L’account personale di Trump è un account pubblico

by Matteo Scandolin

Almeno, così sostiene una corte statunitense: sembra un cavillo legale, ma in realtà è una cosa molto grossa.

Chi ci segue da tempo sa che qui Trump non ci sta molto simpatico (lui, e tutto quello che si porta dietro, e tutto quello che rappresenta) (lui, e i suoi equivalenti italiani). Una delle cose che non mi ero mai spiegato razionalmente è il fatto che abbia sempre continuato a usare il proprio account Twitter personale, e non il profilo ufficiale del Presidente degli Stati Uniti (quello che usava, per esempio, Obama). Essendo il suo profilo personale, ha sempre pensato di poter fare quello che gli pareva, tra cui anche bloccare le persone che esprimono dissenso, o cose simili.

Una delle persone bloccate da Trump ha però fatto causa, e la corte le ha dato ragione, stabilendo che il profilo privato di Trump non è più così privato, visto che lo usa anche per comunicare cose ufficiali e di importanza nazionale. Insomma, è un pubblico ufficiale che dice cose da pubblico ufficiale: impedire a qualcuno di seguirlo o interagirci equivale a censura.

Mi piace in modo particolare il fatto che la giudice abbia aggiunto: non imporrò al Presidenti di sbloccare tutti gli account che ha bloccato, perché è un pubblico ufficiale e tutti i pubblici ufficiali devono obbedire alla legge.

“This case requires us to consider whether a public official may, consistent with the First Amendment, ‘block’ a person from his Twitter account in response to the political views that person has expressed, and whether the analysis differs because that public official is the President of the United States,” the decision begins. “The answer to both questions is no.” [link]

j j j

Un altro caso di dati malprotetti

by Matteo Scandolin

Solo che stavolta tocca a dati di bambini: l’app TeenSafe, utilizzata per monitorare i minori (in maniera anche troppo invasiva, per i miei gusti) ha tenuto i dati dei suoi utenti su server di Amazon non protetti.

The database stores the parent’s email address associated with TeenSafe, as well as their corresponding child’s Apple ID email address. It also includes the child’s device name — which is often just their name — and their device’s unique identifier. The data contains the plaintext passwords for the child’s Apple ID. Because the app requires that two-factor authentication is turned off, a malicious actor viewing this data only needs to use the credentials to break into the child’s account to access their personal content data. [link]

j j j

Alexa and Siri Can Hear This Hidden Command. You Can’t.

by Carmine Bussone

Alexa and Siri Can Hear This Hidden Command. You Can’t.

Praticamente tutti gli assistenti vocali attualmente disponibli sul mercato sono in grado di ascoltare ed eseguire comandi non udibili dagli esseri umani.

Questo qualora fossero necessari timori aggiuntivi nel mettere in casa propria microfoni collegati in rete.

 

My assumption is that the malicious people already employ people to do what I do.

j j j

Attention PGP Users: New Vulnerabilities Require You To Take Action Now

by Carmine Bussone

Attention PGP Users: New Vulnerabilities Require You To Take Action Now

PGP, uno dei sistemi di crittografia più utilizzati, ha una pericolosa vulnerabilità che lo renderebbe potenzialmente ineffettivo.

La EFF ne suggerisce addirittura la temporanea disabilitazione.

[Update 17:58.]

La faccenda pare sia stata molto ridimensionata.

La falla sembrerebbe essere legata esclusivamente all’utilizzo dei client di posta e non al protocollo in sè. I servizi che utilizzano sia PGP che OpenPGP in modalità standard sono ok.

j j j

Cambiate la password di Twitter

by Matteo Scandolin

Pare che un bug abbia impedito di criptare le password degli utenti di Twitter. La società dice che non ci sono prove di falle di sicurezza o di altri problemi seri, ma meglio cambiare la password.

When you set a password for your Twitter account, we use technology that masks it so no one at the company can see it. We recently identified a bug that stored passwords unmasked in an internal log. We have fixed the bug, and our investigation shows no indication of breach or misuse by anyone.
Out of an abundance of caution, we ask that you consider changing your password on all services where you’ve used this password.

j j j

iOS e gli standard di sicurezza dell’NSA

[T]he NSA has been defeated at ISO, with its chosen ciphers firmly rejected by the committee members, who were pretty frank about their reason for rejecting Simon and Speck: they don’t trust the NSA.

