Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Di Martin Pfaffenzeller
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
ILLUSTRAZIONE: MOTHERBOARD | LAURA HAUSMANN
Molti di noi hanno paura dei Big Data: su Facebook c'è chi usa nomi nti per
cercare di fregare Zuckerberg, cancelliamo i cookies e cerchiamo in tutti i
modi di mandare solo email crittografate. Eppure, della navigazione
anonima sappiamo poco niente.
Matthias Marx fa parte del popolo dei paranoici. Quando era al liceo ha
hackerato l'account da amministratore dei computer della sua scuola.
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
Dopodiché, si è messo alla ricerca di vulnerabilità in diverse Hacking
Challenge e ha vinto una borsa di studio per un progetto di ricerca a
Wolfsburg.
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
MATTHIAS MARX È UN HACKER DAI TEMPI DELLE SUPERIORI. HA REALIZZATO UN SOFTWARE PER NAVIGARE IN ANONIMO |
IMMAGINE: MATTHIAS MARX
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
Quali dati forniamo quando navighiamo senza tutelarci?
Quando visitiamo dei siti, li contattiamo in maniera diretta. Loro vengono a
conoscenza del nostro indirizzo IP e capiscono più o meno dove ci troviamo.
Riescono anche a capire che browser usiamo, quanto è grande il nostro
schermo, che tipo di font usiamo, e molto altro.
Sembra noioso, ma con questi dati possiamo essere identi cati, insieme ai
nostri computer. Poiché siamo spesso su determinati siti, di noi si crea un
vero e proprio pro lo: dove lavoriamo, dove abitiamo, dove andiamo in
palestra, dove andiamo a bere il venerdì sera. Molti siti utilizzano dei servizi
di tracking e hanno dei plug-in di Facebook o di altri social network, e
questo rende ancora più facile collegare i nostri movimenti con la nostra
identità.
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
IMMAGINE: MOTHERBOARD
I dati che vengono raccolti su di noi potrebbero nire nelle mani sbagliate:
potrebbero emergere le nostre malattie, le nostre preferenze sessuali o i
nostri irt. Io sono convinto che in una democrazia sia importante poter
esprimere il proprio parere anonimamente, senza rischiare rappresaglie.
Ora ci sono molti servizi che offrono l'anonimato online. Per esempio
Ghostery, un add-on che blocca i tracker, è piuttosto popolare come mini-
programma per il browser. Mozilla offre un browser speciale, Firefox
Quantum, che fa qualcosa di simile. Con programmi del genere si può
navigare senza lasciare tracce?
Questi add-on o plug-in bloccano i cookies, i nostri marchi di
riconoscimento in rete, e i servizi di tracking. Quindi il browser non
memorizza la cronologia. Questo ha senso, è una protezione super ciale
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
perché l'IP non viene nascosto. Questo signi ca che il luogo in cui ci
troviamo e i dati del browser vengono trasmessi.
Un po' più complessi sono i servizi VPN. A volte costano un paio di euro al
mese, ma almeno promettono di proteggere la localizzazione. Questo ci
rende anonimi?
Quando usiamo un servizio Virtual-Private-Network c'è un computer tra me
e il sito che viene spento. Quindi posso usare i siti di streaming, che in
alcuni paesi sono vietati. Con un VPN potremmo farci un abbonamento a
HBO e guardare Game of Thrones, oppure la Champions League nei canali in
chiaro che hanno i diritti, tipo la ORF-Mediathek austriaca. Per questo
piattaforme come Net ix cercano di bloccare i VPN più conosciuti.
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
Come si evitano questi rischi?
Io attivo molti computer allo stesso tempo e fornisco a ognuno di loro una
parte delle mie richieste. Per trarre delle conclusioni sulla mia identità
bisognerebbe unire tutti i computer coinvolti.
Tor utilizza questo principio e offre una buona protezione per l'identità, a
meno che non ci si imbatta nell'NSA. Inoltre, crittografa i dati e cambia ogni
tre minuti i tre computer intermedi. Per navigare in modo anonimo è la
scelta migliore.
