Un’inchiesta del Washington Post, della TV tedesca ZDF e dell’emittente svizzera SRF (anche qui) ha rivelato che l’azienda svizzera di crittografia Crypto AG è stata usata dalla CIA e dalla tedesca BND per decenni per spiare governi e forze armate di tutto il mondo, compresi i paesi loro alleati, come Spagna, Grecia, Turchia e Italia.

Crypto AG, infatti, vendeva apparati di crittografia che a seconda del paese di destinazione venivano alterati segretamente in modo da consentire ai servizi segreti statunitensi e tedeschi di decrittare facilmente le comunicazioni cifrate diplomatiche, governative e militari di quei paesi, comprese quelle del Vaticano.

In Svizzera lo scandalo è forte e verrà istituita una commissione parlamentare d’inchiesta per capire quali autorità specifiche fossero al corrente di questa vicenda. Ma c’è un dato che forse andrebbe considerato: la natura delle attività di Crypto AG non era affatto un segreto.

Infatti con una ricerca mirata in Google e con l’aiuto di alcune segnalazioni dei lettori emergono numerose indagini giornalistiche, anche svizzere, che mettono a nudo Crypto AG sin dal 1994:

• La serie in 5 episodi della RTS La Suisse sous couverture (novembre 2019)
• How NSA and GCHQ spied on the Cold War world (BBC, 2015);
• Depuis 1956, l’entreprise suisse Crypto AG collaborait avec le renseignement américain, britannique et allemand (LeTemps.ch, 2015);
• Swiss cryptography firm helped NSA during Cold War (Swissinfo.ch, 2015);
• National Security Agency Surveillance: Reflections and Revelations 2001-2013, di Wayne Madsen;
• NSA Backdoors in Crypto AG Ciphering Machines, di Bruce Schneier (2008);
• Why NSA is the Fort Knox of the U.S. Intelligence Establishment, di Wayne Madsen (2005, disponibile qui);
• Crypto AG: The NSA's Trojan Whore? di Wayne Madsen e Crypto’s Cryptic Ownership, in Covert Action Quarterly 4/1997, pagine 36-38;
• „Wer ist der befugte Vierte?“ (Der Spiegel, 1996);
• Rigging the Game (Baltimore Sun, 1995);
• Rendezvous: People and Places in Switzerland, intervista con Hans Buehler di James Nason, Swiss Radio International, 18 luglio 1994 (citato in Covert Action Quarterly 4/1997).

Fonte: Swissinfo.ch.

Tutte queste inchieste documentano che i rapporti con Crypto AG dei servizi segreti statunitensi e tedeschi erano già stati resi noti con grande dettaglio. La novità di oggi è semplicemente che sono stati resi pubblici documenti sulla vicenda che prima erano segreti. Fingere di non averne saputo nulla sembra quindi piuttosto implausibile.


2020/02/15. Cominciano a essere pubblicate le prime ammissioni ufficiali.

2020/02/19. È stato ritrovato il dossier mancante dal 2014, contenente gli atti dell’indagine della Polizia Federale su Crypto AG (Ticinonews).


Fonti aggiuntive: Tvsvizzera.it, Swissinfo.ch, The Register.

Ai media piacciono gli allarmi catastrofici, e così si sono fatti un po’ prendere la mano quando Microsoft ha annunciato il 14 gennaio scorso un aggiornamento “critico” di sicurezza per una falla di Windows 10 che le è stata segnalata nientemeno che dalle super-spie dell’NSA.

La falla, denominata CVE-2020-0601, è seria: se sfruttata con successo, consentirebbe a un aggressore di creare programmi ostili (virus o malware) apparentemente provenienti da una fonte attendibile e fidata.

Per esempio, una banda di criminali o uno stato ostile potrebbe creare una falsa versione di Adobe Acrobat o di Microsoft Word e “firmarla” con quella che sembrerebbe, a Windows, la vera firma digitale di Adobe o Microsoft. La stessa impostura si applicherebbe alle identità delle pagine Web.

Microsoft, però, nota che non ha visto alcuna prova del fatto che questa falla venga già sfruttata da malfattori. Quindi aggiornare Windows 10 è importante, ma non è il caso di disperarsi e fare di fretta: basta fare i normali aggiornamenti. Quello che risolve questa falla è già stato distribuito martedì scorso e risolve anche parecchie altre magagne. Anche Windows Server 2016 e 2019 è vulnerabile e ha i suoi aggiornamenti appositi, come segnala Cybersecurity360 (in italiano).

Un ricercatore, Saleem Rashid, ha presentato su Twitter una dimostrazione pratica decisamente allegra di una parte della falla, facendo sembrare che il sito dell’NSA, su una connessione sicura, stesse suonando il video di Never Gonna Give You Up di Rick Astley. Un rickroll, insomma.


Resta un solo dubbio: se l’NSA sapeva di questa vulnerabilità, che le permetteva teoricamente di fare ogni sorta di attacchi, come mai ha deciso di divulgarla invece di tenerla per sé e avere un vantaggio? Si possono solo fare ipotesi. La più ingenua, ma non impossibile, è che l’NSA abbia agito per buon cuore. Ma è anche possibile, e forse più plausibile, che l’agenzia governativa statunitense abbia avuto il timore che altri scoprissero questa stessa falla e la sfruttassero.

In ogni caso, ora che la falla è nota, i criminali non perderanno tempo a costruire attacchi informatici che la sfruttano per prendere di mira tutti quelli che non si aggiornano e restano vulnerabili. Quindi scaricate e installate gli aggiornamenti di sicurezza di Windows 10 seguendo la consueta procedura.


Fonte aggiuntiva: Ars Technica.

Ultimo aggiornamento: 2017/10/06 19:40.

Facciamo un quiz informatico? Premessa: sei un collaboratore esterno o un dipendente dell’NSA. Ti porti a casa documenti e malware segretissimi, usati dall’NSA per penetrare le reti informatiche degli altri paesi e per difendere quelle americane (primo errore). Metti il tutto su un computer non sicuro (secondo errore). Il computer è connesso a Internet (terzo errore). Sul computer c’è un antivirus (quarto errore), che come tutti gli antivirus fa il proprio dovere e quindi rileva la presenza del malware e la segnala via Internet alla casa produttrice.

A questo punto delle spie informatiche legate alla Russia usano l’accesso fornito dall’antivirus per procurarsi una copia del malware dell’NSA prelevandola dal tuo computer e se la studiano, rendendola così inutilizzabile e compiendo l’ennesimo furto di dati ai danni della superagenzia americana. Epic fail.

Domanda: quanto devi essere cretino per fare una sequenza di errori del genere?

Domanda di riserva: quanto sono incompetenti quelli dell’NSA, che non riescono a impedire ai collaboratori di portarsi a casa malware top secret e scelgono ripetutamente gente che fa queste cose?

Questa, a mio avviso, è la vera storia dietro un articolo del Wall Street Journal che invece di sottolineare l’inettitudine dell’NSA tenta di dare la colpa di tutto a Kaspersky Lab, l’azienda russa che produce l’antivirus usato dallo sciagurato collaboratore esterno dell’agenzia (o dipendente, secondo il New York Times), insinuando che Kaspersky collabori con il governo russo senza però presentare prove e usando soltanto fonti anonime (che comunque non dichiarano che Kaspersky abbia attivamente aiutato la Russia a scoprire o rubare questi dati). Per quel che ne sappiamo finora, è molto plausibile che i criminali informatici che hanno sottratto i dati dell’NSA abbiano sfruttato qualche falla del software di Kaspersky senza il consenso dell’azienda.

