Olimpo Informatico

[Zeus News]

Leggi l'articolo Rovigo, foto intime rubate dai telefoni in riparazione e condivise in rete
Scoperto un gruppo Telegram con migliaia di immagini.


 
Foto di PR Media.
 

Segnala un refuso

[Johannes]

Le aziende serie e - per analogia - anche le persone serie NON portano (salvo rari casi di eccezione che scrivo sotto) i dispositivi all'assistenza. Quelli vengono semplicemente distrutti. Il rischio di vedersi sottrarre segreti aziendali o personali è troppo elevato. Avevo sentito di casi (e non faccio fatica a credere che siano anche numerosi) di centri di assistenza (non parlo - non solo, almeno - del signor Wang Yang di Pechino, o del signor Salvatore Rossi dal vilaggio del cugino di Provenzano, ma - anche - di note megacorporazioni pluto-tecno-oligocratiche) messi in piedi proprio con quell'intento. Aggiungiamo anche il potenziale intento di utilizzare il materiale trovato ai fini di estorsioni o ricatti (politici o economici, per esempio. La sapete quella, no? "Se tu, (vice)sindaco, non fai passare quel progetto di conversione di quei terreni agricoli in terreni edificabili, affinché noi possiamo fare le nostre costruzioni e speculazioni edilizie, queste foto/informazioni verrano diffuse". O qualcosa di simile). Immaginate solo quanto potrebbe essere "interessante" per quelle megacorporazioni pluto-tecno-oligo-patocratiche avere un centro assistenza nel bel centro di Bruxelles vicino alla Commissione Europea o dle Parlamento Europeo. Ci siamo capiti, no? Riguardo le eccezioni dette sopra: Se mi schiatta un computer fisso (quelli me li costruisco da solo dai componenti acquistati ad hoc, e in genere li riparo da solo, ma se qualcosa esula dalle mie competenze), estraggo il disco e il resto lo porto (forse!) in un centro di assistenza del quale ragionevolmente (penso di) potermi fidare. Un portatile non me lo assemblo da solo, ma nel caso del guasto lo apro (e invalido la garanzia se ancora in garanzia) e se ce la faccio a ripararlo, bene, altrimenti ci metto una croce sopra e avanti il prossimo. Le tavolette e gli scempiofoni li utilizzo solo come lettori di libri elettronici (rigorosamente su schede microSD) e quelli non hanno nemmeno una SIM (le SIM le ha solo il mio buon vecchio telefono GSM - 2G). Al massimo ci metto qualche programma mio che sto sviluppando o collaudando con Termux, ma non vorrei comunque che quelli cadessero nelle mani di chissachi). Uno scempiofono schiattato non va mai in un centro risparazione. Lo smonto e lo faccio a pezzi. E finita lì. Ora, qualcuno potrebbe, giustamente, sollevare un bel po' di obiezioni e casi tutt'altro che implausibili, per esempio che i nostri Euro-burocrati possono direttamente essere spiati da remoto, con software già incluso di fabbrica, Si, lo so. O che uno potrebbe non tenere la SIM (come faccio io) ed essere comunque spiato (avete presente quelle funzionalità di "trova dispositivi vicini", no? E che ci siano "funzionalità incluse" delle quali non sappiamo niente? O che i produttori di CPU hanno dei firmware con sistemi operativi - mi viene in mente Minix, chissa come mai? - sotto il "ring 0" e che possono carpire i dati e e salvarli in luoghi diversi dai HD/SSD, compresi i luoghi da qualche parte in rete. Vabbe'...non mi dilungo., anche qui mi avete sicuramente capito. In sostanza, l'unico scempiofono (o PC, se è per questo) veramente sicuro è solo uno: Quello che NON possedete. A patto che non vi facciate spiare dagli scempiofoni degli altri, si intende. Quando andate dal medico o dall'avvocato o dalla amante (continuate l'elenco con chi vi pare) e quelli hanno lo scempiofono... E dite che tanto voi non contate niente, chi vuoi che possa voler spiare voi? Beh, magari avete un parente, fratello, cugino, amico sidaco o europarlamentare. Il quale sicuramente non sarebbe contento di subire qualche ricatto a causa della vostra stoltezza, e sentirsi in dovere morale di tirarvi fuori dai guai.

