Categoria: HardwareSoftware

Autore: AnandTech

La settimana scorsa riportavamo la notizia del ritorno del “balzello” sulla connettività 4G per gli utenti 3 Italia. A circa un anno di distanza dall’abolizione del costo aggiuntivo l’operatore telefonico è tornato sui suoi passi, richiedendo una spesa di 1 € al mese per sfruttare le connessioni più veloci disponibili. 3 Italia propone naturalmente un metodo per rifiutare l’attivazione del servizio agli utenti che non dispongono di uno smartphone compatibile o a quelli meno interessati, ma secondo l’Aduc non basta.

L’Associazione per i Diritti degli Utenti e Consumatori ha infatti denunciato l’operatore telefonico all’AGCM per pratica scorretta “affinché aprano un procedimento contro H3G chiedendo – soprattutto – di emanare un provvedimento cautelare di sospensione immediata dell’attivazione a pagamento dell’opzione 4G LTE”. Le inottemperanze di fronte alle norme presenti in Italia, secondo l’Associazione, sarebbero molteplici, tutte ai danni del consumatore finale.

Gli utenti vengono a conoscenza delle nuove modifiche nel piano tariffario principalmente attraverso un SMS: “Variazione contrattuale dell’opzione 4G LTE: dal 29/8 il costo dell’opzione diventa 1€ al mese IVA incl. Può disattivarla entro il 22/8. Info tre.it/lte”. Ma secondo l’Aduc ci sono alcuni aspetti da chiarire di fronte alle Autorità: prima di tutto la “variazione contrattuale” dettagliata nel messaggio è in realtà una “attivazione non richiesta”, simile a quelle di Vodafone Exclusive, TIM Prime, Wind Maxi.

In più, come effettuato dai concorrenti, H3G usa una pratica furba e aggressiva per garantire la riscossione del balzello mensile: attiva gratuitamente il servizio 4G LTE per poi richiedere una variazione a pagamento anche a chi di fatto non può usufruirne: “Non di modifica contrattuale si tratta, quindi, a nostro avviso ma di attivazione di servizio non richiesto, pratica commerciale scorretta e aggressiva che viola il Codice del Consumo”, si legge nella nota stampa rilasciata da Aduc.

Illegittime, secondo l’Associazione, anche le modalità di comunicazione. Nel messaggio inviato agli utenti non si fa alcun riferimento al diritto di recesso contrattuale, ma solo alla possibilità di disattivare il servizio. Quindi l’utente deve attivarsi ulteriormente anche per capire come recedere dal contratto con 3 Italia, diritto garantito dalla normativa attualmente in vigore. Secondo l’Aduc la modalità di comunicazione usata da H3G è “estremamente macchinosa”.

Sospette anche le tempistiche. Sulla nota leggiamo: “L’operazione viene compiuta comunicando a fine luglio una modifica operativa da fine agosto, cioè nel periodo in cui la maggior parte degli italiani è in vacanza, è più distratta ed è quindi più probabile che dia meno peso al messaggio ricevuto, oppure rimandi di occuparsene al rientro delle vacanze per poi dimenticarsene”.

Oltre alla denuncia all’AGCM, Aduc si rivolge agli utenti dell’operatore consigliando loro alcune pratiche da seguire:

Autore: Le news di Hardware Upgrade

I ricercatori di sicurezza Gaby Nakibly, Jaime Schcolnik e Yossi Rubin sono riusciti a delineare i dettagli di un attacco hacker che lo scorso anno ha colpito un vasto numero di siti web dedicati al gioco d’azzardo e del quale ancora non era stato possibile venire a capo. Una relazione dimostrativa sarà presentata in occasione della Black Hat conference, che si svolgerà dal 30 luglio al 4 agosto a Las Vegas.

