Io Volo Libero

(blog senza tema di Rodolfo Saccani)

Vaccini e Facebook

È inutile parlare di vaccini su Facebook, si finisce per ripetere sempre le stesse cose, ed è comprensibile.

In fondo ciascuno di noi ha faticosamente conseguito la propria weblaurea in immunologia, qualcuno è anche stato su Wikipedia, quindi tutti sappiamo bene che inserire atomi nel corpo umano non dev’essere una cosa mica tanto giusta. Soprattutto i metalli pesanti.

Siamo mica fatti di metallo noi? Quindi non è una cosa naturale, è evidente.

Questo punto almeno è assodato e fortunatamente vedo che c’è consenso tra gli esperti, qui in Facebook.

Quello di cui voglio parlare oggi è un problema ben più grave. Tutta questa discussione sui vaccini alla fine serve solo a distrarvi da questo problema e ci siete cascati tutti. Quindi per favore basta discussioni sterili, non vi fate fregare. Adesso vi spiego tutto.

Lo sai che centinaia di persone ogni anno muoiono attraversando sulle strisce pedonali? Parliamo di circa 700 persone l’anno, mica due o tre. Hai letto bene, centinaia e centinaia di morti per qualcosa che ci dicono servirebbe a salvare vite umane! E noi tutti a crederci!

E lo sai che il comma 2 dell’articolo 190 del codice della strada, che è legge dello stato, obbliga i pedoni ad attraversare sulle strisce? Ti rendi conto?

Ti sei mai chiesto perché lo stato ti obbliga, per legge, a fare una cosa così pericolosa?

Cosa c’è dietro? Quali interessi? Quali complotti?

Questo è un problema molto grave quindi non fate commenti stupidi, vi avviso che non accetto provocazioni e cancellerò tutti i commenti che chiedono qual’è la probabilità di morire attraversando fuori dalle strisce. Non sto mica qui a sentire troll di regime che mi parlano di probabilità statistica. Cosa mai c’entra la statistica in tutto questo?

Non farti fregare!!! Fai girare!!!!
+++ SE VUOI SAPERNE DI PIÙ KLIKKA KUI (enlarge your penis) +++

A few notes about this new ransomware worm

– it’s not petya, it just steals some of it’s components, as often happens.

– email as infection vector? Unsubstantiated claims. Until now not a single sample. All the samples that have been submitted and analyzed are about some other ransomware, not this one.

– there is no remote killswitch like for wannacry, there is a local one: you can create a file on your computer to stop it should you get infected. But why bother? Just install the security patches and you will prevent the infection.

– most of the news sources just copy from some other sources the same unverified claims and incorrect information. Being fast in publishing anything seems to pay more than providing accurate information. Choose your sources carefully.

– most of the infected computers, if not all, are unpatched. Patches for these vulnerabilities are available since March. We are talking about companies who rely on their IT infrastructure for their business.

– the exploits are once again the ones developed by NSA and made public by the shadow brokers. Offensive exploits are offensive indeed and once leaked can be used by anyone for any purpose and apparently for a long time after patches have been made available.

– the worm seems to be of much higher quality than wannacry and spreads a little differently but … a single email address and a single Bitcoin wallet for payments. This really makes little sense from a ransomware point of view. Ransomware usually provides one bitcoin wallet per transaction in order to make it hard to track down the money flow and multiple contact points in order to ensure operations. Here the malware authors didn’t seem to pay much attention to this part which should be important if your objective is to make money. Pair this with the fact that the worm wipes the first sectors of the disk making the computers unusable and the hypotesis of a state actor deployed a digital wiper masquerading it as a ransomware makes some sense.

– this single email address has been shut down so even if you pay the ransom you have no way to communicate with the authors in order to get the decryption key. Don’t pay and while you wait to see how the situation evolves, take some time to rethink your backup strategy. You need to do it only once.

La sfida

La vera carenza è quella del nostro sistema educativo che produce ignoranza, mancanza di senso critico, incapacità di informarsi, incapacità di formare una propria opinione, incapacità di distinguere il vero dal falso, complottismi e superstizioni.

Essere incapaci di leggere e valutare dati oggettivi porta a dubitare di tutto e induce a ripetere ciclicamente gli errori del passato. 