[{curius}]

Sarebbe interessante capire come sono arrivati al gruppo, se partendo da qualche indizio, oppure curiosando in Telegram, cosa possibile solo avendo accesso incondizionato ai server Telegram, cosa di cui dubito fortemente.
La crittografia non è attiva per i gruppi, perché per loro Telegram usa la crittografia server-client, non end-to-end come WhatApp, e questo li rende leggibili dai server.
L'altra possibilità è che a causa di indizi abbiano sequestrato i telefoni dei responsabili, e da lì abbiano avuto accesso al gruppo.

[zero]

[Danielix]

[{Sergio}]

E' ovvio che se il telefono è guasto non riesci certo a svuotarlo prima di portarlo in riparazione e quì nascono i problemi se si ha a che fare con disonesti. Le soluzioni sono due; buttare il cellulare dopo averlo distrutto oppure usare solo cellulari con "archivi removibili"

[Johannes]

[Johannes]

Danielix, apprezzo molto il tuo tentativo di farci divertire cercando di fare il brillante, ma purtroppo - non ti riesce.
Quello che ti riesce, e anche bene, è fare il patetico.

[Danielix]

[Johannes]

Chi ha mal interpretato sei solo tu. Ho solo risposto al tuo sarcasmo da quattro soldi abbassandomi al tuo livello, pensando che sia l'unica lingua che tu sia in grado di capire. Ma - di tutta evidenza - avevo torto, dato che non hai capito proprio una fava. E poi, è stato un errore mio, abbassarmi al tuo livello, dovevo considerare la plausibile ipotesi che al tuo livello mi avresti battuto con la tua esperienza. Se non per qualità, allora per quantità, dato che vedo che continui col tuo sarcasmo di basso livello, corredato da una arroganza ignorante. Effetto Dunning-Kruger, dove una persona (tu) parli di cose delle quali effettivamente non conosce nulla (ed è - anche - per questo che sei tanto convinto dei "lumi" della propria ragione)? Questo è evidente, con l'aggravante della tua arroganza ignorante (vogliamo parlarne, poi, dell'"equilibrio mentale" che hai menzionato? Ne avrei anch'io da dire qualcosa). C'è un'eticchetta "Amministratore" vicino al tuo nome. Personalmente, ho dubbi che tu possa essere in grado di amministrare anche un condominio, figuriamoci un dominio www. E' palese che tu non abbia mai lavorato in un contesto serio, dove la distruzione dei dispositivi difettosi (invece di portarli all'assistenza) è imperativo, ed è scritto col sangue nei documenti aziendali (dopo tocco anche l'argomento dei dispositivi personali. Ma è assurdo che tu questi tuoi discorsi dunning-krugeriani li fai proprio sotto un articolo che parla di accesso e di utilizzo abusivo dei dati personali da parte di un centro assistenza). E quali sono le ragioni per quello, non lo dico questa volta con le mie parole, riporto documenti ufficiali o autorevoli (tutte informazioni e linee guida utilizzate nelle aziende dove lavor(av)o). Ti elenco (alcune delle) linee guida e documenti *ufficiali* su distruzione / sanificazione dei dispositivi. Molti di questi sono documenti onnicomprensivi, partono dalla neccessità di distruzione dei documenti cartacei, passando per sanificazione dei dispositivi (ove possibile, ma di fatto non lo è nel caso di dispositivi malfunzionanti/rotti), fino alla distruzione fisica dei dispositivi e supporti di memoria interni o esterni. In alcuni casi vengono anche tratte regole di sviluppo del codice sicuro. Ma qui mi focalizzo solo sulla distruzione di dispositivi, dato che di questo stavamo parlando. Andiamo in ordine:

