Lo Spiegone

Ora che abbiamo dieci spiegoni alle spalle, inauguriamo la sezione Ciacole (chiacchiere, in veneto) con il nostro primo ospite: Roberto Orgiu. Con Roberto, parleremo dell’affascinante ruolo della crittografia nella storia.

In questo episodio e nel prossimo vi diamo un assaggio di questo nuovo formato per gli episodi, molto più informale — ed a rischio logorrea, dato che siamo sull’ora di episodio.

Se volete seguire Roberto, lo trovate su Twitter all’indirizzo: https://mobile.twitter.com/_tiwiz

🔗 LINK DELLA PUNTATA
* Cifrario Atbash https://bit.ly/3iBWKss
* Scitala https://bit.ly/397BVC1
* Cifrario di Cesare https://bit.ly/2W9GS6d
* Cifrario nel Kamasutra https://bit.ly/3qKc757
* Disco Cifrario di Leon Battista Alberti https://bit.ly/3peJSuY
* Cifrario di Vigenere https://bit.ly/3c3fikd
* Steganografia https://bit.ly/2KDDMFl
* Storia di Enigma https://bit.ly/3qECSHW
* Perché ho scritto PGP https://bit.ly/2Y7J3YQ
* USA vs China https://bit.ly/3qJzmfI e https://bit.ly/2Y717CE
* Confutazione https://bit.ly/3paigHb

Nota: nel Kama Sutra si suggerisce di modificare leggermente il Cifrario di Cesare, usando un numero (chiave) diverso per ogni lettera.

Concludiamo la prima stagione del podcast approfondendo un tema a cui abbiamo accennato più volte negli episodi precedenti: la pubblicità online. Come funziona questa gigantesca industria, in cui girano così tanti soldi? Cosa ci dovrebbe far preoccupare, e cosa no? Ma soprattutto: possiamo farci qualcosa?


Un finale di stagione col botto, con una puntata extra-lunga — ma l’argomento è così vasto e complesso che non potevamo sintetizzare oltre senza perdere punti importanti per strada. Ah, e per i temerari che arrivano fino in fondo… abbiamo una sorpresa in serbo per voi 😉


🔗 LINK DELLA PUNTATA
* GDPR https://bit.ly/2XpuNdT
* Blacklight: scopri quanto ti tracciano i siti (in inglese) https://bit.ly/35qjZQW
* Il vero costo di un sito “gratis” (in inglese) https://bit.ly/3bqlVg9
* Single Sign On (SSO) https://bit.ly/2LABFCo
* Facebook SSO hackerato nel 2018 espone dati di 50m di utenti https://bit.ly/35qk07s
* Tracking online: cos’è e come funziona https://bit.ly/3oz5Nwq
* Controlli tracking nei browser e dispositivi
* IPS in Safari https://apple.co/2Xschl1
* Firefox https://mzl.la/3orYNBD
* iOS https://bit.ly/3sbr1D0
* Browser con piu’ privacy
* Firefox https://mzl.la/3i3xRG6
* Safari https://apple.co/35sqfrs (solo macOS)
* Brave https://bit.ly/3sbr1Tw
* Vivaldi https://bit.ly/3sbr2a2
* Ungoogled Chromium https://bit.ly/3bspkeC
* Ad blockers
* uBlock Origin https://bit.ly/3pZpiPg
* Privacy Badger (in inglese) https://bit.ly/39kQb9G
* Ghostery (in inglese) https://bit.ly/39hOHgq
* Blokada, un ad blocker per Android (in inglese) https://bit.ly/3sbr2XA
* Pi-Hole, un ad blocker per tutta la rete di casa (in inglese) https://bit.ly/3nDlXny
* Termini e condizioni
* Google: https://bit.ly/35qk1Iy
* Facebook: https://bit.ly/3ic6jOV
* Tl;dr Legal (in inglese) https://bit.ly/3qk3xdh
* ToS;dr (in inglese) https://bit.ly/3bDIG0r
* Efficacia delle pubblicità (link e studi accademici in inglese)
* Generalizable and Robust TV Advertising Effects (studio indipendente) https://bit.ly/2XrU3zZ
* Incremental Clicks Impact Of Search Advertising (studio di Google) https://bit.ly/38txOQG
* Freakonomics #441: Does Advertising Actually Work? (Part 2: Digital) https://bit.ly/35uDwQf
* Blocco della personalizzazione pubblicitaria (Google) https://bit.ly/2Lbf7IM
* Blocco della personalizzazione pubblicitaria...

