Perché il Ministero Dell’Interno non può controllare Facebook

Diffusa in rete la notizia di un pass speciale della Polizia Postale per controllare gli utenti del social network, ma è un bufala che dura dal 2010

Il Ministero dell'Interno può spiare qualunque cittadino italiano su Facebook. I dirigenti della Polizia Postale italiana, due settimane fa, si sono recati a Palo Alto in California e sono riusciti ad ottenere un permesso con il quale possono controllare profili e pagine del social network senza aspettare la rogatoria internazionale prevista in questi casi. I detective nazionali potranno in questo modo, spiare qualsiasi utente si colleghi ad internet dal territorio italiano, analizzandone post e profili per coglierlo in fragrante quando salta il selciato delle regole digitali.

La decisione sarebbe stata presa data la consapevolezza che gli organi di controllo italiani scandagliano già il web nelle loro operazioni quotidiane. Polizia, Carabinieri, Guardia di Finanza, persino i vigili urbani utilizzano internet nelle loro ricerche. Perché allora non sfruttare le potenzialità dei social network per seguire e scovare probabili criminali?

Questo, in sintesi, il testo apparso ieri sul blog di Spider Truman chiamato “I segreti della casta ” che presto ha fatto il giro della rete. Un testo che riprende in parte quello apparso nell’ottobre 2010 sull’Espresso , dove si parlava di un patto tra Facebook e il Viminale per spiare gli utenti. La differenza è che in quel caso veniva fatto largo utilizzo del condizionale, spiegando come un patto del genere avrebbe sicuramente messo in discussione la privacy degli utenti italiani e per questo si attendeva la risposta della Polizia Postale che smentì presto la notizia. Sul post di ieri invece i giochi si danno per fatti.

L’autore cita, senza dire che si trattava di due anni fa, la risposta dell’Espresso alla smentita della Polizia, scrivendo che: “L'accordo prevede la collaborazione tra Facebook e la Polizia delle Comunicazioni per evitare la richiesta all'Ag (Autorità giudiziaria) e un decreto (del PM) per permettere la tempestività, che in questo settore è importante”.

Nella risposta L’Espresso ci tiene a confermare che la soffiata sarebbe arrivata grazie ad una fonte interna della Polizia Postale che aveva raggiunto lo speciale accordo con Facebook in California. La catena che si è creata ieri ha coinvolto un po’ tutti, dai semplici utenti ai big del panorama nazionale (nel 2011 c’era cascato anche la social-rockstar Vasco Rossi) e persino esperti social, caduti nel panico da Grande Fratello.

Ma cerchiamo di fare chiarezza: un accordo nel 2010 tra la Polizia Postale e Facebook c’è stato davvero e prevede la possibilità di tracciare pagine e gruppi che possono destare interesse per determinati eventi (tifoserie violente, pedofili, gruppi politici estremi). Semmai è da verificare dove comincia la linea di demarcazione tra ciò che la Polizia dovrebbe seguire e ciò che può rimanere fuori, perché privo di interesse d’indagine.

“E' incredibile come internet e blogger superficiali, per usare un termine gentile, possano non sono amplificare bufale e notizie totalmente false, ma addirittura rispolverarle – ci spiega Raoul Chiesa, professionista di sistemi di sicurezza e consulente per l'Istituto Interregionale delle Nazioni Unite per la Ricerca sul Crimine e la Giustizia (UNICRI ) -  anche in questo caso, infatti, l'inesattezza della notizia era già nota da lungo tempo. Grazie a Dio viviamo in un Paese civile, nel quale è comunque e sempre necessaria l'autorizzazione della Magistratura per procedere ad intercettazioni di qualsivoglia tipologia, che siano telefoniche o sulla rete Internet e, come in questo caso, su account presso il social network Facebook”.

Nella serata di ieri la Polizia Postale ha deciso di intervenire nella vicenda per smentire la ricomparsa della notizia del 2010: “Attenzione: nelle ultime ore si sta diffondendo il seguente messaggio Facebook: il ministero degli Interni ha ottenuto le chiavi per entrare nei profili. Vogliamo precisare che è assolutamente falso. La Polizia Postale può visionare un Profilo, una Pagina o un Gruppo, solo ed esclusivamente tramite una rogatoria internazionale (come indicato nel Centro per la sicurezza di Facebook ) la quale dev'essere disposta ed autorizzata dalla magistratura.

