Rumore di Fondo E07S03 - Technolo-diocy
🗓️ Aprile (植月), il mese dei fiori della deutzia
🎬 Adolescence
#technology #military #socialengineering #phackera
//.intro
"Rumore di Fondo" è una pubblicazione altamente aperiodica, indipendente e senza alcuno scopo di lucro
//.signorina37
digital strategist, retrogamer, programmatrice COBOL, diabetica, cucino e parlo giapponese, ho scritto libri, ho visto cose, frequento gente discutibile
E07S03:
facts are meaningless
Technolo-diocy
D'oh!
retroplaylist di Aprile
👉🏻 facts are meaningless
Facts are meaningless. You can use facts to prove anything that's even remotely true.
Facts, schmacts.
💻 TECHNOLO-DIOCY
Partiamo da qui: da una falla di sicurezza nell’app di fitness Strava1 ha permesso a soggetti sconosciuti di tracciare i movimenti di membri delle forze di sicurezza israeliane, sia all'interno del Paese che durante viaggi all’estero. L'indagine, condotta dal gruppo israeliano FakeReporter2 e riportata dal Guardian, ha rivelato che un utente anonimo è riuscito a sfruttare una vulnerabilità per raccogliere dati su 100 individui, tra cui membri dell'aeronautica, dell'intelligence e del Ministero della Difesa.
L’episodio non è isolato. Strava è già finita al centro di scandali simili in passato, inclusa la pubblicazione, nel 20183, di una mappa globale degli utenti che rivelava le attività di personale militare in basi segrete di USA, Siria e Afghanistan.
Ok, ma io stavo solo correndo..
L’attacco ha sfruttato la funzione dei segmenti Strava, che permette di creare percorsi condivisibili tra utenti. Un account anonimo, registrato con il nome “Ez Shl” e localizzato a Boston (fake location), ha caricato percorsi GPS falsificati all’interno di sei basi militari in Israele.
Quando il personale di sicurezza ha utilizzato quegli stessi percorsi per allenarsi, la loro posizione è diventata accessibile all’autore del segmento, nonostante avessero attivato le impostazioni di privacy più restrittive.
Cosa è stato esposto?
Dati personali come nome, foto profilo, informazioni generali e, grazie ad un lavoro di OSINT4, anche la possibile identificazione degli indirizzi di casa (possibile analizzando i percorsi dall’abitazione alla base).
La posizione in tempo reale e quella passata, inclusi spostamenti tra basi militari e viaggi all'estero.
Un dettaglio critico è che, anche se gli utenti aumentavano il livello di sicurezza generale del loro profilo, le informazioni relative ai segmenti corsi rimanevano visibili - a meno che non venissero nascoste manualmente ogni volta. Una procedura che molti non conoscevano e che li ha esposti senza rendersene conto.
L'illusione della sicurezza digitale: un errore che si ripete
Questo incidente ha sollevato una questione fondamentale: fino a che punto la sicurezza delle operazioni militari dipende dal comportamento digitale dei singoli individui?
L’errore non è solo tecnologico, ma culturale. Il personale militare e dell’intelligence, pur operando in ambienti di alto rischio, continua a trattare la propria presenza digitale con superficialità. Strava è solo la punta dell’iceberg:
l’uso di social media e app di tracking espone involontariamente informazioni critiche
il SOCMINT5 dimostra che oggi è possibile raccogliere dettagli operativi semplicemente analizzando i comportamenti digitali delle persone
la sicurezza informatica non può più limitarsi ai soli sistemi di difesa centrali, ma deve includere le abitudini digitali quotidiane di ogni individuo coinvolto
L’idea di condividere dati – che si tratti di un percorso di corsa, di un check-in su Facebook o di una foto su Instagram – è ormai parte della nostra cultura digitale. Ma in un contesto militare, queste azioni possono compromettere la sicurezza nazionale.
Di chi è la colpa?
Strava ha avuto una responsabilità?
Sì, perché il suo sistema di privacy era confusionario e ha permesso questa fuga di dati. Ma non possiamo aspettarci che un’app commerciale, pensata per il pubblico, sia progettata per le esigenze di sicurezza militare.
Le istituzioni militari sono colpevoli?
Sì, perché non hanno imposto regolamenti più rigidi e non hanno saputo prevenire un problema già noto dal 2018 - ricordo che l’incidente di Strava è accaduto nel 2022
Gli operatori stessi sono responsabili?
Sì, perché hanno continuato a usare Strava ignorando i rischi. Se un agente dell’intelligence non è consapevole di come le sue azioni digitali possano esporlo, è una falla di sicurezza tanto grave quanto una porta lasciata aperta.. in una base militare!
Vabbè ma io non sono mica un militare!
No, ma l’esposizione riguarda tutti.
Io posso stare attenta in cento modi, ma poi la vicina di casa, che si è svegliata birdwatcher, fotografa l’abbaino di casa con me coi bigodini e mi tagga su Facebook.
Oppure il pizzicagnolo, felice per la prima vacanza con la moglie dopo 40 anni, sventola i biglietti aerei con QR code e check-in facilitato.
Pensiamo alle mamme pancine che mettono online le foto di figli, le proprie, quelle del/la compagna e via a salire tutti i vari step geneaologici?
Le informazioni online non erano un problema prima, quando c’erano gli elenchi telefonici e potevi chiamare Cesare Maldini perché il numero era sulla guida di Milano. O potevi chiamare casa Ghinazzi perché in Toscana il numero di Pupo l’avevano un po’ tutti.
