È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate qui sul sito della RSI (si apre in una finestra/scheda separata) e lo potete scaricare qui.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, Google Podcasts, Spotify e feed RSS.

Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle fonti di questa puntata, sono qui sotto.

---

[CLIP: “Hackerare l’FBI” da Mr. Robot su YouTube; audio separato ed estratto tramite Lalal.ai]

La puntata precedente di questo podcast ha raccontato in tempo reale la vicenda di due aziende, una svizzera e una italiana, colpite da attacchi informatici basati sul furto di dati e sulla minaccia di pubblicarli qualora non fosse stato pagato un riscatto. Ora gli ultimatum degli estorsori sono scaduti e si può raccontare l’epilogo della vicenda, che ha un piccolo colpo di scena che permette di fare maggiore chiarezza su nomi e fonti.

Questa è la storia delle cose strane e inaspettate che avvengono nel mondo del monitoraggio pubblico degli attacchi informatici, ed è anche un ripasso delle regole di legge che si applicano quando i dati confidenziali che gli utenti affidano alle aziende vengono sottratti e pubblicati.

Benvenuti alla puntata del primo dicembre 2023 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e, appunto, alle storie strane dell’informatica. Io sono Paolo Attivissimo.

[SIGLA di apertura]

Ecco dove i criminali informatici pubblicano i dati rubati

Quando ho raccontato, la settimana scorsa, la cronaca di due attacchi informatici che erano in corso ai danni di due aziende in Italia e in Svizzera, ho omesso molti dettagli per tutelare le vittime. Ora tutti i dati disponibili indicano che gli attacchi si sono conclusi e posso quindi raccontarvi come sono andati a finire. Posso anche spiegare più in dettaglio come ho fatto a seguirli e descriverli nonostante le aziende coinvolte non li avessero annunciati pubblicamente.

Vorrei chiarire, prima di tutto, che le aziende in questione sono solo due fra le tante attaccate quotidianamente in tutto il mondo e che ho scelto di raccontare le loro vicende solo perché si trattava di aziende operanti in paesi di lingua italiana, cosa che rendeva molto più concreto e vicino il problema del ransomware, ossia il crimine informatico basato sul blocco o la sottrazione dei dati aziendali a scopo di estorsione.

Aggiungo inoltre che ho contattato le aziende in questione presso le loro caselle di mail apposite, ma non ho ricevuto risposte o prese di posizione. E sui loro siti non c’è ancora nessuna comunicazione riguardante l’attacco subìto.

La sola presa di posizione pubblica, in questa storia, è quella dei criminali informatici, che dicono di aver messo a segno gli attacchi: loro affermano che i dati sottratti sono stati pubblicati sul web, come se l’azienda italiana, operante nel settore tessile di lusso, e l’impresa edile svizzera non avessero pagato il riscatto richiesto. Sono asserzioni da prendere ovviamente con le necessarie cautele, visto che sono decisamente di parte e non sono verificabili nella maniera più diretta, ossia esaminando i dati pubblicati.

C’è stato infatti un piccolo colpo di scena che ha reso impossibile anche solo tentare di esaminarli, cosa che comunque sarebbe stata perlomeno legalmente discutibile anche se fatta a scopo di conferma giornalistica: il sito Gofile.io, presso il quale i criminali dichiarano di aver pubblicato i dati aziendali che dicono di aver acquisito, non contiene affatto quei dati. I link di pubblicazione (https://gofile.io/d/nzIrxs e https://gofile.io/d/YO6EAG) annunciati dagli estorsori restituiscono solo un avviso di file inesistente.

Questo fatto può essere interpretato in molti modi: può darsi che i dati siano stati realmente trafugati e che le aziende abbiano inizialmente rifiutato di pagare il riscatto, per poi arrendersi e pagare quando i criminali hanno pubblicato i dati come minacciato. Una volta ricevuto il riscatto, i criminali hanno rimosso prontamente i dati. Oppure i criminali hanno bluffato e in realtà non hanno mai sottratto nulla: può sembrare strano che un’azienda paghi senza avere prove di essere stata attaccata, ma capita spesso, perché la paura è una cattiva consigliera. È anche possibile che Gofile.io abbia ricevuto una segnalazione del fatto che ospitava dati rubati e quindi li abbia eliminati. E in effetti almeno una segnalazione di questo genere, riguardante i dati dell’azienda italiana che erano già stati messi online, è stata ricevuta da Gofile.io: lo so perché l’ho mandata io, come ho raccontato nella scorsa puntata di questo podcast, e i dati sono scomparsi poche ore dopo [appena dopo che avevo chiuso quella puntata del podcast].