Diversamente, la Polizia Postale può oscurare in maniera autonoma Pagine/Gruppi che contengono al suo interno materiale pedo-pornografico. Per quanto riguarda i profili personali invece e relativi dati personali quali nomi, data di registrazione, informazioni su di carte di credito, indirizzi e-mail e indirizzo IP, la Polizia può procedere solo se per il titolare del profilo è stato emesso un mandato di comparizione nel contesto di un’indagine ufficiale, in presenza di una ingiunzione del tribunale o di un mandato di perquisizione per fondati motivi, in conformità alle procedure contenute nelle Federal Rules of Criminal Procedure”.

Fonte: Panorama

Sicuri in Rete: una guida completa per genitori,ragazzi ed insegnanti

Siamo agli sgoccioli. Mancano ormai una decina di giorni al rilascio di quello che vuole essere la guida italiana più completa, rivolta ai non addetti ai lavori, circa l'utilizzo di internet e delle nuove tecnologie in modo sicuro, sano, legale e consapevole.

La presentazione in anteprima nazionale del libro si terrà a Sanremo venerdì 2 Marzo alle ore 11.00 presso il Teatro del Casinò di Sanremo. Ospite d'eccezione Raoul Chiesa, primo hacker etico italiano, uno dei principali esperti in tema di IT Security a livello mondiale. Fra gli altri Nicola Amelio (Vice Presidente Anso), Marco Canavese (Presidente Mani Colorate), Colomba Tirari (Presidente Unicef Imperia), Ubaldo Guidotti (Vicario Dirigente Ufficio Scolastico Imperia), Sergio Conti (Dirigente Scolastico), Patrizia Torti (Presidente Lions Club Bordighera), Marina Viglino (Presidente Osservatorio Nazionale Nuove Dipendenze).

Il libro si evidenzia rispetto a quanto già in commercio per le seguenti caratteristiche:
1. Linguaggio semplice accessibile a tutti;

2. Analisi dei rischi e pericoli visti da un punto di vista non solo tecnologico ma anche legale e psicologico.

3. Rivolto ai genitori ed insegnanti dei bambini e dei ragazzi di qualunque fascia d'età.
4. Una specifica sezione per navigare consapevolmente all'interno di Facebook
5. La metodologia dell'autoaggiornamento: in che modo aggiornarsi conoscendo i siti web di riferimento principali
6. Consigli utili per un utilizzo efficace sfruttando le potenzialità tecno-didattiche nel mondo della scuola.

Il libro è stato scritto per la Hoepli da me insieme alla collega Laura Bissolotti con la quale da anni ho avuto il privilegio di svolgere attività formativa sulla tematica dell'uso sicuro di internet nel mondo dei minori. Esiste un gruppo su facebook e un sito web di riferimento http://www.sicurinrete.com. E' possibile acquistare il libro nelle migliori librerie italiane e sui canali on line, fra questi il sito Hoepli.

Perché acquistare il libro? Internet, Facebook,Google,Youtube: per la prima volta nella storia gli adulti ne sanno meno dei ragazzi! Occorre fare uno sforzo per diminuire il gap esistente e per far ciò occorre informarsi, formarsi ed aggiornarsi. Ecco il perché di un libro di facile lettura e termini di prevenzione e al ragazzo quella consapevolezza e buon senso neccessari per utilizzare la parte positiva esistente nel mare magnum di internet. Il manuale, interamente a colori e ricco di schermate esplicative, nasce dall'esperienza sul campo con docenti, genitori e ragazzi sull'utilizzo di internet da parte dei minori. Una sezione importante spiega come comunicano oggi i ragazzi in Rete, quali strumenti utilizzano, quali contenuti condividono, quale utilizzo ne fanno e quale potrebbero farne. Insomma: un testo per conoscere meglio la Rete ma anche per accrescere il dialogo fra genitori e figli.

Gli hacker buoni invadono Milano

Successo per "Cracca al Tesoro": versione informatica della tradizionale caccia al tesoro voluta dal guru della sicurezza Raoul Chiesa

