Pubblicazione iniziale: 2023/04/21 18:52. Ultimo aggiornamento: 2023/04/26 18:45.

La campagna social “Open to Meraviglia” del Ministero del Turismo italiano, che già nel titolo rigurgita una mostruosità linguistica, è chiaramente gestita da gente che ha qualche difficoltà con i social e la pianificazione. Eppure la gente in questione è il Gruppo Armando Testa, che si definisce “il più grande gruppo italiano di comunicazione del mondo”, affiancato da Almaviva, che si dichiara “leader nell’Intelligenza Artificiale (AI), nell’analisi del linguaggio naturale e nei servizi Big Data”.

(https://newsroom.armandotesta.it/it/italia-open-to-meraviglia/)

(https://www.almaviva.it/it_IT/Comunicati-Stampa/show-pressrelease/9e7fb633-8f8d-4d5d-a0e3-06589af98226/Le-tecnologie-AI-di-Almawave-scelte-dal-Ministero-del-Turismo-per-la-traduzione-multilingua-del-portale-www.italia.it---leggi-il-Comunicato-Stampa)

I disastri che sono emersi man mano in questa campagna sono talmente tanti che ho dovuto dividere questo articolo in capitoli per raccontare per bene una delle figuracce più epiche nella storia della comunicazione digitale.

Capitolo 1. Il nick Venereitalia23 non registrato nei social

Sul sito del Gruppo Armando Testa, linkato sopra, viene detto che la campagna digitale “vivrà nel profilo Instagram venereitalia23, nel sito Italia.it e nelle altre piattaforme social”. Nel video promozionale creato per il Ministero del Turismo italiano si vede ripetutamente che la Venere botticelliana animata digitalmente ha come account social Venereitalia23. E questo nome di account viene anche citato direttamente dalla voce di “Venere” nel video: “su Instagram, Linkedin e tutti i social sarò Venereitalia23” (https://www.youtube.com/watch?v=EOw57LXR-_M).

Il 26 aprile il video è stato reso privato, ma nel frattempo ne ho scaricato una copia e ripubblico qui sotto gli screenshot pertinenti.

Beh, non sarà Venereitalia23 su proprio tutti i social. Infatti i coordinatori della campagna, sbadatelli, si sono dimenticati di registrare il nome Venereitalia23 su Twitter, YouTube e Facebook prima di avviare la campagna, come si dovrebbe invece fare per un’ovvia misura standard di brand protection. Lo ha fatto al posto loro qualcun altro.

Idem su Onlyfans, ma ammetto che si tratta di un “social” obiettivamente un pochino fuori tema per una campagna di promozione del turismo.

Ringrazio Adriano, Riccardo, Os1ride per le segnalazioni.

Già con questo scivolone il divertimento è assicurato. Ma non è tutto.

Capitolo 2. Il nome di dominio “dimenticato”

A quanto risulta al momento, sembra che gli organizzatori della campagna si siano dimenticati anche di registrarsi il nome di dominio italiano dello slogan, ossia Opentomeraviglia.it.

Secondo i dati pubblicamente consultabili di Whois, questo nome di dominio risulta intestato attualmente a tale Filippo Giustini ed è attualmente un redirect che porta alla società Marketing Toys in provincia di Firenze, alla quale vanno i miei complimenti per la “fantasia, intuizione, decisione e velocità d'esecuzione” (cit.; grazie a @i_poteri_forti per la segnalazione del redirect).

Capitolo 3. Le foto stock

Il corpo e gli indumenti della “Venere”, inoltre, sembrano tratti da una foto stock di Shutterstock, secondo la segnalazione di Simone Aliprandi (https://twitter.com/simonealiprandi/status/1649478851674664960).

La foto della campagna e quella di Shutterstock a confronto:

Anche un’altra immagine della campagna ufficiale, mostrata anche nel video, somiglia straordinariamente a una foto stock, come segnalato da Barbara Martini e @RosyilCapo (https://twitter.com/Barbara22Mar/status/1649517166729871362 e https://twitter.com/RosyilCapo/status/1649793039580143617/photo/1).

L’immagine in questione è questa:

La foto stock su Shutterstock è questa (https://www.shutterstock.com/image-photo/fulllength-shot-charming-curly-woman-pink-1304975056):

---

Alcuni lettori hanno poi notato che i nomi dei file grafici pubblicati inizialmente sul sito del Ministero del Turismo italiano per la campagna sembrano indicare che siano stati trasmessi via WhatsApp, dato che il loro formato era del tipo WhatsApp-image-2023-04-20-at-10.20.29 [...]-272x182.jpg (https://www.ministeroturismo.gov.it/italia-open-to-meraviglia/; https://twitter.com/iacopo_melio/status/1650395588465139714/photo/1).

Questo è un indicatore di un metodo di lavoro poco professionale, perché WhatsApp normalmente applica una compressione fortissima alle immagini scambiate e quindi è un pessimo metodo per inviare immagini destinate alla pubblicazione su un sito. Nel frattempo, i nomi dei file sul sito del Ministero sono stati cambiati.

Ma rispetto a un altro fatto bizzarro che è stato rilevato, tutto questo è quasi trascurabile.

Capitolo 4. Le immagini dell’Italia girate in Slovenia

Successivamente è emerso che alcune delle immagini che dovrebbero raffigurare le bellezze dell’Italia sono in realtà state girate fuori Italia, in Slovenia, e sono riprese stock, secondo quanto segnala Selvaggia Lucarelli (https://twitter.com/stanzaselvaggia/status/1650020739779555328).

In un articolo del Fatto Quotidiano Lucarelli specifica che le immagini sono della “cantina Cotar, nel carso sloveno. C’è anche una bottiglia del vino Cotar sul tavolo, nel video. [...] ho trovato il video su Artgrid, una piattaforma straniera che cede video e immagini con un semplice abbonamento per 600 euro l’anno” (https://www.ilfattoquotidiano.it/in-edicola/articoli/2023/04/23/santanche-lo-spot-venere-di-botticelli-e-il-made-in-italy-girato-in-slovenia/7139262/, dietro cookiewall).

pic.twitter.com/yfFKg04HMK

— PhilFree (@PhilFreeeee) April 23, 2023

Selvaggia Lucarelli su Twitter ha anche pubblicato il link al video stock su Artgrid, consentendo a tutti di confrontare le immagini dello spot con quelle di Artgrid e della cantina Čotar. Gli spezzoni video stock di Artgrid sono intitolati Wine Tasting with Friends (https://artgrid.io/story/26708/wine-tasting-with-friends ; https://cotar.si/).

