Connect with us

Articoli

Il parcheggio non custodito

Diverse app per il pagamento del parcheggio si basano sul riconoscimento targhe, anche automatizzato tramite videocamere. L’eccessiva semplificazione dell’autenticazione, però, può permettere agli stalker di tracciare le soste di un veicolo

Avatar

Pubblicato

il

Una cosa che è ormai difficile da ignorare anche per chi non si intende di sicurezza informatica, è la proliferazione delle videocamere di sorveglianza nelle strade. Ormai sembra essere la soluzione preferita da qualsiasi amministrazione per risolvere il problema della sicurezza nelle strade. Questa apparente soluzione, però, porta con se un rischio importante: quello per la privacy. Che è sicuramente vissuto dalla popolazione con un diritto molto trascurabile, ma probabilmente solo a causa di una scarsa competenza in ambito informatico, che non permette a tutti di cogliere le implicazioni di una sorveglianza così estesa. Soprattutto perché tutti danno per scontato che i dati saranno sempre custoditi in una sorta di cassaforte inespugnabile. Mentre in questi anni abbiamo già assistito a cronache che, in giro per l’Europa e nel Regno Unito, ci testimoniano che non è sempre così.

Dal controllo del traffico allo stalking

Tra le varie tipologie di videocamere installate nelle nostre strade, alcune sono specificamente progettate per il controllo del traffico. Queste videocamere sono collegate a un software per il riconoscimento dei numeri di targa (Licence Plate Recognition). Tutti sanno che questo tipo di videocamere è messo a disposizione delle forze dell’ordine e della magistratura per risalire agli autori di infrazioni o reati. Ma ormai da anni queste sono utilizzate anche per applicazioni commerciali a grande diffusione: la più comune riguarda i parcheggi. Quando utilizziamo un parcheggio a pagamento, spesso vi sono sistemi di riconoscimento delle targhe. Vengono utilizzati sia per tracciare gli automobilisti e evitare che qualcuno vada via senza pagare, sia per eseguire pagamenti automatici. Sono infatti disponibili, in alcune città, delle soluzioni di sosta “al volo”: non c’è bisogno di iniziare manualmente la sosta, usando l’app o una colonnina per il pagamento. Se si dispone di un account nell’app del gestore del parcheggio, appena la videocamera riconosce la targa in un posteggio viene registrato l’inizio della sosta, che ovviamente termina appena si sposta il veicolo. Se si deve solo fare un acquisto veloce in un negozio non si perde tempo: si parcheggia, si va nel negozio, e si riprende l’automobile. Se la sosta è durata sei minuti, il corrispettivo per quei pochi minuti verrà automaticamente detratto dall’account. Questo vale anche per le varie situazioni di sosta gratuita con limite temporale, nei quali la targa viene registrata per assicurarsi che la permanenza nel posteggio non superi il limite imposto (es: 30 o 60 minuti, la classica sosta con “disco orario”). Naturalmente, queste app e il connesso riconoscimento delle targhe vengono anche usati per notifiche, per esempio per ricordare a un utente dove ha lasciato la macchina, da quanto tempo, e quanto sta pagando. Ed è qui che si presenta la vulnerabilità: queste sono informazioni sensibili, perché permettono di identificare in tempo reale la posizione di un veicolo. Se fossero accessibili soltanto al legittimo proprietario non ci sarebbe alcun problema, ma come fare a identificarlo? La soluzione di molti servizi di parcheggio è in realtà priva di qualsiasi meccanismo di identificazione: per utilizzarli basta inserire il numero di targa. Questo significa che chiunque conosca la targa di una potenziale vittima, può iscriversi a suo nome e ricevere notifiche sui suoi spostamenti. Non è in alcun modo necessario dimostrare di essere i legittimi proprietari del veicolo.

Usando le notifiche ricevute, platescan traccia la posizione del veicolo e ricostruisce il suo tragitto da un parcheggio all’altro.
[FONTE: https://notmyplate.com/whitepaper/]

 

Lo studio olandese

Lo studio olandese si è basato su due gestori dei parcheggi diffusi in tutta Europa: Indigo e Q-Park. A un campione selezionato casualmente di 120 utenti volontari è stato richiesto di fornire il proprio numero di targa. Gli autori dello studio (il gruppo di ricerca Intidc) hanno poi sfruttato le API dei backend cui si appoggiano le app di Indigo e Q-Park per tracciare tutte le targhe. La metodologia è in realtà piuttosto semplice: si sfrutta il facile session hijacking, dal momento che l’unica “autenticazione” è data dal numero di targa. Per seguire una automobile è in molti casi sufficiente creare automaticamente un nuovo account, assegnarvi del credito o un metodo di pagamento (es: PayPal), e il numero di targa, dichiarando di avere iniziato una nuova sosta in un parcheggio supportato dal gestore selezionato. A questo punto si effettua un pagamento per la sosta in questione, e da questo momento l’account creato verrà considerato legittimamente associato alla targa. Sostanzialmente, la sicurezza è affidata all’idea che nessuno pagherebbe una sosta per conto di qualcun altro. Che per le persone normali potrebbe anche essere vero, ma uno stalker o qualche altro tipo di criminale probabilmente non si farebbe troppi problemi a spendere qualche spicciolo pur di poter in futuro tracciare la posizione di una vittima. Un account connesso a una targa, infatti, riceve automaticamente delle notifiche dal server su tutte le future soste effettuate, e a volte (dipende dal gestore del parcheggio) persino sulle potenziali soste: quando una automobile, che magari è solo di passaggio e non ha davvero intenzione di parcheggiare, viene riconosciuta da una videocamera, il server fornisce la lista dei luoghi di parcheggio più vicini. E questo consente di tracciare la posizione di un veicolo entro un certo raggio. Siccome è disponibile una mappa di tutti i punti di parcheggio, è possibile tracciare la posizione di un utente per molto tempo, interrogando le API del server e memorizzando tutte le notifiche che arrivano.