In effetti, se ci pensiamo, un antivirus è il bersaglio ideale per una campagna di spionaggio: è un prodotto conosciuto e fidato, estremamente diffuso, aggiornato frequentemente, al quale gli utenti concedono per forza di cose un accesso totale ai propri dati. Riuscire a infettare un antivirus o prendere il controllo dei server dove gli utenti dell’antivirus caricano i campioni di malware rilevati sarebbe un colpo gobbo. Quello che è (a quanto pare) successo a Kaspersky, insomma, potrebbe succedere a qualunque produttore di antivirus, e non è detto che gli altri produttori siano immuni alle intrusioni o alle persuasioni delle proprie agenzie di sicurezza nazionale (o di quelle straniere).

Sottolineo che la vicenda è ancora nebulosa, anche se ben riassunta da Ars Technica, e non è chiaro se sia la ragione del recente divieto statunitense di usare prodotti di Kaspersky, su qualunque computer delle agenzie governative, visto che il furto risale al 2015. L’azienda ha negato con forza di aver collaborato con i servizi di spionaggio russi e Eugene Kaspersky in persona ha dichiarato che il suo antivirus ha semplicemente fatto quello che fanno tutti gli antivirus.

Una spy-story in piena regola, con risvolti geopolitici enormi, insomma: ma noi utenti comuni, che magari abbiamo scelto proprio Kaspersky come antivirus, cosa dobbiamo fare? Sicuramente ci conviene continuare a usare un buon antivirus, perché il rischio di essere attaccati da criminali informatici comuni è immensamente superiore (con poche eccezioni altolocate) a quello di essere presi di mira dalle spie informatiche russe. Mettiamola così: se per il governo russo (o per qualsiasi governo) siete un bersaglio informatico allettante, la scelta della marca di antivirus è l’ultimo dei vostri problemi.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi per incoraggiarmi a scrivere ancora. Ultimo aggiornamento: 2017/05/17 18:00.

Stamattina sono stato ospite telefonico di Radio3 per parlare di Wannacry insieme a Carola Frediani. Se volete riascoltare i consigli e gli aggiornamenti che sono stati proposti, qui trovate il podcast. Buon ascolto.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Secondo le ricerche effettuate da Mustafa Al-Bassam, nel mondo ci sono attualmente oltre 15.000 firewall Cisco PIX vulnerabili all’attacco (finora segreto) BENIGNCERTAIN che l’NSA si è lasciata sfuggire. Quindi nonostante risalgano a circa tre anni fa, sono tutt’altro che spuntate.

There's actually over 15,000 Cisco PIX firewalls online today vulnerable to BENIGNCERTAIN, most of them in Russia. pic.twitter.com/rmwHBEyGW9

— Mustafa Al-Bassam (@musalbas) 19 agosto 2016

Intanto arrivano le prime segnalazioni di attacchi effettuati con queste armi e rilevati da chi si è attrezzato per farlo:

Looks like I have my first exploit attempt against the Cisco SNMP vuln from the #ShadowBrokers leak! pic.twitter.com/TaAjWiSaU6

— Brendan Dolan-Gavitt (@moyix) 19 agosto 2016

@moyix Update: two more came early this morning. pic.twitter.com/1dLoCoNHdb

— Brendan Dolan-Gavitt (@moyix) 20 agosto 2016

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento 2016/08/19 18:00. 

Non avrei mai pensato di poter dire di avere tra le mani una chiavetta USB contenente software segreto dell’NSA che consente di attaccare e scavalcare le difese di milioni di siti Internet, ma è successo. Ce l’ho qui, e come me ce l’hanno tanti altri informatici in tutto il mondo, perché il software è liberamente scaricabile, a patto di sapere dove trovarlo e come fare per spacchettarlo (non è difficile).

Il software NSA è stato raccolto e messo in circolazione pochi giorni fa da un’organizzazione che si fa chiamare Shadow Brokers (il nome è una citazione del videogioco Mass Effect). È diviso in due blocchi: una parte accessibile (un file compresso protetto con una password fornita insieme al file stesso), che contiene un campionario dimostrativo di strumenti d’intrusione usati dall’NSA, e una parte non ancora accessibile (fornita senza password), che a detta degli Shadow Brokers contiene strumenti NSA ancora più potenti ed è stata messa all’asta su Internet: la password verrà consegnata al miglior offerente. Pagamento in bitcoin.


Cosa c’è nel software pubblicato. Nella parte accessibile della vasta collezione di grimaldelli informatici ci sono istruzioni, script e file binari (catalogati in parte qui su Musalbas.com), concepiti principalmente per attaccare i vari firewall hardware fabbricati da aziende importantissime come Cisco, Fortinet e Juniper, scavalcarne le difese, prenderne il controllo e accedere ai server teoricamente protetti da questi firewall.

In pratica questi strumenti consentono a chi li usa di entrare impunemente e invisibilmente in un numero incalcolabile di siti Web e di computer di aziende, pubbliche amministrazioni e governi.


Non è una finta. Alcuni dei nomi degli strumenti resi pubblici compaiono nella documentazione NSA pubblicata da Edward Snowden (che ha ulteriormente confermato l’origine del materiale, anche con riscontri rispetto a documenti NSA inediti), e Cisco ha confermato che EXTRABACON, un componente del software pubblicato, contiene istruzioni per sfruttare una falla estremamente grave in tutte le versioni del suo prodotto Adaptive Security Appliance, che consente di sorvegliare tutto il traffico della rete difesa (sempre teoricamente) da questo prodotto.

La falla consente di accedere alla gestione del firewall senza conoscere né il nome utente né la password di amministrazione del dispositivo. Un disastro, insomma: e questo è solo uno degli strumenti d’attacco dell’NSA ora resi pubblici.


Chi è stato? L’identità degli Shadow Brokers che hanno realizzato questa rivelazione clamorosa è ignota: c’è chi teorizza che si tratti dei servizi di sicurezza informatica russi e chi pensa che ci sia di mezzo una persona all’interno dell’NSA. In entrambi i casi non ci sono prove certe, ma solo indizi e congetture.


Conseguenze a breve termine. Cisco sta già tentando di rimediare tramite aggiornamenti e avvertenze, e Fortinet sta facendo lo stesso, ma ormai il danno è fatto: i prodotti di sicurezza più diffusi delle più grandi aziende del settore sono risultati vulnerabili a vari attacchi finora segreti (e, fra l’altro, abbastanza banali una volta scoperti). Chi si fiderà più? Oltretutto la notizia di queste vulnerabilità arriva proprio nel momento in cui Cisco annuncia ricavi e profitti superiori alle attese ma anche una massiccia ristrutturazione che comporterà una riduzione del personale molto importante (fino al 7% su scala mondiale).

Le società che offrono sicurezza informatica stanno studiando avidamente questo software dell’NSA per includere nei propri prodotti la capacità di riconoscerlo e bloccarlo (alcuni prodotti già lo fanno). Possiamo quindi aspettarci una raffica di aggiornamenti di sicurezza a tutto campo, e soprattutto possiamo aspettarci le grida di dolore degli informatici e dei dirigenti delle aziende e dei governi quando si accorgeranno di essere stati bucati da parte a parte dall’NSA per anni, lasciandosi sfuggire i segreti interni e quelli dei clienti e dei cittadini.

