Numero 13 del 2019

Titolo: Novità dal Web.

Autore: Barbara Lispi.

Articolo:
Novità dal Web.

Di Barbara Lispi.

Ecco le novità dal Web:

1. L'Antitrust contesta a TIM, Wind Tre e Fastweb l'utilizzo del termine fibra. Secondo AGCM, le campagne pubblicitarie di queste tre aziende hanno omesso o indicato in modo non abbastanza chiaro che, per raggiungere le massime velocità pubblicizzate, fosse necessario attivare un'opzione aggiuntiva a pagamento. Una serie di verifiche svolte dall'Antitrust in date successive hanno mostrato come queste aziende hanno continuato questa pratica commerciale scorretta. AGCM imporrà nuove sanzioni pecuniarie a carico degli operatori di telecomunicazioni. Inoltre entrato a regime il sistema voluto da AGCOM che prevede l'uso di bollini per chiarire ai consumatori quale tipo di connessione possono realmente attivare.

2. Cercare su Facebook a chi è intestato un numero di telefono è ancora possibile. Chi usa la ricezione di SMS da Facebook come strumento per l'autenticazione a due fattori, resta ancora ricercabile, come avveniva in passato. Questo comportamento si può evitare solo passando a un altro meccanismo di autenticazione a due fattori: usando, ad esempio, Authy, o altra applicazione similare. Inoltre, avviando l'app Facebook Messenger sul proprio Device Mobile, il social network non chiede più, per impostazione predefinita, di inserire nome utente e password ma solo il numero di telefono mobile. Tale informazione è quindi diventata lo strumento preferito da Facebook per identificare univocamente gli utenti.

3. Scaricare video dalle piattaforme di streaming online è legale? I servizi online per scaricare video sono legali, ma può non esserlo l'uso che se né fa. Prima di scaricare video dalle piattaforme online, bisogna esaminare quanto previsto nelle condizioni d'uso. Molte piattaforme acquisiscono i diritti di contenuti per la distribuzione degli stessi e il loro eventuale riutilizzo esente da royalty, però, vietano agli utenti di scaricarli, copiarli e riprodurli senza consenso scritto. Spesso, nelle condizioni d'uso del servizio, si avverte che i contenuti sono resi disponibili per una visione in streaming e non sono invece disponibili per il download, né per essere copiati o conservati. Esaminate sempre le condizioni di utilizzo di ciascun servizio inserendo nella casella di ricerca di Google il nome della piattaforma seguito da terms of use, termini di utilizzo oppure termini di servizio.

4. Cloudflare rilascia un software gratuito per stabilire chi intercetta il traffico HTTPS. Cloudflare, provider specializzato nella fornitura di servizi di sicurezza sulla rete Internet, ha analizzato i principali antimalware e i proxy aziendali concludendo che la maggioranza di essi riducono il livello di sicurezza durante lo scambio di dati via HTTPS e, in alcuni casi, addirittura introducono delle vulnerabilità. L'intercettazione del traffico crittografato consente il controllo delle informazioni fluite da e verso i sistemi collegati alla rete locale per svolgere operazioni di debugging o comunque per studiare il comportamento di applicazioni e siti web; Cloudflare ha rilasciato il tool gratuito MITMEngine che rileva l'intercettazione dei pacchetti dati scambiati ricorrendo al protocollo HTTPS fornendo tutti i dettagli sulle metodologie usate per lanciare quello che è un attacco MITM.

5. Attenzione al formato RAR: scoperti oltre 100 codici exploit per eseguire codice dannoso. Facendo doppio clic su un file compresso, senza aprire alcun file in esso contenuto o senza caricare alcun eseguibile, è possibile che sul proprio sistema siano estratti software malevoli. I social network non offrono un'anteprima del contenuto dei file compressi; gli utenti sono così indotti a scaricare archivi all'apparenza innocui e ad aprirli provocando inconsapevolmente l'installazione sul sistema di codice malevolo. Per proteggersi, gli utenti sono invitati a installare WinRAR 5.70 o versioni successive, oppure 7-Zip nella sua ultima versione, la release 19.00.

