L’annuncio formale di Meta dice che “per adeguarsi alle normative europee in evoluzione”, da novembre 2023 è disponibile un’opzione di abbonamento nei paesi dell’Unione Europea, dello Spazio Economico Europeo e in Svizzera. Chi si abbona potrà usare Facebook e Instagram senza vedere pubblicità e senza che le sue informazioni vengano usate a scopo pubblicitario.

A seconda di dove si acquista l’abbonamento, il costo mensile è di 9,99 euro o 12,99 euro al mese e copre inizialmente “tutti gli account Facebook e Instagram collegati nel Centro Gestione Account di un utente”; da marzo 2024, invece, verranno applicati canoni aggiuntivi ridotti per gli account aggiuntivi elencati nel Centro Gestione Account.

Meta mette in chiaro che fa tutto questo solo perché obbligata dalle norme europee di tutela dei cittadini e dichiara di credere “in un’Internet sostenuta dalla pubblicità, che offre alla gente l’accesso a prodotti e servizi personalizzati indipendentemente dalla loro condizione economica” ma dice di voler “rispettare lo spirito e lo scopo di queste normative europee in evoluzione”.

Ne ho parlato al Quotidiano della RSI il 12 novembre scorso da 2:50; il servizio raccoglie anche le opinioni del pubblico, sostanzialmente tutte negative. La mia impressione, come dico nel servizio, è che il costo dell’abbonamento non sia basato sugli effettivi costi di gestione ma sia stato scelto per scoraggiare gli utenti dall’abbonarsi. Del resto, 144 euro l’anno solo per non avere pubblicità su Facebook e Instagram sembra decisamente troppo rispetto, per esempio, a un abbonamento televisivo o telefonico, che per un importo paragonabile offrono molto di più.

L’esperto di informatica giuridica Giovanni Ziccardi nota inoltre, su EditorialeDomani.it, che ci sono dubbi sulla legalità della scelta di Meta.

Nel frattempo, se volete un social network senza costi di abbonamento e senza pubblicità, c’è sempre Mastodon. Che ha anche il bonus di non appartenere a nessun fantastiliardario eccentrico.

Questo articolo è disponibile anche in versione podcast audio.

Non tutti i criminali informatici sono dei geni del male. Pochi giorni fa un aspirante truffatore ha tentato di prendersela con me e rubare il mio account Instagram. Non è andata come sperava, e la sua disavventura mi offre l’occasione di ripassare un paio di trucchi di sicurezza e di trappole di Instagram che è meglio conoscere per difendersi. Ma c’è anche parecchio da ridere.

Tutto comincia con una trappola classica. Un mio conoscente su Instagram mi manda un messaggio privato usando un italiano improbabile: “voglio disturbarti affatto, ma ho bisogno del aiuto per qualcosa, per favore”, condito con vari emoji di supplica. Gli chiedo come lo posso aiutare.

Lui risponde così: “Sto cercando di iscrivermi con il mio Instagram il mio nuovo telefono e Instagram non mi permette che mi hanno mostrato 2 amici che posso contattare per aiutarmi a ricevere un link. Per favore, se ricevi il link mandamelo così posso effettuare il login”.

Nei suoi messaggi successivi mi spiega insistentemente che dovrei ricevere tramite SMS un link, che dovrei poi mandargli subito. In effetti mi arriva sul telefonino un SMS che indica come mittente Facebook, dice “Tocca per accedere al tuo account Instagram” e prosegue con un link del tipo https://ig.me/ seguito da tante lettere e tanti numeri. Attenzione: è questa la trappola da evitare. Questo link non va dato assolutamente a nessuno, perché è un link temporaneo che permette a chi ce l’ha di prendere il controllo dell’account senza dover immettere password.

In pratica, un ladro di account ha preso il controllo dell’account Instagram del mio conoscente e mi sta contattando, fingendo di essere lui. Vuole rubare anche il mio account, e quindi è andato su Instagram, ha immesso il mio nome utente nella schermata di login e ha cliccato su “Hai dimenticato la password?”, e così Instagram lo ha portato alla schermata di reset della password.

Questa schermata è pensata per consentire a un utente di rientrare nel proprio account anche se non si ricorda la password: cliccando sul pulsante Invia il link di accesso, l’utente riceve sul proprio smartphone un SMS che contiene un link temporaneo di accesso diretto. Ma se l’utente manda quel link a qualcun altro, sarà quel qualcun altro a prendere il controllo del suo account Instagram.

Purtroppo Instagram commette il grave errore di non includere in questo SMS un avvertimento che dica chiaramente che il link non va mandato a nessuno. Le vittime di questa truffa ricevono l’SMS e la richiesta di quello che credono sia un loro amico che ha bisogno di aiuto e quindi mandano questo SMS all’impostore. E così si fanno rubare l’account Instagram.

Quindi mi raccomando: se ricevete un SMS contenente un link che invita a toccarlo per accedere al vostro account Instagram, non condividetelo con nessuno.

È chiaro, insomma, che sto interagendo con un ladro, e in particolare con un ladro particolarmente sprovveduto, perché nella mia bio su Instagram c’è chiaramente indicato che mi occupo di sicurezza informatica e quindi non sono un bersaglio facile.