Lo studio di questo tesoro d’informazioni segrete andrà avanti a lungo: chissà quali altre sorprese emergeranno. Già ora, a pochi giorni dalla pubblicazione, sono stati scoperti numeri di serie di specifici apparati Cisco e indirizzi IP di siti governativi cinesi.


Strategie da ripensare. La questione più spinosa, però, è che le falle dei prodotti di sicurezza Juniper, Fortinet e Cisco erano note da anni (almeno dal 2013) all’NSA, che invece di segnalarle a queste aziende le ha tenute per sé. In altre parole, i servizi di sicurezza americani hanno volutamente lasciato falle gravissime nei prodotti fabbricati da aziende di sicurezza informatica americane e utilizzati da amministrazioni, ospedali, aziende civili e militari americane. Il risultato è che chiunque altro abbia scoperto la stessa falla e se l’è tenuta per sé come ha fatto l’NSA – per esempio un governo o un gruppo di criminali – ha avuto la stessa possibilità di accedere, invisibilmente, a tutte le aziende e amministrazioni pubbliche (americane o di altri paesi) che usano i firewall vulnerabili.

Se l’NSA avesse invece informato le case produttrici delle proprie scoperte, consentendo di correggere le falle, avrebbe aumentato la sicurezza di tutte le aziende e di tutti gli enti statunitensi al prezzo di perdere qualche appiglio nelle proprie attività di sorveglianza e di aumentare anche la sicurezza degli altri paesi (sia quelli che considera formalmente alleati, sia quelli che considera rivali). Questa scelta verrà probabilmente messa in discussione per capire se è davvero conveniente, soprattutto adesso che è diventata di pubblico dominio.


Epic fail. L’NSA, ovviamente, ha rimediato una figuraccia, facendosi sfuggire un arsenale di armi digitali che ora saranno inutilizzabili (verranno riconosciute dai prodotti di sicurezza informatica aggiornati) e dimostrando di essere tutt’altro che infallibile. Dopo lo smacco delle rivelazioni di Snowden, uno degli enti governativi più segreti degli Stati Uniti viene messo a nudo con un livello di dettaglio mai visto. Questo incidente è l’equivalente informatico di un laboratorio di armi chimiche o batteriologiche che si dimentica una valigetta di fiale letali in un bar malfamato. Una situazione come questa era impensabile fino a poco tempo fa.


Conseguenze in casa nostra. Se gli americani devono fare i conti con le proprie agenzie top secret che minano la sicurezza nazionale invece di rinforzarla e che non sanno custodire le armi segrete, anche altrove ci sarebbero delle riflessioni importanti da fare. Nei paesi dove si usano o si vogliono introdurre i malware di stato (“virus” da usare per infettare i dispositivi dei sospettati e sorvegliarli), come si appresta a fare per esempio anche la Svizzera (con la nuova legge federale sulle attività informative), è doveroso chiedersi se fabbricare questi virus sperando che restino per sempre soltanto nelle mani delle autorità sia credibile o se sia meglio concentrarsi su altre tecniche d’intercettazione altrettanto efficaci ma meno rischiose.

Se neanche l’NSA è in grado di custodire i propri malware senza farseli rubare, che speranze hanno le agenzie di sicurezza di altri paesi che hanno risorse enormemente inferiori? Il disastro di Hacking Team non ha insegnato niente? E l’idea di mettere dei virus sui dispositivi dei sorvegliati, dove possono essere catturati e studiati facilmente per poi ritorcerli contro i mittenti, è davvero saggia? Non è un po’ come infettare un criminale con una malattia e poi sperare che il contagio non si diffonda per sbaglio anche ai cittadini innocenti?

Per finire, questa vicenda andrebbe ricordata da chi, ogni tanto, pretende che si creino dei passepartout o delle backdoor nelle app di messaggistica o nei dispositivi di telecomunicazione, in modo che gli inquirenti possano sorvegliare facilmente le comunicazioni. Dopo che l’NSA s’è fatta soffiare addirittura i propri strumenti di hacking, sarà difficile affermare seriamente che non c’è pericolo che questi passepartout vengano rubati.

Apple: If we're forced to build a tool to hack iPhones, someone will steal it.
FBI: Nonsense.
Russia: We just published NSA's hacking tools

— Christopher Soghoian (@csoghoian) 17 agosto 2016

Fonti aggiuntive: TechCrunch, Punto Informatico, Ars Technica.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Edward Snowden ha pubblicato una serie di tweet che autenticano e spiegano la dinamica della recente pubblicazione, da parte di un gruppo che si fa chiamare Shadow Brokers, di software segreto dell’NSA capace di scavalcare i firewall più diffusi.

In sintesi, secondo Snowden non è una novità che un server esterno di appoggio nel quale si è infiltrata l’NSA venga violato da altri, mentre lo sono la pubblicazione del software sottratto grazie a questa intrusione e la rivelazione di questa violazione. L’NSA abitualmente traccia e prende di mira i server di comando e controllo del malware (una prassi chiamata CCNE) e lo stesso fanno i suoi rivali. L’NSA spesso resta in silenzio, invisibile, su questi server di comando e controllo gestiti dalle agenzie informatiche di stati rivali e ne sorveglia le attività. In questo modo l’ente statunitense ruba e analizza gli strumenti della concorrenza per identificarne le tracce in futuro.

Ma l’NSA non è infallibile e magica: anche i concorrenti fanno la stessa cosa all’NSA e a volte ci riescono. Per questo gli informatici dell’NSA (noti come TAO) hanno l’ordine di non lasciare il proprio software sui server altrui al termine di un’operazione. A volte vengono dimenticati per pigrizia o sbadataggine.

Il movente dell’annuncio pubblico, secondo Snowden, sarebbe più di natura diplomatica che legato all’intelligence e sarebbe collegato all’intrusione informatica nei dati del congresso nazionale del partito democratico statunitense che ha nominato Hillary Clinton come candidata alla presidenza USA. Probabilmente, secondo Snowden, sono stati i russi, e lo scopo sarebbe avvisare che qualcuno è in grado di dimostrare la responsabilità statunitense di qualunque attacco proveniente dal server violato. Se l’attacco riguardasse un paese alleato degli USA (non sarebbe la prima volta), le conseguenze di politica estera sarebbero pesanti, specialmente se fossero coinvolte delle elezioni.

La pubblicazione, insomma, sarebbe un monito a non esasperare troppo la polemica sulle attribuzioni degli attacchi informatici. Snowden, infine, nota che il software trafugato all’NSA risale al 2013, segno che dopo il 2013 gli intrusi hanno perso l’accesso al server che ospitava il software. Guarda caso si tratta dello stesso periodo nel quale Snowden ha lasciato l’NSA e ne ha denunciato gli abusi, obbligando l’NSA a migrare tutti i propri server d’attacco.

Ecco i tweet originali:

The hack of an NSA malware staging server is not unprecedented, but the publication of the take is. Here's what you need to know: (1/x)

1) NSA traces and targets malware C2 servers in a practice called Counter Computer Network Exploitation, or CCNE. So do our rivals.

2) NSA is often lurking undetected for years on the C2 and ORBs (proxy hops) of state hackers. This is how we follow their operations.

3) This is how we steal their rivals' hacking tools and reverse-engineer them to create "fingerprints" to help us detect them in the future.

