Albert Rivera e WhatsApp. Questo è ciò che possiamo imparare

Quello che è successo con Albert Rivera e WhatsApp mostra ancora due cose; i politici non sanno nulla di tecnologiae giornalisti, nessuno dei due.

Inizierò chiarendo che sono argentino e vivo in Argentina. Ne ho abbastanza della situazione politica nel mio paese per occuparmi dei politici spagnoli. L'obiettivo di questo post non è squalificare o difendere il signor Rivera, è educare in modo che la stessa cosa non accada ad altre persone.

Crittografia WhatsApp e lucchetto indiano

Peter Drucker È stato uno dei più importanti specialisti nelle organizzazioni del XX secolo. Uno dei miei insegnanti lo confrontava con altri specialisti con la frase:

Peter Drucker ha lavorato con le più importanti aziende del mondo, il resto letto nelle biblioteche delle più importanti università del mondo.

Drucker dice che uno dei suoi primi lavori (negli anni '20) era in un'azienda che esportava in India. Il prodotto di maggior successo è stato un semplicissimo lucchetto, un modello molto facile da aprire anche senza chiave.

L'azienda ha deciso di commercializzare un modello migliore, che resistesse a qualsiasi tentativo di apertura non autorizzato. È stato un fallimento.

Quando sono andati a indagare hanno scoperto che il lucchetto, per gli indù meno istruiti, era un simbolo magico. Bastava vedere il lucchetto su una porta perché nessuno osava entrare senza autorizzazione.

Il nuovo modello era troppo costoso e troppo complesso per l'industria che ha acquistato l'altro modello. E anche inutile, poiché la protezione richiesta era psicologica.

Ovviamente bastava qualcuno meno superstizioso per far sparire quel vantaggio.

In questo caso stavamo parlando di persone non istruite. Ma quando si parla di tecnologia, ci sono persone con un buon livello di formazione a cui capita. Una fiducia cieca e irrazionale nella tecnologia che ti fa dimenticare le precauzioni elementari.

E prima di cadere al signor Rivera, ricordiamoci che all'interno della comunità Linux viene spesso ripetuto il mantra che "sono protetto dagli attacchi del computer perché uso Linux"

Albert Rivera e WhatsApp. Questo è quello che è successo

Gli sviluppatori di WhatsApp vogliono la loro applicazione deve essere utilizzato con un telefono mobile. Anche le applicazioni desktop necessitano del cellulare per accedervi leggendo un codice QR.

Allora, l'applicazione non deve essere necessariamente installata sul cellulare. Per anni ho usato WhatsApp su un tablet Android senza funzionalità telefoniche. Hai solo bisogno di un cellulare in grado di ricevere un SMS e una connessione wireless.

La procedura per accedere all'account di Rivera è stata la seguente:

• Persona / e sconosciuta / e segnalata a WhatsApp che il numero di cellulare utilizzato da Rivera è stato usurpato.
• WhatsApp ha inviato Rivera un SMS con un codice di verifica per convalidare la sua proprietà.
• La persona sconosciuta, fingendosi WhatsApp, glielo ha chiestoInvia il codice di verifica tramite sms.

Differenze tra hacking e phishing

Ed ecco perché ho parlato all'inizio dell'ignoranza del giornalismo. Rivera non è stato hackerato, è stato vittima di pishing.

In breve:

hacking: È l'uso di tecniche informatiche per ottenere l'accesso non autorizzato a sistemi o informazioni.

Phishing: È impersonare un'istituzione o una persona per indurre la vittima a fornire volontariamente informazioni private.

Sebbene entrambe le pratiche siano modi per ottenere informazioni, differiscono nella scelta del metodo utilizzato. Nel phishing un utente viene ingannato con un'e-mail, una telefonata o forse un messaggio di testo e tu lo convince a convincerlo a rispondere "volontariamente"con informazioni. Ottenere informazioni non è più complicato che far sembrare un'e-mail o un sito Web abbastanza ufficiali da indurre in errore la vittima.

In un trucco, le informazioni vengono estratte inavvertitamente, che costringe l'autore a prendere il controllo del proprio sistema informatico, con la forza bruta o metodi più sofisticati, per accedere a dati riservati.

In realtà, entrambe le tecniche sono spesso combinate.

Anni fa, il gestore dei contenuti di Joomla aveva un bug che consentiva l'accesso ai server su cui erano installati. Qualcuno ha utilizzato l'installazione di uno dei miei clienti per creare una falsa pagina di home banking della Bank Of America. Ha quindi inviato e-mail a una mailing list con un collegamento a quella pagina camuffato da e-mail ufficiale della banca.

Ho finito per dover cancellare il dominio perché per mesi gli addetti alla sicurezza della banca hanno monitorato continuamente il server, consumando la larghezza di banda.

Lì ho imparato non solo a verificare i link che mi arrivano per posta, a controllare periodicamente ciascuno dei file che ho ospitato sui miei server e ad assicurare l'identità dei miei interlocutori con altri mezzi.