Archivi categoria: TV

Servizio TV con Le Iene su ClubHouse

È andato in onda il servizio de Le Iene dove ho dato un piccolo contributo nel descrivere le caratteristiche tecniche dell’App Clubhouse dal punto di vista della privacy e della sicurezza, in particolare concentrando l’attenzione sulle tecniche di Open Source Intelligence applicabili per ricavare informazioni dai dati forniti dagli utenti durante la registrazione e l’utilizzo della piattaforma e resi pubblici dall’App stessa.

Con Matteo Viviani abbiamo fatto diverse prove, durante la sua registrazione al servizio Clubhouse, per verificare quali dati fossero richiesti e quali mostrati dall’App, analizzando anche il meccanismo degli inviti che è emerso non essere in realtà così vincolante come viene presentato. È possibile – lo si scopre al termine del servizio – registrarsi a Clubhouse anche prima di aver ricevuto inviti e ottenere un “pass” per l’ingresso senza consumare inviti di nessuno, quindi in modo facile, veloce e “gratuito”, considerato che c’è un mercato degli inviti Clubhouse in vendita a prezzi anche piuttosto rilevanti.

Paolo Dal Checco con Le Iene e Matteo Viviani su Clubhouse

Dalla breve analisi che ho potuto svolgere e della quale ho parlato nel servizio, sono emersi diversi aspetti d’interesse investigativo che possono integrare le informazioni che si ottengono durante le normali attività legate alla digital forensics e perizia informatica.

Durante il servizio sono state presentate alcune informazioni ricavabili tramite semplici analisi e ricerche OSINT su Clubhouse come i collegamenti tra invitato e soggetto che ha fornito l’invito o il numero di utenti clubhouse che hanno in rubrica un certo contatto.

OSINT su ClubHouse con Le Iene

Le tecniche OSINT applicabili su Clubhouse sono diverse e molte ancora in fase di definizione, certamente con alcune verifiche sui dati che transitano sulla rete – ad es. con applicativi come Fiddler, Burp, MITMProxy – è possibile verificare con quali protocolli e API l’App comunica con il server Clubhouse e quindi utilizzarli per raccogliere dati a fini investigativi più facilmente che tramite interfaccia grafica.

Contro il Revenge Porn con Le Iene

Nel servizio TV andato in onda giovedì 26 novembre 2020 nel quale ho svolto il ruolo di esperto informatico de Le Iene si è parlato di revenge porn e di come numerose donne cadano vittima di questo tipo di attacchi, peraltro non sempre motivati da vendetta da parte di ex mariti o compagni ma spesso semplicemente a seguito di attacchi a piattaforme cloud come iCloud, Google Drive o Dropbox e talvolta con attacchi di hacking su Instagram, Twitter o Facebook.

La collaborazione con Le Iene continua anche con questo servizio TV nel quale Il mio piccolo contributo è stato quello di spiegare come possono accadere questi episodi di hacking di iCloud, che in realtà con l’hacking icloud hanno spesso ben poco perché si tratta più frequentemente di attacchi di phishing o social engineering, mirati a ottenere le credenziali di iCloud tramite le quali accedere e scaricare il contenuto dei backup delle foto, filmati, note, audio e video delle vittime.

Paolo Dal Checco con le Iene su Hacking e Phishing iCloud

Ciò che è successo a Guendalina Tavassi – la protagonista del servizio de Le Iene nel quale ho svolto il ruolo di Consulente Informatico Forense – su iCloud a seguito di hacking o phishing è infatti piuttosto frequente e spesso avviene in contesti diversi: numerose sono infatti le richieste di supporto a seguito di hacking di profili Instagram o pagine Facebook.

In tali situazioni, spesso le vittime si chiedono come ottenere nuovamente il possesso del profilo Instagram rubato o delle pagine Facebook sottratte, cosa non banale soprattutto se sono assenti alcune delle misure di sicurezza base come la doppia autenticazione tramite 2FA, la conferma dell’utenza telefonica su cui inviare codici di sicurezza (che però può essere attaccata tramite sim swap e quindi non è totalmente affidabile) o il mancato legame ad esempio di account Instagram a profilo Facebook.

Il consiglio che si può dare per ridurre il rischio di perdere i propri dati o i propri account è quello di non cliccare sui link ricevuti via email, ma anche Whatsapp o SMS, non fornire il proprio telefono, username e password, diffidare da potenziali soggetti che promettono di recuperare account a fronte della comunicazione di altre credenziali, cosa chiaramente finalizzata a ottenere ulteriori punti di accesso nei profili della vittima.

