fu Cupertino a sdoganare il riconoscimento delle impronte digitali TouchID, e sempre la Mela diffuse lo sblocco dello smartphone via riconoscimento facciale. Ok, esisteva già da prima, ma non efficiente come quello Apple, diciamocelo. Tanto che gli unici metodi per fregare Face IDfurono sviluppati da cervelloni, rari sulla terra.
Apple iOS 12: più aggiornamenti di sicurezza per tutti
iOS 12 conferma di aver pensato bene al discorso sicurezza e privacy.
La più interessante novità di sicurezza in realtà, non è stata pensata per la sicurezza. Tuttavia, iOS 12 è compatibile con tutti gli iPhone, iPad e iPod che hanno ancora iOS 11. E questo significa anche i vetusti iPhone 5S e gli iPad Air, ovvero “reperti archeologici” di 5 anni fa.
Perchè questa insolita compatibilità su vasta scala? perchè il consumo della batteria è un tema carissimo ai clienti della Mela, iOS 12 è stato sviluppato con il punto fermo di migliorarne la gestione e assicurare la compatibilità di iOS 12 con i dispositivi precedenti significa permettere a decine di milioni di utenti di aggiornare il sistema operativo, vederlo funzionare bene e godere della nuova gestione della batteria.
Questo fa bene alle performance, ma fa bene anche alla sicurezza: significa che gli aggiornamenti e gli update pensati per iOS 12 verranno diramati anche su un vasto numero di modelli precedenti. Chi usa i prodotti Apple, sa bene che di norma questo non avviene, e chi rimane indietro nelle versione del sistema operativo difficilmente riesce a stare al passo.
Insomma, due piccioni con una fava. Ed è la cosa che ci fa più contenti.
In generale, sembra che Apple, che prima costringeva a passare abbastanza rapidamente da un dispositivo più vecchio ad uno più nuovo attraverso aggiornamenti che lasciavano spietatamente indietro gli altri, abbia cambiato approccio. Il ciclo di vita dei prodotti è stato leggermente allungato, e i guadagni vengono recuperati ampliando le periferiche, come gli earPod.
Autenticazione a due fattori: l’autocompletamento
Un altro interessante elemento riguarda l’autenticazione a due fattori. Ormai da anni, i sistemi di sicurezza ci identificano e ci inviano un messaggio SMS su un dispositivo fisico che possediamo per verificare la nostra identità. Se fino a questo momento ci giungeva un messaggino e dovevamo frettolosamente ripetere le cifre di sicurezza nel form di registrazione o di acquisto, iOS 12 riceverà il messaggio e lo inserirà automaticamente nei campi necessari.
Insomma, farà tutto lui.
Per aumentare la durata della batteria hanno favorito la diffusione delle patch di sicurezza. Prendendo due piccioni con una fava, Apple migliora la sicurezza di iOS 12
Può sembrare cosa da poco, e invece non lo è: la scomodità e gli impicci sono i più grandi nemici della sicurezza, e aver semplificato questo piccolo gesto significa aver capito come ragiona la gente.
Inoltre, anche i produttori di terze parti potranno utilizzare i codici API forniti da Apple, e godere dello stesso sistema di “accelerazione” dell’autenticazione a due fattori, aumentando il numero di servizi che offrono all’utente questa comodità.
Durante la conferenza di presentazione è stato detto che per gestire le password “basterà chiedere a Siri“, il noto assistente vocale di Apple che partì dal telefonare ai nostri contatti e ora ci racconta pure le barzellette. La funzione non è stata descritta nei dettagli, ma con grande probabilità, significa che attraverso un comando vocale, potremo accedere al nostro password manager, che di norma ci impone di andare in Impostazioni> Account & Password > App & Website Password > iCloud).
Una scorciatoia vocale che permette di saltare dei passaggi, a volte frustranti da fare. Ovviamente, prima di utilizzare il password manager verrà richiesta una autenticazione attraverso l’impronta digitale o il nostro volto.
Il sistema anti tracciamento nel browser Safari e la gestione delle password
La parte restante dei miglioramenti di sicurezza risiede nella navigazione web.
Il primo punto è un aggiornato e migliorato sistema anti tracciamento della nostra navigazione, per rimanere al sicuro dagli inserzionisti pubblicitari più ficcanaso. Detta così sembra troppo bello e infatti lo è: non saremmo onesti nel dire che iOS 12 anonimizza gli utenti. Quello che è ragionevole pensare è che la nostra identità più profonda, come i dati biometrici o la posizione geografica, sia ragionevolmente protetta e i “pubblicitari” possano vedere solamente dati aggregati.