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
L'UTILIZZO DI TOR NEL MONDO | GRAFICA: UNIVERSITÀ DI OXFORD
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
direttamente al computer, per esempio cliccando sull'allegato di un'email.
Oppure arriva da una falla nel sistema. Anche in questo caso, Tor non può
fare niente.
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
I ricercatori dell'università di Dresda al Chaos Communication Congress
parlano del loro software:
Non dovremmo nemmeno visitare dei siti privi del protocollo "https",
altrimenti l'ultima connessione del computer del network di Tor può leggere
i miei dati. Dovremmo agire così anche quando non navighiamo con Tor. In
questo caso ci sono le estensioni del browser.
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
Se vogliamo davvero restare anonimi, non dovremmo nemmeno aprire né
scaricare pfd, word e altri tipi di documenti. Il download va spesso al di fuori
del browser. Per esempio Word o Acrobat accedono al documento e
forniscono il nostro indirizzo IP.
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
Per questo quando guardiamo dei video in HD dobbiamo aspettare un po'
prima che si carichino, e può essere irritante. Per la navigazione normale,
però, è abbastanza veloce. Unica cosa: ci sono dei siti che bloccano gli
accessi dal network di Tor. Per esempio, Wikipedia non permette di editare.
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
TAGGED: TECH, MOTHERBOARD, HACKER, HACKING, TOR, NSA, VPN, ANONIMATO
Guarda anche
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
Una hacker ci ha spiegato
come navigare con il Wi-Fi
pubblico senza farci
fregare
Perché fare acquisti utilizzando reti non protette e ritrovarsi la carta
svuotata il giorno dopo non è il massimo.
Di Anna Biselli
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
IMMAGINE: IMAGO | WESTEND61
Controllare l'email in metro, caricare una foto con il wi- di un bar, cercare
un ristorante dalla rete dell'albergo quando si è in vacanza: ci sono molti
buoni motivi per utilizzare gli hotspot, e per questo molti tengono la
funzione wi- dei loro smartphone sempre attiva. Ma chi gestisce queste
reti potrebbe intercettare il traf co dati, a volte i malintenzionati che
rubano password o infettano con dei malware.
C'è di buono che con un paio di trucchi gratuiti ci si può facilmente tutelare.
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
Come si fa, ce lo ha spiegato Elektra Wagenrad, attiva da anni nella comunità
Freifunk, che costruisce reti indipendenti. In un colloquio con Motherboard
ci ha spiegato come ci si tutela al meglio usando il wi- non protetto e
perché anche uno smartphone non connesso è sottoposto a rischi.
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
IN VACANZA, PER ESEMPIO, L'OPEN WI-FI È MOLTO UTILE | IMMAGINE: UNSPLASH.COM | BERNARD HERMANT
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
è così facile. Ma l'amministratore può comunque vedere il traf co dati non
protetto da HTTPS.
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
UN VPN PUÒ ESSERE MODIFICATO IN POCHE MOSSE, QUI SIAMO SU ANDROID | IMMAGINE: SCREENSHOT
Quando hai il tuo VPN hai la sicurezza che gli altri non possono vedere nulla.
Ci sono anche fornitori di cui puoi usare l'infrastruttura, ma devi avere
ducia nel fatto che non utilizzino i tuoi dati. In questo può aiutare leggere a
fondo le policy o delle utili guide.
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
Non è suf ciente usare il browser Tor per restare anonimi anche nelle reti
pubbliche?
Tor funziona in modo che il traf co dati è crittato attraverso i diversi nodi
della rete. In questo modo puoi rendere anonima la tua navigazione, e non
hai bisogno di darti di nessuno. Ma per farlo devi usare il browser Tor
appunto, disponibile anche per smartphone. In parte, però, è complicato. Ad
esempio le app di messaggistica non passano attraverso Tor.
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
ELEKTRA WAGENRAD È ATTIVISTA DA ANNI NEL CAMPO DELLA LIBERTÀ DELLA RETE | IMMAGINE: ARCHIVIO PRIVATO
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
Come si riconosce un tentativo di phishing?
Come me ne accorgo?
