Pubblicazione iniziale: 2023/07/20 9:40. Ultimo aggiornamento: 2023/07/20 16:30. L’articolo è stato riscritto estesamente per tenere conto delle nuove informazioni.
Kevin Mitnick, uno degli hacker e social engineer più famosi del mondo, è morto il 16 luglio scorso. Ne ha dato l’annuncio
inizialmente stanotte (ora italiana) solo un sito di necrologi, Dignitymemorial.com; poi il
New York Times(copia permanente)ha
confermato la notizia tramite una portavoce dell’azienda
KnowBe4, per la quale Mitnick lavorava come
chief hacking officer, e SecurityWeek ha scritto di aver confermato tramite proprie fonti imprecisate.
Solo qualche ora più tardi è comparso un avviso sul sito di KnowBe4 e sull’account Twitter di Mitnick; la moglie Kimberley ha dato l’annuncio su Twitter poco fa; il sito della
Mitnick Security ha attiva tuttora (16:30) la pagina per
prenotare una
conferenza con lui e la sua pagina LinkedIn non riporta alcuna informazione sul suo decesso. Visto che purtroppo ci sono molti siti e account social che speculano sulle morti annunciate, questa inconsueta penuria iniziale di aggiornamenti e di fonti mi ha imposto cautela nel riportare la notizia nelle prime ore.
Secondo il NYT, Mitnick ci ha lasciato in seguito a complicanze legate a un tumore al pancreas. Se volete
ripassare chi era Kevin Mitnick, ho scritto alcuni
articoli
che raccontano alcuni episodi della sua straordinaria carriera e dedicherò a lui parte del podcast del Disinformatico di domattina.
Dal flusso Twitter di Mitnick, il suo incontro con Neil Armstrong. L'uomo che per primo ha messo piede sulla Luna insieme all'uomo che avrebbe usato il social engineering per convincere Neil a scendere per secondo e dargli le chiavi del modulo lunare.
È difficile raggiungere un livello di cool, geekitudine ed epicità più alto. L'originale è qui.
Aggiornamento: Mitnick ha anche una foto insieme a Stan Lee e Steve Wozniak. Notevole. Grazie a @Flavio_MfM per la segnalazione.
È disponibile subito il podcast di oggi de Il Disinformatico della
Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate presso
www.rsi.ch/ildisinformatico
(link diretto) e qui sotto.
Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle fonti di questa puntata, sono qui sotto.
---
[CLIP: Video di Re;memory]
Il signor Lee sapeva che gli restava poco da vivere ed era preoccupato per sua
moglie, che sarebbe rimasta sola, e così le ha lasciato il suo gemello
digitale. Pochi mesi dopo la sua morte, la moglie è andata a trovarlo. “Tesoro, sono io. È passato molto tempo” le ha detto.
Sembra l’inizio
di una puntata di Black Mirror, ma è invece l’inizio di un
video commerciale che promuove i servizi
molto concreti di un’azienda coreana che offre griefbot: repliche
digitali interattive, audio e video, delle persone decedute.
Benvenuti alla puntata del 21 luglio 2023 del Disinformatico, il
podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie
strane dell’informatica. Io sono Paolo Attivissimo, e in questo podcast vi
racconterò i dettagli di questi griefbot e dei loro usi inattesi,
insieme alle ultime novità riguardanti lo scontro fra Threads e Twitter e la
storia di uno degli hacker più famosi di sempre, Kevin Mitnick.
[SIGLA di apertura]
Griefbot e intelligenze artificiali
La visionaria serie televisiva distopica Black Mirror ha ormai una
lunga tradizione di previsioni tecnologiche che qualche anno dopo si avverano.
Dieci anni fa, nella puntata Be Right Back (Torna da me nella
versione italiana), aveva immaginato un servizio online che raccoglieva tutte
le informazioni pubblicate sui social network da una persona defunta e tutti i
suoi messaggi vocali e video e li usava per creare un avatar che, sullo
schermo dello smartphone, parlava esattamente come quella persona e aveva il
suo stesso aspetto.
Con l’arrivo di ChatGPT e delle altre tecnologie di intelligenza artificiale,
quest’idea è diventata fattibile, e ha un nome tecnico, griefbot, che
combina il termine inglese “grief” (cioè “lutto”), con
“bot”, vale a dire “programma o agente automatico”.
Già alcuni anni fa erano stati realizzati in Russia,
Canada, Stati Uniti e
Cina
dei griefbot elementari, capaci di scrivere messaggi e di chattare online
imitando più o meno lo stile e, in alcuni casi, anche la
voce
di una persona defunta, e proprio un anno fa in questi giorni Amazon
proponeva
di dare al suo assistente vocale Alexa la voce di un familiare deceduto. Ma
questi griefbot erano abbastanza limitati come fedeltà delle loro
conversazioni e non erano in grado di mostrare interazioni video.
Ora, però, l’azienda coreana Deepbrain AI, che produce assistenti virtuali e
conduttori sintetici per telegiornali, offre anche queste interazioni su
schermo, tramite Re;memory, un
servizio che permette alle persone di dialogare anche in video con chi non c’è
più.
A differenza dei griefbot realizzati fin qui, che si basano sui dati lasciati
dalla persona deceduta, Re;memory si appoggia a suoni, immagini e dati forniti
appositamente e preventivamente. Chi vuole lasciare ai posteri un proprio
avatar interattivo deve farsi videoregistrare per circa sette
ore, durante le quali avviene un colloquio dettagliato, il cui contenuto viene
poi usato per fornire a un’intelligenza artificiale una serie di campioni
audio e video e di informazioni personali sulle quali basare l’avatar che
replicherà l’aspetto fisico e la voce della persona.
I familiari potranno incontrare l’avatar, e interagirvi in vere e proprie
conversazioni, recandosi in apposite sedi, dove vedranno l’immagine della
persona su un grande schermo, a grandezza naturale, seduta comodamente in poltrona, che
parla e si muove in risposta alle loro parole.
Nel video promozionale del servizio, che costa circa
10.000 dollari
e si paga anche ogni volta che lo si usa, si vede che l’avatar dialoga per esempio con la
figlia di un defunto, rispondendo a senso alle sue parole e creando in lei una
forte commozione anche se il tono dell’avatar è poco dinamico e molto pacato,
perché il software si basa solo sui campioni registrati in queste sedute apposite,
che comprensibilmente non sono ricolme di entusiasmo.
Re;memory non è l’unico griefbot sul mercato: aziende come
Hereafter AI offrono avatar più vivaci,
ma solo in versione audio, che dialogano con i familiari e sono anche in grado
di citare storie e aneddoti del passato della persona scomparsa.
L’avvento di questi fantasmi digitali era facilmente prevedibile, ma come
capita spesso queste nuove possibilità, concepite con uno scopo di conforto
ben preciso, hanno anche delle applicazioni meno facili da anticipare.
Per esempio, nulla vieta, almeno dal punto di vista tecnico, di creare un
avatar di una persona e di usarlo mentre quella persona
è ancora in vita, al posto di quella persona. Immaginate un adolescente
che passa moltissimo tempo al telefonino a dialogare con i propri amici e si
rende conto che preferisce interagire con gli avatar di quegli amici, che sono
meno impulsivi e più socievoli e non sono mai stanchi o scocciati, e comincia
a preferirli agli amici in carne e ossa. Per citare il futurologo Ian Beacraft
in un suo
recente intervento pubblico, una sfida dei genitori di domani non sarà decidere quanto tempo è giusto
lasciare che i propri figli stiano online, ma decidere quanti dei loro amici possano essere sintetici.
[CLIP: Beacraft che dice “as many of you with kids, the challenges aren't
going to be about how much time they spend on their digital devices but
deciding how many of their friends should be synthetic versus organic”]
Oppure immaginate uno stalker che si crea un avatar della persona dalla quale
è ossessionata, attingendo ai testi, ai video e ai messaggi vocali pubblicati
sui social network da quella persona. Tutti quei dati che abbiamo così
disinvoltamente condiviso in questi anni verranno custoditi tecnicamente, e verranno
protetti legalmente, contro questo tipo di abuso? Non si sa.
