Cybersecurity

Il Manifesto: Perché gli hacker attaccano le università

Perché gli hacker attaccano le università

Hacker’s Dictionary. Un test di penetrazione ha dimostrato la vulnerabilità di 50 università britanniche. Il Georgia Tech ha perso il controllo di 1 milione di record studenteschi e anche l’università italiana non sfugge alle mire degli hacker

di ARTURO DI CORINTO per Il Manifesto del 11 Aprile 2019

In meno di due ore un gruppo di hacker etici ha dimostrato di poter superare le difese di 50 università inglesi senza troppa fatica.

Il «penetration test», voluto dall’agenzia britannica che si occupa di fornire servizi Internet a università e centri di ricerca nel Regno unito, ha evidenziato in questo modo l’estrema facilità di accedere a dati personali, sistemi finanziari e reti di ricerca. In molti casi i white hat hacker sono stati capaci di ottenere le informazioni su studenti e impiegati con un successo del 100% usando tecniche di «spear phishing», la pesca mirata di dati personali che usa email personalizzate e siti clone che chiedono di reimpostare login e password per appropriarsene.

Ma perché l’hanno fatto? Università e centri di ricerca britannici hanno subito solo l’anno scorso più di mille tentativi di attacco orientato al furto di dati o all’interruzione dei servizi.

Il motivo è facile da capire: le università hanno molte informazioni sensibili sugli studenti ma spesso non hanno definito misure minime di sicurezza informatica, inoltre detengono grandi quantità di dati provenienti dalla ricerca in settori avanzati, sfornano brevetti, sviluppano prodotti commerciali ad alta tecnologia, partecipano a progetti internazionali come partner di industrie ed istituzioni. Continua »

Il Manifesto: Sessanta minuti per rimuovere i contenuti terroristici sul web

Sessanta minuti per rimuovere i contenuti terroristici sul web

Hacker’s Dictionary. I difensori della rete scrivono all’Europa: «il Regolamento contro il terrorismo online minaccia libertà d’espressione e innovazione avvantaggiando le grandi multinazionali»

di ARTURO DI CORINTO per Il Manifesto del 4 Aprile 2019

«La Legge sul terrorismo online danneggerà la libertà di Internet senza apportare alcun contributo significativo alla lotta contro il terrorismo». Questo è quello che sostiene un gruppo di pionieri, tecnologi e innovatori che hanno preso carta e penna e scritto ai deputati europei per esprimere la loro preoccupazione sulla bozza di Regolamento europeo per la prevenzione di contenuti terroristici online.

La lettera, del 2 aprile, è indirizzata in particolare all’europarlamentare Daniel Dalton relatore della proposta, che, secondo il Guardian, è stato oggetto di forti pressioni per farla votare.

Gli estensori del testo, è facile immaginarlo, non sono fiancheggiatori di Al Qaeda ma ingegneri, filantropi e difensori della privacy che hanno contribuito a creare e supportare la rete come la conosciamo.

Vinton Cerf, il papà dei protocolli di Internet, Jimmy Wales, fondatore di Wikipedia, Brewster Kahle dell’Internet Archive, Cindy Cohn della Electronic Frontier Foundation e vari altri. Continua »

Il Manifesto: Il Dark Web non è scuro abbastanza

Il Dark Web non è scuro abbastanza

Hacker’s Dictionary. Diverse agenzie statunitensi con il supporto di Europol hanno condotto l’operazione SaboTor contro il traffico di droga nel Dark Web arrestando 61 persone e sequestrando quasi 5 milioni di dollari in cryptovalute

di ARTURO DI CORINTO per Il Manifesto del 28 Marzo 2018

Il Dark Web, il Web oscuro, non è scuro abbastanza. Lo hanno scoperto a proprie spese venditori e acquirenti di droghe illegali finiti in manette nei giorni scorsi nell’ambito di un’operazione di polizia internazionale.

