L’Universo non è user-friendly ma a volte fa ridere

Che cosa si scrive di solito su un documento quando non si vuole venga diffuso?
Per esempio “confidential”, oppure “not for distribution”, o ancora “not for public release”. In italiano, “strettamente confidenziale” o cose del genere.
E dove si usano documenti di questo tipo? Nelle aziende, nelle organizzazioni e in posti del genere. E ovviamente, perché sia accessibile agli interni, si piazza in una apposita cartella sulla intranet aziendale. E come al solito l’idiota di turno dimentica che in quella cartella ci arrivano anche i robots, come quello di Google.
Adesso cercate le frasi di cui sopra in Google e divertitevi a spulciare fra le decine di migliaia di documenti che saltano fuori. Ovviamente non tutto quello che trovate è un documento confidenziale; ci sono anche pagine che contengono le suddette frasi per caso (come questo post), ma in ogni caso, sembra proprio che molte aziende si divertano a spiattellare i propri verbali in faccia a cani e porci.
I risultati migliori li ho ottenuti con questa ricerca. Se poi si limita il tipo di file a pdf va ancora meglio.
Adesso provate anche ad aggiungere il nome di una specifica azienda…

Fotocamere user friendly

Immagine
Questo grazioso cagnolino che azzanna per gioco il padrone, che per la sua stupidità meriterebbe di essere divorato in un solo boccone, ci aiuterà a vedere un altro “incidente”, meno comune ma quasi più grave di quello del post precedente, a cui vanno incontro gli sprovveduti che si aggirano nelle terre di internet senza sapere dove mettere i piedi.
Io qui ho messo solo questa foto in cui il padrone non è riconoscibile, ma ne ho viste anche molte altre in cui varie persone sono perfettamente visibili. Ne ho viste anche di altro tipo: scherzi in ufficio, cene aziendali, giochi con amici, ma anche di meno innocue e sono sicuro che in molti casi i protagonisti si incazzerebbero moltissimo sapendo che le loro foto sono andate in mano a cani e porci.
Perché, come nel caso precedente, loro non sanno che le ho viste e che chiunque le può vedere.

Ormai quasi tutte le foto sono digitali e anche la bestia in figura è stata immortalata con una fotocamera digitale. Le foto, poi, sono state scaricate su un computer e le fotocamere digitali sono user friendly. Basta collegarle via USB e infilare il solito CD-ROM che installa un programma per scaricare e gestire le foto.
Ora, la maggior parte delle fotocamere digitali aderisce a uno standard inventato per facilitare la vita ai software di gestione e anche all’utente. Lo standard consiste nel creare una cartella il cui nome è DCIM in cui vengono create altre cartelle per le varie fotocamere. Così all’interno della cartella DCIM avremo, per esempio, una cartella CASIO, oppure CANON, etc con davanti un numero progressivo per dividere i vari scaricamenti (102CANON, 103CANON, 104CANON, etc). Qui finiscono le foto, tipicamente in formato jpeg e anche i filmati, di solito in formato avi.

Fin qui tutto bene. Se la cartella DCIM è sul vostro computer personale o anche su un server internet ma fuori dallo spazio web. Ma se, per qualche ragione, finisce all’interno dello spazio web e il solito amministratore idiota dimentica di fermare gli spider dei motori di ricerca, Google in primis, ecco che le cartelle e tutte le foto vengono indicizzate e sono disponibili a chiunque sia in grado di cercarle.
Ma perché questa cartella dovrebbe finire nello spazio web di un server? Le ragioni sono molte: perché gli amici possano vedere da casa le foto della partita di ieri e scaricarsele, per esempio.

Cercarle, peraltro, è facilissimo. Potete provare anche voi. Basta inserire in Google la stringa di ricerca index.of.dcim (index punto of punto dcim senza spazi). Salteranno fuori una cinquantina di links, pochi perché questo incidente non è molto comune e alcuni di questi non sono cartelle di foto, ma solo articoli come questo.
Se però, dopo aver cliccato sul link vi appare una paginetta bianca che ha come titolo “Index of /DCIM” e sotto due link che dicono “Parent directory” e “DCIM”, siete nel posto giusto. Cliccate DCIM e troverete una pagina simile con link tipo 100CASIO o 102CANON o ancora 101FUJI, etc.
Cliccate su uno di questi e vedrete i nomi delle immagini. Basta cliccare ognuno di questi ultimi per vedere la foto nel browser.
Complimenti. Siete sulla buona strada per diventare un provetto voyeur.