4) Here's where it gets interesting: the NSA is not made of magic. Our rivals do the same thing to us -- and occasionally succeed.

5) Knowing this, NSA's hackers (TAO) are told not to leave their hack tools ("binaries") on the server after an op. But people get lazy.

6) What's new? NSA malware staging servers getting hacked by a rival is not new. A rival publicly demonstrating they have done so is.

7) Why did they do it? No one knows, but I suspect this is more diplomacy than intelligence, related to the escalation around the DNC hack.

8) Circumstantial evidence and conventional wisdom indicates Russian responsibility. Here's why that is significant:

9) This leak is likely a warning that someone can prove US responsibility for any attacks that originated from this malware server.

10) That could have significant foreign policy consequences. Particularly if any of those operations targeted US allies.

11) Particularly if any of those operations targeted elections.

12) Accordingly, this may be an effort to influence the calculus of decision-makers wondering how sharply to respond to the DNC hacks.

13) TL;DR: This leak looks like a somebody sending a message that an escalation in the attribution game could get messy fast.

Bonus: When I came forward, NSA would have migrated offensive operations to new servers as a precaution - it's cheap and easy. So? So...

The undetected hacker squatting on this NSA server lost access in June 2013. Rare public data point on the positive results of the leak.

You're welcome, @NSAGov. Lots of love.

Mikko ha centrato ancora una volta il problema con grande efficacia: è tempo di smetterla di fingere che tutto vada bene e che si debba continuare a suonare la musica e servire ai tavoli intanto che il locale sta prendendo fuoco. Il “locale”, in questo caso, è Internet, sfruttata come campo di battaglia dagli stati, che con suprema indifferenza spiano tutti e si attaccano a vicenda anche tra alleati europei e dai social network che sembrano sempre più lo zio un po’ troppo guardone. I fanti di questo campo di battaglia siamo noi; il bello è che ci siamo offerti volontari senza renderci conto di cosa stavamo facendo.


Ho chiesto a Hypponen il permesso di preparare una traduzione in italiano del suo discorso e la pubblicherò qui se la sua risposta sarà positiva.


Aggiornamento (2014/12/11) Ho ricevuto il permesso da Mikko, e sto preparando la traduzione.


Aggiornamento (2014/12/18): Qui sotto trovate la trascrizione integrale, con qualche piccola correzione per le papere di Mikko. Datele un'occhiata e snidate eventuali errori. Io intanto la uso per preparare la traduzione.


Aggiornamento (2014/12/27): La traduzione è pronta, grazie anche all'aiuto di mio figlio Liam; anche qui, controllatela per eventuali refusi o pasticci.

