Tag: hacker

  • La VPN serve davvero?

    La VPN serve davvero?

    Spesso su internet si sentono spesso pubblicizzare servizi di VPN che promettono sicurezza e protezione, ma sono davvero utili e mantengono le promesse?

    Ovviamente l’utilitá dipende da quello che vogliamo farci, oltre dalle funzionalitá offerte del servizio, ma va considerato che per un utente comune potrebbero essere superflue.

    Il suo ruolo é di creare un tunnel virtuale tra il nostro dispositivo e il server vpn nel quale fare passare i dati della nostra navigazione, che verranno crittografati così da non essere intercettabili né da un hacker né dal nostro provider internet.

    Questo procedimento ci da alcuni vantaggi, in primis il fatto che la nostra navigazione risulterá uscire dall’IP del nostro server VPN consentendo di farci localizzare in una localitá differente da quella dove ci troviamo, qualora il server al quale ci colleghiamo fosse ad esempio in un’altra nazione, così come mascherando l’IP si impedisce il tracciamento delle attivitá online del nostro IP originale tutelando la nostra privacy.

    VPN can protect your device

    Inoltre la crittografia dei pacchetti fa in modo che si crei una protezione che impedisca di vedere il nostro traffico e quindi permettere a qualcuno che non sia il nostro server VPN di leggere i nostri dati, che potrebbero altrimenti essere utilizzati da un malintenzionato o dal nostro provider per limitare o bloccare l’accesso a determinati siti.

    E la cosa diventa importante quando si naviga su reti pubbliche, su wifi gratuiti dove un malintenzionato può facilmente carpire i dati della nostra navigazione e magari utilizzarli per rubare dati , password o conversazioni private.

    Lo svantaggio puó essere in alcuni casi una minore velocitá, il dovere installare e ricordarsi di utilizzare un software in tutti i nostri dispositivi che puó essere complicato, ma soprattutto dato che ci si deve fidare del server VPN al quale ci si collega, quindi si è praticamente costretti ad utilizzare un servizio a pagamento che ci garantisca affidabilitá.

    Programmer writing code laptop, location

    Teoricamente esistono anche servizi gratuiti, ma a meno di utilizzi sporadici, ha poco senso di utilizzarli perché possono essere molto meno efficienti non disponendo delle risorse di un servizio a pagamento ma soprattutto per remunerare le spese necessarie al funzionamento potrebbero vendere i nostri dati, rendendo inutile se non dannoso l’utilizzo, soprattutto se abbiamo esigenze di privacy.

    Ma quali sono le applicazioni pratiche per cui potremmo avere bisogno di acquistarne una VPN? Sicuramente la possibilità di localizzarsi in un’altro paese ci apre le porte a contenuti con dei blocchi geografici, ad esempio poter vedere dall’Italia uno streaming disponibile solo per gli Stati Uniti, o vedere un programma della TV italiana quando siamo all’estero.

    Organizzandosi con cura si riesce pure a comprare prodotti e servizi destinati ad un paese estero, che possono avere funzionalitá e prezzi differenti: dal biglietto aereo venduto a un prezzo piú basso in un paese piú povero o dove c’é piú concorrenza, al servizio di streaming sportivo con le partite del nostro campionato venduto a cifre molto più abbordabili rispetto ai servizi nostrani.

    NASA Visualization Explorer Now Available For All iOS Devices

    Altro vantaggio é la possibilitá di aggirare blocchi e censure: spesso gli stati bloccano alcuni siti nel loro paese, ma localizzandosi in un paese dove il blocco non è presente si aggira il problema, e la cosa diventa importante in paesi come la Cina dove il blocco riguarda la maggior parte dei servizi internet occidentali, ma che abbiamo anche da noi quando tentiamo di accedere ad esempio , ad un sito di informazione russo. 

    In questi casi l’accortezza é ,quando si viaggia in paesi che hanno di queste limitazioni,  di attivare la VPN prima di partire perché l’accesso per abbonarsi  ai servizi di VPN potrebbe essere bloccato nel paese di destinazione.

    person using laptop computer during daytime

    A volte il blocco esiste per impedire l’accesso a siti illegali e bypassare questo blocco, a secondo delle leggi potrebbe costituire un reato, e se è pur vero che usando la VPN si riescono a nascondere le proprie tracce online un eventuale reato rimane comunque punibile.

