online, Sicurezza Informatica, Streaming, website

Condivisione delle password di Netflix, la pacchia sta per finire.

Potrebbe avere le ore contate la pratica ormai diffusissima della condivisione “illegale” della password di Netflix (o di altre piattaforme analoghe) è ciò che è emerso lo scorso 8 Gennaio al Consumer Electronics Show 2019 – evento organizzato da 50 anni dalla Consumer Technology Association degli Stati Uniti.

Di cosa stiamo parlando? Del segreto di Pulcinella più grosso del mondo: le password per i servizi di streaming online audio o video possono essere usate da più utenti. Anzi, aggiungo io, esistono delle vere e proprie piattaforme che ne agevolano la condivisione e ne facilitano la divulgazione. Su queste piattaforme chiunque può mettere in vendita a prezzi irrisori l’utilizzo del proprio account in condivisione, si trovano account di Netflix, Mediaset Premium, Tim Vision, Spotify e addirittura Office 365, un metodo per ammortizzare le spese dell’abbonamento e un’opportunità per accedervi in in modo decisamente scontato. Talvolta l’intento non è nemmeno monetario, si cerca solo di ottimizzare l’acquisto dando l’accesso in modo gratuito a parenti o amici.

Questa gratuità però ha un valore per le Aziende che offrono il servizio, e in particolare un valore in perdita (anzi mancato guadagno), la società di consulenza Magid ha stimato un dato molto rilevante:  il 25% dei millennial condivide il nome utente e la password dei servizi di streaming con gli amici ed entro il 2021, tale pratica illegale causerà 9,95 miliardi di dollari di perdite per le aziende coinvolte.

Facile ipotizzare quindi come questa pacchia stia per terminare, se fino ad oggi le aziende, Netflix in primis, hanno fatto orecchie da mercante, ignorando tutto a beneficio di un’audience tanto diffusa che concorresse a solidificare il loro brand e a far circolare di più i contenuti (specialmente quelli originali su cui hanno investito miliardi di dollari), pare che a breve tutte inizieranno a seguire i consigli della società brittanica Synamedia che, al CES 2019 in corso a Las Vegas, ha presentato un nuovo sistema di analisi che sfrutta il “machine learning” per individurare le password condivise utili ad accedere alle varie piattaforme.

Come funzionerebbe?

Semplice! La piattaforma di streaming (prendiamo ad es. Netflix) diventa cliente del sito di Synamedia, che grazie alle capacità di apprendimento derivanti dagli algoritmi di intelligenza artificiale (machine learning) analizza i dati di tutti i suoi utenti, mettendo sotto la lente un gran numero di fattori com ad esempio da dove si accede ad un account, a che ora viene usato, che genere di contenuti vengono fruiti e attraverso quale dispositivo.

Poi mette insieme i big data in una serie di schemi e abitudini d’uso di un certo account e dei suoi accessi multipli, evidenziando quelli che secondo il sistema potrebbero indicare la presenza di password condivise, fornendo alla piattaforma cliente, cioè Netflix, un punteggio di probabilità.

Starà poi alla società prendere i provvedimenti del caso, come per esempio allertare l’utente, anche se non è chiaro in che modo quest’ultimo potrebbe provare al fornitore che i suoi diversi accessi siano effettivamente utilizzati in modo personale e non condiviso.

Uno caso tipico ed eclatante sarebbe quello di un abbonato che sta guardando nello stesso tempo contenuti sulla costa Est e Ovest degli Stati Uniti – ha spiegato un manager del gruppo britannico al sito The Verge – è ovvio che non può trattarsi della stessa persona“.

Se la probabilità di una frode da parte del cliente è molto alta, (per esempio nel caso in cui le credenziali siano state vendute online o condivise attraverso servizi come TogetherPrice), Netflix potrebbe scegliere di sospendere l’account; anche se l’approccio più probabile potrebbe essere quello della persuasione, spingendo a limitare la condivisione o passare a un account più costoso ma che consenta più utenze, come lo Spotify for Family (si pensi per esempio al caso di un account condiviso fra un genitore e un figlio che abita fuori casa).

In estrema ratio si è anche parlato della possibilità di inserire delle clausole nel contratto di abbonamento che se violate portino anche a delle pesanti multe.

