28 ottobre 2010

Le iene e l'hacker

Le Iene sembrano sempre più un servizio sociale. Qualche ora fa (puntata del 27 Ottobre) è andato in onda l'ennesimo servizio dove Giulio Golia ci "aiuta" a proteggerci dai furti delle nostre mail. Dai, non è male. La televisione che si erige a poliziotto della rete.
Se fosse così, nulla da ribattere. Ma nel servizio delle Iene ho visto ben poco di utile. Eh si perché ci spiegano tutti i passi per rubare un account e-mail (solo quelle di un particolare gestore) tralasciandone solo due. E perché ne tralasciano due? Golia ci dice: "perché altrimenti il processo per rubare una mail sarebbe svelato a tutti".
Oh meno male. Grazie Golia per avere difeso la mia mail! Peccato che quegli ultimi passi per rubare un account siano intuibili anche dal mio stupido spermatozoo, ovvero: dopo aver rubato la mail (il tutto spiegato nei minimi dettagli nel servizio!), si cambia password e per poter confermare la modifica si ritorna nella mail rubata per una semplice conferma. Tutta la spiegazione è concentrata quindi solo a far capire come in realtà si ruba una mail e cosa se ne può ricavare, nessuna parola su come possiamo difenderci! Tra l'altro le Iene non sono nuove a queste "operazioni di utilità sociale". Tempo addietro diedero dei "preziosissimi" consigli su come difendersi dalle frodi informatiche, consigli utilissimissimi, tipo: "fate attenzione ai files che trovate in allegato, mi raccomando!".
Io queste iene non le capisco. Prima sembrano volerci spiegare come poterci proteggere in rete, ma allo stesso tempo hanno invogliato milioni di sedicenni a correre al pc per provare il giochino.
Credete che il servizio di ieri sia servito più a "renderci consapevoli dei pericoli su Internet" o a invogliare ragazzini e aspiranti hackers a fottere le mail?
Io vedo il mio ago della bilancia nettamente spostato verso la seconda opzione!

Vedi anche




28 commenti:

  1. Ma scusa, che servizio hai visto? Dicevano come poter rubare una mail semplicemente avendo l'indirizzo di posta ma solo con quello non ci fai nulla! Cioè, secondo te per rubare una password basta andare sul sito, fare la richiesta per il recupero e cambiarla? Ti rendi conto che se fosse così semplice il servizio non l'avrebbero nemmeno fatto? Quando vuoi cambiare la password OVVIAMENTE devi o rispondere ad una domanda segreta o (se il fornitore dell'indirizzo lo prevede) ricevere la nuova pass attraverso una mail alternativa.
    Comunque i passaggi che mancano credo di averli intuiti e credo anche di sapere qual è il provider...

    RispondiElimina
  2. Io invece non sto capendo te. Tu scrivi:" dicevano come poter rubare una mail semplicemente avendo l'indirizzo di posta ma solo con quello non ci fai nulla". Non ho capito che vuoi dire.
    Hanno spiegato tutta la procedura per potere cambiare la password tramite una falla nel sistema di sicurezza di un provider. Nel post io spiego che gli ultimi passaggi non specificati nel servizio sono talmente intuibili (quelli della modifica della conferma del cambio password) che nasconderli è semplicemente ridicolo!

    RispondiElimina
  3. Articolo che condivido in toto. Sono trucchetti non da hacker, ma da semplice smanettone curioso ed il servizio rischia di invogliare i 16enni piu che aiutare gli utenti.

    la cosa più utile non viene detta, dobvevano semplicemente dire senza far vedere la procedura che le casele email di tal provider non sono sicure.

    Umberto tu ti sei fatto un'idea di che provider sia?
    Tenderei ad escludere libero, visto che si parla anche di tabulati telefonici credo sia un gestore telefonico....

    RispondiElimina
  4. potrebbe essere tim o tre!

    la cosa è molto grave! spero aggiornino i sistemi quanto prima.

    RispondiElimina
  5. Si è un operatore telefonico, telefonia cellulare..

    RispondiElimina
  6. bisognerebbe sapere qual è questo gestore,se davvero queste informazioni nascono per tutelarci...altrimenti è inutile

    RispondiElimina
  7. guardate il labiale di golia quando pronuncia il dominio della mail...io ancora non l'ho capito..
    dall'interfaccia "modificata" potrebbe essere un indirizzo @alice.itm @tim.it; se ci fate a parte la grafica, nel menù della casella ci sono i link: "a mia linea", "il mio conto", "assistenza tecnica"...

