“Cyber boh” – dal 12 al 13 maggio a Bologna il più grande evento per scuole e famiglie sui pericoli del web


Due giornate gratuite di conferenze, spettacoli, laboratori e tante curiosità per accompagnare le scuole e le famiglie nella rivoluzione digitale di questi anni. Frutto della collaborazione tra G DATA, Unijunior e Leo Scienza, Cyber boh è un evento dedicato a scuole e famiglie su cyberbullismo e pericoli del web

“Con Cyber boh forniamo una risposta ai numerosi interrogativi ed al generale disorientamento che si registrano intorno al tema della sicurezza in rete, dal rischio di frodi informatiche ai pericoli connessi alla condivisione dei dati e delle immagini sui social network, dall’uso di giochi online fino al fenomeno del cyberbullismo”. Così Riccardo Guidetti, presidente dell’Associazione Culturale Leo Scienza, presenta un grande evento volto a fornire strumenti di comprensione e valutazione delle potenzialità e dei rischi della rete e dei dispositivi digitali, a consigliare corrette modalità di utilizzo di tali strumenti e a indicare strategie per aumentare la sicurezza dei giovani internauti.

Patrocinata dalla Regione Emilia Romagna e dal Comune di Bologna, e ospitata nelle bellissime aule e negli spazi del Complesso Belmeloro dell’Università di Bologna, la due giorni (12 e 13 maggio) contro i rischi del web e il cyberbullismo prevede un foltissimo calendario di spettacoli a tema, conferenze interattive con i Cyberesperti di Unijunior, oltre che laboratori aperti alle scuole e al pubblico, sviluppati su misura per i nativi digitali, sempre più giovani, come ha rilevato G DATA nel corso della propria iniziativa ‘Cyberbullismo – 0 in condotta’.

Numerose le motivazioni che hanno spinto G DATA, Unijunior e Leo Scienza a lanciare “Cyber boh”, tra cui la ormai conclamata necessità di sensibilizzare e approfondire temi sensibili per i nativi digitali, per i loro genitori e insegnanti unitamente al fatto che, a livello nazionale, siano ancora troppo poche le attività di alfabetizzazione condotte con scuole e famiglie. Motivi per cui G DATA ha accolto con entusiasmo l’iniziativa di Unijunior e Leo Scienza, come conferma Giulio Vada, Country Manager di G DATA Italia e Presidente di Assintel Emilia Romagna.

“Siamo molti lieti di affiancare entrambe le organizzazioni nella divulgazione di informazioni corrette su come tutelare al meglio le attività condotte online e l’identità digitale dei più giovani” commenta Vada. “Siamo certi che il connubio tra il nostro know-how come produttore di soluzioni per la sicurezza IT e l’esperienza di Unijunior e Leo Scienza nel rapporto con gli istituti scolastici e le famiglie sia una ricetta vincente”.

“Alla sua prima edizione, Cyber boh è un’iniziativa educativa gratuita che speriamo di poter ripetere su base annuale” commenta Guidetti. “Articolato su due giorni Cyber boh è un evento di ampio respiro che vede già coinvolti numerosissimi istituti scolastici.

Oltre 700 tra allievi e insegnanti hanno già confermato la propria presenza a Cyber boh, confidiamo di poter incontrare altrettante famiglie”.

Dettagli su Cyber boh – 12/13 maggio 2017, Bologna

Il calendario completo delle due giornate è reperibile al link:

http://bit.ly/2pwiNqD

Il modulo di registrazione per istituti scolastici è reperibile qui:

http://bit.ly/2pXJZ35

Ulteriori dettagli sull’evento sono reperibili sulla pagina di facebook dedicata all’inizativa: https://www.facebook.com/events/1654039628235472/

Continua a leggere

Amuleto: die perfekte Verschmelzung von persönlicher Sicherheit und Stil


Derzeit auf Indiegogo: Das „smarte” Juwel, mit dem Notfälle gemeldet werden, ohne Zeit zu verlieren. Die ersten Geräte werden ab Juli ausgeliefert.