Ma ci sono anche delle applicazioni potenzialmente positive: una persona molto
timida o che ha difficoltà di relazione o si trova a dover affrontare una
conversazione molto difficile potrebbe per esempio esercitarsi e acquisire fiducia in se stessa
usando un avatar interattivo. In ogni caso, è ormai chiaro che la frontiera delle persone virtuali è stata aperta e non si chiude.
Non capita spesso di sentire che un social network impedisce intenzionalmente
ai propri utenti di frequentarlo più di tanto, ma è quello che succede da
qualche tempo su Twitter. Proprio mentre sto preparando questo podcast mi è
comparso l’avviso che ho
“raggiunto il limite giornaliero di visualizzazione di post” e mi è
stato proposto di abbonarmi “per vedere più post giornalmente”.
La
limitazione è stata decisa ai primi di luglio
ufficialmente
per contenere il cosiddetto data scraping, ossia la copiatura su vasta
scala dei contenuti pubblicati dagli utenti, però è anche un modo per
incoraggiare gli utenti a pagare per abbonarsi.
Queste limitazioni sono insolite e non piacciono né agli utenti né agli
inserzionisti, perché ovviamente impediscono agli utenti di vedere le loro
pubblicità, eppure anche Threads, il rivale di Twitter creato da Meta e
rilasciato in fretta e furia pochi giorni fa in versione
incompleta, ha dovuto
prendere
una misura analoga per difendersi dagli attacchi degli spammer. Anche in
questo caso, ci stanno andando di mezzo anche gli utenti onesti che sfogliano
tanto il servizio.
Threads ha ovviamente anche una limitazione ben più forte per noi utenti
dell’Europa continentale. Ufficialmente, infatti, l’app non è disponibile per chi
risiede in Europa, salvo nel Regno Unito, perché acquisisce dati personali in
modi incompatibili con le principali norme europee. Questo blocco fino a pochi giorni fa era
aggirabile in vari modi, ma ora è stato reso più robusto: molti di coloro che
riuscivano a usare Threads dall’Europa passando attraverso una VPN si sono
visti comparire un messaggio di errore e non possono più postare messaggi ma
solo leggere quelli degli altri.
Nel frattempo, anche senza gli utenti europei, Threads ha battuto ogni record di velocità di adozione di un
servizio online, raggiungendo i primi
100 milioni
di iscritti complessivi nel giro di una settimana dal suo debutto e superando
anche il primatista precedente, ChatGPT, che ci aveva impiegato
due mesi. Ma dopo l’entusiasmo iniziale, il numero di utenti attivi giornalmente su
Threads si è
dimezzato
rispetto all’inizio, scendendo da 49 milioni [nel podcast per errore dico 40] a circa 24, ossia poco meno di un
quinto di quelli di Twitter. La strada per rimpiazzare Twitter come fonte di
notizie in tempo reale è insomma ancora lunga.
Nonostante il calo molto significativo, Threads rimane comunque enorme
rispetto a Mastodon, altra piattaforma simile a Twitter, caratterizzata dalla
sua indipendenza federata e dal fatto che non raccoglie dati personali, come
fanno invece Threads e Twitter. Il confronto è particolarmente significativo
perché Meta, proprietaria di Threads, ha
avviato formalmente
presso il World Wide Web Consortium, uno dei principali enti di
standardizzazione di Internet, la procedura di adozione dello standard
ActivityPub, lo stesso usato da Mastodon e da tanti altri servizi analoghi, e questo
in teoria permetterebbe agli utenti di Mastodon di interagire con quelli di
Threads e viceversa. Ma molti degli amministratori delle varie
istanze di Mastodon, le “isole” che compongono questa piattaforma federata, non
vedono di buon occhio l’arrivo di un colosso commerciale come Threads, che li
potrebbe travolgere sommergendole di traffico, e stanno già pensando di bloccare o
defederare Threads. Altri, invece,
sperano
che la popolarità di Threads possa dare maggiore visibilità a questo ideale di
libera migrazione e interoperabilità proposto da ActivityPub e da Mastodon.
Twitter, da parte sua, non se la passa bene economicamente. Il suo
proprietario, Elon Musk, aveva
detto in
un’intervista recente che Twitter era a un passo dal generare profitti e che gli
inserzionisti che erano scappati dopo la sua acquisizione della piattaforma
stavano tornando, ma pochi giorni fa ha invece
dichiarato che i ricavi pubblicitari sono scesi del 50%. E su Twitter grava anche
il debito di 13 miliardi di dollari che Musk ha usato per acquistare questa
piattaforma a ottobre 2022. Quel debito sta costando circa un miliardo e mezzo
di dollari l’anno, e il bilancio rimane in rosso nonostante i licenziamenti
massicci e, a quanto risulta perlomeno dalla
ventina di cause
avviate contro Twitter, nonostante le bollette non pagate e i compensi di liquidazione ai
dipendenti licenziati che non sono stati corrisposti. Non è chiaro quanto possa ancora
durare Twitter in queste condizioni. Se non avete ancora fatto una copia dei vostri dati pubblicati su Twitter, forse è il caso di cominciare a pensarci.
Storia di un hacker
È il 1979. Un ragazzino di sedici anni riesce a farsi dare il numero
telefonico di accesso ad Ark, il sistema informatico sul quale la Digital
Equipment Corporation, uno dei grandi nomi dell’informatica dell’epoca, sta
sviluppando il suo nuovo sistema operativo. Il ragazzino entra nel sistema e
si copia il software. Per questo reato trascorre un mese in carcere e resta
per tre anni in libertà vigilata. Verso la fine del periodo di sorveglianza,
riesce a entrare nei computer della società telefonica Pacific Bell che
gestiscono le segreterie telefoniche e per i successivi due anni e mezzo si
rende irreperibile, usando telefoni cellulari clonati per nascondere la sua
localizzazione e violando numerosi sistemi informatici.
Il ragazzo viene inseguito a lungo dall’FBI, che lo arresta nel 1995 per una
lunga serie di reati informatici, e trascorre cinque anni in carcere.
Ma
questa non è la storia di un criminale informatico qualunque, perché l’allora
nascente Internet insorge in sua difesa. Il sito Yahoo, popolarissimo in quel
periodo, viene violato e ospita un messaggio che chiede la scarcerazione del
giovane hacker. Lo stesso succede al sito del New York Times [13 settembre 1998]. La
rivista informatica 2600 Magazine, lettura fondamentale degli hacker di
allora, distribuisce un adesivo con due semplici parole che faranno la storia
dell’informatica: FREE KEVIN.
Quel ragazzo, infatti, è Kevin Mitnick, uno degli hacker più famosi e temuti
della storia dell’informatica, e la punizione inflittagli dalle autorità viene
vista da molti informatici come eccessiva e gonfiata dalle pressioni dei media, anche perché
le tecniche di penetrazione usate da Mitnick sono spesso elementari e basate
più sulla persuasione delle persone (il cosiddetto social engineering)
e sull’inettitudine delle aziende in fatto di protezione dei dati e di
sicurezza dei sistemi che su chissà quali acrobazie informatiche, e Mitnick ha
avuto accesso a tantissimi sistemi ma non ne ha tratto grande profitto economico.
Kevin Mitnick viene rilasciato nel 2000, con il divieto di usare qualunque
sistema di comunicazione diverso dal telefono fisso, e diventa un
affermatissimo consulente informatico, che insegna le proprie tecniche di
social engineering
agli addetti alla sicurezza di moltissime aziende in tutto il mondo. Scrive alcuni dei libri
fondamentali della sicurezza informatica, come The Art of Deception, in
italiano L’arte dell’inganno, e The Art of Intrusion, che diventa L’arte dell’intrusione in italiano, e racconta il proprio punto di vista
sulle sue scorribande informatiche nel libro The Ghost in the Wires,
altra lettura obbligatoria per chiunque voglia fare sicurezza informatica
seriamente, tradotta in italiano con il titolo Il fantasma nella rete.