Lo script Platescan interroga periodicamente le API dei gestori di parcheggio Indigo e Q-Park per leggere eventuali notifiche sull’inizio di una nuova sosta.
[FONTE: https://notmyplate.com/whitepaper/]

Entità della vulnerabilità

Questa vulnerabilità non è dovuta a un bug, ma a una scelta di progettazione di molte app dei gestori dei parcheggi europei. Per incentivare gli utenti a utilizzarle è stata tolta ogni complicazione possibile, è questo significa qualsiasi meccanismo di identificazione reale.  L’autore dello studio propone una serie di possibili meccanismi di identificazione del legittimo proprietario del veicolo, ma è probabile che nessuno di essi possa davvero essere utilizzato: gli utenti sono pigri, e se si aggiunge qualche complicazione è possibile che smettano di usare l’app. Il problema è che basta avere una automobile e usarla per essere potenzialmente tracciabili, non è necessario che l’utente abbia nemmeno mai usato le app per pagare il parcheggio.
Per quanto riguarda l’Italia, gli autori dello studio hanno trovato tre diversi gestori di parcheggio potenzialmente vulnerabili: EasyPark, Interparking, e APCOA. Per Interparking le API consentono a una utenza di assegnarsi un unico numero di targa, e questo renderebbe più complesso un eventuale tentativo di sorveglianza di massa, sarebbe necessario creare tanti diversi account, ma è comunque piuttosto facile seguire una unica “vittima”. In altre parole, questa metodologia potrebbe dare a schiere di stalker e altri criminali la possibilità di seguire con facilità delle vittime.

 

La soluzione

Come accennavamo, una vera soluzione non esiste: soltanto una vera identificazione del legittimo proprietario del veicolo potrebbe funzionare, ma è improbabile che accada perché gli utenti preferiscono la comodità alla sicurezza. L’unica attuale mossa per chi è preoccupato di poter essere seguito, in particolare persone che temono di essere vittime di uno stalker, è chiedere ai gestori dei parcheggi di rimuovere la propria targa dai database e evitare di registrarla in futuro. Considerando che il numero di targa di un veicolo è un dato sensibile, è possibile chiederne la rimozione scrivendo al responsabile per il GDPR di ogni azienda. Sarebbe anche auspicabile una sorta di “registro delle opposizioni”, che però funzionerebbe soltanto se tutte le aziende che gestiscono parcheggi accettassero di rispettarlo.

 

Una tabella delle app di parcheggio dei principali paesi europei, stilata dai responsabili dello studio sul session hijacking.
[FONTE: https://notmyplate.com/whitepaper/]

 

 

 

 

 


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

[wpdevart_facebook_comment curent_url="http://developers.facebook.com/docs/plugins/comments/" order_type="social" title_text="Facebook Comment" title_text_color="#000000" title_text_font_size="22" title_text_font_famely="monospace" title_text_position="left" width="100%" bg_color="#d4d4d4" animation_effect="random" count_of_comments="7" ]

Articoli

Crypto-simmetria  a blocchi di bit

Come occultare un testo in chiaro, rendendolo visibile solo a chi possiede le credenziali giuste. Fai tutto con un software gratuito

Avatar

Pubblicato

il

La parola simmetria evoca da sempre precisione e conformità e lo fa anche nell’ambito della crittografia. Il sistema simmetrico, infatti, prevede che un testo in chiaro venga occultato usando la stessa chiave che serve per decifrarlo. Gli attori del processo sono quattro: il mittente (A), il destinatario (B), la chiave che serve per cifrare il messaggio (C) e l’algoritmo utilizzato per nasconderlo (Z). Tutto questo porterà alla creazione di un testo illeggibile (T) a chi non ha la chiave giusta per renderlo comprensibile. Il punto forte della crittografia simmetrica sono gli algoritmi che vengono usati per nascondere il messaggio. Possiamo inserirli in due grandi insiemi: quelli che appartengono al metodo a blocchi e quelli inseriti nel gruppo dei sistemi a flussi di cifre. La differenza è che i primi cifrano un blocco al cui interno sono inseriti un determinato numero di bit, i secondi lavorano su una singola informazione.