Un buon lavoro è stato fatto anche nella creazione delle password sicure: qualora venga richiesto dall’utente, il browser Safari sarà in grado di generare automaticamente una password “forte”, ovvero dotata di lettere, numeri e caratteri speciali e dunque difficile da indovinare, inserirla laddove ci serve e conservarla al sicuro nella nostra iCloud Keychain.
Il browser Safari integrato in iOS 12 integra un sistema anti tracciamento dei dati da parte degli inserzionisti pubblicitari. Non siamo all’anonimato, ma almeno i dati saranno aggregati
Carina, idea decisamente carina. Anche se il rischio è che l’utente, sapendo di dover ricordare una password difficile da memorizzare, scelga di non utilizzare il servizio e inserire la solita 123456. Ma questa non è colpa di Cupertino.
Ancora, il sistema di segnalazione delle password riutilizzate. Si tratta di un meccanismo per cui nel momento in cui utilizziamo la stessa password su due servizi diversi, uno degli errori fondamentali nella sicurezza informatica e che puntualmente facciamo tutti, il dispositivo ci segnalerà con una bandierina la parola d’ordine ripetuta, con la speranza di farci sentire gravemente in colpa e portarci all’utilizzo di password uniche per ogni accesso.
Un occhio all’USB, Facetime… e un giudizio finale
Apple completa la sua gamma di miglioramenti della sicurezza pensando alla connessione USB. Il sistema si chiama USB Restricted Mode, e prevede in sostanza che l’utente, qualora avesse una connessione USB in corso, debba sbloccare il telefono almeno una volta ogni ora per mantenerla attiva. Nei pensieri degli esperti Apple questo servirebbe ad impedire attività di spionaggio da parte di hacker o delle forze dell’ordine.
L’altro lato della medaglia è la connessione che si interrompe all’improvviso perchè puntualmente ti dimentichi di risvegliare il dispositivo e le relative imprecazioni.
Ma Apple non odia la polizia, anzi. Una funzione dedicata trasmetterà automaticamente la nostra posizione geografica alle forze dell’ordine, qualora dovessimo eseguire una chiamata d’emergenza.
Infine, tra le pieghe della presentazione si scorge anche una funzionalità che consente di eseguire videochiamate di gruppo con Facetime in modalità criptata, laddove prima la cifratura avveniva solo end-to-end, cioè fra due soli terminali.
Non possiamo certo dire che la sicurezza sia stata il pensiero principale degli ingegneri della Mela, e infatti il più importante miglioramento in questo senso è piuttosto una conseguenza di una ottimizzazione delle performance, ma le idee sono valide e ci è piaciuto molto l’approccio di rendere “comoda” la sicurezza. Dal punto di vista della protezione non possiamo non consigliare l’aggiornamento.
Il popolo dei videogamer che aspetta l’uscita su Android di Fortnite, il celebre videogioco di sopravvivenza tanto bello da causare dipendenza, viene preso in giro alla grande da false versioni del gioco. E chi fa perdere tempo ai gamer, stressandoli, ci sta guadagnando tantissimo.
La Epic Games, produttrice del gioco Fortnite, rilascerà nel corso di questa estate la versione per Android e da mesi il mondo dei videogiochi non fa che parlarne. Primi test, trucchi per giocare meglio e previsioni sulle prossime release attirano milioni di appassionati in tutto il mondo.
Ma i ricercatori di Malwarebytessi sono accorti che oltre al download diretto che sarà disponibile sul sito del produttore e su Play Store, esistono migliaia di video di Youtube, che presentano novità sul gioco, mostrano degli annunci che invitano a scaricare il gioco in anteprima.
Cliccando sul link si scarica una applicazione con un logo altamente credibile di Fortnite, seguito dal marchio dell’azienda e dalla sigla ufficiale del videogame. Il problema è che ad un certo punto l’applicazione richiede di verificare che tu non sia un robot, in un inglese francamente stentato, e invita a provare che tu sia un umano eseguendo un’azione complessa. Nel caso specifico, si tratta di scaricare una seconda applicazione gratuita.
Per fortuna, l’utente viene redirezionato sullo store ufficiale Google Play e l’applicazione da scaricare è legittima, a volte addirittura riguarda la sicurezza dello smartphone. Il punto è che a prescindere da quante app si scarichino per dimostrare di essere “umani”, in realtà il gioco non viene mai sbloccato perchè fin dall’inizio è stata tutta una montatura.
In tutto questo, i videogamer si arrabbiano e perdono tempo, riempiendo i social di critiche e lamentele, o ancora chiedendo nei gruppi Facebook come sbloccare l’applicazione, mentre a guadagnarci sono gli inserzionisti che hanno messo l’annuncio sotto i video di YouTube da cui tutto parte. E loro si stanno facendo i milioni.