    Sicuramente sará piú difficile farsi beccare in attivitá quanto meno borderline, come la fruizione di contenuti illegali o pirateria, ma anche accesso a materiale discutibile (ad esempio pornografico o  estremista) seppur non illegale, ma c’è da ricordare che se si commette un reato probabilmente si verrá puniti comunque anche se non in flagranza di reato.

    close up photo of guy fawkes mask

    Altra opportunitá delle VPN l’abbiamo quando i provider internet limitano il traffico dati mobile al raggiungimento di certe soglie di traffico, rallentando i fruitori dei siti che consumano piú banda : non potendo il provider sapere dove navighiamo, dato che vedrá il traffico esclusivamente in direzione della nostra VPN potremmo, a seconda dei casi bypassare queste limitazioni.

    Poi come detto ci viene in aiuto per la privacy, anche se la protezione non è completa al 100%, sicuramente complica il lavoro di chi ha intenzione di tracciare la nostra navigazione, sia a scopi pubblicitari che illegali, cosi come consente di arginare alcuni tipi di attacchi informatici specie quando sono coinvolte reti wifi pubbliche e dispositivi mobile come smartphone e tablet.

    close up photo of mining rig

    Voi conoscevate le VPN? Le utilizzate regolarmente?

  • Difendersi dallo sim swap porterá scocciature

    Difendersi dallo sim swap porterá scocciature

    Chi di voi ha l’esigenza di cambiare operatore telefonico per il cellulare o anche solo di cambiare la sim perche l’ha perduta o ha smesso di funzionare ha da qualche giorno qualche complicazione in piú: infatti le procedure per il cambio di sim sono diventate molto piú stringenti per evitare il fenomeno dello sim swap.

    Ma cosa si intende per sim swap? E’ la pratica messa in atto da alcuni hacker che riescono in maniera fraudolenta ad impossessarsi del nostro numero di cellulare intestandosi la nostra sim per poter ricevere gli sms necessari ad accedere a conti bancari e dati riservati protetti da autenticazione a due fattori, che richiedono appunto un codice da ricevere sul nostro cellulare.

    Sul piano pratico , per evitare questo fenomeno, servirá che a fare il cambio sia soltanto il titolare della sim e non sono previste deleghe, cosa che potrebbe rivelarsi una rogna se magari la sim era stata intestata al genitore quando eravamo ancora minorenni, al proprio partner o peggio ad un ex o anche ad un familiare: ad esempio la nonna che usa una sim intestata al nipote che l’aveva fisicamente acquistata a suo tempo.

    Qualche operatore ha pure approfittato della situazione per mettere a pagamento il cambio di intestatario o il subentro che in precedenza erano gratuiti.

    E non basta questo perché servirá che l’operatore mandi un sms di conferma alla sim oggetto del cambiamento per accertarsi che chi usa la sim si possa accorgere del cambio qualora stia avvenendo a sua insaputa, ricevendo un codice di conferma del cambio da comunicare nella procedura.

    Questo significa che all’atto del cambio servirá la presenza fisica della sim da sostituire, cosa che complica le cose in caso di furto o smarrimento della sim da sostituire: in tal caso si dovrá consegnare denuncia e attendere del tempo aggiuntivo dopo l’invio dell’sms alla sim oggetto di cambiamento non potendo recuperare immediatamente il codice di verifica inviato sulla vecchia sim.

    E purtoppo é qui che si nasconde una vulnerabilitá, perché l’operazione, nonostante il vero titolare riceva la notifica dell’operazione e quindi é in grado di bloccarla qualora non fosse lui ad averla richiesta, va comunque avanti, seppure con qualche giorno di ritardo.

    Ma tutto ció viene fatto per la nostra sicurezza, infatti ormai tutte le autenticazioni a due fattori, come quelle che facciamo per siti e piattaforme che contengono nostri dati sensibili, dalla mail al conto in banca hanno bisogno di un codice ricevuto sul telefonino per accedere o per effettuare delle modifiche o delle operazioni dispositive, come ad esempio inviare un bonifico o cambiare le impostazioni del conto.

    Questo perché se un malintenzionato volesse accedervi dopo magari avervi rubato la password , senza il codice ricevuto sul telefonino, potrebbe al massimo entrare sulla piattaforma ma non arrecarvi danni come ad esempio svuotare il conto corrento facendosi un bonifico o dirottare l’accredito dello stipendio o della pensione su un suo conto corrente.

    Pertanto per riuscire a carpire questo codice il malintenzionato o riesce a rubarvi il telefono o comunque ad accedervi fisicamente bypassando anche le protezioni, come l’impronta digitale o il riconoscimento del viso che possono essere impostate sul telefono oppure puó cercare di prendere possesso della vostra sim effettuando un cambio, simulando un guasto o cambiando operatore, magari sfruttando la disattenzione o peggio la complicitá di qualche negozio di telefonia che non richiede tutte la documentazione necessaria per il cambio.