Il Beverly Hills Country Club era un nightclub e ristorante. Uno enorme. Poteva accogliere fino a tremila persone ogni sera. Persone che venivano a godersi cene a più portate e ad assistere a spettacoli di prima categoria. Il 28 maggio 1977, un diciannovenne di nome Walter Bailey stava lavorando al Beverly Hills Country Club come cameriere. Attorno alle otto, quella sera, fu fermato da un altro cameriere che gli chiese se sapeva dov'erano i proprietari del club. Walter non lo sapeva e chiese il motivo della domanda. L'altro cameriere gli disse che c'era un piccolo incendio causato dall'elettricità in una delle stanze al centro del complesso e che quindi stava cercando i proprietari. The Beverly Hills Country Club was a nightclub and a restaurant. A huge one. It could seat up to three thousand people every single night. People who would come to enjoy multi-course dinners and watch first-class entertainment. On the 28th of May in 1977, a nineteen-year-old guy called Walter Bailey was working at the Beverly Hills Country Club as a waiter. At around 8 o'clock that evening, Walter was stopped by another waiter who asked Walter if he knew where the owners of the club are. And Walter didn't and he asked why. And the other waiter told him that there's a small electrical fire in one of the rooms in the center of the complex, so he’s trying to find the owners. Walter si interessò e decise di investigare, e quindi lasciò la sala da ballo, dove stava servendo, e andò al centro del Country Club, verso la stanza che conteneva l'incendio. Mentre si avvicinava alla stanza poteva vedere che c'era del fumo che usciva dalla parte superiore della porta che conduceva alla stanza. Così si rese conto che lì dentro c'era un grosso incendio e fu abbastanza sveglio da non aprire la porta. Invece tornò nella propria sala da ballo. Il complesso aveva molte sale da ballo differenti, e quella dove lui stava servendo ospitava più di 900 persone sedute. Così andò lì, trovò il proprio capo e gli disse, “C'è un incendio nell'edificio e dobbiamo evacuare questa sala.” Il capo si limitò a guardarlo con espressione smarrita. Walter got interested and he decided to investigate, so he left his ballroom where he was serving and he went to the center of the Country Club, towards the room which had the fire. And as he was getting closer to this room he could see that there was smoke pouring out from the top of the door that led to the room. So he realized that there's a big fire inside the room and he was clever enough not to open the door. Instead he returned back to his ballroom. The complex had multiple different ballrooms and the one where he was serving in had over 900 people seated down. So he went there and he found his boss and he told his boss, “There’s a fire in the building and we have to evacuate this room”. And his boss was just looking at him blankly. Dovete capire che c'erano novecento persone sedute lì dentro e che queste persone stavano festeggiando cose come per esempio i propri matrimoni. C'erano numerose feste di matrimonio fra i presenti, per esempio spose in abito nuziale; c'erano persone che festeggiavano il cinquantesimo compleanno o anniversario di matrimonio con le proprie famiglie assistendo a spettacoli, bevendo e godendosi il cibo. Poi Walter vide che c'era in realtà anche una fila di persone che stavano ancora entrando nella sala. Così andò verso la fila e disse “Seguitemi tutti”. Poi guidò questa fila lungo diversi corridoi per uscire dal complesso in uno spiazzo interno e disse loro “Aspettate qui, per favore.” Nessuno si chiese neanche il perché; stavano semplicemente seguendo gli ordini. And now you have to understand there were nine hundred people seated down there, and these people were celebrating things like their weddings. There were multiple wedding parties in the audience, like brides in their wedding dresses; there were people celebrating their 50th anniversaries or fiftieth birthdays with their families, watching entertainment and drinking and enjoying the food. And then Walter saw that there was actually a queue of people who are still coming into the room, so he went to the queue and he told them “Everybody follow me”. And then he walked this queue through different corridors out from the complex to the courtyard and he told them “Please wait here.” Nobody even asked why; they were just following orders. Ma tornando nella propria sala da ballo, Walter vide con orrore che tutti erano ancora seduti. L’orchestra stava ancora suonando, alcune persone stavano ancora ordinando dei cocktail. Allora decise di agire. Pensò, “Finirò nei guai per questo”, ma ciò nonostante salì sul palco, prese il microfono dal cantante, disse di fermare la musica e poi si rivolse alla folla. Disse: “Ascoltatemi tutti. Se guardate alla vostra destra, c'è un'uscita in quella parete laggiù. Se guardate alla vostra sinistra, c'è un'uscita in quella parete laggiù, e sul retro ce n'è un'altra. Alzatevi tutti adesso e abbandonate la sala.” E questo è quello che fece la gente; seguì gli ordini. But as Walter returned to his ballroom, to his horror he saw that everybody was still sitting down. The band was still playing, people were still ordering cocktails. And then he decided to act. He thought to himself, “I'm gonna get into trouble over this”, but nevertheless he climbed to the stage, he took the microphone from the singer of the band, he told the band to stop and then he addressed the crowd. He told the crowd, “Everybody listen up. If you look on your right side, there’s an exit in the wall over there. If you look on your left side, there's an exit in the wall over there, and in the back there's one more exit. Everybody stand up right now and leave the room.” And that's what people did; they followed orders. Quella sera il Country Club, nel Kentucky, fu raso al suolo dall'incendio. La sala da ballo che Walter – il diciannovenne Walter – aveva fatto evacuare fu divorata dalle fiamme dieci minuti dopo che lui aveva deciso di prendere il microfono. Walter salvò centinaia di persone. Altri nel complesso non furono altrettanto fortunati. Più di 165 persone morirono nell'incendio quella notte. And that night the Kentucky Country Club burned to the ground. The ballroom that Walter – the 19-year-old Walter – evacuated was engulfed in flames in ten minutes from the moment when he took the mike. Walter saved hundreds of people. There were other people in the complex who weren't so lucky. Over 165 people died that night in that fire. Ma questa storia mi fa venire in mente le nostre azioni di oggi, nelle nostre vite odierne, nelle nostre vite digitali odierne, perché si stanno spostando sempre di più verso il mondo online. Assistiamo a cose che non stanno andando bene nel nostro mondo online, e pochissime persone stanno facendo qualcosa. Sentiamo un gran parlare di cose tipo il Grande Fratello o “la società del Grande Fratello”, ma vorrei invece citare un futurologo recentemente scomparso e un mio connazionale finlandese, Mika Mannermaa, che nei suoi libri scrisse molto sul futuro e scrisse di come non credeva davvero in una società del Grande Fratello. Credeva, piuttosto, che saremmo entrati a far parte di una società di “Qualche Fratello”. Una società nella quale c'è sempre qualcuno che ci guarda. Non necessariamente il Grande Fratello, non necessariamente il governo, ma qualcuno. Osservò anche che stiamo vivendo una vita da acquario, nella quale non abbiamo pareti, o meglio le abbiamo ma sono trasparenti. But that story reminds me of our own actions today, in our lives today, in our digital lives today, because our lives are moving more and more to the online world. We're seeing things going wrong in our online world, and very few people are taking action. And we hear a lot of talks about things like the Big Brother or “Big Brother society”, but I'd like to actually quote a late futurologist and a fellow Finn, Mika Mannermaa, who in his books wrote a lot about the future, and he wrote about how he actually doesn't believe in a Big Brother society. He sort of believed more that we will be entering a “Some Brother” society. A society where there's always someone watching. Not necessarily the Big Brother, not necessarily the government, but someone. And he also made the note that we are living an aquarium life, where we have no walls, or we have walls, but they can be seen through. Ora un po' di questa mentalità del “Qualche Fratello” che guarda si nota nelle azioni dei governi. Per esempio, soltanto nel corso di quest'ultimo anno, nei nostri laboratori presso la F-Secure, abbiamo analizzato cinque famiglie di malware che crediamo provengano dal governo russo. Malware come Sandworm e Cosmicduke, che sono stati trovati principalmente provenienti dall'Ucraina, che proprio ora è un paese nel mezzo di una crisi, o malware come Havex, che è il primo malware che abbiamo visto dai tempi di Stuxnet che sta effettivamente cercando di trovare e fare il fingerprinting degli apparati di automazione delle fabbriche. Riteniamo che questi provengano dal governo russo. Now some of this “Some Brother” watching mentality can be seen from the actual action of governments. For example, during just this year, in our labs at F-Secure, we’ve analyzed five malware families which we believe to be coming from the Russian government. Malware like Sandworm and Cosmicduke, which have mostly been found from Ukraine, which is a country in the middle of a crisis right now, or malware like Havex, which is the first malware we’ve seen since Stuxnet that's actually trying to find and fingerprint factory automation gear. And we believe these are coming from the Russian government. E poi abbiamo il governo cinese. In effetti i primissimi attacchi mirati lanciati da un governo, ovunque nel mondo, che abbiamo mai visto provenivano dal governo cinese, e questo succedeva più di dieci anni fa. Esattamente un anno fa io ero su questo stesso palco a parlarvi di attacchi avvenuti proprio qui a Bruxelles, di attacchi che prendevano di mira le compagnie telefoniche locali. Attacchi che ora capiamo molto meglio. A un anno di distanza li capiamo molto meglio. And then we have the Chinese government. In fact the very first targeted attacks launched