Nel frattempo, la stessa banda di criminali annuncia nei propri bollettini nel dark web di aver messo a segno altri furti di dati ai danni di varie aziende di molti paesi, compresa una ditta italiana molto famosa nel settore delle macchine per caffè professionali. Anche qui, per ora, manca qualunque riscontro.

Mi raccomando, però: non precipitatevi nel dark web in cerca di questi bollettini. Non ce n’è bisogno.

I siti che catalogano gli annunci degli aggressori

Gli annunci di questo gruppo di criminali informatici e di molte altre organizzazioni analoghe sono infatti pubblicati sul Web normale e sono quindi facilmente accessibili senza dover installare applicazioni particolari.

Esistono infatti molti siti che raccolgono questi annunci e li pubblicano. Siti come Hackmanac.com, Breachsense.com o l’italiano Ransomfeed.it, e i siti dei principali produttori di software di sicurezza, hanno delle sezioni specializzate nel monitoraggio degli attacchi informatici e offrono tutti i dettagli delle singole rivendicazioni: i nomi delle aziende attaccate, i nomi dei gruppi criminali che affermano di aver effettuato i singoli attacchi, e in alcuni casi anche i link ai siti di questi gruppi nel dark web.

Può sembrare strano che queste rivendicazioni vengano pubblicate, amplificandone inevitabilmente la visibilità, ma la catalogazione diligente degli attacchi è essenziale per poter redigere rapporti di analisi che offrano una visione globale di un problema che è ancora sottovalutato da tante aziende e che permettano di rilevare, per esempio, modalità operative e comportamenti che sono in continua evoluzione.

Fino a poco tempo fa, per esempio, il modello operativo del ransomware era relativamente semplice: i dati dell’azienda attaccata venivano cifrati dagli aggressori direttamente sui computer dell’azienda stessa e i criminali chiedevano soldi per dare la password per decifrarli. Poi molte aziende si sono attrezzate con delle copie di scorta dei dati, eseguite molto frequentemente e tenute fisicamente isolate dalla rete aziendale, per cui hanno smesso di pagare i riscatti perché erano in grado di ripristinare quei dati cifrati. E così i criminali hanno cambiato approccio e sono passati alla esfiltrazione, ossia allo scaricamento dei dati aziendali con minaccia di pubblicarli.

Questo lavoro di analisi permette anche di notare quali paesi sono maggiormente colpiti dagli attacchi ransomware: al primo posto, secondo la classifica più recente di Ransomfeed.it, ci sono gli Stati Uniti, e questo non sorprende viste le dimensioni del paese. Al secondo posto si trova il Regno Unito, seguito dalla Germania e dal Canada. Al quinto troviamo l’Italia, mentre la Svizzera si piazza undicesima, subito dopo un paese ben più vasto come l’India.

Rendere pubblici i dati degli attacchi è utile anche perché spessissimo i decisori aziendali agiscono solo se hanno dei numeri concreti a supporto delle proprie decisioni o delle richieste fatte per esempio dai responsabili informatici dell’azienda, che chiedono maggiore formazione del personale e hardware aggiornato e adeguato e rimangono tante volte inascoltati.

Ma in tutta questa vicenda di ladri, vittime e catalogatori di crimini c’è anche un altro gruppo che spesso non ha voce: le persone i cui dati sensibili vengono trafugati e pubblicati.

Cosa possono fare le vittime finali: gli utenti

La legge, in Italia come in Svizzera, prevede degli obblighi molto chiari in caso di violazione dei dati, o di data breach per usare il termine tecnico. Il responsabile del trattamento dei dati dell’azienda che ha subìto un furto di dati sensibili deve notificare la violazione tempestivamente alle autorità, per esempio al Garante per la Privacy in Italia o all’Incaricato federale per la protezione dei dati in Svizzera, tramite un apposito modulo online.