Durante l’operazione SaboTor il team di agenti di J-CODE, con il supporto di Europol, ha infatti arrestato 61 persone e chiuso 50 account nel Dark Web utilizzati per attività illegali. Gli agenti di questo gruppo speciale hanno anche eseguito 65 mandati di perquisizione, sequestrando 299 kg di droghe, 51 armi da fuoco e 7 milioni di dollari: due terzi in criptovaluta, gli altri in contanti e una piccola parte in oro. L’operazione SaboTor, che fa il verso alla parola «saboteur» per riferirsi al sabotaggio del Tor browser, lo strumento che permette di navigare in maniera anonima il Dark Web, è cominciata a luglio scorso e ha raggiunto il suo apice a marzo.
Un duro colpo per la credibilità dei gestori dei blackmarket nel Dark Web e per i loro clienti che adesso sanno di non essere abbastanza protetti dall’oscurità del web. In quel mondo, al confine tra il legale e l’illegale, dove l’anonimato è tutto, equivale a chiudere.

L’operazione è stata condotta attraverso un vasta indagine volta a penetrare le reti online anonime che i trafficanti di droga usano per vendere narcotici e oppioidi sintetici sia ai malati che ne hanno bisogno che a spacciatori e tossicomani che possono ordinare e ricevere i farmaci senza mai uscire di casa. Continua »

AGI: Il ricatto dell’hacker: 46 mila euro per 46 mila profili online

Il ricatto dell’hacker: 46 mila euro per 46 mila profili online

L’11 marzo arriva l’email ricattatoria, lui, Paolo Baita amministratore di Visure Italia non paga e i dati finiscono sul web a disposizione di tutti. Ecco la versione della vittima

di ARTURO DI CORINTO per AGI del 21 Marzo 2019

La banca dati di Visure Italia è stata hackerata e l’amministratore unico di Trust srl che la governa, Paolo Baita, è affranto. L’uomo è stanco e dispiaciuto. Da quando i nomi di 46 mila suoi clienti sono stati diffusi sul web passa il tempo a scrivere email e rispondere al telefono per rassicurarli.

Quando l’abbiamo raggiunto al telefono ci ha confessato di saperlo da qualche giorno. Temeva che sarebbe finita così. Nonostante tutto ci conferma di avere fatto una denuncia alla Polizia Postale e di avere avvertito il Cnaipic, il Centro Nazionale Anti Crimine Informatico e per la Protezione delle Infrastrutture Critiche. “Non potevo e non volevo pagare.” Ci ha detto. “Lo sapevamo dall’11 marzo.”

Non abbiamo visto l’email, ma nella nostra ricostruzione dei fatti questo elemento è coerente con l’accaduto: un hacker malevolo ha provato a ricattarlo, con un’email in cui pretendeva il pagamento di un euro per ogni nominativo presente nel database trafugato. Un tentativo di estorsione: “Trivial”, questo il nome del delinquente, gli ha chiesto 46.000 euro per non divulgare i dati di oltre 46 mila utenti del servizio di Baita che consente ad avvocati, notai e investigatori privati di ricostruire la storia fiscale e creditizia di un qualsiasi soggetto, singolo, pubblico o associato. Visure Italia, servizio di Trust Srl, società a responsabilità limitata di Quartu Sant’Elena (Cagliari), è concessionario della Banca dati delle Camere di Commercio: un “mondo” di dati. Continua »

AGI: Anche Visure Italia sotto attacco hacker

Anche Visure Italia sotto attacco hacker

I dati personali e sensibili degli italiani sono poco protetti. Gli hacktivisti di Lulzsec Italia lo dicono da mesi.

di ARTURO DI CORINTO per AGI del 19 Marzo 2019

Visure Italia, servizio specializzato in indagini patrimoniali, recupero crediti e informazioni commerciali, è stato hackerato. Con un tweet notturno gli attivisti informatici di LulzSec Italia hanno avvisato di “aver scoperto essere online, i dati di 46.604 utenti di @visureitaliacom”. E proprio nel giorno in cui “ha messo online una nuova versione del proprio sito.” A dimostrazione della veridicità delle loro affermazioni gli hacker hanno anche pubblicato un’immagine con nome, cognome, professione, email e password dei clienti che avrebbero fruito del servizio.