by any government anywhere in the world we ever saw were coming from the Chinese government, and that was more than ten years ago. And exactly a year ago I was on this very stage speaking to you about attacks right here in Brussels, about attacks targeting local telcos. Attacks that we now understand much better. A year later, we understand them much better. Per esempio, ora sappiamo esattamente da dove arrivavano questi attacchi. Arrivavano dai servizi di intelligence inglesi, dal GCHQ. Sappiamo anche il tipo esatto di malware che è stato usato in questi attacchi. È un malware chiamato Regin, che crediamo sia stato sviluppato insieme dall'intelligence britannica e da quella americana. Abbiamo imparato molto di più riguardo i bersagli di questi attacchi, perché c’erano molti più bersagli di quanti ne conoscessimo un anno fa. For example, we now know exactly where these attacks were coming from. They were coming from the UK intelligence, from GCHQ. We also know which exact malware was being used in these attacks. It’s a piece of malware called Regin, which we believe was developed together with the British intelligence and the US intelligence. And we learned much more about the targets of these attacks, because there were many more targets than just what we knew a year ago. Per esempio, sappiamo che questo malware e queste operazioni avviate dall'intelligence britannica stavano prendendo di mira membri della comunità accademica qui in Belgio: professori e altre persone del genere. Stavano anche prendendo di mira bersagli in Austria, compresa l'IAEA – l'agenzia internazionale per l'energia nucleare in Austria. For example, we know that this malware and these operations launched by the UK intelligence were targeting academics here in Belgium. Professors, people like that. They were also targeting targets in Austria, including the IAEA – the International Atomic Energy Agency in Austria. Ora sappiamo anche che uno dei più grandi gruppi di bersagli nel mondo era in Irlanda, e questa è una buona indicazione di chi sta dietro questi attacchi. A chi interessa l'Irlanda? Beh, l'Irlanda interessa al Regno Unito. Ed è piuttosto notevole avere una situazione del genere, nella quale paesi membri dell'UE lanciano attacchi attivi, basati su malware, finanziati dai governi, verso altri paesi che fanno parte della stessa Unione Europea. Ma questo è il punto al quale siamo arrivati oggi. Now we also know that one of the largest amounts of targets anywhere in the world were in Ireland, which is a good indication of who’s behind the attacks. Who's interested in Ireland? Well, the United Kingdom is interested in Ireland. And it's quite remarkable when we have a situation like this, where fellow EU countries are launching active government-funded malware attacks against fellow EU countries. But that’s where we are today. Ma ci sono entità che stanno cercando di contrattaccare. Un paio di anni fa il governo statunitense ha tentato di accedere ai dati di svariate aziende della Silicon Valley. Una di queste aziende era Yahoo. Yahoo ha cercato di combattere quegli attacchi, che erano molto simili a quelli che abbiamo visto proprio adesso in Germania. But there are parties which are trying to fight back. The US government tried to gain access to the data of several of the Silicon Valley companies a couple of years ago. One of the companies was Yahoo. Yahoo tried to fight back those attacks, and these attacks are actually very similar to the attacks we've been seeing just now in Germany. Questo è Ali Fares. Lavora per un'azienda che si chiama Stellar, che è una compagnia telefonica tedesca, un provider in telecomunicazioni tedesco che offre connettività tramite connessioni satellitari. La rivista Der Spiegel ha svolto un’indagine e ha scoperto che ancora una volta l'intelligence britannica aveva penetrato le compagnie telefoniche in Europa e in questo caso aveva penetrato la rete di Stellar. This guy is Ali Fares. He works for a company called Stellar, which is a German telco company, a German telecommunications provider which provides connectivity over satellite links. Der Spiegel magazine did an investigation in which they found out that once again the British intelligence had been breaching telcos in Europe, in this case the network of Stellar. Così qui abbiamo un video in cui i giornalisti di Der Spiegel vanno a incontrare i tecnici di questa azienda, la Stellar, e mostrano loro i dati rivelati da Edward Snowden. File che dimostrano che Stellar – la loro stessa azienda – è stata presa di mira e violata informaticamente dall'intelligence britannica. Stanno vedendo ora per la prima volta queste slide che elencano la loro stessa azienda tra gli obiettivi che sono stati violati dalle agenzie di intelligence britanniche. Poi viene mostrata loro un'altra slide, che elenca i bersagli: i nomi dei tecnici dell'azienda. E vedono i propri nomi elencati in questo documento top secret. Si rendono conto solo ora che hanno subito un attacco informatico personale. So here we have a video clip of the Der Spiegel journalists going and meeting engineers at this Stellar company and showing them files leaked by Edward Snowden. Files which prove that Stellar – their own company – has been targeted and hacked by British intelligence. They are now seeing for the very first time these slides which list their own company among the targets which have been hacked by UK intelligence agencies. Then they’re shown another slide, which lists the targets: the names of the engineers in the company. And they see their own names listed in this top secret file. They just now realize that they, personally, have been hacked. Quindi, tornando a Yahoo, Yahoo cercò di lottare contro il governo statunitense. Non voleva dare accesso ai dati dei propri clienti. Questa lotta si svolgeva in un tribunale segreto; esistono cose del genere, tribunali segreti, negli Stati Uniti. È il cosiddetto tribunale FISA o tribunale del Foreign Intelligence Surveillance Act (Legge sulla Sorveglianza dei Servizi di Intelligence Stranieri), nel quale un avvocato di Yahoo cercava di difendere gli utenti di Yahoo dal governo statunitense. E i giudici del tribunale fecero dei commenti interessanti. So returning back to Yahoo. Yahoo tried to fight the US government. They didn't want to give access to their customers’ data. And this fight was happening in a secret court; there are such things, secret courts, in the United States. It’s the so-called FISA court or Foreign Intelligence Surveillance Act court, in which a lawyer from Yahoo was trying to defend the users of Yahoo against the US government. And the judges in the court made interesting comments. Per esempio, uno dei giudici sosteneva che non ci poteva essere alcun danno per i clienti di Yahoo, dato che la sorveglianza sarebbe stata segreta, il che significava che i clienti non avrebbero saputo che venivano osservati. Quindi come avrebbero potuto subire danni, se non sapevano di essere osservati? E in realtà aveva ragione: questa tesi fu accolta, secondo le leggi statunitensi, e l’azione legale di Yahoo fu rigettata. Fu poi usata come precedente legale per effettuare sorveglianze simili anche su altre società della Silicon Valley. For example, one of the judges was claiming that there couldn't possibly be any damage to customers of Yahoo, since this surveillance will be secret, which means that the customers will not know that they are being watched. So how could they possibly have any damage, since they will not know that they are being watched? And he was actually right, this actually stood, based on the US law and Yahoo's case was thrown out. And it was then used as a legal precedent to do similar surveillance against other Silicon Valley-based companies as well. Quindi permettetemi di citare un mio amico, Aral Balkan della Indytech. Fece un’ottima osservazione sul fatto che una volta “privato” aveva un significato completamente diverso. “Privato” significava che andavi con un tuo amico – solo voi due – in un posto dove non c'era nessun altro e parlavate in privato. Era quello il suo significato. So let me quote a friend of mine, Aral Balkan from Indytech. He made a great comment about how “private” used to mean something completely different. “Private” used to mean something where you would go with your friend – just the two of you – where there's no one else and you would speak in private. That's what it used to mean. Beh, al giorno d'oggi, nel mondo online, “privato” non ha quel significato. Per esempio, quando siete su Facebook e mandate un messaggio privato, in realtà non lo mandate a qualcun altro; lo date a Facebook e Facebook lo dà al vostro amico. È un po’ come se diceste il vostro messaggio privato al vostro zio viscido e poi lo zio viscido lo dicesse al vostro amico. Giusto? È la stessa cosa. Well, today in the online world “private” doesn't mean that. For example, when you're on Facebook and you send a private message, you don't actually send it to someone else; you give it to Facebook and Facebook gives it to your friend. This is sort of like you would tell your private message to your creepy uncle and then the creepy uncle would tell it to your friend. Right? That's the equivalent. E lo zio viscido più grande che abbiamo su Internet è Google. Google, che vede esattamente quello che stiamo facendo e quello che stiamo pensando. Google, che fornisce servizi eccellenti e grandiosi. Li usiamo tutti, e quel che è meglio, sono gratuiti. Il che è notevole, quando si pensa che azienda enorme è Google e quanto sono costose le sue attività. Infatti Google spende ogni trimestre più o meno due miliardi di dollari per i propri data center. Investe ogni tre mesi più di due miliardi per costruire data center sempre più grandi. Eppure i servizi che fornisce sono gratuiti. E quello che è ancora più sorprendente, Google guadagna. Ha un guadagno annuo di 12 miliardi, che dimostra chiaramente che non esiste nulla di gratuito. Questo è il valore dei nostri dati per Google. And the largest creepy uncle we have on the Net is Google. Google, who sees exactly what we are doing and what we are thinking. Google, who provides excellent and great services. We all use them, and what's even better, these