Ma anche il cittadino che viene a sapere di essere coinvolto nella violazione può fare reclamo, come spiega per il caso italiano, ma con princìpi validi anche in altri paesi, lo sviluppatore di software e consulente informatico forense Andrea Lazzarotto:

“Ci sono due strumenti che le persone possono utilizzare, e la segnalazione è uno strumento che può utilizzare sostanzialmente chiunque per scrivere all'autorità garante per la protezione dei dati personali, ad esempio quella italiana o a seconda di dove uno risiede, per comunicare che c'è una certa situazione. Non è necessario per la segnalazione essere una delle persone che ha subito il data breach. Invece le persone che sono state soggette di un data breach o comunque vedono violati i propri diritti alla riservatezza, alla protezione dei dati personali, possono utilizzare uno strumento un po' più specifico che è il reclamo. Il reclamo quindi deve essere fatto dall'interessato, o direttamente o tramite il proprio avvocato, quindi si va a scrivere al garante per segnalare questo tipo di comportamento. Potrebbe essere un reclamo verso l'azienda: se io scopro che l'azienda X ha subito un data breach e io ero uno dei clienti dell'azienda X, ragionevolmente posso pensare che i miei dati siano stati violati, vado a fare un reclamo verso l'azienda X.”

L’intervista completa ad Andrea Lazzarotto e i link ai moduli citati sono, come consueto, su Disinformatico.info, dove trovate anche i link svizzeri alla Notifica di violazioni di protezione dei dati per i diretti interessati e anche quella per i responsabili del trattamento dei dati [la pagina del Garante italiano è questa].

Le persone i cui dati vengono pubblicati in seguito a un attacco ransomware sono a rischio, perché quei dati possono essere usati per attacchi mirati molto credibili e per furti di identità, ma quasi sempre rimangono inconsapevoli del fatto che i loro dati sono in circolazione e quindi non possono prendere precauzioni. Per esempio, se il proprietario di una costosissima moto di una nota marca italiana non sa che l’elenco dei clienti è stato trafugato e riceve una mail da qualcuno che si spaccia per un rappresentante di quella marca e gli dice che c'è un problema nel pagamento, citandogli con precisione la marca e il modello della moto che ha acquistato, tenderà a credere che si tratti di un vero rappresentante. Chi altro, infatti, potrebbe sapere quelle informazioni?

Solitamente le aziende sono tenute per legge a informare i propri clienti di queste situazioni, ma è raro vedere annunci pubblici di trasparenza da parte di chi è colpito da un attacco ransomware che possano aiutare i cittadini a difendersi. E purtroppo questa riluttanza a essere trasparenti non aiuta nessuno. Parlare di queste fughe di dati, e documentarle pubblicamente, serve anche a evitare la tentazione del silenzio.

Pubblicazione iniziale: 2023/11/24 9:57. Ultimo aggiornamento: 2023/12/01 14:50.

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate qui sul sito della RSI (si apre in una finestra/scheda separata) e lo potete scaricare qui.

[2023/12/01: La seconda parte è qui]

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, Google Podcasts, Spotify e feed RSS.

Buon ascolto, e se vi interessano il testo e le immagini di accompagnamento e i link alle fonti di questa puntata, sono qui sotto.

[CLIP: Spezzone tratto da “Hackers” (1995)]

Gli attacchi informatici ai danni delle aziende purtroppo sono molto frequenti, ma non capita spesso di poterli seguire e raccontare da vicino mentre stanno accadendo.

Questa è la storia di due di questi attacchi, che coinvolgono un’azienda italiana e una svizzera e sono ancora in corso, ed è anche la storia di come si fa in concreto a monitorare così da vicino questi reati mentre avvengono e di come e perché il crimine informatico di oggi sia sorprendentemente in cerca di visibilità e non cerchi affatto di nascondersi online.

Benvenuti alla puntata del 24 novembre 2023 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.

[SIGLA di apertura]

Bollettini di guerra informatica

Mentre preparo questo podcast, ci sono due aziende, una in Italia e una in Svizzera, che stanno subendo attacchi informatici. Non sono assolutamente le sole: i bollettini online degli attacchi di questo tipo annunciano infatti vittime multiple ogni giorno. Ma la gran parte di queste vittime si trova in paesi lontani, e questo spinge a pensare che il problema del crimine informatico sia altrettanto distante. Questi due casi, invece, sono molto vicini a noi. Quello svizzero si trova a metà del suo percorso, mentre quello italiano è arrivato quasi al capolinea.

Per ovvie ragioni, non farò qui i nomi delle aziende coinvolte, e neppure quelli dei criminali informatici responsabili degli attacchi, e sul blog Disinformatico.info che accompagna questo podcast pubblicherò solo schermate opportunamente anonimizzate. Questi nomi, tutto sommato, non hanno particolare importanza nel racconto, e i responsabili informatici di queste aziende hanno già abbastanza problemi da risolvere senza aggiungervi quello di un’esposizione mediatica. Quello che conta è conoscere il modo in cui operano gli aggressori informatici e quindi imparare a gestire situazioni delicate come queste, che possono capitare a qualunque azienda, piccola o grande, in qualunque settore.