Dall’azienda cagliaritana nessuna replica ufficiale, al momento. Contattata, ci ha riposto per mail di aver preso in esame la nostra richiesta di chiarimenti. Un riscontro sullo stato dell’attacco è atteso anche dalla Polizia postale.

VisureItalia fa un lavoro molto particolare e delicato: per poche decine di euro è in grado di fornire a cittadini privati, investigatori, avvocati, notai, imprese, i dati di singoli, immobili e aziende e l’accesso alle banche dati di pertinenza delle Camere di Commercio. VisureItalia è infatti un servizio di Trust Srl, società a responsabilità limitata di Quartu Sant’Elena (Cagliari), che è il distributore ufficiale dei dati camerali di Infocamere scpa con accesso diretto alla banca dati ufficiale delle Camere di Commercio italiane. Continua »

Il Manifesto: La blockchain e il voto elettronico svizzero bucato

La blockchain e il voto elettronico svizzero bucato

Hacker’s Dictionary. Anche nelle elezioni la blockchain viene invocata come soluzione ai problemi della società digitale. Ma i suoi sostenitori non sono abbastanza convincenti

di ARTURO DI CORINTO per Il Manifesto del 14 Marzo 2019

Se scorriamo i titoli dei giornali vediamo come per le aziende di sicurezza informatica il problema principale da affrontare sia sempre diverso: i «databreach», gli attacchi DDoS, i dispositivi IoT non protetti, gli aerei insicuri o gli attacchi cibernetici alle dighe.

Tutto vero e giusto, ma il rischio più grosso per le società a democrazia rappresentativa riguarda la manipolazione dell’opinione pubblica e l’alterazione del voto elettronico.

Un team di ricercatori canadesi e delle Università di Melbourne e di Lovanio ha esaminato il codice sorgente del sistema di voto elettronico di SwissPost, fornito da Scytl, e ha appena scoperto una «trapdoor», una “botola” crittografica.

Sfruttata, la «backdoor» non intenzionale potrebbe essere usata per falsificare le elezioni. E questo perché il sistema SwissPost che deve certificare i voti elettronici crittografati e «mescolati» per proteggerne la privacy non è in grado di fornire la prova, matematica, che nessun voto sia stato cambiato, ma anche perché – dicono i ricercatori – «la sua semplice presenza solleva serie domande sul resto del codice». Continua »

AGI: I tanti dubbi sul voto tramite blockchain che Casaleggio deve chiarire

I tanti dubbi sul voto tramite blockchain che Casaleggio deve chiarire

Anche la catena a blocchi ha dei difetti che possono essere sfruttati da hacker malintenzionati, difetti che aumentano il rischio di elezioni non democratiche e falsificabili

di ARTURO DI CORINTO per AGI del 9 Marzo 2019

“Ne abbiamo parlato tanto, lo abbiamo pensato, immaginato, sperato, sognato. E ora c’è. Stiamo parlando del voto su blockchain, la nuova frontiera della democrazia diretta che consente di utilizzare la Rete in un nuovo modo”.

Con questa dichiarazione Davide Casaleggio, guru tecnologico del Movimento 5 Stelle e presidente (e fondatore) dell’associazione Rousseau, ha annunciato per oggi un hackhaton al Villaggio Rousseau per presentare “la prima versione funzionante di un sistema di voto su blockchain che garantisce l’anonimato e permette una certificazione distribuita del voto”.

Bene, bravo, bis. Il metodo in queste cose è importante.