services are free. Which is remarkable, when you consider how big a company Google is and how expensive their operations are. In fact Google spends every quarter roughly two billion dollars into their data centers. They’re investing every quarter over two billion into building larger and larger data centers. Yet the services they provide are free. And what's even more remarkable, Google is profitable. They make 12 billion dollars profit every year, which nicely illustrates that there is no such thing as free. That's how valuable our data is to Google. Non esistono pasti gratuiti; non esistono motori di ricerca gratuiti; non esistono depositi nel cloud gratuiti; non esistono webmail gratuite. Le uniche cose su Internet che sono davvero gratuite sono cose come il kernel di Linux e i progetti open source. La maggior parte delle cose che vengono chiamate “gratuite” non è affatto gratuita. There are no free lunches; there are no free search engines; there are no free cloud storages; there are no free webmails; the only things on the Net which really and truly are free are things like, you know, the Linux kernel, open source projects. Most of the things which are called “free” are not free. Per esempio, le app. Non esistono app gratuite. Sappiamo che tutti i negozi di app sono pieni di app gratuite; nessuna di esse è gratuita. Lo vedete quando ne scaricate una semplice, come un'applicazione che fa diventare il vostro telefonino una torcia, ma quando date un'occhiata più da vicino a che tipo di diritti o permessi richiede al vostro dispositivo, vuole sapere dove siete e accedere ai vostri contatti e a Internet, ovviamente. Perché una torcia dovrebbe averne bisogno? Non esistono pasti gratuiti; non esistono app gratuite. For example, apps. There are no free apps. We know that all the app stores are filled with free apps; none of them are free. And you see this when you go and download something simple. You know, an application which will turn your phone into a flashlight or a torch, and then when you take a closer look at what kind of rights or permissions it requires from your handset, it wants to know your location and gain access to your contacts and to the Internet, of course. Why would a flashlight need that? There is no free lunch; there are no free apps. Quindi è facile dare la colpa all'utente. Gli utenti stanno facendo errori stupidi. Ho sentito una bella storia su di loro; un tizio aveva un vecchio computer fisso al lavoro e ne aveva preso uno nuovo e quindi voleva trasferire i propri dati da quello vecchio a quello nuovo. Così andò nella propria cartella Documenti, selezionò con il mouse tutti i propri file e poi fece clic destro e selezionò Copia; poi scollegò il mouse dal computer, lo collegò al nuovo computer e cliccò su Incolla. E questo non è un utente stupido: in realtà questo è ovviamente un uomo molto intelligente che semplicemente non ha una formazione sufficiente – voglio dire, potrebbe funzionare in quel modo; ma semplicemente non lo fa. So it's easy to blame the user. The users are making stupid mistakes. I heard a good story about users; about this guy who had an old desktop computer at his work and he got a new computer, so he wanted to move his files from the old computer to the new computer. So what he did is he went to his My Documents folder and with his mouse he selected all of his files then he right-clicked and selected Copy, then he disconnected the mouse from the computer, connected it to the new computer, and clicked Paste. And that's not a stupid user: that’s actually obviously a very smart man who simply hasn't had the training – I mean, it could work like that; it just doesn’t. E un'altra cosa che fanno gli utenti è mentire. Qual è la bugia più grande su Internet? La bugia più grande su Internet è “Ho letto e accetto il contratto di licenza”. Lo facciamo tutti. Noi sappiamo che lo fate, perché lo abbiamo proprio verificato. Abbiamo messo un accesso Wi-Fi gratuito a Londra qualche mese fa, in modo che potevate avere accesso gratuito ad un hotspot Wi-Fi ma ovviamente dovevate leggere i contratti di licenza per avere accesso. E nel nostro contratto di licenza avevamo una piccola clausola che diceva che avreste dovuto darci il vostro primogenito. E tutti hanno cliccato su OK. Ora, non siamo davvero andati a prendere il primogenito; credo che avremmo davvero dovuto farlo – sfondare le loro porte e dire “Salve, siamo venuti a prendere Jamie”. Non lo abbiamo fatto. And another thing users do is that they lie. What is the biggest lie on the Internet? The biggest lie on the Internet is “I have read and I agree to the license agreement”. We all do this. We know you do this, because we actually tested this. We set up a free Wi-Fi hotspot in London earlier this year, so you got free access to a Wi-Fi hotspot, but of course you had to read through the end-user license agreement to get the access. And in our license agreement we had a slight clause which said that you will have to give your firstborn child to us. And everybody clicked OK. Now, we didn't actually go and pick up the firstborn child; I think we really should have – you know, go through their doors and say “Hello, we've come to pick up Jamie”. We didn't do that. Oggi dobbiamo accettare dei contratti di licenza anche quando usiamo i nostri dispositivi, come le nostre lavatrici smart o i nostri campanelli smart o le nostre smart TV. Lasciate che vi confidi un segreto: quando sentite che la macchina è “smart”, intelligente, quello che vuol dire veramente è che è sfruttabile. “Intelligente” significa “sfruttabile”. “Smart TV” vuol dire “TV sfruttabile”; “smartphone” vuol dire “telefonino sfruttabile”, e così via. Questo è quello che vuol dire. And we have to accept the license agreements today even when we use our devices, like our smart washing machines or smart doorbells or our smart TVs. Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable. “Smart” means “exploitable”. “Smart TV” means an “exploitable TV”; “smartphone” means an “exploitable phone”, and so on. That’s what it means. E questi dispositivi, quando andate a leggere i loro contratti di licenza, hanno cose sorprendenti. Per esempio, la Smart TV della Samsung vi spiega che questa funzione di riconoscimento vocale nella vostra TV registrerà quello che dite nelle vicinanze del televisore, quindi per favore tenete presente che se le vostre parole includono informazioni personali o sensibili, queste informazioni verranno registrate dal vostro televisore – nel vostro soggiorno. O se state giocando ad un videogioco di calcio con la vostra X-Box e vi capita di imprecare quando il computer fa un punto contro di voi, vi registrerà mentre imprecate nel vostro soggiorno e vi manderà delle ammonizioni perché avete detto una parolaccia nel vostro soggiorno. È come avere degli zii viscidi dentro le nostre console di gioco e nei nostri televisori. Viviamo una vita da acquario. And these devices, when you go and read their license agreements, have surprising things. So for example, the Samsung Smart TV explains to you that this voice recognition feature in your TV will record what you speak around the TV, so please be aware that if your spoken words include personal or sensitive information it will be recorded by your television – in your living room. Or if you're playing a game of football with your X-Box and you happen to swear when the computer scores against you, it will actually record you swearing in your living room and will give you warnings because you swear in your living room. This is sort of like having the creepy uncles in our gaming consoles and inside our television sets. We are living an aquarium life. Oppure un'altra cosa grandiosa che è successa col nuovo iPhone, che ora ha questa app che tiene traccia della vostra salute. Un utente si è accorto che l’app stava monitorando i suoi passi, così ha chiesto online una cosa del tipo “Okay, sta contando i miei passi, non ho mai abilitato questa cosa, come faccio a impedire al mio telefono di contare i miei passi?” E la risposta è stata che in realtà ha contato i tuoi passi sin dall'iPhone 4S – semplicemente prima non te lo faceva vedere. E ovviamente se non era un problema per te prima, come mai è un problema adesso? E non c'è modo di disabilitare questa funzione. Or a great thing that happened with the new iPhone, which now has this health app which tracks your health. And one user noticed that it was tracking his steps, so he asked a question online, like, “Okay it's counting my steps, I actually never enabled this, how do I stop my phone from counting my steps?” And the answer was that actually, it's been counting your steps already from iPhone 4s – it just never showed it to you before. And obviously if it hasn't been a problem for you before, how come it's a problem now? And there's no way to disable it. E c'è gente che ti dirà che non c'è niente da fare contro queste cose. Non c'è niente che si possa fare, quindi non dovresti neanche provare a fare qualcosa. Io non ci credo. Io credo che quando vediamo che le cose non vanno bene, dovremmo fermarci; e anche se pensiamo che questo ci metterà nei guai, dovremmo agire. And there are people who will tell you that there's nothing you could do about these things. There's nothing that could be done, so you shouldn't even try to do anything at all. And I don't believe in that. I believe that when we see things going wrong, we should stop; and even though we might think that this will get us into trouble, we should act. Spero che abbiamo la forza e il coraggio di agire. Spero di avere io la forza e il coraggio di agire. Spero che abbiate la forza e il coraggio di agire quando le cose vanno male. Spero che abbiate la forza e il coraggio di pensare “Questo mi metterà nei guai,” ma che quando ce n'è bisogno siate voi quelli che fermano l’orchestra e prendono in mano il microfono. Grazie mille. I hope we have the strength and guts to act. I hope I have the strength and guts to act. I hope you have the strength and the guts to act when things go wrong. I hope you have the strength and guts to think “This will get me into trouble,” but when needed I hope you are the one who will stop the band and grab the microphone. Thank you very much.