    RispondiElimina
  8. Sono quello del primo commento. Umberto, riguardati bene il servizio: l'hacker apre due finestre diverse, in una mette la sua mail e nell'altra quella di golia, da entrambe le finestre richiede il recupero password ma solo nella prima (la sua) lo porta a termine, in quella di golia non lo fa perchè appunto mancano dei passaggi che sicuramente non sono il semplice tornare sulla finestra di golia e completare la richiesta perchè è impossibile!
    Pensaci un attimo, se fosse semplice come pensi tu, perchè aprire due finestre? Bastava quella di Golia no? E' evidente che la prima finestra serve per ottenere la pass nella seconda...
    Almeno uno dei passaggi credo di averlo intuito, ma evito di dirlo per ovvi motivi...

    RispondiElimina
  9. la procedura non è niente di complicato..si tratta dello scambio dei due indirizzi http...teoricamente è così. il furto di cui parla il servizio è possibile primo perchè la procedura di recupero psw è assolutamente banale (neanche l'ombra di una domanda segreta, un numero di telefono, un codice CAPTCHA, ecc) secondo perchè non è presente una connessione cifrata del tipo https che hanno molti altri provider..

    RispondiElimina
  10. Ma tu hai scoperto al 100% qual è? Io pensavo ad un altra che ha sia captcha, sia domanda segreta che https. Esiste un provider che ti cambia la password così come se niente fosse?

    RispondiElimina
  11. E come mai la pagina di recupero di Alice, in questo momento, dice Il sistema è temporaneamente indisponibile? un caso?

    RispondiElimina
  12. no non sono sicuro che sia alice...in questi giorni hanno cambiato un pò di cose nella mail...ma la grafica, il layout e i link sono assolutamente identici...ho fatto due screen di confronto appena posso li posto

    RispondiElimina
  13. mail del servizio "modificata per renderla irriconoscibile" http://yfrog.com/f5captureuxj

    mail personale http://yfrog.com/e347689442j

    giudicate voi

    RispondiElimina
  14. perchè appunto mancano dei passaggi che sicuramente non sono il semplice tornare sulla finestra di golia e completare la richiesta perchè è impossibile!

    E invece è proprio questo il punto.
    La falla permetteva di cambiare la password di un account senza saperne risposta alla domanda segreta o alcunché.
    Altrimenti non ci sarebbe niente di strano.

    Dico permetteva perché ieri l'ho testata e funzionava (ovviamente con indirizzi miei di prova), mentre oggi sembra non funzionare più.
    Sicuramente la risonanza enorme data dal servizio li ha finalmente spinti a darsi da fare.
    Il che, tra parentesi, può anche essere stato lo scopo del servizio stesso...

    RispondiElimina
  15. si, la grafica è quella di Alice

    RispondiElimina
  16. il trucco funziona solo con le email con dominio alice.it. una volta dentro basta leggere l'estratto conto telecom italia con i dettagli relativi alle chiamate fatte e tutti i dati connessi al titolare dell'abbonamento. non si recuperano assolutamente tutti questi dati con email tipo tiscali yahoo .. simile ad alice c'è fast però...vabè ma son cose risapute, altro che haker!

    RispondiElimina
  17. A me sembra che chi ha scritto questo "articolo" voglia solo fare polemica inutile: il servizio delle Iene ha come scopo quello di far emergere al grande pubblico il problema (grosso).
    Poi sta ai provider correre ai ripari se non vogliono perdere i loro clienti.
    Il ragazzo del servizio (che cmq non è un vero e proprio "hacker") aveva provato a contattare il gestore incriminato e l'avevano altamente ignorato... quindi di chi è la colpa? Delle Iene o dei gestori dei servizi che se ne fregano della sicurezza informatica?

    RispondiElimina
  18. ti assicuro che gli utimi famosi 2 passaggi,non erano così intuibili, ma grazie a te ora sono chiari per tutti.
    E il bello è che di post come il tuo,dopo il servizio di ieri, è pieno il web.
    Tutti a far vedere di essere scaltri ad aver scoperto il trucco, senza sapere che state creando un casino di dimensioni colossali.
    Perchè non segnalate il tutto al provider invece di diffondere informazioni ai malintenzionati su un piatto d'argento?!

    Siete VOI internauti che non capisco, non LE IENE!!!!!

    RispondiElimina
  19. non saprei proprio, cmq sono daccordo con il ragazzo del video... in Italia i software vengono fatti con i piedi!

