Return to Video

Che cosa dovete sapere sugli stalkerware

  • 0:01 - 0:06
    Vorrei portarvi con me indietro nel tempo,
  • 0:06 - 0:09
    al tempo di prima, al 2017.
  • 0:09 - 0:11
    Non so se vi ricordate,
  • 0:11 - 0:13
    i dinosauri vagavano sulla Terra.
  • 0:13 - 0:15
    Ero una ricercatrice di sicurezza,
  • 0:15 - 0:17
    avevo passato cinque o sei anni
  • 0:17 - 0:20
    a studiare come gli attacchi ATP,
  • 0:20 - 0:25
    che sta per
    "minacce persistenti avanzate",
  • 0:25 - 0:29
    vale a dire chi lavora per lo Stato,
  • 0:29 - 0:33
    spiano giornalisti e attivisti,
  • 0:33 - 0:35
    avvocati e scienziati
  • 0:35 - 0:39
    e in generale chiunque parli
    con franchezza in faccia ai potenti.
  • 0:39 - 0:41
    Ci stavo lavorando da un po'
  • 0:41 - 0:45
    quando scoprii
    che un mio collega ricercatore,
  • 0:45 - 0:48
    con cui avevo lavorato
    per tutto quel tempo,
  • 0:48 - 0:53
    era un presunto stupratore seriale.
  • 0:55 - 0:57
    Per prima cosa
  • 0:57 - 1:00
    lessi un sacco di articoli al riguardo.
  • 1:00 - 1:03
    Poi a gennaio 2018,
  • 1:03 - 1:08
    lessi un articolo riguardante
    alcune sue presunte vittime.
  • 1:08 - 1:12
    E una delle cose che mi colpì di più
    di quell'articolo
  • 1:12 - 1:14
    era quanto fossero spaventate.
  • 1:14 - 1:16
    Erano davvero terrorizzate,
  • 1:16 - 1:21
    avevano coperto col nastro adesivo
    la fotocamera del telefono
  • 1:21 - 1:22
    e del portatile,
  • 1:22 - 1:25
    e ciò che le preoccupava
    era che lui era un hacker
  • 1:25 - 1:27
    e avrebbe hackerato le loro cose
  • 1:27 - 1:29
    rovinandogli la vita.
  • 1:29 - 1:32
    Per questo avevano taciuto a lungo.
  • 1:32 - 1:36
    Ero su tutte le furie.
  • 1:37 - 1:41
    Non volevo che nessuno
    si sentisse mai più in quel modo.
  • 1:41 - 1:44
    Così feci quello che faccio di solito
    quando mi arrabbio:
  • 1:44 - 1:45
    scrissi un tweet.
  • 1:45 - 1:47
    (Risate)
  • 1:47 - 1:49
    E nel tweet scrissi:
  • 1:49 - 1:53
    "Se sei stata abusata sessualmente
    da un hacker
  • 1:53 - 1:56
    che ha minacciato di intrufolarsi
    nei tuoi dispositivi,
  • 1:56 - 1:58
    contattami pure
  • 1:58 - 2:00
    e cercherò di fare in modo
  • 2:00 - 2:05
    che il tuo dispositivo riceva
    un controllo completo, una perizia".
  • 2:05 - 2:07
    E poi andai a pranzo.
  • 2:07 - 2:09
    (Risate)
  • 2:10 - 2:12
    Diecimila retweet dopo,
  • 2:12 - 2:13
    (Risate)
  • 2:13 - 2:17
    avevo inavvertitamente
    avviato un progetto.
  • 2:18 - 2:23
    Così ogni mattina mi alzavo
    e trovavo la casella di posta piena.
  • 2:23 - 2:28
    Piena di storie di uomini e donne
  • 2:28 - 2:33
    che mi raccontavano la cosa peggiore
    che gli fosse mai capitata.