Una forma di tutela è il protocollo HTTPS. Quando un sito a cui accedi —
non importa se con una rete crittata o no — cambia protocollo
all'improvviso e il tuo browser mostra un avviso, dovresti prenderlo sul
serio.
Ho sentito che con le reti non protette è possibile anche installare dei
malware, funziona con queste stesse meccaniche?
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
Sì può succedere, se aggiorni un software o ne installi uno nuovo. Ma
normalmente programmi e aggiornamenti hanno dei certi cati dif cili da
falsi care. Inoltre, il tuo device dovrebbe mostrarti degli avvisi di sicurezza.
Se non conosci ancora il certi cato, però, qualcuno può af bbiartene uno
falso. Se vuoi essere davvero sicuro, dovresti installare programmi soltanto
sulle reti di cui ti di davvero.
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
SU WIGLE.NET SI PUOSSONO VEDERE DOVE SI TROVANO LE SSID | IMMAGINE: SCREENSHOT | WIGLE.NET
Come capisco se mi posso dare di una rete? Per esempio, come faccio a
sapere se Starbucks mi vuole far installare un malware...
Non è possibile. La spiegazione è molto semplice: immagina una grossa rete
di wi- , come per esempio quella della conferenza re:publica. Ti connetti
una sola volta con un preciso nome del network. Dietro questo nome si
nascondono molti punti d'accesso diversi, perché un solo punto d'accesso
non potrebbe far connettere così tante persone.
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
Quando sei in giro, il tuo device si connette automaticamente, ora a un
punto d'accesso ora all'altro. L'obiettivo è avere sempre una connessione
ottimale. Una volta autenticato al network "re:publica", il device si
connetterà in automatico, se è impostato così.
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
Tu le usi le reti aperte?
Sì, con qualche precauzione uso solo reti aperte. Ovviamente non clicco su
siti per i quali ricevo degli avvisi. Poi ho un sistema che impedisce ai miei
dipositivi di connettersi alle reti non sicure.
TAGGED: TECH, MOTHERBOARD, PHISHING, VPN, SICUREZZA, IT-SICHERHEIT, SICUREZZA ONLINE
Guarda anche
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
Il creatore di 'Call of Salveenee'
FROM VICE MEETS - ITALIA
Un hacker ci ha spiegato
l'unico modo sicuro per
usare l'online banking
Se usi app per l'online banking spesso, forse è meglio tenersi in
guardia.
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
Di Martin Pfaffenzeller
IMMAGINE: SHUTTERSTOCK
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
(ovvero un codice che si utilizza una sola volta per transazione e che viene
fornito sotto forma di liste di codici dall'istituto bancario) nella app della
banca e in ne la app annuncia che l’operazione è stata eseguita con
successo.
Ma quando poi Haupert esamina il saldo del suo conto, vede che l’app gli ha
addebitato circa 100 volte in più di quello che aveva indicato. Per l’esattezza
13 euro e 37 centesimi, e per di più il destinatario era un altro. C’è solo una
spiegazione: qualcuno ha hackerato lo smartphone e manipolato il
trasferimento.
Quello che sembra l’incubo peggiore per chiunque abbia un conto online è,
invece, parte di un esperimento. Haupert, infatti, studia da anni presso
l’università di Erlangen-Norimberga i punti deboli delle app bancarie.
L’hacker che è riuscito a manipolare l'operazione è lui stesso.
Dopo aver reso pubblico il suo esperimento nell’autunno del 2015, Haupert
ha avuto diversi scontri con gli sviluppatori di Sparkasse. In seguito, la banca
ha aggiornato l’app in modo che l'hack di Haupert non funzionasse più, e ha
inviato diversi comunicati di stampa vantandosi dell'ef cienza dei suoi
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
tecnici. Haupert, a sua volta, ha di
nuovo studiato l’app e ha trovato Un hacker ci ha spiegato
un'altra breccia. O almeno, questo è come navigare senza
lasciare tracce
ciò che ha affermato al Chaos
MARTIN PFAFFENZELLER
Communication Congress 2015.
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
maniera piuttosto solida. È il sistema operativo dello smartphone ad essere
il problema. Se, infatti, è infetto da un malware, qualsiasi app può incrinarsi.