Cashback di Stato, VISA, Mastercard, POS, Apple Pay, Google Pay, SgottiPay?! 💳

C'è da perdersi quando si parla di pagamenti elettronici, sia nei negozi fisici che online. In questa puntata scopriamo come funzionano e quanto noi consumatori siamo tutelati dal punto di vista della sicurezza e della privacy. 🔍

SPOILER: non usate SgottiPay 👮‍♂️


🔗 LINK DELLA PUNTATA

* Privacy e sicurezza di Apple Pay https://apple.co/3aPT0lt
* Il protocollo EMV https://bit.ly/38IFltH
* Le carte clonate https://bit.ly/3b490R5
* Come funzionano i pagamenti elettronici (VISA – in inglese) https://bit.ly/3rFr9u0
* Come funzionano i pagamenti elettronici (Juno – in inglese) https://bit.ly/3psmQ3i
* Come funziona Apple Pay (in dettaglio – in inglese) https://bit.ly/2WQDygE
* L’evasione fiscale in Europa (in inglese) https://bit.ly/3puaN5N

Tutti noi comunichiamo quotidianamente usando app di messaggistica: WhatsApp, iMessage, Facebook Messenger, Telegram…

Ma non tutti questi servizi sono uguali — e non differiscono solo per quali funzionalità offrono, ma anche nel modo in cui trattano, e proteggono, le nostre conversazioni ed i nostri dati personali da eventuali usi impropri.

In questo episodio tutto dedicato alle chiacchiere virtuali, scopriamo assieme quali garanzie abbiamo che le nostre conversazioni siano davvero private, e quali siano i servizi che sarebbe meglio evitare.


🔗 LINK DELLA PUNTATA

* Servizi di messaging
* Quelli di Facebook:
* WhatsApp https://bit.ly/3gTLDup
* Facebook Messenger https://bit.ly/3mdGyxO
* Instagram https://bit.ly/34aaHIl
* Telegram https://bit.ly/3gEtlNu
* Signal https://bit.ly/37XRBpP
* iMessage https://apple.co/37dgrCY
* Google Messaggi https://bit.ly/3mfc4vw
* Crittografia end-to-end https://bit.ly/2Lr5h4Z
* Cifrario di Cesare https://bit.ly/2W9GS6d
* La Electronic Fronteers Foundations in merito ai sistemi di messaggistica (in inglese) https://bit.ly/2KlQYy4
* Il protocollo di Signal (in inglese) https://bit.ly/3oM1Bcv
* Il sistema RCS (Rich Communication Services) https://bit.ly/3mdOcbI
* Problemi di sicurezza
* WhatsApp
* La versione web era vulnerabile (2017) https://bit.ly/2KoYBDV (in inglese)
* La gestione delle chiavi E2E era, e rimane, vulnerabile (2017) https://bit.ly/3n9G5y1
* I messaggi a scadenza sono vulnerabili (2020) https://bit.ly/3qTbjvp
* L’app per computer permette ad altri di accedere ai file sul computer in cui si trova (2020) https://bit.ly/3ngr25A (in inglese)
* L’app Android può essere fatta crashare e perdere tutti i dati con un semplice messaggio (2019) https://bit.ly/34bdQHU
* Telegram
* La versione web era vulnerabile (2017) https://bit.ly/2KoYBDV (in inglese), stesso problema di Whatsapp
* L’app desktop per macOS salva(va?) tutte le chat, anche quelle segrete, in chiaro (2018) https://bit.ly/3gLfK7c (in inglese)
* L’app desktop divulga(va) l’indirizzo IP dei chiamanti anche quando non dovrebbe (2018) https://bit.ly/3ngFCtM (in inglese)
* Account Telegram compromessi (2020) https://bit.ly/3gHMtdj (in inglese)
* Signal
* L’app desktop lascia le chiavi di decrittazione dei messaggi in chiaro (2018) https://bit.ly/37ZZueh (in inglese)
* L’app desktop lascia tutti i messaggi in chiaro sul disco quando si aggiorna (2018) https://bit.ly/382lNjJ (in inglese)
* Bug in Electron rendono l’app desktop vulnerabile (2018, multiple...