Una delle sue caratteristiche, oltre alla fama mondiale nel suo campo, è il
suo biglietto da visita: è realizzato in lamina di metallo, fustellata in modo
da formare dei grimaldelli che sono funzionanti e adatti per aprire la maggior parte
delle serrature.
Mentre preparo questo podcast, il New York Times, quello violato tanti
anni fa dai sostenitori di Kevin Mitnick, ha pubblicato la notizia della sua
morte a 59 anni in seguito alle complicanze di un tumore pancreatico. Lascia
la moglie Kimberley, che aspetta da lui il primo figlio. E qualcuno, su
Twitter, si augura caldamente che l’inferno e il paradiso abbiano installato
l’autenticazione a due fattori. Kevin is free.
Both Heaven and Hell have hopefully installed two-factor Authenticationhttps://t.co/CtMOt0lJLW
È disponibile subito il podcast di oggi de Il Disinformatico della
Radiotelevisione Svizzera, scritto e condotto dal sottoscritto: lo trovate
presso
www.rsi.ch/ildisinformatico
(link diretto) e qui sotto.
In questa puntata del podcast vi racconto una storia di ransomware:
l’estorsione che colpisce le aziende bloccando i loro dati con una password
che verrà consegnata dal criminale solo se verrà pagato un riscatto. Non è una
tecnica nuova, ma stavolta c’è un colpo di scena e ci sono di mezzo due
milioni di dollari e fino a 37 anni di carcere. E se un guru storico del
crimine informatico come Kevin Mitnick dice che è una storia interessante, si
va sul sicuro.
Buon ascolto, e se vi interessano il testo e i link alle fonti della storia di
oggi, sono qui sotto.
---
[CLIP: Spot Ubiquiti]
Ubiquiti è un nome che probabilmente non vi dice nulla, ma è una grande
azienda statunitense del settore dei dispositivi per la gestione delle reti
informatiche: la “ferraglia” elettronica sulla quale transitano continuamente
i nostri dati digitali, insomma.
Di recente è stata attaccata da un ricattatore molto particolare, tanto da
meritarsi l’interesse di uno dei massimi esperti di crimine informatico, il
mitico Kevin Mitnick.
Questa è la storia di un ricatto informatico insolito e di come la speranza di
intascare due milioni di dollari rischia ora, per un banale errore, di
diventare una sentenza che comporta fino a 37 anni di carcere. Visto che i
dati più recenti indicano un aumento notevole dei ricatti informatici ai danni
di aziende piccole e grandi, anche in Svizzera, è una storia che conviene
conoscere, perché contiene lezioni utili per tutti, dai datori di lavoro ai
dipendenti. E anche, inevitabilmente, per gli aspiranti criminali.
[SIGLA]
Il ransomware, ossia il software che penetra nei sistemi informatici delle
aziende, blocca i loro dati con una password conosciuta solo ai criminali che
gestiscono questo software, e poi chiede un riscatto per sbloccarli o per non
pubblicarli, non è certo una novità.
Ma secondo i dati raccolti da Swissinfo.ch, il ransomware è un fenomeno in
netta crescita. Fra agosto 2020 e agosto 2021 circa 2700 aziende svizzere sono
state colpite da questa forma di attacco, stando alle stime della società di
sicurezza statunitense Recorded Future: quasi il triplo rispetto agli anni
precedenti, con una richiesta media di pagamento di circa 167.000 franchi o
180.000 dollari.
È difficile avere dati precisi, perché molte aziende non denunciano questi
attacchi per non subire danni alla propria reputazione. Comparis, Stadler,
RUAG e il comune di Rolle nel canton Vaud sono solo alcune delle vittime note più recenti, ma ce ne sono molte altre che pagano e tacciono.
Lo schema di attacco è ben documentato: i criminali iniziando inviando ai
dipendenti dell’organizzazione presa di mira una mail contenente un allegato
dall’aspetto innocuo, tipicamente una fattura. L’allegato, che in realtà
trasporta un malware o virus informatico, viene aperto incautamente, senza
adeguate precauzioni tecniche e comportamentali, facendo leva sulla fiducia
dell’utente, e così supera le difese informatiche del bersaglio.
A volte l’attacco è più sofisticato e avviene sfruttando le falle di qualche
sistema informatico maldestramente configurato e lasciato esposto su Internet,
oppure una chiavetta USB infetta inserita con l’astuzia o la seduzione in un
computer aziendale, ma capita abbastanza raramente. In un modo o nell’altro,
gli aggressori entrano insomma nel cuore informatico dell’azienda, lo bloccano
cifrando i dati oppure ne prelevano una copia, e poi chiedono soldi,
solitamente sotto forma di criptovalute.
La storia di ricatto che voglio raccontarvi oggi, però, segue un copione
leggermente differente.
Tutto inizia il 10 dicembre del 2020, quando qualcuno entra nei server gestiti
dall’azienda informatica californiana Ubiquiti Networks, un grande nome del
settore che vende router, telecamere e altri sistemi digitali di sicurezza, e
ne sottrae vari gigabyte di dati sensibili usando una tecnica abbastanza
insolita: l’intruso adopera infatti le credenziali di un amministratore del
cloud aziendale.
Il furto prosegue una decina di giorni più tardi, il 21 e 22 dicembre, quando
vengono rubati altri dati. L’intruso copre le proprie tracce alterando i log
che registrano le attività. Ma a differenza dei casi tradizionali di
ransomware, i dati di quest’azienda non vengono cifrati dall’aggressore.
Alcuni dipendenti della Ubiquiti si accorgono del furto una settimana più
tardi, poco dopo Natale, e l’azienda raduna i suoi esperti per analizzarne le
conseguenze.
Ai primi di gennaio 2021 Ubiquiti riceve una mail di richiesta di riscatto. La
proposta del criminale è molto chiara: se l’azienda non gli pagherà 25
bitcoin, equivalenti a poco più di un milione di dollari, i dati confidenziali
sottratti verranno resi pubblici, causando un disastro reputazionale.
Ma la mail di ricatto non si ferma qui: prosegue offrendo di rivelare
all’azienda la tecnica usata per entrare nei suoi sistemi, in modo che possa
chiudere la falla ed evitare nuovi attacchi. Per questa sorta di bizzarra
consulenza informatica, il criminale chiede altri 25 bitcoin. Entrambe le
proposte, che ammontano quindi a due milioni di dollari in tutto, scadranno a
mezzanotte del 9 gennaio.
L’azienda decide di non pagare nessuna delle due richieste di denaro. Allo
scadere dell’ultimatum, il criminale pubblica su Internet, visibili a
chiunque, alcuni campioni dei dati confidenziali sottratti.
Ubiquiti riesce a farli togliere da Internet contattando il sito che li
ospita, Keybase, e trova e chiude una falla nei propri sistemi creata
dall’aggressore, cambia tutte le credenziali dei dipendenti e poi annuncia
pubblicamente, l’11 gennaio 2021, di aver subìto una violazione informatica. I
dati sottratti, dice, includono nomi, indirizzi di mail e password cifrate dei
suoi clienti. L’azienda raccomanda a tutti gli interessati di cambiare
password e di attivare l’autenticazione a due fattori.
L’incidente sarebbe chiuso, ma a questo punto della vicenda entra in gioco un
whistleblower, ossia un anonimo lanciatore d’allerta interno all’azienda, che
a fine marzo 2021 contatta i media specializzati, in particolare il noto
esperto di sicurezza informatica Brian Krebs, e rivela i retroscena
dell’annuncio pubblico di violazione, che lui conosce bene perché ha fatto
parte del gruppo di esperti incaricati dell’analisi dell’incidente
informatico.