Vilnius – Zeit ist ein kritischer Faktor, wenn man bedroht, zum Opfer von Gewalttätern wird oder sich plötzlich unwohl fühlt. Potenzielle Opfer oder Menschen, die unerwartet dringend ärztliche Versorgung benötigen, können oft nicht rechtzeitig zum Telefon oder zu anderen Alarmgeräten in der Tasche greifen, um sekundenschnell Hilfe anzufordern. Amuleto löst dieses Problem mit Stil.

 

Als glanzvolles Accessoire für jedes Handgelenk bietet Amuleto viel mehr, als nur fürs Auge angenehm zu sein. Im Juwel eingebaut befindet sich eine Vorrichtung, die über ein Bluetooth Low Energy Modul mit dem Smartphone verbunden ist. Darüber wird per Knopfdruck automatisch eine vorselektierte Liste von Freunden und Verwandten über die Notsituation und die Position des Amuleto-Trägers benachrichtigt. Da Amuleto am Arm getragen wird, ist es zudem schwieriger, das Armband zu vergessen oder es bei Taschendiebstahl zu verlieren.

Anders als bei herkömmlichen lebensrettenden Wearables, die ähnliche Funktionen anbieten, jedoch meistens aus Plastik hergestellt sind, verzichtet Amuleto keineswegs auf Ästhetik. Das handdesignte Armband besteht aus einer Hülle aus reinem Sterling-Silber und einem Echtlederband. Als solches passt sich Amuleto jedem Kleidungsstil an. Das smarte Juwel ist also die perfekte Option für jeden, der keine Kompromisse beim persönlichen Outfit eingehen und sich gleichzeitig sicher fühlen möchte.

Es vergeht kaum ein Tag ohne erschreckende Nachrichten über an Frauen verübte Gewalttaten mit dramatischem Ausgang“, so Dovile Butnoriene, Mitgründerin von Amuleto. „In vielen Fällen hätte das Opfer vielleicht eine Chance gehabt, wenn es sofort Hilfe hätte anfordern oder man es umgehend hätte lokalisieren können. Deshalb haben wir in unser Juwel ein Gerät eingebaut, das auf Knopfdruck Freunde und Familie benachrichtigt. Ein Accessoire, das jede Frau vorbehaltslos anziehen würde. Nach fast zwei Jahren intensiver Forschung und Entwicklung sind wir nun in der Lage, Amuleto, unser smartes, stylisches und lebensrettendes Armband, dem Publikum vorzustellen.“

Wie es funktioniert

Auf der Silberhülle des Armbandes befindet sich ein kleiner Knopf, den der Amuleto-Besitzer bei Bedarf zwei Sekunden lang drückt. Daraufhin sendet Amuleto eine Alarmnachricht mit der aktuellen Position der Person an eine Notfallkontaktliste, die über die entsprechende Smartphone-App vordefiniert wurde.
Für einen lückenlosen Schutz werden zudem auch in dem Fall, dass Amuleto und das Smartphone voneinander getrennt werden (zum Beispiel wegen Taschendiebstahls) oder falls die Batterie der Geräte einen kritischen Ladezustand erreicht, automatisch Benachrichtigungen versandt.

 

Kompromisslose Privacy

Für uns Europäer ist es besonders wichtig, zu wissen, dass mit dem Smartphone verbundene Geräte nicht zum Spion werden”, bestätigt Mindaugas Butnorius, Gründer von Amuleto. „Amuleto versendet Position und Notruf nur dann in Echtzeit mit, wenn man den Knopf betätigt. Anders als bei herkömmlichen Wearables oder Smartphone-Apps werden weder von Amuleto noch von seiner App die Bewegungen des Trägers des Armbands getrackt, gespeichert oder geshared.“