A questo punto posso permettermi di giocare un po’ con l’aspirante ladro. Faccio finta di cadere nella trappola e gli mando un link leggermente alterato: al posto delle lettere e dei numeri che mi sono arrivati nell’SMS gli scrivo 1IcIVhfLkRicKR0LL. Qualunque ladro anche solo vagamente attento dovrebbe notare che le ultime lettere di questo link compongono la parola rickroll, che è il nome di una burla classica di Internet descritta in una puntata precedente di questo podcast. Non solo il ladro non se ne accorge, ma mi ringrazia anche con un cuoricino.

Passano alcuni minuti, durante i quali il truffatore evidentemente digita pazientemente il link falso e si rende conto che non funziona. Così mi chiede di mandargli uno screenshot, probabilmente perché pensa che io sia un imbranato.

A questo punto decido di dargli corda e fargli perdere tempo credendo di essere a un passo dal mettere a segno il furto di account. Parte un lungo dialogo: fingo di non essere esperto, e mi invento le scuse più bislacche. Cose del tipo “Non riesco, il telefono mi dice che ho il cirbione vagolato e manca la notifica di hotlinking. Cosa vuol dire? Non capisco”. E lui, pazientemente, risponde. "Non hai nulla di cui preoccuparti. Mandami il link dopo di che andrà tutto bene”.

“Sì, ma cos'è questo cirbione vagolato?” Sono due parole prese dal lessico fantastico del fumettista Jacovitti. Il truffatore non si rende conto che lo sto prendendo in giro.

“Non è niente. Mandami il link”, risponde. Gli chiedo scusa, dicendogli “Mamma mia scusami ma sono molto lento perché ho la malattia della tafazzite da quando avevo 13 anni ho solo due dita che funzionano”. Lui, imperterrito, insiste. Gli chiedo altre cose assurde: “Tu stai bene? Hai qualche malattia? Ti piacciono i film dei gladiatori? A me piace parlare con le persone ma non posso perché ho la tafazzite contagiosa”.

Niente. Neanche la citazione di malattie inesistenti come la tafazzite contagiosa o di battute celebri del film L’aereo più pazzo del mondo gli fa accendere la lampadina. Mi manda uno screenshot del mio profilo, dicendomi “Mandami uno screenshot di questa parte del tuo account Instagram ora”. È una mia impressione o il suo tono comincia a essere esasperato?

Il tempo passa e lo scambio di messaggi prosegue. Gli dico che mi sono spaventato perché temo che lui sia un hacker e questo mi ha causato problemi di incontinenza, e lui mi risponde “Oh, mi dispiace tanto. Ti aiuterò con 1.000€”, dimostrando così che è una persona in carne e ossa e non un bot o sistema automatico. Poi gli dico che faccio intervenire la mia inesistente figlia Giuditta e gli mando, finalmente, il link che continua insistemente a chiedermi. Ma il link che gli mando è un canary token, ossia un link speciale, che si può creare gratuitamente per esempio presso Canarytokens.org e che quando viene cliccato manda a chi l’ha creato delle informazioni su chi ha cliccato.

In altre parole, se il truffatore clicca sul link, riceverò le sue coordinate: il suo indirizzo IP, il tipo di telefono che sta usando, e altre informazioni interessanti. Ma il link è chiaramente riconoscibile, perché contiene il nome del sito Canarytokens, per cui non mi aspetto che ci caschi. Per confonderlo e come ulteriore presa in giro, gli dico che Giuditta, la mia figlia immaginaria che mi sta aiutando, gli ha mandato per errore il link alle sue foto intime e gli chiedo di non guardarle.

Ovviamente il truffatore non resiste alla tentazione e clicca sul link. Mi arrivano le informazioni su di lui. Risulta che usa un iPhone e che il suo indirizzo IP è svizzero, ma è quello di un servizio di VPN, per cui probabilmente l’aspirante ladro di account sta altrove [probabilmente in Nigeria, a giudicare dal parametro en_NG, che è il locale di quel paese; la dicitura “Instagram phisher” l’ho generata io come promemoria della funzione di questo token].

A questo punto l’ho già tenuto in ballo per oltre un’ora, e ho ottenuto tutto quello che mi serviva, per cui lancio la burla finale: “BUONGIORNO” gli scrivo “QUESTO È IL SERVIZIO SVIZZERO DI SICUREZZA DIGITALE. QUESTO ACCOUNT VIENE MONITORATO. SIGNOR MONI [è questo il nome dell’account rubato] LEI È PREGATO DI IDENTIFICARSI CON UNA IMMAGINE DI UN DOCUMENTO DI IDENTITÀ E DI PRESENTARSI ALLA CENTRALE DI SICUREZZA DI EGERKINGEN ENTRO 24 ORE PER UN INTERROGATORIO. FIRMATO AGENTE HUBER.”

Improvvisamente cala il silenzio. Il truffatore non si fa più vivo; non risponde ai miei messaggi successivi. Gli lascio un messaggio di congedo, nel quale gli spiego chi sono e che ho raccontato il suo tentativo di furto in diretta su Twitter per far divertire chi mi legge. Gli dico anche che so benissimo che lui è un criminale che sa bene che sta commettendo un reato e aggiungo che spero che la conversazione gli sia stata di lezione: le vittime, insomma, a volte sanno reagire.

