Il taccuino di Armando Leotta Rotating Header Image

Privacy

MyTim, profilo utente o profilo 187, come preferite. La strana presenza e l’imbarazzante supporto TIM via twitter #lin #fb

Mi piacerebbe capire cosa sia successo al MIO profilo per vedere abilitata come mail associate – al MIO profilo – un’indirizzo di una perfetta sconosciuta.

Chi ha aggiunto Antonella Mattei? (non è una nuova fiction)

Chi ha aggiunto Antonella Mattei? (non è una nuova fiction)

 

Qualcuno dovrebbe spiegarmi chi è costei, perchè la sua mail è tra le mie, abilitate e associate al mio profilo.

Scommetto vi starete domandando: “Il profilo è il tuo, l’avrai abilitato tu e non ti ricordi”. NO, non sono stato io. Non entro abitualmente sul portale Tim. Me lo sarei ricordato, potete giurarci.

Ho chiesto spiegazioni via twitter a TelecomItalia:

 

Richiesta supporto TIM via twitter

Un retweet, nessuna risposta.

Dopo circa 5h di silenzio:

tweettelecom2

Dopo un po’ di tempo mi arriva l’invito a fornire info e dettagli via DM.

C’è poco da dettagliare, ho già scritto palesemente tutto quello che c’era da scrivere.

Supporto Telecom

 

Questo è il “supporto”.

TI ritrovi una perfetta sconosciuta abilitata sul tuo profilo? Chi è? Che fa? Cosa ha fatto? Cosa poteva fare? Perchè? Chi l’ha messa lì? Perchè non sono stato informato? Chi l’ha autorizzata?

Le domande sono tante ma la risposta del supporto è CHIARA e UNIVOCA: se non la conosci, toglila no? #echediamine aggiungerei io.

Ovvio, scusate: sono io che ho altre idee di privacy, riservatezza e sicurezza. Ah sì, anche di supporto.

 

#F A I L

Gentilissimi, grazie.

 

 

P.S.: Non uso nemmeno le mie mail @alice.it, nel caso vi meravigliasse il fatto di non averle oscurate.

Non le uso, il motivo risiede in un altro “supporto” da parte di Telecom (NON supporta IMAPS / SMTPS o perlomeno non mi hanno saputo dare indicazioni nemmeno su questo).

imaps0 imaps2 imaps1Per non parlare delle “informazioni” in DM.

Lasciamo stare, è meglio.

Gmail e virus in allegati cifrati

Devo dire che non so da quanto tempo è presente questa “feature“.

Oggi ho avuto la necessità di inviare per mail un allegato contenente un codice malevolo.

Un’attività di routine, nulla di strano o di incredibilmente complicato. Si salva il codice archiviandolo in un archivio compresso e cifrato con password e si spedisce senza grosse difficoltà.

Puoi trovare il server che ti rifiuta l’invio in quanto non riesce ad esaminare preventivamente l’allegato essendo cifrato.

Quello che non mi è mai successo prima è trovare il client (e già qui è interessante il ruolo proattivo) che ti vieta l’invio in quanto riconosce che l’allegato contiene un virus.

gmail blocca il caricamente di un allegato infetto DENTRO uno zip cifrato

gmail blocca il caricamente di un allegato infetto DENTRO uno zip cifrato

Il fatto che dopo qualche secondo dalla fine dell’upload ti sia inibito l’invio per “Virus detected” fa pensare. Ripeto: zip compresso e cifrato con password.

 

 

*** EDIT ***

Per arricchire le informazioni a contorno vi dico che il file zip cifrato era compresso volutamente con la compressione migliore (dunque computazionalmente più pesante).

Il metodo di encryption, AES-256 compatibile con winzip (uso un mac).

Dettagli della compressione e cifratura

Dettagli della compressione e cifratura

 

Per verifica, onde evitare falsi positivi ovvero “non accetto file cifrato nel dubbio fossero infetti e restituisco stringhe allarmanti ma non ho idea di cosa ci sia dentro ma fa molto figo” ho usato gli stessi parametri su un file innocuo:

sample cifrato e non infetto

sample cifrato e non infetto

 

 

Ecco, adesso il quadro è decisamente più completo.

Che dire?