Merkmale

  • Reines Sterlingsilber 925
  • Bluetooth Low Energy Technologie
  • Micro USB Adapter
  • Echtlederband
  • Wiederaufladbare Batterie
  • Batterieautonomie: über drei Wochen
  • 70 Meter Betriebsentfernung
  • Gewicht der Silberhülle: 18 Gramm
  • Abmessungen der Hülle: 3 cm (Länge), 1,5 cm (Breite), 0,7 cm (Höhe)

Verfügbarkeit

Der Hersteller hat die bekannte Crowdfunding-Plattform Indiegogo gewählt, um Amuleto auf dem weltweiten Markt zu lancieren. Über Indiegogo kann sich das Publikum über das innovative, lebensrettende Juwel informieren, die Massenproduktion des smarten Armbandes mit dem eigenen Beitrag fördern und dabei noch von einem interessanten „Early Bird”-Rabatt profitieren. Die bestellten Geräte werden ab Juli weltweit geliefert.

Continua a leggere

Sicurezza personale e stile: il connubio vincente di Amuleto


Su Indiegogo il gioiello “smart” che azzera il tempo necessario per richiedere aiuto in caso di grave necessità. I primi dispositivi saranno forniti a luglio di quest’anno.

Vilnius – Il tempo è un fattore particolarmente critico qualora si venga minacciati, si subiscano violenze o si soffra di un malore improvviso. Non sempre le potenziali vittime o chi necessita urgentemente di assistenza medica ha la possibilità di richiedere aiuto telefonicamente o il tempo di cercare un eventuale dispositivo salvavita nella borsa. Amuleto risolve questo problema con stile.

Accessorio gradevole sul polso di qualunque donna, Amuleto offre molto più che risultare piacevole alla vista. Il gioiello integra un dispositivo connesso allo smartphone attraverso un modulo bluetooth a basso consumo energetico, attraverso cui invia messaggi di allerta e notifiche sulla posizione ad amici e parenti in tutte le situazioni in cui si rende necessario chiedere aiuto repentinamente. Essendo indossato, é difficile dimenticarlo o che se ne venga privati in caso di borseggio.

A differenza di altre soluzioni dotate di simili funzioni, Amuleto riduce a zero l’impatto estetico negativo tipico dei dispositivi “salvavita”, per lo più prodotti in plastica. Il braccialetto disegnato a mano e costituito da una scocca in argento sterling ed una fascia in vera pelle, si adatta a qualsiasi stile di abbigliamento. E’ l’opzione perfetta per qualsiasi donna che non voglia scendere a compromessi in termini di outfit. 

“Non passa giorno senza leggere notizie scioccanti in merito a casi di abusi e violenze sulle donne con esito drammatico”, commenta Dovile Butnoriene, Co-fondatrice di Amuleto. “In molte di queste situazioni la vittima avrebbe forse avuto una chance se avesse chiesto subito aiuto o se fosse stato possibile localizzarla in tempo zero. Per questo motivo abbiamo integrato in un piccolo gioiello un minuscolo dispositivo in grado di allertare amici e parenti premendo un pulsante. Una soluzione che ogni donna, che desideri sentirsi sicura, indosserebbe senza remore. Dopo quasi due anni di intensa ricerca e sviluppo, siamo oggi in grado di proporre al grande pubblico Amuleto, il nostro braccialetto smart. ”

Come funziona

Sulla scocca d’argento del braccialetto alloggia un piccolo pulsante. In caso di necessità, chi lo indossa preme semplicemente il pulsante per due secondi. Amuleto invierà un messaggio di allerta associato all’attuale ubicazione della persona ad un elenco di contatti d’emergenza precedentemente selezionati tramite la app dedicata.

Inoltre, per assicurarsi un costante livello di protezione, messaggi automatici saranno inviati anche nel caso in cui Amuleto e lo smartphone risultino disconnessi (ad esempio in caso di furto della borsetta) o qualora il livello della batteria risulti critico.