Nelle anteprime di questi spezzoni se ne notano alcune che mostrano esattamente la stessa ambientazione, la stessa inquadratura e le stesse persone presenti nel video a 27 secondi dall’inizio.

I lettori mi segnalano che Triesteprima.it ha confermato la localizzazione slovena delle riprese: “La scena della cantina in cui brinda un gruppo di amici è stata infatti girata da Cotar a Gorjansko, a pochi chilometri da Trieste. Non solo, come rivelato dal produttore e regista triestino dell'agenzia creativa Terroir Films, Massimiliano Milic, che ha reso pubblica la gaffe del Ministero, la clip è stata presa da Artgrid, un archivo stock, ed è firmata da Hans Peter Scheep. "Me ne sono accorto perché, scorrendo le immagini del filmato, ho visto persone che conosco. Inoltre ho riconosciuto sia la corte che l'etichetta di Cotar", spiega Milic.” (https://www.triesteprima.it/cronaca/open-to-meraviglia-spot-slovenia-.html).

Capitolo 5. La città di Brindisi diventa Toast, Camerino diventa Garderobe e Sutera diventa Homosexuell

La farsa non finisce qui. Sempre Lucarelli segnala che il sito ufficiale della campagna Open to Meraviglia, ossia Italia.it, ospita traduzioni in tedesco nelle quali sono stati tradotti letteralmente i nomi delle località, per cui Brindisi è diventata Toast, Fermo è diventa Stillstand, Prato è diventata Rasen, Cento è diventata Hundert, Scalea è diventata Treppe, e Camerino è diventata Garderobe, e così via.

Le traduzioni, se così si possono chiamare, sono opera della società Almawave, che il 9 febbraio 2023 se ne era vantata in un comunicato stampa con queste parole fatidiche (ho aggiunto io il grassetto):

Almawave S.p.A, società del Gruppo Almaviva, quotata sul mercato Euronext Growth Milan (Ticker: AIW), leader nell’Intelligenza Artificiale (AI), nell’analisi del linguaggio naturale e nei servizi Big Data, si è aggiudicata la gara indetta dal Ministero del Turismo relativa alla fornitura di tecnologie di machine translation (traduzione automatica), basate sull’Intelligenza Artificiale.

Il contratto, della durata di tre anni, permetterà la traduzione multilingua dei contenuti del sito ufficiale del turismo italiano www.italia.it.

Grazie alle tecnologie di AI e ai modelli di machine translation del Gruppo Almawave, opportunamente addestrati e integrati con servizi professionali per garantirne la massima qualità, il Ministero del Turismo potrà disporre di un servizio di traduzione automatizzata di tutte le notizie e informazioni che saranno pubblicate sul portale. Le lingue abilitate saranno l’inglese, lo spagnolo, il francese, il tedesco e il portoghese.

(https://web.archive.org/web/20230425084637/https://www.almaviva.it/it_IT/Comunicati-Stampa/show-pressrelease/9e7fb633-8f8d-4d5d-a0e3-06589af98226/Le-tecnologie-AI-di-Almawave-scelte-dal-Ministero-del-Turismo-per-la-traduzione-multilingua-del-portale-www.italia.it---leggi-il-Comunicato-Stampa)

“Massima qualità”. Come no. In una lettera aperta rivolta al Ministero del Turismo, l’Associazione Italiana Traduttori e Interpreti ha definito queste traduzioni senza mezzi termini: le ha descritte come “pessime e grottesche” (https://aiti.org/sites/default/files/inline-files/Lettera%20al%20Ministero%20del%20Turismo.pdf).

Lucarelli non ha pubblicato i link alle pagine specifiche, ma li aggiungo io qui sotto, insieme ad altre località trovate dai lettori, fra le quali spicca un assolutamente epico Homosexuell come traduzione di “massima qualità” del nome della località sicula Sutera (grazie Adriano; grazie La Regione Ticino).

Ho incluso anche i link alle copie permanenti di queste perle e ho riordinato il tutto in ordine alfabetico tedesco:

1. Auster (Ostra): https://web.archive.org/web/20230424141122/https://www.italia.it/de/marken/auster;
2. Garderobe (Camerino): https://www.italia.it/de/marken/garderobe; https://archive.is/mEjSz;
3. Geschlossen (Chiusi): https://www.italia.it/de/toskana/chiusi; https://archive.is/ffHiI;
4. Homosexuell (Sutera): https://web.archive.org/web/20230424231359/https://webcache.googleusercontent.com/search?q=cache:Ox3vO-NzgqAJ:https://www.italia.it/de/sizilien/homosexuell&cd=1&hl=it&ct=clnk&gl=it&client=firefox-b-d;
5. Hundert (Cento): https://www.italia.it/de/emilia-romagna/ferrara/cento; https://archive.is/2fIrV;
6. Keil (Cuneo): https://www.italia.it/de/piemont/cuneo; https://archive.is/e5r1Z; 
7. Kiesel (Sassello): https://web.archive.org/web/20230424140641/https://www.italia.it/de/ligurien/kiesel;
8. Klinge der Peligni (Lama dei Peligni): https://web.archive.org/web/20230424140857/https://www.italia.it/de/abruzzen/lama-dei-peligni;
   
9. Kokosnussschneider (Tagliacozzo): https://web.archive.org/web/20230424140139/https://www.italia.it/de/abruzzen/tagliacozzo; 
10. Kollision (Scontrone): https://web.archive.org/web/20230424142123/https://www.italia.it/de/abruzzen/scontrone;
    