Purtroppo, secondo statistiche recenti, ad ogni uscita di un videogioco si scatenano meccanismi e scenari simili a questo, e per comprendere la gravità del fenomeno basti pensare che i procacciatori di giochi falsi o di versioni scaricabili “prima del lancio ufficiale” guadagnano quasi quanto i legittimi produttori dei videogiochi.
Quando si dice che la privacy non esiste più, è perfettamente vero. E quando si dice che la privacy è diventata un lusso, è anch’esso verissimo. Ed esistono persone in grado di spendere milioni di euro pur di vivere una vita in totale riservatezza.
Ormai dobbiamo arrenderci alla dura realtà: i consumatori della classe media e i più poveri in particolare hanno dovuto vendere il loro diritto alla privacy in cambio della connessione ad internet e all’utilizzo dei social network, perchè tutto ha il suo prezzo.
E le persone sono ben contente di fare questo scambio. Un sondaggio della Intel Security ha scoperto che il 77% delle persone sarebbe felice di vendere tutti i suoi dati personali in cambio di sconti per le ricariche telefoniche. Come risultato il tracciamento dei nostri dati è ormai continuo.
I produttori di veicoli installano dei sistemi per il tracciamento dei nostri percorsi, i dispositivi indossabili controllano la nostra attività fisica e i nostri parametri biologici collegandoli spesso alle nostre preferenze alimentari.
Ma esistono persone, ovviamente le più ricche, che sono in grado di spendere migliaia e anche in milioni di euro per il lusso di vivere nella più completa privacy.
Privacy in città. Anonimi per il catasto
Ad esempio, a Londra è possibile pagare il governo per non risultare nei registri. Nella capitale britannica un gruppo di poco più di 200 ricchi cittadini ha scelto di pagare una tassa annuale di 218.200 sterline in cambio dell’occultamento dei dati catastali delle loro mega ville presso gli uffici comunali. E sempre in Inghilterra il discorso si sta espandendo oltre i limiti del mercato immobiliare.
Grazie alle nuove legislazioni su internet gli inglesi stanno covando l’idea di far pagare delle tasse verso i provider e i fornitori di servizi internet per evitare che i dati degli utenti vangano venduti a terze persone.
Le case di specchi contro gli spioni
Se siete abbastanza ricchi potete rivolgervi a degli architetti per costruire delle case invisibili. JaK Studio, una azienda specializzata, è in grado di inventare dei metodi tecnici per creare delle porzioni di casa che possono apparire o sparire quando lo desideriamo.
Uno dei metodi utilizzati è quello di installare degli specchi personalizzati per riflettere le immagini della propria abitazione e alterarne la forma. Tutto questo per non far capire ai vicini l’esatta conformazione della propria dimora e per fuorviare le riprese fotografiche aeree.
Un’oasi nascosta a Google Maps
Se volete disfarvi una volta per tutte di Google Maps e delle fotografie alla vostra abitazione potete trasferirvi in una comunità nascosta. Ce n’è una a Los Angeles chiamata Hidden Hills, a cui hanno già aderito il cantante Justin Bieber e la showgirl Kim Kardashian oppure la Three Rivers Recreation Area nell’Oregon.
Si tratta di una delle poche zone della Terra dove vengono proibite le fotografie da parte della macchinina del Google Street View: niente immagini delle strade e nessun tipo di ripresa dall’alto. I prezzi di una proprietà in questi angoli invisibili a Google, partono dai 5 milioni di dollari.
Investigatori di privacy
Se qualcuno accede alle vostre informazioni personali o pubblica qualcosa di voi su internet, potete pagare anche una compagnia per individuare il criminale. Queste aziende promettono di controllare la vostra identità digitale eliminando qualsiasi tipo di pubblicità negativa e prevenendo ogni tipo di scandalo anche con metodi non proprio legali. Aspettatevi di pagare dai 50 ai 300 mila dollari per progetto, oltre ad un abbonamento mensile per il mantenimento del servizio.
I social network nascosti
Se Facebook, Tinder o Instagram sono troppo “pubblici” per voi, potete pagare per entrare in un social network privato, destinato agli ultraricchi. Per esempio, una versione alternativa di Instagram è “Rich kids“, che mette ogni tipo di foto o di selfie al sicuro, visibile solamente a dei contatti selezionati, per la modica cifra di 1000 dollari al mese.
La domanda è: quanto paghereste, se aveste i soldi, per proteggere la vostra privacy?
Google Chromecast, la popolare applicazione che permette di trasmettere in streaming i contenuti preferiti alla TV HD e l’assistente “intelligente” per la casa Google Home possono essere utilizzati dagli hacker per individuare la tua posizione, con la precisione di pochi metri.