Perché è importante la trasparenza del software di voto

Casaleggio afferma di volere rendere disponibile il codice sorgente del software per il voto, e chiama a raccolta hacker e specialisti per testarlo e migliorarlo. Niente di eccezionale, direte, è il modo in cui funziona  da sempre la produzione di software se il codice non è proprietario e coperto da segreto industriale. E consentire l’analisi del codice è il modo migliore per coinvolgere specialisti e programmatori. È una furbata, dirà qualcuno, perché laddove non arrivano i tuoi programmatori, intervengono gli altri ad aiutarti, per sfida intellettuale, divertimento o ideologia. In questo caso gli “hacker” ti aiutano a testare, modificare e migliorare un prodotto che più di altri – è un software di voto – deve essere semplice da usare e verificabile. Continua »

Intervista: Rousseau apre il codice. La piattaforma dei 5 Stelle si mette alla prova

Nel fine settimana l’Associazione Rousseau aprirà le porte della piattaforma di M5S a chiunque abbia voglia di conoscerla e migliorarla. L’opinione di Di Corinto: “Buona l’idea di renderlo disponibile a tutti, buon l’idea di farlo attraverso un hackathon”

di Simona Sotgiu per Formiche del 8 Marzo 2019

Apriremo il software. È arrivato nel tardo pomeriggio di ieri sul Blog delle Stelle il post a firma di Davide Casaleggio con cui il presidente dell’Associazione Rousseau ha annunciato che durante l’evento che si terrà questo fine settimana, Villaggio Rousseau, verrà reso disponibile “a tutti” il software di Rousseau “affinché tutti possano analizzarlo, migliorarlo, svilupparlo e utilizzarlo”. Un’idea che è piaciuta ad Arturo Di Corinto, esperto di sicurezza cyber e voto elettronico, giornalista che ha condotto diverse inchieste sulla democrazia digitale – e non solo – e che non ha mai risparmiato critiche alla piattaforma del Movimento 5 Stelle.

Continua »

Il Manifesto: Al comune di Roma la privacy è un’optional

Al comune di Roma la privacy è un’optional

Hacker’s Dictionary. La Capitale non ha un Data Protection Officer per tutelare la privacy e i dati personali dei cittadini-utenti, ma le nostre regioni non stanno meglio. Lo dice un rapporto internazionale cui ha partecipato anche l’Autorità italiana guidata da Antonello Soro

di ARTURO DI CORINTO per Il Manifesto del 7 Marzo 2019

Il Comune di Roma si è dotato di un esperto di bitcoin ma non di un Data Protection Officer, il “difensore della privacy” previsto dal nuovo Regolamento europeo sulla protezione dei dati personali nota come GDPR. Il funzionario precedentemente incaricato di assolvere a questa delicata funzione è andato in pensione a dicembre e non è ancora stato sostituito. Eppure ogni modulo scaricabile dal sito comunale riporta i riferimenti telefonici ed email per contattarlo, pur senza riportarne il nome.

Il mancato adeguamento alla nuova normativa sulla privacy non è un problema solo della capitale d’Italia. In seguito a un’indagine svolta da 18 garanti europei, sono molto le realtà che su questo fronte arrancano. Continua »

Il Manifesto: Un computer sicuro non è un computer spento

 Un computer sicuro non è un computer spento

Hacker’s Dictionary. Se aumentano gli attacchi a privati cittadini, l’obbiettivo probabilmente non sono loro ma l’organizzazione per cui lavorano

di ARTURO DI CORINTO per Il Manifesto del 28 Febbraio 2019

A dispetto del fatto che stiamo attenti a non cliccare su allegati sospetti e che usiamo buoni antivirus per la posta elettronica, gli attaccanti usano tecniche sempre più sofisticate e gli attacchi sono oggi così ingegnosi che queste attenzioni non bastano più, anche perché molte organizzazioni abbandonano l’e-mail per coordinarsi e gli preferiscono Slack e altre piattaforme per la collaborazione interna. Chi non cliccherebbe sul messaggio di un utente “fidato” nella chat interna dell’ufficio? Ma questi strumenti non hanno in genere nessuna protezione da phishing e malware. Continua »

©2007-2009 Arturo Di Corinto| Progetto grafico di Lorenzo De Tomasi [Copia questo tema] | Powered by Wordpress