11. Konstanzer Pfirsich (Pescocostanzo): https://www.italia.it/de/abruzzen/pescocostanzo; https://archive.is/rdmGF;
12. Kreis (Cerchio): segnalato senza fornire link da La Regione Ticino;
13. Lächle (Sorradile): https://web.archive.org/web/20230424142620/https://www.italia.it/de/sardinien/lachle;
14. Leistung (Potenza): https://www.italia.it/de/basilikata/potenza; https://archive.is/YbMJG; 
15. Minderjährige (Minori): https://web.archive.org/web/20230424144727/https://www.italia.it/de/kampanien/salerno/minori;
16. Öffnen (Aprica): https://www.italia.it/de/lombardei/offnen; https://archive.is/GAkfO; 
17. Palettenbett (Lettopalena): https://web.archive.org/web/20230424203933/https://webcache.googleusercontent.com/search?q=cache:xz_NOj9zG2gJ:https://www.italia.it/de/abruzzen/lettopalena&cd=1&hl=it&ct=clnk&gl=it&client=firefox-b-d;
18. Pleuelstange (Biella): https://web.archive.org/web/20230424160602/https://webcache.googleusercontent.com/search?q=cache:P3_ZzAN8BxsJ:https://www.italia.it/de/piemont/pleuelstange&cd=1&hl=it&ct=clnk&gl=it&client=firefox-b-d;
    
19. Pfirsich (Pescarenico): https://www.italia.it/de/lombardei/lecco/pescarenico; https://archive.is/VBnmg;
20. Rasen (Prato): https://web.archive.org/web/20230424120540/https://www.italia.it/de/toskana/prato;
21. Revisionen (Rivisondoli): https://web.archive.org/web/20230424135527/https://www.italia.it/de/abruzzen/l-aquila/rivisondoli;
    
22. Stillstand (Fermo): https://www.italia.it/de/marken/stillstand; https://archive.is/IEzTO; 
23. Störung (Fallo): https://web.archive.org/web/20230424144558/https://www.italia.it/de/abruzzen/fallo;
24. Tinnitus (Tinnura): https://web.archive.org/web/20230424142733/https://www.italia.it/de/sardinien/tinnitus;
    
25. Toast (Brindisi): https://web.archive.org/web/20230424120623/https://www.italia.it/de/apulien/toast; 
26. Treppe (Scalea): https://www.italia.it/de/kalabrien/cosenza/scalea; https://archive.is/nERSj;
27. Umschlag (Copertino): https://web.archive.org/web/20230424142406/https://www.italia.it/de/apulien/umschlag;
28. Vorderseite (Frontino): https://web.archive.org/web/20230424140531/https://www.italia.it/de/marken/frontino;
29. Zitrone Piemont (Limone Piemonte): https://web.archive.org/web/20230424140150/https://www.italia.it/de/piemont/zitrone-piemont.

Fortunatamente, Lecco, Troia e Bellano non figurano tra le traduzioni letterali in tedesco.

Nelle ore successive alla diffusione della notizia di questi disastri linguistici, che hanno tutti i segni di una tipica traduzione fatta da un software di intelligenza artificiale usato senza la minima revisione da parte di una persona linguisticamente competente, dal sito Italia.it è scomparsa completamente l’opzione di scelta della lingua tedesca e le pagine sono diventate inaccessibili. Ma Internet non dimentica e le copie d’archivio persistono.

Adriano Pedrana ha salvato su Archive.org l’elenco completo dei link ora rimossi:

• https://web.archive.org/web/20230423160117/https://www.italia.it/de/sitemap.xml
• https://web.archive.org/web/20230423183231/https://www.italia.it/de/sitemap-cultural-poi.xml

Nella versione inglese, invece, spiccano errori madornali come italian e italians scritto in minuscolo. In inglese tutti i sostantivi e aggettivi riferiti alle lingue e ai popoli vanno in maiuscolo: è una nozione da scuola media. Si scrive, per esempio, Do you speak English? Are you French? (https://www.italia.it/en; https://www.italia.it/en/open-to-meraviglia).

Capitolo 6. Gli errori nel testo

Bufale un tanto al chilo nota che è sbagliata l’affermazione fatta nel video, ossia che l’Italia sia “lo 0,5% della superficie terrestre”. Il valore reale è meno della metà, ossia lo 0,2%.

Capitolo 7. I costi di tutto questo

Secondo il Sole 24 Ore, “Il totale dell’investimento previsto da Enit per la campagna primavera/estate e autunno/inverno è di nove milioni di euro.” (https://www.ilsole24ore.com/art/turismo-venere-botticelli-testimonial-dell-italia-una-promozione-9-milioni-euro-AEEyjmJD).

Mentre scrivo la prima stesura di queste righe Facebook e le sue proprietà (WhatsApp, Instagram e Oculus) sono completamente inaccessibili da alcune ore in tutto il pianeta. Facebook ha confermato laconicamente il problema con un post su Twitter.

Anche la pagina ufficiale di stato di Facebook, status.fb.com, è inaccessibile.

Questa è una mia prima sintesi della situazione. La aggiornerò man mano che ci saranno novità.

---

Ultimo aggiornamento: 2021/10/07 20:30.

A quanto risulta dalle prime analisi e indiscrezioni, tutto è iniziato intorno alle 15.40 UTC (le 17.40 italiane) in seguito a un errore commesso durante un cambiamento di configurazione interno a Facebook. 

Questo errore comporta che tutta Internet non sa più dove trovare Facebook, perché qualcuno di Facebook ha cancellato la mappa che dice dove si trova Facebook e che strada fare per raggiungerlo.

In termini leggermente tecnici: l’errore di configurazione ha reso inaccessibili da remoto i BGP peering router di Facebook, i computer dell’azienda che gestiscono il BGP (Border Gateway Protocol), che è il protocollo di Internet che determina l’instradamento (routing) dei dati da trasmettere, come spiegato qui e qui.