In questa guida vedrete come creare un contenitore criptato (con il metodo a blocchi) al cui interno si può archiviare qualsiasi documento. Il tutto verrà realizzato ricorrendo a VeraCrypt, uno strumento che permette di impostare una cifratura di volumi e partizioni con diverse tipologie di algoritmi. Un software potente, considerato tra i migliori in circolazione e consigliato anche dal collettivo Anonymous.

 

IL RE DELLA CRITTOGRAFIA

Gli algoritmi che usano la cifratura a blocchi sono davvero tanti. Uno dei più importanti è l’AES, vale a dire l’Advanced Encryption Standard. Questo applica una serie di operazioni matematiche in sequenza su una base di dati, sfruttando quello che gli analisti conoscono come Principio di confusione e diffusione. Confusione perché garantisce che tra testo cifrato e chiave crittografica ci sia un livello di correlazione basso, così da ridurre al minimo la possibilità che un attaccante colleghi questi due elementi. Diffusione, invece, si riferisce alla capacità di rendere impermeabile l’algoritmo ad attacchi che sfruttano una base statistica.

 

CREARE UN CONTENITORE CRIPTATO PER DOCUMENTI

INSTALLAZIONE FACILE
VeraCrypt può essere installato su Linux, Windows e Mac. In questo tutorial, abbiamo usato una macchina con Linux Mint e da Terminale abbiamo inserito i comandi che seguono seguiti dalla pressione del tasto Invio: sudo add-apt-repository; ppa:unit193/encryption; sudo apt-update; sudo apt install veracrypt.

 

CONTENITORE O VOLUME?
Premiamo Create Volume, quindi scegliamo la voce Create an encrypted file container. Questa funzione permette di generare un contenitore criptato al cui interno archiviare i documenti. Se invece vogliamo sfruttare un intero volume formato da un disco fisso, spuntiamo Create a volume within a partition/drive.

 

STANDARD O NASCOSTO?
Con la voce Standard VeraCrypt volume viene creato un contenitore che decriptiamo con una password o un file chiave. Se scegliamo Hidden VeraCrypt Volume, realizziamo un doppio container nascosto. Il primo serve da specchietto per le allodole, il secondo da vera cassaforte. Se qualcuno ci estorce la prima password, non sarà comunque in grado di accedere all’archivio nascosto contenuto nel box fasullo.

 

CRIPTAGGIO A CASCATA
Il passo successivo richiede di scegliere un file o un drive da usare come contenitore. Possiamo crearne uno nuovo di qualsiasi formato. In seguito scegliamo l’algoritmo di criptaggio tra i tanti disponibili. Possiamo utilizzare una struttura a cascata con AES, Twofish, Serpent, che lavora criptando con tutti e tre. Scegliamo l’algoritmo di hash tra SHA-512, Whirlpool, SHA-256 o Streebog.

 

ENTROPIA PER LA SICUREZZA
Impostiamo ora la dimensione e la chiave, il filesystem e diamo il via alla formattazione e alla preparazione del container. VeraCrypt sfrutta l’entropia generata dal movimento casuale del mouse: spostiamolo quindi senza sosta fino a quando la barra sotto Randomness Collected From Mouse Movements non è completa.

 

DECRIPTAZIONE VELOCE
Completata la formattazione, il volume criptato è pronto all’uso. Per decriptarlo premiamo il pulsante Select File. Nella finestra centrale scegliamo un numero a caso nella colonna Slot (nel nostro caso 5), quindi premiamo Mount. Si apre la finestra in cui dobbiamo inserire la password. Dopo averla inserita, facciamo clic su OK.

 

Leggi anche: “Metti al riparo i tuoi archivi


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Articoli

Un’eredità eccessiva e pericolosa!

OverlayFS, molto usato sui server Unix moderni, permette di unire più cartelle creando filesystem virtuali. Il problema è che vengono ereditati tutti i permessi dei vari file, anche quelli che permettono a un utente di diventare root…

Avatar

Pubblicato

il

Uno dei punti di forza dei sistemi GNU/Linux è la rigorosa gestione dei permessi per l’esecuzione dei programmi. Una volta, su questi sistemi esistevano sostanzialmente due sole modalità: quella privilegiata e quella non privilegiata. I file eseguibili dei programmi privilegiati avevano un particolare bit tra i loro metadati, chiamato convenzionalmente SUID. Quando un file eseguibile ha questo bit impostato viene eseguito con i permessi dell’utente che ne è proprietario, a prescindere da chi lo abbia lanciato. Se, per esempio, un eseguibile è proprietà dell’utente root ma viene eseguito da un utente comune, verrà comunque avviato con privilegi di root. Questo bit viene impostato come “vero” solo per alcuni particolari software “sicuri” che ne abbiano davvero bisogno, se si impostasse per qualsiasi programma non ci sarebbe più una separazione tra i privilegi degli utenti. Chiaramente, si tratta di un meccanismo un po’ rigido: il bit può essere attivo oppure no, i privilegi sono da utente normale oppure da root, non ci sono mezze misure. Un modo per limitare parzialmente il potere di SUID è rendere proprietario del file non l’utente root ma un altro utente che, tramite i gruppi a cui appartiene, possa avere accesso a un set limitato di file. Per esempio, se si avvia il server web Apache a nome dell’utente www-data, che appartiene al gruppo www-data, si avrà accesso opzione predefinita per mettere in piedi una applicazione server: i container. Ormai è quasi impossibile trovare del software open source che non venga pubblicato con almeno un’immagine docker. I container sono estremamente utili non soltanto perché separano i vari eseguibili, impedendo che un eventuale attacco su un programma possa ripercuotersi su altri software o sul sistema in generale, ma anche perché permettono di avere diverse versioni dello stesso software sul sistema, senza causare conflitti tra le dipendenze. Un container è autonomo: contiene tutte le librerie necessarie per il funzionamento del programma. Se ce ne sono di più sullo stesso sistema, ciascuno di essi contiene tutte le librerie necessarie a se stesso. Naturalmente, questo comporta un importante consumo di spazio: molte librerie e molti eseguibili saranno sempre gli stessi tra tutti i vari container, ed è uno spreco occupare il doppio, il triplo o anche più dello spazio. Ed è per risolvere questo problema che esiste OverlayFS.