L’aspetto interessante di tutto questo è la presa di coscienza che le abitudini cambiano nel tempo, le persone si spostano e viaggiano continuamente e per questo servono strumenti di intelligenza artificiale in grado di mutare, per esempio, coi gusti degli utenti evitando di generare falsi positivi e capendo se e come un account è davvero condiviso in modo eccessivo.

Cosa significa tutto questo? Semplice: mentre al lancio del servizio – Netflix è sbarcata in Italia nel 2015 ma era attiva negli Usa dal 2008 – l’interesse a intervenire su un simile fenomeno era molto basso, visto che costituiva un modo organico e naturale per diffondere il servizio, farlo conoscere e apprezzare convincendo anche molte persone a sottoscrivere un proprio abbonamento, col trascorrere degli anni la pirateria delle password può iniziare a pesare sui conti. Va bene fare costume, tendenza, immagine, ma i ricavi viaggiano anche e soprattutto con gli abbonamenti.

Al momento il nuovo sistema del gruppo, battezzato Credentials Sharing Insight – è in fase di test da una serie di società, anche se non è noto quali. Ma già diversi colossi, da Comcast a Disney fino a Sky, ora controllata dalla stessa Comcast, sfruttano i servizi di intelligenza artificiale. 

Informatica Generale, Sicurezza Informatica, website

Joomla! Scoperta vulnerabilità critica

Prima di appassionarmi e dedicarmi corpo e anima alla sicurezza informatica sono stato per molti anni un web-designer, mi occupavo di studiare, progettare e realizzare siti internet e piattaforme web, e proprio data la mia “militanza” nel web-development mi  preme segnalare questa nuova minaccia per gli addetti ai lavori.

Il tema riguarda la scoperta di una vulnerabilità critica su piattaforme web basate sulla tecnologia Joomla!, largamente utilizzata per la costruzione di portali web personalizzati di varia natura.

Joomla! è una delle tante piattaforme CMS (Content Management System ossia sistema di gestione dei contenuti, uno strumento software, installato su un server web, il cui compito è facilitare la gestione dei contenuti di siti web, svincolando il webmaster da conoscenze tecniche specifiche di programmazione Web.)

La criticità (CVE-2017-8917) affligge un componente core della piattaforma CMS  il quale,  a causa di lacune di validazione, risulta essere vulnerabile all’iniezione di codice SQL (SQL Injection) permettendo ad attaccanti di rete non autenticati di trafugare dati e perpetrare accessi abusivi ai danni delle macchine oggetto di attacco.

Il Produttore ha confermato la vulnerabilità relativamente alla versione 3.7.0 del CMS Joomla! ed ha rilasciato opportuni aggiornamenti di sicurezza.

Siccome ulteriori dettagli tecnici relativi alla problematica sono stati rilasciati al pubblico, il consiglia è quello di verificare lo stato di aggiornamento di eventuali portali basati su tecnologie Joomla! all’interno delle vostre organizzazioni ed applicare con urgenza la patch di sicurezza indicata.

Data la popolarità della tecnologia in oggetto, esiste il rischio che tale vulnerabilità diventi bersaglio di ondate di attacchi opportunistici in grado di trafugare dati e/o credenziali contenute all’interno dei database, compiere accessi abusivi ai sistemi, causare disservizi, perpetrare illeciti attraverso le infrastrutture e compiere defacement (gergo usato per descrivere una operazione di pirateria informatica consistente nella modifica del contenuto di una pagina o di un sito web mediante l’introduzione illecita di testi critici o sarcastici).

Ulteriori aggiornamenti li posterò direttamente in questo articolo, per il resto e come al solito, se ci sono domande sono a disposizione.

 

website

La prima certificazione che serve per il WEB : è l’Italiano!

Ebbene sì, oggi è in atto una nuova corsa all’oro!

Tutti vogliono intraprendere nuovi business, spinti soprattutto dalla necessità di inserirsi in un mondo del lavoro sempre più selettivo e privo di opportunità. Internet è la “Nuova America”, la Terra Promessa di chi è in cerca di collocazione.
Meta più gettonata nella quale intraprendere un nuovo cammino “professionale” è proprio il “web development” (sviluppo web), che siano Blog, Siti o App poco importa, tutto ricade in questo grosso calderone che dopo la Fotografia e il Video Making (qui spopola You Tube) rappresenta la terza maggior attività intrapresa grazie al Web negli ultimi 3 anni.
In effetti è molto semplice approcciarsi a questa attività in quanto la richiesta di siti internet esiste (aziende, privati, associazionismo) e gli strumenti a disposizione per un rapido “self-made learning” non mancano di certo.