La mercificazione dei dati personali ha dato la possibilità a chiunque abbia capacità sufficienti, di collezionare, catalogare e interpretare ogni aspetto delle nostre vite. Negli ultimi anni c’è stata una vera e propria guerra tra i produttori di browser e inserzionisti pubblicitari con pochi scrupoli nell’identificare gli utenti e tracciare i loro movimenti attraverso i siti web.
Il browser Mozilla, per esempio, ha sviluppato una lunga serie di protezioni contro il tracciamento, mentre il plugin EFF’s Privacy Badger è stato scaricato più di un milione di volte sui browser Firefox e Chrome per limitare lo spionaggio nei nostri confronti.
Nonostante tutti questi sforzi per limitare il tracciamento online, le nostre connessioni non solo ci permettono di essere identificati ma in alcuni casi possono rivelare anche la nostra precisa posizione geografica.
In prima fila, esposti a questo pericolo, Google Home e Google Chromecast. I problemi derivano sostanzialmente dal modo con cui questi due prodotti sono stati creati: innanzitutto i dispositivi raramente richiedono password e autenticazioni per scambiare i dati e in secondo luogo, viene utilizzato il protocollo HTTP, ormai altamente passibile di essere spiato.
Google Home e Chromecast. Così l’hacker ti trova in un minuto
All’atto pratico, Google Chromecast esegue la gran parte delle sue azioni collegandosi ai server di Google e molte funzioni vengono eseguite appoggiandosi al protocollo HTTP. Comandi come quello di impostare il nome del device e la connessione WiFi vengono inviati direttamente a Google senza nessun tipo di protezione.
Nonostante per utilizzare la funzionalità sia necessario essere loggati con il proprio account di Google e questo debba essere collegato al proprio dispositivo, non esiste nessun altro tipo di autenticazione sul protocollo utilizzato. E questo significa che anche uno studente medio di informatica, può intercettare il flusso di dati di Chromecast, visualizzare il nome dei dispositivi e determinare la loro posizione geografica con una precisione impressionante.
Quanto preciso? Se volete fare una prova in prima persona basta avviare il browser Chrome, aprire una scheda in modalità incognito e raggiungere Google Maps. Provate a cliccare sull’icona “La mia posizione” e attivate il tracking del luogo geografico qualora vi venga richiesto.
Nonostante Google stia utilizzando la modalità incognito che non si appoggia alla vostra cronologia di navigazione per stabilire la vostra posizione e anche se non avete utilizzato il GPS negli ultimi tempi, Maps è in grado di localizzarvi con una precisione di circa 10 metri. Questo trucco apparentemente magico è possibile analizzando la forza del segnale della vostra rete wi-fi e triangolando la vostra posizione attraverso altri router vicino a voi.
Nello studio condotto dalla Tripwire, i ricercatori sono stati in grado di creare un attacco valido per i sistemi Linux, Windows e Mac OS attraverso i browser Chrome o Firefox. La dinamica dell’attacco è piuttosto semplice.
Attraverso un falso messaggio della polizia o una mail che invita a proteggere delle proprie foto personali che sono pubblicate su internet, basta far visualizzare ad un utente un sito web per almeno un minuto e il gioco è fatto. Le estensioni del browser che abbiamo, collegate alle applicazioni mobili, sono sufficienti al pirata informatico per accedere direttamente alla posizione di chi sta visitando il sito senza troppa difficoltà.
Questi problemi non sono specifici dei dispositivi Google, ma si estendono in generale a tutti quei prodotti che utilizzano in combinazione la connessione WiFi con altri dettagli relativi al dispositivo come i numeri di serie.
Un altro esempio significativo sono le Smart TV, che molto spesso sono associate ad un numero ID unico e utilizzano il wireless per le loro funzioni.
Come proteggerti anche se non sei esperto
Una prima misura di sicurezza è quella di segmentare le proprie connessioni wifi. Ad esempio, una rete WiFi potrebbe essere utilizzata per il trasferimento dei documenti e in generale per la navigazione sul web, un’altra potrebbe essere usata per connettere i dispositivi di casa, come appunto Chromecast, e un’altra ancora potrebbe essere impiegata per il collegamento di dispositivi professionali o per gli ospiti. Questo complica di molto la vita a coloro che vogliono tracciarvi, perché per una sola posizione ottengono tante informazioni diverse che spesso sono contraddittorie fra di loro.
Un secondo metodo è quello di installare un router aggiuntivo a quello che avete già. In teoria bisognerebbe avere un firewall specifico per il proprio router e molti prodotti di fascia alta ne hanno uno preinstallato, ma di solito non sono facili da comprendere e gestire per l’utente. Una soluzione più facile, anche per chi ha poca dimestichezza, è quella di comprare un secondo router oltre a quello principale.