 Privacy salvaguardata

“Per noi europei assicurarsi che i dispositivi connessi allo smartphone non si tramutino in oggetti spia è particolarmente importante”, conferma Mindaugas Butnorius, fondatore di Amuleto. “Amuleto comunica in tempo reale posizione e richiesta d’aiuto solo se si preme il pulsante apposito. A differenza di altri wearable o app per smartphone, né il dispositivo né la app tracciano o condividono i movimenti o lo storico degli spostamenti di chi lo indossa.”

Caratteristiche

  • Puro argento sterling 925
  • Tecnologia Bluetooth Low Energy
  • Connettore Micro USB
  • Fascia in vera pelle
  • Batteria ricaricabile
  • Durata della batteria: 3 settimane
  • 70 metri di distanza operativa
  • Peso della scocca in argento 18 grammi
  • Dimensioni della scocca: 3 cm (lunghezza), 1,5 cm (larghezza), 0,7 cm (spessore)

Disponibilità

Il produttore ha selezionato la nota piattaforma di crowdfunding Indiegogo per lanciare Amuleto sul mercato globale, dando così al pubblico la possibilità di informarsi sull’innovativo gioiello salvavita e di contribuire alla produzione di massa dell’accessorio, fruendo di un interessante sconto “early bird”. I dispositivi ordinati saranno consegnati in tutto il mondo nel mese di luglio p.v.

Continua a leggere

Quando i dati raccolti dai giocattoli connessi al cloud sono alla mercè di chiunque


Oltre 800.000 credenziali di accesso ai servizi e 2 milioni di registrazioni vocali accessibili per settimane in Rete

Da qualche giorno la stampa riporta il caso della Spiral Toys, produttore dei pelouche „Cloudpets“ connessi al cloud, che consentono di registrare e inviare messaggi vocali tra bambini e genitori anche da remoto. Per omissione delle più elementari regole di sicurezza, queste registrazioni sensibili sono state accessibili a estranei per settimane via Internet. Il caso riguarda oltre 800.000 utenti registrati.

La situazione

Non è una novità che un operatore archivi online le registrazioni vocali degli utenti per poi elaborarle. Chiunque impieghi Apple Siri, Google Home o Amazon Echo si avvale di infrastrutture simili. I servizi vocali vengono offerti sempre più spesso e pur presentando notevoli vantaggi non sono scevri da rischi. Gli operatori hanno tutto l’interesse a proteggere questi dati dall’accesso indesiderato, le conseguenze di una potenziale fuga o perdita dei dati sono infatti catastrofiche sia per gli utenti sia per l’operatore. Il caso di Spiral Toys è un esempio lampante di come possa verificarsi un tale incidente: alcuni esperti di sicurezza hanno riscontrato che due banche dati del produttore erano raggiungibili via Internet senza alcuna protezione.

 

Buone intenzioni, errori elementari e pessimo timing

Le due le banche dati accessibili per più settimane a chiunque ne conoscesse l’indirizzo web, contenevano oltre nove Gigabyte di dati tra cui, tra le altre cose, tutte le registrazioni vocali trasmesse tra bambini e genitori. Come dichiarato dall’esperto di sicurezza Troy Hunt, il nome assegnato alle banche dati fa presupporre che le stesse non fossero impiegate produttivamente, bensì a scopo di test. Disporre di sistemi di prova raggiungibili via Rete non è inusuale, tuttavia in questo caso sono stati fatti due gravi errori. Innanzitutto le piattaforme di test non devono mai contenere i dati reali dei clienti, proprio per evitare compromissioni e fughe di dati. In secondo luogo il produttore ha omesso di implementare uno dei consigli di sicurezza più elementari per sistemi MongoDB: proteggere le banche dati contro accessi indesiderati con adeguate misure di autenticazione.