6. Microsoft permette di separare Chrome e Firefox dal resto del sistema con Application Guard. Windows Defender Application Guard, nuova funzione di protezione di Windows 10, consente di eseguire Microsoft Edge all'interno di una sandbox. Con l'ultima versione di Windows 10, Microsoft ha distribuito le estensioni per Chrome e Firefox che consentono di caricare qualunque sito all'interno di una sandbox tramite la stessa tecnologia introdotta in Edge. Si potrà così avviare una sessione Application Guard completamente isolata dal resto del sistema anche da browser di terze parti come Google e Mozilla. Grazie a questa nuova funzione, tutti gli elementi che compongono browser e siti web saranno caricati all'interno di una macchina virtuale gestita da Hyper-V. Il codice in esecuzione all'interno di tale ambiente resterà del tutto separato rispetto al resto del sistema operativo.

7. Antivirus Android: no, non è affatto inutile. Sui Device Android, le App sono di solito scaricate dallo Store ufficiale di Google, ma non si può escludere che alcune di esse contengano codice potenzialmente dannoso. Google quindi a distribuito Play Protect, meccanismo che esamina tutte le App via via installate. Molti utenti, certi che installando App solo dal Play Store di Google sia sicuro, rilasciano i permessi da queste richiesti esponendo i propri dati alla mercé di chiunque. Molti vendor di device Android di fascia medio-bassa, inoltre, abbandonano i loro Device già a poca distanza dalla prima immissione sul mercato. Google ogni mese rilascia una serie di aggiornamenti di sicurezza, ma sono pochi i produttori che li prelevano distribuendoli agli utenti finali.

8. Una pesante tegola si abbatte su Gearbest: secondo vpnMentor esposti i dati degli utenti. Secondo vpnMentor, i database usati da Gearbest per tutte le operazioni di gestione degli ordini e degli account degli utenti sarebbero a rischio. Un aggressore può sottrarre dati personali, modificarli e addirittura impersonificare identità altrui. Gearbest, nella sua policy sulla privacy, dichiara di crittografare le informazioni sensibili; vpnMentor, però, dimostrerebbe il contrario. Le password sembrano essere memorizzate in chiaro, con nomi e cognomi, indirizzi mail e di residenza, date di nascita, numeri di telefono, informazioni sui pagamenti e le info contenute nei documenti d'identità.

9. Estensioni Chromium per il browser Edge: 81 già rese compatibili. Edge, browser Microsoft nato con Windows 10, presto sarà compatibile col motore di rendering di Chromium. Edge potrebbe ereditare anche molte delle funzioni di Chromium tra cui anche la gestione delle sue estensioni. Difficile che l'interfaccia di Chromium sia trasposta su Edge mentre è più probabile che si potrà installare manualmente le estensioni in formato CRX. Microsoft porterà una selezione di estensioni pubblicate nel Chrome Web Store all'interno del suo store online fornendo anche le indicazioni agli sviluppatori che volessero rendere compatibili le loro estensioni con Edge.

10. Da aprile Windows 7 mostrerà una notifica per invitare gli utenti a passare a Windows 10. Il 14 gennaio 2020 il supporto per Windows 7 sarà ritirato: in quella data saranno rilasciati gli ultimi aggiornamenti di sicurezza. Microsoft ha annunciato che, dal 18 aprile 2019, sui sistemi con Windows 7, inizierà ad apparire un messaggio di notifica in cui si ricorda l'imminente scadenza del supporto e s'invita ad aggiornare a Windows 10. Per bloccare definitivamente la notifica si dovrà spuntare la casella Non mostrare più; altrimenti, Premendo solo la X in alto a destra, sarà presentata per tutto il 2019. La visualizzazione di questa notifica si attiverà dopo l'installazione dell'aggiornamento KB4493132 che Microsoft ha già iniziato a distribuire.

