skip to main | skip to sidebar
13 commenti

Febbre da Bitcoin: siti sfruttano i computer dei visitatori per generare denaro digitale

Credit: AdGuard.
Se visitate un sito e vi accorgete che la ventola del vostro computer inizia a girare follemente e il computer si scalda parecchio, non è detto che sia colpa del sito progettato maldestramente: potrebbe essere assolutamente intenzionale. Alcuni siti, anche molto famosi, hanno infatti cominciato a sfruttare i computer dei visitatori per generare criptovalute come i Bitcoin.

Le criptovalute, infatti, si basano sul mining, ossia sulla generazione di unità di valuta tramite la risoluzione di complesse equazioni; chi le risolve si tiene le unità di valuta corrispondenti. Il problema è che questi calcoli consumano molta energia e quindi hanno un costo elevato, che i disonesti tentano di far pagare a qualcun altro. Così qualcuno ha pensato di far fare i calcoli ai computer dei visitatori dei siti Web.

Il vertiginoso aumento del tasso di cambio dei bitcoin rispetto alle valute tradizionali ha creato una febbre intorno a questa criptovaluta e ha incoraggiato questa nuova forma di abuso informatico, prontamente battezzato cryptojacking o stealth mining. In pratica, le pagine di un sito contengono del codice che viene eseguito dai computer dei visitatori ed effettua le complesse operazioni matematiche necessarie per generare la criptovaluta a favore del titolare del sito. In pratica, questi siti si arricchiscono facendo lavorare i computer dei loro frequentatori.

Lo ha fatto, per esempio, il popolare sito di download The Pirate Bay, che a settembre ha aggiunto sperimentalmente alle proprie pagine uno script che usava la potenza di calcolo dei dispositivi dei visitatori per generare la criptovaluta Monero e intascarsela. L’intento era trovare un modo per pagare le spese di gestione del sito senza ricorrere alla pubblicità.

Il sistema usato da The Pirate Bay si chiama Coinhive e dopo questo uso sperimentale è iniziato l’abuso: invece di avvisare gli utenti della situazione, come sarebbe corretto fare, un numero crescente di siti molto popolari ha inserito il codice di Coinhive nelle proprie pagine di nascosto. Lo hanno fatto per esempio alcuni siti di streaming video, come Openload, Streamango, Rapidvideo e OnlineVideoConverter, e una filiale di Starbucks è stata colta a usare Coinhive per sfruttare i computer dei clienti che si collegavano al suo Wi-Fi.

I siti di streaming in questione hanno totalizzato quasi un miliardo di visitatori in un mese, per cui si stima che abbiano incassato circa 326.000 dollari in Monero.

In teoria il sistema Coinhive dovrebbe smettere di sfruttare i computer dei visitatori quando lasciano il sito, ma ovviamente c’è chi ha pensato bene di abusare di questo sistema usando un JavaScript che crea nel browser dell’utente una piccola finestra nascosta, nella quale lo sfruttamento continua anche dopo che l’utente crede di aver lasciato il sito.

Starbucks è intervenuta bloccando l’abuso, ma resta il problema degli altri siti, circa 2500 secondo una stima, che continuano lo sfruttamento dei visitatori. Ci sono anche app che sfruttano i dispositivi degli utenti per generare criptovalute che finiscono nelle tasche dei creatori delle app stesse: alcune di queste app sono state offerte in Google Play e scaricate in tutto circa 15 milioni di volte prima di essere scoperte.

Difendersi da questi abusi non è facile, ma si possono usare alcuni adblocker o plug-in per Google Chrome, per esempio seguendo queste istruzioni.
18 commenti

Carte d’identità liberamente scaricabili online: una storia di ordinaria insicurezza

Ultimo aggiornamento: 2017/12/15 10:25. 

Quando raccomando di non inviare via Internet scansioni dei propri documenti d’identità, spesso mi capita di essere accusato di eccessiva paranoia. Ma dai, mi dicono, cosa vuoi che succeda? I siti che chiedono questi documenti li custodiscono bene, no?

No.

Qualche giorno fa mi è arrivata una segnalazione anonima: un sito italiano, Noisigroup.com, che si autodefinisce “il più grande gruppo di incontro Etico e Solidale”, custodiva (si fa per dire) le carte d’identità e altri documenti personali dei propri utenti in chiaro, in una cartella pubblicamente accessibile via Internet.

La cartella era https://noisigroup.com/uploadtmp. Ho salvato una copia della cartella (non dei documenti) su Archive.is.

Chiunque, insomma, poteva trovare e scaricare quei documenti e usarli per autenticarsi altrove e commettere truffe e altri reati dando la colpa al titolare dei documenti.

Piuttosto ironicamente, la “Informativa sulla privacy e trattamento dei dati personali” del sito dichiara che “I sistemi sono dotati delle opportune e necessarie misure di sicurezza per prevenire la perdita dei dati, usi illeciti o non corretti ed accessi non autorizzati.” Come no.