La banca dati contenente le registrazioni vocali includeva anche i nomi utente e le password dei fruitori del servizio. Sebbene per l’elaborazione delle password il produttore avesse impiegato un buon algoritmo di cifratura (bcrypt), gli utenti non erano tenuti a seguire alcuna linea guida per la creazione delle password, la piattaforma accettava come password anche un singolo carattere oppure combinazioni di caratteri ritenute da tempo insicure (p.es. „123246“, „qwertz“, „password“ e similari).

A peggiorare le cose in termini di timing è il fatto che le banche dati MongoDB in generale sono state oggetto preferenziale di attacco ransomware da parte dei cybercriminali nelle scorse settimane proprio a fronte di falle dovute a numerosi errori di configurazione. Errori di questo tipo sono già stati forieri in passato di fughe di dati che hanno interessato notevolmente l’opinione pubblica, come nel caso di noti operatori mobile o telco.

Effetti e conseguenze

Le conseguenze immediate dell’incidente per la Spiral Toys sono primariamente di natura finanziaria: negli ultimi giorni il valore delle azioni è crollato intorno ai 50 centesimi di dollaro. Per i clienti invece l’incidente ha come effetto la perdita di fiducia nei giocattoli con connessione Internet, e non sono i soli. Di recente, a posteriori di una apposita perizia legale, l’Agenzia federale delle Reti tedesca ha vietato la vendita della bambola „My Friend Cayla“ in Germania classificandola strumento di sorveglianza. Il caso di Spiral Toys conferma anche una delle nostre previsioni per il 2017: Gli operatori cloud saranno oggetto di attacchi la cui conseguenza è la perdita di dati.

Continua a leggere

Porta aperta sul cuore


Come la ricerca e i fondi di investimento influenzano la sicurezza dei dispositivi medici interconnessilogo-claim-2015-3c-highres

Sebbene il titolo abbia un che di romantico, il contesto è davvero inquietante: da un recente comunicato dell’agenzia americana per il controllo di alimenti e farmaci (FDA) una specifica linea di pacemaker risulta presentare vulnerabilità che li rendono accessibili a distanza. Il produttore ha rilasciato un aggiornamento del firmware che dovrebbe chiudere tale falla.

La connettività dei dispositivi medici presenta indubbiamente una serie di indiscutibili vantaggi sia per i pazienti sia per il personale medico e paramedico. Anziché presentarsi personalmente presso lo studio medico, cosa che, a dipendenza della gravità della malattia è già di per sé una sfida, i pazienti possono sottoporsi a controlli di routine da remoto, senza dover metter piede fuori dalla propria abitazione. Il monitoraggio a distanza di particolari parametri vitali corrisponde per tutti i soggetti interessati ad un enorme risparmio di tempo e risorse, in grado di entusiasmare i più, se solo non vi fossero i moniti dei ricercatori sulle potenziali minacce costituite da sistemi violabili.

Un esempio interessante è il recente caso del produttore leader di pacemaker, la St. Jude Medical: una ricerca condotta da MedSec e Muddy Waters Capital ha evidenziato che il trasmettitore radio collegato a Internet per il monitoraggio in remoto dei valori cardiaci e del funzionamento del dispositivo impiantato era potenzialmente accessibile a terzi che avrebbero potuto riconfigurarlo cagionando un più rapido esaurimento della batteria, un forte disagio fisiologico al paziente e una compromissione dell’effettiva funzionalità del dispositivo in caso di necessità. L’unico requisito per procurarsi accesso al dispositivo impiantato era la vicinanza del paziente all’apparecchio per la trasmissione dei dati.