11. Firefox Send: condividere file pesanti con il browser senza installare nulla. Arriva in versione finale Firefox Send, compatibile con Chrome, Edge e Opera, oltre che come app per Android. Il servizio consente di condividere file online in modo sicuro e senza installare nulla. Send può essere usato per trasferire file di dimensioni fino a 1 GB tra browser remoti, fino a 2,5 creando un account utente Firefox. Gli elementi sono caricati sui server di Mozilla che però non può leggerne il contenuto. Il servizio usa un approccio crittografico di tipo end-to-end. Send permette di usare una password opzionale, di stabilire la data di scadenza dei file e il numero di download accettabili; il file sarà poi automaticamente rimosso. Il servizio non s'integra con i vari servizi di storage cloud ed è disponibile solo in versione gratuita.

12. Re indirizzamenti verso siti indesiderati: quando e perché si verificano. Se all'interno del browser si aprono frequentemente pagine indesiderate, è probabile che sul sistema vi sia qualche tipo d'infezione. Bisogna fare attenzione alle estensioni per il browser evitando di installare quelle realizzate da sconosciuti. I re indirizzamenti verso siti contenenti malware e phishing non sono però ricollegabili solo alla presenza di un'infezione; talvolta, il problema ha a che fare proprio con il sito web visitato. In altri casi, invece, il problema dipende dai circuiti pubblicitari usati dagli amministratori del sito. I criminali informatici spesso usano tecniche di malvertising: attivano campagne pubblicitarie sui principali network inserendo al loro interno codice JavaScript capace di richiamare il caricamento di altri elementi e siti esterni.

13. Android Auto: cos'è e come funziona. Molti utenti usano il proprio smartphone Android in auto per attivare il navigatore o per ascoltare brani musicali inviandoli in streaming, via Bluetooth, al sistema d'infotainment della vettura. Non tutti però sanno di avere una vettura con sistema d'infotainment che a sua volta supporta Android Auto. Grazie ad Android Auto si può usare il display installato nella vettura per "proiettarvi" le App Android compatibili. Android Auto ha un'interfaccia molto semplice grazie ai comandi al volante integrati e ad una serie di comandi vocali che riducono al minimo le distrazioni così da rimanere concentrati sulla strada. Android Auto è disponibile in varie versioni.

14. Firefox ridurrà la comparsa dell'errore che indica una connessione non sicura. Dal rilascio di Firefox 65, molti utenti hanno segnalato la comparsa dell'errore "Questa connessione non è sicura" con il messaggio SEC_ERROR_UNKNOWN_ISSUER. Il problema si Novità dal Web.

Di Barbara Lispi.

Ecco le novità dal Web:

1. L'Antitrust contesta a TIM, Wind Tre e Fastweb l'utilizzo del termine fibra. Secondo AGCM, le campagne pubblicitarie di queste tre aziende hanno omesso o indicato in modo non abbastanza chiaro che, per raggiungere le massime velocità pubblicizzate, fosse necessario attivare un'opzione aggiuntiva a pagamento. Una serie di verifiche svolte dall'Antitrust in date successive hanno mostrato come queste aziende hanno continuato questa pratica commerciale scorretta. AGCM imporrà nuove sanzioni pecuniarie a carico degli operatori di telecomunicazioni. Inoltre entrato a regime il sistema voluto da AGCOM che prevede l'uso di bollini per chiarire ai consumatori quale tipo di connessione possono realmente attivare.

2. Cercare su Facebook a chi è intestato un numero di telefono è ancora possibile. Chi usa la ricezione di SMS da Facebook come strumento per l'autenticazione a due fattori, resta ancora ricercabile, come avveniva in passato. Questo comportamento si può evitare solo passando a un altro meccanismo di autenticazione a due fattori: usando, ad esempio, Authy, o altra applicazione similare. Inoltre, avviando l'app Facebook Messenger sul proprio Device Mobile, il social network non chiede più, per impostazione predefinita, di inserire nome utente e password ma solo il numero di telefono mobile. Tale informazione è quindi diventata lo strumento preferito da Facebook per identificare univocamente gli utenti.