Le VPN stanno diventando un po’ come il prezzemolo: sono pubblicizzate ovunque e sembra che una persona non possa vivere senza. Però molti vivono tranquillamente senza prezzemolo, quindi… Sarà così anche per le VPN? Seb e io discuteremo di come funzionano, a cosa servono veramente e se possiamo (o dobbiamo) credere a come vengono pubblicizzate.

🔗 LINK DELLA PUNTATA
* I servizi VPN di cui avete sicuramente visto qualche spot:
* NordVPN https://bit.ly/2Vot5bK forse la più rispettabile e conosciuta; basata a Panama, non tiene log e fa periodici audit per testimoniarlo. Ha un warrant canary.
* ExpressVPN https://bit.ly/2HWwpYi basata nelle Isole Vergini Britanniche, non tengono log. Hanno fatto un audit nel 2019, ma non ancora nel 2020. Non hanno un warrant canary.
* Surfshark https://bit.ly/37sDskj basata nelle Isole Vergini Britanniche, non tengono log. Hanno fatto un audit nel 2018. Hanno un warrant canary.
* Cos’è una VPN https://bit.ly/3fWZMq2
* Warrant canary (in inglese) https://bit.ly/3mtVAk7
* I “Five Eyes”, “Nine Eyes”, “Fourteen Eyes” & co https://bit.ly/2VkBNaV
* Cos’è un audit https://bit.ly/3lplZ0Z
* Tom Scott spiega perché le pubblicità delle VPN siano ingannevoli (in inglese) https://bit.ly/3lsiI0T
* Cos’è Tor https://bit.ly/3g29B63
* Perché non ci si può fidare ciecamente delle VPN https://bit.ly/2VrwqXa
* Perché non ci può assolutamente fidare delle VPN gratuite https://bit.ly/37qbOnP

Dopo due puntate su temi caldi di questo periodo, questa puntata è su un argomento sempreverde: lo spam, ed in particolare, il phishing. Quali sono i vari tipi di posta indesiderata che troviamo nella nostra casella email? Che differenza c’è tra spam e phishing?

Ogni giorno criminali e malintenzionati si intrufolano nella nostra posta elettronica con messaggi sempre più credibili, tentando di rubare accesso ai nostri account — ed ai nostri soldi. Capiamo insieme come riconoscerli, come difendersi, e cosa fare se dovessimo cadere vittima di uno di questi attacchi.


🔗 LINK DELLA PUNTATA
* Il phishing spiegato su Wikipedia https://bit.ly/2Q8oN5E
* Lo spam, spiegato su Wikipedia https://bit.ly/36u1jiU
* Lo sketch dei Monty Python sullo Spam (in inglese) https://bit.ly/3pgWPVu
* Una revisione da uno spettacolo teatrale, con sottotitoli in italiano https://bit.ly/3ljHbGE
* Informazioni su Wikipedia https://bit.ly/3neSoZv
* La truffa del principe nigeriano https://bit.ly/2IhIBTT
* Catfishing, le truffe sentimentali https://bit.ly/3nezRfM
* L’ingegneria sociale https://bit.ly/2Itwy5H
* Phishing e come difendersi https://bit.ly/2IrdNzN

Sull'onda della puntata precedente, in cui abbiamo affrontato il tema tanto attuale quanto spinoso di Immuni, questa volta ci dedichiamo (senza arrabbiarci troppo, se ci riusciamo) ad un altro argomento molto "caldo": il 5G.