- Norma DIN 66399 (istituto di standard tedesco, standard europeo, di riferimento in tutta UE e tutta Europa): definisce livelli di sicurezza e metodi per distruggere dati su supporti elettronici e cartacei. Viene usato come riferimento anche in ambito GDPR per stabilire procedure di distruzione sicura.
- https://din66399.eu/
Informazioni aggiuntive e/o riassunti (un esempio tra tanti, in italiano):
- https://www.distruzionedocumenti.com/la-norma-din-66399-e-la-distruzione-certificata-di-supporti-con-dati-riservati/

- NIST SP 800-88 – Guidelines for Media Sanitization (SUA, ma di fatto uno dei standard di riferimento internazionale per la sanitizzazione delle memorie, usato da governi, enti regionali/cantonali/comunali/ecc, aziende grandi e piccole,...
- https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-88r1.pdf
- https://csrc.nist.gov/pubs/sp/800/88/r1/final "Guidelines for Media Sanitization"
Informazioni aggiuntive e/o riassunti:
- https://www2.isc.upenn.edu/security/bestPractices "Information Security Best Practices | UPenn ISC"

- NIST SP 800-124r2 – Mobile Device Security Lifecycle: come si evince dal titolo, tratta i dispositivi mobili in ambito aziendale, e che copre l’intero ciclo di vita dei dipositivi, inclusa la fase finale, ovvero la distruzione
- https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-124r2.pdf "NIST Special Publication"

- NIST Cybersecurity Framework (CSF) e NIST SP 800-171
Sempre le stesse (o sovraponibili) linee guida, che non ripeto qui
- https://csf.tools/reference/nist-cybersecurity-framework/v1-1/pr/pr-ds/pr-ds-3/ "PR.DS-3: Assets are formally managed throughout removal, transfers, and disposition - CSF Tools"

- Microsoft Data-Bearing Device Destruction (Documentazione tecnica): esempio pratico di come una grande azienda implementa ciò che gli standard richiedono (o almeno sostiene che sta implementando, poi sta a noi fidarci o no. Ma il punto non è qui la fiducia in MS, ma la neccessità di dare la parvenza di affidabilità e serietà e presentare la tutela dei dati aziendali o personali per quello che è: cosa seria)
- https://learn.microsoft.com/it-it/compliance/assurance/assurance-data-bearing-device-destruction "Distruzione di dispositivi contenenti dati - Microsoft Service Assurance | Microsoft Learn"

Tutti questi documenti convengono: Se una riparazione potrebbe esporre dati sensibili a terzi o se il dispositivo non può essere completamente cancellato in modo affidabile, ovvero, se la sanitizzazione dei dati non è possibile (es. dispositivo guasto), la distruzione fisica è un metodo preferito (e spesso obbligatorio) per garantire che nessun dato sia recuperabile.
Strumenti di riparazione, sia quelli messi a disposizione dai produttori ai centri di assistenza, sia strumenti creati da terzi, possono accedere a dati ancora recuperabili. Perciò, in certi casi, la distruzione fisica è l’unica via per garantire che i dati non siano recuperabili:
- https://www.cisa.gov/news-events/news/proper-disposal-electronic-devices "Proper Disposal of Electronic Devices | CISA"

