hacking team

Recentemente il caso Kashoggi è tornato alla ribalta per il forte sospetto che l'iPhone di Jeff Bezos sia stato violato, sembra addirittura dal principe ereditario saudita. Come è stato possibile che l'uomo più ricco del mondo s'è fatto fregare le foto? Provano a rispondere analisi forensi commissionate proprio da Bezos. Analisi che confermano i principali sospetti, ma che comunque mostrano varie criticità nel modo in cui sono state svolte. Partendo da questo discutiamo più in generale di come la ricerca volta a fornire dispositivi sempre più sicuri ci ha portato a dei dispositivi opachi anche per gli stessi "proprietari". Nel caso di Apple, questo è rappresentato da Secure Enclave, ma vari sono i meccanismi analoghi.

Già che ci siamo, facciamo un breve ripasso dei legami tra governo saudita, hacking team e altri spioni.

In chiusura diamo qualche altra notizia su sicurezza e privacy su smartfonini.

Iniziamo presentando l'hack or di(y|e), una due giorni su hacking e uso critico delle tecnologie che si svolegerà 9 e 10 novembre ad XM24, a Bologna.

Introduciamo un nuovo filone di discussione facendo una storia degli aggiornamenti del software: da quando pagavi per averli, a quando pagheresti per non farli. Come cambia l'idea della tecnologia quando l'aggiornamento istantaneo diventa una realtà diffusa?

In chiusura, due pillole:

• Google Chrome ti associa al tuo account google, contrariamente a quanto prima avveniva, occhio!
• La mano di Hacking Team arriva anche dentro il caso Kashoggi: avevano formato uno dei sospettati per l'omicidio

I servizi segreti olandesi spiano i gruppi russi che hackano i democratici americani, e poi danno tutto alla CIA, che conferma: i leak delle email della clinton sono responsabilità di gruppi russi sostenuti dal cremlino.

Notiziona: c'è un nuovo malware tutto italiano in giro. Si chiama skygofree. Chi sarà? Un nuovo nome per hacking team, o qualcosa di nuovo? Interessante l'analisi di sicurezza su securelist.

Peggio delle elezioni ci sono solo i sondaggi elettorali. Peggio dei sondaggi elettorali, solo i sondaggi elettorali fatti su twitter, che tra l'altro sono davvero poco attendibili.

Le pillole:

• i Bitcoin non sono anonimi! fai attenzione
• confermato il piano di sorveglianza massiva dell'NSA  per altri 6 anni
• L'Arabia saudita dà la cittadinanza ad una intelligenza artificiale
• la Turchia fa arresti di massa in base all'installazione di una app considerata "dei gulenisti"

Corrispondenza con l'underscore di Torino che ci racconta dell'analisi che hanno fatto sui malware utilizzati da Hacking Team: come funzionano i malware? quali funzionalità hanno? cosa li rende inaccettabili?

I processori Intel utilizzati sui server hanno un bug di sicurezza: stavolta non ce ne frega niente, ma c'è una tendenza a fare robe insicure sull'hardware.

La Turchia blocca pure Wikipedia. +1.

Abbiamo parlato del protocollo e-mail, spiegando come funziona con un teatrino. Cercando di capire quali passaggi siano necessai per l'invio di una mail, e quali rischi siano legati a quali attori.

Abbiamo quindi introdotto Leap, un servizio autogestito che associa all'account mail una chiave di cifratura gpg, tutto pensato per essere molto semplice da usare.

Un'intervista con uno degli sviluppatori ci ha chiarito il meccanismo e i vantaggi per l'utente e per i gestori dei server.

https://leap.se/

https://bitmask.net/

A seguire abbiamo parlato di metadata, descrivendo un caso singolare di indagine di rete sociale sulle mail trafugate all'agenzia italiana di spionaggio Hacking Team ad opera di Share Lab.

Le pillole:

• non lasciare i tuoi figli in mano all'estremismo: proteggili dall'adolescenza!
• per le proteste alla maker faire multati studenti per migliaia di euro

Seconda puntata delle Dita nella Presa.

La trasmissione è iniziata parlando dei banner sui "cookie" che da qualche mese imperversano su internet. Dopo una breve panoramica sul funzionamento tecnico dei cookie, abbiamo analizzato alcune loro implicazioni sulla privacy, per nulla tutelata dalla nuova normativa che impone i banner.

Abbiamo nominato http://prebake.eu/ un espediente tecnico per non vedere il "banner dei cookie".

Si è poi passati a commentare la nuova legge, in fase di stesura, riguado i captatori informatici occulti.