Velocità pazzesche, strumento di controllo, internet delle cose, antenne che ci fanno ammalare – se ne sentono dire tante sul Cinque Gi, ma cosa è vero e cosa è una Vaccata Atomica™? Scopritelo con noi, vedremo come funzionano davvero il 5G ed i cellulari, e di cosa siano capaci le trasmissioni senza fili.

Preparate il vostro cappellino di carta stagnola, si parte per un’altra puntata di sbufalamento!


🔗 LINK DELLA PUNTATA
* 5G in Italia - https://bit.ly/35ZEUdg
* Lo spettro elettromagnetico - https://bit.ly/3639Edc
* No alle emissioni del 4G - https://bit.ly/38lt2Fl
* 5G e salute - https://bit.ly/2TMMDWp
* ICNIRP – https://bit.ly/360Bgj5
* I comuni italiani contro il 5G - https://bit.ly/3mP6yAu
* 5G non fa male - https://bit.ly/367nWK6
* Infografica su correlazione e causalita’ - https://bit.ly/3oTFlyl
* Studio dell’Istituto Ramazzini su onde elettromagnetiche e tumori - https://bit.ly/3enJMwl
* … con relativo spiegone - https://bit.ly/3mQsevX
* 5G e’ sicuro (in inglese) https://bit.ly/2TSjIjK
* La verita’ sul 5G (in inglese) - https://bit.ly/3enHM7h
* Lista delle generazioni di comunicazione mobile (in inglese, ma su Wikipedia.it trovate le singole generazioni in italiano) - https://bit.ly/386pZ3p
* Numero di pirati nel mondo e il cambiamento climatico - https://bit.ly/2HYqaTt
* Morti affogati in piscina e i film di Nicolas Cage - https://bit.ly/3mNDEjX

Immuni, l’app che molti amano malignare. Teorie di complotto, sarcasmo sul flop di adozione del pubblico, generale mancanza di fiducia nella pubblica amministrazione. Ma cosa fa davvero Immuni? È vero che ci sono rischi per la privacy, che lo Stato o le aziende possono usare l’app per scoprire dove andiamo e chi vediamo, o se siamo infetti? È vero che non serve a nulla, che le informazioni raccolte sono inaccurate?

La risposta a queste domande non dovrebbe stupirvi, ma di questi tempi la disinformazione è rampante e Lo Spiegone è qui per porvi rimedio!

🚨Aggiornamento dell'ultim'ora!
Da quando questa puntata è stata registrata, ci sono stati due sviluppi importanti. Il primo è che l'integrazione a livello europeo di Immuni è ufficialmente iniziato con le app di Germania ed Irlanda, con altre a seguire nelle prossime settimane. La seconda novità è che si è scoperto diverse regioni governate dal centrodestra hanno intenzionalmente tardato ad attivare le procedure di segnalazione della positività tramite Immuni. Il decreto del 18 Ottobre obbliga queste regioni ad avviare le procedure immediatamente — il Veneto dovrebbe averlo fatto il 19, altre regioni nei giorni a seguire. Al solito, link ed approfondimenti qui sotto.