Between 15:50 UTC and 15:52 UTC Facebook and related properties disappeared from the Internet in a flurry of BGP updates. This is what it looked like to @Cloudflare. pic.twitter.com/PFw5FR2W5j

— John Graham-Cumming (@jgrahamc) October 4, 2021

ThousandEyes tests can confirm that at 15:40 UTC on October 4, the Facebook application became unreachable due to DNS failure. Facebook’s authoritative DNS nameservers became unreachable at that time. The issue is still ongoing as of 17:02 UTC. pic.twitter.com/zNmZWTxEUo

— ThousandEyes (@thousandeyes) October 4, 2021

L’errore ha causato l’eliminazione improvvisa dei route (percorsi) BGP che consentivano di accedere ai server DNS di Facebook, per cui il DNS di Facebook non va più (lo sappiamo da tweet come questo).

Il problema è che correggere questo errore richiede che si acceda fisicamente a questi peering router, visto che non sono più raggiungibili da remoto, ma chi può farlo non è necessariamente dotato delle autorizzazioni e dell’autenticazione che sono necessari. BNO News alle 22.15 ha tweetato, citando il NYT, che Facebook ha inviato una squadra a uno dei suoi data center a Santa Clara, in California, per resettare manualmente i server.

Non solo: questo errore implica che non funziona più nessuno dei servizi interni di Facebook (mail, strumenti di gestione, sistemi di sicurezza, agende, la messaggistica interna Workplace, eccetera), visto che sono tutti sul dominio Facebook.com, che è totalmente irraggiungibile, per cui neppure i dipendenti dell’azienda possono usarli per comunicare tra loro, come nota il New York Times.

E non è finita: se, come sembra (anche da qui), le serrature delle porte degli uffici di Facebook sono “smart” (basate sull’IoT), dipendono dalla connessione a Internet e dall’accesso ai server di Facebook. Che sono inaccessibili, per cui molti dipendenti non riescono a entrare perché i loro badge di accesso non funzionano. Il New York Times conferma.

Non ci sono indicazioni di eventuali attacchi esterni: tutto indica un errore interno di dimensioni catastrofiche. 

NOTA: L’annuncio della diffusione dei dati di circa un miliardo e mezzo di utenti Facebook non è correlato a questo incidente. I dati non includono password.

Questo errore sta avendo conseguenze a catena sul resto di Internet, e arrivano segnalazioni di rallentamenti anche per Disney+, Netflix e Twitter (che finora ha retto):

#GoogleDNS 8.8.8.8 becomes much slower because of #Facebookdown and all the client retries. pic.twitter.com/4aTyFAykMq

— awlnx (@awlnx) October 4, 2021

Finché Facebook è fuori uso, è possibile che non funzionino neanche gli accessi alle app o ai siti che usano l’opzione "Login tramite Facebook" (per esempio Pokémon Go). 

In pratica, un miliardo di smartphone e di altri dispositivi sta cercando disperatamente di trovare Facebook e questi tentativi inutili generano traffico DNS che rallenta tutti gli altri accessi.

Agli utenti di Facebook, Instagram, WhatsApp e Oculus non resta che aspettare che la situazione venga ripristinata ed eventualmente installare app analoghe come Signal o Telegram. Aggiungo un paio di suggerimenti:

• Disattivate le notifiche di Facebook, WhatsApp e Instagram, altrimenti quando torneranno a funzionare verrete sommersi da un fiume di notifiche rimaste in coda (grazie ad @alessLongo per la dritta). 
• NON FIDATEVI di eventuali messaggi o mail che invitano a cliccare da qualche parte per riattivare i vostri account. I truffatori approfitteranno sicuramente del panico causato da questo collasso e invieranno messaggi-esca che porteranno a siti-trappola che somigliano alle schermate di login dei social di Zuckerberg ma sono in realtà delle copie che rubano le password.
  

Maggiori informazioni ed analisi sono presso Ars Technica, The Register, Brian Krebs (anche qui in maggiore dettaglio), SANS.

---

2021/10/04 23:30. Status.fb.com è tornato online:

---

2021/10/04 23:50. Alcuni lettori mi segnalano che WhatsApp e Instagram stanno riprendendo a funzionare, dopo circa sei ore di paralisi. Non è un record: un altro blackout di Facebook, WhatsApp e Instagram a marzo 2019 durò oltre quattordici ore.

---

2021/10/05 13:10. Facebook ha pubblicato delle scuse e una spiegazione dettagliata dell’incidente. Da questa pubblicazione cito:

The underlying cause of this outage also impacted many of the internal tools and systems we use in our day-to-day operations, complicating our attempts to quickly diagnose and resolve the problem.

Our engineering teams have learned that configuration changes on the backbone routers that coordinate network traffic between our data centers caused issues that interrupted this communication. This disruption to network traffic had a cascading effect on the way our data centers communicate, bringing our services to a halt.

Our services are now back online and we’re actively working to fully return them to regular operations. We want to make clear at this time we believe the root cause of this outage was a faulty configuration change. We also have no evidence that user data was compromised as a result of this downtime.

In altre parole; è confermato che anche i sistemi interni di Facebook sono stati colpiti, che si è trattato di un errore di configurazione  (non di un attacco esterno) e che non risulta che ci siano state violazioni dei dati degli utenti.

---

2021/10/05 20:55. Facebook ha pubblicato un’ulteriore spiegazione dell’accaduto. Cito la parte interessante ed evidenzio i punti salienti:

This outage was triggered by the system that manages our global backbone network capacity. The backbone is the network Facebook has built to connect all our computing facilities together, which consists of tens of thousands of miles of fiber-optic cables crossing the globe and linking all our data centers.

Those data centers come in different forms. Some are massive buildings that house millions of machines that store data and run the heavy computational loads that keep our platforms running, and others are smaller facilities that connect our backbone network to the broader internet and the people using our platforms. 

When you open one of our apps and load up your feed or messages, the app’s request for data travels from your device to the nearest facility, which then communicates directly over our backbone network to a larger data center. That’s where the information needed by your app gets retrieved and processed, and sent back over the network to your phone.

The data traffic between all these computing facilities is managed by routers, which figure out where to send all the incoming and outgoing data. And in the extensive day-to-day work of maintaining this infrastructure, our engineers often need to take part of the backbone offline for maintenance — perhaps repairing a fiber line, adding more capacity, or updating the software on the router itself.

