LinkedIn diventa serio sul video con l'integrazione di Vimeo


linkedin vimeo integration pts copy
Vimeo

La piattaforma professionale di social networking LinkedIn sta finalmente portando gli strumenti professionali ai video – lunedì 29 ottobre, Vimeo ha annunciato l'integrazione con LinkedIn. Il lancio è la prima integrazione end-to-end di LinkedIn con qualsiasi piattaforma video, andando oltre gli URL di copia e incolla di base di LinkedIn per la condivisione di video e gli strumenti video per le app mobili.

Con l'integrazione, LinkedIn ottiene caricamenti nativi tramite Vimeo, che entrambe le aziende affermano che possono aumentare la copertura e il coinvolgimento quando pubblicano video sulla rete professionale. Mentre LinkedIn già consentiva agli utenti di aggiungere un video pubblicando un link video a luoghi come profili e timeline, il cambiamento porta diversi strumenti che in precedenza non erano presenti nei video caricati. Gli utenti di Vimeo possono ora trasferire i video su LinkedIn dalla piattaforma Vimeo in un clic, utilizzando la funzionalità Pubblica su social che può anche inviare il video simultaneamente ad altre reti e siti Web aziendali.

Una pubblicazione più semplice non è l'unico vantaggio della nuova integrazione. Gli utenti di Vimeo ora possono vedere l'analisi dei video di LinkedIn per capire meglio come i video vengono eseguiti sulla rete professionale insieme all'impegno di ciascun video ricevuto. I caricamenti destinati a LinkedIn hanno anche accesso alla stessa suite di strumenti di hosting, personalizzazione e monetizzazione su Vimeo.

"Il video è diventato uno dei fattori chiave per il coinvolgimento dei membri su LinkedIn, e le aziende che vogliono iniziare una conversazione con il loro pubblico si rivolgono sempre più ai video della pagina aziendale", ha detto in un comunicato stampa Peter Roybal, principale product manager di LinkedIn. "La nostra nuova integrazione con Vimeo è un passo entusiasmante per chiunque voglia ottenere maggiore visibilità e capire la loro portata al pubblico altamente impegnato di LinkedIn."

Lo strumento per pubblicare direttamente su LinkedIn unisce gli strumenti esistenti per la pubblicazione su Facebook, YouTube e Twitter. L'opzione è disponibile con abbonamenti Vimeo a pagamento.

"Nell'ultimo anno, Vimeo ha investito molto nella costruzione di un centro di distribuzione centrale per la condivisione di contenuti video ovunque e attraverso piattaforme. La nostra funzione Pubblica su social consente a creatori e aziende di raggiungere il pubblico in più luoghi, consentendo al tempo stesso di comprendere meglio le prestazioni video ", ha dichiarato Mark Kornfilt, direttore tecnico di Vimeo. "Siamo entusiasti di essere la prima piattaforma video da integrare con LinkedIn e di estendere questa funzione a una destinazione essenziale per contenuti professionali."










La posta di Pittsburgh Synagogue Shooting Suspect's fa parte di un modello


11 persone erano uccisi e altri sei – tra cui quattro ufficiali di polizia – feriti sabato quando un uomo armato ha aperto il fuoco durante una cerimonia di denominazione per bambini presso la Congregazione dell'albero della vita, una sinagoga di Pittsburgh. Il tiratore, Robert Bowers, 46 anni, si arrese alla polizia e fu portato in ospedale, una consigliera locale disse al Il New York Times. Bowers – che è stato collegato a un account sul sito di social media Gab che ha condiviso messaggi antisemiti – dovrebbe affrontare accuse di crimini di odio. La lega Anti-Defamation ha definito la sparatoria "probabilmente l'attacco più micidiale alla comunità ebraica nella storia degli Stati Uniti".

Gab, un social network relativamente piccolo che afferma di "difendere la libertà individuale e la libera espressione online" ha meno restrizioni su ciò che gli utenti possono pubblicare rispetto a piattaforme come Twitter e Facebook. La sua relativa illegalità lo ha reso un punto di incontro per i suprematisti bianchi e altri membri dell'estrema destra estrema. La rete ha rilasciato una dichiarazione dopo le riprese di sabato che identificava un account che si riteneva appartenesse a Bowers, lo sparatutto della sinagoga. "L'account è stato verificato e ha abbinato il nome del presunto nome del tiratore, che è stato menzionato sugli scanner della polizia", ​​si legge nella dichiarazione. "Questa persona aveva anche account su altri social network". Gab dice che ha preso l'account di Bowers e contattato l'FBI, secondo il post. Paypal ha bandito Gab dalla sua piattaforma di pagamento dopo le riprese di sabato.

Questo è il secondo attacco di questa settimana in cui il perpetratore è stato collegato a account di social media che condividevano le teorie di cospirazione online. Cesar Sayoc, 56 anni, arrestato all'inizio di questa settimana in connessione con 13 ordigni esplosivi inviati a eminenti democratici e CNN, si ritiene abbia usato siti come Twitter per condividere teorie di cospirazione di estrema destra su molte delle persone che ha preso di mira. Questo include George Soros,
un prominente filantropo ebreo che è spesso oggetto di teorie della cospirazione di destra, ripetutamente ripetute dal presidente Trump. Il primo dispositivo scoperto lunedì si trovava nella casa di Soros.

Potrebbe non essere mai del tutto chiaro perché Sayoc e Bowers abbiano scelto di effettuare attacchi violenti. Ma la loro attività sui social media è parte di un più ampio aumento dell'antisemitismo online. Jonathan Albright, ricercatore presso il Tow Center For Digital Journalism della Columbia, ha recentemente trovato un alto volume di contenuti antisemiti su Instagram, sotto hashtag come "#soros". Prima delle elezioni di medio termine, gli estremisti di estrema destra hanno usato l'antisemitismo come punto di discussione sui social media, secondo un rapporto diffuso venerdì dalla Lega anti-diffamazione, un gruppo ebraico per i diritti civili che tiene traccia del bigottismo e dei crimini d'odio. I ricercatori dell'ADL hanno intervistato cinque ebrei americani che sono coinvolti in politica e hanno analizzato oltre 7,5 milioni di tweet, inviati tra il 31 agosto e il 17 settembre di quest'anno. A quel tempo, hanno scoperto che la quantità di linguaggio antisemita era aumentata. "La sfera pubblica online – ora un'arena primaria per la comunicazione sulla politica americana – è diventata progressivamente inospitale per gli ebrei americani", hanno scritto i ricercatori. Hanno anche concluso che la maggior parte dei messaggi antisemiti pubblicati su Twitter provenivano da persone reali, non da robot.

Anche il sentimento anti-ebraico è in aumento in locali online più schizzinosi, tra cui Gab e la bacheca 4Chan, entrambi già noti per ospitare le teorie sull'odio e le teorie cospirative di estrema destra. L'uso del termine "ebreo" e di un insulto per ebrei è aumentato drasticamente su Gab e sul forum di politici politicamente scorretti di 4chan in seguito a eventi politici come le elezioni presidenziali del 2016, l'inaugurazione del presidente Trump e il rally bianco del supremacista del 2017 a Charlottesville, in Virginia. studio condotto dal Network Contagion Research Institute senza scopo di lucro che deve ancora essere sottoposto a peer-review.