L’anonimo aggiunge che Ubiquiti sta minimizzando la portata della violazione,
che in realtà sarebbe “catastrofica” e includerebbe tutti i codici di
autorizzazione più delicati, tanto da consentire ai criminali di accedere a
qualunque dispositivo Ubiquiti installato presso i clienti sparsi in tutto il
mondo. Questa violazione sarebbe stata perpetrata da un aggressore non
identificato, che sarebbe entrato impossessandosi banalmente delle credenziali
di un amministratore di sistema dell’azienda. Una figuraccia imbarazzante per
una grande società che si specializza in sicurezza informatica.
Questa rivelazione causa comprensibilmente un crollo nella quotazione in borsa
della Ubiquiti, che scende di circa il 20% nel giro di una giornata,
comportando perdite di capitalizzazione di mercato equivalenti a oltre quattro
miliardi di dollari. L’azienda annuncia il giorno successivo, che è il primo
d’aprile, di essere oggetto di un tentativo di estorsione.
Nel frattempo l’FBI ha avviato un’indagine informatica e ha scoperto che
l’intruso si è collegato via Internet ai computer di Ubiquiti usando
Surfshark, un software di VPN (Virtual Private Network o “rete privata
virtuale”), per mascherare l’origine del collegamento e impedire qualunque
tentativo di rintracciarlo tramite il suo indirizzo IP, che normalmente
verrebbe registrato nei log aziendali, e poi è entrato nei sistemi della
Ubiquiti usando delle credenziali di amministratore, proprio come dice il
whistleblower. Ma l’aggressore ha commesso un breve, fatale errore.
In due brevissime occasioni si è collegato senza accorgersi che
un’interruzione momentanea del suo accesso a Internet aveva impedito a
Surfshark di attivarsi correttamente, e così si è collegato a Ubiquiti
direttamente, comunicando il suo vero indirizzo IP. Cosa peggiore, durante
questi collegamenti ha trasferito parte dei dati sensibili dell’azienda.
L’FBI ha insomma tutto il necessario per identificare l’aggressore, e procede
così a una perquisizione e a un arresto, seguiti da un atto di accusa del
Dipartimento di Giustizia di New York che è stato recentemente reso pubblico.
Questo atto di accusa rivela il dettaglio che spinge lo storico hacker Kevin
Mitnick a descrivere su Twitter la vicenda come “un colpo di scena
interessante nel ransomware” e a esclamare “Busted!” (“Beccato!”):
l’aggressore e il whistleblower sono infatti la stessa persona, e si tratta di
un dipendente della Ubiquiti.
Secondo l’atto di accusa, che non fa esplicitamente il nome dell’azienda ma
consente di dedurlo, il dipendente in questione è Nickolas Sharp, un
trentaseienne di Portland, in Oregon, che lavorava alla Ubiqiti come senior
software engineer ed era responsabile per lo sviluppo del software e per la
sicurezza delle infrastrutture aziendali.
Sharp, paradossalmente, faceva proprio parte del team di specialisti della
Ubiquiti incaricati di indagare sulla violazione. Quella violazione che lui
stesso aveva commesso, usando le proprie credenziali di amministratore e la
propria conoscenza dei sistemi informatici aziendali.
Quando il suo tentativo di estorsione è fallito perché Ubiquiti ha deciso di
non pagare, ha tentato di danneggiare l’azienda e di depistare le indagini
diffondendo notizie false su un presunto aggressore esterno. Ma è stato
tradito da una banale caduta di linea. Come ha dichiarato Michael J. Driscoll,
Assistant Director dell’FBI, “Il signor Sharp forse riteneva di essere
abbastanza astuto da far funzionare il suo piano, ma un semplice guasto
tecnico ha messo fine ai suoi sogni di ricchezza.”
Il processo deciderà se le accuse molto circostanziate dell’FBI sono fondate:
in tal caso, Nickolas Sharp rischia fino a 37 anni di carcere.
L’esperto di sicurezza informatica Graham Cluley ha commentato questa insolita
tentata estorsione osservando che “tutte le aziende farebbero bene a ricordare
che probabilmente la minaccia peggiore non proviene da hacker esterni, ma dai
dipendenti che sono stati assunti e ai quali è stata data fiducia nel gestire
i sistemi informatici e nell’interagire con i dati aziendali”.
Non che gli hacker esterni facciano pochi danni, intendiamoci, ma un addetto
interno può fare ben di peggio. Un buon rimedio è vincolare tutti gli accessi
ai dati più sensibili in modo che serva l’autorizzazione contemporanea di
almeno due persone e altre persone vengano allertate di ognuno di questi
accessi. Questo rende molto più difficili sabotaggi dall’interno come quello
che ha colpito l’azienda statunitense.
E per tutti gli aspiranti hacker che pensano che usare una VPN li renda
invisibili e impossibili da rintracciare e identificare: pensateci due volte.
Storie come quella di Nickolas Sharp dimostrano che non è così semplice,
neanche per un addetto ai lavori.
Sta circolando un appello secondo il quale “se ricevete
una chiamata e sul display del Vostro telefonino appare la scritta
NYK... il Vostro telefono verrà infettato da un VIRUS. Questo
virus cancellerà sia dalla SIM CARD sia dalla memoria telefono
tutte le informazioni IMEI e IMSI rendendo impossibile contattare
qualsiasi network (OMNITEL,TIM,WIND ECC. ECC.).”
A questo autentico sconquasso telefonico non ci sarebbe rimedio:
“L'unica soluzione” prosegue l'appello “a
quel punto è cambiare telefono”. Le fonti, dice
l'appello, sarebbero autorevolissime: “Questa notizia è
stata confermata sia da Motorola che da Nokia; in questo momento ci
sono oltre 3 milioni di telefoni infettati da questo virus negli USA.
Potete inoltre trovare conferma a questa notizia nel sito internet
della CNN.”
Invece è una bufala, e per essere precisi è una
variante di una bufala già ampiamente documentata dal Servizio
Antibufala e da vari siti antibufala internazionali, come descritto
qui:
ho criticato l'astrologia chiedendo “adesso che i pianeti
conosciuti nel sistema solare sono almeno due in più, come la
mettiamo con gli oroscopi, che non ne tengono conto?”
Alcuni lettori mi hanno risposto che “l'astrologia sa e
accetta e non da ieri il decimo e l'undicesimo pianeta.”
Un'affermazione che, se vera,
sarebbe molto interessante: conoscete qualche testo online a
cui fare riferimento? Confesso che la mia frequentazione dei siti
astrologici è piuttosto carente, per cui mi occorre il vostro
aiuto.
L'affermazione sarebbe interessante per un motivo molto semplice.
Se gli astrologi sanno di questi due pianeti in più, presumo
sappiano quali sono le loro posizioni, altrimenti come farebbero a
calcolarli negli oroscopi? Ma se è così, allora
potrebbero essere così gentili da indicare le loro coordinate
agli astronomi e risparmiare loro tanta fatica. O sbaglio?
Il PC spento ti spia!
Un conduttore radiofonico di Radiodue dichiara di essere stato
spiato in casa tramite il suo computer collegato a Internet, con
tanto di minacce di morte da parte dello spione. La notizia è
stata riportata da vari telegiornali, fra cui TG5 e Studio Aperto,
che avrebbero precisato che lo spionaggio sarebbe avvenuto
addirittura a computer spento.
Dello stesso avviso è il Messaggero del 21/1/03, che titola
in prima pagina “Attenti, il computer può spiarvi
anche se spento”.
La descrizione degli eventi è grosso modo questa: l'intruso
avrebbe attivato la Webcam e il microfono collegati al PC del
conduttore e avrebbe quindi ascoltato le sue conversazioni e
osservato le sue attività domestiche. Fin qui niente di
insolito: queste cose si possono fare con una miriade di programmi,
come il celeberrimo Back Orifice e un po' di ingenuità della
vittima. Le ho verificate di persona, beninteso sui miei computer
(non su quelli altrui), e sono facilissime da realizzare.
Il vero problema è quella precisazione “anche se
spento”, che ha causato
panico tra i non esperti ma ilarità tra gli addetti ai lavori.