Il fattaccio risale a circa un anno fa, quando gli utenti di vari siti di gioco d’azzardo hanno iniziato a riscontrare una serie di comportamenti anomali, con inusuali finestre di pop-up che offrivano codici di accesso ad altri siti di gambling di terze parti. I link verso i siti incorporavano tag di affiliazione e nel contempo i visitatori venivano attaccati, senza che i responsabili dei siti compromessi riuscissero a capire da dove arrivassero gli attacchi.

Michael Corfman, executive director della Gambling Professional Webmasters Association, l’organizzazione presa di mira dall’attacco, ha dichiarato: “Abbiamo monitorato con attenzione il traffico proveniente dai nostri server perché abbiamo considerato con estrema serietà questa situazione. Il monitoraggio non ha però mostrato alcun problema, il che è abbastanza incomprensibile”.

I ricercatori hanno però individuato che nell’attacco veniva coinvolto un sito web registrato ad una falsa identità rumena, nonostante il centro degli attacchi apparisse come il sito web dell’associazione, GPWA.org. Nakibly osserva però che la GPWA opera un servizio di certificazione erogando un badge ai suoi 2476 siti affiliati. Questi badge vengono caricati direttamente da GPWA.org, il che significa che un singolo attacco di intercettazione potrebbe andare a colpire i visitatori di tutti i siti in una volta sola.

Quando il browser web deve caricare una pagina, invia una richiesta al server che la ospita: tale richiesta viaggia attraverso varie reti differenti, da quella del fornitore di servizio di connettività, a quella dell’intermediario che opera la dorsale, per arrivare alla rete locale del server dove risiede il sito. I ricercatori hanno individuato che la richiesta verso la GPWA.org veniva duplicata ad un certo punto del suo percorso, e la copia inviata ad un server controllato dagli attaccanti. In risposta ad una singola richiesta, pertanto, il browser dell’utente riceveva due risposte: una proveniente da GPWA.org e una dal sito QPWA.org, registrato alla falsa identità rumena di cui sopra. Entrambe le risposte venivano indirizzate attraverso le stesse reti, e in molti casi il pacchetto QWPA arrivava per primo a destinazione. Dinnanzi a due risposte alla stessa richiesta, il browser ignora quella arrivata per ultima, di norma il pacchetto GPWA.

Il risultato per l’utente è lo stesso che si avrebbe nel caso di un tradizionale attacco di tipo injection: si richiede un file da un sito, se ne ottiene uno da un sito terzo. A differenza di questo genere di attacchi, che avvengono a livello dell’Internet Service Provider cui l’utente si appoggia, questo nuovo tipo di attacco può andare a bersagliare chiunque vada a caricare un contenuto dal sito GPWA.org, che per via dei badge di certificazione caricati da remoto va in realtà a coprire migliaia di siti web. Osservare i log dei server non conduce ad alcunché dal momento che tutto ciò che si riscontra è una richiesta di file alla quale viene data una risposta.

Nakibly descrive questo tipo di attacco come “out-of-band”: dal momento che questi pacchetti possono essere inviati ovunque dalla rete, l’attacco può essere ben più versatile e difficile da individuare rispetto ad un normale attacco man-in-the-middle. La compromissione sembra essere avvenuta sulla rete locale operata da Information Technology Systems, che ospita GPWA.org e opera l’infrastruttura che connette i server ad internet. Il gruppo ha preso di mira solamente i visitatori che giungevano sul sito tramite una ricerca Google e hanno attaccato ciascun indirizzo IP solamente una volta, rendendo particolarmente difficile per i ricercatori replicare l’attacco.

Resta da capire chi possa essere l’autore primo dell’attacco, ma Corfman nutre qualche sospetto sui titolari di due network di casinò online, che lo scorso anno sono finiti a processo con l’accusa di attacchi informatici contro altri siti di gambling. Tali attacchi sono avvenuti nello stesso momento in cui anche i sisti della GPWA sono stati presi di mira. Non vi è alcuna prova evidente del coinvolgimento di queste persone, ma alla luce delle accuse esplicitate nel processo, Corfman crede che essi possano essere uno dei pochi gruppi capaci di progettare un attacco del genere. “Adesso è chiaro ciò che volevano fare, ma allora non ne eravamo a conoscenza” ha osservato Corfman.