C’è anche un’altra cosa che conta, ed è rispondere alla domanda che probabilmente vi state facendo: visto che le aziende in questione non hanno annunciato pubblicamente questi attacchi, come faccio io a sapere che sono in corso e a monitorarli?

Non vi preoccupate: non mi sono infiltrato nelle bande dei criminali online e non sono andato a spasso nei bassifondi del dark web per trovare qualche soffiata. Ho semplicemente usato dati pubblicamente disponibili. Infatti il primo aspetto sorprendente di questi malviventi digitali è che sono molto, come dire, accessibili. Anzi, ci tengono a vantarsi delle proprie prodezze.

Per monitorare il flusso costante e inesorabile degli attacchi informatici è sufficiente sfogliare i siti web che si occupano di sicurezza digitale. I grandi attacchi, come quello che ho raccontato di recente ai danni dei casinò e degli alberghi di Las Vegas, arrivano anche alla cronaca generalista. Ma ci sono molti attacchi ben più piccoli che rimangono confinati nelle pagine web dei bollettini specialistici ma causano comunque danni ingenti alle loro vittime.

Questi bollettini, molto banalmente, sono accessibili con un normale browser: Chrome, Edge, Firefox. Molti hanno anche account social e feed RSS ai quali ci si può iscrivere per ricevere aggiornamenti in tempo reale. Il primo effetto di quest’iscrizione è lo shock di vedere quanto sia costante e numeroso il flusso degli attacchi, principalmente basati sulla tecnica del ransomware, ossia il ricatto fondato sul blocco o la sottrazione di dati aziendali essenziali, con minaccia di pubblicarli se non viene pagato il riscatto. Il bollettino delle ultime ventiquattro ore, per esempio, include una ventina di vittime sparse fra Francia, Lussemburgo, Indonesia, Stati Uniti, Germania e, appunto, Svizzera e Italia; dall’inizio del mese le vittime sono 350. Si tratta di ospedali, case editrici, installatori di furgoni frigoriferi, aziende del settore della moda, società finanziarie e altro ancora.

Per ciascun attacco vengono indicati il nome del gruppo criminale che lo sta effettuando, con tanto di link al suo sito nel dark web, e il nome della vittima. Spesso c’è persino un campione del messaggio inviato dagli aggressori alle loro vittime e ci sono le statistiche dei gruppi che hanno colpito il maggior numero di aziende, come se si trattasse di un record sportivo e positivo di cui vantarsi.

Ma seguendo i link alle pagine che portano al dark web si trova anche molto di più.

Dati a spasso

Come avrete probabilmente immaginato, seguo questi bollettini di sicurezza per lavoro, e così quando ho visto nel mio feed RSS che erano state colpite delle aziende svizzere e italiane ho letto i dettagli dei rispettivi annunci, pubblicati sui siti dei gruppi criminali nel dark web.

L’azienda svizzera colpita opera nell’edilizia da ben oltre un secolo, e al momento ha quattro giorni per decidere se pagare il riscatto o fare resistenza. Gli aggressori dicono di aver sottratto fatture, ricevute, documenti contabili, dati personali, contratti di lavoro, accordi confidenziali e altro ancora, e minacciano di pubblicare tutto se non verrà pagato il riscatto.

Il dialogo con le vittime avviene tramite chat sul sito dei criminali nel dark web; l’eventuale pagamento avviene con criptovalute.

Sul sito dell’azienda colpita, per ora, non c’è nessun comunicato pubblico che avvisi dell’attacco.

L’azienda italiana, invece, è attiva nel settore tessile di lusso, e il tempo che i criminali le hanno dato per pagare il riscatto è già scaduto, per cui i dati sottratti sono già stati pubblicati. Il sito dei malviventi contiene un link a una copia scaricabile di questi dati: si tratta di circa 60 gigabyte, parcheggiati su uno dei tanti siti di deposito dati che operano nel Web normale. 60 gigabyte che chiunque, tecnicamente, può scaricare, ma farlo significa acquisire dati sensibili che derivano da un reato, per cui ci potrebbero essere conseguenze legali molto pesanti. Questo non ha impedito ad almeno 18 persone di scaricare i dati almeno in parte [nel podcast dico “scaricare tutto”, ma non è corretto, come mi ha fatto notare un commentatore; 18 sono gli scaricamenti parziali].

