Le tendenze del cyber-crime


Una storiella

Tutti quelli che raccontano storie intriganti e interessanti spesso amano arrotondare gli spigoli e non lesinare sulle misure.
Emblematici sono i pesci che i pescatori allungano in proporzione al numero di birre bevute o a quelle delle reiterazioni del racconto.
Anche i cracker non scherzano…  ma capita che la cronaca, a volte, sia ancora più spettacolare.
Una di queste è quella capitata a dicembre del 2013 alla grande catena americana Target che nel giro di 2 settimane si è vista sottrarre i codici di circa 40 milioni di carte di credito.
I cracker sono partiti dall’infettare il Point Of Sale di un’azienda che cura la manutenzione dei banchi frigoriferi della Target, attraverso la quale sono riusciti a installare un malware,  del tipo BlackPOS, sui tutti i sistemi POS  di centinaia di negozi della catena. Il malware ha intercettato i dati che transitavano sulle macchinette (circa 11 GB) prima che queste li cifrassero (la crittografia end-to-end viene usata per proteggere i dati raccolti sui POS prima di inviarli a un server back-end e poi al processore di pagamento) per poi inviarli via FTP su server virtuali (VPS) in Russia.  La Target, infatti, dopo tutte le verifiche del caso, ha ammesso che insieme ai numeri di carte di credito/debito sono state rubate anche le informazioni personali appartenenti a 70 milioni di persone.

Il rapporto Clusit

Questa’azione “epica” della storia del cyber-crime, insieme a quella più complessa contro le banche e le televisioni sud coreane (operation “Dark Seoul”),  trovano posto nel nuovo Rapporto Clusit  che analizza i crimini informatici avvenuti nel 2013 e i primi mesi del 2014.
L’analisi mostra, dati alla mano, che gli attacchi informatici di tipo grave (di pubblico dominio), sono aumentati del 245% rispetto al 2011, con una media di 96 attacchi mensili.
Di 2.804 attacchi gravi di pubblico dominio ne sono stati analizzati 1.152 (il 41%) e di questi solo 35 sono su bersagli italiani.  A prima vista sembra confortante questo piccolo 3% ma sicuramente non rappresenta bene la realtà italiana. Confrontando il dato con quelli di altri paesi occidentali con economia e dimensioni similari  si è indotti a pensare che tale percentuale sia dovuta alla cronica mancanza di informazioni pubbliche al riguardo e, in qualche misura, al fatto che le aziende italiane spesso non hanno neanche gli strumenti idonei e/o la tecnologia necessaria per rendersi conto di essere state compromesse.
Dall’analisi sembra che il cyber-crime sia un fenomeno piuttosto marginale dal momento che rappresenta meno di un terzo (il 17 %) di quelli derivanti da azioni di hacktivism; ma su questo bisognerebbe fare almeno tre riflessioni: la prima è che delle azioni derivanti da hacktivism  se ne ha notizia perché fa parte proprio della loro politica darne comunicazione; la seconda che buona parte delle aziende preferiscono non dichiara di aver subito un attacco criminale e la terza che un’altra parte di aziende neanche si accorge di essere attaccata. Infatti una nota di Fastweb rivela che nel 2013 oltre 1.000 attacchi DDos sono stati rivolti a suoi clienti.

Una breve analisi è dedicata anche all’area dell’hacktivism che, secondo il rapporto, sta passando da una collaborazione sporadica o eccezionale  con il cyber-crime, a un vero e proprio percorso unitario, quantomeno in senso “tecnico” e di condivisione degli obiettivi.  Questo perché le frange di attivisti digitali più oltranzisti iniziano ad utilizzare le modalità operative proprie del cyber-crime per autofinanziarsi.

La tendenza futura

L’aumento delle vendite di smartphone e tablet vede, ovviamente, in crescita la scrittura di malware per questo tipo di sistemi (con una prevalenza per la piattaforma Android) e  anche se Google e Apple tengono alte le difese una buona percentuale di utenti utilizza App-Store non ufficiali dove i controlli sono più bassi.
Ad ogni modo il numero di insidie sui dispositivi mobili sono ancora un pericolo molto basso per il semplice fatto che su questi dispositivi è ancora difficile rubare una quantità di denaro sufficiente.