Come se questo non bastasse, ho tentato invano di avvisare i responsabili del sito. Ho inviato mail all’indirizzo indicato nella suddetta informativa, che sono tornate respinte (450 4.1.1 [info@noisigroup.it]: Recipient address rejected: User unknown in virtual mailbox table, seguito stamattina da un bel 450 4.1.1 [info@noisigroup.it]: Recipient address rejected: User unknown in virtual mailbox table).

Ho provato a immettere una segnalazione nel modulo Contatti del sito. Ho dato il mio nome e cognome, mi sono qualificato come giornalista informatico e anche dato un numero di telefono.


Nessuna risposta. I documenti sono rimasti online, alla mercé di chiunque. Documenti come questo, che qui mostro in versione anonimizzata.


Alla fine ho provato a segnalare la situazione alla Polizia Postale italiana, scoprendo però che il modulo online (accessibile soltanto dopo essersi registrati con nome e password) non prevede il caso dei documenti trovati online (numeri di telefono e indirizzi di mail della Polizia Postale sono qui su Facebook).

Grazie anche alle dritte arrivatemi nel frattempo dai lettori, ho segnalato la questione al Garante per la Protezione dei Dati Personali, gratuitamente e con una semplice mail. Il Garante ha avviato un provvedimento di blocco e i documenti ora non sono più online nel sito, ma restano a spasso su Internet, nelle mani di chiunque voglia abusarne.

Purtroppo so, da quello che mi scrivete, che molti siti hanno la stessa irresponsabile sciatteria nel custodire i nostri dati. Conviene quindi imparare a darli il meno possibile.
12 commenti

Ecco perché si raccomanda di usare password differenti

Uno degli errori più comuni nella sicurezza informatica è usare la stessa password dappertutto, nella convinzione che se è sufficientemente complicata non verrà indovinata da nessuno.

Il difetto fatale di questo approccio è che se viene violato uno qualsiasi dei siti nei quali abbiamo usato quella password, i criminali informatici hanno in mano le chiavi di tutti i siti e servizi che usiamo: social network, mail, negozi online, account nelle reti di gioco, eccetera.

Usare la stessa password dappertutto, insomma, è come dare una copia delle proprie chiavi di casa a tutti i negozianti che incontriamo e sperare che tutti, dal primo all’ultimo, le custodiscano con cura perfetta e nessuno se le faccia rubare da un malintenzionato.

Purtroppo non tutti i negozianti custodiscono in modo assolutamente sicuro le password dei clienti. Un caso concreto viene segnalato dalla Centrale d’annuncio e d‘analisi per la sicurezza dell’informazione svizzera (MELANI), che pochi giorni fa ha annunciato che sono stati trafugati i dati d’accesso di circa 70.000 utenti di un noto sito svizzero di vendita di DVD. Secondo HaveIbeenPwned, le password erano custodite in chiaro: l’equivalente informatico di lasciare le chiavi di casa sotto lo zerbino.

Chiunque abbia usato altrove la password che ha usato su quel sito deve presumere che la sua password non sia più un segreto e farebbe quindi bene a cambiarla dappertutto. MELANI ha messo a disposizione un minisito, Checktool.ch, nel quale si può immettere il proprio indirizzo di mail (non la password!) per sapere se si è coinvolti in questo furto di massa.

È importante ricordare che i ladri di password rubano i dati di chiunque e che quindi non bisogna pensare “io non sono nessuno, a chi vuoi che interessi la mia password?”, come purtroppo sento spesso obiettare.

E già che siete in ballo a cambiare le password, attivate la verifica in due passaggi o l’autenticazione a due fattori presente in quasi tutti i siti importanti: fa da ulteriore protezione contro i furti.
8 commenti

Come far sembrare autentico un sito falso: aprire una ditta di nome “Identity Verified”

Ultimo aggiornamento: 2017/12/15 10:35. 

Una delle consuetudini errate ma molto diffuse tra gli internauti è che se un sito mostra accanto al nome un lucchetto chiuso si tratta di un sito autentico e quindi vi si può immettere tranquillamente la propria password (non si tratta, insomma, di un sito-fotocopia di phishing). Questo era abbastanza vero fino a qualche anno fa, ma in realtà oggi il lucchetto indica soltanto che la comunicazione con il sito è criptata e non è più una forma di autenticazione, perché adesso chiunque può procurarsi un certificato digitale di sicurezza (che attiva la visualizzazione del lucchetto) anche gratuitamente, come scrivevo pochi giorni fa.

Il ricercatore di sicurezza informatica James Burton ha trovato un modo ingegnoso per rendere ancora più credibile un sito falso, ed è meglio conoscerlo per non farsi ingannare.