Anche l'antisemitismo è in aumento anche nel mondo reale. Le istanze di molestie anti-semitiche, atti di vandalismo e aggressione sono aumentate del 57 per cento dal 2016 al 2017, secondo un rapporto della Anti-Defamation League pubblicato all'inizio di quest'anno. È il più grande salto di un anno che l'ADL ha registrato da quando ha iniziato a raccogliere dati negli anni '70. Nel suo sondaggio più recente pubblicato, l'FBI ha riscontrato un aumento di quasi il 5% dei crimini di odio nel 2016 – e, all'incirca il 20% dei reati di odio motivati ​​religiosamente, più della metà sono stati presi di mira contro gli ebrei. Dal 2014 al 2015, l'FBI ha registrato un aumento del 10% dei crimini di odio.

È impossibile, a questo punto, mettere direttamente in relazione i post online di Sayoc e Bowers con i loro successivi attacchi violenti, ma in combinazione, la combinazione è preoccupante. Le comunità digitali forniscono un fertile terreno fertile per incitamento all'odio e organizzazione. Non sarebbe la prima volta che questi ecosistemi online riversano quell'odio nella violenza del mondo reale.


Altre grandi storie WIRED

Ho comprato macchine da voto usate su eBay per $ 100 a testa. Quello che ho trovato era allarmante


Nel 2016, I comprato due macchine per il voto online per meno di $ 100 a testa. Non ho nemmeno dovuto cercare nel web oscuro. Li ho trovati su eBay.

Sicuramente, pensavo, queste macchine avrebbero linee guida rigorose per il controllo del ciclo di vita come altre apparecchiature sensibili, come i dispositivi medici. Mi sbagliavo. Sono stato in grado di acquistare un paio di macchine per il voto elettronico a registrazione diretta e averle consegnate a casa mia in pochi giorni. L'ho fatto di nuovo solo pochi mesi fa. In modo allarmante, sono ancora disponibili per l'acquisto online.

OPINIONE CABLATA

DI

Brian Varner è un ricercatore di Symantec nel team Cyber ​​Security Services, che guida lo sviluppo di CyberWar Games e tecnologie emergenti dell'azienda. In precedenza ha lavorato presso la National Security Agency come analista tattico.

Se ricevere le macchine per il voto alla mia porta è stato incredibilmente facile, entrare in esse si è dimostrato ancora più semplice. Le viti anti-manomissione non funzionavano, tutte le apparecchiature informatiche erano ancora intatte e gli hard disk non erano stati cancellati. Le informazioni che ho trovato sulle unità, inclusi i candidati, le sezioni e il numero di voti espressi sulla macchina, non erano crittografate. Peggio ancora, le etichette del governo "Property Of" erano ancora attaccate, nel senso che qualcuno aveva venduto online proprietà governative piene di informazioni sugli elettori e dati sulla posizione, a basso costo, senza conseguenze. Sarebbe l'equivalente dell'acquisto di una macchina della polizia in eccedenza con ancora i loghi su di essa.

Il mio obiettivo nell'acquistare macchine per il voto non era quello di minare la nostra democrazia. Sono un ricercatore di sicurezza presso Symantec che ha iniziato a comprare le macchine come parte di uno sforzo continuo per identificare le proprie vulnerabilità e rafforzare la sicurezza delle elezioni. Nel 2016, stavo conducendo una ricerca preliminare per i nostri giochi CyberWar annuali, una competizione a livello aziendale in cui progetto simulazioni per i nostri dipendenti. Dato che era un anno elettorale, ho deciso di creare uno scenario che includesse le componenti di un moderno sistema elettorale. Ma se io erano un attore malintenzionato che cerca di interrompere un'elezione, sarebbe simile a una banca che vende il suo vecchio caveau a un aspirante ladro.

Ho decodificato le macchine per capire come potrebbero essere manipolate. Dopo aver rimosso il disco rigido interno, sono stato in grado di accedere alla struttura dei file e al sistema operativo. Dal momento che le macchine non sono state cancellate dopo che erano state utilizzate nelle elezioni presidenziali del 2012, ho avuto una grande conoscenza di come le macchine memorizzassero i voti che erano stati espressi. In poche ore, sono stato in grado di cambiare i nomi dei candidati per essere quello di chiunque volessi. Quando la macchina stampò il documento ufficiale per i voti che erano stati espressi, mostrò che il nome del candidato che avevo inventato aveva ricevuto il maggior numero di voti su quella particolare macchina.

Quest'anno ho acquistato altre due macchine per vedere se la sicurezza fosse migliorata. Con mio grande sgomento, ho scoperto che le macchine più recenti del modello – quelle utilizzate nelle elezioni del 2016 – utilizzano Windows CE e hanno porte USB, insieme ad altri componenti, che li rendono ancora più facili da sfruttare rispetto a quelli più vecchi. Le nostre macchine per il voto, annunciate come "di prossima generazione" e ancora oggi in uso, sono peggiori di quanto fossero prima: disperse, disorganizzate e suscettibili di manipolazione.

Per essere onesti, ci sono stati dei progressi dalle ultime elezioni presidenziali, incluso lo sviluppo di politiche interne per l'ispezione delle macchine per prove di manomissioni. Ma mentre i sistemi elettorali statali e locali hanno condotto valutazioni del rischio, abbiamo anche visto un undicenne hackerare con successo un sito di voto simulato su DefCon, per divertimento.

Un recente rapporto approfondito sulle vulnerabilità delle macchine di voto ha concluso che un perpetratore avrebbe bisogno di un accesso fisico alla macchina elettorale per sfruttarlo. Sono d'accordo con questa valutazione. Quando ho invertito le macchine per il voto nel 2016, ho notato che stavano usando una smart card come mezzo per autenticare un utente e consentire loro di votare. Esistono molte responsabilità documentate in alcuni tipi di smart card che vengono utilizzate, dalle schede del ricevitore satellitare alle schede chip bancarie. Utilizzando un dispositivo palmare da $ 15, il mio team è stato in grado di sfruttare una smart chip card, permettendoci di votare più volte.

Nella maggior parte del settore pubblico e privato, sarebbe impensabile che un processo così sensibile sarebbe così insicuro. Prova a immaginare una banca importante che lasci sportelli automatici con vulnerabilità note in servizio a livello nazionale o un operatore sanitario che identifica un problema nel modo in cui memorizza i dati dei pazienti, lasciandoli poi senza patch dopo le proteste pubbliche. Non si adatta alla nostra comprensione della sicurezza informatica nel 2018.

Queste industrie sono governate da regolamenti che descrivono come devono essere gestite le informazioni e le attrezzature sensibili. Le stesse regole del buon senso non esistono per i sistemi elettorali. PCI e HIPAA sono grandi successi che hanno fatto molto per proteggere le informazioni personali e le condizioni di salute dei pazienti. In qualche modo, non vi è alcun corollario per la sicurezza degli elettori, le loro informazioni e, soprattutto, i voti che hanno espresso.

Poiché queste macchine sono in vendita online, individui, circoscrizioni o avversari potrebbero comprarle, modificarle e rimetterle in vendita online. Immaginate uno scenario in cui gli attori stranieri hanno acquistato queste macchine per il voto. Con il reverse engineering della macchina come ho fatto per sfruttare i suoi punti deboli, potrebbero compromettere un piccolo numero di urne in un determinato distretto. Questa è la più grande paura dei ricercatori della sicurezza elettorale: non è la possibilità di lanciare milioni di voti, che sarebbe facile da individuare, ma una piccola violazione pubblica della sicurezza che seminerebbe una sfiducia enorme in tutto l'intero ecosistema elettorale. Se qualcuno può dimostrare che il processo elettorale può essere sovvertito, anche se in minima parte, riparare la fiducia del pubblico sarà molto più costoso che implementare misure di sicurezza.