3. Scaricare video dalle piattaforme di streaming online è legale? I servizi online per scaricare video sono legali, ma può non esserlo l'uso che se né fa. Prima di scaricare video dalle piattaforme online, bisogna esaminare quanto previsto nelle condizioni d'uso. Molte piattaforme acquisiscono i diritti di contenuti per la distribuzione degli stessi e il loro eventuale riutilizzo esente da royalty, però, vietano agli utenti di scaricarli, copiarli e riprodurli senza consenso scritto. Spesso, nelle condizioni d'uso del servizio, si avverte che i contenuti sono resi disponibili per una visione in streaming e non sono invece disponibili per il download, né per essere copiati o conservati. Esaminate sempre le condizioni di utilizzo di ciascun servizio inserendo nella casella di ricerca di Google il nome della piattaforma seguito da terms of use, termini di utilizzo oppure termini di servizio.

4. Cloudflare rilascia un software gratuito per stabilire chi intercetta il traffico HTTPS. Cloudflare, provider specializzato nella fornitura di servizi di sicurezza sulla rete Internet, ha analizzato i principali antimalware e i proxy aziendali concludendo che la maggioranza di essi riducono il livello di sicurezza durante lo scambio di dati via HTTPS e, in alcuni casi, addirittura introducono delle vulnerabilità. L'intercettazione del traffico crittografato consente il controllo delle informazioni fluite da e verso i sistemi collegati alla rete locale per svolgere operazioni di debugging o comunque per studiare il comportamento di applicazioni e siti web; Cloudflare ha rilasciato il tool gratuito MITMEngine che rileva l'intercettazione dei pacchetti dati scambiati ricorrendo al protocollo HTTPS fornendo tutti i dettagli sulle metodologie usate per lanciare quello che è un attacco MITM.

5. Attenzione al formato RAR: scoperti oltre 100 codici exploit per eseguire codice dannoso. Facendo doppio clic su un file compresso, senza aprire alcun file in esso contenuto o senza caricare alcun eseguibile, è possibile che sul proprio sistema siano estratti software malevoli. I social network non offrono un'anteprima del contenuto dei file compressi; gli utenti sono così indotti a scaricare archivi all'apparenza innocui e ad aprirli provocando inconsapevolmente l'installazione sul sistema di codice malevolo. Per proteggersi, gli utenti sono invitati a installare WinRAR 5.70 o versioni successive, oppure 7-Zip nella sua ultima versione, la release 19.00.

6. Microsoft permette di separare Chrome e Firefox dal resto del sistema con Application Guard. Windows Defender Application Guard, nuova funzione di protezione di Windows 10, consente di eseguire Microsoft Edge all'interno di una sandbox. Con l'ultima versione di Windows 10, Microsoft ha distribuito le estensioni per Chrome e Firefox che consentono di caricare qualunque sito all'interno di una sandbox tramite la stessa tecnologia introdotta in Edge. Si potrà così avviare una sessione Application Guard completamente isolata dal resto del sistema anche da browser di terze parti come Google e Mozilla. Grazie a questa nuova funzione, tutti gli elementi che compongono browser e siti web saranno caricati all'interno di una macchina virtuale gestita da Hyper-V. Il codice in esecuzione all'interno di tale ambiente resterà del tutto separato rispetto al resto del sistema operativo.

7. Antivirus Android: no, non è affatto inutile. Sui Device Android, le App sono di solito scaricate dallo Store ufficiale di Google, ma non si può escludere che alcune di esse contengano codice potenzialmente dannoso. Google quindi a distribuito Play Protect, meccanismo che esamina tutte le App via via installate. Molti utenti, certi che installando App solo dal Play Store di Google sia sicuro, rilasciano i permessi da queste richiesti esponendo i propri dati alla mercé di chiunque. Molti vendor di device Android di fascia medio-bassa, inoltre, abbandonano i loro Device già a poca distanza dalla prima immissione sul mercato. Google ogni mese rilascia una serie di aggiornamenti di sicurezza, ma sono pochi i produttori che li prelevano distribuendoli agli utenti finali.