Infatti non esiste assolutamente alcun modo di attivare webcam e
microfono di un computer spento. Un computer spento non trasmette
nulla e non riceve nulla. Ci sono poche cose certe in informatica, ma
di questa potete stare certi. Se davvero i telegiornali hanno
ripetuto la notizia e il dettaglio del computer spento, dimostrano la
loro tragica incompetenza informatica.
In realtà
il testo dell'articolo del Messaggero non parla affatto di computer
spenti: dice semplicemente che l'intruso riusciva ad “attivarlo
anche da lontano attraverso la sua connessione Internet”.
Proprio quello che fa Back Orifice (che è anche in grado di
spegnerlo a distanza). La storia del computer spento è quindi,
a quanto pare, una infelice invenzione del titolista. Sarebbe gradita
una nota di scuse da parte del Messaggero per procurato allarme.
Ripeto: niente
panico. Nessuno può spiarvi attraverso un computer spento. E'
invece molto facile farlo a computer acceso, specialmente se il
vostro PC è dotato di microfono e telecamera. Se avete di
questi timori, scollegate il microfono quando non vi serve e mettete
un pezzo di cartoncino davanti alla telecamera quando non volete
essere visti.
Pete Townshend accusato di pedofilia, la sua “scusa”
regge
Ha causato notevole stupore l'accusa di pedofilia online rivolta
in Inghilterra a Pete Townshend, celeberrimo chitarrista degli Who,
ma ha causato altrettanta perplessità la sua giustificazione,
secondo la quale avrebbe scaricato immagini pedofile da Internet "per
motivi di ricerca".
La giustificazione è meno campata per aria di quello che
può sembrare. Townshend sta effettivamente lavorando da tempo
ad articoli e libri sugli abusi dei minori. Il sito The Smoking Gun
si è procurata una copia di uno di questi articoli, datato
gennaio 2002, che era già in circolazione (sul sito di
Townshend, per esempio) ed era stato già citato da un
giornalista di Fox News. Non si tratta, insomma, di una cosa scritta
di fretta per coprirsi le spalle a cose fatte.
Se sapete l'inglese, leggete l'articolo di Pete, merita veramente,
perché offre un quadro della situazione che difficilmente un
utente normale ha modo di acquisire (e vi sconsiglio vivamente di
provare a farlo, finireste facilmente nei guai nonostante le vostre
intenzioni oneste). E' fin troppo facile trovare pedofilia online
anche senza cercarla, secondo Townshend, e alcune comunicazioni
personali che ho ricevuto di lettori sembrano confermare questa
affermazione. Trovate qui l'articolo di Townshend:
In realtà la polizia inglese lo ha sentito ma non lo ha
incriminato: gli ha semplicemente contestato che il numero della sua
carta di credito era saltato fuori, durante un'indagine statunitense
condotta con l'aiuto della società Visa, in un elenco di
numeri di carte che erano state utilizzate per accedere a siti
pedofili a pagamento. In particolare, la polizia aveva allestito un
sito-trappola, e Townshend vi era incappato.
Townshend ha dichiarato spontaneamente di aver usato la carta per
visitare un sito pedofilo, ma di non aver scaricato né
conservato immagini, e ha messo subito a disposizione della polizia
il contenuto dei propri computer, nei quali la polizia non ha trovato
nulla di pedofilo.
Sembra insomma che il nome di Pete Townshend sia stato infangato
per una sua leggerezza, non perché è un pedofilo. Il
chitarrista avrebbe dovuto contattare la polizia e chiedere il
permesso di assistere a una delle loro visite ai siti pedofili,
spiegando la ricerca in corso. Suvvia, di fronte a un membro degli
Who e a un approccio così onesto, difficilmente gli avrebbero
detto di no. Invece ha preferito tentare di farlo di nascosto, e gli
è andata buca. Mi raccomando, non imitate il suo esempio,
neppure per fare i paladini della giustizia.
Chioccioline
Microsoft offre il codice sorgente di Windows? Operazione di
facciata. Se volete saperne di più, Apogeonline ha
pubblicato una mia indagine su quali sono le vere conseguenze di
questa falsa “apertura” del gigante del software.
L'articolo è presso
Il Sudafrica decide di passare all'open source per la pubblica
amministrazione. Motivi: risparmio di denaro e indipendenza da
una società specifica grazie all'uso di standard pubblici
anziché formati proprietari. Microsoft risponde: "Cosa
accadrà quando gli sviluppatori che lo trovano oggi
entusiasmante domani andranno verso qualcosa che consenta loro di
essere pagati?", dimostrando di non aver ancora capito come
funziona l'open source: gli sviluppatori scrivono software per
passione, non per denaro. Evidentemente un'abitudine così poco
diffusa in casa Gates che manco si ricordano che si può creare
anche soltanto per il piacere di creare e non solo per diventare
milionari. Ne parla anche Punto Informatico:
Kevin Mitnick ritorna online: uno dei nomi più
controversi della storia della Rete (a causa della sua leggendaria
abilità nel penetrare i più sofisticati sistemi
informatici aziendali e governativi), incarcerato per cinque anni e
in libertà vigilata con il divieto assoluto, fino a poco tempo
fa, di toccare un computer, può dal 21 gennaio riaffacciarsi
direttamente a Internet, che non frequenta da otto anni. Ora fa il
consulente di sicurezza. Kevin ha commesso crimini secondo la legge
USA, ma non ha mai tratto guadagno dalle proprie scorribande e nei
suoi libri ha spiegato eloquentemente quanto sia vulnerabile e
ingenuo il mondo dell'informatica aziendale, educando una generazione
di informatici (me compreso). Per festeggiare l'evento, il sito
Slashdot raccoglie le domande dei lettori e girerà le migliori
a Mitnick. Bentornato Kevin!
Questo articolo è una ripubblicazione della newsletter Internet per tutti che gestivo via mail all’epoca. L’orario di questa ripubblicazione non corrisponde necessariamente a quello di invio della newsletter originale. Molti link saranno probabilmente obsoleti.
"Una rimbambita chiama da Skype il mio cellulare e finge di essere una che emette carte di credito e me ne offre una"
"Ha insistito sulla mia data di nascita per DIMOSTRARE che ho almeno 18 anni. Le ho detto che dovevo guardare la mia patente perché mi ero dimenticato la mia data di nascita"
"E mi ha pure ringraziato per il mio tempo... HAHAHAHAHHAHAHAHA"
"Ho registrato la chiamata. Potrei pubblicarla da qualche parte se ho tempo"
"Controllerò con il mio avvocato per sapere se la posso pubblicare... non voglio finire sotto processo"
No, non è un fotomontaggio,
ma non è un saluto nazista.
Credit: Getty Images.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi per incoraggiarmi a scrivere ancora. Ultimo aggiornamento: 2017/01/22 4:00.
Molti mi chiedono come mai twitto spesso di Trump e che c’entra con me, che sono un debunker, un cacciatore di bufale, uno che si occupa di scienza, non di politica. Semplice: Donald J. Trump è una bufala vivente. È un complottista alla Casa Bianca. Le sue decisioni influenzano l’intero pianeta. Le sue scelte per lo staff che lo circonderà sono antiscienza pura. È un idiota circondato da furbi: per un debunker è inevitabile occuparsene. E preoccuparsene.
Se avete dubbi su quello che dico, toglieteveli: documentatevi su cosa dice e fa e soprattutto su chi sono e cosa dicono i membri del suo staff. Leggete le loro dichiarazioni dirette, non filtrate. In confronto, George Bush Jr. era un genio circondato da sommi sapienti.
Forse chi non conosce l’inglese è un po’ schermato dalla barriera linguistica e non riesce a cogliere l’intonazione boriosa dell’imbecille che pensa di sapere tutto e in realtà non sa niente. Ma il modo di parlare, il modo di gesticolare, il modo di twittare di Trump ricorda senza ambiguità quello di tanti complottisti, sciachimisti, antivaccinisti con i quali ho avuto a che fare in questi anni di debunking. Il suo modo di fare è quello di chi dice “Non mi serve la scienza, non mi servono gli esperti, mi basta quello che so e quello che vedo”.