Riconosco che gli stati sono ferocemente protettivi nei confronti dei loro diritti. Ma qui c'è l'opportunità di sviluppare politiche e protocolli di sicurezza a livello nazionale che governerebbero il modo in cui le macchine di voto sono garantite. Ciò potrebbe essere realizzato con l'input di più settori, in un processo simile allo sviluppo del framework NIST, ora ampiamente riconosciuto come uno dei framework di cybersecurity più completi in uso.

Molte delle regole che crediamo dovrebbero essere messe in atto sono semplici e poco costose. Per cominciare, possiamo istituire la gestione del ciclo di vita dei componenti che compongono il sistema elettorale. Semplicemente regolando e monitorando la vendita delle macchine elettorali usate più da vicino, creeremmo un'enorme barriera per i cattivi attori.

Il fatto che le informazioni siano memorizzate in modo non criptato sui dischi rigidi non ha assolutamente senso nell'attuale ambiente delle minacce. Il fatto che possano essere lasciati su dispositivi, non criptati, che vengono poi venduti sul mercato aperto è una negligenza.

Infine, dobbiamo educare i nostri dipendenti e gli elettori a essere consapevoli di comportamenti sospetti. Una vulnerabilità che abbiamo scoperto nelle macchine per il voto è la chip card utilizzata nelle macchine per il voto elettronico. Questa carta economica può essere acquistata per $ 15 e programmata con un codice semplice che consente all'utente di votare più volte. Questo è qualcosa che crediamo possa essere evitato con operatori di sondaggi ben preparati e vigili.

Il tempo e lo sforzo sono i nostri principali ostacoli a politiche migliori. Quando si tratta di assicurare le nostre elezioni, questo è un bar basso. Dobbiamo fare di meglio; l'alternativa è troppo terrificante da considerare nel nostro ambiente attuale. Attraverso una maggiore formazione, politiche pubbliche e un po 'di buon senso, possiamo migliorare notevolmente la sicurezza e l'integrità del nostro processo elettorale.

Opinione WIRED pubblica pezzi scritti da collaboratori esterni e rappresenta una vasta gamma di punti di vista. Leggi altre opinioni qui.


Altre grandi storie WIRED

Creare una relazione con Tyler Barriss, lo Swatter più odiato di Internet


lo capisco è facile liquidare Tyler Barriss come un mostro a cui non dovrebbe mai essere concessa una piattaforma per raccontare la propria storia. Si divertiva a terrorizzare gli estranei con le sue bufale, e le sue presunte azioni, chiamate autorità a Wichita, nel Kansas, e fingendo di tenere in ostaggio una famiglia, avevano portato a un innocente ucciso a colpi di arma da fuoco lo scorso dicembre. La reazione di Barriss alla morte di Andrew Finch ha tradito una gelida mancanza di empatia.

Cole Wilson

Ma ho dedicato gran parte della mia carriera all'ascolto di anime problematiche come Barriss perché ritengo che le loro esperienze, per quanto inquietanti, ci costringano a riflettere su domande fondamentali sui nostri doveri reciproci. Solo scrutando nell'abisso della malvagità umana possiamo divinizzare il modo migliore per aiutare coloro che lottano con i loro demoni, come possiamo radunare la forza per perdonare anche i veri perduti, come possiamo cimentarci con i nostri stessi impulsi oscuri. E così quando ho iniziato a riferire il mio resoconto del fatale colpo di Wichita della scorsa primavera, mi sono sentito obbligato a cercare Barriss in modo da poter sentire la sua voce.

Nella prima lettera che ho inviato a Barriss presso il Detention Facility della contea di Sedgwick a Wichita, ho spiegato che mi sarei interessato a schiacciare – il termine per ingannare una squadra SWAT a prendere d'assalto la casa di un rivale – mentre lavoravo a una storia sulla Xbox Underground , una squadra internazionale di hacker ossessionata dalla console di gioco di punta di Microsoft. (Le dispute sul denaro tra i leader del gruppo e alcuni affiliati hanno portato a più schizzi.)

Nella sua risposta iniziale, ordinatamente scritta a matita su carta a righe, Barriss disse che sarebbe rimasto in silenzio fino a quando non gli avessi fornito la prova della mia identità: il suo tempo di sciamano, una ricerca che si basa sull'inganno, lo aveva reso cinico. Il mio editore acconsentì a mandare a Barriss una lettera in cui affermava che io ero chi dicevo di essere; Ho inserito un biglietto da visita e una fotocopia del mio ID di lavoro WIRED. Soddisfatto da questa prova, Barriss cominciò a rispondere alle mie molte domande – a volte con umorismo, a volte con una traccia di fastidio, ma sempre con apparente candore.

Cole Wilson

Barriss sembra aver passato del tempo a riflettere sui suoi difetti psicologici durante i suoi mesi dietro le sbarre. Ha confessato che il suo bisogno di sentirsi importante lo ha portato a "diventare dipendente" per colpire nella primavera del 2015, e che si è vantato stupidamente delle sue imprese illegali su Twitter perché era disperato "per dimostrare che ero il vero affare."

Si è anche meravigliato del fatto che le sue minacce da bomba non fossero efficaci al 100%. "Che ci crediate o no, ci sono stati momenti in cui [sic] un luogo particolare che ho tentato di evacuare NON ha evacuato, il che mi ha spesso sconvolto ", ha scritto. "Come fai a sapere che dentro ci sono delle bombe e NON ottieni l'intero posto?"

Sebbene i suoi account Twitter siano pieni di affermazioni iperboliche sulla sua brillantezza, Barriss era spesso schivo nelle sue lettere, o almeno a metà. "Non sono molto bravo con i computer," ha scritto, ad esempio. "Non sono un hacker, ma sono abbastanza intelligente su Windows e so come bypassare le cose … Le mie capacità non sono niente di speciale."

Cole Wilson

Man mano che la nostra corrispondenza progrediva, iniziammo a scambiare altre informazioni personali. Ho condiviso con lui che anch'io ero cresciuto a Los Angeles e conoscevo persone che erano andate alla scuola media di talento e talento che aveva frequentato una volta – e in seguito evacuata con una minaccia bomba. Barriss, a sua volta, ha rivelato la morte di suo padre e il suo interesse per l'occulto. (Mi ha chiesto di esaminare, ad esempio, le evidenti somiglianze tra un simbolo satanico popolare e il logo di Google Play.)

Più ci rivelavamo di noi stessi, più ero tentato di vederlo con una certa dose di comprensione: forse era un uomo abbastanza brillante la cui immaturità si era radicata nel nichilismo, un processo catalizzato dal bagliore costante del suo schermo del computer e dalle buffonate volgari del suo Alone equipaggio.

Ma poi mi ricordo che tali sentimenti possono essere un rischio professionale per i giornalisti che coprono il crimine. Il nostro compito è far sì che le persone si aprano su ciò che è nel loro cuore, ma le tecniche che usiamo per farlo a volte possono lasciarci vulnerabili a essere risucchiati nelle orbite di personaggi malevoli. Anni fa, per esempio, ho intervistato un serial killer della Pennsylvania che mi ha raccontato una storia su come ingannare il suo migliore amico a scavare la sua stessa tomba. Fu solo quando stavo uscendo dal parcheggio del carcere che mi resi conto, con mia grande vergogna, che avevo riso insieme a lui mentre raccontava la storia macabra.