Il bug permette la copia di un file eseguibile SUID da un filesystem dell’utente al filesystem principale, mantenendo il bit SUID. FONTE: https://www.wiz.io/blog/ubuntu-overlayfs-vulnerability

Millefoglie

OverlayFS è un meccanismo di memorizzazione dei file pensato per l’union mounting: si tratta di unire virtualmente più cartelle, facendole apparire come una sola. Il vantaggio è che si possono creare più cartelle con versioni differenti dello stesso software, da montare volta per volta a seconda della versione necessaria in un filesystem completo. Immaginiamo di avere bisogno di MySql 5 in un container e MySql 8 in un altro container, ma per il resto dello stesso sistema di base. Il grosso del sistema può risiedere in una cartella, poi basta averne una per MySql 5 e una per MySql 8. In un container verrà montata la cartella della versione 5 sopra il sistema base, e viceversa nell’altro. In questo modo si risparmia lo spazio che verrebbe sprecato mantenendo sul disco due volte i file del sistema base. Naturalmente, è un po’ più complesso di così, si possono di fatto avere più versioni degli stessi file con una sorta di logica incrementale: quando si fanno modifiche a un container vengono memorizzati solo i file cambiati rispetto all’immagine docker di partenza, sempre per risparmiare spazio. La domanda che si ci potrebbe porre è: cosa succede ai permessi di file e cartelle, capabilities incluse, una volta che vengono montati dentro altre cartelle? Si può immaginare che vengano ereditate, ma è chiaro che si tratti di una situazione complessa, con tanti container che montano gli stessi file in modo diverso. Il problema nasce dal fatto che un malintenzionato potrebbe abusare di OverlayFS per fare in modo che il kernel copi dei file eseguibili con capabilities da amministratore da un punto di mount realizzato appositamente a delle cartelle sul filesystem principale. Facendo la copia, un sistema GNU/Linux non patchato manterrebbe la capability sul file, offrendo quindi al malintenzionato un file con capability da amministratore sul filesystem principale. Siccome OverlayFS può essere usato tramite FUSE anche da utenti semplici, senza alcun privilegio, questo significa che il malintenzionato deve solo crearsi un filesystem (lower, nell’esempio) su un proprio sistema e inserire un eseguibile con capability da amministrazione:

setcap cap_sys_admin +eip lower/suid

Poi deve solo copiare quel filesystem sul sistema da attaccare e montarlo (nella cartella upper):

mount -t overlay overlay -o rw,

lowerdir=lower,upperdir

=upper,workdir=workdir mount

 

A quel punto si può accedere al file eseguibile dal sistema vittima:

touch mount/suid

getcap lower/suid

E si scopre che la capabilities sono rimaste intatte:

lower/suid = cap_dac_override,

cap_sys_admin+eip

 

 

Vulnerabilità

Nessuna delle modifiche da parte degli sviluppatori di Ubuntu ha introdotto vulnerabilità di per se, ma nel 2020 era stata scoperta proprio una vulnerabilità in overlayFS che permetteva l’impostazione di attributi speciali ai file. Il fix è stato applicato alla linea originale di overlayFS, ma non alla versione modificata da Ubuntu. Nello specifico, quando si tratta di gestire i permessi di un file la versione originale chiama una funzione di servizio che è stata realizzata appositamente per assicurarsi che non vengano dati più permessi a file che non dovrebbero averli. Invece, la versione di ubuntu utilizza direttamente la chiamata di sistema __vfs_setxattr_noperm. Il problema è proprio che il flusso di Ubuntu non prevede dei controlli, che invece nel Linux “originale” sono stati inseriti, per evitare di trasferire le capabilities da un filesystem all’altro.

Un dettaglio che è importante ricordare è che questa vulnerabilità ha un impatto su OverlayFS in sé, ma non su docker o più in generale sui container. Un sistema che utilizza docker non è di per se stesso vulnerabile, lo è solo per il fatto che ha certamente lo stack di overlayfs e quindi chi accede al sistema host potrebbe montare filesystem OverlayFS. Ma chi ha accesso solo a un container non può comunque uscire e danneggiare il sistema host.