    RispondiElimina
  20. @Anonimo delle 9:36: non posso dirlo con certezza ma forse qualcuno che ha commentato in questo post c'azzeccato.
    In effetti il servizio ha fatto vedere i dati telefonici che possono essere ricavati solo con un account Alice (non ne sono sicuro al 100%).
    Per il resto i due files di anonimo delle 13:10 sono importantissimi e sembrano parlare da soli. La grafica (che Golia dice di aver cambiato per non far capire di che gestore si tratti) è praticamente identica.
    Quindi al momento l'unica soluzione plausibile è Alice.
    Inoltre la sezione di recupero password adesso sembra funzionare, almeno credo! Se così non fosse smentitemi. In tal caso potremmo (quasi) essere sicuri che la falla sia proprio di Alice-Telecom Italia. Il gestore più grosso in Italia.

    p.s. usate almeno dei benedetti nick! :)

    RispondiElimina
  21. Salve a tutti. Vorrei scrivere 2 parole a tal proposito: quello di cui stiamo parlando è sempre frutto del lavoro di qualcuno ricordiamocelo. Gli esseri umani sbagliano... come credo tutti voi nel vostro lavoro. Mi pare assai strano che una grande azienda se avvertita di questo problema, in ben due anni non abbia messo una pezza a un tale disastro. Lo dimostra il fatto che tutt'ora l'exploit non funziona più. Ciò significa che non ci voleva poi così tanto a coprire il buco. Certo che se qualche utente ha subito dei danni da tutta questa situazione qualcuno dovrà assumersi le proprie responsabilità... COSI' COME (si lo voglio urlare) TUTTI COLORO CHE STANNO VIOLANDO LE MAIL DI TERZI SBRUTTANDO QUESTO BUG. Tutto, e ripeto tutto, viene loggato da queste aziende... IP di connessione compresi. Ci mettono poco a scaricare un bel malloppo di dati all'utorità giudiziaria. Quindi attenzione che se non siete ben pratici di anonimato su internet e se avete violato senza consenso la mail di uno o più persone... beh potreste essere in guai seri così come l'azienda stessa per questo bug. Della serie... non posso far ricadere la responsabilità su chi vende armi da fuoco se io compro una pistola e ci ammazzo qualcuno.

    RispondiElimina
  22. cit. "Tutti a far vedere di essere scaltri ad aver scoperto il trucco, senza sapere che state creando un casino di dimensioni colossali."
    guarda che chi si intende di informatica conosce questo trucchetto forse da anni..non è niente di così compicato, lo stesso hacker del servizio ha detto che lo saprebbe fare anche un ragazzino...
    poi scusa..se io ti insegno a usare una pistola non vuol dire che tu debba scendere in piazza e sparare alla gente..

    ps: sono io ad aver postato le due foto

    RispondiElimina
  23. ps2: scusate il doppio commento...aggiungo che l'intento delle iene non quello di invogliare i ragazzini a diventare hacker come sostenuto dall'autore dell'articolo, bensi quello di far svegliare la gente a informarsi sui pericoli che corre (in questo caso inromatici)...
    evidentemente, quando golia ha informato del servizio televisivo il gestore, questi ha intimato la redazione dall'astenersi dal fare il nome dell' azienda..promettendo di risolvere la falla in breve tempo...
    perchè le iene dovrebbero rischiare di venire denunciati per diffamazione solo per pararci il di dietro a noi che stiamo nascosti dietro lo schermo del tv?
    chi si è veramente interessato al problema dopo aver visto il servizio ha cercato su internet, ha trovato probabilmente questo articolo in questo blog e ora saprà se la sua mail è sicura o no

    RispondiElimina
  24. ...gli ultimi appunti sono assolutamente condivisibili... le "falle" informatiche, specialmente quelle che implicano la violazione di un qualsiasi sistema di sicurezza, non vanno "censurate" ma diffuse proprio con l'intento di evitare che una stretta cerchia di "furbetti" se la rida alla faccia di chi questi meccanismi non sa nemmeno che esistono... (il tacere, insabbiare e fare finta che non sia successo niente ricorda vagamente una certa "classe dirigente"........ brutta storia!)

    RispondiElimina
  25. Gran bel post!! Per contrappasso ovviamente...è come dire che se la Tiburtina è piena di puttane la colpa è di StudioAperto. A parte questo io da programmatore ti posso assicurare che lo pseudohacker ha perfettamente ragione: in Italia il software fa schifo perchè non assumono chi è bravo, ma chi costa poco o chi è amichetto di qualcuno. Ovviamente non sono tutti pippe i programmatori, ma la percentuale dei "professionisti" è abbastanza ridicola ed è ancora più ridicola quella delle persone in grado di ingegnerizzare e portare avanti un progetto software.
    E' invece praticamente impossibile, che un hacker riesca a violare un account di un'azienda con questo sistema (o sistemi analoghi) per carpirne segreti aziendali o altro.
    Questo in effetti dimostra un'altro fatto: che le aziende italiane un po' spendono per la sicurezza informatica...solo la loro però, non la nostra!
    Per precisione vorrei aggiungere che nelle aziende gli account di posta tipo amministrazione@xxxx.xx, info@xxxxx.xx e simili, sono nella quasi totalità dei casi degli alias. Questo vuol dire che nn esiste nessun account dell'utente amministrazione o info, ma le mail destinate a quegli account vengono redirette sugli account di persone fisiche. Quindi per leggere le mail di amministrazione@xxxxx.xx dovresti magari bucare l'account di mrossi@xxxx.xx.