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
QR e fotoTAN
Quanto sono sicuri i nuovi metodi come il QRcode o fotoTAN, in cui il TAN
è generato da un codice matrix a schermo?
Se veramente sono coinvolti due dispositivi, è sicuro. Anche se, se si esegue
la scansione dello schermo del computer con uno smartphone, in teoria,
rimane la possibilità che un utente malintenzionato abbia infettato entrambi
i dispositivi con software dannosi, ma è piuttosto improbabile.
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
Una nuova normativa europea renderà la vita più semplice agli hacker
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
token via SMS. La commissione europea ha pubblicato la direttiva nella
Gazzetta Uf ciale a marzo, e entrerà in vigore 18 mesi dopo, il 14 settembre
2019. A quel punto le banche dovranno modi care le procedure TAN e
rischiano di nire solo con processi basati sulle app. E questo è un vantaggio
per gli hacker.
Lascia stare il cash, passa alle criptovalute. Così le emozioni forti le vivi per
le oscillazioni e non per i tentativi di hacking.
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
Perché i telefoni Apple sono più sicuri
C’è una differenza se uso uno smartphone con iOS o con Android?
Il problema generale è che le banche si rivolgono a molti dispositivi con
sistemi operativi diversi tra di loro. Per Android esistono diverse versioni
perché i produttori come Samsung o Huawei adattano il sistema operativo ai
propri dispositivi. I produttori dovrebbero pertanto aggiornare la sicurezza
dell’app regolarmente. Ma questo succede spesso troppo tardi.
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
Quindi è meglio usare un iPhone per pratiche del genere?
iOS è un po’ meglio. Non perché sia più sicuro o meno vulnerabile ma
perché Apple può chiudere le lacune in maniera più veloce. E questo perché
la società offre solo pochi dispositivi diversi e fornisce sempre lo stesso
software.
Con la maggior parte delle banche che impone una password di 5-6 cifre,
un’altra vulnerabilità dell’online banking è il login. Quanto è insicuro?
Chiunque acceda al mio conto bancario può facilmente scoprire quanto
guadagno, dove vivo, dove faccio acquisti, cosa e dove ordino su internet.
Tutto questo può facilmente creare un pro lo completo di me. Tuttavia, la
maggior parte dei conti bancari è ben protetta in questo senso: dopo che
sbagli PIN un po’ di volte, l’accesso viene negato e devi sbloccarlo con un
TAN.
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
Come potrebbero migliorare i login le banche?
Un’autenticazione a due fattori, come fa Google con alcuni dei suoi prodotti.
Qui, l’utente ha bisogno di un secondo elemento oltre la password. Qualcosa
come un codice che viene visualizzato per pochi secondi sullo smartphone.
E non conosco nessuna banca che lo offre. Ma sempre per la nuova direttiva
UE, le banche, in futuro, dovranno chiedere un TAN per il primo accesso e
gli accessi a lunga distanza l’uno dall’altro.
TAGGED: TECH, MOTHERBOARD, HACKING, ONLINE BANKING
Guarda anche
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
Alessandro Proto: l'impostore
FROM VICE MEETS
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
Un hacker ci ha spiegato
come creare una password
a prova di bomba
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
Sulla sicurezza delle password girano molti falsi miti. Un hacker che
ha piratato Facebook, CIA e FBI ci ha spiegato come fare.
Di Daniel Mützel
Tra i numerosi miti a proposito delle regole per creare una buona password
circolano spesso informazioni infondate. Per questo abbiamo chiesto a uno
che se ne intende abbastanza, visto che ha già hackerato la CIA, l'FBI e gli
Hells Angels.
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
hackerare un account facebook, un account di posta elettronica o un conto
online non è così dif cile, come provano gli articoli che postiamo
regolarmente qui su Motherboard. Ovviamente è importante che il grande
pubblico impari a utilizzare delle password sicure. Se non sarà così, la
riservatezza delle informazioni personali di tutti sarà compromessa.