Sto cominciando a raccogliere qui le sue perle migliori: questo è solo un assaggio.
Trump e l’antivaccinismo
Donald Trump ha dichiarato di credere che i vaccini causano l’autismo (bufala conclamata). Lo ha dettoripetutamente.
Healthy young child goes to doctor, gets pumped with massive shot of many vaccines, doesn't feel good and changes - AUTISM. Many such cases!
Trump ha anche voluto incontrare personalmente Andrew Wakefield, il medico (ora radiato dall’albo per frode) che con il suo articolo fraudolento su Lancet ha inventato la bufala del legame fra vaccino trivalente morbillo-parotite-rosolia e autismo. Trump ha invitato e ospitato Wakefield alla propria festa d’insediamento.
Trump e il riscaldamento globale
Donald Trump afferma che “il concetto di riscaldamento globale è stato creato da e per i cinesi per rendere non competitiva l’industria americana”:
The concept of global warming was created by and for the Chinese in order to make U.S. manufacturing non-competitive.
Non bisogna dimenticare il suo complottismo ossessivo a proposito del certificato di nascita di Obama. CNN ha compilato una collezione cronologica delle sue dichiarazioni ripetute e deliranti sull’argomento. È arrivato a sostenere che una delle persone che ha validato il certificato è morta in una cospirazione.
Trump e la storia americana
Questo è il modo in cui Trump ha risposto a una domanda basilare di storia americana: cosa fece Abramo Lincoln e perché ebbe successo. Uno dei concetti fondamentali della storia degli Stati Uniti. Quelle che seguono sono le sue esatte parole in un’intervista nientemeno che con Bob Woodward.
Beh, credo che Lincoln abbia avuto successo per varie ragioni. Era un uomo che era di grande intelligenza, cosa che la maggioranza dei presidenti sarebbe. Ma era un uomo di grande intelligenza, ma era anche un uomo che fece qualcosa che era una cosa molto vitale da fare a quell’epoca. Dieci anni prima o venti anni prima, quello che stava facendo non sarebbe mai stato neanche pensato possibile. Per cui fece qualcosa che era una cosa molto importante da fare, e specialmente a quell’epoca.
In originale:
Well, I think Lincoln succeeded for numerous reasons. He was a man who was of great intelligence, which most presidents would be. But he was a man of great intelligence, but he was also a man that did something that was a very vital thing to do at that time. Ten years before or 20 years before, what he was doing would never have even been thought possible. So he did something that was a very important thing to do, and especially at that time.
Se vi ricorda la risposta che si dà a scuola quando si viene interrogati e non si sa niente dell’argomento che si dovrebbe conoscere, non siete i soli. Questo è un futuro presidente americano che non sa cos’ha fatto Abramo Lincoln.
Trump e l’informatica
Vogliamo parlare di informatica? Questo è un tweet di Trump:
Se non acciuffi gli “hacker” sul fatto, è molto difficile determinare chi stava facendo hacking. Perché questa cosa non è stata sollevata prima delle elezioni?
In originale:
“Unless you catch "hackers" in the act, it is very hard to determine who was doing the hacking. Why wasn't this brought up before election?
La questione non è stata sollevata prima delle elezioni per una buona ragione: è una stronzata. Non lo dico io: gli ha risposto nientemeno che Kevin Mitnick, che sa sulla propria pelle che si può eccome essere acciuffati dopo l’atto di “hacking”:
.@realDonaldTrump Not true. You can catch hackers after the act as well. Take it from someone who knows this fact very well.
In italiano: “Non è vero. Si possono acciuffare gli hacker anche dopo l’atto. Se lo lasci dire da qualcuno che sa bene questo fatto”.
E questa è una sua dichiarazione sulla guerra informatica durante uno dei dibattiti presidenziali:
...when you look at what ISIS is doing with the internet, they're beating us at our own game. ISIS. So we have to get very, very tough on cyber and cyber warfare. It is a, it is a huge problem. I have a son. He's 10 years old. He has computers. He is so good with these computers, it's unbelievable. The security aspect of cyber is very, very tough. And maybe it's hardly doable.
In italiano:
...quando guardi cosa fa l’ISIS con Internet, ci stanno battendo al nostro gioco. L’ISIS. Per cui dobbiamo diventare molto, molto duri nel cyber e nella cyberguerra. È un, è un problema enorme. Io ho un figlio. Ha dieci anni. Ha dei computer. È così bravo con questi computer, è incredibile. L’aspetto della sicurezza del cyber è molto, molto difficile. E forse è quasi irrealizzabile.
Parole in libertà, ovvietà assolute (e anche sbagliate, visto che gli Stati Uniti fanno guerra informatica con strumenti sofisticatissimi mentre l’ISIS riesce solo a postare video-shock su Youtube). Parole che non vogliono dire nulla e nascondono una totale incompetenza e impreparazione.
Sapete chi ha scelto come “zar per la sicurezza informatica”? Rudolph Giuliani. Sì, l’ex sindaco di New York, che oggi ha 72 anni e di informatica non capisce un’acca. La sua azienda di “cybersicurezza”, Giulianisecurity.com, è stata ridicolizzata da chi d’informatica ci capisce veramente: usa software obsoleto e ha diversevulnerabilitàbasilarida puro dilettantismo. E questo è l’uomo che dovrebbe difendere l’America dagli attacchi degli esperti dei governi stranieri e fare da consulente a Trump?
Trump e le armi nucleari
Vogliamo parlare, che so, di una questioncella come le armi nucleari? L’uomo che tra poco avrà accesso ai più grandi poteri di distruzione mai affidati a un singolo individuo non sa neanche che cos’è la triade nucleare. E dire che non è difficile: la triade nucleare è composta da bombardieri, missili e sottomarini armati di testate nucleari. Glielo chiedono specificamente in un dibattito e lui risponde con un altro fiume di parole incoerenti da scolaretto impreparato. Guardate il video.
E poi c’è questo suo tweet di dicembre 2016: “Gli Stati Uniti devono rafforzare massicciamente ed espandere la propria capacità nucleare fino al momento in cui il mondo comincerà a ragionare sulle bombe atomiche” (“The United States must greatly strengthen and expand its nuclear capability until such time as the world comes to its senses regarding nukes”). Gli Stati Uniti hanno già milleottocento bombe atomiche pronte per l’uso rapido. Più altre duemila circa in riserva, caso mai non bastassero le prime milleottocento. Perché Trump vuole espandere quest’arsenale? Intende usarlo? Quando gli hanno chiesto di chiarire, Trump ha risposto“Lasciamo che sia una corsa agli armamenti”.
Trump, il razzismo e il sessismo
Ci sarebbero, poi, da considerare le sue parole razziste e sessiste, il suo chiamare le donne “scrofe” o il suo vantarsi di poterle palpeggiare come e quando gli pare, ma queste sono questioni fuori tema rispetto al debunking. Anche perché non c’è alcuna necessità di verificare che queste cose le abbia dette: lo ha fatto, documentatamente e pure in pubblico.
L’antiscienza e l’arroganza al potere
Come debunker, vedere l’antiscienza al potere, assistere al trionfo strafottente di chi pensa che le proprie opinioni contino più dei fatti, che studiare e prepararsi non serva, mi mette paura. Sì, paura: perché la storia è già abbastanza ricolma dei danni causati quando una nazione ha abbracciato l’antiscienza e l’ha portata al potere. Non abbiamo bisogno di “dargli una possibilità”, come sento dire a tanti. Sappiamo già come va a finire.
Se vi serve un ripasso, leggete questo mio breve saggio sulla pseudoscienza al potere nel passato: Reagan che decide in base all’astrologia, Stalin e la purga dei biologi che si opponevano alle teorie di Lysenko, l’inesprimibile orrore della pseudoscienza ariana alla base dell’Olocausto, i militari americani e sovietici che finanziano i sensitivi che promettono di attraversare i muri con la forza del pensiero, e via così, fino agli sciachimisti e agli antivaccinisti di oggi seduti nei posti di potere.