Un bersaglio importante, invece, sembra essere il cloud e l’espansione di applicazioni e di servizi basati su tali piattaforme dovranno, necessariamente, indurre le aziende a investire in sistemi di controllo della sicurezza che, tra le altre cose, sembrano anche più economici.

Chef – il socialnetwork imperfetto

Ho visto il film  Chef – La ricetta perfetta  e mi verrebbe da dire, di primo acchito, lasciate perdere perché paghereste per intero il biglietto per un film che regge solo il primo quarto d’ora.

E’ la classica  “commedia americana” (con tutto quello che si può indicare negativamente con questo concetto) completamente scontata dall’inizio alla fine e intrisa di tanta banalità  che neanche i fratelli Vanzina sarebbero riusciti a mettere insieme.

L’unica cosa che mi ha fatto rimanere seduto è stato lo show, ovviamente banalizzato, di social network.  Non ho capito bene se Jon Favreau (regista e attore principale) volesse parlare di cucina o invece di Twitter, Vine,  YouTube, Facebook e iPhone….  il risultato è stato comunque un polpettone (o una ciambotta se volete)  i cui ingredienti, se dosati meglio come fa un vero chef, avrebbero reso la storia migliore e più appetitosa.

La sagra dei baccalà

Forse non tutti sanno che le sagre hanno una storia, tutto sommato, recente.  Fu il fascismo a innalzarle a strumento retorico-folkloristico del regime e da allora sono diventate un fenomeno culturale-economico che caratterizza tutta l’Italia. Ogni estate si nota un significativo aumento della notorietà delle sagre esistenti e una buona diffusione di nuove feste che in qualche modo tentano di promuovere il territorio attraverso la sua identificazione con un prodotto.
Se io dovessi immaginare un’app estiva sul tipo AroundMe e/o Foursquare (ne parlavamo qui) penserei proprio alla mappatura delle sagre. Più che far visualizzare ciò che ci circonda, suggerirei dei veri e propri percorsi il cui orientamento è di tipo “sagro-geografico”. Unirei quel ragionamento, semplice e logico, di “unire i puntini” che faceva Roberta Milano alla mappatura in stile Open Street Map.
Ne verrebbero fuori dei percorsi interessanti che potrebbero funzionare sia per il turista che per l’economia locale e la promozione del territorio.
Ma questo è solo un pensiero di passaggio sul quale, probabilmente, val la pena di insistere in futuro.

Lo stimolo che invece sostiene questo post è un altro e anche se ha a che fare con le sagre, riguarda più i loro organizzatori e i consumatori.

Partiamo da quell’immaginario collettivo che fa delle sagre paesane un’occasione da non perdere sia per il semplice gusto della festa che per la concentrazione di convenienze derivanti dalla somma di localismo, genuinità ed economicità.
E’ facile pensare di poter trovare un prodotto genuino, caratteristico che difficilmente si trova altrove se non a un costo superiore.  Se penso di andare alla sagra di Sarconi mi immagino di trovare quei caratteristici fagioli a un prezzo inferiore di quelli che vende l’alimentare sotto casa.
Ricordo, per esempio, quando andai in vacanza nel sud della Francia e capitai in una fiera del vino dalle parti di Narbonne dove tutti bevevano gratis o compravano bottiglie e damigiane a prezzi incredibili.
Ora se pensate di aver fatto un affare con il menù dell’ultima “Sagra del Baccalà” di Avigliano forse rimarrete delusi. Non per la qualità, ovviamente, ma per il prezzo.
I ristoranti locali che aderivano alla sagra (La Strettola, La Nuova Dolce Vita, Osteria Gagliardi, La Pietra del sale e Nerolà) avevano tutti lo stesso tipo di menù:
a) primo+bibita  € 6;
b) secondo+bibita  € 7;
c) menù completo  € 13.
Come avete notato il menù completo (semplice somma di a+b) più che incentivare alla spesa puntava soltanto a soddisfare una diversa gradazione di appetito. Forse quelli della sagra non hanno una buona dimestichezza con il concetto di convenienza, ma poco male.
Il vero problema nasce quando un amico mi fa notare (documentazione fotografica alla mano) che, per esempio, l’Osteria Gagliardi a giugno offriva lo stesso menù (a, b e c) ma quello completo costava € 12.
Resto perplesso e penso che nel frattempo, forse, i prezzi sono aumentati….  Invece no: proprio l’Osteria Gagliardi, a pochi giorni di distanza dalla sagra, per la festa della CGIL di Basilicata, nel suo stand gastronomico offre un menù simile ma a prezzi molto più modici (primo+bibita € 5, secondo+bibita € 7, menù completo € 11).