🔗 LINK DELLA PUNTATA
* Sito di Immuni https://bit.ly/330lq89
* Domande frequenti https://bit.ly/33PULKo
* Installare su Android https://bit.ly/3mHrhXL
* Installare su iOS https://apple.co/3mKOFDE
* Numero verde per il supporto: 800 912491 (tutti i giorni, dalle 7 alle 22)
* Documentazione dell’infrastruttura ed app Immuni (in inglese): https://bit.ly/366Psch
* Codice sorgente app e server Immuni https://bit.ly/3kAHM5Q
* Notifiche di esposizione
* Documentazione di Google https://bit.ly/2RSEq1K
* Rischi e mitigazioni del protocollo (in inglese) https://bit.ly/304tsuB
* Documentazione di Apple (in inglese): https://apple.co/35XaY33
* Un ottimo riassunto della situazione di Immuni https://bit.ly/2ROsAFW
* Immuni presa in carico da Bending Spoons a Sogei/PagoPA https://bit.ly/2SObnwX
* Utilizzare il Bluetooth per determinare la prossimità ad un altro dispositivo (in inglese) https://bit.ly/2ZZWfAq
* Utilizzo di Immuni regione per regione https://bit.ly/33RqE5g
* Miti e leggende sfatati
* “Prigionieri” dell’app? https://bit.ly/32V9mox
* Il telefono mi spia! https://bit.ly/360aN6Z
* Serve che l’app sia usata da almeno il 60% della popolazione (in inglese) https://bit.ly/2G2CvoR e https://bit.ly/32V9qEN
* La lista Immuni https://bit.ly/3lwjuKT, editoriale di Massimo Mantellini su Il Post
* Studi su sicurezza e privacy sono stati fatti dal team del DP^3T, il gruppo che ha proposto lo standard di exposure notification incentrato sulla privacy, utilizzato da Apple e Google
* Analisi di sicurezza (in inglese) https://bit.ly/3kzkvRU
* Esperimenti di stima ed...

Dopo aver visto cosa sono i password manager e, speriamo, avervi convinti ad usarli ed adottare un sano livello di sicurezza per le vostre password, siamo qui di nuovo a chiedervi un ultimo sforzo. Vi spiegheremo perché usare un password manager e password univoche e sicure sia solo metà del lavoro, e come con poco sforzo possiate rendere i vostri account veramente sicuri usando l'autenticazione multifattore. Vedremo come questa parola altisonante in realtà indichi un concetto abbastanza semplice e molto importante, quali siano i vari tipi di autenticazione multifattore che esistono, e come sia una cosa che siamo tutti già inconsapevolmente abituati ad usare quotidianamente.


🔗 LINK DELLA PUNTATA
* HaveIBeenPwnd — https://bit.ly/2Y5W8Cz
* Firefox Monitor — https://bit.ly/2Ye2eAS
* L’autenticazione a due fattori, spiegata da Wikipedia — https://bit.ly/317D3BT
* Cos’è e come difendersi dal SIM Swapping — https://bit.ly/3iYs7wx
* Cos’è il phishing — https://bit.ly/2Q8oN5E
* Cos’è il requisito di “autenticazione forte” della normativa europea PSD2 — https://bit.ly/2YeZMdw
* Lista di istruzioni su come abilitare l’autenticazione a due fattori su molti siti — https://bit.ly/2Q3v6qX (in inglese)
* App di autenticazione 2FA
* Google Authenticator — https://bit.ly/324ppOZ
* Authy — https://bit.ly/3aFaJd5 (in inglese)
* Duo Mobile — https://duo.sc/3kSxHSO (in inglese)
* Marche note di token:
* Yubico — https://bit.ly/3aMRhLP
* Per computer e Android: https://amzn.to/2EaYb19 (USB-A ed NFC — 23€) o https://amzn.to/315wJKY (USB-C — 60€) o https://www.yubico.com/product/yubikey-5c-nfc (USB-C ed NFC — 50€ circa)
* Per iPhone: https://amzn.to/2CGKBSI (USB-C e Lightning — 75€)
* Google — https://bit.ly/31YB9Tg
* Set USB-A/NFC + Bluetooth (55€)
* USB-C (45€) — è identica alla Yubikey USB-C e costa 15€ in meno (prodotta da Yubikey per Google)

Nota: se acquistate prodotti usando i link Amazon qui sopra noi guadagniamo una piccola commissione. La cosa non influenza assolutamente quello che diciamo né cosa vi consigliamo, ed è un modo per aiutarci a pagare le spese che sosteniamo senza nessun costo per voi.