Connettendo la porta WAN del nuovo router alla porta LAN del router precedente complicheremo di molto la vita al pirata informatico. Questo non blocca qualsiasi tipo di attacco, tuttavia gli hacker meno preparati o che non hanno grandissima esperienza potrebbero non riuscire a rendersi conto che ci sono due router collegati e in assenza di dati potrebbero confondersi e abbandonare l’attacco.
Questo articolo mette in luce le principali ragioni per cui le webcam e telecamere IoT sono deboli dal punto di vista della sicurezza informatica e fornisce metodi per proteggere i sistemi di videosorveglianza.
Una volta che la webcam è connessa a Internet, ottiene immediatamente un indirizzo IP e può iniziare a inviare informazioni. Utilizzando questo indirizzo IP, qualsiasi dispositivo può essere ricercato e trovato con l’aiuto di un’applicazione “nativa” o, ad esempio, un motore di ricerca IoT come Shodan. Un modo così semplice di trovare videocamere collegate rende facile per i malintenzionati attaccare un sistema di videosorveglianza ogni volta che gli serve e avere maggiori informazioni riservate o modificare dati importanti.
Nascondere il produttore della webcam
Per evitare il facile rilevamento delle telecamere collegate dai motori di ricerca IoT, molti produttori consentono agli utenti di accedere all’interfaccia web della telecamera e di disattivare e/o nascondere i dati relativi al produttore. Dopodiché, sebbene il motore di ricerca possa ancora trovare la videocamera, la sua marca e il suo modello non saranno identificati, il che a sua volta renderà molto più difficile per i pirati informatici compromettere il dispositivo.
Anche se il motore di ricerca IoT può individuare una telecamera sulla rete, questo non significa che sia possibile attaccarla e comprometterla. Il motivo per cui la maggior parte delle fotocamere intelligenti sono vulnerabili è spesso nascosto nel fattore umano: un’eccessiva incuria degli utenti. Il fatto è che quando si imposta una telecamera, le persone spesso lasciano la possibilità di accedere utilizzando in qualsiasi momento il nome account e la password predefiniti, ad esempio: admin \ admin. Inoltre, poiché questi parametri sono gli stessi per migliaia e migliaia di telecamere e sono ben noti agli intrusi, l’hacking non è difficile. Ad esempio, per ottenere l’accesso completo al flusso video di una telecamera IP con le impostazioni predefinite, è sufficiente trovare questa videocamera con l’aiuto del motore di ricerca IoT, accedere al pannello di amministrazione tramite un browser Web e digitare l’accesso predefinito e password.
Cambiare la password predefinita
Assicurarsi di cambiare le password predefinite per proteggere le webcam. Non utilizzare mai password semplici come admin123, 1234567, ecc. Spesso, scoprirai che cambiare la password dell’utente è molto semplice. Importante: a differenza della password, il nome di accesso predefinito dell’amministratore non può essere modificato nella maggior parte dei casi. Se possibile, utilizzare l’autorizzazione ONVIF. E’ importante anche limitare la possibilità di accedere a telecamere intelligenti da altri indirizzi IP. Per fare ciò, usa il filtraggio degli indirizzi IP: crea elenchi IP in black list e\o white list.
Oltre all’indirizzo IP, i malintenzionati utilizzano porte di comunicazione aperte per attaccare le apparecchiature video. Esistono programmi software speciali per la scansione di porte aperte. Di norma, tutte le porte delle telecamere sono aperte di default! Uno dei modi in cui un utente malintenzionato può compromettere la telecamera è attraverso una porta aperta utilizzando uno speciale software per la violazione delle password che utilizza attacchi a forza bruta.
Cambiare le porte di comunicazione di default
Per migliorare la sicurezza informatica delle webcam, puoi cambiare le porte multimediali standard con quelle nuove oppure puoi chiudere completamente le porte inutilizzate.
Accade spesso che la vulnerabilità si trovi solo in alcune versioni del firmware o nel sistema operativo se presente. In tali casi gli utenti non possono fare nulla, indipendentemente dalla configurazione della sicurezza del dispositivo, una vulnerabilità critica apre la possibilità per un utente malintenzionato di accedere alla telecamera. Per eliminare tali problemi, i produttori rilasciano una nuova versione del firmware.
Non abilitare il protocollo Telnet per le telecamere IP
Un altro metodo ben noto di pirateria informatica utilizza il protocollo Telnet. Telnet non utilizza la crittografia. Si tratta di un protocollo di testo non protetto che consente l’accesso al software e al file system della videocamera. Questo protocollo è stato progettato per consentire al produttore e ai fornitori di servizi di accedere alla telecamera, ma in pratica nulla impedisce agli utenti malintenzionati di utilizzare Telnet. La vulnerabilità è talmente critica che, utilizzando Telnet, un utente malintenzionato può persino modificare il firmware della telecamera reindirizzando i flussi video o trasformandolo in uno “zombie” e utilizzarlo per attacchi mirati di rete su altri dispositivi. Inoltre, attraverso lo stesso “bug” è possibile accedere ad altri dispositivi nella rete locale: computer, router e cercare di hackerarli.