In un mondo perfetto, continuerò il mio dialogo con Barriss nel corso dei prossimi anni, e quindi sarò in grado di determinare se è in grado di guadagnare un colpo alla redenzione. Ma le probabilità sono che dovrò lasciare scadere la nostra relazione, poiché ci sono altre storie che chiamano il mio nome e solo così tante ore al giorno. Una delle realtà più dure del giornalismo è che non importa quanto sia intenso il nostro coinvolgimento con i nostri soggetti, le relazioni che costruiamo di solito finiscono per essere più transazionali di quanto potremmo desiderare di ammettere

Il chip Titan M potenzia la sicurezza di Pixel 3


Google Pixel 3 ha tutti i miglioramenti che ti aspetteresti da uno sfavillante smartphone di punta: ottima fotocamera, processore zippy, intelligenza artificiale intelligente. Inoltre, però, viene fornito con un bonus inaspettato, uno che lavora così profondamente in background che probabilmente non saprai nemmeno che è lì. Il chip Titan M può essere piccolo e discreto, ma aiuta Pixel 3 e il suo fratello più muscoloso, il Pixel 3 XL, tra gli smartphone più sicuri che si possano acquistare.

Titan M si ispira al chip Titan che aiuta a salvaguardare i server di Google, e mentre differiscono alcuni nei dettagli – Titan M attinge molto meno energia, ad esempio, per non tassare la batteria – entrambi condividono il compito di proteggere hardware contro gli attacchi più sofisticati e devastanti. E poiché si trova completamente separato dal processore principale di Pixel 3, aiuta a bloccare i dati più sensibili che il tuo smartphone detiene.

"Una volta che gli strumenti sono lì e la conoscenza è lì, gli attacchi si affolleranno."

Will Drewry, Google

Uno di questi attacchi a cui Titan M è progettato per proteggersi è l'attacco in fase di avvio. "Se ti metti nei panni di un attaccante, prima puoi interferire nel processo, più potere hai, in generale. Se riesci a interferire quando il chip viene prodotto, è fenomenale ", dice Simha Sethumadhavan, scienziato informatico della Columbia University. "Se non puoi farlo, l'altro posto dove farlo è quando il sistema si avvia. Quando il sistema si avvia, viene inizializzato e deve essere eseguito con il privilegio più alto. È un posto super conveniente in cui l'attaccante può interferire. Possono avere accesso a tutti gli eventi del sistema. "

Titan M affronta questi attacchi all'avvio legando Boot verificato, una funzionalità introdotta nel 2017 con Android Oreo. Avvio verificato conferma che stai eseguendo la versione corretta di Android non appena la accendi; sfruttando Titan M, il Pixel 3 garantisce l'integrità di tale controllo prima che un utente malintenzionato abbia la possibilità di eseguire il downgrade a qualcosa di più vulnerabile o di interferire con il bootloader.

Il chip aiuta anche a prevenire i falsi accessi, sia limitando il numero di tentativi di passcode sia disponendo di una connessione elettrica diretta ai pulsanti laterali di Pixel in modo che un utente malintenzionato non possa creare false pressioni dei pulsanti per far sembrare che un utente sia presente quando nessuno è.

Avere un elemento hardware sicuro e mobile non è particolarmente nuovo; i chip ARM che alimentano gli smartphone Android di fascia più alta hanno qualcosa chiamato TrustZone, un'enclave protetta all'interno del processore principale che si trova a prescindere dal sistema operativo. E Secure Enclave di Apple, una parte isolata della serie A di processori, ha fornito per anni l'archiviazione sicura per le chiavi private e le informazioni biometriche.

Ma poiché è un chip separato del tutto, Titan M prende l'isolamento all'estremo.

"Tutto ciò che vive nel processore principale è la condivisione di cache e RAM, per la maggior parte. Per poterlo usare per proteggere le chiavi, è una cosa ragionevole da fare, ma sai che ci sarà ancora il rischio di attacchi come Spectre, Meltdown e Rowhammer ", dice Will Drewry, principale ingegnere informatico di Google, riferendosi a prominenti esempi di attacchi basati su hardware perniciosi. "Per noi, abbiamo spostato la questione chiave sull'hardware resistente alle manomissioni che ha la sua memoria privata, la sua RAM privata, la sua elaborazione privata."

Optando per un chip distinto e indurito, Google può inoculare meglio Pixel 3 dai cosiddetti attacchi di canale laterale che sfruttano singhiozzo nelle interazioni tra i componenti. In tutta onestà, il rischio di questo tipo di tecnica avanzata per l'utente medio è relativamente basso, data la relativa facilità degli attacchi basati sul software. Succedono ancora, però, il che li rende degni di essere difesi, specialmente se, come sospetta Drewry, diventano sempre più comuni nel tempo.

"E 'solo una questione di tempo che questi attacchi di risorse condivise diventano abbastanza economici da diventare opportunisti", dice. "Una volta che gli strumenti sono lì e la conoscenza è lì, gli attacchi saranno il solletico. Per noi si tratta di essere proattivi. "

"Questo aumenta la barra in modo significativo."

Simha Sethumadhavan, Columbia University

E mentre Google ha iniziato a lavorare sui chip Titan molto prima del recente blockbuster Bloomberg – e un rapporto molto contestato sugli attacchi alla supply chain, quella classe di vulnerabilità era nella mente dell'azienda fin dall'inizio del loro sviluppo.

"Con il diminuire della tecnologia, le opportunità cambiano, e dove è possibile posizionare le parti e quanto sono grandi sono i cambiamenti, ma praticamente gli attacchi alla catena di fornitura sono sempre esistiti", afferma Drewry. Per ridurre al minimo le probabilità che elementi indesiderati si intrufolassero nel Titan M lungo il percorso, Google ha creato un processo di provisioning personalizzato. Costruendo il chipset stesso, ha una visione completa della sua produzione dall'inizio alla fine. Google inoltre renderà più semplice per i ricercatori della sicurezza assicurarsi che stia rispettando le sue promesse di protezione.

"Il firmware per questo sarà completamente open source nei prossimi mesi, che ritengo sia davvero unico nel settore", afferma il responsabile del progetto di sicurezza di Google Xiaowen Xin.

Nessuno dei quali è dire che il Titan M è invincibile. Ma è un passo avanti significativo per gli utenti Android attenti alla sicurezza, e non è un piccolo passo avanti per una piattaforma che è stata storicamente più vulnerabile di iOS. "Penso che sia fantastico che Google stia facendo questo tipo di miglioramenti hardware. È molto più difficile da rompere rispetto alle difese software ", afferma il Sethumadhavan della Columbia. "Questo aumenta la barra in modo significativo."


Altre grandi storie WIRED

Il misterioso ritorno di anni di malware APT1


Nel 2013, la sicurezza informatica la ditta Mandiant ha pubblicato un rapporto di successo su una squadra hacker sponsorizzata dallo stato nota come APT1 o Comment Crew. Il gruppo cinese raggiunse un'infamia immediata, legata agli hack di successo di oltre 100 società statunitensi e all'esfiltrazione di centinaia di terabyte di dati. Inoltre svanirono sulla scia dell'essere esposti. Ora, a distanza di anni, i ricercatori della società di sicurezza McAfee affermano di aver trovato il codice basato sul malware associato ad APT1 che si sta verificando in una nuova serie di attacchi.