Burton ha aperto una ditta nel Regno Unito (un’operazione molto semplice e poco costosa) e l‘ha chiamata Identity Verified. Poi si è rivolto a Symantec e si è fatto dare un certificato digitale di sicurezza per aziende intestato alla Identity Verified e associato al proprio sito personale Nothing.org.uk, con un periodo di prova gratuito di trenta giorni (il certificato è stato revocato dopo la pubblicazione dell’articolo del ricercatore). Infine ha creato sul proprio sito una copia delle pagine di login di Google e Paypal.

Risultato: una vittima che visita il sito con il proprio iPhone e Safari (per esempio perché ha cliccato su un link in una mail che finge di essere un allarme di Google o Paypal) si trova davanti quello che si aspetta, ossia la schermata di immissione password di Google o Paypal, e vede in alto, al posto del nome del sito (che potrebbe rivelare l’inganno), le parole rassicuranti Identity Verified. Parole che sembrano autenticare il sito, ma sono semplicemente il nome della ditta.

Il browser Safari di Apple, infatti, quando incontra un sito criptato da un certificato digitale di sicurezza, mostra al posto del nome del sito il nome riportato nel certificato.

Va un pochino meglio, ma non molto, con altri browser, come Google Chrome, che visualizzano il nome del sito ma gli affiancano un rassicurante lucchetto verde con la dicitura Identity Verified.

Morale della storia: non fidatevi di quello che vedete nel browser dopo aver cliccato su un link ricevuto in un messaggio di allerta. Meglio ancora, non cliccate su questo genere di link ma visitate manualmente il sito citato nel link, scrivendone il nome oppure usando i Preferiti se l’avete già salvato tra i Preferiti.
20 commenti

Video monetizzabili, motore di fake news

Ultimo aggiornamento: 2017/12/14 20:55.

In questi giorni hanno iniziato a circolare due notizie apparentemente slegate ma in realtà parallele.

La prima riguarda un video che mostra un uomo che cammina in un grande giardino tenendo in mano un telo trasparente: quando lo dispiega davanti a sé, l’uomo diventa invisibile. Sembra quasi che il mantello dell’invisibilità di Harry Potter sia diventato realtà grazie alla scienza, se si dà retta alla descrizione che accompagna il video e che parla di “materiali quantici.. usabili dai militari”, ma in realtà si tratta di un effetto speciale video ottenuto con la tecnica cinematografica nota come chroma key oppure blue screen o green screen: il telo è di un particolare colore (di solito blu o verde) che viene sostituito digitalmente con un’immagine preregistrata di quello che sta dietro il telo, che così sembra creare l’invisibilità.

La seconda ha a che fare con un ventiduenne inglese, Jay Swingler, che ha deciso volontariamente di mettere la propria testa dentro un forno a microonde riempito di schiuma espandente, allo scopo di riprendersi in un video da pubblicare su Youtube insieme ad altri dello stesso genere demenziale. La schiuma si è solidificata e il ragazzo ha rischiato di morire soffocato, ma è stato salvato dall’intervento di ben cinque vigili del fuoco, come riferiscono la BBC e i pompieri delle West Midlands.

Cos’hanno in comune queste due storie? Lo stesso movente: fabbricare video che diventano popolari e generano soldi. Se un video riceve tante visualizzazioni, i social network e i siti come Youtube pagano i suoi creatori in cambio del diritto di inserirvi pubblicità. Questo meccanismo di monetizzazione dei video ha creato una vera e propria industria amatoriale di video falsi, con contenuti spesso scioccanti o demenziali, costruiti a tavolino per far parlare di sé ed essere condivisi, che non esisterebbero se non ci fosse l’incentivo del guadagno. E ci sono anche sciacalli che rubano i video virali altrui per monetizzarli.

Il video del mantello dell’invisibilità, per esempio, proviene dal social network cinese Weibo, ma è stato visto 32 milioni di volte da quando è stato condiviso su Facebook ed è stato citato da numerose testate giornalistiche (specificando chiaramente che si trattava di una finzione). Il video del gesto d’incoscienza del ragazzo britannico ha accumulato oltre tre milioni di visualizzazioni in pochi giorni. Questo significa che chi li ha pubblicati riceverà qualche migliaio di euro di compenso.

La monetizzazione su Internet di video falsi o fabbricati è una delle ragioni del boom delle notizie false basate su questi video: costano poco e rendono molto, anche per le testate giornalistiche che le ripubblicano senza verificarle. I social network stanno correndo ai ripari togliendo le pubblicità, e quindi l’incentivo economico, ai video che incoraggiano o promuovono comportamenti dannosi o pericolosi, ma questa rimozione avviene soltanto se un video viene segnalato dagli utenti (è successo per il video della testa nel microonde). Spetta quindi a noi utenti, insomma, agire per disincentivare questa forma di fake news.


Fonti aggiuntive: Bufale.net; Gizmodo; Snopes.com. Questo articolo è il testo preparato per il mio servizio La Rete in 3 minuti per Radio Inblu del 14 dicembre 2017.
Articoli precedenti