Per me la vicenda sarebbe finita, ma a sorpresa, alcune ore più tardi, mi chiede ancora di mandargli il link. Probabilmente sta gestendo contemporaneamente vari tentativi di truffa e ha perso il filo del discorso.

Decisamente non tutti i criminali sono geni del male. Siate più svegli di loro.

Se vi interessa l’intera conversazione che qui vi ho riassunto, gli screenshot sono qui sotto. Buon divertimento e prudenza. 

Fonti aggiuntive: Punto Informatico, Mobileworld.it.

Questo non è un articolo tecnico: consideratelo semplicemente come un appunto pubblico che magari può essere utile a qualcuno che si trovi nella mia stessa situazione.

Ieri mi sono collegato al mio account Instagram e ho trovato questo avviso.

“Il tuo account è stato bloccato temporaneamente” dice l’avviso sul mio smartphone. “Abbiamo scoperto un’attività sospetta sul tuo account Instagram e lo abbiamo bloccato temporaneamente per precauzione. Il tuo account potrebbe essere stato compromesso perché hai inserito la tua password su un sito web creato per assomigliare a Instagram. Questo tipo di frode è chiamato "phishing"”.

Come avrete intuito, non ho affatto inserito la mia password in un sito di phishing e ho l’autenticazione a due fattori. Ma allora cosa sta succedendo realmente?

L’avviso dice che nei passaggi successivi mi verrà chiesto di verificare la mia identità. Va be’, proviamo. Clicco su Continua.

Mi viene chiesto come voglio ricevere un codice di sicurezza: via mail o tramite SMS al mio telefonino. Scelgo la seconda opzione.

Mi arriva via SMS un codice di sei cifre e lo immetto nella schermata di verifica di Instagram.

L’app mi chiede poi di modificare la mia password. Eseguo.

Ta-da! Account sbloccato. Mistero totale sulle cause del blocco. Colgo l’occasione per ricordare che è indispensabile attivare sempre l’autenticazione a due fattori, per proteggersi da tentativi di phishing, e che con un “supporto tecnico” criptico del genere non è mai una buona cosa far dipendere una propria attività economica o comunicativa essenziale da un singolo account social, in ossequio alla Clausola del Gatto Sitwoy.

Ultimo aggiornamento: 2022/01/31 21:45.

Stamattina, durante una lezione a scuola a Canobbio (Canton Ticino), diversi studenti mi hanno segnalato di aver ricevuto tramite un social network (non hanno precisato quale) un messaggio privato come quello mostrato qui accanto: un invito a cliccare su un link, preceduto dalla frase “Ci ho messo circa tre ore a farlo. Spero proprio che ti piaccia” (in originale: “This took me about 3 hours to make. I really hope you like it”).

Poco dopo mi è arrivata la stessa segnalazione da un’altra fonte di famiglia.

Il link è giftshop7062 punto buzz. Dopo lo slash c’è il nome Instagram dell’utente che l’ha ricevuto. Per ora sembra essere un semplice redirect alla pagina di login di Instagram, secondo Wheregoes.

La cosa strana è che il messaggio diretto su Instagram che contiene questo invito arriva da un contatto del destinatario, come se l’account del contatto fosse infetto. Avete idee di cosa sia?

Secondo questo post sarebbe una truffa che circola da alcuni mesi, ma non mi è chiaro come funzioni. Se ne sapete di più, i commenti sono a vostra disposizione.

---

Aggiornamento: Stando alle vostre segnalazioni e a quello che ho trovato online, questo testo circola già da tempo (almeno da luglio-agosto 2021), appunto, ma legato a link differenti. Lo schema dovrebbe essere quello di un classico phishing: nelle versioni che ho visto in giro, il link porta a una falsa pagina di login che imita quella di Instagram. Ecco un esempio tratto da questo video a 3m35s:

Se la vittima immette le proprie credenziali nella falsa pagina di login, le regala ai truffatori, che prendono il controllo dell’account Instagram della vittima e lo usano per mandare automaticamente lo stesso invito-trappola a tutti i contatti presenti nella rubrica Instagram della vittima. Quei contatti ricevono l’invito in apparenza da qualcuno che conoscono e quindi tendono a fidarsi; la curiosità di vedere di cosa si tratta fa abbassare ulteriormente la guardia.

Il mio primo consiglio pratico è non cliccare sul link. Se l’avete fatto e avete digitato le vostre credenziali, cambiate password. Se avete usato la stessa password altrove, cambiatela anche lì.

Se vi siete protetti preventivamente con l’autenticazione a due fattori, come raccomando di fare da anni, non perderete il controllo del vostro account.

Il secondo consiglio è non bloccare il mittente, perché probabilmente non ha colpa ed è una vittima come voi.

Il terzo e ultimo consiglio è contattare a voce il mittente e avvisarlo che sta mandando in giro link-trappola, perché magari non se ne è reso ancora conto.

Ultimo aggiornamento: 2021/10/18 17:30.

Si parla molto, ultimamente, di lasciare i social network: troppo ficcanaso e troppo tossici nel loro favorire l’odio, la lite e l’aggressività. Se per caso state meditando di chiudere un account social ma non volete perdere tutte le foto e i contatti che vi avete accumulato, Intego ha pubblicato un articolo molto dettagliato che spiega come fare per Facebook, Instagram, Twitter, YouTube, WhatsApp, TikTok e molti altri. Questa è una sua sintesi con i link essenziali.