Oggi con 9,00 € esistono siti internet che rilasciano certificazioni da Sviluppatore WEB-PHP, Sistemista, Sviluppatore Android (non entro nel merito di questo genere di commercio in quanto è tutto perfettamente legale, e il problema sta in quelli che comprano questi servizi inutili e completamente privi di valore sul mercato), come funghi nascono Start-Up, ditte personali o semplicemente figure (più o meno) professionali che procacciano certificazioni tecniche e tecnologiche per accrescere il valore (a mio avviso solo esteriore) del loro operato.

In questi mesi mi è capitato di vedere molte pagine e molti annunci promozionali di “realtà operative” che si identificano nel mercato come Web Agency, offrendo tra i loro servizi “Strategie di Immagine e Pubblicitarie“, “SEO” e “Social Media Marketing” tutti servizi per i quali è necessario un determinato ‘know-how‘ tecnico (non ci si sveglia SEO la mattina, da un giorno a quell’altro).
Ma anche volendo soprassedere all’aspetto tecnico-formale del titolo con cui ci si propone una cosa è fondamentale: la padronanza dell’Italiano!

Le Grandi Aziende che fanno Siti Web e curano anche la parte realativa ai contenuti e al Marketing Plan di un Cliente, hanno sempre una figura dedita solo ed esclusivamente alla cura dei testi e dei contenuti da inserire nel Sito o nei post che vengono stabiliti e successivamente inseriti nei social, questo perchè è lecito che ognuno abbia la sua specializzazione o competenza e quindi non è necessario che il Programmatore sia anche un fine “Copywriter”.

Nelle piccole realtà, (la mia è una di queste) spesso ci si trova da soli a fare tutto ed è fondamentale curare maniacalmente tutte le parti in causa.

E’ inutile fare un sito responsive, con animazioni e traslazioni, con effetti e tecnologie di ultima generazione per poi postare nei social (che lo pubblicizzano) frasi con italiano “agghiacciante”, poco comprensibile e a tratti comico per quanto assurdo.
Il bello (eufemismo) è che questo “metodo” viene utilizzato anche nei social della azienda stessa, come se io domani mattina iniziassi a postare su FB, con il profilo 4web-Solutions, frasi che tentano di pubblicizzarmi in Italiano approssimativo quasi “dialettale”, con punteggiature casuali e senza ragionare e soppesare quello che scrivo.

Mettendomi nei panni di un papabile cliente, al quale serve un servizio simile, sarei sicuramente dissuaso dal contattarmi in quanto se ho necessità di un servizio e desidero arrivare a pagare una persona che mi possa gestire in modo efficiente i social network, sicuramente non avrò stimoli nel contattare chi si presenta in questo modo ortograficamente sciatto.

La filippica del venerdì ha due morali, la prima è indirizzata agli “utenti/potenziali clienti”: non siate avventati nello scegliere il vostro partner web, se credete veramente nella potenza di questi strumenti cercate di affidarvi a delle persone competenti, non occorre andare da grandi Web Agency per ottenere dei buoni risultati ma sicuramente nemmeno mettere la propria immagine o quella della propria azienda in mano a sprovveduti o finti professionisti. Ripeto, le certificazioni ufficiali sono rare e si riconoscono, perchè hanno dei codici e delle sigle sugli attestati e si possono verificare via web, tutte le altre cose che si trovano, su fogli di carta stampata si possono acquistare a poche decine di Euro, e acquisire anche senza seguire percorsi formativi ed esami.

La seconda verso i colleghi: non sono nessuno per giudicare il prossimo in base alla professionalità e alla bravura , tutti hanno la propria inclinazione e i proprio punti di forza, la credibilità invece non si compra e non si certifica con un esame ed una volta perduta o messa in discussione è difficile recuperarla soprattutto agli occhi del cliente.
Il consiglio che mi sento di dare è quello di fare una cosa e farla bene, a costo di prendere due lavori all’anno.
Ho letto cose incredibili su alcuni Social di “colleghi”, gente che promuove servizi di strategia di Marketing in linguaggio italiano misto mare, da far rizzare i peli. C’è lavoro per tutti nella rete e ognuno è libero di fare ciò che meglio credere, ma c’è un limite a tutto.
A presto.