Negli ultimi secoli abbiamo fatto grandi conquiste per migliorare la nostra condizione, per sconfiggere sofferenze e malattie, per migliorare attraverso la tecnologia e l’intelligenza la nostra condizione animale ma in fondo è stata una conquista operata da parte di pochi a favore di tutti. 

I nomi attaccati alle grandi conquiste scientifiche e tecnologiche sono una manciata, tutti gli altri ne hanno beneficiato, la maggior parte però non si rende conto dell’immenso valore e della precarietà di tutto ciò.

Niente è scontato. Se gli strumenti intellettuali per interpretare il mondo e per apprezzare le conquiste fatte  restano appannaggio di pochi, se il sistema educativo non riesce a portare questi strumenti a tutti, la nostra ignoranza diventa un fardello sempre più pesante che ci porta indietro nel tempo. 

Incapaci di apprezzare quello che abbiamo, facciamo scelte dettate dall’emotività, dalla paura, dalla stupidità congenita che ci illudiamo di aver superato.

Usiamo la potente tecnologia che possediamo e che diamo per scontata, ma che in fondo non comprendiamo, come amplificatore della nostra ignoranza.

La sfida del nostro tempo è questa. Riusciremo a non usare questi strumenti contro noi stessi e soprattutto contro i nostri figli?

Complessità vs sicurezza, mercoledì a Roma

Nella sicurezza, sia fisica che digitale, la complessità è nemica della sicurezza. Riduce l’affidabilità e aumenta la superficie d’attacco.

È proprio la complessità dei nostri sistemi informatici che li rende vulnerabili. I sistemi di sicurezza devono considerare la complessità come un costo.

Cosa succede però se la complessità è un argomento di marketing che funziona e ti porta clienti, specialmente in un mercato in espansione?

Succede che da un lato la sicurezza diventa una risorsa (per la tua strategia di marketing) e dall’altro resta un fattore che riduce l’efficacia della tua soluzione (e ti rende più difficile tenerti i clienti).

Complessità vs efficacia, marketing vs pragmatismo, breve vs lungo termine.

Parlerò ancora di queste cose mercoledì prossimo al Security Summit a Roma.

Disordine funzionale

Il disordine funzionale è quello che ha una sua utilità, fregandosene bellamente della forma. 

Ad esempio la risma di fogli A4 che vive appoggiata sopra alla stampante. Avvolta nel suo contenitore di carta strappato, da cui peschi senza fatica secondo necessità.

Un colpo d’occhio e hai trovato sia la stampante che la sua carta, senza neanche pensarci hai anche fatto una misurazione occhiometrica dell’autonomia in termini di fogli residui. Massima efficienza e minimo sforzo, magari funzionasse anche per l’inchiostro.

La risma ha vissuto lì sopra per decenni, praticamente da sempre, finché un giorno non c’è più.

Sparita senza preavviso, un punto fermo della tua vita che improvvisamente viene meno.

Questi sono i momenti in cui (anche se non ci credi fino in fondo) riponi le tue speranze nel motore di ricerca di casa.

– “QUALCUNO SA DOVE SONO I FOGLI DELLA STAMPANTE?”

– “E dove vuoi che siano?” (Dentro di te lo sapevi, ma ci speravi lo stesso)

– “DOVE VOGLIO CHE SIANO? DOVE SONO SEMPRE STATI, DA GUTENBERG IN POI: DOVE SERVONO!”

Fare un po’ di polemica è tutto quello che ti resta quando sai di non avere speranze. Non torneranno mai più.

Approccio pragmatico alla sicurezza

Questa è la presentazione che ho usato nel mio intervento al Security Summit di Milano.

 

Il Security Summit, organizzato dal Clusit, è il più importante evento di sicurezza in Italia. Il mio intervento era sulla protezione dalla minacce ancora non note che arrivano via mail e metteva l’accento sul rapporto tra pragmatismo e sicurezza.

In questo post ripercorro gli argomenti di questa presentazione.

Leggi il resto dell’articolo »

Off The Grid: un sistema semplice per una password veramente sicura

Quello di cui parliamo oggi è un sistema semplice e ingegnoso per avere password sicure, lunghe, complesse ma memorizzabili.