Utilizzare il protocollo HTTPS e il certificato SSL digitale
Il protocollo HTTP viene spesso utilizzato per accedere alla telecamera per impostazione predefinita, il che non aggiunge vantaggi dal punto di vista della sicurezza. Il fatto è che quando si utilizza HTTP, tutti i dati vengono trasmessi in una forma non protetta. Inoltre, è possibile che questi dati vengano intercettati in qualsiasi nodo intermedio tra il percorso di trasferimento delle informazioni. Il protocollo HTTPS viene in soccorso: fornisce uno scambio di dati sicuro e riservato tramite crittografia. Un ulteriore elemento di una connessione sicura basata sul protocollo HTTPS è un certificato digitale.
Proteggi il flusso video RTSP della videocamera
Se la telecamera trasmette un flusso video RTSP in modo non protetto, può essere intercettato e visualizzato anche con l’aiuto di un lettore multimediale normale. Per impedire agli estranei di guardare i video dalle telecamere, il flusso video RTSP deve essere protetto da accessi non autorizzati utilizzando un nome utente e una password.
Non utilizzare il protocollo ARP
Quando non ci sono esigenze particolari è meglio evitare di utilizzare questo tipo di protocollo per proteggere le webcam. È meglio disabilitarlo in quanto ciò non permetterò ad intrusi di identificare facilmente il vero indirizzo MAC dell’hardware. Il protocollo di rete ARP sembra innocuo: è stato progettato per identificare gli indirizzi del livello di collegamento dati (MAC) utilizzando indirizzi IP. Tuttavia, questo protocollo è vulnerabile a specifici attacchi: i criminali informatici possono sostituire l’indirizzo MAC della telecamera (o del computer) con un altro indirizzo MAC e quindi reindirizzare il traffico dalla telecamera.
Collegare le telecamere IP all’ISP e ad altre reti tramite i router
Questo metodo fornirà una protezione molto migliore delle apparecchiature video e impedirà di essere attaccate tramite la rete. In primo luogo, i router più moderni dispongono di impostazioni di sicurezza molto più avanzate rispetto alle telecamere IP. In secondo luogo, la telecamera sarà nascosta dietro NAT dall’accesso diretto dall’esterno della rete locale. Inoltre, se la rete aziendale utilizza lo standard di autenticazione IEEE 802.1x, questo può rappresentare un ulteriore livello di protezione poiché il rischio di accesso non autorizzato al dispositivo viene notevolmente ridotto.
Gli utenti spesso collegano le loro apparecchiature video alle reti globali (WAN, la rete dell’ISP) direttamente o tramite lo switch. Questa non è l’opzione migliore per quanto riguarda la sicurezza.
Il Senato della California ha votato ed approvato una proposta di legge che ripristinerebbe le norme sulla neutralità della rete abrogate dalla Commissione federale delle comunicazioni a dicembre scorso.
Il disegno di legge, SB 822, scritto dal senatore Scott Wiener, fu presentato a marzo ed è passato attraverso tre commissioni. Il disegno di legge è stato approvato a maggioranza e ora si dirigerà all’assemblea statale.
Wiener subito dopo i primi voti positivi in commissione un mese fa disse: “Sotto il presidente Obama, il nostro paese si stava muovendo nella giusta direzione per garantire un internet aperto, ma la FCC guidata da Trump ha tirato fuori il congilio dal cappello eliminando le protezioni della neutralità della rete“.
Dopo che la FCC si è mossa per eliminare le regole di neutralità della rete, gli Stati hanno iniziato a implementare delle proprie misure. A gennaio, oltre 20 avvocati hanno citato la commissione. Alcuni governatori hanno tentato di utilizzare gli ordini esecutivi , mentre altri hanno lavorato con i legislatori. Il disegno di legge della California è una delle risposte più complete e pesanti per la Fcc.
Il disegno di legge ripristinerebbe regole simili a quelle contenute nell’Open Internet Order 2015 della FCC. Impedisce agli ISP di limitare o bloccare i contenuti online e richiede loro di trattare allo stesso modo tutto il traffico internet.
Ma il disegno di legge contiene anche delle iniziative nuove, vietando in modo specifico ai fornitori di partecipare a certi tipi di programmi “zero-rating”, (come ad esempio guardare i video di Youtube) in cui determinati contenuti non contribuiscono al limite mensile dei dati.