Questo è solo uno dei numerosi casi segnalati dal 2015 ad oggi in cui si riscontra un livello di sicurezza lontano anni luce dagli attuali standard. Uno dei motivi è che il processo di certificazione dei dispositivi medici, dalle pompe di insulina ai sistemi per la narcosi in sala operatoria, fino ai dispositivi per l’erogazione intravenosa automatica di medicinali, richiede anni, oltre ad un enorme investimento da parte dei produttori. Nel caso di dispositivi il cui malfunzionamento pregiudica l’incolumità dei pazienti, i requisiti sono estremamente complessi e talmente limitanti da rendere impossibile qualsiasi aggiornamento, anche nel caso di patch necessarie per chiudere eventuali falle: qualsiasi modifica richiederebbe una nuova certificazione.

g_data_securityblog_hacking_pacemakers_preview_78194w600h400

E se un giorno..

Se pensiamo al fenomeno dei ransomware, ci vuole ben poco per ipotizzare che dei malintenzionati possano un giorno estorcere denaro ai pazienti, ospedali o studi medici minacciando di disattivare i sistemi di supporto vitale in caso di

mancato pagamento del riscatto. Per affrontare questa sfida non vi sono alternative alla stretta collaborazione tra ricercatori e produttori, una collaborazione che non dovrebbe essere limitata ai soli dispositivi ma estesa anche alle piattaforme online cui molti di questi sono oggi collegati. Le ricerche degli ultimi anni hanno evidenziato quanto si sia lontani da un’integrazione della sicurezza sin dalle prime fasi della produzione. Va da sé che anche il processo di certificazione dovrebbe essere accelerato. Lo sviluppo nell’ambito della sicurezza IT ha raggiunto un grado di evoluzione notevole, procedure prolungate rappresentano un chiaro ostacolo al progresso e alla tutela efficace dei fruitori di questi dispositivi.

Vulnerabilità che arrichiscono gli insider

Il caso della St. Jude Medical conferma quanto sia essenziale il ruolo della sicurezza informatica nello sviluppo di tali apparecchi. La posta in gioco per gli attori è molto alta: la reputazione di un produttore può subire ingenti danni se la sicurezza dei propri dispositivi è compromessa. Gli interessi finanziari viaggiano di pari passo: danni alla reputazione di un produttore avranno un riscontro diretto sulla redditività delle sue azioni. La St. Jude Medical stava per essere acquisita dalla Abbot Laboratories per 25 miliardi di dollari proprio al momento della pubblicazione dei risultati dell’analisi sulle vulnerabilità dei dispositivi ad opera di MedSec e Muddy Waters Capital. Entrambe hanno attuato vendite allo scoperto e acquisti a termine antecedenti alla pubblicazione dei risultati della ricerca, anticipando le eventuali cadute del valore azionario dovute alla pubblicazione. La St. Jude Medical ha presentato una denuncia formale contro entrambe le aziende, il processo è in corso.

Questo caso lascia adito a scenari di stretta collaborazione tra esperti di alta finanza e ricercatori nel settore della sicurezza IT. Insieme possono sfruttare le proprie conoscenze da insider realizzando enormi profitti attraverso operazioni di borsa preventive alla pubblicazione dei risultati delle ricerche. Ovviamente i produttori hanno tutto l’interesse a prevenire questa evenienza migliorando efficacemente la sicurezza dei loro prodotti. Dall’altro lato però ci troviamo di fronte ad un dilemma etico di dimensioni epocali: si genera volutamente un profitto sulla base di conoscenze e informazioni che non solo possono mettere in pericolo la vita dei pazienti ma che, come in questo caso, non vengono neanche fornite ai produttori. I cosidetti “Bug Bounties” sono una vera manna per i ricercatori di sicurezza informatica che segnalano al produttore eventuali falle di sicurezza consentendo loro di porvi rimedio prima della pubblicazione della ricerca. A seconda della gravità di una determinata vulnerabilità un Bug Report può assicurare al ricercatore introiti a sei cifre. Se fosse dimostrato che l’approccio seguito da MedSec e Muddy Waters Capital frutti guadagni ancora maggiori (la sentenza non è stata ancora emessa), ciò potrebbe influenzare il modo in cui i ricercatori utilizzano le conoscenze che acquisiscono.

Continua a leggere