Se quello che dico vi scoccia, siete liberi di non seguirmi e di non leggermi. Fate pure. Ma non siete liberi di sfuggire alle decisioni della presidenza Trump. Alla Casa Bianca sta per insediarsi un negazionista del riscaldamento globale. Uno che vuole bloccare la ricerca della NASA sul clima, in modo da non avere più dati climatici e far sparire il problema. Uno che, spalleggiato da compari legati a doppio filo all’industria petrolifera, vuole spingerci tutti a ficcare la testa nella sabbia.
––
Ci aspettano almeno quattro anni di antiscienza pura al potere in America, che avrà effetto su di noi, perché le decisioni prese là, ci piacciano o no, influenzano anche noi; influenzano il mondo. Forse non dovrei chiamarla antiscienza, perché la scienza viene spesso percepita come fredda, astratta, soggetta a ripensamenti: dovrei chiamarla, molto semplicemente, antirealtà.
Non ne faccio questione di politica: i fatti non sono né di destra né di sinistra, sono fatti e basta, e sono quelli che sono. Non c’è quantità di lacca per capelli o di strilli isterici o di istigazione all’odio che tenga: la realtà ha da tempo immemorabile questo sublime difetto di infischiarsene delle opinioni e delle ideologie e di tutti gli idioti che pensano di poterla piegare al loro volere, e poi presentare il conto.
Come debunker, insomma, non posso stare a guardare mentre si fa scempio della scienza e del mondo. Ecco perché.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla gentile donazione di “ste.simon*”, “davidedani*” e “matteo.cam*” ed è stato aggiornato estesamente dopo la pubblicazione iniziale. Se vi piace, potete incoraggiarmi a scrivere ancora. Ultimo aggiornamento: 2015/07/11 18:45.
Stanotte HackingTeam, la controversa società italiana che vende software di sorveglianza a governi d'ogni sorta e per questo è etichettata come “nemica di Internet” da Reporter Senza Frontiere, è stata violata massicciamente: questo è, perlomeno, quanto risulta a giudicare dai 400 gigabyte di suoi dati riservati che sono ora a spasso su Bittorrent, a disposizione di chiunque abbia banda sufficiente a scaricarli e tempo e competenza per analizzarli.
Anche l'account Twitter di HackingTeam (@HackingTeam) è stato violato ed è stato usato per pubblicare schermate del materiale pubblicato e tweet di sfottimento come quello mostrato qui sopra.
Dentro la collezione di dati trafugata, stando ai primi esami, c'è di tutto: registrazioni audio, mail, codice sorgente, credenziali di login per i siti di supporto di Hacking Team in Egitto, Messico e Turchia. Secondo l'analisi dell'elenco di file del pacchetto Bittorrent, i clienti di HackingTeam includono la Corea del Sud, il Kazakistan, l'Arabia Saudita, l'Oman, il Libano e la Mongolia; c'è una fattura da 480.000 euro al NISS (National Intelligence and Security Services) del Sudan, che secondo Human Rights Watch ha soffocato le proteste contro il governo facendo 170 morti nel 2013, e c'è una fattura da un milione di euro tondi alla Information Network Security Agency dell'Etiopia, eppure HackingTeam ha dichiarato di non fare affari con governi oppressivi.
Stando ai dati pubblicati a seguito dell'intrusione, ci sono clienti di HackingTeam nei seguenti paesi: Arabia Saudita, Australia, Azerbaigian, Bahrein, Cile, Cipro, Colombia, Corea del Sud, Ecuador, Egitto, Emirati Arabi, Etiopia, Germania, Honduras, Italia, Kazakistan, Lussemburgo, Malesia, Marocco, Messico, Mongolia, Nigeria, Oman, Panama, Polonia, Repubblica Ceca, Russia, Singapore, Spagna, Stati Uniti, Sudan, Svizzera, Tailandia, Ungheria, Uzbekistan, Vietnam.
Fra questi paesi quello più scottante è il Sudan, perché c'è un embargo ONU contro questo paese e un'eventuale violazione di quest'embargo da parte di HT sarebbe decisamente imbarazzante, viste anche le dichiarazioni passate di HackingTeam, secondo le quali ci sarebbe un “comitato legale” che “tiene conto delle risoluzioni ONU, dei trattati internazionali e delle raccomandazioni di Human Rights Watch e di Amnesty International”. Attenzione: “tenere conto” non è sinonimo di “rispettare”. E in un'intervista a Wireddi febbraio 2014 HT dichiarava che “Siccome il nostro software è potente, lavoriamo per evitare che finisca in mano di chi potrebbe abusarne.” I risultati di questo lavoro si sono visti stamattina.
C'è anche, secondo Christopher Soghoian, un file Excel con tutti i clienti governativi, le date di primo acquisto da HackingTeam e i ricavi accumulati (maggiori dettagli negli aggiornamenti qui sotto).
Non è finita: alcuni screenshot rivelano pratiche di sicurezza davvero imbarazzanti per una società che si occupa di sicurezza informatica a livelli governativi. Ci sono le password di una persona dotata di account di posta su Hackingteam.com, conservate in chiaro in un file (forse custodito dentro un volume cifrato Truecrypt, comunque scavalcato) e costituite principalmente dalla parola Passw0rd usata ripetutamente per più siti.
E la stessa persona conserva sul computer di lavoro dei link a Youporn (aggiornamento 2015/07/11: potrebbe esserci una ragione di lavoro):
Ho contattato il CEO di HackingTeam per avere una dichiarazione sulla vicenda e sono in attesa di risposta.
Se i dati vengono confermati come autentici, è una carneficina digitale e la reputazione di HackingTeam ne esce a pezzi. Alcuni governi si cominceranno a chiedere in che mani hanno messo i loro affari più sensibili.
13:30. La vicenda sta scivolando rapidamente nel surreale. In tarda mattinata Christian Pozzi di HackingTeam si è affacciato su Twitter per dire che l'azienda ha inviato “una mail di massa a tutti i nostri clienti colpiti non appena abbiamo saputo dell'attacco informatico”. Una dichiarazione che suona decisamente come una conferma dell'autenticità dei dati in circolazione.
Non vorrei essere nei panni della persona di HT che deve spiegare ai servizi di sicurezza russi o di altri paesi che i loro dati riservati ora sono a spasso su Internet.
Non è finita: poco dopo che Pozzi ha tweetato la dichiarazione, anche il suo account Twitter è stato violato, probabilmente a causa di una password un tantinello ovvia come quelle mostrate qui sopra. Ora l'account Twitter risulta disattivato, ma non prima che ne siano stati catturati screenshot assolutamente epici.
Questa vicenda sta diventando un perfetto manuale di tutto quello che non va fatto quando c'è una violazione della sicurezza informatica. E anche di quello che non va fatto per evitare che si verifichi. Regola numero uno: quando succede un casino, stai zitto e lascia che parlino gli avvocati.
Intanto emergono dati aggiuntivi: secondo le ricerche degli esperti, nei file trafugati ci sono dati e password dei clienti di HackingTeam, contratti, parametri di configurazione e un file particolarmente compromettente, che elenca lo stato dei vari clienti, con Russia e Sudan etichettati come “non supportati ufficialmente”:
14:10. La vicenda dovrebbe far riflettere, a mio avviso, su tutta la questione dei trojan di stato. Se, come sembra, il codice sorgente del malware creato da HackingTeam è stato pubblicato nel pacchetto di dati trafugati, questo dimostra concretamente quello che gli esperti dicono da anni: non c'è modo per un governo di creare un malware che potrà essere usato soltanto dai “buoni”. Il malware è malware. È tossico per tutti, esattamente come le armi chimiche o batteriologiche. E prima o poi sfugge di mano.