8. Una pesante tegola si abbatte su Gearbest: secondo vpnMentor esposti i dati degli utenti. Secondo vpnMentor, i database usati da Gearbest per tutte le operazioni di gestione degli ordini e degli account degli utenti sarebbero a rischio. Un aggressore può sottrarre dati personali, modificarli e addirittura impersonificare identità altrui. Gearbest, nella sua policy sulla privacy, dichiara di crittografare le informazioni sensibili; vpnMentor, però, dimostrerebbe il contrario. Le password sembrano essere memorizzate in chiaro, con nomi e cognomi, indirizzi mail e di residenza, date di nascita, numeri di telefono, informazioni sui pagamenti e le info contenute nei documenti d'identità.

9. Estensioni Chromium per il browser Edge: 81 già rese compatibili. Edge, browser Microsoft nato con Windows 10, presto sarà compatibile col motore di rendering di Chromium. Edge potrebbe ereditare anche molte delle funzioni di Chromium tra cui anche la gestione delle sue estensioni. Difficile che l'interfaccia di Chromium sia trasposta su Edge mentre è più probabile che si potrà installare manualmente le estensioni in formato CRX. Microsoft porterà una selezione di estensioni pubblicate nel Chrome Web Store all'interno del suo store online fornendo anche le indicazioni agli sviluppatori che volessero rendere compatibili le loro estensioni con Edge.

10. Da aprile Windows 7 mostrerà una notifica per invitare gli utenti a passare a Windows 10. Il 14 gennaio 2020 il supporto per Windows 7 sarà ritirato: in quella data saranno rilasciati gli ultimi aggiornamenti di sicurezza. Microsoft ha annunciato che, dal 18 aprile 2019, sui sistemi con Windows 7, inizierà ad apparire un messaggio di notifica in cui si ricorda l'imminente scadenza del supporto e s'invita ad aggiornare a Windows 10. Per bloccare definitivamente la notifica si dovrà spuntare la casella Non mostrare più; altrimenti, Premendo solo la X in alto a destra, sarà presentata per tutto il 2019. La visualizzazione di questa notifica si attiverà dopo l'installazione dell'aggiornamento KB4493132 che Microsoft ha già iniziato a distribuire.

11. Firefox Send: condividere file pesanti con il browser senza installare nulla. Arriva in versione finale Firefox Send, compatibile con Chrome, Edge e Opera, oltre che come app per Android. Il servizio consente di condividere file online in modo sicuro e senza installare nulla. Send può essere usato per trasferire file di dimensioni fino a 1 GB tra browser remoti, fino a 2,5 creando un account utente Firefox. Gli elementi sono caricati sui server di Mozilla che però non può leggerne il contenuto. Il servizio usa un approccio crittografico di tipo end-to-end. Send permette di usare una password opzionale, di stabilire la data di scadenza dei file e il numero di download accettabili; il file sarà poi automaticamente rimosso. Il servizio non s'integra con i vari servizi di storage cloud ed è disponibile solo in versione gratuita.

12. Re indirizzamenti verso siti indesiderati: quando e perché si verificano. Se all'interno del browser si aprono frequentemente pagine indesiderate, è probabile che sul sistema vi sia qualche tipo d'infezione. Bisogna fare attenzione alle estensioni per il browser evitando di installare quelle realizzate da sconosciuti. I re indirizzamenti verso siti contenenti malware e phishing non sono però ricollegabili solo alla presenza di un'infezione; talvolta, il problema ha a che fare proprio con il sito web visitato. In altri casi, invece, il problema dipende dai circuiti pubblicitari usati dagli amministratori del sito. I criminali informatici spesso usano tecniche di malvertising: attivano campagne pubblicitarie sui principali network inserendo al loro interno codice JavaScript capace di richiamare il caricamento di altri elementi e siti esterni.