Che conclusione possiamo trarne?

Provo a suggerirne qualcuna:
1) che la CGIL è forte e impone i suoi prezzi;
2) che i ristoratori aviglianesi della sagra hanno fatto cartello;
3) che in quei giorni ad Avigliano si è sviluppata una strana epidemia che ha contagiato tutti gli avventori della sagra trasformandoli in baccalà e senza che questi si accorgessero di  essere loro il prodotto tipico.

Perché cent’anni di tecnologia non hanno (ancora) migliorato il mondo?

Se vi chiedete, come fanno i bambini curiosi, quanto è lungo l’universo rimarrete sorpresi nel sapere che non si sa.

Ignoriamo quasi completamente cosa sia in realtà e facciamo soltanto delle buone ipotesi su quanto sia esteso quello  “osservabile“.

Sappiamo, dice Amedeo Balbi, di poter guardare al massimo fino all’orizzonte e  che, siccome la luce viaggia con una velocità finita, quel limite sta a 13,7 miliardi di anni-luce (che è l’età dell’universo) moltiplicata per la sua velocità di espansione. Dunque  approssimativamente il suo raggio potrebbe essere di 50 miliardi di anni luce.

Se vi va di trastullarvi in altre teorie intorno all’universo c’è quella interessante sulla sua  forma  e  quella sulla sua fine; ma ciò che mi ha colpito (per cui la ragione del post) è il fatto che al momento non disponiamo delle conoscenze adatte per approssimare un ragionamento oltre l’osservabile e mi chiedo il perché.  Forse che la tecnologia non ci supporti ancora abbastanza?

Oppure è probabile che non possiamo farcela noi ma un “altro-uomo”, come immagina Vernor Vingederivante da nuove interfacce con il  computer e con un’intelligenza di molto superiore a quella umana attuale.

Arrivati a quel punto saremmo in grado anche di creare energia pulita e curare malattie secolari.

Io ci ho fantasticato su che ero ancora un ragazzino mentre leggevo “L’ultima domanda” di Asimov  e poi quando, per studi accademici, mi sono occupato (anche) di “transumanesimo“.

Jason Pontin sbotta dicendo che:

«Il meraviglioso potere della tecnologia doveva essere impiegato per risolvere i nostri grandi problemi. Ma guardando il presente, che cosa è accaduto? Le app per telefoni cellulari è tutto quel abbiamo raggiunto?»

Chissà….  “forse si e forse no”, ma io concordo poco con questi ragionamenti sostanzialmente heideggeriani.  C’è una cosa, però, che mi sento di sottolineare ed è quella  “necessità di un presa di coscienza” di cui parla Nicola Palmarini : il fatto che non v’è alcuna ragione per non capire che siamo noi oggi e non qualcun altro domani a dover agire per migliorare il mondo.

