Archivi categoria: TV

Con Le Iene su Assistenti Vocali e Privacy

Martedì è andato in onda un nuovo servizio TV de Le Iene dove ho dato il mio piccolo contributo per illustrare alcune problematiche di sicurezza degli assistenti vocali e dei sistemi di comando tramite voce delle App su smartphone e su piattaforme come Amazon con Alexa, Apple con Siri o Google con Home e Assistant.

Nicolò De Devitiis e Marco Fubini ci mostrano nel servizio de Le Iene, con filmati e interviste, come ormai gli assistenti vocali possono gestire buona parte della nostra vita, in casa ma anche sul nostro Smartphone. Possono indirizzarci verso acquisti legati alla piattaforma che stiamo utilizzando e guidarci nelle scelte in base, ovviamente, a criteri di mercato che portano a prediligere ciò che per il produttore del dispositivo è più conveniente. Questo sia che si tratti di Alexa con Amazon, sia degli assistenti vocali di Google e Apple.

Nel servizio “Assistenti vocali e privacy: siamo certi di essere al sicuro?” de Le Iene si parla anche di sicurezza e privacy, per il fatto che senza un adeguato controllo, si corre il rischio che le App su smartphone e sugli assistenti vocali “ascoltino” anche quando non devono, riuscendo quindi a rilevare quando siamo in casa o cosa stiamo dicendo e facendo.

Chiunque può verificare, ad esempio, ciò che Google ha tracciato accedendo alla pagina My Activity e osservando come ogni ricerca, ogni App utilizzata, ogni dispositivo utilizzato viene quotidianamente tracciato e archiviato. Filtrando poi per “Assistente” e “Voce e Audio” è possibile ottenere l’elenco delle registrazioni audio fatte dagli Assistenti Google e dalle App completo di file sonoro da asoltare e persino traduzione del testo che è stato pronunciato.

Paolo Dal Checco a Le Iene - Privacy e Sicurezza degli Assitenti Vocali

L’aspetto rilevante è che in diversi casi le registrazioni riguardano momenti nei quali la dettatura non era stata richiesta, l’assistente cioè si è autonomamente attivato e ha ascoltato, registrato e trascritto. Nulla di grave, i file audio si possono rimuovere così le trascrizioni, rimane però il fatto che spesso l’utente non è consapevole delle attività automatiche di questi assistenti – su smartphone o assistenti vocali come Home o Alexa – che possono “ascoltare” e registrare anche quando l’utente non se lo aspetta, tranne ovviamente quando sono stati disabilitati.

Altri aspetti da tenere in considerazione oltre alla sicurezza sono, ad esempio, il tracciamento dello storico dei movimenti, che Google memorizza nella sua Location History dove troviamo giorno per giorno le posizioni ricavate tramite GPS, WiFi e celle telefoniche da Google per il tracciamento dei nostri movimenti. Ovviamente questa funzionalità deve essere abilitata ma capita molto spesso che gli utenti la ritrovino operativa senza averla esplicitamente attivata: è sufficiente, tra l’altro, visitare il link riportato qui sopra per verificarne l’operatività sul proprio account Google.

In ambito di perizie informatiche ove vi sia necessità di ricostruire le posizioni di un soggetto nel tempo, può rivelarsi strategica questa funzionalità, che ovviamente richiede l’utilizzo di uno smartphone da parte del soggetto ma che molto spessi si dimostra essere attiva e piuttosto precisa.

Con Le Iene sui Motori di Ricerca

Continua la collaborazione con la trasmissione TV Le Iene di Mediaset per un nuovo servizio sulla tecnologia, nel quale Nicolò De Devitiis mostra le differenze tra i vari motori di ricerca, in termini di profilazione, mostrando alcune alternative e soluzioni da adottare per chi vuole capire meglio quali siti stanno profilando a fini pubblicitari e a quali dati sono in grado di accedere.

Marco Montemagno, intervistato da Nicolò, illustra le basi commerciali che sottendono alla profilazione di Google, Bing e i vari motori di ricerca che fanno della pubblicità mirata il loro business, presentando anche il concetto di “filter bubble” che fa sì che ognuno abbia una visione “personalizzata” dei risultati di ricerca, legata all’IP da cui sta navigando, alla lingua, al browser, al dispositivo (smartphone, PC, tablet, etc…) e persino alla marca del proprio notebook o cellulare.

Il mio intervento invece verte sull’analisi dei dati che i motori di ricerca possiedono di chi li utilizza e di come questi dati vengono incrociati in modo da produrre un profilo utile per chi fa advertising al fine di profilare meglio le proprie pubblicità. Occupandomi da anni di Perizie su Google, Bing, SEO e motori di ricerca e ma anche di perizie forensi su siti web, indicizzazione, Google Ads (un tempo AdWords) e Google Adsense, ho avuto modo di approfondire i princìpi su cui si basano le tecnologie di tracciamento. Nel servizio TV per Le Iene ho accennato, quindi, a come i cookies sono uno degli strumenti principali (seppur non l’unico) con il quale i motori di ricerca, i siti e i social network come Facebook, Twitter o Linkedin riescono a riconoscere l’utente seguendolo nel suo percorso di navigazione per proporgli pubblicità sempre più attinenti e mirate.