L’Universo non è user-friendly

L’universo non è user friendly, ovvero su internet una cosa che sembra banalissima può avere effetti collaterali spiacevoli o, come minimo, non previsti.
Generalmente non ci si pensa, ma entrare in internet è come andare in un paese straniero, con le sue usanze, le sue leggi, le sue consuetudini e i suoi abitanti. C’è gente che su internet ci vive. C’è qualcun altro, come il sottoscritto, che magari non ci vive, ma lo conosce molto bene (in realtà, in questo periodo, praticamente ci vivo anch’io). C’è qualcuno che lo abita a tempo parziale, per esempio per affari, e poi ci sono i turisti, la maggior parte di voi.
Ora, quando fate i turisti, anche quando viaggiate in un gruppo organizzato, qualche precauzione la prendete. Se, poi, viaggiate da soli, dovete anche stare un po’ attenti a come vi comportate e a dove ficcate il naso. Se entrate in un quartiere malfamato ben vestiti, con il Rolex al polso e la videocamera al collo, non solo sarete rapinati e magari anche pestati o peggio, ma oltretutto, quando la polizia vi verrà a ripescare, ve ne dirà quattro.
Però a volte potete anche stare attenti, ma inciampate in una qualche usanza locale di cui non siete a conoscenza e fate una pessima figura perdendo stima e amicizie. Per esempio, ci sono paesi in cui soffiarsi il naso in pubblico, soprattutto al chiuso, è considerato segno di maleducazione, più o meno come sputare per terra. Si va in bagno a farlo.
Ci sono, invece, altri paesi in cui sputare per terra, in strada, è normale e lo fanno anche le ragazzine di 15 anni, oppure ruttare sonoramente dopo il pranzo è un apprezzamento per la cucina del padrone di casa.
Ecco, internet ha le sue usanze e regole e spesso, se qualcuno non sa o non pensa a quello che fa, incappa in qualche disavventura. Qualche esempio.
Nota: questi esempi non sono nuovi. Non sto suggerendo nessun nuovo “hack” e proprio il fatto che siano ampiamente noti alla comunità degli “smanettoni” ma ignorati dalla massa comprova quanto dico.

WebcamAdesso guardate l’immagine qui a sinistra. È una stanza in un ufficio in america. L’immagine viene da una webcam e nella pagina originale, si aggiorna ogni 5 secondi. È grande 4 volte questa, quindi si vede tutto molto bene. Il signore in fondo sta armeggiando con la stampante. È entrato 30 secondi fa, magari per aggiungere carta. Forse tra un po’ se ne andrà, o forse si siederà al computer. Il problema è che lui non sa che io lo sto guardando.

Forse sa della webcam o forse no. Se lo sa, sa anche che il suo capo o qualcuno della sorveglianza tiene d’occhio quella stanza, ma non immagina che io lo sto guardando. Perché questa non è una di quelle webcam messe lì per pubblicità che tutti possono vedere. Questa è, o dovrebbe essere, una telecamera di sorveglianza ad uso interno. Ci si accede via internet, così si può tenere d’occhio la situazione anche da lontano, ma, quasi certamente, non è previsto che sia vista da terzi.
Invece io la vedo. Nello stesso modo potrei mostrarvi migliaia di altre situazioni: un porticciolo alle Bahamas (invidia!), una lavanderia in Giappone, l’interno di un grande magazzino, un autosalone negli USA, un laboratorio in Svizzera, il cane di un/una giapponese, magari, se cerco a lungo, anche il bambino di qualcun altro. Tutte webcam di sorveglianza.
Continua a leggere

Sei un zombie?

Guardando l’ennesimo tentativo di attacco virale via mail (si spera fermato dall’antivirus) o diretto a una porta del computer (e bloccato dal firewall), oppure trovandosi con la macchina bloccata e impestata fino ai capelli, molti di voi si saranno chiesti “ma perché? chi ci guadagna in tutto questo giro di virus?”

Questa, fra l’altro, è una delle domande che mi sento rivolgere con maggiore frequenza quando parlo di sistemi operativi e sicurezza nelle aule di formazione. In effetti, mentre tutti (o quasi) capiscono chiaramente dove stia il lucro nel vendere i numeri del lotto, è difficile per l’utente medio avere la percezione dei vantaggi che derivano dallo spargimento di virus.
Il fatto è che i virus attuali non sono più distruttivi come quelli di un tempo. L’epoca delle ca…te goliardiche è passata e la nuova logica è quella del profitto e della produttività. Come nella biosfera, il virus che uccide l’ospite può anche provocare una pandemia, ma è un fallimento perché nel contempo si suicida. Quello che, invece, non provoca particolari problemi all’ospite o magari riesce anche a cambiarlo un po’ in modo da costruire un ecosistema più favorevole alla propria specie è un successo.
Ma allora, cosa fanno i virus attuali? Molto semplice: il principale fine di un virus ben fatto è quello di trasformare il vostro computer in un zombie.
Dicesi zombie una macchina che, all’insaputa del proprietario

  • esegue un compito ben determinato (per esempio, invia una mail di spam a tutti gli indirizzi della rubrica), ma, ancora meglio
  • quando l’utente è collegato a internet, invia il suo indirizzo ip a un determinato sito o mailbox e apre una backdoor (porta di servizio) consentendone il controllo da remoto.