Facebook. Si può disattivare temporaneamente l’account oppure eliminarlo definitivamente e si può scaricare una copia di tutti i propri dati. Per riattivare un account disattivato basta rientrare nell’account. Se si elimina un account, ci sono 30 giorni di tempo per ripristinarlo.

YouTube. YouTube fa parte di Google, per cui l’account YouTube è legato all’account Google. Per eliminare il proprio account YouTube occorre quindi eliminare il proprio account Google, ma attenzione, perché eliminare un account Google significa perdere anche Gmail, Google Drive e molti altri servizi. Però si può eliminare un canale YouTube lasciando intatto tutto il resto. Non c’è modo di fare una disattivazione temporanea; si può scaricare una copia dei propri dati andando a takeout.google.com.

WhatsApp. Si può eliminare l’account ma non è prevista la disattivazione temporanea. I dati possono essere scaricati tramite un backup.

Instagram. Qui è permessa la disattivazione temporanea e si può scaricare una copia dei propri dati prima di eliminare l’account (cosa che non si può fare nei menu dell’app). 

TikTok. La disattivazione temporanea non è prevista; si può eliminare l’account scegliendo la gestione account dal menu che compare cliccando sulle tre barrette orizzontali in alto a destra. Per scaricare i propri dati può essere necessario aspettare fino a 30 giorni.

SnapChat. Eliminare definitivamente un account SnapChat è facile; per disattivarlo temporaneamente (per 30 giorni) basta chiederne l’eliminazione e poi rientrare nell’account prima che siano trascorsi 30 giorni. Non sembra esserci un modo per scaricare i propri dati.

Twitter. Si può chiedere la disattivazione per un periodo di 30 giorni; se non si accede all’account per tutto questo periodo, l’account viene eliminato. Si può scaricare una copia dei propri dati.

LinkedIn. Scaricare una copia dei dati è semplice; disattivare temporaneamente non è previsto, ma si può eliminare il proprio account, con 14 giorni di tempo per eventuali ripensamenti. 

Tumblr. È possibile scaricare una copia dei propri dati seguendo queste istruzioni; l’eliminazione di un account è spiegata qui ed è definitiva (nessun periodo di ripensamento) ed eseguibile solo tramite browser (non dall’app).

Mentre scrivo la prima stesura di queste righe Facebook e le sue proprietà (WhatsApp, Instagram e Oculus) sono completamente inaccessibili da alcune ore in tutto il pianeta. Facebook ha confermato laconicamente il problema con un post su Twitter.

Anche la pagina ufficiale di stato di Facebook, status.fb.com, è inaccessibile.

Questa è una mia prima sintesi della situazione. La aggiornerò man mano che ci saranno novità.

---

Ultimo aggiornamento: 2021/10/07 20:30.

A quanto risulta dalle prime analisi e indiscrezioni, tutto è iniziato intorno alle 15.40 UTC (le 17.40 italiane) in seguito a un errore commesso durante un cambiamento di configurazione interno a Facebook. 

Questo errore comporta che tutta Internet non sa più dove trovare Facebook, perché qualcuno di Facebook ha cancellato la mappa che dice dove si trova Facebook e che strada fare per raggiungerlo.

In termini leggermente tecnici: l’errore di configurazione ha reso inaccessibili da remoto i BGP peering router di Facebook, i computer dell’azienda che gestiscono il BGP (Border Gateway Protocol), che è il protocollo di Internet che determina l’instradamento (routing) dei dati da trasmettere, come spiegato qui e qui.

Between 15:50 UTC and 15:52 UTC Facebook and related properties disappeared from the Internet in a flurry of BGP updates. This is what it looked like to @Cloudflare. pic.twitter.com/PFw5FR2W5j

— John Graham-Cumming (@jgrahamc) October 4, 2021

ThousandEyes tests can confirm that at 15:40 UTC on October 4, the Facebook application became unreachable due to DNS failure. Facebook’s authoritative DNS nameservers became unreachable at that time. The issue is still ongoing as of 17:02 UTC. pic.twitter.com/zNmZWTxEUo

— ThousandEyes (@thousandeyes) October 4, 2021

L’errore ha causato l’eliminazione improvvisa dei route (percorsi) BGP che consentivano di accedere ai server DNS di Facebook, per cui il DNS di Facebook non va più (lo sappiamo da tweet come questo).

Il problema è che correggere questo errore richiede che si acceda fisicamente a questi peering router, visto che non sono più raggiungibili da remoto, ma chi può farlo non è necessariamente dotato delle autorizzazioni e dell’autenticazione che sono necessari. BNO News alle 22.15 ha tweetato, citando il NYT, che Facebook ha inviato una squadra a uno dei suoi data center a Santa Clara, in California, per resettare manualmente i server.

Non solo: questo errore implica che non funziona più nessuno dei servizi interni di Facebook (mail, strumenti di gestione, sistemi di sicurezza, agende, la messaggistica interna Workplace, eccetera), visto che sono tutti sul dominio Facebook.com, che è totalmente irraggiungibile, per cui neppure i dipendenti dell’azienda possono usarli per comunicare tra loro, come nota il New York Times.