    Riguardo al tizio che ha scritto:
    quello di cui stiamo parlando è sempre frutto del lavoro di qualcuno ricordiamocelo. Gli esseri umani sbagliano... come credo tutti voi nel vostro lavoro.

    Questo è vero, ma dipende dallo sbaglio. E in questo caso non è vero. Questo è un errore paragonabile a quello che commetterebbe un chirurgo che operasse di menisco un malato di appendicite, non si può dire: "poverello, ha sbagliato...le persone che lavorano possono sbagliare..." (non mi riferisco al programmatore disgraziato che magari prende 800 euro/mese a progetto, ma a chi dovrebbe coordinarlo...e che sicuramente non prende così poco).

    In conclusione il servizio va preso per quello che è: una denuncia del fatto che il software sviluppato in italia è imbarazzante, il resto è "riempimento" televisivo, per catturare l'attenzione del telespettatore.
    E poi comunque Le Iene è uno dei soli 3 o 4 programmi tv che propongono argomenti interessanti...e non me lo dovete toccà :)

    Scusate lo sfogo ma gli argomenti trattati in questo post e nei commenti mi toccano da vicino

    RispondiElimina
  26. Gran bel post!! Per contrappasso ovviamente...è come dire che se la Tiburtina è piena di puttane la colpa è di StudioAperto. A parte questo io da programmatore ti posso assicurare che lo pseudohacker ha perfettamente ragione: in Italia il software fa schifo perchè non assumono chi è bravo, ma chi costa poco o chi è amichetto di qualcuno. Ovviamente non sono tutti pippe i programmatori, ma la percentuale dei "professionisti" è abbastanza ridicola ed è ancora più ridicola quella delle persone in grado di ingegnerizzare e portare avanti un progetto software.
    E' invece praticamente impossibile, che un hacker riesca a violare un account di un'azienda con questo sistema (o sistemi analoghi) per carpirne segreti aziendali o altro.
    Questo in effetti dimostra un'altro fatto: che le aziende italiane un po' spendono per la sicurezza informatica...solo la loro però, non la nostra!
    Per precisione vorrei aggiungere che nelle aziende gli account di posta tipo amministrazione@xxxx.xx, info@xxxxx.xx e simili, sono nella quasi totalità dei casi degli alias. Questo vuol dire che nn esiste nessun account dell'utente amministrazione o info, ma le mail destinate a quegli account vengono redirette sugli account di persone fisiche. Quindi per leggere le mail di amministrazione@xxxxx.xx dovresti magari bucare l'account di mrossi@xxxx.xx.

    RispondiElimina
  27. (mi scuso ma la filippica non entrava in post solo)

    Riguardo al tizio che ha scritto:
    quello di cui stiamo parlando è sempre frutto del lavoro di qualcuno ricordiamocelo. Gli esseri umani sbagliano... come credo tutti voi nel vostro lavoro.

    Questo è vero, ma dipende dallo sbaglio. E in questo caso non è vero. Questo è un errore paragonabile a quello che commetterebbe un chirurgo che operasse di menisco un malato di appendicite, non si può dire: "poverello, ha sbagliato...le persone che lavorano possono sbagliare..." (non mi riferisco al programmatore disgraziato che magari prende 800 euro/mese a progetto, ma a chi dovrebbe coordinarlo...e che sicuramente non prende così poco).

    In conclusione il servizio va preso per quello che è: una denuncia del fatto che il software sviluppato in italia è imbarazzante, il resto è "riempimento" televisivo, per catturare l'attenzione del telespettatore.
    E poi comunque Le Iene è uno dei soli 3 o 4 programmi tv che propongono argomenti interessanti...e non me lo dovete toccà :)

    Scusate lo sfogo ma gli argomenti trattati in questo post e nei commenti mi toccano da vicino

    RispondiElimina
  28. Golia, all'inizio del servizio fa intendere che questa procedura è valida per tutti i provider, vorrei avessero provato con "GMAIL" la cosa non credo sarebbe stata così semplice.

    RispondiElimina