  • 2:33 - 2:38
    Mi contattavano donne
    spiate da uomini,
  • 2:38 - 2:40
    uomini spiati da uomini,
  • 2:40 - 2:42
    donne spiate da donne,
  • 2:42 - 2:45
    ma nella maggioranza dei casi
  • 2:45 - 2:49
    erano donne che erano state
    abusate sessualmente da uomini
  • 2:49 - 2:51
    i quali ora le stavano spiando.
  • 2:51 - 2:53
    Un caso particolarmente interessante
  • 2:53 - 2:55
    riguardava un uomo rivoltosi a me
  • 2:55 - 3:00
    perché il suo ragazzo
    aveva rivelato che era gay
  • 3:00 - 3:04
    alla sua famiglia coreana
    ultraconservatrice.
  • 3:04 - 3:09
    Quindi non è solo una questione
    di uomini che spiano le donne.
  • 3:10 - 3:13
    E io sono qui per condividere
  • 3:13 - 3:16
    quello che ho imparato
    da quest'esperienza.
  • 3:17 - 3:20
    Ovvero che c'è una fuga di dati.
  • 3:20 - 3:22
    Come con l'acqua.
  • 3:22 - 3:24
    Arriva dove non vorresti.
  • 3:24 - 3:25
    Fughe umane.
  • 3:25 - 3:27
    Gli amici rivelano informazioni su di noi.
  • 3:27 - 3:30
    La famiglia rivela informazioni su di noi.
  • 3:30 - 3:32
    Andate a una festa,
  • 3:32 - 3:35
    qualcuno tra i presenti vi tagga.
  • 3:35 - 3:36
    Ecco uno dei modi
  • 3:36 - 3:39
    in cui i molestatori
    raccolgono informazioni private
  • 3:39 - 3:41
    che non vorremmo sapessero.
  • 3:41 - 3:46
    Capita che un molestatore
    vada da amici e parenti
  • 3:46 - 3:49
    a chiedere informazioni sulle vittime
  • 3:49 - 3:52
    con la scusa di interessarsi
    alla loro "salute mentale".
  • 3:53 - 3:56
    Tra le falle che ho visto
  • 3:56 - 4:00
    c'era quella che di fatto chiamiamo
    compromissione dell'account.
  • 4:00 - 4:03
    Il vostro account Gmail,
  • 4:03 - 4:06
    l'account Twitter,
  • 4:06 - 4:08
    l'account Instagram,
  • 4:08 - 4:10
    l'iCloud,
  • 4:10 - 4:12
    l'ID Apple,
  • 4:12 - 4:13
    Netflix, TikTok,
  • 4:13 - 4:15
    ho dovuto scoprire cosa fosse TikTok.
  • 4:16 - 4:18
    Dove c'era un login,
  • 4:18 - 4:21
    ho visto una compromissione.
  • 4:21 - 4:25
    La ragione è che non sempre
    ad approfittare del vostro account
  • 4:25 - 4:26
    è un molestatore.
  • 4:26 - 4:30
    È molto comune che in una relazione
    si condividano le password.
  • 4:30 - 4:32
    Inoltre, le persone molto intime,
  • 4:32 - 4:34
    che sanno molto l'una dell'altra,
  • 4:34 - 4:36
    possono indovinare
    le domande di sicurezza.
  • 4:36 - 4:39
    O possono sbirciare da dietro
  • 4:39 - 4:42
    per vedere il codice usato
    per bloccare il telefono.
  • 4:42 - 4:44
    Spesso hanno accesso fisico al telefono
  • 4:44 - 4:47
    o hanno accesso fisico al portatile.
  • 4:47 - 4:51
    E questo dà loro un sacco di opportunità
  • 4:51 - 4:54
    per compiere azioni negli account altrui,
  • 4:54 - 4:56
    il che è molto pericoloso.
  • 4:56 - 4:59
    Per fortuna esiste un consiglio
  • 4:59 - 5:01
    su come bloccare l'account in sicurezza.
  • 5:01 - 5:05
    Il consiglio esiste già
    e si riduce a questo:
  • 5:05 - 5:10
    usate password sicure e uniche
    per ciascun account.