This was the source of yesterday’s outage. During one of these routine maintenance jobs, a command was issued with the intention to assess the availability of global backbone capacity, which unintentionally took down all the connections in our backbone network, effectively disconnecting Facebook data centers globally. Our systems are designed to audit commands like these to prevent mistakes like this, but a bug in that audit tool didn’t properly stop the command. 

This change caused a complete disconnection of our server connections between our data centers and the internet. And that total loss of connection caused a second issue that made things worse.  

One of the jobs performed by our smaller facilities is to respond to DNS queries. DNS is the address book of the internet, enabling the simple web names we type into browsers to be translated into specific server IP addresses. Those translation queries are answered by our authoritative name servers that occupy well known IP addresses themselves, which in turn are advertised to the rest of the internet via another protocol called the border gateway protocol (BGP). 

To ensure reliable operation, our DNS servers disable those BGP advertisements if they themselves can not speak to our data centers, since this is an indication of an unhealthy network connection. In the recent outage the entire backbone was removed from operation,  making these locations declare themselves unhealthy and withdraw those BGP advertisements. The end result was that our DNS servers became unreachable even though they were still operational. This made it impossible for the rest of the internet to find our servers. 

All of this happened very fast. And as our engineers worked to figure out what was happening and why, they faced two large obstacles: first, it was not possible to access our data centers through our normal means because their networks were down, and second, the total loss of DNS broke many of the internal tools we’d normally use to investigate and resolve outages like this. 

Our primary and out-of-band network access was down, so we sent engineers onsite to the data centers to have them debug the issue and restart the systems. But this took time, because these facilities are designed with high levels of physical and system security in mind. They’re hard to get into, and once you’re inside, the hardware and routers are designed to be difficult to modify even when you have physical access to them. So it took extra time to activate the secure access protocols needed to get people onsite and able to work on the servers. Only then could we confirm the issue and bring our backbone back online. 

Once our backbone network connectivity was restored across our data center regions, everything came back up with it. But the problem was not over — we knew that flipping our services back on all at once could potentially cause a new round of crashes due to a surge in traffic. Individual data centers were reporting dips in power usage in the range of tens of megawatts, and suddenly reversing such a dip in power consumption could put everything from electrical systems to caches at risk.   

Helpfully, this is an event we’re well prepared for thanks to the “storm” drills we’ve been running for a long time now. In a storm exercise, we simulate a major system failure by taking a service, data center, or entire region offline, stress testing all the infrastructure and software involved. Experience from these drills gave us the confidence and experience to bring things back online and carefully manage the increasing loads. In the end, our services came back up relatively quickly without any further systemwide failures. And while we’ve never previously run a storm that simulated our global backbone being taken offline, we’ll certainly be looking for ways to simulate events like this moving forward. 

---

2021/10/07 23:20. Ho provato a tradurre in italiano umanamente comprensibile lo spiegone di Facebook del suo collasso che ho citato qui sopra. Ditemi come sono andato.

In sintesi e con qualche mio commento: Facebook è un insieme geograficamente sparso in tutto il mondo di data center, grandi e piccoli, che sono interconnessi tramite una vasta rete di cavi di telecomunicazioni, denominato backbone. Quando un utente interagisce con Facebook (e le sue associate Instagram e WhatsApp), la sua app chiede dati. Questa richiesta viene ricevuta dal data center piccolo più vicino, che la manda tramite la rete di Facebook a uno dei data center più grandi, dove viene elaborata e riceve risposta. Questo traffico è gestito da router che decidono dove inviare i dati ricevuti e spediti.

A volte questa rete ha bisogno di manutenzione o modifiche. Il blackout è stato causato da una di queste manutenzioni: è stato dato un comando per valutare la disponibilità di capacità del backbone globale. Questo comando ha involontariamente interrotto tutte le connessioni del backbone, scollegando tutti i data center. I sistemi di Facebook sono progettati per valutare comandi di questo genere per impedire questo tipo di errore, ma un bug nel sistema di valutazione non ha bloccato il comando.

Questa disconnessione ha causato un secondo problema. I data center più piccoli di Facebook rispondono anche alle query del DNS. Il DNS è la rubrica degli indirizzi di Internet: traduce i nomi dei siti che digitiamo nel browser in indirizzi IP. Questa traduzione, nel caso di Facebook, viene fatta dai name server di Facebook, i cui indirizzi vengono comunicati a tutta Internet tramite un protocollo di nome border gateway protocol o BGP.

Ma Facebook è progettata in modo che se i name server dell’azienda non riescono a comunicare con i suoi data center, le informazioni BGP vengono rimosse per sicurezza. Il risultato è che tutta Facebook diventa irreperibile e sparisce completamente da Internet.

Tutto questo è accaduto molto in fretta. I data center erano inaccessibili da remoto (la rete non funzionava) e il crollo del DNS ha bloccato il funzionamento di molti degli strumenti interni usati solitamente per gestire questi problemi. Così è stato necessario inviare fisicamente dei tecnici ai data center per risolvere l’anomalia e riavviarli. Ma questo ha richiesto tempo per via delle sicurezze fisiche elevate di questi data center: è difficile entrarvi (questo accenno sembra confermare le voci di dipendenti chiusi fuori dalle sicurezze) e una volta dentro sono progettati per rendere difficili le modifiche anche quando si ha accesso fisico.

Una volta ripristinato il backbone, si è posto un ulteriore problema: riattivare di colpo tutti i servizi avrebbe rischiato di causare nuovi crash a causa dell’improvviso aumento del traffico. Questo ha delle implicazioni a livello elettrico (non elettronico) molto importanti: i singoli data center segnalavano cali di consumo dell’ordine delle decine di megawatt, e invertire di colpo questi cali avrebbe messo a rischio gli impianti elettrici e molti altri sistemi.

Facebook aveva simulato queste situazioni durante varie esercitazioni e ha saputo riavviare i sistemi senza causare sovraccarichi. Però, nota Facebook, questo scenario non era mai stato simulato. Una pecca grave. 

Credit per l’immagine dello Swiss cheese Model: BenAveling/Wikipedia. 