Nello specifico, McAfee ha rilevato malware che riutilizza una parte del codice trovato in un impianto chiamato Seasalt, che APT1 ha introdotto intorno al 2010. Sollevare e riproporre parti di malware non è una pratica insolita, soprattutto quando questi strumenti sono ampiamente disponibili o open source. Non guardare oltre l'eruzione di attacchi basata su EternalBlue, lo strumento NSA trapelato. Ma il codice sorgente utilizzato da APT1, afferma McAfee, non è mai diventato pubblico, né è finito sul mercato nero. Il che rende la sua ricomparsa qualcosa di un mistero.

"Quando abbiamo raccolto i campioni e abbiamo trovato il riutilizzo del codice per Comment Crew", dice il capo scienziato di McAfee Raj Samani, "all'improvviso è stato come un momento di" merda "."

Zone d'attacco

McAfee dice di aver visto cinque ondate di attacchi usando il malware remixato, che chiama Oceansalt, che risale a maggio di quest'anno. Gli aggressori hanno creato e-mail di spearphishing, con allegati di fogli di calcolo Excel in lingua coreana infetti, e li hanno inviati a obiettivi coinvolti in progetti di infrastrutture pubbliche della Corea del Sud e relativi campi finanziari.

"Sapevano che la gente doveva prendere di mira", dice Samani. "Avevano identificato gli obiettivi di cui avevano bisogno per manipolare l'apertura di questi documenti dannosi".

"All'improvviso è stato come un momento 'oh merda'."

Raj Samani, McAfee

Le vittime che hanno aperto quei documenti hanno involontariamente installato Oceansalt. McAfee ritiene che il malware sia stato utilizzato per la ricognizione iniziale, ma ha avuto la capacità di prendere il controllo sia del sistema che ha infettato sia di qualsiasi rete connessa al dispositivo. "L'accesso che avevano era piuttosto significativo", dice Samani. "Tutto da ottenere una visione completa della struttura dei file, essere in grado di creare file, eliminare file, essere in procinto di elencare i processi, terminare i processi."

Mentre gli attacchi iniziali si concentravano sulla Corea del Sud – e sembrano essere stati istigati da persone che parlano correntemente il coreano – a un certo punto si sono diffusi a obiettivi negli Stati Uniti e in Canada, concentrandosi in particolare sulle industrie finanziarie, sanitarie e agricole. McAfee dice che non è a conoscenza di alcun legame evidente tra le aziende interessate e la Corea del Sud e che la mossa dell'Occidente potrebbe essere stata una campagna separata.

McAfee rileva alcune differenze tra Oceansalt e il suo precursore. Seasalt, ad esempio, aveva un metodo di persistenza che lo lasciava su un dispositivo infetto anche dopo un riavvio. Oceansalt no. E dove Seasalt ha trasmesso i dati al server di controllo non crittografati, Oceansalt utilizza un processo di codifica e decodifica.

Tuttavia, i due condividono abbastanza codice che McAfee è sicuro della connessione. È molto meno certo, però, su chi c'è dietro.

Chi l'ha fatto?

È difficile sopravvalutare quanto sia stato capace l'APT1 e quanto fossero ineguagliabili le intuizioni di Mandiant in quel momento. "APT1 era straordinariamente prolifico", afferma Benjamin Read, senior manager per l'analisi cyberespionage di FireEye, che ha acquisito Mandiant nel 2014. "Erano uno dei più alti in termini di volume. Ma il volume può anche permetterti di costruire uno schema di vita. Quando stai facendo così tante cose, avrai degli errori che espongono parte del back-end. "

Probabilmente non è esatto dire che APT1 è scomparso dopo il rapporto Mandiant. È altrettanto probabile che gli hacker dell'unità continuassero a lavorare per la Cina in modo diverso. Ma è vero, dice dice, che le tattiche, l'infrastruttura e il malware specifico associato al gruppo non hanno visto la luce del giorno in quei cinque anni.

Si è tentati di pensare, forse, che la scoperta di McAfee significhi che APT1 è tornato. Ma l'attribuzione è difficile in qualsiasi circostanza, e Oceansalt non è una pistola fumante. Infatti, McAfee vede alcune possibilità distinte sulla sua provenienza.

"O è il riemergere di questo gruppo, o potenzialmente stai guardando la collaborazione tra stato per quanto riguarda una importante campagna di spionaggio, o qualcuno sta cercando di puntare il dito contro il cinese", dice Samani. "Uno di questi tre scenari è abbastanza significativo."

Nonostante una crescente minaccia di pirateria informatica da parte della Cina, il report di McAfee ritiene "improbabile" che Oceansalt in realtà segna il ritorno di APT1. Anche supponendo che quegli hacker siano ancora attivi da qualche parte nel sistema cinese, perché tornare agli strumenti che erano stati precedentemente esposti?

Poi c'è la possibilità che un attore abbia in qualche modo acquisito il codice, direttamente dalla Cina o attraverso altri mezzi sconosciuti. "È possibile, molto probabilmente, che questa fosse potenzialmente una collaborazione prevista. O il codice sorgente è stato rubato, o qualcosa del genere. In qualche modo, forma o forma, quel codice è arrivato nelle mani di un altro gruppo di attori di minacce che parla correntemente il coreano ", dice Samani.

Una possibilità intrigante e anche difficile da definire. Allo stesso modo, l'opzione "false flag" – che un gruppo di hacker vuole creare una copertura facendo sembrare che la Cina sia responsabile – non è senza precedenti, ma ci sono modi più semplici per mascherare le tue attività.

"Nel luogo in cui vediamo molto, molti gruppi di spionaggio utilizzano strumenti open source o disponibili pubblicamente", afferma la lettura di FireEye. "Significa che non devi sviluppare materiale personalizzato, ed è più difficile collegare elementi basati su malware. Può offuscare ciò che c'è dietro, senza implicare che sia qualcun altro in particolare. "

Che non ci siano buone risposte attorno a Oceansalt non fa che aumentare l'intrigo. Nel frattempo, i potenziali obiettivi dovrebbero essere consapevoli che un malware abbandonato da molto tempo sembra essere tornato, creando nuovi problemi per le sue vittime.


Altre grandi storie WIRED

Cerniera vuole sapere sulla tua vita incontri, presenta una nuova funzionalità


la cerniera lancia la nuova funzionalità più compatibile

Quasi tutte le app di appuntamenti ti forniscono tutte le risorse necessarie per trovare una corrispondenza: un profilo, un pool di potenziali date nella zona e uno spazio per chattare. Ma le app devono ancora implementare una funzione che consente agli utenti di verificare come sono andate le prime date e Hinge sta tentando di cambiarlo.

Con la sua nuova funzione "We Met", Hinge vuole conoscere le date in cui i suoi membri continuano con le partite fatte attraverso la sua app. In questo modo, può iniettare le informazioni nel suo algoritmo per fornire raccomandazioni future che si adattino meglio a ciò che state cercando in un altro significativo.

Ma come funziona? Poiché la cerniera è programmata per riconoscere un codice a dieci cifre, l'app saprà automaticamente quando tu e la tua partita scambierete i numeri di telefono. Alcuni giorni dopo, a entrambe le parti viene chiesto individualmente se hanno un appuntamento, e se vorrebbero rivedere quella persona. Se una persona indica che non sono interessati a una seconda data, l'app applica tali informazioni quando raccomanda nuove persone.