Oggi per avere password sicure (e diverse tra loro) per i tanti servizi che usiamo, il keyring è indispensabile. Io uso Keepass.

Ci sono però un paio di password che bisogna comunque memorizzare:
1) la password del keyring stesso (qui ovviamente il keyring non può aiutarti)
2) la password di accesso al computer (il keyring lo apro dopo essermi loggato e sarebbe scomodo usare il keyring su telefono per accedere al pc)

Per queste due password da qualche anno uso un sistema semplice e ingegnoso che si chiama Off The Grid, gentilmente offerto dal buon Steve Gibson. Leggi il resto dell’articolo »

Come accorgersi subito della compromissione del sito

Premessa: questo è un post tecnico per chi gestisce un web server, quindi saltalo a piè pari se la roba troppo tecnica non ti interessa.

I CMS sono uno dei principali problemi di sicurezza del web. Sono centinaia i siti basati su WordPress, Joomla e altri CMS che vengono ogni giorno compromessi e utilizzati per diffondere malware.

Personalmente sto passando a Jekyll per siti che non hanno esigenze specifiche, Jekyll infatti funziona un po’ come un semplice CMS ma genera pagine statiche una-tantum. Dateci un occhio, è interessante, ma non è l’argomento di questo articolo.

Per chi è costretto ad usare un classico CMS con i suoi svariati ettogrammi di codice php che viene eseguito ad ogni richiesta, la prima cosa da fare è avere backup quotidiani. La seconda è mantenerlo sempre aggiornato. La terza è avere un sistema per accorgersi immediatamente di una eventuale compromissione. Oggi parliamo di questo. Leggi il resto dell’articolo »

Phishing ING Direct, fate attenzione

I domini di questi siti sono fatti più o meno così: jbbdbljg4s. vestire. xyz
Dove i caratteri all’inizio cambiano, e il verbo (in questo caso “vestire”) anche. Il suffisso finale resta sempre xyz.

Il sito si presenta come una copia del sito ing ma oltre al codice cliente vi chiede tutti i numeri del pin (invece che solo 3 come il sito originale) e poi procede, per un “controllo di sicurezza”, a chiedere anche i dati della carta di credito e il numero di telefono.

Mentre tu inserisci i dati loro ti svuotano il conto. L’ultima schermata ti chiede di inserire il codice di verifica che ricevi via sms da ING, quella è l’ultima informazione che gli serve per far partire il bonifico con cui ti lasciano al verde.

Occhio.

 

 


Clickbaiting

​Bait significa esca, il clickbaiting è un’esca per farti fare un click.

Di solito l’esca è una notizia falsa e il tuo click, caro pesciolino, viene monetizzato con la pubblicità. 

Quanto potrà mai valere un misero click? Quelli bravi ci fanno milioni di euro l’anno. 

Più tu ti indigni, più loro ridono. 

Clicca e condividi, mi raccomando pesciolino.
Il clickbaiting non è solo web e notizie false. Lo spam via mail ha sempre usato il clickbaiting, lo ha praticamente inventato.

Oggi però i click nelle mail possono essere monetizzati in modo più efficace che con la pubblicità: ransomware, truffe, furti d’identità, … 

Centinaia di milioni di euro l’anno, senza esagerare.
C’è tutto un ecosistema di illeciti che usano la mail come vettore.

C’è la pesca a strascico e la pesca subacquea, quella che con tecniche grezze cerca di afferrare quanti più pesciolini è possibile e quella col fucile dove scegli la preda e prendi la mira, più sofisticata ed efficace.

Difficile scappare caro pesciolino.
Questa è una presentazione che ho tenuto qualche mese fa su questo tema. Ci sono anche i risultati di una campagna di phishing fatta proprio a persone che si occupano di sicurezza informatica. Quanti di loro saranno caduti nella trappola del clickbaiting?
Che si fa, andiamo a pescare?

https://prezi.com/ocuhzadpscdi/
“Nonno, nonno posso farti una domanda sulla nostra vita dei pesci del mare? Perché ogni tanto qualche compagno scompare?”

“Perché è stato preso dalla rete del pescatore.”

“Ma ci sarà un modo per non farsi acchiappare?”

“Bisogna saper distinguere la luce delle stelle da quelle delle lampare”

(Gli animali, Mannarino)