Soprattutto questo secondo caso è premiante perché consente al produttore del virus di usare tranquillamente il vostro computer da chissà dove per piccole attività tali da non rallentarlo in modo sensibile e ovviamente da non bloccarlo, altrimenti, prima o poi, voi ve ne accorgete e magari anche senza sapere il perché dei rallentamenti, reinstallate windows.
Il problema è che queste attività possono essere piccole, ma generalmente sono illegali e nei log del destinatario della spam o del sistema a cui è diretto l’attacco resta il vostro numero di ip.
Il secondo punto è che lo scopo dell’untore è di controllare un gran numero di macchine per farle lavorare tutte insieme. Una tale concentrazione di zombie è detta ‘botnet’ (rete di robot) e può essere usata, per esempio

  • per diffondere lo stesso messaggio di pubblicità non richiesta a 10.000.000 di utenti nel giro di qualche minuto;
  • per scatenare un attacco DDoS (Distributed Denial of Services) mandando milioni di richieste di pagina per secondo a un certo server e intasarlo al punto da impedirgli di rispondere agli utenti legittimi;
  • per diffondere materiale illegale di vario tipo;
  • per decodificare un file di password (rubato a qualche sistema) mediante tentativi casuali: un solo computer impiegherebbe un anno, ma 100.000 computers possono farcela in meno di 10 minuti;
  • infine, per una attività non necessariamente legata al controllo di una botnet, ma remunerativa soprattutto quando riesce molte volte: salvare in un file tutto ciò che digitate sulla tastiera mentre siete collegati (comprese le password del vostro account bancario) e inviarlo a un certo indirizzo.

Ovviamente, tutto questo a pagamento. L’ultimo arrestato per aver organizzato una siffatta rete (il botmaster) gestiva più di 500.000 zombie sparsi per tutto il mondo, per cui almeno 100.000 erano accesi contemporaneamente e aveva guadagnato più di $100.000 in un anno di ‘noleggio’ della propria botnet. Magari li fatturava anche. Consulenza di marketing.
Il bello è che il sistema per difendersi è piuttosto semplice: installare un buon sistema antivirus + firewall (ce ne sono anche di gratuiti) e tenerlo aggiornato, oppure usare Linux.

BE PARANOID!

Qualche giorno dopo l’arresto di Provenzano, durante una intervista TV con uno degli inquirenti (di cui purtroppo non ricordo il nome), ho sentito una dichiarazione che mi ha colpito.
In sintesi, quel funzionario, per dare l’idea della complessità dell’indagine, a un certo punto ha detto: «Vi rendete conto di quanto sia difficile individuare qualcuno che come massima tecnologia usa una macchina da scrivere?».
Traduzione (mia): è difficilissimo beccare qualcuno che non usa telefono, cellulare, internet, email, carta di credito, bancomat, tessera sanitaria, raccolte punti, certimat, schede TV, TV via cavo, telegrammi, etc, tutte tecnologie che seminano tracce.

Adesso pensate un po’ a che cosa significa tutto questo per la nostra privacy. So che per alcuni di voi sono cose assodate, ma immaginatele nei particolari. Per esempio, oggi all’uscita del supermarket, controllando il conto mi sono reso conto che sopra c’era scritto il mio nome: «arrivederci e grazie, Sig. Graziani».
Così i bastardi non hanno archiviato solo il mio codice cliente, che è quanto basta per attribuirmi i punti e magari è AB123ZX e non dice niente sul mio nome, ma l’hanno anche associato alla mia identità.
Così hanno un bel database con dentro tutto quello che mangio. Sanno che non mi piacciono i dolci, ma amo la cioccolata e compro solo la Lindt più sottile e magari, con adeguate offerte e pubblicità, forse potrei cambiare marca. Sanno che mi piace il pesce e che a casa mia c’è sempre il salmone, ma non posso permettermi il caviale. Sanno che non ho bambini perché non ho mai comprato mai ovetti kinder, merendine etc. Sanno anche che sono single, che non vado matto per la verdura e che ultimamente ho inspiegabilmente smesso di acquistare coca-cola.
In definitiva, hanno una buona visione del mio stile e del mio tenore di vita. E tutto questo solo con una carta di raccolta punti. Pensate se si potessero unire tutte le informazioni provenienti da varie fonti. Adesso è chiaro perché, anche sotto questo aspetto, le grandi concentrazioni in cui molte aziende di diverso tipo sono in mano alla stessa società/persona dovrebbero essere bloccate?
La cosa buffa è che, come informatico, questi database a volte li progetto o comunque li vedo da vicino e so cosa si può dedurne, di conseguenza tutte queste cose mi sono ben chiare. E allora perché quell’affermazione mi ha colpito? Non so. Una cosa è saperlo e non pensarci, un’altra sentirselo dire dalla polizia. È come se ti dicessero «guarda che questi dati non sono lì a dormire, qualcuno li usa… siate paranoici!»