E non è finita: se, come sembra (anche da qui), le serrature delle porte degli uffici di Facebook sono “smart” (basate sull’IoT), dipendono dalla connessione a Internet e dall’accesso ai server di Facebook. Che sono inaccessibili, per cui molti dipendenti non riescono a entrare perché i loro badge di accesso non funzionano. Il New York Times conferma.

Non ci sono indicazioni di eventuali attacchi esterni: tutto indica un errore interno di dimensioni catastrofiche. 

NOTA: L’annuncio della diffusione dei dati di circa un miliardo e mezzo di utenti Facebook non è correlato a questo incidente. I dati non includono password.

Questo errore sta avendo conseguenze a catena sul resto di Internet, e arrivano segnalazioni di rallentamenti anche per Disney+, Netflix e Twitter (che finora ha retto):

#GoogleDNS 8.8.8.8 becomes much slower because of #Facebookdown and all the client retries. pic.twitter.com/4aTyFAykMq

— awlnx (@awlnx) October 4, 2021

Finché Facebook è fuori uso, è possibile che non funzionino neanche gli accessi alle app o ai siti che usano l’opzione "Login tramite Facebook" (per esempio Pokémon Go). 

In pratica, un miliardo di smartphone e di altri dispositivi sta cercando disperatamente di trovare Facebook e questi tentativi inutili generano traffico DNS che rallenta tutti gli altri accessi.

Agli utenti di Facebook, Instagram, WhatsApp e Oculus non resta che aspettare che la situazione venga ripristinata ed eventualmente installare app analoghe come Signal o Telegram. Aggiungo un paio di suggerimenti:

• Disattivate le notifiche di Facebook, WhatsApp e Instagram, altrimenti quando torneranno a funzionare verrete sommersi da un fiume di notifiche rimaste in coda (grazie ad @alessLongo per la dritta). 
• NON FIDATEVI di eventuali messaggi o mail che invitano a cliccare da qualche parte per riattivare i vostri account. I truffatori approfitteranno sicuramente del panico causato da questo collasso e invieranno messaggi-esca che porteranno a siti-trappola che somigliano alle schermate di login dei social di Zuckerberg ma sono in realtà delle copie che rubano le password.
  

Maggiori informazioni ed analisi sono presso Ars Technica, The Register, Brian Krebs (anche qui in maggiore dettaglio), SANS.

---

2021/10/04 23:30. Status.fb.com è tornato online:

---

2021/10/04 23:50. Alcuni lettori mi segnalano che WhatsApp e Instagram stanno riprendendo a funzionare, dopo circa sei ore di paralisi. Non è un record: un altro blackout di Facebook, WhatsApp e Instagram a marzo 2019 durò oltre quattordici ore.

---

2021/10/05 13:10. Facebook ha pubblicato delle scuse e una spiegazione dettagliata dell’incidente. Da questa pubblicazione cito:

The underlying cause of this outage also impacted many of the internal tools and systems we use in our day-to-day operations, complicating our attempts to quickly diagnose and resolve the problem.

Our engineering teams have learned that configuration changes on the backbone routers that coordinate network traffic between our data centers caused issues that interrupted this communication. This disruption to network traffic had a cascading effect on the way our data centers communicate, bringing our services to a halt.

Our services are now back online and we’re actively working to fully return them to regular operations. We want to make clear at this time we believe the root cause of this outage was a faulty configuration change. We also have no evidence that user data was compromised as a result of this downtime.

In altre parole; è confermato che anche i sistemi interni di Facebook sono stati colpiti, che si è trattato di un errore di configurazione  (non di un attacco esterno) e che non risulta che ci siano state violazioni dei dati degli utenti.

---

2021/10/05 20:55. Facebook ha pubblicato un’ulteriore spiegazione dell’accaduto. Cito la parte interessante ed evidenzio i punti salienti:

This outage was triggered by the system that manages our global backbone network capacity. The backbone is the network Facebook has built to connect all our computing facilities together, which consists of tens of thousands of miles of fiber-optic cables crossing the globe and linking all our data centers.

Those data centers come in different forms. Some are massive buildings that house millions of machines that store data and run the heavy computational loads that keep our platforms running, and others are smaller facilities that connect our backbone network to the broader internet and the people using our platforms. 

When you open one of our apps and load up your feed or messages, the app’s request for data travels from your device to the nearest facility, which then communicates directly over our backbone network to a larger data center. That’s where the information needed by your app gets retrieved and processed, and sent back over the network to your phone.

The data traffic between all these computing facilities is managed by routers, which figure out where to send all the incoming and outgoing data. And in the extensive day-to-day work of maintaining this infrastructure, our engineers often need to take part of the backbone offline for maintenance — perhaps repairing a fiber line, adding more capacity, or updating the software on the router itself.

This was the source of yesterday’s outage. During one of these routine maintenance jobs, a command was issued with the intention to assess the availability of global backbone capacity, which unintentionally took down all the connections in our backbone network, effectively disconnecting Facebook data centers globally. Our systems are designed to audit commands like these to prevent mistakes like this, but a bug in that audit tool didn’t properly stop the command. 

This change caused a complete disconnection of our server connections between our data centers and the internet. And that total loss of connection caused a second issue that made things worse.  