Hacker d'Italia uniti, sabato a Milano, in occasione della quarta edizione di CAT, Cracca al Tesoro. Non è un refuso: nel linguaggio dei genietti del computer, “craccare” significa violare un sistema protetto, proprio quello che sono stati chiamati a fare le 21 squadre partecipanti a questa originalissima variante della caccia al tesoro. Ma niente paura, qui non si commettono reati e, anzi, si aiuta a prevenirli. Nume tutelare dell'iniziativa è Raoul Chiesa, torinese, star tra gli hacker nostrani e oggi autentico guru della cibersicurezza, membro dell'Unicri (United Interregional Crime & Justice Reasearch Institute) e del Clusit (Associazione Italiana per la sicurezza informatica). “Sono chiamato a un superlavoro” ha dichiarato Chiesa dal palco arringando i concorrenti sulle nuove minacce della Rete, perché la sicurezza informatica è un problema fondamentale in cui i cattivi sono un passo più avanti dei buoni, per ora. “Il cybercrimine fattura più del mercato delle armi, della droga e degli esseri umani, singolarmente, e nel giro di un anno supererà la somma delle tre” spiega Chiesa. Gli abbiamo quindi chiesto se il mondo dell'haking è molto cambiato rispetto a quando lui decise di esplorarlo. “Moltissimo – ha risposto – abbiamo fatto un'analisi approfondita e abbiamo verificato che dagli anni Duemila in poi il movente principale non è più il desiderio di mettersi in mostra, magari per emulare l'eroe di War Games, come accadde a me, ma il denaro”. Tra cibercrimine e crimine organizzato si sta saldando un rapporto pericolosissimo che Chiesa esemplifica nell'alleanza, scoperta dalla polizia ad Asti, tra il racket degli organi umani e quello dei bancomat. Brutti segnali allontanati almeno per una giornata, in cui i buoni hanno avuto la meglio per le vie di Milano, tra l'elegantissimo Corso Como e storici locali della movida milanese come il Loolappaloosa. Il gioco è semplice: armati di vistose antenne (possibilmente fai-da-te) le squadre hanno dovuto individuare cinque access point, punti di accesso a internet appositamente creati, sparsi per le vie, quindi penetrare nei server collegati, che sono stati configurati in modo da poter essere violati in modo più o meno facile. Una sala di controllo riceveva e verificava le avvenute intrusioni, poi stava ai concorrenti reperire indizi per proseguire e per seguire le istruzioni (talvolta goliardiche) che facevano guadagnare punti.Un avvocato in sala, Pierluigi Perri, ha dato le istruzioni preliminari: “Lasciate stare gli access point che non si chiamano CAT 2011”, non fanno parte del gioco ed espugnarle è un reato penale. E questo, invece, è un gioco.“Era il 2007 quando, tra un bicchiere e l'altro con gli amici, ci è venuta questa idea”, racconta Paolo Giardini, direttore dell'Osservatorio Privacy, e per un giorno “notaio” della competizione, ma hanno dovuto aspettare il 2009 per realizzarne la prima edizione a Orvieto. “La prima volta abbiamo recuperato vecchie macchine di fortuna e le abbiamo riconfigurate tutte: un lavoraccio. Oggi, grazie anche agli sponsor, abbiamo potuto virtualizzare i server e controllare tutto meglio a livello centrale”. L'iscrizione di 21 squadre da tutta Italia (oltre 80 partecipanti) rappresenta un record per CAT: da Trento, Sassari, Varese, Torino, Pistoia, Fidenza e altre città della penisola. Evidentemente, il gioco sta facendo breccia tra gli hacker etici, professionisti della sicurezza o semplici appassionati. Etici, sì, ma anche i colpi bassi, durante la competizione, non sono mancati. Un esempio? Una squadra è stata fermata dalla security mentre cercava di accedere ad aree non permesse dell'Ata Executive Hotel. Colpa di un azione di un falso indizio diffuso ad arte.E poi si è visto qualcuno andare spasso con zainetti che nascondevano access point posticci, per sviare l'attenzione degli avversari. Insomma, etici sì, ma pur sempre hacker e, a un certo punto, sulla pagina di Twitter della manifestazione è comparso un avviso: non disturbate le comunicazioni, la legge (non il regolamento) lo vieta e si rischiano guai.Alla fine, si è distinta una squadra torinese fatta da giovanissimi, gli Equipe, che è risultata vincitrice battendo il team dei sassaresi e quello di Trento. D'altra parte, sono veterani dalla prima edizione. La caccia al tesoro informatica si ispira a un'attività ben più vecchia e nota come Wardriving: si gira in automobile con scheda wi-fi, antenna e computer e un programma che si chiama Kismet per individuare le reti ben protette e quelle in cui è facile entrare. Con grande altruismo, ha spiegato poi Alessio Pennasilico, uno degli animatori dell'evento, “ si lasciavano precisi segnali disegnati col gesso sugli edifici, per indicare ad altri la presenza di sistemi accessibili”. Di quella tradizione, il CAT ha conservato l'attrezzatura, acquistabile con meno di 200 euro in tutto (pc escluso), mentre i concorrenti girano rigorosamente a piedi. Non si sa se perché gli organizzatori sono stati cattivi o perché i partecipanti sono stati un po' pigri, ma si sono attese circa due ore dalla partenza prima che fossero bucati i primi access point. Ma poco importa. Ha vinto comunque il divertimento e il messaggio: la sicurezza informatica può diventare motivo di gioco per aiutare a capire che ci riguarda tutti. Quel che i concorrenti fanno in competizione e senza danni per nessuno, può avvenire sulle nostre macchine con estrema facilità. Tutti proprietari di reti wireless, privati cittadini e, soprattutto, aziende, sono avvertiti. E se il messaggio non è ancora abbastanza chiaro, il prossimo appuntamento con Cracca Al Tesoro è per luglio, a Orvieto.