    Quando l’operatore telefonico gli consegna la nuova sim ottenuta all’insaputa del regolare proprietario la inserirá in un suo telefonino e potrá ricevere il codice per sms necessario per procedere con le operazioni malevole, partendo dal cambio della password della mail per nascondere la conferma delle malefatte ed allargandosi a tutti i servizi a cui possiamo essere associati a quella mail e numero di telefono, soprattutto quelli bancari.

    Ora grazie a queste normative piú stringenti, questa procedura del cambio di sim diventerá molto piú difficile da attuare: dobbiamo peró fare attenzione qualora ricevessimo un sms con il codice di controllo del cambio sim e non avessimo richiesto noi l’operazione: in quel caso dobbiamo contattare immediatamente il nostro operatore per bloccare il cambio, altrimenti l’hacker riuscirebbe , seppur con qualche giorno di attesa, nella sua impresa di impossessarvi del vostro numero di telefono.

    Puó peró capitare, perché magari non facciamo caso all’sms o se si tratta di una sim secondaria che non consultiamo regolarmente , o se l’hacker riesce ad accedere ai sistemi di un’operatore telefonico che l’operazione di cambio vada avanti e quindi l’hacker possa riuscire ad effettuare l’operazione malevola, ma c’é da considerare che perché perda tutto questo tempo aggiuntivo deve valerne la pena di attaccarvi, cosa che potrebbe darci un pó di speranza di evitare l’attacco.

    Voi conoscevate questa pratica? Tenete al sicuro le vostre credenziali e il vostro telefono? Avete qualche dritta da suggerire, qualche domanda, qualcosa da segnalare? Scrivetelo nei commenti!

  • Come funziona la app Immuni per il tracciamento del coronavirus: pericolo o flop?

    Avrete sicuramente sentito parlare della app “Immuni” nata per tracciare gli spostamenti delle persone per arginare la diffusione del coronavirus, vediamo di capire di cosa si tratta, di come funziona, perché usarla, se usarla e perché no.

    Il tema è controverso perché a seconda di come verrà realizzata rischia di avere grossi problemi di privacy, di averne di etici o di essere poco più che inutile.

    Un grande scoglio è capire se effettivamente il programma sarà open source, quindi a “codice aperto” o meno, e attenzione non facciamoci ingannare dal fatto che open source sia comunemente considerato quasi un sinonimo di gratis, se sembra che a quanto pare lo sviluppatore realizzerà la app senza costi per lo stato non è detto che rilasci pubblicamente il codice sorgente e questo significa che non potremmo controllare cosa effettivamente faccia l’applicazione e che uso faccia dei nostri dati, e visto che lo sviluppatore non si è fatto pagare coi soldi potrebbe essere remunerato coi nostri preziosi dati .

    E se questo normalmente è un problema relativo per un’azienda privata che nella peggiore delle ipotesi userà i nostri dati per profilarci e quindi mandarci della pubblicità personalizzata in base ai nostri gusti, spostamenti, etc. come i fanno social network, i motori di ricerca o le applicazioni più o meno stupide che installiamo nei nostri smartphone, il problema si fa importante quando i nostri dati riservati vanno in mano ad un governo, con risvolti etici preoccupanti.

    Infatti una app che traccia gli spostamenti o comunque la compresenza di due persone, qualora si volesse farne un’uso malizioso potrebbe servire a rintracciare una persona da controllare, attraverso i collegamenti che ha avuto con le persone che ha incontrato che magari potrebbero venire minacciate per arrivare al target oppure esaminando le interazioni tra il soggetto target e le persone che incontra si potrebbero  scovare gli appartenenti ad una certa organizzazione, magari antagonista politica del governo.

    Fantascientifico? No, tecnicamente è fattibile, ed è sicuramente un qualcosa che farebbe molto comodo ad un regime dittatoriale, che magari sfruttando l’emergenza del virus potrebbe teoricamente instaurarsi . Ragioniamo per assurdo: le privazioni della libertà dei cittadini dovute al lock-down , il fatto di avere un presidente del consiglio solo al comando che bypassa il governo con i suoi decreti, silenzia o attacca le opposizioni ed ha i controllo dei media potrebbe essere il prologo di un regime di dittatura: quindi il rischio dell’uso scorretto dei nostri dati esiste ed è bene evitare che ci possano essere gli strumenti per mettere in pratica certe idee poco liberali. So bene che è un’esagerazione, ma non possiamo sapere cosa ci riserva il futuro.