A volte c'è l'illusione (ne ho sentite di tutti i colori) che bisogna rivolgersi solo ai centri certificati (es. “Apple Authorized Service Provider”, “Google Certified Repair”), in quanto questi avrebbero, oltre agli obblighi legali, anche obblighi contrattuali di protezione dei dati. Basta vedere i numeri e le motivazioni di condanne a queste aziende (es. abuso dei dati personali) per neutralizzare questo mito. Poi, qualcuno potrebbe obiettare che le grandi aziende fanno firmare ai centri di assistenza delle dichiarazioni di non-divulgazione (chiamate anche, scusate la bestemmia: "NDA") e vari impegni a non copiare né conservare dati. Sono anche quelli che chiedono all'oste se il suo vino è buono. Alcuni, poi, richiedono una dichiarazione di riservatezza dei dati al centro di assistenza. Ci sono riferimenti normativi per tutto questo, certo, ma basta informarsi sulle condanne e processi in corso per vedere quante volte vengono intenzionalmente violate queste norme. Soprattutto se ci sono grosse cifre di mezzo. E la compravendita dei dati lo è di sicuro. Si tratta, ovviamente, di casi scoperti, ma quanti e quali saranno quegli altri? E che dire del certificato di distruzione (vedi il già menzionato NIST 800‑88 o anche ISO 27001)? Potete verificare la presenza di una politica di distruzione dei dati nel contratto di servizio, questa ci dovrebbe essere: se il dispositivo è irreparabile, il fornitore dovrebbe fornire il certificato di distruzione. E che dire del registro di chi ha effettuato la distruzione, quando, con quale metodo e con quale certificazione, per dimostrare la conformità a GDPR, CCPA o altre normative sulla protezione dei dati? Si, lo so, ma queste cose dovevo dirle, altrimenti non ridete e volevo facilitarvi la lettura di un testo così lungo.
Nota personale: Vi fidate di Microsoft, Apple, Google, ecc? Io no. Per questo non utilizzo ne i loro prodotti ne i loro servizi. Ne porterei un qualsivoglia dispositivo nei loro centri di assistenza. Quello che mi fa incavolare che i miei dati, in mano della PA, della previdenza, sanità, ecc, sono sulle "nuvole" dei GAFAM. Ma questa è un'altra storia (e co sto lavorando con delle persone su questo problema, ma è prematuro - per ora - parlarne).

Per quanto riguarda casi di furto o abuso di dati (sia aziendali che personali) durante la riparazione / assistenza tecnica, penso che sia sufficente e significativo il caso riportato nell'articolo di sopra e che non sia necessario riprodurre qui altri casi (questo sito ne abbonda di alcune categorie di quelle informazioni) verificatisi in seguito alla sottrazione di dati personali, che hanno portato a: messa (spesso: vendità) di dati compromettenti e/o intimi (sempre l'articolo di sopra è indicativo), furti di identità (svuotamento di conti correnti, o richieste di "aiuto economico" da parte di un familiare o amico all'estero, ricatti politici, vendita di dati alle compagnie assicurative, ecc. In ogni caso, il dispositivo rotto non va riparato, ma distrutto. Questi casi, di abuso di dati personali, di sicuro non sono esclusivamente legati ai centri di riparazione "poco etici", è una pratica onnipresente nel "mondo" tecnologico. Ne ho esperienze dirette presso certe aziende di telecomunicazione, altre le ho sentire dai miei colleghi, ma - per qualche srana ragione - non mi va di esporre quelle cose qui. Almeno per ora. Per un lavoratore (che sia in un centro di riparazioni, o in una compagnia telefonica, o quello che è), bisogna avere forti posizioni etiche per rifiutarsi di lavorare in tali contesti, facendo quelle cose, dato che per quegli "altri" la tentazione di "guadagnare turandosi il naso (e a volte non fingono di fare neanche quello)" è molto forte. Ne ho sentito anche quelle come "tanto se non lo faccio io lo farà qualcun altro". E molti che hanno solo espresso qualche titubanza o si sono permessi di fare qualche domanda, sono stati sottoposti a ostracismi, pressioni, minaccie, ricatti, e in molti casi sono stati anche licenziati. Ma di questo parlerò un'altra volta. E non detto che sarà qui...

[bdoriano]

Torniamo in argomento, per cortesia.

Il problema principale, per l'utente finale, è ripristinare il proprio smartphone, tablet, pc.
Non valuta che le informazioni (foto, documenti, video, etc...) in esso contenute potrebbero essere copiate e diffuse senza alcun controllo.
Si rivolgerà al primo centro di assistenza che trova e che gli fa la riparazione un prezzo abbordabile e in tempi rapidi.
Diverso è il discorso per le aziende.
Solitamente stipulano contratti con centri di riparazione affidabili e che garantiscono la privacy aziendale.
In caso di malafede, il centro di riparazione ne paga le amare conseguenze.