Fonte: La Stampa - Autore: Claudio Leonardi

Unicri, furti d'identità: 1 italiano su 4 è a rischio perchè poco informato

Gli italiani sono sempre attenti a non farsi rubare la macchina o il portafoglio, ma ancora molto 'ingenui' nel conservare la cosa piu' preziosa che hanno: la propria identita'. Tanto che un italiano su quattro e' potenzialmente esposto a furti di dati personali (come su Facebook), che possono portare a truffe e a crimini anche gravi. E c'e' poco da stare tranquilli, dato che le truffe si evolvono di pari passo con la tecnologia, a volte addirittura superandola: e' il caso del 'vishing', che avra' a breve in Italia un vero e proprio 'boom'. Il quadro e' stato tracciato dall'Unicri, l'agenzia delle Nazioni Unite per la prevenzione del crimine, con un'indagine commissionata da Cpp, filiale di una multinazionale attiva nella protezione e nei servizi di assistenza. I dati, presentati nei giorni scorsi a Milano, fotografano una realta' desolante: degli 800 intervistati (rappresentativi di 8 milioni di italiani), uno su cinque non saprebbe a chi chiedere aiuto in caso gli fosse rubata l'identita', mentre solo il 3,8% dichiara di essere molto informato sull'argomento. Le truffe d'identita' hanno decine di sfaccettature: vanno da quelle semplici, nelle quali una persona assume l'identita' di un'altra per divertimento (come accade sempre piu' spesso ad esempio su Facebook), a quelle piu' ingegnose, in cui il malintenzionato usa potenti software per sostituirsi alle banche, e quindi accedere ai conti correnti di ignari utenti. Il cybercrimine e' talmente redditizio per chi lo pratica che in Gran Bretagna nei primi 10 mesi del 2010 si sono stimati ricavi di 3,1 miliardi di euro, legati solo a furti d'identita'. In Italia, un'indagine dell'Abi ha invece stimato per il 2009 ricavi da 1,6 a 2 miliardi. ''Quest'anno e il prossimo - spiega Raoul Chiesa, hacker e membro dell'Unicri, nonche' uno dei piu' grandi esperti di sicurezza informatica d'Italia - il fenomeno esplodera', complice anche l'uso sempre piu' intensivo dei dispositivi mobili per andare su internet''. E il fatturato dei truffatori informatici ha ormai raggiunto cifre stratosferiche: ''I ricavi a livello globale - aggiunge Chiesa - hanno superato quelli del traffico d'armi e del traffico di droga''. Le frodi maggiormente temute dagli italiani sono quelle riguardanti l'ottenimento di finanziamenti, crediti, mutui o il ritiro di contante dal bancomat e le conseguenze maggiormente immaginate sono quelle di trovarsi accusati di frodi o delitti compiuti a danni di terzi, oppure banalmente con il conto in rosso. Nonostante però l'80% del campione si dichiari preoccupato dal fenomeno del furto d'identità, poche e comunque di livello base appaiono i comportamenti e le tecniche difensive adottate per contrastare il verificarsi di questa eventualità. Se infatti oltre l'80% del campione custodisce il Pin del bancomat in luogo sicuro e diverso dalla tessera normalmente utilizzata per compiere dei prelievi, solo il 55%, invece, custodisce in luogo sicuro le password che consentono la navigazione internet e la conferma di operazioni dispositive dai conti online. Solo il 44,8% strappa la posta arrivata dalla propria banca, solo il 40% custodisce solo su carta o su memoria esterna dal pc abitualmente utilizzato copia di bonifici e altre tipologie di documenti relativi alle operazioni effettuate e solo il 38,9% utilizza password diverse per accedere a servizi internet diversi. E anche se i consigli per difendersi dal furto d'identita' sono semplici (come il non lasciare la posta cartacea incustodita, o non diffondere mai i propri dati personali a meno che non sia strettamente necessario), a volte e' davvero difficile mettersi al sicuro. E' il caso del 'vishing', l'ultima evoluzione del ben piu' noto phishing, che ha gia' colpito piu' volte in Italia. Il phishing, storpiatura della parola inglese che significa 'pescare', usa spesso finte email come una vera e propria esca. Questi messaggi copiano in tutto e per tutto le comunicazioni che un utente riceve ad esempio dalla propria banca; e l'utente, in buona fede, risponde ai truffatori dando loro i propri dati personali, le password o la carta di credito. Il 'vishing', invece, unisce il phishing al Voip, ovvero le telefonate via internet. ''Il Voip - spiega Chiesa - somma le vulnerabilita' della telefonia tradizionale con quelle di internet. Nel vishing puo' succedere che il cybercriminale si spacci per una banca, facendo addirittura comparire il vero numero dell'istituto di credito sul display dell'utente, e ottenendo da lui i dati personali. Ma il criminale puo' anche attaccare i call center che le banche delocalizzano ad esempio in Romania perche' piu' economici e, con l'aiuto di potenti software, carpire i dati dell'utente senza che ne' lui ne' la banca se ne accorgano''. Questa nuova truffa online, già realtà quotidiana in America e in Asia ''per fortuna non e' ancora diffusissima in Italia - conclude Chiesa - ma si vedono gia' i primi casi''. Il consiglio numero uno per difendersi è evidentemente quello di proteggere i propri dati, non diffonderli via internet, non fornirli a persone che non si conoscono e usare un buon antivirus.