NOTA: alla fine l’ho inviato tramite la webmail di libero, chiaramente senza problemi di caricamento, invio o consegna.

 

*** UPDATE ***

malware cifrato con password di 8 caratteri, un carattere numerico e una lettera maiuscola

malware cifrato con password di 8 caratteri, un carattere numerico e una lettera maiuscola

**** Usando una password complexity migliore (8 caratteri, almeno un maiuscolo, almeno 1 numero) il sample viene correttamente spedito e consegnato. ****

 

Evidentemente effettua un check con un dizionario non particolarmente esteso (performance? costo computazionale?).

Resta da capire perchè entra nel merito di un allegato che intendo spedire cifrato, malevolo o meno.

Sarebbe interessante approfondire  i TOS & AUP.

 

*** UPDATE 2 ***

Ho inviato a VirusTotal i due file cifrati.

Per quello con password complessa nessuno dei motori di scansione riportava anomalie (solo 2 su 54 dichiarava di non riuscire ad ispezionare il file – time out -).

Quello con password semplice, lo stesso intercettato da gmail in fase di upload, è stato rilevato solo da F-prot:

F-Prot rileva un virus (archivio zip con password)

F-Prot rileva un virus (archivio zip con password)

Chissà,  Gmail si appoggia (anche) a quel motore?

Le reti sociali ed i nativi digitali: approcci, consapevolezza e riflessioni congiunte #natividigitali

Circa 400 ragazzi tra i 10 ed i 13 anni ed una cinquantina di genitori.

Questi sono i numeri di un ciclo formativo-informativo che ho tenuto in una scuola media nel Lazio.

Consapevolezza e nativi digitali

L’iniziativa, totalmente gratuita, nasce dalla solita voglia di condivisione e dalla consapevolezza che determinati aspetti vadano affrontati nei luoghi, tempi e modi opportuni.

Ecco che prende forma il ciclo dal titolo: “Le reti sociali ed i nativi digitali: approcci, consapevolezza e riflessioni congiunte” che allego di seguito a beneficio di tutti.

L’ausilio multimediale, come vedete, è rappresentato da una presentazione a metà strada tra la demo classica e l’ignite, occasione interessante per saggiare l’interesse di quest’ultima modalità sia da parte dei discenti che degli stessi professori.

In primo luogo, l’approccio ignite è stato particolarmente apprezzato specialmente dai docenti che hanno chiesto dettagli sulla nuova modalità.

In secondo luogo, l’interesse di un buon 90% della platea è stato attento e partecipato.

Osservazioni

Tanti alunni e professori: onore al merito alla dirigenza scolastica che ha creduto in questa iniziativa.

In rapporto, pochi genitori. La sessione dedicata ai genitori, seppur ben pubblicizzata, ha visto adesioni ridotte rispetto alle aspettative ed al numero degli alunni coinvolti.

Dalla sezione “domande & risposte” se da una parte è emerso interesse per modificare la  (prevedibile) ingenuità nella gestione della propria “identità digitale” dall’altra svariate domande specifiche sulle scommesse online, i siti che le accettano e sulla costruzione degli stessi mi hanno indottoancora una volta a riflettere su come sia esplosa negli ultimi anni la questione scommesse online (spesso legate al cyber laundering, riciclaggio online del denaro sporco, ndr) e su quanto i nostri giovani siano impreparati e vulnerabili sebbene smaliziati e informati. Già, il target è proprio i nativi digitali.

Cambio gestore telefonia fissa: privacy e sciacallaggio delle compagnie telefoniche #telco #fail

C’era una volta uno scenario.

Utenza domestica fonia e dati con il medesimo fornitore, diciamo Telestacco, per dargli un nome di fantasia.

Numero riservato: non compare in elenco nè possono essere fornite informazioni tramite operatore.

Il nostro protagonista di fantasia che chiameremo Armando decide di aderire ad un’offerta fonia e dati di un altro operatore, chiamiamolo Tiscallopizzette.

Verifica copertura preventiva in autonomia tramite sito web: ok.

Verifica tramite operatore telefonico: ok.

La 20 MB c’è, è possibile proseguire con il contratto.