Servizio TV con Le Iene sulla profilazione degli utenti

Oggi è andato in onda il servizio TV de Le Iene dove ho dato un mio piccolo contributo tecnico come perito informatico forense mostrando alcune caratteristiche della profilazione che le App fanno degli utenti tramite smartphone e PC. La navigazione, l’utilizzo dei dispositivi, la voce, le scelte che si fanno, sono tutti elementi che portano le aziende che stanno dietro ai grandi colossi del web e delle applicazioni a conoscerci meglio per poterci proporre servizi e beni sempre più mirati, il tutto chiaramente finalizzato a ottenere un ritorno d’investimento sempre maggiore dalla pubblicità o vendere un numero maggiore di beni e servizi.

Le Iene - Paolo Dal Checco - Profilazione Online

Nel servizio TV dove sono stato consulente informatico forense de Le Iene, con la iena Nicolò De Devitiis, possiamo ascoltare le interessanti osservazioni di esperti come Rudy Bandiera – divulgatore, creator e docente di online marketing – Veronica Gentili – esperta di Facebook marketing – e Joe Toscano – ex consulente di experience di design di Google – che raccontano dal loro punto di vista le varie sfaccettature della profilazione online.

Non è una novità che le applicazioni, così come i social network come Facebook, Linkedin, Twitter, Instagram ma anche qualunque sito web possano monitorare il comportamento degli utenti per tracciarne e profilarne i gusti. Importante però è esserne consapevoli, poter scegliere come e cosa lasciare che le aziende sappiano di noi ed eventualmente filtrare ogni tanto eventuali servizi troppo intrusivi.

Le Iene - Il prodotto sei tu - Come le App creano il tuo profilo

La profilazione, quindi, è un elemento ormai imprescindibile da qualunque servizio, i proprietari dei siti web conoscono chiaramente i nostri gusti di navigazione così come i social network. Il servizio de Le Iene, per Mediaset, mostra però come il tutto raggiunge livelli a volte maggiori di quello che tipicamente gli utenti immaginano quando installano un’App o utilizzano un servizio, sito web o social network come Instagram, Facebook, Linkedin o Twitter.

Diverse tracce che lasciamo dietro di noi durante il nostro uso quotidiano del web poi possono, tramite tecniche di ricerca online tramite OSINT, permettere anche a terzi di conoscere particolari che non ritenevamo di aver svelato, ma questa è un’altra storia e troveremo certamente il tempo di parlarne più avanti.

Con Le Iene su Assistenti Vocali e Privacy

Martedì è andato in onda un nuovo servizio TV de Le Iene dove ho dato il mio piccolo contributo per illustrare alcune problematiche di sicurezza degli assistenti vocali e dei sistemi di comando tramite voce delle App su smartphone e su piattaforme come Amazon con Alexa, Apple con Siri o Google con Home e Assistant.

Nicolò De Devitiis e Marco Fubini ci mostrano nel servizio de Le Iene, con filmati e interviste, come ormai gli assistenti vocali possono gestire buona parte della nostra vita, in casa ma anche sul nostro Smartphone. Possono indirizzarci verso acquisti legati alla piattaforma che stiamo utilizzando e guidarci nelle scelte in base, ovviamente, a criteri di mercato che portano a prediligere ciò che per il produttore del dispositivo è più conveniente. Questo sia che si tratti di Alexa con Amazon, sia degli assistenti vocali di Google e Apple.

Le Iene - Privacy di Alexa e Amazon

Nel servizio “Assistenti vocali e privacy: siamo certi di essere al sicuro?” de Le Iene si parla anche di sicurezza e privacy, per il fatto che senza un adeguato controllo, si corre il rischio che le App su smartphone e sugli assistenti vocali “ascoltino” anche quando non devono, riuscendo quindi a rilevare quando siamo in casa o cosa stiamo dicendo e facendo.

Chiunque può verificare, ad esempio, ciò che Google ha tracciato accedendo alla pagina My Activity e osservando come ogni ricerca, ogni App utilizzata, ogni dispositivo utilizzato viene quotidianamente tracciato e archiviato. Filtrando poi per “Assistente” e “Voce e Audio” è possibile ottenere l’elenco delle registrazioni audio fatte dagli Assistenti Google e dalle App completo di file sonoro da asoltare e persino traduzione del testo che è stato pronunciato.