La Electronic Frontier Foundation ha rilasciato una dichiarazione dove ha definito il disegno di legge “un punto importante per gli stati che cercano di proteggere la neutralità della rete”.
L’ex presidente della FCC Tom Wheeler, che ha gestito le normative dell’era Obama, sostiene il disegno di legge.
“Queste protezioni sono essenziali per la nostra economia e democrazia. La legge SB 822 interviene per proteggere i californiani e la loro economia attraverso il completo ripristino delle protezioni messe in atto nell’ordine di neutralità della rete 2015 “.
Se la legge continua nel suo percorso, i provider non saranno più in grado di ottenere contratti governativi nello stato della California senza rispettare i regolamenti.
“In California, possiamo guidare lo sforzo per ripulire questo caos e implementare protezioni Internet complete e approfondite che mettono gli utenti e i consumatori in primo piano” ha concluso Wiener.
Esistono aziende nel mondo che sono in grado di tracciare gli utenti attraverso il loro cellulare. E la geolocalizzazione non si limita alla città, e nemmeno alla zona, ma alla specifica via e numero civico in cui ci troviamo in quel momento. Quali sono queste aziende? che nomi hanno e come gestiscono i dati in loro possesso?
Ve lo diciamo subito: sono enormi, hanno tecnologie potenti ma quanto a segretezza dei dati sono scivolate clamorosamente più volte.
LocationSmart
La prima si chiama LocationSmart: ha sede negli Stati Uniti e lavora per provider di connettività americani come AT&T, Sprint, T-Mobile e Verizon. “Che ci importa, siamo in Italia!” direte voi. Peccato che l’azienda ha recentemente avuto il permesso di operare anche in Europa e in Italia, per cui la cosa dovrebbe comunque suscitare la vostra attenzione.
Questa azienda ha un tracciamento ultrapreciso sulla specifica posizione degli utenti, e permette di eseguire un controllo in tempo reale: basta raggiungere la pagina dedicata, inserire un nome e un cognome e un numero di telefono da tracciare. LocationSmart a questo punto invia un SMS di verifica al numero inserito chiedendo il permesso di tracciare il dispositivo appoggiandosi alla cella telefonica più vicina, e se ottiene un ok, visualizza in tempo reale la posizione e gli spostamenti.
Peccato che Robert Xiao, uno studente alla Human-Computer Interaction Institute, abbia scoperto un metodo piuttosto facile per riuscire a tracciare gli utenti in maniera anonima e senza passare per la verifica tramite SMS. “Mi sono imbattuto in questa vulnerabilità quasi per caso, e non era così difficile da fare”, ha detto Xiao. “Questa operazione è qualcosa che chiunque potrebbe scoprire con il minimo sforzo. E il succo è che posso rintracciare il cellulare della maggior parte delle persone senza il loro consenso. ”
Senza scendere in dettagli troppo tecnici, Xiao ha eseguito un controllo ripetuto su un numero di cellulare, e dopo pochi tentativi, anche senza sms, ha ottenuto delle coordinate di Google Maps, che gli hanno permesso di seguire silenziosamente la vittima.
Il CEO dell’azienda Mario Proietti, si è affrettato a spiegare: “Il nostro servizio è disponibile per scopi autorizzati. Si basa sull’uso legittimodei dati di localizzazione che avvengono solo sul consenso. Prendiamo sul serio la privacy e accerteremo tutti i fatti e li esamineremo “.
Securus
Nel frattempo, il secondo nome da tenere a mente è Securus Technologies: come ha rivelato il New York Times, l’azienda avrebbe venduto o passato non si sa bene a che titolo, la posizione di ignari utenti ad una stazione di polizia americana.
E fin qui ci starebbe anche, se non fosse che un hacker si sarebbe introdotto nei server di Securus rubando 2.800 nomi utente, indirizzi email, numeri di telefono e password degli utenti Securus. La maggior parte delle credenziali rubate apparteneva proprio alle forze dell’ordine che avevano richiesto i tracciamenti.
Insomma, un pasticcio di sicurezza che ha come vittime finali i nostri numeri di telefono e soprattutto i nostri spostamenti, e le nostre abitudini.
ComCast
Il terzo nome è ComCast: alla maggioranza di voi non dirà nulla, ma negli USA è il numero uno degli operatori via cavo e la sua storia potrebbe riguardare anche noi, visto che sviluppa delle nuove tecnologie pubblicitarie con Mediaset e che vorrebbe addirittura acquisire Sky, che in Italia ha quasi 5 milioni di abbonati.