Come dar loro torto? L’articolo è pieno di link interessanti (così com’è interessante il suo slug).

j j j

RCS, ovvero: Google pensa che per i messaggi sia il caso di usare un sistema non protetto

I sistemi di messaggistica di Android sono svariati e indipendenti l’un dall’altro: un po’ perché Google ha sviluppato diversi sistemi, un po’ perché Android viene installato su telefoni di produttori diversi che non mancano di metterci lo zampino. Per ovviare a questo ginepraio, Google pensa che una nuova app chiamata semplicemente Chat possa aiutare.

Instead of bringing a better app to the table, it’s trying to change the rules of the texting game, on a global scale. Google has been quietly corralling every major cellphone carrier on the planet into adopting technology to replace SMS. It’s going to be called “Chat,” and it’s based on a standard called the “Universal Profile for Rich Communication Services.” SMS is the default that everybody has to fall back to, and so Google’s goal is to make that default texting experience on an Android phone as good as other modern messaging apps.

Che dici: ok, non male. Ma poi continui a leggere l’ottimo articolo di The Verge e:

The worse news is that carriers aren’t fond of strong encryption and don’t have a great history of pushing back against government demands for information.
”RCS continues to be a carrier-owned service, so legal intercept and other laws that exist that allow carriers to have access to the data continues to be the case,” Sabharwal admits. And though Google isn’t shutting down Allo, it’s also not working to create a chat service that is as secure as iMessage, Signal, or even Telegram. “At this point, the answer is no. We will not have that option,” Sabharwal says. Allo offers an “incognito” mode that does support end-to-end encryption, but that’s it.

Siamo nel 2018 e Google conta di far salire tutti su un carro che non è criptato. Per favore.

(Anil Sabharwal è il dirigente a capo del progetto.)

Walt Mossberg lo riassume efficacemente:

j j j

Beyond Cambridge Analytica

Una società italiana, la Area, ha venduto un software per monitoraggio del traffico in Rete al regime siriano di Bashar Al-Assad.

Ora pubblicizza uno spyware che consente il monitoraggio e la manipolazione delle informazioni sui social media.

j j j

Russian court bans access to Telegram messenger

La storia continua.

Aggiornamento del 17 aprile:

j j j

Palantir, Cambridge Analytica, Facebook

It was a Palantir employee in London, working closely with the data scientists building Cambridge’s psychological profiling technology, who suggested the scientists create their own app — a mobile-phone-based personality quiz — to gain access to Facebook users’ friend networks, according to documents obtained by The New York Times.

Qui a No Rocket Science non abbiamo tanta passione per Peter Thiel, come si ricorderanno i lettori più affezionati. Onestamente però non stupisce che un dipendente della sua società abbia dato l’idea a Cambridge Analytica di usare delle ingenuità1Ingenuità un cazzo, ma lasciamo perdere. nella struttura di Facebook, né convince la smentita secondo la quale è stata un’iniziativa personale e che loro non c’entran niente:

“There were senior Palantir employees that were also working on the Facebook data,” said Christopher Wylie, a data expert and Cambridge Analytica co-founder, in testimony before British lawmakers on Tuesday.

j j j

La privacy che interessa a Facebook

La propria, a giudicare da un articolo del New York Times.

Facebook employees said on Friday that discussions were raging across the company regarding the merits of the post. Some called for executives to aggressively pursue action against those leaking to the media, said two Facebook employees, as well as for the company to do more to screen for potential whistle-blowers during the hiring process.

Io sono più che favorevole alla segretezza per evitare che i tuoi concorrenti copino le tue idee, per esempio. Ma se succede qualcosa di brutto, be’, quel tipo di segretezza non ha senso. Non deve esistere.

j j j

Alexa, cosa puoi sentire? E cosa ci farai, con quello che senti?

Gli assistenti virtuali delle grandi aziende di internet, specialmente quelli chiusi in scatolotti come l’Amazon Echo o il Google Home, sono molto comodi. Ma come già abbiamo visto, ci sono notevoli ripercussioni per la nostra privacy.