Se finisci per incontrarti più tardi con una delle tue partite (dopo aver risposto "no" al sondaggio), puoi cambiare lo stato. Basta andare nella sezione "Matches" e scorrere verso sinistra – accanto all'opzione "Hide", vedrai anche "We Met", che puoi toccare.

"Fino ad ora le app di appuntamenti non tenevano conto dei feedback di date reali quando raccomandavano potenziali incontri", ha detto in un comunicato stampa Jean-Marie McGrath, direttore delle comunicazioni di Hinge. "Volevamo cambiarlo. Con "We Met", stiamo imparando di più sull'esperienza di incontri dei nostri membri, che ci aiuterà a farli uscire in date fantastiche ancora più velocemente. "

In termini di privacy, Hinge afferma che qualsiasi membro di feedback della data condivisa tramite la funzione "We Met" è privato. Quindi, non dovrai mai temere che il tuo feedback raggiunga la tua corrispondenza esistente o anche le partite future. Hinge dice che sta usando rigorosamente i dati per aiutare a migliorare l'algoritmo per le partite che ti vengono fornite.

L'estate scorsa, Hinge ha presentato una funzione chiamata "Most Compatible" che ti offre le persone con cui l'app pensa che tu possa essere più interessato agli appuntamenti, ma sarà anche interessato a frequentarti. Trovato nella sezione di scoperta dell'app, Hinge invia agli utenti un nuovo consiglio ogni 24 ore in base alle nuove informazioni apprese sui suoi membri.

Sembra che Hinge voglia risolvere un problema simile nel mondo del dating online con "We Met", come con "Most Compatible" – avendo troppe opzioni che forniscono un piccolo numero di risultati positivi. Secondo i dati della compagnia, gli utenti di Hinge hanno otto volte più probabilità di uscire con qualcuno con cui sono più compatibili.










Recensione pratica di Google Home Hub


Google vuole che i suoi prodotti smart per la casa siano molto amichevoli e accoglienti, non inducono incubi terrificanti su enormi società che invadono la tua privacy. Google Home Hub ($ 149) è un dispositivo smart home attentamente considerato che ti rassicura che non guarderà ogni tua mossa nel modo più logico possibile: sebbene abbia uno schermo, non ha una fotocamera.

Home Hub è un altoparlante intelligente di Google Home con uno schermo e uno piuttosto piccolo. Misura solo sette pollici, che è appena più grande del telefono Pixel 3 XL, presentato anche all'evento di Google il 9 ottobre. Il risultato è un dispositivo che non domina la stanza in termini di dimensioni, ha una forma esteticamente piacevole, e viene in alcuni colori pastello molto attraenti (gesso, carbone, acqua e sabbia). Ci è piaciuta molto l'acqua, ma pensate che il gesso semplice sia il migliore – è appena sfumato nei suoi dintorni. Lo schermo "galleggia" e non assomiglia a un televisore o un monitor. È più adatto per la casa di Amazon Echo Show.

A causa di una tecnologia molto intelligente che controlla lo schermo, non è neanche un raggio di luce nell'angolo. Chiamato Ambient EQ, un sensore sopra lo schermo non solo monitora le condizioni di illuminazione, ma gli algoritmi di imaging regolano attentamente i colori, la luminosità e il tono del display. Di notte, lo schermo si spegne semplicemente. Era difficile vederlo in azione, ma quando facevo foto all'Hub Home, abbiamo regolato la luminosità dello schermo abbastanza spesso mentre riordinavamo la scena, indicando che il dispositivo aveva le sue idee su come dovesse apparire lo schermo. In un ambiente domestico, questa sarà una grande funzione silenziosa con cui non interagirai, ma ne trarrai beneficio.

Controllo vocale

Ci sono due microfoni su entrambi i lati dell'EQ ambientale, che sono progettati per sentire le voci a distanza. I microfoni hanno sicuramente raccolto la nostra voce nella rumorosa sala dimostrativa. Come tutti i dispositivi Google Home, Home Hub utilizza Google Voice Match, quindi riconoscerà i vari membri della tua famiglia e fornirà risposte pertinenti. Abbiamo usato un Home Hub che non era configurato per la nostra voce e funzionava ancora senza errori.

Usare l'Home Hub è come utilizzare Google Home o Google Assistant sul telefono, ad eccezione del fatto che userò il comando "show me", molto più del solito, dato che l'Home Hub è un'esperienza molto visiva. Quando si dice buongiorno o si impartisce il comando "Come è il mio giorno", Home Hub mostra le carte meteo, il calendario e i video delle notizie anziché fornire solo l'audio. Puoi personalizzare le carte che vuoi vedere attraverso l'app Home.

Google vuole essere un sous chef e ha collaborato con vari fornitori di ricette online per la cura di schede flash personalizzate per l'uso a mani libere durante la cottura. Inoltre, per enfatizzare l'aspetto visivo, il dispositivo presenta le frasi di ricerca chiave relative alle celebrità. Google ha effettivamente chiesto loro le domande, quindi il video ha registrato le risposte. Ad esempio, se chiedi all'Home Hub, "Cosa mangia Gordon Ramsey a casa?", Lo chef celebre con la bocca di pollo risponde sotto forma di un video personalizzato. Ci sono molte altre celebrità e domande da trovare in queste divertenti uova di Pasqua.

Suono e video

Il suono viene proiettato nella stanza da un singolo set di altoparlanti a doppia porta all'interno del supporto in tessuto sul retro dell'Home Hub. Mancava il basso quando lo abbiamo sentito in un'area demo affollata, ma aveva abbastanza volume per farsi sentire. Avremmo bisogno di ascoltarlo in un normale ambiente domestico per valutare correttamente la sua capacità audio; ma al primo ascolto era molto simile alla normale Home page di Google. Sul retro c'è un interruttore di silenziamento del microfono fisico e un bilanciere del volume.

Google Home Hub Rispetto a

Il video è stato molto più efficace. La risoluzione dello schermo non è molto alta, ma le prestazioni sono solide, aiutate dalle sue ridotte dimensioni. YouTube è stato ottimizzato per la ricerca vocale sull'Hub Home ed è divertente chiedere di ascoltare le tue canzoni preferite da YouTube e vedere anche il video, cosa che normalmente è possibile solo con Google Home se hai una smart TV. Tuttavia, il piccolo schermo non è adatto a tutta la famiglia per riunirsi e guardare, e mentre ci piace l'idea di guardare video su come fare mentre si cucina, socchiudendo lo schermo a distanza non sarà molto utile.

Al suo centro, Google Home Hub è un dispositivo domestico intelligente e ciò significa che può controllare altri dispositivi collegati. Per adattarsi al display, Google ha reso Home View, un nuovo modo di trovare tutti i dispositivi collegati su una sola pagina, in un'unica app e su un dispositivo, anziché utilizzare più app. Lo scorrimento verso il basso sullo schermo lo rivela e una selezione di stanze e tipi di dispositivi diversi, in cui è possibile controllarli singolarmente. Collega anche il campanello intelligente Nest Hello, mostrando chi è alla porta e offrendo la possibilità di rispondere dallo schermo. È visivamente coerente e molto più semplificato – come è necessario con l'aggiunta di uno schermo – rispetto all'utilizzo di un dispositivo basato esclusivamente sulla voce.