Il senatore dello stato dell’Ohio Andrew Brenner, durante una riunione governativa tenutasi via Zoom, ha usato uno di questi sfondi virtuali per simulare di essere in ufficio o a casa mentre in realtà era in auto. E in alcuni momenti stava pure guidando.

È stato tradito non tanto dal pessimo scontornamento che rivelava la falsità dello sfondo, con un effetto piuttosto ridicolo, ma da un particolare rivelatore: la cintura di sicurezza che gli attraversava la camicia in diagonale. Non risulta infatti che nell’Ohio le sedie di casa siano dotate di cinture di sicurezza automobilistiche.

Nel video integrale (circa 13 minuti) si vede che all’inizio il senatore è fermo in auto, e fin qui non ci sarebbe nulla di male. Ma poi inizia a guidare intanto che smanetta sul telefonino per impostare lo sfondo virtuale. Brenner stesso ha ammesso che stava guidando, ma ha dichiarato che non era distratto e stava soltanto ascoltando la riunione e che usa spesso questo metodo. Il video racconta una storia diversa, già a partire dall’uso dello sfondo. Se non avesse voluto mostrare dove si trovava, avrebbe potuto semplicemente disattivare la telecamera dopo che si era fatto identificare.

Ecco uno spezzone del video:

Ironia della sorte, il senato dell’Ohio sta proprio discutendo una legge che inasprirebbe le pene per chi guida in modo distratto, e fra i comportamenti vietati i sarebbe proprio lo streaming video durante la guida.

Fonti: Columbus Dispatch, Gizmodo, WKYC, BoingBoing.

Un paio di settimane fa i tecnici informatici della Victoria University di Wellington, in Nuova Zelanda, hanno avviato una procedura di manutenzione che aveva lo scopo di liberare spazio sulla rete informatica universitaria.

Il loro intento era eliminare i profili degli ex studenti che non erano più iscritti, ma le cose sono andate un po’ diversamente dal previsto, e la storia ha fatto il giro del mondo. 

Infatti, come riferiscono Ars Technica e una delle riviste degli studenti, The Critic, l’eliminazione ha avuto una portata leggermente superiore alle intenzioni: sono scomparsi anche i file dai desktop degli studenti attivi e i loro computer sono stati azzerati.

L’ipotesi formulata da Ars Technica è che si sia trattato di un errore di policy in Active Directory.

Disastri come questo sono sempre un promemoria importante della necessità di fare backup personali dei dati essenziali, anche se quei dati risiedono su una rete informatica che in teoria dovrebbe farne copie di sicurezza automaticamente.

In una situazione aziendale, tuttavia, le cose si complicano per via della necessità dell’azienda di tutelarsi (e tutelare i propri clienti) contro le fughe di dati. Sarebbe spiacevole che i dipendenti si portassero a casa la contabilità dell’intera società o i piani e progetti riservati, per poi dimenticarseli in giro o farseli rubare. Per non parlare dei dipendenti che attraversano la frontiera Svizzera-Italia con i dati bancari confidenziali dei clienti, ma questa è un’altra storia.

Morale della storia: se i dati sono strettamente vostri (una tesi, per esempio), non affidatevi ciecamente al reparto informatico pensando che tanto provvederanno loro di farne una copia. Fatela voi, fatene più di una, verificate periodicamente che siano leggibili e custodite il tutto con cura. Se invece i dati sono dell’azienda, parlate con il reparto informatico e verificate che ne venga fatto periodicamente un backup custodito in modo sicuro. In particolare, chiedete cosa succede ai dati salvati localmente.

Ultimo aggiornamento: 2021/04/10 22:40.

“RE è basato su altissimi standard di sicurezza, i nostri server sono tutti in Italia (Arezzo), tutte le connessioni sono effettuate tramite il protocollo HTTPS e crittografia SSL con certificato dei più importanti CA al mondo: Verisign Symantec e GeoTrust. Ma non basta, prima di essere inviati tutti i dati sono crittografati a priori e questa tecnologia, unica nel suo genere, raddoppia le garanzie di sicurezza rendendo RE sicuro come nessun altro.” Così scriveva Axioscloud.it, il sito che ospita il Registro Elettronico di molte scuole italiane (circa il 40%, secondo ANSA). Sito che ora è irraggiungibile.

Un attacco ransomware ha infatti buttato giù il sito “sicuro come nessun altro” e “basato su altissimi standard di sicurezza”. Questo è uno screenshot di com’era prima dell’attacco, come si può vedere su Archive.org.

Secondo Quotidiano Piemontese, il problema è iniziato sabato 3 aprile ed è poi peggiorato. Il quotidiano pubblica uno screenshot di Axios Italia che dice di stare “lavorando alacremente con l’obiettivo di rendere disponibili tutti i servizi web entro pochi giorni”.

Su Facebook, Axios Italia ha dichiarato inizialmente (3 aprile) che si trattava di un “improvviso malfunzionamento tecnico occorso durante la notte” che avrebbe “reso necessario un intervento di manutenzione straordinaria”. Lo stesso risulta dalla copia salvata su Archive.org il 5 aprile.

Oggi (5 aprile) l’azienda ha scritto, sempre su Facebook, che “a seguito delle approfondite verifiche tecniche messe in atto da Sabato mattina in parallelo con le attività di ripristino dei servizi, abbiamo avuto conferma che il disservizio creatosi è inequivocabilmente conseguenza di un attacco ransomware portato alla nostra infrastruttura. Dagli accertamenti effettuati, al momento, non ci risultano perdite e/o esfiltrazioni di dati. Stiamo lavorando per ripristinare l'infrastruttura nel più breve tempo possibile e contiamo di iniziare a rendere disponibili alcuni servizi a partire dalla giornata di mercoledì. Sarà nostra cura tenervi costantemente aggiornati.” 

Gli stessi messaggi sono presenti attualmente sul sito di Axios Italia. 

Fonti confidenziali mi segnalano una situazione piuttosto pesante. Non pubblico altri dettagli, per il momento, in attesa di conferme e riscontri: sarebbe utile che Axios facesse una dichiarazione pubblica sullo stato dei backup, su quale infrastruttura sia stata compromessa e su eventuali negoziati con gli autori dell’attacco. Comunque stiano le cose, temo che per il DPO di Axios il ritorno dalle ferie di Pasqua sarà piuttosto impegnativo.