Nel servizio TV de Le Iene Nicolò mostra alcuni motori di ricerca alternativi a Google e Bing, come Ecosia e Qwant, che promettono di non profilare l’utente e, nel caso di Ecosia, di destinare parte dei proventi ottenuti dal sito al ripopolamento degli alberi. Ovviamente la scelta spetta all’utente, i servizi offerti da motori di ricerca come Google e Bing sono spesso incomparabili a quelli dei concorrenti e la profilazione – se fatta correttamente – non fa altro che personalizzare maggiormente le pubblicità. Ci sono però soggetti che preferiscono sapere di non essere “seguiti” durante la navigazione o nelle loro attività su smartphone o PC, ai quali le alternative al tradizionale BigG possono essere più congeniali nonostante magari la qualità dei risultati sia inferiore.

Per concludere, ho mostrato come ognuno di noi può sapere ciò che i vari siti, servizi e motori di ricerca conoscono del nostro profilo, semplicemente sfruttando ciò che il GDPR ha imposto alle società: la portabilità dei dati. Funzioni come “Google Takeout” permettono di esportare da Google tutti i nostri dati e visionarli in dettaglio, allo stesso modo in cui la funzione di esportazione del profilo di Facebook, Twitter, Instagram, Linkedin e altri servizi ci permette di ottenere una copia dei nostri dati e, volendo, di eliminarli.

Servizio TV sulla truffa delle ping calls con Le Iene

Domenica è andato in onda su Italia Uno il servizio delle Iene di Nicolò De Devitiis e Marco Fubini sulle Ping Calls, con il mio piccolo contributo volto a spiegare tecnicamente come funziona questa truffa delle telefonate che svuotano il credito e come difendersi.

Le ping calls sono brevi telefonate che riceviamo sul nostro cellulare da numeri stranieri (Tunisia con prefisso +216, Moldavia con prefisso +373, Regno Unito con prefisso +44, etc…) alle quali non facciamo in tempo a rispondere. Se richiamiamo, incorriamo in tariffe di rilievo (anche alcuni euro al secondo) perché le numerazioni sono registrate presso servizi di IPRN (International Premium Rate Numbers) con costi notevolmente più alti di quelli di una normale telefonata estera.

NicolÃÃ² De Devitiis e Paolo Dal Checco - Ping Calls per Le Iene

Nel servizio, Nicolò De Devitiis de Le Iene e Paolo Dal Checco mostrano come, chiamando uno dei numeri da cui riceviamo telefonate, viene prosciugato il credito del telefono anche di diversi euro al minuto. La truffa delle Ping Calls è nota anche con i nomi di “one ring call”, “one ring phone scam”, “wangiri fraud”, “one ring and cut”, “wangiri scam”, “missed call fraud” e identifica sempre il meccanismo della telefonata breve, o squillo, finalizzato ai incuriosire il destinatario che richiama, magari preoccupato o solo per curiosità, svuotando il credito telefonico se rimane per molto tempo in ascolto durante la telefonata.

Se si risponde alle telefonate che provengono dalla Tunisia o da paesi esteri non viene scalato il credito telefonico, mentre se si richiama viene applicata la tariffa della numerazione IPRN utilizzata, che può arrivare a diversi euro in pochi secondi anche se dall’altra parte si sente soltanto una musichetta o risponde qualche ignaro destinatario.

Non è raro che vengano richieste perizie o analisi di tabulati telefonici anche da parte delle vittime di questo tipo di truffa, per quanto non siano in realtà necessarie, dato che le modalità e i contorni della truffa delle telefonate con gli squilli interrotti dalla Tunisia o dai paesi esteri sono ormai state chiarite: si deve semplicemente evitare di richiamare il numero che ha chiamato, così da non incorre in tariffazioni ad alto costo.

Collaborazione con Le Iene per il servizio sulla truffa dei Rolex

Oggi è andato in onda il servizio per Le Iene al quale ho collaborato supportando Luigi Pelazza con alcune ipotesi sulle modalità tecniche con le quali viene perpetrata la truffa dei Rolex, oggetto del servizio TV visionabile a questo link sul sito Mediaset.