One of the jobs performed by our smaller facilities is to respond to DNS queries. DNS is the address book of the internet, enabling the simple web names we type into browsers to be translated into specific server IP addresses. Those translation queries are answered by our authoritative name servers that occupy well known IP addresses themselves, which in turn are advertised to the rest of the internet via another protocol called the border gateway protocol (BGP). 

To ensure reliable operation, our DNS servers disable those BGP advertisements if they themselves can not speak to our data centers, since this is an indication of an unhealthy network connection. In the recent outage the entire backbone was removed from operation,  making these locations declare themselves unhealthy and withdraw those BGP advertisements. The end result was that our DNS servers became unreachable even though they were still operational. This made it impossible for the rest of the internet to find our servers. 

All of this happened very fast. And as our engineers worked to figure out what was happening and why, they faced two large obstacles: first, it was not possible to access our data centers through our normal means because their networks were down, and second, the total loss of DNS broke many of the internal tools we’d normally use to investigate and resolve outages like this. 

Our primary and out-of-band network access was down, so we sent engineers onsite to the data centers to have them debug the issue and restart the systems. But this took time, because these facilities are designed with high levels of physical and system security in mind. They’re hard to get into, and once you’re inside, the hardware and routers are designed to be difficult to modify even when you have physical access to them. So it took extra time to activate the secure access protocols needed to get people onsite and able to work on the servers. Only then could we confirm the issue and bring our backbone back online. 

Once our backbone network connectivity was restored across our data center regions, everything came back up with it. But the problem was not over — we knew that flipping our services back on all at once could potentially cause a new round of crashes due to a surge in traffic. Individual data centers were reporting dips in power usage in the range of tens of megawatts, and suddenly reversing such a dip in power consumption could put everything from electrical systems to caches at risk.   

Helpfully, this is an event we’re well prepared for thanks to the “storm” drills we’ve been running for a long time now. In a storm exercise, we simulate a major system failure by taking a service, data center, or entire region offline, stress testing all the infrastructure and software involved. Experience from these drills gave us the confidence and experience to bring things back online and carefully manage the increasing loads. In the end, our services came back up relatively quickly without any further systemwide failures. And while we’ve never previously run a storm that simulated our global backbone being taken offline, we’ll certainly be looking for ways to simulate events like this moving forward. 

---

2021/10/07 23:20. Ho provato a tradurre in italiano umanamente comprensibile lo spiegone di Facebook del suo collasso che ho citato qui sopra. Ditemi come sono andato.

In sintesi e con qualche mio commento: Facebook è un insieme geograficamente sparso in tutto il mondo di data center, grandi e piccoli, che sono interconnessi tramite una vasta rete di cavi di telecomunicazioni, denominato backbone. Quando un utente interagisce con Facebook (e le sue associate Instagram e WhatsApp), la sua app chiede dati. Questa richiesta viene ricevuta dal data center piccolo più vicino, che la manda tramite la rete di Facebook a uno dei data center più grandi, dove viene elaborata e riceve risposta. Questo traffico è gestito da router che decidono dove inviare i dati ricevuti e spediti.

A volte questa rete ha bisogno di manutenzione o modifiche. Il blackout è stato causato da una di queste manutenzioni: è stato dato un comando per valutare la disponibilità di capacità del backbone globale. Questo comando ha involontariamente interrotto tutte le connessioni del backbone, scollegando tutti i data center. I sistemi di Facebook sono progettati per valutare comandi di questo genere per impedire questo tipo di errore, ma un bug nel sistema di valutazione non ha bloccato il comando.

Questa disconnessione ha causato un secondo problema. I data center più piccoli di Facebook rispondono anche alle query del DNS. Il DNS è la rubrica degli indirizzi di Internet: traduce i nomi dei siti che digitiamo nel browser in indirizzi IP. Questa traduzione, nel caso di Facebook, viene fatta dai name server di Facebook, i cui indirizzi vengono comunicati a tutta Internet tramite un protocollo di nome border gateway protocol o BGP.

Ma Facebook è progettata in modo che se i name server dell’azienda non riescono a comunicare con i suoi data center, le informazioni BGP vengono rimosse per sicurezza. Il risultato è che tutta Facebook diventa irreperibile e sparisce completamente da Internet.

Tutto questo è accaduto molto in fretta. I data center erano inaccessibili da remoto (la rete non funzionava) e il crollo del DNS ha bloccato il funzionamento di molti degli strumenti interni usati solitamente per gestire questi problemi. Così è stato necessario inviare fisicamente dei tecnici ai data center per risolvere l’anomalia e riavviarli. Ma questo ha richiesto tempo per via delle sicurezze fisiche elevate di questi data center: è difficile entrarvi (questo accenno sembra confermare le voci di dipendenti chiusi fuori dalle sicurezze) e una volta dentro sono progettati per rendere difficili le modifiche anche quando si ha accesso fisico.

Una volta ripristinato il backbone, si è posto un ulteriore problema: riattivare di colpo tutti i servizi avrebbe rischiato di causare nuovi crash a causa dell’improvviso aumento del traffico. Questo ha delle implicazioni a livello elettrico (non elettronico) molto importanti: i singoli data center segnalavano cali di consumo dell’ordine delle decine di megawatt, e invertire di colpo questi cali avrebbe messo a rischio gli impianti elettrici e molti altri sistemi.