2021/04/06 13:10. Secondo la mail inviata da Axios alle scuole, l’azienda è stata informata dell’attacco ransomware da parte del servizio di sicurezza di Aruba intorno alle due del mattino del 3 aprile e il disaster recovery avrebbe mitigato i danni. L’amministratore unico di Axios Italia, Stefano Rocchi, dice a Giornalettismo che è stato “deciso di non pagare alcun riscatto”.

2021/04/08 13:00. Al momento in cui scrivo questo aggiornamento il Registro Elettronico è ancora offline; redemo.axioscloud.it mi risponde con un timeout. Il sito di Axios Italia ospita ora un’informazione più dettagliata (screenshot qui sotto, cliccabile per leggerlo), che invita a consultare una comunicazione (PDF). Questa comunicazione dice, fra le altre cose, che “I dati personali gestiti non sono stati persi/distrutti e non vi è stata alcuna visione/estrapolazione indebita" e che “Le misure di sicurezza adottate, incluse le soluzioni di Disaster Recovery, nonostante un “attacco brutale con finalità estorsive” similare a quello ricevuto recentemente da multinazionali (esempio ACER), hanno consentito di preservare i dati gestiti nel rispetto della normativa privacy.”

Intanto la notizia è ormai riportata da molti siti e giornali (Cybersecurity360, Punto Informatico, Giornalettismo, per fare qualche esempio) e mi è arrivata una diffida dall’avvocato di Axios, alla quale ho risposto per quanto riguarda gli aspetti tecnici ricordando inoltre l’inevitabile Effetto Streisand.

2021/04/08 22:00. Come segnalato nei commenti, quella del 3 aprile 2021 non è la prima aggressione informatica che colpisce il Registro Elettronico di Axios Italia; il 9 aprile 2020 era stato bloccato da un attacco DDOS, riferiscono per esempio Repubblica e RAI.

2021/04/10 22:40. Axios ha dichiarato, sul proprio sito, quanto segue:

Gentili Clienti,
siamo lieti di comunicarVi che sono tornati online il Registro Elettronico, le funzionalità per le famiglie ed ulteriori servizi.
Stiamo inoltre continuando a monitorare la corretta funzionalità di tutti i sistemi ripristinati.
Vi ringraziamo ancora per la vicinanza e la pazienza dimostrata in questi giorni.

Continueremo a mantenerVi costantemente aggiornati sugli sviluppi.

10/04/2021 - Ore 18:05

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Incuriosito e leggermente incredulo che qualcuno possa commettere uno scivolone del genere, vado alla home page del sito, clicco su Login e mi registro. 

Il sito è perentorio: la password deve essere lunga almeno sei caratteri e deve contenere almeno un numero. Perché la sicurezza è una cosa seria. Va bene: immetto una password conforme.

Ricevo dal sito la mail che mi invita a cliccare su un link o immettere un codice per confermare e attivare il mio account. Faccio quanto richiesto, e mi scollego.

L’account funziona: posso entrare e vedere il mio profilo. Posso scegliere prodotti e metterli nel carrello.

Faccio logout, rientro facendo login, scrivo il mio indirizzo di mail e lettere a caso nel campo della password, ed ecco che mi ritrovo nel mio account.

Ma dai, sarà un errore mio. Magari il sito usa un cookie per fare a meno di digitare la password. Però la password me l’ha chiesta.

Provo con un altro browser, che non ho mai usato per fare login a quel sito. Scrivo il mio indirizzo di mail, scrivo lettere a caso nel campo della password.... e sono dentro di nuovo.

Provo a questo punto su un altro computer. Vado alla home page, clicco su Login, immetto il mio indirizzo di mail e tre caratteri random nel campo della password, violando quindi anche la regola dei sei caratteri minimi obbligatori... e sono di nuovo nel mio account.

Posso vedere i dati del mio profilo: nome, cognome, indirizzo di casa, numero di telefono. Se avessi fatto ordini, probabilmente potrei vedere anche quelli.

Ho trovato sul sito l’indirizzo del responsabile della protezione dei dati (DPO) e gli ho scritto oggi quanto segue:

Buongiorno,

sono Paolo Attivissimo, giornalista informatico. Vi segnalo che è possibile entrare nel vostro sito di e-commerce [omissis] digitando qualunque cosa al posto della password, anche semplicemente tre lettere a caso.

Questo consente a chiunque di accedere ai dati personali dei vostri clienti semplicemente conoscendone l'indirizzo di mail.

Ritengo che questo configuri una grave violazione della sicurezza e della privacy dei vostri clienti, con potenziali ripercussioni in termini di GDPR.

Vi invio questa segnalazione affinché possiate rimediare. Qualora dovessero trascorrere 15 giorni di calendario dalla segnalazione senza un vostro riscontro, riterrò assolto il mio dovere di "responsible disclosure" e mi riserverò a quel punto l'opzione di pubblicare i dettagli la notizia nell'interesse dei vostri clienti.

Ho pubblicato un articolo preliminare, senza citare il vostro nome, presso Disinformatico.info.

Cordiali saluti
Paolo Attivissimo
Lugano, Svizzera

Vediamo che succede.

2021/02/21 19:50. Stando alle prime indicazioni, il problema riguarda gli account creati di recente; gli utenti che hanno account sul sito da parecchio tempo segnalano che per loro le password sbagliate vengono rifiutate.

2021/02/21 20:30. Ora il sito non accetta più qualunque cosa al posto della password, ma in compenso non accetta neanche la password effettiva dell’account che ho creato. Ho cliccato su “Ho dimenticato la password” per resettarla e mi è arrivato correttamente via mail il link per resettarla. L’ho cambiata e ora non mi accetta neppure questa.

2021/02/22 16:20. Oggi ho ricevuto una mail dal DPO che mi ha ringraziato per la segnalazione, che è stata presa in carico dall’azienda. Sono in corso verifiche e l’accesso, mi dice sempre il DPO, è ora possibile soltanto immettendo nome utente e relativa password. Dice inoltre che mi aggiornerà sui risultati delle verifiche. Ho fatto di nuovo il reset della password e ora entro correttamente soltanto con la mia password effettiva.