La maggior parte delle password che utilizziamo tutti i giorni sono degli
inviti a essere hackerati. In Germania, per esempio, la password più
utilizzata da svariati anni è "Hello", seguita da "password" e "hello123", il che
dimostra a che punto sia terribile la mancanza di un'educazione in questo
senso. Molti utenti si prendono la licenza poetica con dei meravigliosi
"iloveyou" o "vivaipony", nascondendo dietro un velo di candore la loro
relazione naif con la tecnologia.
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
Matthias Ungethuem. Immagine : Mario Ast. Foto utilizzata con il permesso
di Matthias.
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
violare password. Sono esperto in test di sicurezza e veri co costantemente
la stabilità di database privati.
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
E il terzo mito?
Questo è senza dubbio il più pericoloso: alcune persone pensano che
concepire una password sensata, o generata secondo certe regole (un
algoritmo semplice, per esempio) è un'ottima idea. Invece no. Se lo fate, fate
un regalo enorme agli hacker, perché il principio basilare del cracking è
trovare una coerenza interna. Più la struttura della password è logica, più è
facile craccarla, più si è vulnerabili.
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
Gaming X 8G di MSI. Costa circa 300 euro. Uno degli algoritmi migliori per
le password è SHA1. La scheda gra ca crea circa 4,3 miliardi di opzioni
cifrate da SHA1 al secondo. L'esempio qui sopra, "MarkusX1" sarà craccata in
14 ore circa.
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
Bisogna distinguere tra le password a cui si accede tentando di connettersi
all'account via interfaccia e le password frammentate che si tenta di violare.
Quando si cerca di volare una password frammentata si può lasciar lavorare
la macchina da sola, senza bisogno di connessione internet. Se volete
craccare un account Facebook il vostro successo dipenderà in parte dalla
velocità della vostra connessione internet.
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
di combinazioni possibili. Se aggiungi i maiuscoli, arrivi a 52 caratteri
possibili (da a a z, e da A a Z). "PassWoRd" contiene dunque 52 possibilità per
8, che fa 53 milioni di combo possibili.
Basta paragonare i numeri ottenuti con le performance della tua
attrezzatura. La mia carta gra ca produce 4,3 miliardi di attacchi al secondo,
il che mi permette di craccare la parola "password" in 48 secondi. Per
"PassWord" mi servono circa tre ore. Più il numero di caratteri possibili
(minuscoli, maiuscoli, numeri, caratteri speciali) è elevato, e più la password
è lunga più le possibilità aumentano, e chi attacca impiegherà più tempo per
craccare la password.
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
di password complesse per generare questo tipo di codice. Di solito,
funziona.
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
Mi sembra ancora peggio del metodo precedente; è molto facile creare una
lista di parole che permettano di scoprire questo tipo di frasi segrete,
soprattutto quando un po' di hacker si associano mettendole in comune.
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
Mi sto deprimendo. Quindi non esiste nessuna regola che possa
trasformare una sequenza di caratteri memorizzabile in una password
solida?
No, è un approccio sbagliato. La password non deve essere basata su nessun
motivo ricorrente, nessuna regola logica. L'uomo sarà sempre meno dotato
della macchina. Dai non ti deprimere, basta memorizzare. Non è niente di
inumano. L'ultimo consiglio che posso dare è di utilizzare la tastiera nella
sua totalità. Prendi dei caratteri a destra o a sinistra, ma anche al centro,
ancora meglio se usi anche i caratteri delle altre lingue, come quelli cirillici o
ebraici. Questa cosa fa veramente strippare gli hacker.
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
Ti faccio un esempio di una password che segue tutte queste
raccomandazioni: ß@h/9#02'+a!(DkÄ. Quanto tempo ci vuole per
hackerarla?
Così a naso ci sono 37 combinazioni possibili a 10^30, ovvero un numero a
32 cifre. Con la mia attrezzatura un hacker avrebbe bisogno di 273 miliardi di
anni per craccarla. Direi una buona password.
TAGGED: TECH, MOTHERBOARD, HACKING, CIA, FBI, NSA, INTERVISTE, PASSWORD
Guarda anche
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD
Il creatore di 'Call of Salveenee'
FROM VICE MEETS - ITALIA
Create PDF in your applications with the Pdfcrowd HTML to PDF API PDFCROWD