Ebbene, la stessa Comcast ha rivelato di aver esposto informazioni sensibili sui clienti attraverso un componente vulnerabile del suo sito Web che permetteva di visualizzare addirittura l’indirizzo di casa in cui si trova il router wireless dell’azienda, nonché il nome e la password. Ovvero: qualsiasi hacker che ha ottenuto queste informazioni sa esattamente dove abitiamo.
Queste aziende si comportano male? No, secondo la legge assolutamente no, perchè usano dati attraverso il consenso dell’utente. I principali operatori wireless affermano spesso che non condividono i dati relativi alla posizione dei clienti senza il consenso del cliente o solamente in risposta a un ordine di un tribunale o ad un mandato di comparizione.
Ma basta leggere i regolamenti di queste aziende per accorgersi che semplicemente usando il loro dispositivo wireless i clienti accettano che i loro dati di localizzazione in tempo reale vengano venduti o dati a società terze.
In conclusione: la localizzazione geografica è molto più precisa di quanto non si pensi e le aziende, sempre più vicine anche al mercato italiano, hanno un livello di dettaglio e di controllo immenso.
"Utilizziamo i cookie per personalizzare contenuti ed annunci, per fornire funzionalità dei social media e per analizzare il nostro traffico. Condividiamo inoltre informazioni sul modo in cui utilizza il nostro sito con i nostri partner che si occupano di analisi dei dati web, pubblicità e social media, i quali potrebbero combinarle con altre informazioni che ha fornito loro o che hanno raccolto dal suo utilizzo dei loro servizi.
Cliccando su “Accetta tutti”, acconsenti all'uso di tutti i cookie. Cliccando su “Rifiuta”, continui la navigazione senza i cookie ad eccezione di quelli tecnici. Per maggiori informazioni o per personalizzare le tue preferenze, clicca su “Gestisci preferenze”."
Questo sito web utilizza i cookie.
I siti web utilizzano i cookie per migliorare le funzionalità e personalizzare la tua esperienza. Puoi gestire le tue preferenze, ma tieni presente che bloccare alcuni tipi di cookie potrebbe avere un impatto sulle prestazioni del sito e sui servizi offerti.
Essential cookies enable basic functions and are necessary for the proper function of the website.
Name
Description
Duration
Cookie Preferences
This cookie is used to store the user's cookie consent preferences.
30 days
These cookies are used for managing login functionality on this website.
Name
Description
Duration
wordpress_test_cookie
Used to determine if cookies are enabled.
Session
wordpress_sec
Used to track the user across multiple sessions.
15 days
wordpress_logged_in
Used to store logged-in users.
Persistent
Statistics cookies collect information anonymously. This information helps us understand how visitors use our website.
Google Analytics is a powerful tool that tracks and analyzes website traffic for informed marketing decisions.
Used to monitor number of Google Analytics server requests when using Google Tag Manager
1 minute
_ga_
ID used to identify users
2 years
_gid
ID used to identify users for 24 hours after last activity
24 hours
__utmx
Used to determine whether a user is included in an A / B or Multivariate test.
18 months
_ga
ID used to identify users
2 years
_gali
Used by Google Analytics to determine which links on a page are being clicked
30 seconds
__utmc
Used only with old Urchin versions of Google Analytics and not with GA.js. Was used to distinguish between new sessions and visits at the end of a session.
End of session (browser)
__utmz
Contains information about the traffic source or campaign that directed user to the website. The cookie is set when the GA.js javascript is loaded and updated when data is sent to the Google Anaytics server
6 months after last activity
__utmv
Contains custom information set by the web developer via the _setCustomVar method in Google Analytics. This cookie is updated every time new data is sent to the Google Analytics server.
2 years after last activity
__utma
ID used to identify users and sessions
2 years after last activity
__utmt
Used to monitor number of Google Analytics server requests
10 minutes
__utmb
Used to distinguish new sessions and visits. This cookie is set when the GA.js javascript library is loaded and there is no existing __utmb cookie. The cookie is updated every time data is sent to the Google Analytics server.
30 minutes after last activity
_gac_
Contains information related to marketing campaigns of the user. These are shared with Google AdWords / Google Ads when the Google Ads and Google Analytics accounts are linked together.
90 days
Marketing cookies are used to follow visitors to websites. The intention is to show ads that are relevant and engaging to the individual user.
X Pixel enables businesses to track user interactions and optimize ad performance on the X platform effectively.
Our Website uses X buttons to allow our visitors to follow our promotional X feeds, and sometimes embed feeds on our Website.
2 years
personalization_id
Unique value with which users can be identified by X. Collected information is used to be personalize X services, including X trends, stories, ads and suggestions.
2 years
guest_id
This cookie is set by X to identify and track the website visitor. Registers if a users is signed in the X platform and collects information about ad preferences.
2 years
Per maggiori informazioni, consulta la nostra https://www.alground.com/origin/privacy-e-cookie/