 

La soluzione

Le patch per l’implementazione di Ubuntu sono state rilasciate a un mese dalla scoperta delle vulnerabilità, e sono disponibili per le release da Ubuntu 20.04 al più recente 23.10. Purtroppo è vulnerabile anche Ubuntu Bionic (18.04) ma, non essendo più supportata, per questa non è disponibile alcuna patch.

 

Il codice di Ubuntu contiene ancora la chiamata al kernel vulnerabile, mentre in overlayfs mainstream è stata sostituita con un controllo.

 

Leggi anche: “Utenti Ubuntu sotto attacco


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Articoli

SMS truffa: come evitare le nuove minacce

Ecco alcuni utili consigli per proteggerti dalle insidie dei truffatori che, nel 2024, stanno esplorando nuove vie attraverso messaggi ma non solo

Avatar

Pubblicato

il

Ormai gli SMS sono sempre menu utilizzati per tenerci in contatto con amici e parenti, dato che sono stati quasi completamente sostituiti dalle app di messaggistica istantanea come WhatsApp, Telegram e compagnia. Tuttavia, rimangono ancora uno strumento molto utilizzato da aziende, istituiti bancari e altre attività commerciali, che adottano l’invio dei messaggini per finalità di marketing: per inviare avvisi agli utenti o, ancora, per questioni di sicurezza (i cosiddetti codici OTP). Purtroppo, però, questo proliferare di SMS di questa tipologia ha iniziato ad ingolosire anche malintenzionati, che sfruttano il circuito per cercare di truffare gli ignari utenti che li ricevono.

Finti SMS bancari

Quante volte abbiamo ricevuto SMS da istituti bancari o dalle Poste italiane in merito a fantomatici conti corrente bloccati o transazioni non autorizzate? Oppure ci siamo ritrovati ad aver vinto grandissimi premi o avere un pacco che non riescono a consegnarci?
Probabilmente innumerevoli volte, e se ci fate caso sono sempre seguiti da un invito a fare clic su un determinato link da cui procedere per poter “risolvere il problema”, che ovviamente ha il solo scopo di rubare i vostri dati e svuotare magari il vostro conto corrente. Nella maggior parte dei casi si tratta di SMS mal realizzati e quindi facilmente individuabili come “fake”, ma purtroppo negli ultimi anni le tecniche di phishing tramite messaggi di testo sono diventate sempre più accurate e possono ingannare davvero chiunque. Non a caso, si stima che ogni anno vengano sottratti in maniera illecita diversi milioni di euro a utenti ignari o poco esperti in materia di sicurezza informatica.

 

Tra le truffe più gettonate nell’ultimo anno c’è quella degli SMS relativi a pacchi in arrivo e da monitorare tramite un link ovviamente fasullo, oppure quello di spedizioni bloccate e da riscattare tramite un’operazione economica.

 

Come riconoscere una truffa

Nonostante le tecniche utilizzate da questi malintenzionati siano sempre più sofisticate, tanto che ormai sia gli SMS truffa che quelli veri finiscono per comparire nella medesima chat, è comunque possibile riconoscere un tentativo malevolo ponendo l’attenzione verso alcuni particolari.

Per prima cosa, solitamente tutti gli SMS truffa sono sempre seguiti da un invito urgente a fare clic su un link per proseguire con una fantomatica procedura, che sia per “sbloccare” un conto corrente o per richiedere il premio che abbiamo vinto (ovviamente non per davvero).

Spesso, è facile individuare questo tipo di SMS a causa degli errori grammaticali, poiché la maggior parte delle volte si tratta di individui che si trovano in ogni parte del mondo e che non conoscono l’italiano, per cui si affidano a strumenti di traduzione automatica, che ovviamente non sono perfetti. Anzi, spesso traducono in un italiano a dir poco “maccheronico”.

Se, però, per un fortuito caso il testo dell’SMS non presentasse evidenti errori, e procedessimo comunque all’apertura del link presente facendo tap di esso, in automatico, si aprirebbe una schermata del browser che avrà lo scopo di raffigurare nella maniera più fedele possibile la pagina della banca, delle Poste Italiane o di qualsiasi altra sia l’azienda utilizzata come specchietto per le allodole. La pagina che si apre, ovviamente, avrà lo scopo di chiederci di inserire le nostre credenziali o lasciare i nostri dati sensibili.

Tranquilli, la semplice apertura del link non comporterà alcun problema, poiché non sarà in grado di mettere in atto alcune truffa in automatico, infatti il suo scopo è quello di rubare i dati che andremo a digitare nei campi appositamente proposti.

Per essere sicuri che la pagina sia “fake”, una volta aperta ci basterà pigiare sulla barra degli indirizzi (posta in alto o in basso, in base al dispositivo che utilizziamo) e controllare in maniera accurata che il link utilizzato combaci con quello “ufficiale”.

Solitamente non è nemmeno necessario fare un confronto con l’indirizzo ufficiale, in quanto la maggior parte delle volte vengono utilizzi indirizzi totalmente “fake” con nomi molto diversi da quelli originali (per ovvi motivi), ma per sicurezza, diamo comunque un’occhiata all’indirizzo del sito ufficiale (lo recuperiamo facilmente “googlando”) per avere la conferma di quanto abbiamo scoperto.