16:30. Un utente, “Phineas Fisher”, si è attribuito con un tweet (parzialmente confermato) il merito di quest'incursione e di quella ai danni di un'altra società dello stesso settore, Gamma, qualche tempo addietro. Intanto dal Torrent sono stati estratti e segnalati online dei file Excel (Client Overview*) nei quali ci sono i clienti e i loro indirizzi di mail e su Github sono stati pubblicati quelli che sembrano essere i codici sorgente trafugati. Ci sono persino degli screenshot dei desktop dei computer del personale della società. La situazione per HackingTeam, insomma, diventa sempre più disastrosa.
17:00. Apple avrebbe dato a HackingTeam un certificato digitale come iOS enterprise developer per firmare le app e quindi farle sembrare sicure e approvate: Subject: UID=DE9J4B8GTF, CN=iPhone Distribution: HT srl, OU=DE9J4B8GTF, O=HT srl, C=IT. Da quel che ho capito (grazie a Manuel W e Maurizio C), questo in teoria avrebbe permesso a HackingTeam di inviare alla vittima via mail o postare su un sito (non nell'App Store) un'app ostile per iPhone/iPad che il dispositivo e la vittima avrebbero ritenuto sicura perché firmata col certificato, bypassando così i controlli che rendono difficile installare malware nei dispositivi iOS. Sarà interessante vedere la reazione di Apple.
18:00.C'è anche la Svizzera, e specificamente la Polizia Cantonale di Zurigo, fra i clienti di HackingTeam. Per la cifra non trascurabile di 486.500 euro la Kantonspolizei ha acquistato a fine 2014 da HT il Remote Control System Galileo (fattura numero 072/2014). Di questo acquisto ho conferma da fonte indipendente. Galileo è uno dei nomi usati da HT per indicare il proprio malware usato per intercettare i contenuti di smartphone (iOS, Android, Windows Phone, BlackBerry, Symbian) e computer (Windows, Linux, OS X) scavalcandone la crittografia. Galileo viene offerto vantandone l'uso per gestire “fino a centinaia di migliaia di bersagli”.
HackingTeam e i suoi clienti difendono spesso l'uso di malware di stato dicendo che è necessario per lottare contro terrorismo, narcotraffico e pedopornografia. Ma quando si parla di “centinaia di migliaia di bersagli” siamo nel campo della sorveglianza di massa della popolazione e quei reati non c'entrano nulla. A meno che qualche governo se la senta di dire che ha in casa centinaia di migliaia di terroristi, spacciatori e pedofili.
21:30. Si stanno accumulando molte domande, anche autorevoli (The Register, Kevin Mitnick), intorno ad alcuni pezzi di codice sorgente (come questo e questo) che a prima vista sembrano istruzioni per piazzare file di contenuto pedopornografico nei dispositivi dei sorvegliati. Prima di fare un'accusa così grave aspetterei un'analisi esperta di quel codice: non vorrei che si trattasse, per esempio, di semplici funzioni usate per creare un file dimostrativo per i test di funzionalità del malware. Quei nomi pippo e pluto, così tipici della programmazione fatta da italofoni, hanno l'aria di utenti demo.
22:45.Motherboard (Vice.com) scrive che HackingTeam “ha detto a tutti i propri clienti di interrompere tutte le attività e di sospendere ogni uso dello spyware dell'azienda”, riferendosi specificamente al software Galileo/RCS. Scrive inoltre che HT non ha più accesso alla propria mail e che probabilmente i 400 GB di dati sono solo una parte del materiale trafugato. L'intrusione sarebbe avvenuta entrando nei computer dei due amministratori di sistema di HT, Christian Pozzi e Mauro Romeo (sì, la persona che usa come password Passw0rd e lo fa ripetutamente è un sysadmin; non ridete). Nessuno dei dati sensibili era cifrato: passaporti dei dipendenti, elenchi di clienti, tutto in chiaro. Il profilo LinkedIn di Pozzi lo descrive come Senior System and Security Engineer, Hacking Team, April 2014 – Present (1 year 4 months).
Correzione: in una versione precedente di questo articolo avevo scritto che il profilo era stato cancellato; invece era online e c'era un errore mio nell'URL che stavo usando.
C'è anche di peggio. Sempre secondo le fonti di Motherboard, il software di HT ha una backdoor (probabilmente questa) che permette a HT di disattivare o sospendere il suo funzionamento, e questo non lo sanno neppure i clienti.
E ancora: ogni copia del software ha un watermark, per cui “HackingTeam, e adesso chiunque abbia accesso a questo dump di dati, può scoprire chi lo usa e chi viene preso di mira. [...] è possibile collegare una specifica backdoor a uno specifico cliente. E sembra esserci un una backdoor nel modo in cui i proxy di anonimizzazione vengono gestiti, che consente a HackingTeam di spegnerli indipendentemente dal cliente e di recuperare l'indirizzo IP finale che devono contattare”.
Saranno contentissimi i clienti di HT, che volevano un prodotto che desse loro una backdoor per spiare i loro bersagli e invece si sono trovati con un prodotto che ha anche una backdoor che agisce contro di loro e rivela chi volevano spiare. Sembra un brutto remake di Inception.
Come se non bastasse tutta questa devastazione, su Twitter gira un umiliante abbinamento di carte: da una parte c'è un documento datato 2015 in cui il rappresentante all'ONU dell'Italia, Sebastiano Cardi, dichiara che HackingTeam al momento non opera nel Sudan e chiede che HackingTeam chiarisca se ci sono stati affari precedenti con il Sudan; dall'altra c'è una fattura di HackingTeam al Sudan datata 2012. Sarebbe interessante sapere come si sente ora Sebastiano Cardi.
Correzione: il paragrafo precedente è stato aggiornato per presentare più correttamente il ruolo di Cardi.
23:00. È una disfatta totale: sono finiti online anche gli estratti conto delle carte di credito dei membri di HackingTeam, i file audio, gli screenshot di Pozzi che ha in archivio il file pirata di Cinquanta sfumature di grigio, si collega dal lavoro a un desktop remoto e lo usa per scaricare film pirata su Emule e altre chicche. Vediamo quali altre sorprese ci porterà la notte.
23:55. Vorrei concludere la giornata con un grandissimo grazie pubblico a tutti i lettori che mi hanno aiutato a raccogliere al volo i pezzi di questa vicenda; senza di voi non sarebbe stato possibile, ma siete troppi per potervi ringraziare uno per uno. A domani!
2015/07/07 10:40. Ho sistemato alcune imprecisioni nel testo di questo articolo e ne sto preparando uno supplementare con gli aggiornamenti della notte e del mattino. Eccolo.
Megaupload e Filesonic dimostrano che il cloud puro non è sicuro
La chiusura di Megaupload e la mutazione senza preavviso di Filesonic non sono soltanto tappe della lotta alla pirateria audiovisiva. Hanno implicazioni molto più significative: dimostrano che l'idea di depositare i propri dati nel cloud è insicura.
Come hanno segnalato molti utenti, fra coloro che utilizzavano questi cyberlocker c'erano anche clienti che non commettevano alcuna violazione del diritto d'autore: vi avevano caricato dei dati di cui erano legittimi titolari. Erano clienti legali che oltretutto pagavano per un servizio. Ma la scure della chiusura (calata dall'FBI o autoimposta) ha colpito anche loro, causando la perdita dei loro dati se non ne avevano una copia altrove.
Kevin Mitnick, come al solito, ha riassunto bene le implicazioni della vicenda sulla strombazzatissima idea del cloud: “Il caso Megaupload ha appena dimostrato che i VOSTRI dati NON SONO AL SICURO nel cloud. Il Governo può semplicemente sequestrare i vostri dati :-( mentre interviene su un'altra azienda”.
Queste sono le conseguenze inattese della difesa fanatica di un diritto d'autore obsoleto: ci vanno di mezzo anche gli utenti onesti. La validità delle accuse degli inquirenti statunitensi nei confronti di Megaupload è, in questo senso, del tutto irrilevante. Chi usa il cloud puro rischia comunque di vedersi sparire tutto senza preavviso; chi usa soluzioni ibride, con copia locale, corre un rischio minore, ma deve tenere presente che in qualunque momento la copia remota può svanire.