Cosa è cambiato oggi?
Il male è sempre esistito, ma oggi siamo ancora più cattivi e subdoli. Creiamo difese e offese sempre più potenti, perché la società ci dice che se non stai dalla parte dei buoni, sei un cattivo. Metteteci l’invidia, la rabbia e la frustrazione ed ecco il cocktail servito.
Ma davvero ai criminali frega delle mie vacanze a Ovindoli?
Lasci casa incustodita, magari hai pure fatto like alla pagina Verisure, lasci la chiave di riserva dentro un sasso finto comprato su Temu e hai fatto unboxing su Instagram, quando il postino suona, il giorno prima, lasci detto di non consegnare il giornale perché “siamo via per due settimane, sa, una vacanza così non la facevamo da quando io e Giangi ci siamo sposati nel 1949 a Ovindoli, dove stanno i parenti suoi, e siamo andati in viaggio di nozze a Sperlonga!”.
La gente chiacchiera.
Parla, rivela informazioni, anche senza volerlo.
Lo facciamo tutti, nessuno escluso.
Chi ha un po’ più di accortezza, resta riservato e prende accorgimenti.
Chi lo fa di lavoro, lascia filtrare solo cose utili.
Chi non ha idea di che cosa si parla, compra la focaccia genovese al panificio di Via Verdi perché il figlio del panettiere è il suo figlioccio e la mamma è così tanto una brava donna che ha avuto un flirt con il magnano6”.
E la tecnologia? Mi protegge?
L’incidente di Strava e i militari israeliani mette in luce una questione centrale: la tecnologia di per sé non è mai intrinsecamente sicura. Il suo impatto dipende sempre da come viene progettata, utilizzata e regolamentata.
Quando parliamo di sicurezza digitale, tendiamo a pensare che strumenti avanzati come crittografia, firewall, VPN e sistemi di autenticazione biometrica siano sufficienti per proteggerci. Ma la realtà è più complessa.
Il frigorifero smart? Bellissimo, ti avverte quando hai finito lo squaqquerone e la cicoria - ricordatevelo, perché uscirà un mio pezzo per GarantePiracy.it in proposito!
La telecamera comprata online e messa in casa senza cambiare password o capire dove salva i tuoi dati? Bellissima, quando sei a Ovindoli vedi se l’infermiera del nonno ruba le spugnette (cit).
Il vibratore bluetooth che si collega con l’app della dolce metà che te lo fa vibrare durante le riunioni? Bellissimo, mai più una call noiosa!
E il WiFi al quale si collega in automatico il tuo telefono? Wow, anche quando andate a casa della concubina..
Ma tutto questo ha un prezzo: la tua privacy e la tua sicurezza.
Più una app/tecnologia ti rende la vita facile, più sarà utilizzata, più sarà presa di mira dai criminali.
Anche con i migliori strumenti di sicurezza, l’errore umano è il punto debole più sfruttato: l’hacker più skillato non forza un sistema, sfrutta le debolezze degli utenti.
Taglia corto che voglio la playlist
Come possiamo rendere la tecnologia una vera protezione?
Privacy by Design: le aziende tech devono/dovrebbero/speriamo progettare prodotti con impostazioni di sicurezza predefinite più rigide, anziché affidarsi alla consapevolezza degli utenti
formazione continua: militari, giornalisti, attivisti e chiunque abbia ruoli sensibili dovrebbe ricevere una formazione costante su come proteggere la propria presenza digitale. Ma anche il nonno e la zia, che postano di tutto, dovrebbero essere informati che c’è un rischio
Zero Trust model: questa difficile da applicare, ma le organizzazioni devono adottare il principio del "non fidarti di nessuno, verifica tutto" anche nei comportamenti digitali del personale
analisi attiva SOCMINT: le istituzioni, le aziende, la PA, tutti devono/dovrebbero monitorare le tracce digitali involontarie lasciate dai propri membri/dipendenti/collaboratori, per individuare vulnerabilità prima che lo facciano i nemici
Perché se oggi uno smartphone può rivelare posizione, abitudini, identità e connessioni personali, allora la sicurezza non è più solo questione di software e firewall, ma di educazione digitale e gestione dei dati personali.
🔴 la tecnologia protegge solo chi sa usarla
🔴 la sicurezza non è un’opzione: è un'abitudine
🍩 D’OH!
Homer va all’università (S5E3)
Galeotto fu il computer e chi lo usò (S12E6)
L'odissea di Homer (S1E3)
Senza schermi (S31E6)
Frinkcoin (S29E14)
Homer il vigilante (S5E11)
🎼 RETROPLAYLIST DI APRILE (SPOTIFY)
Madonna - Hung up
Ace of Base - All that she wants
Lady Gaga - Just dance
Abba - Voulez vous
SNAP - Rhythm is a dancer
Mr. President - Coco Jambo
Culture Beat - Mister Vain
Donna Summer - Hot stuff
Alice DJ - Better off alone
Alphaville - Big in Japan
Taylor Dayne - Tell it to my heart
2 Brothers on the 4th Floor - Dreams
Strava: https://www.strava.com
la notizia su Wired: https://www.wired.com/story/strava-heat-map-military-bases-fitness-trackers-privacy/
parte del mio lavoro: https://en.wikipedia.org/wiki/Open-source_intelligence
altra parte del mio lavoro: https://en.wikipedia.org/wiki/Social_media_intelligence
altro che Accademia della Crusca! https://it.wikipedia.org/wiki/Magnano_(mestiere)