In questo episodio vedremo quali sono i problemi con il riuso delle password, cosa sono i password manager (in italiano, gestori di password), a cosa servono, e perché sono il metodo raccomandato per memorizzare le nostre password in sicurezza.

🔗LINK DELLA PUNTATA

Le password più usate dagli italiani (in inglese)
https://bit.ly/3azYI8M

Le password più usate nel mondo (in inglese)
https://bit.ly/2Q4xtKi

Pro e contro della rotazione delle password (in inglese)
https://bit.ly/2Q4xHRE

Come ruotare le password in maniera sicura, se proprio non si può farne a meno
https://bit.ly/34aNrdS

Password manager: cosa sono, quali sono i migliori, come usarli e perché
https://bit.ly/2Q3XngY

Have I Been Pwned? [Sono stato hackerato?] (in inglese)
https://bit.ly/2Y5W8Cz

Password manager:
• Lastpass https://bit.ly/2Y8T8Fi (ha versione gratuita, a pagamento e piano famiglia)
• 1Password https://bit.ly/2E2kFl7 (a pagamento, ha piano famiglia)
• Dashlane https://bit.ly/316wFuI (ha versione gratuita, a pagamento e piano famiglia)
• Enpass https://bit.ly/3aA3xyV (in inglese; gratis su computer, a pagamento su Android ed iOS, non ha piano famiglia, la sincronizzazione tra dispositivi dovete gestirla voi tramite Dropbox/Google Drive, ...)
• Bitwarden https://bit.ly/3g95Hqt (in inglese; ha versione gratuita, a pagamento e piano famiglia)
• KeePass https://bit.ly/2EaCUo7 (sito in inglese; totalmente gratuito, la sincronizzazione tra dispositivi dovete gestirla voi)

Nota su 1Password: anche per questo password manager, volendo, e' possibile disattivare la sincronizzazione coi server di AgileBits e gestirsi la sincronizzazione manualmente. In generale, fare la sincronizzazione a mano con servizi cloud come Dropbox non e' ne' piu' ne' meno sicuro che usare la sincronizzazione integrata nel password manager, se implementate correttamente.

In questo primo episodio parleremo di un tema sempre controverso: Facebook. L'azienda ed il social network sono spesso al centro di polemiche per il loro spregiudicato uso dei dati personali dei loro utenti, ma perché li raccolgono e come fa soldi Facebook?

🔗 LINK DELLA PUNTATA

La storia di Facebook e Cambridge Analytica
https://bit.ly/305sa1t
https://bit.ly/32aDeNK

Documentario di Netflix “The Great Hack”
https://bit.ly/3elERdY

Timeline degli scandali che hanno coinvolto Facebook da Cambridge Analytica ad oggi (in inglese)
https://bit.ly/305suxd

Facebook soffre un altro data breach a fine 2019: dati personali di 267 milioni di utenti compromessi
https://bit.ly/38NpkCx

Facebook cerca di comprare malware da una losca azienda israeliana di cybersicurezza, NSO Group
https://bit.ly/38PhOXz

Facebook paga utenti per spiare tutto ciò che fanno sul loro telefono
https://bit.ly/2ZlzM0L

🤗 RINGRAZIAMENTI

Grazie mille a Lorro e Sam per i consigli ❤️ ed a tutti quelli che ci hanno dato feedback

Sebastiano e Sebastiano presentano: Lo Spiegone, un podcast che spiega l'impatto che sicurezza, privacy ed informatica hanno nella vita di tutti i giorni.

Prossimamente su questi scher... err, cuffie. O casse.