2021/02/22 20:05. Su richiesta dell’azienda, ho modificato l’immagine che rappresenta il tentativo di login.

Il 22 gennaio scorso, a seguito di una segnalazione confidenziale, ho scritto questo tweet:

Io avrei una domanda per i responsabili di un sito della Regione Veneto, che pubblicano le istruzioni di accesso al server in un documento pubblicamente accessibile da Internet. Con tanto di password. In chiaro. Provo ad avvisare via mail il DPO.

— Paolo Attivissimo (@disinformatico) January 22, 2021

Ho cercato sul sito della Regione Veneto e ho trovato l’indirizzo del responsabile della protezione dei dati personali (DPO), ossia dpo[chiocciola]regione.veneto.it. Gli ho scritto subito questa mail:

Buongiorno,

sono un giornalista informatico, collaboratore della Radiotelevisione
Svizzera. Vi segnalo questo vostro documento, accessibile via web,
contenente le credenziali di accesso.

http://repository.regione.veneto.it/[OMISSIS].doc

Credo sia opportuno rimuoverlo e aggiornare le credenziali citate,
specificamente la password, qualora sia ancora corrente.

Cordiali saluti

Paolo Attivissimo

Sul sito, a quell’URL, c’era infatti un documento Word, scritto da andrea-altinier, contenente login e password per accedere al repository del sito. Non ne riporto il testo e l’URL completo per ovvie ragioni.

Il documento è stato sostituito il giorno stesso con una nuova versione priva di dati sensibili e oso sperare che anche la password sia stata cambiata, perché il documento originale risaliva al 18 luglio 2012 (il che significa che nel 2012 era valido e a qualcuno pareva sensato mettere online la propria password).

Ma la rimozione di un documento accessibile via web non comporta automaticamente la scomparsa di tutte le copie di quel documento, e in più non posso sapere se la password è ancora valida, perché provarla potrebbe essere considerata una violazione di domicilio informatico. Non ho ricevuto una parola di risposta dal DPO, ma pazienza.

Continua insomma la litania dei siti che pubblicano disinvoltamente le proprie password in documenti accessibili a chiunque, senza pensare che qualunque documento visibile verrà indicizzato da Google e sarà quindi facilmente scopribile. I livelli di inettitudine e di incoscienza necessari per fare queste cose sono agghiaccianti. E non è ancora finita.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

La disattivazione di Flash, annunciata quattro anni fa, ha comunque colto impreparati molti siti. Un esempio: www.ecm.regione.lombardia.it, che è il portale della Regione Lombardia che serve per accedere all’educazione continua in medicina (ECM) e ai suoi accreditamenti, ora e da vari giorni mostra questo:

@The_Beyond_One, che mi ha inviato la segnalazione, dice che l’accesso è bloccato dal 12 gennaio. Siamo al 23 ed è ancora così.

Complimenti vivissimi a tutti i responsabili del sito.

Fonte aggiuntiva: Giornalettismo.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

“s/MIME functionality is built into the vast majority of modern e-mail software packages including Outlook, Mozilla Mail as well as Netscape Communicator 4.x and inter-operates among all major e-mail software packages.”

Sempre a pagina 921, il documento raccomanda inoltre di utilizzare cifratura RSA a 1024 bit e l’algoritmo di hashing SHA-1: entrambi sono obsoleti e insicuri.

“the encryption algorithm AES (Advanced Encryption Standard) with 256 bit key length and RSA with 1024 bit key length shall be applied for symmetric and asymmetric encryption respectively,
– the hash algorithm SHA-1 shall be applied.”

Ricordo che questa non è una bozza: è il testo approvato dall’UE e presumibilmente definitivo se verrà approvato anche dal Regno Unito (lo si decide oggi). In tal caso entrerà in vigore dopodomani, 1 gennaio 2021.

Questo vi dà un’idea di quanto sia raffazzonato l’accordo dal quale dipendono le sorti di decine di milioni di britannici. Quell’accordo che per quattro anni è stato spacciato dal governo britannico come facile e “pronto da mettere in forno” e come una grande opportunità di crescita per il Regno Unito, e invece è stato scritto col copiaincolla ficcandoci dentro perle come questa pur di poter dichiarare di aver trovato una soluzione e avere un malloppo di carta da mostrare alle telecamere.

Come si è arrivati a uno sconcio del genere? È possibile che il blocco di testo su Netscape sia stato semplicemente copiaincollato da una norma UE del 2008.

Fonti aggiuntive: Kevin Beaumont, BBC.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Se visitate Authwifi.tim.it, in questo momento compare questo:

Non so cosa voglia dire “Pagina con utente non profilato”, ma se si prova a cliccare sul logo, si viene dirottati su un sito, uhm, inequivocabile.

Per gli increduli, la copia permanente è qui su Archive.is. Per chi arrivasse troppo tardi dopo un ravvedimento operoso da parte di Tim.it, ecco una registrazione.

Secondo un commento arrivato dopo la pubblicazione iniziale di questo articolo, Sensi Unici è il nome di un servizio per adulti che veniva offerto da Tim.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Come segnalato da The Register, il sito dedicato alla sicurezza informatica aveva dimenticato di proteggere il proprio file di configurazione, che era quindi pubblicamente accessibile. 

All’interno di questo file, in chiaro, c'erano il nome utente e la password di accesso al database mySQL del sito. La falla è stata scoperta da una persona svizzera che si occupa di informatica ed è nota con il nome Twitter @antiproprietary. 

Il sito, come se non bastasse, usava Ubuntu Linux 14.04, che non riceve più aggiornamenti da aprile del 2019 e ha 11 falle note.

Il sito era stato creato alcuni anni fa nell’ambito di una campagna promozionale ma era evidentemente stato abbandonato senza manutenzione. Anche i siti non aggiornati e dimenticati sono appigli molto preziosi per i criminali informatici e sono una falla classica in molte aziende.

Insomma, la lezione di sicurezza informatica c’è stata, ma non quella prevista.