Google Home Hub
Juliana Jara / Digital Trends

L'elemento visivo finale è che l'Home Hub mostrerà le tue foto. Li alza da Google Foto con l'aiuto di una nuova funzione chiamata Live Album, che seleziona con cura le migliori foto da mostrare sullo schermo. L'apprendimento automatico rimuove i duplicati, i colpi sfocati e quelli sovraesposti. Puoi chiedere a Home Hub anche di trovare diversi tipi di foto e, grazie a Voice Match, mostrerà i tuoi contenuti, non quelli di qualcun altro. Nella dimostrazione che abbiamo visto, questo è stato istantaneo e, anche con uno scarso Wi-Fi, Home Hub ha rapidamente modificato il contenuto in base alla persona che parla.

Non spaventoso

Home Hub è l'amico di casa intelligente che Google vuole che sia? È certamente meno intimidatorio che se venisse con una macchina fotografica; ma senza di esso si perde una funzionalità che alcuni potrebbero trovare utili: le videochiamate. Sì, una fotocamera crea problemi di privacy, ma senza di essa, Home Hub non riesce a trovare qualcosa che molti dei suoi concorrenti offrono. I nuovi display smart di Facebook di Portal hanno cover fisiche per ripassare le telecamere, aiutando le persone a sentirsi più a proprio agio. L'approccio di Google è molto più drastico.

Le dimensioni compatte e il design sottile lo rendono adatto alla maggior parte delle stanze.

La mancanza di una fotocamera si riflette nel prezzo. È $ 150, o 140 sterline inglesi, che è solo $ 20 in più rispetto a Google Home standard senza schermo. Al contrario, Amazon Echo Show è $ 230. Le dimensioni compatte e il design sottile lo rendono adatto alla maggior parte delle stanze, e le funzioni veramente utili e divertenti attivate dal display fanno sì che valga la pena pagare il prezzo più alto rispetto alla normale Home page di Google. Se sei già a bordo con i prodotti di casa intelligente di Google, è improbabile che ti preoccupi della presenza di un microfono nella tua casa, quindi aggiungere l'Home Hub non ti preoccuperà ulteriormente.

L'Home Hub sembra essere un'altra eccellente aggiunta alla crescente famiglia di dispositivi per la casa intelligente di Google e Google Assistant continua a essere un ottimo compagno. Mentre le dimensioni minuscole significano che non è per tutti coloro che vogliono sedersi e guardare video binge, il design premuroso e la mancanza di una fotocamera lo rendono un prodotto più appetibile per chi è preoccupato per la privacy.

Google+ chiude la breccia quando Google offre nuove funzionalità per la privacy


Google ha annunciato Lunedi che sta chiudendo il suo social network Google+, a seguito di rivelazioni in a giornale di Wall Street segnala che la società non ha rivelato un bug scoperto di recente che ha esposto dati da 500.000 utenti utenti di Google+ dal 2015. Allo stesso tempo, la società ha introdotto nuovi strumenti per offrire agli utenti un maggiore controllo sui dati che condividono con app e servizi che connettersi ai prodotti Google.

La dissonanza incarna i più ampi dati di tensione che i behemoth come Google e Facebook hanno recentemente affrontato su come riconciliare le loro priorità in competizione per salvaguardare la fiducia degli utenti e trasformare un profitto sano.

"Nascondere l'esposizione dei dati è dannoso per gli utenti, cercare di tenere il gatto nella borsa non è una strategia sostenibile", afferma Lukasz Olejnik, ricercatore di sicurezza e privacy e membro del W3C Technical Architecture Group. In questo caso, Google volutamente lo ha tenuto tranquillo per mesi, senza piani apparenti per far sapere a nessuno.

Google meno

La vulnerabilità in Google+, che l'azienda ha scoperto e rimediato a marzo, riguardava specificamente una delle interfacce di programmazione del servizio per gli sviluppatori di terze parti per l'accesso ai dati del profilo utente. Google afferma che il bug ha esposto dati come nomi utente, indirizzi e-mail, occupazioni, sessi ed età, ma la società non ha trovato prove che qualcuno lo abbia sfruttato per sottrarre dati dell'utente o utilizzato in modo improprio i dati in nessuna delle 438 applicazioni che potrebbero aver utilizzato l'API mentre il bug era in diretta. La società ha scoperto e investigato internamente il difetto, piuttosto che da un ricercatore esterno, e ha deciso di non rivelarlo fino a quando il giornale di Wall Street rapporto efficacemente li ha costretti a.

"Ogni volta che i dati dell'utente possono essere stati colpiti, andiamo oltre i nostri requisiti legali e applichiamo diversi criteri incentrati sui nostri utenti nel determinare se fornire un preavviso", ha scritto oggi Ben Smith, vice presidente di ingegneria di Google. "Il nostro Ufficio privacy e protezione dei dati ha esaminato questo problema, esaminando il tipo di dati coinvolti, se avessimo potuto identificare con precisione gli utenti da informare, se ci fossero prove di uso improprio e se ci fossero azioni che uno sviluppatore o un utente potrebbero intraprendere risposta Nessuna di queste soglie è stata soddisfatta in questo caso. "

"Siamo passati al punto in cui Google dovrebbe decidere se Google ha fatto abbastanza per risolvere un problema."

Marc Rotenberg, EPIC

La società afferma che la scoperta di Google+ ha stimolato la sua attenzione sull'espansione delle protezioni sulla privacy degli utenti. Tale iniziativa, denominata Project Strobe, offre agli utenti un maggiore controllo sui dati del proprio account e quali informazioni vengono condivise con le app di terze parti. Inoltre, estende in modo specifico più protezioni e controlli alle app che interagiscono con le app Gmail e Android. In particolare, Google limiterà ora il grado in cui le app mobili possono accedere alle autorizzazioni di registro e SMS di un utente Android. La società sta inoltre mettendo fine alla capacità degli sviluppatori di estrarre i dati di "interazione di contatto" dall'API di Contatti Android, che ha dato loro accesso non solo a chi ha chiamato, ma per quanto tempo.

Google ha annunciato inoltre che tutte le applicazioni di terze parti, incluse le app mobili, che accedono alle API Gmail sensibili, dovranno essere sottoposte a una revisione approfondita come parte delle protezioni estese. "Per mantenere sicuri i dati degli utenti, stiamo richiedendo alle app di dimostrare un livello minimo di capacità nella gestione dei dati in modo sicuro e nella cancellazione dei dati dell'utente su richiesta dell'utente." Google impiegherà una società di revisione indipendente per completare le revisioni e addebiterà agli sviluppatori $ 15.000 a $ 75.000 o più per averli fatti.

Google aveva apparentemente lavorato su questi passaggi protettivi per mesi, indipendentemente dalla vulnerabilità di Google+, ma le notizie sull'esposizione di dati non divulgate hanno dipinto un quadro complicato lunedì sull'impegno di Google nei confronti della trasparenza.

"Penso che i nuovi annunci potrebbero essere passi positivi", afferma Marc Rotenberg, presidente del Electronic Privacy Information Center. "Ma penso che siamo passati al punto in cui Google dovrebbe arrivare a decidere se Google ha fatto abbastanza per risolvere un problema. Una società che decide da sola se pensa o meno dovrebbe notificare non è mai la risposta giusta, perché non c'è alcun incentivo prendere le critiche e il successo azionario ".