Promemoria per tutti quelli che dicono che lo scandalo della sorveglianza da parte dei servizi di sicurezza statunitensi non li riguarda, perché tanto non fanno nulla che possa interessare i sorveglianti governativi: basta visitare il sito LinuxJournal.com per finire nella grande rete a strascico delle intercettazioni NSA, perché LinuxJournal.com è considerato dall'NSA come un “forum di estremisti”. Non ridete.

Sembra una notizia degna dei siti sparabufale satiriche come The Onion, ma la fonte è delle più serie: il servizio pubblico radiotelevisivo tedesco ARD, insieme con noti ricercatori di sicurezza. I dettagli sono in questo articolo in inglese e qui in tedesco.

Secondo il programma Panorama di ARD, è stato trafugato e reso pubblico del codice sorgente appartenente al sistema XKeyscore dell'NSA. Questo è uno spezzone che sembra puntare a uno specifico articolo di LinuxJournal dedicato al sistema operativo TAILS:

// START_DEFINITION
/*These variables define terms and websites relating to the TAILs (The Amnesic Incognito Live System) software program, a comsec mechanism advocated by extremists on extremist forums. */
$TAILS_terms=word('tails' or 'Amnesiac Incognito Live System') and word('linux' or ' USB ' or ' CD ' or 'secure desktop' or ' IRC ' or 'truecrypt' or ' tor ');
$TAILS_websites=('tails.boum.org/') or ('linuxjournal.com/content/linux*');
// END_DEFINITION

Finisce schedato anche chi cerca informazioni su Tor, il sistema che consente di anonimizzare la propria navigazione, o altri software e siti per la gestione della privacy o per la crittografia (HotSpotShield, FreeNet, Centurian, FreeProxies.org, MegaProxy, privacy.li, MixMinion). Per chi usa Tor la cosa è particolarmente ironica, considerato che Tor è stato sviluppato in parte dal governo statunitense proprio per aiutare i dissidenti democratici nei paesi totalitari.

Un altro aspetto interessante di questa nuova rivelazione sulla sorveglianza globale via Internet è che la fonte in questo caso non è Edward Snowden. Ci sarebbe, insomma, qualche altro addetto ai lavori che ha deciso che così non si può più andare avanti e che la sorveglianza è diventata delirio di potere.

Fonti aggiuntive: Ars Technica, Schneier.com.

Credit: Jason Hidalgo

L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Da anni circola la diceria che i servizi di spionaggio e di sorveglianza di vari paesi sarebbero in grado di usare un telefonino come un microfono per ascoltare le conversazioni altrui.

Questo, in sé, non sembra particolarmente implausibile dal punto di vista tecnico. Ma spesso la diceria si spinge a dire che questo genere d'intercettazione è possibile anche con il telefonino spento. Da qui è nato il gesto, secondo molti eccessivamente paranoico, di rimuovere la batteria dal cellulare prima di qualunque incontro riservato. Un gesto che sta diventando sempre più difficile, visto che molti smartphone tendono ad avere batterie non rimovibili.

Ma in una recente intervista trasmessa dall'emittente statunitense NBC, Edward Snowden ha confermato che l'NSA è realmente in grado di accendere uno smartphone “anche quando il dispositivo è spento”. Roba da brivido.

C'erano già segnalazioni in questo senso nel 2006: alcune marche di telefonini erano infettabili da remoto con malware che accendeva i loro microfoni e questa tecnica veniva usata nelle indagini antimafia.

Come è possibile un'intercettazione a telefonino spento? Una tecnica è installare sul cellulare un software-spia che simula lo spegnimento: quando l'utente preme il tasto di spegnimento, lo schermo si oscura o mostra un'imitazione del normale messaggio che invita a far scorrere il dito per confermare l'intenzione di spegnere e poi finge di spegnersi. Anche i pulsanti non rispondono più alla pressione.

Un'altra è il sabotaggio fisico dell'hardware: grazie alle rivelazioni di Snowden raccolte nel recente libro No Place to Hide (Sotto controllo) di Glenn Greenwald, sappiamo che l'NSA intercetta i dispositivi digitali (per esempio i router della Cisco) e li altera prima che arrivino agli acquirenti.

Come ci si difende? Si usa un telefonino con batteria rimovibile e si stacca la batteria, oppure si lascia l'apparecchio altrove (Snowden invita a metterlo in frigorifero, che è un luogo piuttosto insonorizzato e schermato). Se la batteria non è asportabile, per esempio nel caso di un iPhone, si può mettere il telefonino in modalità DFU, che spegne tutti i componenti tranne la porta USB: si collega l'iPhone a un alimentatore o a una porta USB di un computer e si tiene premuto il tasto di spegnimento; poi, dopo tre secondi, si tiene premuto il tasto Home. Entrambi i tasti vanno poi tenuti premuti per dieci secondi e infine si rilascia il tasto di spegnimento tenendo invece premuto il tasto Home per un'altra decina di secondi.

In questo modo l'iPhone è in una sorta di coma informatico e per rianimarlo occorre tenere premuto il tasto di accensione e il tasto Home fino a che compare il logo della Apple. In alternativa si può spegnere l'iPhone tenendo premuto il tasto Home e quello di accensione per dieci secondi: anche questo mette il dispositivo in una condizione di disattivazione profonda.

Certo, in teoria anche queste situazioni potrebbero essere simulate da un malware, ma sarebbe davver un malware previdentissimo: a quel punto si fa prima a lasciare l'iPhone in un'altra stanza o metterlo nel forno a microonde spento oppure nel frigorifero.


Fonti: Gizmodo, Ars Technica, Wired.

Questo articolo vi arriva grazie alla gentile donazione di “stefano.bene*” e “antoniopri*”.

Mikko Hypponen di F-Secure ha tweetato oggi quest'immagine tratta dal nuovo libro di Glenn Greenwald, No Place to Hide (“nessun posto dove nascondersi”), che documenta con nuove informazioni quello che sta facendo l'NSA con i nostri dati.

Fondamentalmente, risulta che a partire da marzo 2013 il sistema PRISM raccoglie i dati di Microsoft Skydrive. Questo è il risultato, dice il testo, di “molti mesi di lavoro dell'FBI con Microsoft per stabilire questa soluzione di tasking e di raccolta”. In altre parole, non è che i servizi di sicurezza USA prendono i dati degli utenti da Microsoft Skydrive di nascosto e contro il volere di Microsoft. C'è una collaborazione consapevole da parte sua.

Se la vostra azienda, il vostro studio medico, il vostro studio legale gestisce informazioni passando tramite Skydrive (magari perché usate un Windows Phone), avete un problema: non potete garantire ai vostri clienti la riservatezza di queste informazioni. Questo potrebbe avere implicazioni legali non banali.

Diciamola com'è: un governo straniero ci spia in massa. Lo sospettavamo da tempo, ma grazie a Edward Snowden ora lo sappiamo in dettaglio e sappiamo quanto è vasta e pervasiva questa rete a strascico di spionaggio da parte di un paese “amico”. Vogliamo continuare a far finta che sia il problema di qualcun altro?