Fonte: Protezione Account

Cyber security: nominato il nuovo gruppo permanente di esperti consulenti per la sicurezza informatica

Tre gli italiani nel team: Corrado Giustozzi (Head of Security Solutions Division), Raoul Chiesa (Manager Strategic Alliances) e Gianluca D’Antonio (CISO).

A partire da oggi 30 esperti di sicurezza informatica entreranno in servizio in qualità di membri del Permanent Stakeholders' Group (PSG), per fornire consulenza all’ENISA, (European Information and Security Agency) l’agenzia per la sicurezza delle reti informatiche della Ue. Il PSG è costituito da un gruppo di massimi esperti di sicurezza informatica, creato per offrire consulenza al direttore generale dell’agenzia, ad esempio fornendo suggerimenti per redigere proposte per il programma di lavoro dell’agenzia stessa. Il bando per la ricerca di membri del PSG è stato pubblicato il 30 giugno 2009 con scadenza il 30 novembre 2009. Dopo la scrematura delle candidature ricevute, il Direttore esecutivo dell’ENISA, Udo Helmbrecht, ha selezionato 30 esperti, informato il Comitato direttivo dell’agenzia della propria decisione, e nominato gli esperti ad personam in qualità di membri del PSG dal 2010 al 2012. I candidati prescelti sono stati nominati ad personam in qualità di membri del PSG. Non rappresentano infatti né un paese né un’azienda ma sono stati selezionati in base alle rispettive competenze in materia e a meriti personali. I suddetti membri restano in carica per 2 anni e mezzo, quindi dal 2010 alla metà del 2012. La prima riunione del nuovo PSG si terrà il 24 marzo 2010 ad Atene. “Sono convinto che l’Europa abbia bisogno di maggiore cooperazione e dialogo fra tutti i responsabili della sicurezza e il PSG svolge a tale riguardo un ruolo estremamente importante”, ha affermato Udo Helmbrecht.
“Sono ansioso di collaborare con tutti i membri del PSG e sono sicuro che le competenze, le opinioni e la vasta esperienza che questi membri metteranno al servizio del gruppo apporterà numerosi vantaggi all’agenzia. In qualità di Presidente del PSG, sono deciso a cogliere tutte le opportunità per coinvolgere il gruppo nelle iniziative finalizzate alla crescita dell’ENISA e, in particolare, a valutare attentamente il loro consigli prima di prendere decisioni strategiche”, ha concluso il direttore Enisa.

L’elenco dei membri PSG.

Fonte: key4biz