In one set of patent applications, Amazon describes how a “voice sniffer algorithm” could be used on an array of devices, like tablets and e-book readers, to analyze audio almost in real time when it hears words like “love,” bought” or “dislike.” A diagram included with the application illustrated how a phone call between two friends could result in one receiving an offer for the San Diego Zoo and the other seeing an ad for a Wine of the Month Club membership.

j j j

Grindr Is Letting Other Companies See User HIV Status And Location Data

Grindr è un’app per incontri dedicata agli omosessuali. Tra le varie funzioni e opzioni dei profili, si può impostare anche lo stato di salute e i risultati dell’ultimo test HIV. Queste e altre informazioni sono state condivise con società terze che si occupano di ottimizzare le app. Anche fosse scritto da qualche parte nei termini di servizio e nelle privacy policy di Grindr, mi pare una cosa poco saggia.

j j j

Facebook continua a fare le stesse promesse

E praticamente con le stesse parole, sempre, ha fatto notare CBS.

Facebook on Wednesday attempted to make amends for having utilized data from tens millions of profiles without consent from users. The social media giant formally announced changes it claims will make it easier for users to control what they share in a post titled “It’s Time to Make Our Privacy Tools Easier to Find.”

The release, authored by Facebook’s Chief Privacy Officer Erin Egan and Deputy General Counsel Ashlie Beringer, touts improved functionality and design of individual privacy settings on the platform. But that is something it’s been promising since 2006. The release employed stock language that Facebook has trotted out repeatedly when faced with questions over how it handles user data and privacy.

j j j

Chi ha creato il software usato da Cambridge Analytica

Si chiama AggregateIQ, è un’azienda canadese e, insomma, è un bel casino.

A little-known Canadian data firm ensnared by an international investigation into alleged wrongdoing during the Brexit campaign created an election software platform marketed by Cambridge Analytica, according to a batch of internal files obtained exclusively by Gizmodo.

j j j

How Trump Consultants Exploited the Facebook Data of Millions

La Cambridge Analytica, una ambigua società che si occupa di analisi politiche il cui account era stato sospeso qualche giorno fa, è accusata di aver ottenuto dati di utenti con modalità contrarie alle policy di Facebook.

Alcuni dati, ad esempio, pare siano stati raccolti con una finta partecipazione ad uno studio universitario che prevedeva l’installazione di un’app sul proprio cellulare da parte di alcuni studenti dell’università di Cambridge.

Tale app avrebbe poi raccolto informazioni che vanno dalla posizione ai mi piace messi dagli studenti.

Qualora fosse accertata, si tratterebbe della più grande violazione delle informazioni personali mai subita attraverso l’uso dei social network.

j j j

Fitness app Strava overhauls map that revealed military positions

Fitness-tracking app Strava said starting on Tuesday it will restrict access to an online map that shows where people run, cycle and swim and remove some data after researchers found it inadvertently revealed military posts and other sensitive sites.

Il senso ultimo di No Rocket Science è mettere insieme casi come questo, o le innovazioni nel campo delle comunicazioni di massa, o le auto che si guidano da sole: metterle in fila e poi cercare di capire cosa succede.

Le funzioni di un fitness tracker sono utili, e su questo ci son pochi dubbi: e questa storia è interessantissima.

j j j

GitHub ha subito il peggior attacco DDoS della storia

Non della sua storia: di tutta la storia di internet.

On Wednesday, at about 12:15 pm ET, 1.35 terabits per second of traffic hit the developer platform GitHub all at once. It was the most powerful distributed denial of service attack recorded to date—and it used an increasingly popular DDoS method, no botnet required.

j j j

l’incompetenza informatica li ha fregati

Si parla del manager della campagna presidenziale di Donald Trump, Paul Manafort.

The indictment also suggests that Manafort’s lack of technology savvy helped prosecutors build a case against Manafort and Gates. The pair allegedly submitted a variety of fraudulent documents to lenders in order to borrow money against properties purchased with overseas funds—funds that were never reported to the IRS. One reason prosecutors were able to build a paper trail against the pair: Manafort needed Gates’s help to convert a PDF document to Word format and back again.

j j j