Facebook aveva simulato queste situazioni durante varie esercitazioni e ha saputo riavviare i sistemi senza causare sovraccarichi. Però, nota Facebook, questo scenario non era mai stato simulato. Una pecca grave. 

Credit per l’immagine dello Swiss cheese Model: BenAveling/Wikipedia. 

Credit: Motherboard.

Motherboard ha pubblicato un’indagine sul fenomeno del ban-as-a-service: l’attività criminale di far bandire (o bannare) qualcuno da un social network usando l’inganno per indurre i gestori del social network a chiudergli l’account.

Il ban-as-a-service opera in questo modo: il criminale crea un profilo identico a quello del bersaglio, copiandone la foto della bio e la descrizione. Ma crea questo profilo-clone usando un profilo verificato (uno di quelli con il bollino blu), che magari ha rubato a qualcuno.

Fatto questo, il criminale segnala a Instagram l’account della vittima, accusandola di essere un impostore. Instagram, invece di controllare come stanno le cose (per esempio guardando quale dei due account è stato creato prima o ha caricato di colpo tante foto e cambiato quelle preesistenti), banna l’account della vittima.

Non è l’unica tecnica: le altre sono descritte nell’articolo di Motherboard. Ma la cattiveria dei truffatori non si esaurisce qui. Infatti capita spesso che le vittime del ban vengano contattate prontamente da qualcuno che si offre di rimettere tutto a posto, ovviamente dietro compenso. E stavolta le cifre in gioco sono decisamente più alte: dai 3500 dollari in su.

Se la vittima usa il proprio account Instagram per lavoro, trovarselo bannato è un danno economico notevolissimo, per cui capita spesso che le cifre richieste vengano pagate. Guarda caso, chi si offre di ripristinare a pagamento è in combutta con chi ha effettuato il ban.

In casi come questi, non c’è password o autenticazione a due fattori che tenga, perché questo non è un furto di account, e spetta a Instagram investigare per capire come sono andate le cose e chi è il vero impostore. Non sempre lo fa, stando all’indagine di Motherboard. Se vi capita un problema di questo genere, non vi resta che consultare il Centro assistenza di Instagram, che ha una pagina apposita per il ripristino degli account disabilitati.

Si è accorta in tempo del tentativo e non è caduta nella trappola. Ha pubblicato i messaggi-truffa, e questo permette di studiare da vicino un caso concreto di tentato furto di credenziali che avrebbe potuto avere conseguenze personali e professionali pesanti.

La prima cosa interessante è il testo degli avvisi, costruito in modo da sembrare realistico, personale e preoccupante: “Ciao Elodie, Nuovo accesso al tuo account nei pressi di Milano(Mi). Autorizza o blocca questo accesso tramite [link]”; “Ciao Elodie, Come da tua richiesta il download della libreria fotografica è iniziato. Verifica i tuoi file su [link]”; “Ciao Elodie, Blocca i tentativi di accesso al tuo account completando il login su [link]”; e così via. Tutti i messaggi sono pensati in modo da indurre la vittima a cliccare sul link, dove troverà una finta pagina di login, gestita in realtà dai truffatori. Se dovesse digitare la propria password in questa pagina falsa, regalerà il controllo del proprio account ai malviventi.

Il link è la seconda cosa interessante: è sempre uguale, ed ha la forma bit [punto] ly/accessoSospetto. Anche il nome del link è scelto in modo da sembrare un riferimento a una pagina di verifica di sicurezza antifrode.

Si tratta di un link abbreviato: la sua versione estesa, e quindi il vero indirizzo web della pagina-trappola, è https://www.iclooud[punto]co/b/VerificaAccesso/. Notate l’iclooud con due O, che è facile scambiare per iCloud di Apple. Secondo Domaintools, Iclooud[punto]co risiedeva in Germania all’indirizzo IP 185.219.221.184 ed è stato creato 87 giorni fa, il primo marzo 2021. Ora non risponde più: meglio così.

Per evitare questo genere di truffa, conviene abituarsi a non cliccare sui link di allerta e conviene attivare l’autenticazione a due fattori. Forse ora che il tentativo di phishing è capitato a una persona così seguita, un po’ di gente starà più attenta. Forse.

Fonti: Yahoo Notizie, Fanpage.it.

Occhio al furto di account. Gli account Instagram fanno gola ai criminali e ai molestatori, che s’inventano mille modi per rubarli e saccheggiarne i contenuti o semplicemente toglierli ai legittimi utenti. Questo è un reato che vedo avvenire sempre più spesso, soprattutto a danno degli utenti più giovani. La trappola è solitamente un messaggio che chiede alla vittima di cliccare su un link che la porta a una pagina web che finge di essere quella di richiesta password di Instagram ma è in realtà gestita dai truffatori. Un altro trucco frequente è la finta segnalazione di violazione di copyright, come quelle mostrate qui sotto.

Truffe sentimentali. Un classico: il finto corteggiatore (o corteggiatrice) costruisce un rapporto di lunga durata con la vittima, adulandola anche per mesi, e ne conquista la fiducia per poi chiederle denaro con la scusa di doversi tirare fuori da un guaio. Non è vero nulla, ma la vittima ci crede e manda i soldi, che non rivedrà più.

Offerte allettanti. I truffatori fingono di offrire un prodotto esclusivo a prezzo stracciato a pochi fortunati, ma per riceverlo bisogna pagare delle “spese di spedizione”. Il prodotto non arriva e i soldi pagati non tornano.