Come proteggerci dagli SMS truffa

Purtroppo, non esiste un vero e proprio modo per proteggerci dagli SMS truffa, in quanto per evitare che ci intasino l’archivio dei messaggini dovremmo necessariamente bloccare la ricezione di tutti gli SMS. Tuttavia, con qualche piccolo accorgimento, possiamo comunque rimanere al sicuro.

Per prima cosa, non rispondiamo mai agli SMS di questo tipo, neanche per chiederli di smettere di riceverli e, ovviamente evitiamo di cliccare sui link che ci vengono proposti, o se lo facciamo non procediamo con altri tap o con l’inserimento di dati sensibili.

Anche se un clic su link di per sé non comporta alcun rischio, è sempre meglio diffidare, perché magari potremmo finire per inserire dati personali al suo interno, magari in buona fede. Non dobbiamo nemmeno mai condividere il nostro numero di telefono o il nostro indirizzo e-mail, soprattutto quando si tratta di fortunose vincite o per partecipare a “offerte” mirabolanti.

Inoltre, qualora si trattasse di SMS provenienti da numeri ben visibili (quindi con un mittente), possiamo sfruttare la funzione integrata nell’app Messaggi del nostro smartphone per segnalarli come spam e bloccarli.

Per finire, è sempre consigliabile aggiornare il sistema operativo dello smartphone qualora fossero disponibili degli update inviati dal produttore, poiché spesso aiutano a risolvere eventuali problemi di sicurezza. Ad esempio, sulla piattaforma Android vengono rilasciate le patch di sicurezza a livello mensile da parte di Google, che poi le varie aziende procedono a loro volta a rilasciare sui propri modelli. Su iPhone, invece, Apple rilascia aggiornamenti costanti per i propri dispositivi, solitamente a cadenza mensile.

 

Chi gestisce i messaggini con l’app ufficiale di Google per dispositivi Android, sa che la stessa è in grado di studiare le abitudini degli utenti e individuare i messaggi spam ricevuti da mittenti sconosciuti o improbabili.

 

Leggi anche: “Segnalata campagna SMS Phishing clonazione green pass


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Articoli

I pericoli dell’informatica spiegati ai bambini da Kaspersky

Avatar

Pubblicato

il

By

L'Alfabeto della Cybersecurity di Kaspersky

Per i genitori è di fondamentale importanza essere consapevoli delle minacce alla sicurezza informatica che coinvolgono i propri figli piccoli, data la diffusa accessibilità a smartphone e tablet anche da parte dei più piccoli.

Difatti, secondo la ricerca Tempi Digitali realizzata da Save The Children, in Italia per il 58% dei bambini tra 6 e 10 anni e il 71% tra 11 e 14 i videogame sono il passatempo preferito, esponendoli a possibili attacchi da parte dei criminali informatici. Per esempio, nel 2022, le soluzioni di sicurezza Kaspersky hanno rilevato più di 7 milioni di attacchi ai popolari giochi per bambini, con un aumento del 57% dei tentativi rispetto all’anno precedente. Oltre al gaming, anche il download delle app dagli store ufficiali può essere fonte di pericolo per i più piccoli: dal 2020 al 2022 i ricercatori di Kaspersky hanno stimato che sono state scaricate 4,8 milioni di app infette, che iscrivevano gli utenti a loro insaputa a servizi a pagamento.

Una corretta educazione digitale dei più piccoli diventa fondamentale man mano che essi crescono e sviluppano una maggiore consapevolezza di sé, inclusa quella del proprio spazio personale, della privacy e dei dati sensibili, sia offline che online. Per dare un contributo alla formazione dei minori, Kaspersky ha presentato L’Alfabeto della Cybersecurity, un libro per spiegare in modo semplice i concetti chiave della sicurezza IT ai bambini. Per saperne di più e per scaricare il libro in PDF, visitate l’URL https://www.kaspersky.it/blog/cybersecurity-alphabet/


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Articoli

Occhi e articolazioni più protetti al PC

Come tutte le attività prolungate, anche stare al computer può creare dei disagi fisici. Questa semplice applicazione Open Source aiuta a prevenirli

Avatar

Pubblicato

il

Se lavoriamo molto al computer corriamo il rischio di stancarci troppo la vista (astenopia) e anche di arrivare a sviluppare il disturbo degli arti superiori da lavoro (o RSI da Repetitive Strain Injury). Safe Eyes è un semplice programma che lavora in background e ci avvisa quando è meglio fare una pausa, consigliando anche delle azioni come chiudere gli occhi, farli ruotare o rilassarci appoggiandoci allo schienale della sedia, per ridurre il rischio di questi problemi. Il fatto che sia attivo in background lo rende un compagno discreto e ci sono varie possibilità di personalizzazione per adattarlo alle nostre esigenze. Per poterlo usare dobbiamo avere attivata la compatibilità con il formato Flatpak che possiamo facilmente ottenere seguendo le istruzioni riportate nel primo passo.