  • 5:12 - 5:15
    Usate altre password sicure e uniche
  • 5:15 - 5:18
    come risposte alle domande di sicurezza,
  • 5:18 - 5:22
    così che chi conosce il nome dell'animale
    che avevate da bambini
  • 5:22 - 5:24
    non possa reimpostare la password.
  • 5:25 - 5:29
    E infine, attivate il più alto livello
    di autenticazione a due fattori
  • 5:29 - 5:31
    che vi risulti comodo usare.
  • 5:31 - 5:35
    Così che anche se un molestatore
    riuscisse a rubarvi la password,
  • 5:35 - 5:37
    non avendo il secondo fattore,
  • 5:37 - 5:40
    non sarà in grado di accedere
    al vostro account.
  • 5:40 - 5:42
    Un'altra cosa che dovreste fare
  • 5:42 - 5:47
    è controllare la scheda
    "Sicurezza e privacy"
  • 5:47 - 5:48
    dei vostri account.
  • 5:48 - 5:52
    La maggior parte degli account
    ha questa scheda
  • 5:52 - 5:55
    che vi mostra i dispositivi connessi,
  • 5:55 - 5:58
    e vi dice da dove si stanno connettendo.
  • 5:58 - 6:00
    Per esempio, eccomi qui,
  • 6:00 - 6:02
    collegata a Facebook da La Quinta,
  • 6:02 - 6:03
    dove si sta svolgendo quest'incontro,
  • 6:03 - 6:05
    e, se per esempio,
  • 6:05 - 6:08
    dessi un'occhiata
    ai miei accessi a Facebook
  • 6:08 - 6:10
    e ne vedessi uno da Dubai,
  • 6:10 - 6:12
    la cosa sarebbe sospetta,
  • 6:12 - 6:15
    perché non ci vado da un po'.
  • 6:16 - 6:19
    Ma qualche volta
    si tratta davvero di un RAT.
  • 6:19 - 6:22
    Se per RAT intendete
    "strumento di accesso remoto".
  • 6:22 - 6:25
    E tale strumento
  • 6:25 - 6:30
    è essenzialmente quello che intendiamo
    dicendo stalkerware.
  • 6:30 - 6:34
    Così, una delle ragioni per cui
    l'accesso completo a un dispositivo
  • 6:34 - 6:36
    è davvero allettante per i governi
  • 6:36 - 6:39
    è la stessa per cui il pieno accesso
    al vostro dispositivo
  • 6:39 - 6:44
    è allettante per partner violenti ed ex.
  • 6:45 - 6:49
    Andiamo in giro
    con dei localizzatori in tasca.
  • 6:49 - 6:53
    Ci portiamo dietro dispositivi
    che contengono tutte le nostre password,
  • 6:53 - 6:55
    le nostre comunicazioni,
  • 6:55 - 6:58
    inclusi i messaggi privati criptati.
  • 6:58 - 7:01
    Tutte le email, tutti i contatti,
  • 7:01 - 7:05
    tutti i selfie,
    è tutto nello stesso posto,
  • 7:05 - 7:08
    spesso perfino le informazioni economiche.
  • 7:08 - 7:11
    E così, il pieno accesso
    al telefono di qualcuno
  • 7:11 - 7:16
    diventa l'alternativa migliore
    al pieno accesso della sua mente.
  • 7:16 - 7:22
    E quello che fa uno stalkerware
    è darvi quest'accesso.
  • 7:22 - 7:25
    Vi chiederete come funzioni.
  • 7:25 - 7:27
    Beh, uno stalkerware
  • 7:27 - 7:31
    è un programma disponibile in commercio,
  • 7:31 - 7:34
    che un molestatore compra,
  • 7:34 - 7:37
    installa sul dispositivo che vuole spiare,
  • 7:37 - 7:40
    di solito perché ne ha accesso fisico
  • 7:40 - 7:45
    o può raggirare la vittima
    perché lo installi lei stessa,
  • 7:45 - 7:46
    dicendo, magari:
  • 7:46 - 7:50
    "È un programma davvero importante,
    dovresti installarlo sul tuo dispositivo".