Paolo Dal Checco a Le Iene - Privacy e Sicurezza degli Assitenti Vocali

L’aspetto rilevante è che in diversi casi le registrazioni riguardano momenti nei quali la dettatura non era stata richiesta, l’assistente cioè si è autonomamente attivato e ha ascoltato, registrato e trascritto. Nulla di grave, i file audio si possono rimuovere così le trascrizioni, rimane però il fatto che spesso l’utente non è consapevole delle attività automatiche di questi assistenti – su smartphone o assistenti vocali come Home o Alexa – che possono “ascoltare” e registrare anche quando l’utente non se lo aspetta, tranne ovviamente quando sono stati disabilitati.

Altri aspetti da tenere in considerazione oltre alla sicurezza sono, ad esempio, il tracciamento dello storico dei movimenti, che Google memorizza nella sua Location History dove troviamo giorno per giorno le posizioni ricavate tramite GPS, WiFi e celle telefoniche da Google per il tracciamento dei nostri movimenti. Ovviamente questa funzionalità deve essere abilitata ma capita molto spesso che gli utenti la ritrovino operativa senza averla esplicitamente attivata: è sufficiente, tra l’altro, visitare il link riportato qui sopra per verificarne l’operatività sul proprio account Google.

In ambito di perizie informatiche ove vi sia necessità di ricostruire le posizioni di un soggetto nel tempo, può rivelarsi strategica questa funzionalità, che ovviamente richiede l’utilizzo di uno smartphone da parte del soggetto ma che molto spessi si dimostra essere attiva e piuttosto precisa.

Con Le Iene sui Motori di Ricerca

Continua la collaborazione con la trasmissione TV Le Iene di Mediaset per un nuovo servizio sulla tecnologia, nel quale Nicolò De Devitiis mostra le differenze tra i vari motori di ricerca, in termini di profilazione, mostrando alcune alternative e soluzioni da adottare per chi vuole capire meglio quali siti stanno profilando a fini pubblicitari e a quali dati sono in grado di accedere.

Marco Montemagno, intervistato da Nicolò, illustra le basi commerciali che sottendono alla profilazione di Google, Bing e i vari motori di ricerca che fanno della pubblicità mirata il loro business, presentando anche il concetto di “filter bubble” che fa sì che ognuno abbia una visione “personalizzata” dei risultati di ricerca, legata all’IP da cui sta navigando, alla lingua, al browser, al dispositivo (smartphone, PC, tablet, etc…) e persino alla marca del proprio notebook o cellulare.

Il mio intervento invece verte sull’analisi dei dati che i motori di ricerca possiedono di chi li utilizza e di come questi dati vengono incrociati in modo da produrre un profilo utile per chi fa advertising al fine di profilare meglio le proprie pubblicità. Occupandomi da anni di Perizie su Google, Bing, SEO e motori di ricerca e ma anche di perizie forensi su siti web, indicizzazione, Google Ads (un tempo AdWords) e Google Adsense, ho avuto modo di approfondire i princìpi su cui si basano le tecnologie di tracciamento. Nel servizio TV per Le Iene ho accennato, quindi, a come i cookies sono uno degli strumenti principali (seppur non l’unico) con il quale i motori di ricerca, i siti e i social network come Facebook, Twitter o Linkedin riescono a riconoscere l’utente seguendolo nel suo percorso di navigazione per proporgli pubblicità sempre più attinenti e mirate.

Le Iene – Motori di Ricerca

Nel servizio TV de Le Iene Nicolò mostra alcuni motori di ricerca alternativi a Google e Bing, come Ecosia e Qwant, che promettono di non profilare l’utente e, nel caso di Ecosia, di destinare parte dei proventi ottenuti dal sito al ripopolamento degli alberi. Ovviamente la scelta spetta all’utente, i servizi offerti da motori di ricerca come Google e Bing sono spesso incomparabili a quelli dei concorrenti e la profilazione – se fatta correttamente – non fa altro che personalizzare maggiormente le pubblicità. Ci sono però soggetti che preferiscono sapere di non essere “seguiti” durante la navigazione o nelle loro attività su smartphone o PC, ai quali le alternative al tradizionale BigG possono essere più congeniali nonostante magari la qualità dei risultati sia inferiore.

Per concludere, ho mostrato come ognuno di noi può sapere ciò che i vari siti, servizi e motori di ricerca conoscono del nostro profilo, semplicemente sfruttando ciò che il GDPR ha imposto alle società: la portabilità dei dati. Funzioni come “Google Takeout” permettono di esportare da Google tutti i nostri dati e visionarli in dettaglio, allo stesso modo in cui la funzione di esportazione del profilo di Facebook, Twitter, Instagram, Linkedin e altri servizi ci permette di ottenere una copia dei nostri dati e, volendo, di eliminarli.