 

Flatpak. Eseguiamo sudo apt install flatpak e sudo apt install gnome-software-plugin-flatpak, confermando in entrambi i casi con S e INVIO. Eseguiamo quindi flatpak remote-add –if-notexists flathub https://flathub.org/repo/flathub.flatpakrepo.

 

Installazione facile. Colleghiamoci all’indirizzo https://bit.ly/45oYjSz e facciamo click su Install. Apriamo la cartella Scaricati e facciamo un doppio click sul file ottenuto, poi premiamo su Installa nella schermata che appare e infine facciamo click su Apri.

 

Impostazioni generali. Il programma lavora in background, quindi l’interfaccia è molto semplice. Possiamo però impostare fattori come la durata delle due tipologie di pause e l’intervallo tra di esse nel pannello Preferenze.

 

Le pause perfette per noi. Facendo click sulla scheda Pause possiamo invece vedere le pause brevi e lunghe che abbiamo impostato e modificarle facendo click sulla ghiera accanto a esse. Il segno + in basso ci consente di aggiungere nuovi tipi di pausa.

 

Estensioni. Ci sono anche delle utili estensioni come quella che disattiva Safe Eyes quando il nostro sistema è inattivo o che fa emettere un avviso sonoro dopo le pause in modo che possiamo essere avvisati anche se ci siamo allontanati dal computer.

 

Leggi anche: “Ububtu senza Flatpak o no?


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Articoli

Intelligenza artificiale per tutti!

Un sistema pratico e semplice per consultare la nostra IA preferita senza dover neanche aprire un browser e, con alcuni servizi, senza bisogno di registrazione

Avatar

Pubblicato

il

Bavarder in francese significa chiacchierare e sicuramente questa applicazione ci permette di farlo con una serie di importanti servizi di Intelligenza Artificiale in modo facile e veloce. Dopo averla installata dobbiamo solo inserire in una finestra quel che ci serve sapere per ottenere ogni risposta, che poi possiamo copiare e incollare dove vogliamo. Oltre che in italiano, possiamo parlare all’IA in varie altre lingue: basta scrivere in quella che vogliamo usare. Per utilizzare Bavarder non serve dare i propri dati ma per alcuni provider come OpenAI GPT 3.5 Turbo ci viene chiesta una chiave API che dobbiamo ottenere registrandoci sul sito del servizio di Intelligenza Artificiale e inserire nella sezione Fornitori delle preferenze del programma. Ci sono comunque ottimi sistemi come BAI Chat che si possono usare senza alcuna registrazione.

 

IN PRATICA

Flatpak
Eseguiamo sudo apt install flatpak e sudo apt install gnome-software-plugin-flatpak, confermando in entrambi i casi con S e INVIO. Eseguiamo quindi flatpak remote-add –if-notexists flathub  https://flathub.org/repo/flathub.flatpakrepo.

 

Installazione
Apriamo la pagina https://flathub.org/apps/io.github.Bavarder.Bavarder e facciamo click su Install. Apriamo la cartella Scaricati, facciamo un doppio click sul file, premiamo su Installa nella schermata che appare e facciamo click su Apri.

 

Scegliamo il provider
Si apre così l’interfaccia di Bavarder. Scegliendo Providers dal menu principale possiamo selezionare che servizio di IA usare. L’impostazione predefinita è https://openassistant.io/it ma ci sono anche altri progetti molto validi.

 

Interroghiamo l’IA
Scriviamo la nostra richiesta e facciamo click sulla freccia blu (Chiedi) per farla all’Intelligenza Artificiale. Dopo una breve attesa vedremo la risposta nel riquadro in basso. Se non ci soddisfa proviamo a formulare la diversamente la domanda.

 

Una risposta per tutto
Le risposte variano in base al servizio scelto ma sono in genere precise. Se quella che otteniamo è piuttosto lunga possiamo scorrere il testo con la barra laterale oppure ingrandire la finestra a tutto schermo.

 

Copia facile
L’icona dei fogli in basso a destra ci consente di copiare la risposta negli appunti, funzione disponibile anche per le domande. Possiamo nascondere, massimizzare e ridimensionare la finestra facendo click con il tasto destro sull’icona a hamburger.

 

Menu principale
Se invece vogliamo un’immagine della nostra interazione con l’IA possiamo selezionare Cattura schermata dallo stesso menu, che è il principale. Qui possiamo anche definire il posizionamento di Bavarder sul nostro spazio di lavoro.

 

Controlli da tastiera
La risposta si può anche semplicemente copiare con i tasti Maiusc + Ctrl + C. Possiamo vedere le altre scorciatoie premendo i tasti Ctrl + ? oppure selezionando Keyboard shortcuts dal menu principale.

 

 

Più risposte alla stessa domanda
Non possiamo far rigenerare la risposta al nostro input ma possiamo aprire una nuova finestra dal menu principale (o premendo Ctrl + N) e porre di nuovo la domanda per confrontare le due versioni.


Confrontiamo due servizi
Possiamo anche chiedere la stessa cosa a una seconda Intelligenza Artificiale, per esempio per scoprire con CatGPT cosa ci direbbe un gatto a proposito della filosofia di Ubuntu. Con l’IA si può fare di tutto.