  • 7:50 - 7:54
    E poi paga la società dello stalkerware
  • 7:54 - 7:57
    per accedere a un portale
  • 7:57 - 8:00
    che raccoglie tutte le informazioni
    contenute nel dispositivo.
  • 8:00 - 8:04
    Di solito costa qualcosa tipo
    40 dollari al mese.
  • 8:04 - 8:07
    Quindi questo tipo di spionaggio
    è davvero a buon mercato.
  • 8:10 - 8:12
    Ma queste società lo sanno
  • 8:12 - 8:16
    che i loro strumenti
  • 8:16 - 8:19
    vengono usati impropriamente?
  • 8:19 - 8:20
    Certo.
  • 8:20 - 8:23
    Se date un'occhiata al copy
    pubblicitario di Cocospy,
  • 8:23 - 8:24
    uno di questi prodotti,
  • 8:24 - 8:28
    proprio nel sito dice
  • 8:28 - 8:31
    che Cocospy ti consente
    di spiare tua moglie facilmente;
  • 8:31 - 8:34
    "Non devi preoccuparti di dove va,
  • 8:34 - 8:37
    con chi parla o quali siti visita".
  • 8:37 - 8:38
    Mette i brividi.
  • 8:39 - 8:42
    HelloSpy, un altro di questi prodotti,
  • 8:42 - 8:45
    aveva un sito in cui
    la maggior parte del copy era dedicata
  • 8:45 - 8:48
    a parlare del tasso di tradimenti
  • 8:48 - 8:52
    e di quanto sia importante beccare
    chi tradisce,
  • 8:52 - 8:54
    mostrando questa bell'immagine di un uomo
  • 8:54 - 8:57
    che ha chiaramente appena beccato
    la partner a tradirlo
  • 8:57 - 8:58
    e l'ha picchiata.
  • 8:58 - 9:01
    Ha un occhio nero
    e la faccia insanguinata.
  • 9:01 - 9:05
    E non penso ci siano davvero molti dubbi
  • 9:05 - 9:10
    su da che parte stia HelloSpy
    in questo caso specifico.
  • 9:10 - 9:13
    E a chi stiano cercando di vendere
    il proprio prodotto.
  • 9:14 - 9:20
    Si è scoperto che avere o no
    uno stalkerware sul telefono o sul pc,
  • 9:20 - 9:25
    non è affatto semplice da capire.
  • 9:25 - 9:26
    E uno dei motivi
  • 9:26 - 9:29
    è che le società di antivirus
  • 9:29 - 9:36
    spesso non riconoscono
    lo stalkerware come malevolo.
  • 9:36 - 9:38
    Non lo riconoscono come un trojan
  • 9:38 - 9:41
    o come le altre cose
    per le quali normalmente trovereste
  • 9:41 - 9:42
    degli avvisi da parte loro.
  • 9:42 - 9:46
    Ecco alcuni risultati di inizio anno
    forniti da VirusTotal.
  • 9:46 - 9:49
    Credo che per un campione
    che ho analizzato
  • 9:49 - 9:52
    ho trovato tipo 7 piattaforme su 60
  • 9:52 - 9:57
    che hanno identificato
    lo stalkerware che stavo testando.
  • 9:57 - 10:01
    E qui ce n'è un altro
    in cui sono riuscita a ottenere 10,
  • 10:01 - 10:02
    10 su 61.
  • 10:02 - 10:06
    Si tratta di risultati
    ancora davvero pessimi.
  • 10:08 - 10:11
    Sono riuscita a convincere
    un paio di società di antivirus
  • 10:11 - 10:14
    a iniziare a segnalare
    gli stalkerware come malevoli.
  • 10:14 - 10:16
    Così tutto ciò che dovete fare
  • 10:16 - 10:19
    se temete di averne uno sul computer
  • 10:19 - 10:22
    è scaricare il programma,
  • 10:22 - 10:24
    eseguire una scansione che avverte:
  • 10:24 - 10:28
    "Ehi, sul tuo dispositivo c'è un
    programma potenzialmente indesiderato".