Il diritto all’oblio secondo Google

Il 13 maggio di quest’anno la Corte di Giustizia dell’Unione Europea ha emesso una sentenza inappellabile nei confronti di Google che, in quanto responsabile del trattamento dei dati di tutti i suoi utenti, è obbligata a cancellare i dati personali e la loro indicizzazione  a chiunque lo richieda.
Google invece, richiamandosi al “Digital Millenium Copyright Act“, ritiene di dover essere liberata da tale onere (tranne per il  copyright) nel momento in cui riesce a dimostrare di aver fatto tutto il possibile.
Tralasciando il complesso tema sul delicato equilibrio tra diritto alla cronaca e privacy (e non considerando il fatto che non basta eliminare il link nelle pagina dei risultati del motore di ricerca se poi restano on-line i contenuti), c’è un problema che ha a che fare con il futuro di internet: se, come dice David Meyer, in futuro i motori di ricerca anziché essere centralizzati come Google fossero distribuiti? chi sarebbe il responsabile?
A tal proposito Google ha costituito un Comitato consultivo per il diritto all’oblio che ha avviato un tour europeo per rendere note le problematiche legate alla sentenza della Corte  e la tappa italiana sarà mercoledì 10 settembre presso l’Auditorium Parco della Musica a Roma.
Qui, oltre ad ascoltare i relatori invitati, sarà possibile porre domande attraverso delle apposite cartoline che Google distribuirà al pubblico presente ma, se volete, potete farlo anche on-line.

Android a rischio (UI State Inference Attack)

Secondo un team di ricercatori della University of Michigan e dell’Università della California,  una “debolezza” di Android metterebbe a rischio la sicurezza dei dati dell’utente del dispositivo.

Stiamo parlando di “UI State Inference Attack” ovvero l’attacco all’interfaccia dell’utente che avvalendosi di autorizzazioni alla condivisione della memoria, concesse da Android senza speciali permessi per consentire a un’applicazione di raccogliere informazioni sullo stato di altre applicazioni, permette di prelevare facilmente i dati dell’utente.

Zhiyun Qian, professore in sicurezza informatica presso l’Università della California, mette sull’avviso gli utenti sui seri rischi derivanti da questa debolezza e in un video da qualche esempio di come può funzionare l’attacco: per esempio rubare il nome utente e la password dell’applicazione “H&R Block”, copiare l’immagine di controllo presa dall’applicazione “Chase Bank”  e recuperare le informazioni della carta di credito da “NewEgg”.

I ricercatori hanno aggiunto che questo tipo di attacco, non basandosi su una falla del sistema, è possibile replicarlo anche su altre piattaforme.

Nuove socialità per la coppia Foursquare-Swarm

E’ dal 2009 che Foursquare  fa condividere la propria posizione geografica, in tempo reale, con gli amici.  I numeri, almeno fino a qualche mese fa, parlavano da soli: 50 milioni di utenti e 6 miliardi di check-in in tutto il mondo.
Adesso ve ne sarete accorti, almeno dalla sua nuova icona, che Foursquare è cambiato.
La partenza fu un consiglio, trasformatosi subito in un obbligo, ad installare Swarm (che per gli utilizzatori fu un mistero inspiegabile) e poi una definitiva suddivisione di compiti.
Adesso il nuovo Foursquare  trova i “posti” intorno a te, con lo schema del vecchio e rodato di Aroundme,  utilizzando anche filtri intuitivi (cibi, caffé, vita notturna, shopping,  posti a sedere all’aperto, Wi-Fi, ecc…), dove puoi lasciare un consiglio o una recensione e se poi devi fare un check-in ecco che rispunta Swarm: la nuova map che prima ti mostrerà i posti più “caldi” e poi curerà tutta la parte social con tanto di “emotività”.
Tecnicamente la differenza consiste nel condividere la posizione con un’approssimazione ottenuta dalle reti (Wi-FI o rete mobile) e non dalla propria posizione GPS e social-mente spariscono definitivamente i “sindaci” e con loro anche quell’odiosa battaglia nell’accaparrarsi luoghi.
Personalmente ho controllato che fossero ancora in piedi le vecchie “liste”, certo bisogna scavare ma poi le ritrovate tra i posti salvati.
Che dire….  un cambiamento, almeno lato social, era necessario ma sul successo di questa “accoppiata” rimane qualche dubbio.