 

Leggi anche: “Creare l’immagine con l’IA


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Articoli

Trucca il tuo YouTube!

Grazie a questa applicazione possiamo attivare alcune funzionalità premium del Tubo.

Avatar

Pubblicato

il

LibreTube è un’applicazione straordinaria per dispositivi Android che consente di fruire di tutti i video di YouTube senza essere interrotti da annunci pubblicitari, di ascoltare musica persino quando il telefono è in modalità standby e di scaricare brani direttamente sul tuo dispositivo. Fondamentalmente, questa app ti offre accesso alle funzionalità di YouTube che normalmente richiederebbero un abbonamento a pagamento. Dopo aver installato e avviato l’app sul tuo dispositivo, avrai accesso a una serie di opzioni che ti consentiranno di godere di contenuti audiovisivi di alta qualità in modo illimitato. In questa guida, ti presenteremo le caratteristiche più interessanti di LibreTube, che ti invitiamo a provare immediatamente.

 

INSTALLIAMO IL PROGRAMMA

Puntiamo il nostro browser al seguente link  e clicchiamo sul pulsante Download posto in basso nella finestra. Verrà avviato il download del file com.github.libretube_43.apk. A questo punto dobbiamo trasferire l’apk dal nostro PC sul dispositivo Android.

 

 

Per il trasferimento del file possiamo usare WhatApp Web per inviare un messaggio a noi stessi allegando il file. Spostiamoci ora sullo smartphone e tappiamo sul file APK in modo da installarlo. Se durante il setup di LibreTube ci viene richiesto di abilitare l’installazione da origini sconosciute, dobbiamo attivare l’opzione da Impostazioni/Applicazioni/ Accesso speciale all’app/Installa app sconosciute (il percorso può variare in base al modello di smartphone).

 

 

ATTIVIAMO LE FUNZIONI PREMIUM DEL TUBO

Per riprodurre un video in modalità “solo audio” occorre avviare il contenuto e selezionare Solo audio. Appare così la schermata di riproduzione musicale con quattro pulsanti: elenco brani, velocità di riproduzione, modalità video e condivisione. Tappando sulla copertina del brano si avrà accesso a diverse voci, tra cui Scarica e Aggiungi a playlist. Da Impostazioni/Generale/Modalità solo audio si ha la possibilità di trasformare l’intero YouTube in “solo audio”.

Da Impostazioni/Aspetto possiamo personalizzare la grafica dell’applicazione. Per impostare, ad esempio, un tema chiaro o scuro spostiamoci in Tema dell’app; da Icona possiamo cambiare l’icona dell’app LibreTube, da Barra di navigazione modificare i pulsanti (e l’ordine) presenti in basso (quelli di default sono: Pagina principale, Iscrizioni e Raccolta). Dalla sezione Disposizione, infine, possiamo modificare la disposizione degli elementi presenti in LibreTube, come il layout dei video e del player.

 

Per scaricare un video sul proprio dispositivo e rivederlo in un secondo momento dobbiamo tappare su Scarica presente all’interno della schermata di riproduzione. Verrà aperto un popup dove al posto di Senza video imposteremo la qualità del video che andremo a scaricare, e in Senza audio la qualità audio. Fatto ciò, tappiamo su Scarica per avviare il download. Il contenuto scaricato sarà raggiungibile dalla voce Raccolta, scegliendo la sezione Scaricamenti.

 

Durante la visualizzazione di un video, possiamo creare una nuova playlist tappando Salva e selezionando Crea playlist. In Nome playlist inseriamo il nome della playlist e tappiamo su Crea playlist. Scegliamo Aggiungi a playlist per aggiungere il video. Per entrare nella raccolta appena creata tappiamo su Raccolta e apriamo la playlist per vedere i video inseriti. Per eliminare l’intera playlist dobbiamo tappare sulla piccola icona a forma di cestino. Da Impostazioni/Backup e ripristino/Playlist è possibile importare o esportare una playlist.

 

 

Da Impostazioni/Riproduttore possiamo attivare la modalità Gesti che ci permette di controllare alcune funzionalità dell’app. Sempre dalla stessa finestra possiamo: attivare la voce Controllo pinch per usare il pinch to zoom per ingrandire il video a tutto schermo; Doppio tocco per cercare che permette, toccando due volte a sinistra o a destra, di riavvolgere o avanzare la posizione del lettore; Picture in Picture, per continuare a vedere il video anche quando si esce dall’app (rimane una finestra piccola sullo schermo che riproduce il video).

 

Spostiamoci in Impostazioni/Backup e ripristino. Dalla sezione Backup dell’app selezioniamo Backup: verrà aperto un popup dal quale scegliere cosa salvare (cronologia delle visualizzazioni, iscrizioni, segnalibri, playlist, preferenze, ecc…). Tappiamo su Backup per confermare. La procedura appena vista permette di salvare i dati e le impostazioni dell’app; per ripristinare un backup, basta accedere alla sezione Ripristina e selezionare l’archivio creato in precedenza.

 

Leggi anche: “YouTube occhio alle nuove truffe


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Trending