Investimenti sicuri. I criminali si mostrano come persone di grande successo materiale e dicono di aver fatto fortuna con un “sistema” che sono disposti a rivelare a chi manda loro un piccolo anticipo. Chi abbocca riceve spesso dei finti “estratti conto” che fanno sembrare che il “sistema” stia rendendo bene. Così la vittima manda altri soldi da “investire” e magari coinvolge anche parenti e amici. Un bel giorno il truffatore svanisce e con lui spariscono anche tutti i soldi.

Naked Security ha quattro consigli di base per vivere serenamente su Instagram:

1. Password robuste e differenti. Non usate su Instagram una password che usate altrove. Se temete di aver dato la vostra password a un sito ingannevole, cambiatela subito, prima che lo facciano i criminali. Valutate la possibilità di usare un password manager.
2. Condivisione limitata. Anche se oggi è considerato normale condividere pubblicamente su Instagram gran parte della propria vita, non è obbligatorio raccontare tutto a tutti. Chiedetevi chi o cosa c’è anche sullo sfondo delle foto prima di pubblicarle.
3. Siate vigili. Se un account o un messaggio vi insospettisce, non interagite, non rispondete e non cliccate sui link che vi manda. Se una cosa sembra troppo bella per essere vera, presumete che non sia vera.
4. Rendete privato il vostro account. Se non avete ambizioni di diventare influencer e invece usate Instagram per restare i contatto con gli amici, impostate il vostro account in modo che sia privato. Solo chi vi segue potrà vedere le vostre foto. Controllate periodicamente l’elenco di questi follower e bloccate chiunque non riconoscete e chiunque non volete più fra coloro che hanno accesso ai fatti vostri. Per rendere privato un account è sufficiente andare nelle Impostazioni e poi scegliere Privacy e attivare il selettore Account privato.
   

Vi ricordate il vecchio logo di Instagram, quello mostrato qui accanto? Sono ormai passati dieci anni dal debutto di questa app a ottobre 2010; a quell’epoca c’era soltanto la versione per iOS, e gli utenti Android dovettero aspettare quasi due anni, fino ad aprile 2012, per poter condividere foto online tramite quest’app.

Oggi può sembrare strano, ma inizialmente le foto di Instagram erano limitate al formato quadrato e non potevano superare i 640 x 640 pixel (la risoluzione dell’iPhone di allora); per arrivare alla risoluzione attuale di 1080 pixel fu necessario attendere il 2015, quando arrivarono le immagini multiple in un singolo post; le Storie arrivarono nel 2016.

Oggi e dal 2012 Instagram è di proprietà di Facebook, che sta progressivamente integrando Facebook e Instagram (e prossimamente anche WhatsApp) al livello dei messaggi: un utente di Facebook Messenger può comunicare con gli utenti di Instagram e viceversa, si possono collegare i propri account Facebook e Instagram, ed è possibile fare crossposting: per esempio condividere su Instagram un contenuto postato su Facebook e viceversa.

Attualmente Instagram conta circa un miliardo di utenti attivi su base mensile, ed è popolare soprattutto nella fascia d’età fra 18 e 34 anni, che è desideratissima dagli inserzionisti pubblicitari; in questa fascia sta eclissando la popolarità di Facebook.

La fusione di Facebook e Instagram è quindi una buona strategia per semplificare le comunicazioni degli utenti e per raccogliere più dati vendibili sulle loro abitudini, sui loro interessi e sulle loro reti di contatti, amici e conoscenti. Ma all’orizzonte si profilano già possibili successori e alternative, come TikTok e Discord.

Se usate Instagram, aggiornate la vostra app, altrimenti può bastare una semplice immagine per rubarvi l’account.

Lo segnalano i ricercatori di sicurezza informatica di Check Point Research, che hanno scoperto una falla in un componente open source usato da Instagram (Mozjpeg) per visualizzare le immagini JPEG. La falla consentiva a un aggressore di prendere il controllo dell’account di una vittima semplicemente mandandole un’immagine appositamente confezionata, usando mail, WhatsApp o altri sistemi di messaggistica. 

Quando la vittima avviava Instagram sul proprio smartphone, l’immagine veniva caricata automaticamente, causando un integer overflow che portava a un heap buffer overflow che a sua volta consentiva di eseguire istruzioni sullo smartphone: leggere i messaggi privati, cancellare o pubblicare post, e persino trasformare lo smartphone in uno strumento di sorveglianza accedendo ai dati GPS e alla fotocamera.

Check Point ha aspettato sei mesi prima di pubblicare la propria scoperta: nel frattempo ha informato Facebook, proprietaria di Instagram, che ha corretto la falla. Facebook dichiara che il problema riguarda le versioni di Instagram vecchie: dalla 128.0.0.26.128 in poi non c’è più.

Per sapere quale versione di Instagram avete installato:

• Su Android, andate in Impostazioni - Applicazioni, toccate Instagram e scorrete verso il basso: vedrete l’indicazione della versione.
• Su iOS/iPadOS, andate in Impostazioni - Generali - Spazio, toccate Instagram e comparirà l’indicazione della versione.

Fonti aggiuntive: Forbes, Apple Insider, Android Central.