Come mai l’operatore Telestacco nonostante più volte sollecitato non abbia mai valutato di offrire pari servizio appare un misterioso suicidio commerciale. Ma questa è un’altra storia (cit.).

Torniamo alla principale.

Nel contratto di adesione il nostro protagonista spulcia attentamente le clausole relative alla privacy maniaco com’è e fornisce  solo ed esclusivamente i consensi obbligatori, non quelli facoltativi e pubblicatari a beneficio di terzi.

Non è mai arrivata una telefonata a carattere commerciale visto che comunico a terzi solo numeri di telefonia mobile.

Fino ad oggi.

Sì perchè il nostro protagonista riceve due telefonate di questo tipo (da numeri improbabili o sconosciuti/riservati):

“Buongiorno, è il servizio di telefonia. La chiamo per il cambio gestore che ha chiesto ieri”

E siccome il nostro protagonista è notoriamente uno scassam* sospettoso: “Scusi, non ho capito quale compagnia telefonica ha detto: può ripetere?”

“Ehm… sono dell’operatore Ciucciafone e chiamavo per il cambio gestore”

“Meraviglioso. Ho chiesto il cambio gestore ma decisamente non a Ciucciafone nè dovreste essere a conoscenza di questo numero nè lei nè Ciucciafone…”

Silenzio…

“Vabbè…Clic”

Comunicazione interrotta.

Ma che strana coincidenza.

Poco dopo, analoga chiamata, analogo contenuto informativo:

“Buongiorno! Ci risulta che ha chiesto il cambio gestore telefonico su questo numero. E’ corretto?”

“Con chi parlo scusi?”

Infostracci signore, chiamo per il cambio del gestore: lo ha richiesto lei?”

“Sì ma non ad Infostracci che non dovrebbe nemmeno avere il mio numero. Saluti.”

“Clic”.

Stavolta è il nostro protagonista a chiudere la comunicazione anzitempo.

Morale della favola odierna

Pare che si sia aperto il vaso di Pandora: nonostate le accortezze normative e di riservatezza il nostro protagonista viene chiamato (anche con sistemi automatici viste le numerazioni alle quali non ha risposto) da svariate compagnie TRANNE da quelle interessate dal passaggio.

Meravigliosa Italia. AlphaPrivacy, dove sei?

E SlowWeb? Come mai non si è ancora sentita? (o era uno dei numeri improbabili di poche cifre ai quali non è stato risposto)

Cara Google, sui tuoi server anche la mia chiave WPA2 wi-fi?

Oggi è entrato in casa l’ennesimo gioiellino Android, un Galaxy Nexus: benvenuto ICS, Ice Cream Sandwich.

Pensavo di fare un classico unpacking riassumendo le prime impressioni su questo splendido apparato ma sono stato distratto.

Appena acceso ho effettuato la sincronizzazione e profilazione dell’account Gmail via 3G.

Splendido, funzionava tutto al primo tentativo senza alcuno sforzo.

Appena arrivo in casa, aggancia il wi-fi immediatamente: spettacolo.

Uh che strano, non mi chiede la password.

Clicca per ingrandire

La “perplessità” nasce dal fatto che la password c’è eccome e quel telefono ancora con la pellicola sullo schermo di sicuro non la conosce dovrebbe conoscere.

La connessione è perfettamente funzionante.

Controllo il pannello di configurazione della rete wifi e scopro un ulteriore tassello: le reti “fuori portata“.

Clicca per ingrandire

Apparecchio nuovo: quali sarebbero le reti “fuori portata“?

Facile: reti utilizzate in vacanza e distanti da me in questo momento tra i 500 e gli 800 Km!

Cliccando su una delle reti “fuori portata” si vede che ha associata una passphrase:

Clicca per ingrandire

 

Cara Google, magari sarà scritto in qualche meandro remoto delle condizioni contrattuali e d’uso del sistema operativo e/o dei servizi offerti.

Certo è che non capisco perchè tu debba annotare sui TUOI server gli access point ai quali IO mi collego e, peggio, perchè salvi anche la relativa passphrase.

Posso capire il servizio lamer proof ma salvarsi le mie passphrase sui tuoi server, onestamente, non mi piace neanche un po’.

P.S.: Finalmente hanno capito che può essere utile effettuare un banale screenshot senza dover rootare il dispositivo