Autore: Le news di Hardware Upgrade

Il team di WhatsApp ha posto grande enfasi sull’aspetto della sicurezza delle conversazioni effettuate tramite la popolare app di messaggistica istantanea, introducendo la crittografia end-to-end dei messaggi inviati e ricevuti e delle chiamate. Eppure, i margini di miglioramento per assicurare la tutela delle informazioni personali sono ancora presenti, come sottolinea Jonathan Zdziarski, un ricercatore esperto del sistema operativo iOS che punta l’indice sul sistema di cancellazione delle conversazioni. 

Secondo l’analisi del ricercatore, i messaggi cancellati, pur non essendo più visibili dall’utente, lasciano ugualmente una traccia che, con opportuni mezzi, può essere recuperata da chi ha accesso allo smartphone o ai backup dei dati memorizzati nel cloud. Tali tracce, infatti, oltre ad essere presenti nella memoria dello smartphone sono copiate nei backup di iCloud e sul desktop. Mentre iTunes consente di effettuare la crittografica dei backup, lo stesso non è possibile fare con i dati in iCloud. Il rischio messo in evidenza dal ricercatore è che, ad esempio, un’autorità di polizia possa chiedere ad Apple di accedere al backup di iCloud, recuperando le conversazioni WhatsApp cancellate. 

Il ricercatore afferma che WhatsApp non è l’unica app di messaggistica per iOS a lasciar traccia delle conversazioni anche dopo averle rimosse, la stessa app nativa iMessage presenterebbe un comportamento analogo. La responsabilità sarebbe riconducibile alla libreria SQLite utilizzata per sviluppare tali applicazioni, che non sovrascrive i dati sino a quando lo spazio di storage utilizzato in precedenza non viene sovrascritto con nuovi dati. 

Quali sono i reali rischi per la sicurezza dei dati personali? Partendo dal presupposto che per ricavare i dati dalle tracce lasciate dalle chat eliminate occorrono competenze e mezzi che vanno oltre quelli di cui dispone l’utente medio, le preoccupazioni dovrebbero essere ridimensionate. Zdziarski, in ogni caso, suggerisce agli utenti che hanno particolarmente a cuore i temi della sicurezza di utilizzare alcuni accorgimenti che potrebbero evitare la diffusione indesiderata di dati. In primo luogo, scegliere una password molto efficace e sicura per proteggere il backup dello smartphone utilizzando iTunes e tenerla esclusa dal Portachiavi iCloud. 

Inoltre, si sarebbe consigliabile disattivare i backup tramite iCloud perché, come detto, non criptati e accessibili via cloud –  in maniera lecita dalle autorità di polizia sulla base di un’apposita ordinanza  o in maniera illecita da hacker che potrebbero riuscire ad entravi in possesso. Altro suggerimento è quello di procedere, di tanto in tanto, alla disinstallazione completa dell’app che elimina i vecchi registri della chat e alla successiva reinstallazione. 

Le tematiche messe in evidenza dalla ricerca di Zdziarski sono particolarmente attuali alla luce dei contrasti emersi tra i gestori di WhatsApp e le autorità governative proprio in merito al sistema crittografico end-to-end. Si può ricordare, nello specifico, il braccio di ferro tra WhatsApp e i giudici brasiliani che hanno più volte disposto la sospensione del servizio di messaggistica a seguito del rifiuto dei gestori del servizio di fornire i registri delle conversazioni nell’ambito di un’inchiesta giudiziaria. WhatsApp aveva giustificato la sua decisione affermando di non aver accesso a tali dati protetti dal sistema crittografico end-to-end. La scoperta del ricercatore offre una visione differente sulla possibilità di accedere a tali informazioni. 

Autore: Le news di Hardware Upgrade

Autore: AnandTech