    Ma come funzionerà questa applicazione? Tramite il bluetooth del telefono l’applicazione annuncerà ai telefoni nelle vicinanze che avranno installato anche loro la app un proprio identificativo, di modo che se un domani quell’utente scopre di essere infetto, tutte le persone che sono venute a contatto con lui possano essere avvisate del pericolo e possano farsi controllare. Il grande problema però è come avvisare l’utente che è venuto a contatto con l’infetto.

    Infatti se esiste un server centrale col quale tutti i telefoni comunicano e che si occuperà di notificare l’avviso  ai potenziali infettati , dobbiamo fidarci ciecamente di chi gestisce questo server sia esso una società privata o peggio lo stato, e visti i precedenti come i recenti problemi di sicurezza del server dell’INPS o dell’analoga applicazione COVID olandese immediatamente bucata dagli hacker, non si può stare tranquilli, specie se c’è di mezzo lo stato.

    In realtà la soluzione esiste ed è fare in modo tramite la crittografia che anche se il server centrale fosse attaccato i dati siano inservibili, questo prevede però l’utilizzo di un protocollo ben preciso creato in funzione della nostra privacy, la domanda che dobbiamo farci quindi è se la app rispetta o no un tale tipo di protocollo. Ed è qui che torniamo al discorso open source, se il codice è libero qualcuno che ne ha le capacità può prendersi la briga di controllare il codice della app e verificarlo, se il codice non è libero l’unica cosa che possiamo fare è fidarci.

    Ma ammettiamo anche che si usino tutti i protocolli necessari, la app ha senso di esistere solo se la maggioranza dei cittadini, ipotizziamo il 70% , ha installato la app nel proprio cellulare, ma tanta gente non ha uno smartphone : attualmente in Italia ne possiede uno solo il 66% della popolazione, ma di queste persone tante non hanno la capacità di installarsi la app in autonomia, pensiamo agli anziani ma anche a chi è poco avvezzo alla tecnologia, o hanno un telefono vecchio, non compatibile, senza più memoria libera che quindi non può o che non vuole installarla , perché ha dubbi sulla privacy, perché è un complottista, perché usa un telefono aziendale e non è autorizzato, perchè non è interessato, non è informato o per chissà quali motivi: quindi è verosimile pensare che questa app si riveli poco utile perché installata da poca gente, cosa prevedibile se guardiamo fuori dai nostri confini : ad esempio ad Hong Kong dove un sistema simile è in funzione da tempo le stime dicono  che la app è installata solo dal 12% della popolazione.

    Un altro dubbio è su come si viene dichiarati infetti per la app: saranno i medici a cambiare il nostro status? Ma se si questo presuppone che si debbano fare campioni a tappeto altrimenti tutti gli utenti saranno considerati sani per la app. Sarà l’utente a dovere cambiare il proprio status quando riscontra in autonomia i sintomi auto-diagnosticandosi la malattia? Se si potremmo trovare il “buontempone”, per non usare altri termini, che si dichiara infetto per creare falsi allarmi a tutte le persone con cui è venuto in contatto oppure quello che invece si è ammalato ma non lo dichiara per il rischio di dover rimanere a casa e non poter magari andare a lavoro.

    Insomma alla fine della fiera il rischio è che l’applicazione potrebbe essere pericolosa o nel migliore dei casi inutile, e conoscendo come vanno le cose in Italia non è che si possa dormire sogni tanto tranquilli. Dall’altra parte della bilancia un’uso massiccio della applicazione ha il vantaggio di informare chi è stato a contatto con un infetto e di potersi mettere in condizione di non infettare altre persone e quindi far diminuire la diffusione del virus.

    Fortunatamente qualcuna di queste critiche è arrivata alle orecchie di chi ha commissionato l’applicazione e dalle prime indiscrezioni pare che a differenza di quello che si sapeva in un primo momento la situazione si stia evolvendo giorno per giorno e pare si stia andando sulla direzione giusta, utilizzando il protocollo apposito sviluppato congiuntamente da Apple e Google secondo i principi del privacy by design, che dovrebbe limitare di molto i rischi per la sicurezza e sopratutto la privacy dei nostri dati, al costo di una maggiore complessità e di qualche funzionalità in meno rispetto all’idea iniziale, ma permettendoci di stare più tranquilli.

    Voi cosa ne pensate? Installerete la app Immuni o ne farete a meno fin quando sarà possibile? Fatecelo sapere nei commenti.

Social