  • 10:28 - 10:30
    Ti fornisce l'opzione di eliminarlo,
  • 10:30 - 10:32
    ma non lo fa automaticamente.
  • 10:32 - 10:34
    E una delle ragioni di questa scelta
  • 10:34 - 10:36
    è il modo in cui funziona la molestia.
  • 10:36 - 10:39
    Spesso le vittime di abuso non sono sicure
  • 10:39 - 10:41
    di voler allertare o meno
    il loro molestatore
  • 10:41 - 10:43
    bloccandogli l'accesso.
  • 10:43 - 10:49
    O sono preoccupate che le molestie
    degenerino in violenza
  • 10:49 - 10:52
    o forse anche in una violenza maggiore
  • 10:52 - 10:54
    di quella in cui sono già coinvolte.
  • 10:56 - 10:58
    Kaspersky è stata una delle prime società
  • 10:58 - 11:01
    a dire che avrebbero iniziato
    a prendere la cosa sul serio.
  • 11:01 - 11:05
    E a novembre di quest'anno
  • 11:05 - 11:07
    hanno pubblicato un rapporto che diceva
  • 11:07 - 11:11
    che dall'inizio delle rilevazioni
    sugli stalkerware tra i loro utenti
  • 11:11 - 11:16
    hanno visto un aumento del 35%.
  • 11:18 - 11:21
    Parimenti, Lookout se n'è uscito
    con una dichiarazione
  • 11:21 - 11:24
    dicendo che avrebbero preso la questione
    molto più seriamente.
  • 11:24 - 11:28
    E infine, pure la società Malwarebytes
    ha dichiarato
  • 11:28 - 11:33
    di aver trovato 2.500 programmi,
  • 11:33 - 11:35
    durante la fase di ricerca,
  • 11:35 - 11:38
    che potevano essere classificati
    come stalkerware.
  • 11:39 - 11:45
    Infine, a novembre ho contribuito
    al lancio di una coalizione,
  • 11:45 - 11:48
    la Coalition Against Stalkerware,
  • 11:48 - 11:52
    formata da accademici,
  • 11:52 - 11:55
    gente che sta lavorando
    a questo genere di cose sul campo,
  • 11:55 - 12:01
    specialisti che aiutano le persone
    a fuggire dalla violenza domestica,
  • 12:02 - 12:04
    e società di antivirus.
  • 12:04 - 12:10
    E il nostro obiettivo è sia quello
    di educare le persone su questi programmi,
  • 12:10 - 12:13
    sia quello di convincere
    le società di antivirus
  • 12:13 - 12:15
    a cambiare la prassi
  • 12:15 - 12:20
    con cui agiscono nei confronti
    di questi software davvero spaventosi,
  • 12:20 - 12:23
    così che presto, se vi avrò davanti
  • 12:23 - 12:25
    per riparlarne il prossimo anno,
  • 12:25 - 12:28
    potrei dirvi
    che il problema è stato risolto,
  • 12:28 - 12:31
    che tutto quello che dovete fare
    è scaricare un antivirus qualsiasi
  • 12:31 - 12:35
    e che è normale
    che questo rilevi lo stalkerware.
  • 12:35 - 12:37
    È il mio auspicio.
  • 12:37 - 12:38
    Grazie infinite.
  • 12:38 - 12:43
    (Applausi)
Title:
Che cosa dovete sapere sugli stalkerware
Speaker:
Eva Galperin
Description:

“Il pieno accesso al telefono di una persona è la migliore alternativa al pieno accesso alla sua mente” dice Eva Galperin, esperta di sicurezza informatica. In questo intervento urgente, descrive il crescente pericolo degli stalkerware, software progettati per spiare qualcuno attraverso l’accesso ai suoi dispositivi senza che questi ne sia a conoscenza, ed esorta le società di antivirus a riconoscere questi programmi come malevoli al fine di scoraggiare i molestatori e proteggere le vittime.
more » « less
Video Language:
English
Team:
closed TED
Project:
TEDTalks
Duration:
12:56

Italian subtitles

Revisions

Our website uses cookies for analysis purposes.