L'equazione del regolamento

Molti analisti concordano con la valutazione interna di Google secondo cui la società non era legalmente obbligata a divulgare l'incidente. Ma Rotenberg sottolinea che, dopo una serie di incidenti nel corso degli anni, tra cui uno relativo al Google Buzz, il progenitore di Google+, la Federal Trade Commission potrebbe riprendere l'incidente nel contesto del più ampio track record dell'azienda. "Lo scopo della notifica della violazione dei dati è di avvisare gli utenti della possibilità di un rischio, ma anche di consentire ai funzionari pubblici di rintracciare le pratiche delle aziende che potrebbero essere più o meno soggette a violazioni", afferma Rotenberg. "Stabilire una responsabilità indipendente è fondamentale."

"Nascondere l'esposizione dei dati è dannoso per gli utenti, cercare di tenere il gatto nella borsa non è una strategia sostenibile".

Lukasz Olejnik, W3C Technical Architecture Group

L'episodio porta anche una rinnovata urgenza alle conversazioni sulla regolamentazione delle società di divulgare non solo le violazioni dei dati, ma anche i dati esposti. Ciò potrebbe avere la conseguenza non intenzionale di scoraggiare le aziende dal fare test aggressivi sui sistemi interni e sull'analisi delle vulnerabilità per catturare proattivamente le esposizioni. Considerato l'alto profilo dell'incidente di Google+, potrebbe diventare un banco di prova su come Google e altre società potrebbero agire in situazioni simili in futuro.

"Sono sicuro che Google ha valutato i possibili rischi e benefici per la responsabilità legale, gli obiettivi politici, la reputazione, la fiducia degli utenti e penso che la loro gente starà a guardare attentamente per vedere come si svolge questo incidente per la stampa, il pubblico e i responsabili politici" dice Tiffany Li, una collega residente al progetto della Società dell'informazione della Yale Law School ed ex consulente interno per l'Assemblea Generale per l'avvio della programmazione della codifica. "Questo influenzerà il modo in cui decideranno di agire la prossima volta che ciò accadrà, e lo farà, perché nessun sistema è mai sicuro al 100%."

Per gli utenti, la notizia che Google ha trattenuto le informazioni su un giro di privacy probabilmente oscurava gli sforzi della società per apparire proattivi sulla protezione dei dati. E sottolinea le tensioni che Google naviga ogni giorno. "La privacy dovrebbe essere considerata un problema di tecnologia e politica tecnologica, piuttosto che un puzzle legale isolato", dice Olejnik. "Tutto questo è ora intrecciato."


Altre grandi storie WIRED

Il malware ha un nuovo modo di nascondersi sul tuo Mac


Malware su Apple Le linee MacBook e iMac sono più diffuse di quanto alcuni utenti realizzino; può persino nascondersi nel Mac App Store di Apple. Ma le difese relativamente forti di macOS rendono difficile per gli autori di malware persistere a lungo termine sui computer Apple, anche se possono ottenere un punto d'appoggio iniziale. Inoltre, le strade disponibili per l'agguato su macOS sono così famose a questo punto che i tecnici e gli scanner di malware possono segnalarli rapidamente. Ecco perché approcci più sottili sono significativi.

Mercoledì alla conferenza sulla sicurezza dei Virus Bulletin a Montreal, il ricercatore della sicurezza di Mac, Thomas Reed, sta presentando una di queste aperture potenzialmente pericolose. Quando si avvia un programma di installazione di app in macOS, un programma chiamato Gatekeeper verifica se l'app proviene dal Mac App Store o è firmata in modo crittografico da uno sviluppatore che si è registrato con Apple. Tutti i programmi legittimi devono essere "firmati con codice" per stabilire la loro validità e integrità. Controllando la firma del codice di un file, Gatekeeper può avvisare se un programma è malware o se qualcuno ha manomesso un programma di installazione altrimenti benigno.

Questi controlli della firma del codice rappresentano un passo fondamentale per la sicurezza. Ma Reed, che è il direttore di Mac e piattaforme mobili presso la società di sicurezza Malwarebytes, ha notato che, una volta che un programma supera un controllo di firma del codice e viene installato, macOS non ricontrolla mai la sua firma. Ciò significa che gli aggressori che acquistano un certificato legittimo da Apple o rubano uno possono potenzialmente indurre gli utenti Mac a installare il loro malware. E se riesce a infettare altri programmi legittimi dopo essere stato scaricato, potrebbe eludere il rilevamento indefinitamente.

"Una volta aperta un'app, non otterrai mai più un controllo della firma del codice su macOS", afferma Reed. "Quindi, anche se è stato modificato o danneggiato maliziosamente e la firma del codice non è valida, il sistema operativo non la ricontrolla, fornendo una grande finestra aperta per la persistenza del malware, se il malware può infettare alcune delle tue app già presenti sul disco allora può entrare e rimanere nascosto – non penserai mai di cercarlo lì e può essere eseguito in background senza che tu ne sia il più saggio. "

"Uno script kiddie potrebbe fare qualcosa di simile."

Thomas Reed, Malwarebytes

In alcuni casi, l'aggiornamento di un'applicazione potrebbe innescare un controllo del codice o scrivere su eventuali manipolazioni dannose, ma Reed dice che questo non è affidabile, dal momento che molti sviluppatori creano solo un controllo della firma del codice per il codice di aggiornamento e non l'applicazione di base stessa. Reed afferma che gli sviluppatori potrebbero contribuire a ridurre la potenziale esposizione costruendo in controlli periodici di firma del codice periodici per tutta la durata di un'app. Come risultato di questa ricerca, Reed stesso ha aggiunto la verifica della firma del codice ai prodotti Mac di Malwarebytes in modo che ora eseguano un controllo ogni volta che si lanciano. "È fattibile", dice. "È un passo in più, ma non è a uso di risorse".

Sebbene alcune altre applicazioni abbiano questa caratteristica, Reed dice che è ancora molto raro. Apple potrebbe anche regolare macOS per controllare più regolarmente la firma del codice, ma la società non ha restituito una richiesta da WIRED per commentare se ha intenzione di prendere in considerazione la modifica.

Reed dice che il problema è stato presente sin da OS X Leopard, pubblicato nel 2007. Prende atto, tuttavia, che i progressi nel modo in cui macOS gestisce le autorizzazioni e protegge diversi livelli del sistema operativo potrebbero effettivamente aiutare Apple ad implementare la convalida della firma del codice. La società potrebbe ridurre il numero totale di controlli che il sistema operativo deve eseguire, ad esempio, saltando i processi di sistema che sono inalterabili anche con l'accesso root al dispositivo.

Reed non ha visto alcun malware che sfrutti l'apertura finora, che considera un'opportunità di sensibilizzazione ora sulla necessità di controlli volontari del codice. Come parte della sua ricerca, Reed ha testato quanto sarebbe difficile scrivere malware che manipoli altri programmi per nascondersi al loro interno; tutto ciò che è servito è stato combinare alcuni strumenti di sviluppo che ha trovato online.

"Nessuno ha collegato i punti per quanto ho potuto vedere, ma è piuttosto semplice: il fatto che io sia stato in grado di farlo in poche ore significa che uno script kiddie potrebbe fare qualcosa del genere", dice. "E non è che ci sia una vulnerabilità in quelle app, è solo che se non stanno facendo controlli di firma del codice, che la maggior parte delle app non lo fanno, allora puoi inserire il tuo codice lì dentro."


Altre grandi storie WIRED