13. Android Auto: cos'è e come funziona. Molti utenti usano il proprio smartphone Android in auto per attivare il navigatore o per ascoltare brani musicali inviandoli in streaming, via Bluetooth, al sistema d'infotainment della vettura. Non tutti però sanno di avere una vettura con sistema d'infotainment che a sua volta supporta Android Auto. Grazie ad Android Auto si può usare il display installato nella vettura per "proiettarvi" le App Android compatibili. Android Auto ha un'interfaccia molto semplice grazie ai comandi al volante integrati e ad una serie di comandi vocali che riducono al minimo le distrazioni così da rimanere concentrati sulla strada. Android Auto è disponibile in varie versioni.

14. Firefox ridurrà la comparsa dell'errore che indica una connessione non sicura. Dal rilascio di Firefox 65, molti utenti hanno segnalato la comparsa dell'errore "Questa connessione non è sicura" con il messaggio SEC_ERROR_UNKNOWN_ISSUER. Il problema si presenta sui sistemi con installati antimalware come Avast, Bitdefender e Kaspersky con abilitata la scansione HTTPS ed è dovuto all'antimalware. Le soluzioni sono due. La prima consiste nel digitare about:config nella barra degli indirizzi di Firefox, individuare il parametro security.enterprise_roots.enabled quindi cliccarvi due volte per impostarlo a true. La seconda, invece, nel disattivare la scansione HTTPS dalle impostazioni dell'antimalware.

15. DAZN: multa da 500mila euro per aver violato il Codice del Consumo. L'Antitrust italiana ha terminato la verifica nei confronti di DAZN aperta l'agosto scorso. Perform Group, società proprietaria di DAZN, ha usato messaggi pubblicitari che enfatizzavano il servizio quando vuoi, dove vuoi, senza accennare alle limitazioni tecniche che avrebbero potuto renderla complicata o addirittura impedirla, come invece è avvenuto all'inizio della stagione. La seconda violazione riguarda l'uso di una modalità ingannevole per l'adesione al servizio. Il consumatore poteva, registrandosi al sito, fruire di un mese di prova gratuito senza che ciò implicasse la sottoscrizione di un contratto di abbonamento. La creazione dell'account, invece, causava la conclusione del contratto del servizio DAZN, che, in assenza di disdetta, comportava l'inizio dell'addebito dei costi mensili.

Per ulteriori spiegazioni, scrivere a:
Barbara Lispipresenta sui sistemi con installati antimalware come Avast, Bitdefender e Kaspersky con abilitata la scansione HTTPS ed è dovuto all'antimalware. Le soluzioni sono due. La prima consiste nel digitare about:config nella barra degli indirizzi di Firefox, individuare il parametro security.enterprise_roots.enabled quindi cliccarvi due volte per impostarlo a true. La seconda, invece, nel disattivare la scansione HTTPS dalle impostazioni dell'antimalwNovità dal Web.
are.

15. DAZN: multa da 500mila euro per aver violato il Codice del Consumo. L'Antitrust italiana ha terminato la verifica nei confronti di DAZN aperta l'agosto scorso. Perform Group, società proprietaria di DAZN, ha usato messaggi pubblicitari che enfatizzavano il servizio quando vuoi, dove vuoi, senza accennare alle limitazioni tecniche che avrebbero potuto renderla complicata o addirittura impedirla, come invece è avvenuto all'inizio della stagione. La seconda violazione riguarda l'uso di una modalità ingannevole per l'adesione al servizio. Il consumatore poteva, registrandosi al sito, fruire di un mese di prova gratuito senza che ciò implicasse la sottoscrizione di un contratto di abbonamento. La creazione dell'account, invece, causava la conclusione del contratto del servizio DAZN, che, in assenza di disdetta, comportava l'inizio dell'addebito dei costi mensili.

Per ulteriori spiegazioni, scrivere a:
Barbara Lispi