La truffa descritta nel servizio de Le Iene dall’inviato Luigi Pelazza funziona in questa maniera: la vittima mette in vendita un Rolex e viene contattata dal potenziale compratore che si offre di acquistare a prezzo pieno pagando con assegno circolare. I due s’incontrano presso la banca del compratore ed entrano per far verificare l’assegno alla direttrice, che procede alla verifica chiamando il numero di telefono della banca emittente e chiedendo conferma al direttamente direttore. Il direttore delle banca emittente conferma che l’assegno è coperto e il venditore lascia il Rolex al compratore trattenendo l’assegno che però, una volta tentato l’incasso, risulterà falso nonostante la banca emittente – che a questo punto abbiamo intuito non era realmente lei al telefono – ne avesse confermato la copertura.

Paolo Dal Checco a Le Iene per la truffa dei Rolex

Gli aspetti tecnici della truffa dei Rolex riguardano la deviazione di chiamate telefoniche verso il numero di telefono dei truffatori, all’insaputa della direttrice della banca del venditore che è convinta di parlare con un suo collega presso la banca emittente dell’assegno. La direttrice della banca ricevente chiama infatti il numero corretto, al quale risponde normalmente la banca emittente ma, durante la truffa, viene attivata una sorta di redirezione del numero chiamato verso un’utenza scelta dai truffatori. Non si tratta quindi in questo caso di sostituzione (o spoofing, tecnicamente) del numero chiamante, bensì d’intromissione nel numero chiamato.

Poiché vi è alta probabilità che le banche si avvalgano di numerazioni e linee VoIP, si ritiene probabile che l’attacco sia avvenuto sul portale di gestione delle utenze VoIP o persino direttamente sul server PBX VoIP (es. Asterisk) impostando un inoltro chiamata oppure facendo override temporaneo sull’utenza stessa. Le ipotesi investigative sono molte e, tecnicamente, le modalità con le quali può avvenire una sostituzione di utenza telefonica chiamata sono molte, solamente una perizia informatica sui sistemi VoIP sarebbe in grado di fornire una risposta esatta. Si va dal phishing che può aver permesso ai truffatori di accedere al portale di VoIP Management, a un attacco al PBX locale della filiale o al server VoIP della rete bancaria, lato GUI/la web frontend oppure lato SSH con modifica diretta dei file di configurazione (più difficile da identificare).

Resta il fatto che una semplice conferma telefonica, a questo punto, non è più sufficiente per garantire l’originalità di un dato. Non lo è se siamo noi i chiamati (sappiamo bene che lo spoofing del numero chiamante è banale) ma neanche se a chiamare siamo noi e risponde qualcun altro (sappiamo ora che anche sostituirsi al destinatario di una chiamata non è, in alcuni casi, troppo complesso). In genere, una perizia telefonica è in grado di accertare almeno i contorni di eventuali truffe, raggiri e identificare il reato commesso, così da poter produrre una perizia forense a fini giudiziari.

Con Le Iene sulla sicurezza delle password online

Domenica è andato in onda il servizio dove la iena Nicolò De Devitiis ha presentato un servizio al quale ho dato il mio modesto contributo come esperto di sicurezza e informatica forense per illustrare la problematica dei furti di password che tutti abbiamo prima o poi subito e dei rischi che corriamo, dando alcuni suggerimenti su come difendersi e tutelare la nostra sicurezza online.

Le Iene - Dal Checco nel servizio sulle password rubate

Il servizio per Le Iene sulla sicurezza online delle nostre password, con Nicolò De Devitiis, è andato in onda in prima serata su Mediaset e ha avuto un ottimo riscontro da parte del pubblico che ha seguito i suggerimenti mostrati nel video per verificare se il proprio account o la propria password sono stati compromessi e distribuiti in uno dei vari data breach occorsi ai servizi dove ci siamo registrati in passato.

In particolare, nel servizio de Le Iene presentato da Nicolò De Devitiis su Mediaset ha avuto successo il sito Have I Been Pwned che, permettendo a chiunque di verificare le proprie password e i propri account, ha ricevuto durante la serata una così grande quantità di accessi da allarmare l’ideatore del servizio, il ricercatore Troy Hunt, che su Twitter ha segnalato l’anomalia ipotizzando inizialmente un attacco informatico e rilevando poi che invece si trattava di decine di migliaia di accessi provenienti dall’Italia.

Ad accompagnare il servizio de Le Iene sulle password e i data leak, segnalo l’ottimo intervento del Vice Questore Aggiunto della Polizia Postale, Rocco Nardulli, che ha fornito suggerimenti preziosi e indicazioni sulle tipologie di reato che commette chi scarica e diffonde credenziali rubate.

Interessante approfondimento della iena Nicolò De Devitiis e del Vice Questore Aggiunto Rocco Nardulli quello sulle truffe dei bonifici deviati su falsi IBAN, chiamate anche “Man in The Mail”, a causa delle quali aziende e persino squadre di calcio hanno perso milioni di euro a causa di bonifici emessi verso conti dei criminali invece che verso i conti dei reali destinatari, a causa di attacchi alla posta elettronica o attività di social engineering.

Studio d'Informatica Forense

Perizie Informatiche Forensi, CTP e CTU in Processi Civili e Penali