Anche quest’azienda, come la precedente, non risulta aver annunciato pubblicamente l’attacco subìto, nonostante ci sia un obbligo di legge oltre che un dovere di trasparenza e correttezza verso gli utenti i cui dati confidenziali sono ora a spasso. Ho contattato entrambe le aziende via mail per avere una loro presa di posizione, ma finora non ho avuto risposta [aggiornamento: ho scritto alle aziende giovedì mattina; siamo a venerdì sera e non ho ricevuto nulla]. Ho anche avvisato il sito che ospita pubblicamente i dati aziendali sottratti, ma finora non è cambiato nulla e i dati sono ancora a portata di tutti.

[Aggiornamento: poco dopo la chiusura del podcast giovedì mattina, i dati sono stati rimossi dal servizio che li ospitava. Sono stati rimossi anche i dati di alcune altre vittime dello stesso gruppo di criminali.]

Tutte queste informazioni sono pubblicamente disponibili online nei siti specializzati; non occorre attrezzarsi per andare nel dark web a trovarle. E comunque raggiungere il dark web è solo questione di installare un’app apposita, come il browser Tor, e usarla per visitare (con molta cautela, sia tecnica sia legale) i siti dei criminali informatici. Questo vuol dire che in caso di intrusione informatica che riesca a bloccare o rubare dati sensibili, non conviene cercare di nascondere o negare: la notizia della violazione diventerà comunque pubblica.

Saranno infatti gli stessi criminali ad annunciarla.

Criminali in cerca di visibilità

Questi bollettini delle incursioni informatiche, infatti, esistono perché sono proprio i criminali a sbandierare i nomi delle aziende che hanno colpito e a vantarsi di essere responsabili dei vari attacchi. È un comportamento completamente opposto rispetto a quello dei criminali in altri settori, dove normalmente vige la regola del silenzio e non si vuole lasciare nessuna traccia che faciliti il lavoro degli inquirenti.

Il crimine informatico, invece, deve annunciarsi in questo modo perché l’estorsione diventa credibile, e quindi la vittima tende a pagare senza opporre resistenza, solo se chi la compie ha una reputazione solida. “Solida” in questo caso significa due cose contrapposte: da un lato, la banda dei malviventi deve farsi conoscere dimostrando la propria credibilità, efficacia e pericolosità, e quindi sbandiera i propri successi facendo i nomi delle vittime, creando un proprio sito autopromozionale nel dark web e un canale social, tipicamente su Telegram o sull’ex Twitter [ossia X, come si chiama adesso], passando informazioni ai siti specializzati in notizie di sicurezza informatica e pubblicando inesorabilmente i dati sottratti; dall’altro lato, questi estorsori devono dimostrare di essere affidabili, nel senso che devono convincere le vittime che pagando il riscatto i dati rubati sicuramente non verranno pubblicati e addirittura verrà rivelata la falla usata per entrare nei sistemi aziendali, in modo da consentire di chiuderla.

Di conseguenza, i malviventi devono documentare pubblicamente la propria cronologia dei comportamenti: “guardate, quest’azienda ha pagato e i suoi dati non sono stati pubblicati, mentre quest’altra non ha pagato e i suoi dati sono ora a spasso su Internet.”

È fondamentale conoscere questa mentalità dei criminali informatici per poter gestire correttamente la doppia crisi che si verifica in caso di attacco online a un’azienda: oltre al problema di ripristinare i dati necessari per il lavoro, garantirne l’integrità ed eliminare la vulnerabilità che ha permesso l’intrusione, c’è infatti da gestire la ricaduta reputazionale di dover annunciare la fuga di dati. Negare e far finta di niente, come sembra che stiano facendo queste due aziende e come tentano quotidianamente di fare molte altre, di solito peggiora le cose.

Mancano pochi giorni allo scadere dell’ultimatum per l’azienda svizzera presa di mira. Nella prossima puntata di questo podcast vedremo gli sviluppi della situazione. Nel frattempo, i bollettini pubblici degli attacchi aggiungono nuove vittime. Investire in formazione del personale e in aggiornamenti di sicurezza è utile per non trovare in questi bollettini il nome della propria azienda, eppure troppo spesso la sicurezza informatica viene considerata un costo fastidioso e una scocciatura da paranoici.

Una dimostrazione concreta è arrivata proprio mentre sto chiudendo questo podcast: è arrivata la notizia della violazione della Fidelity National Financial, una grande società statunitense del settore finanziario, fra le 500 più importanti secondo la classifica di Fortune. L’annuncio è stato dato dagli aggressori e confermato dalla società, il cui sito è ora completamente inaccessibile.

E da oltre un mese aziende di tutto il mondo vengono attaccate sfruttando una falla nelle apparecchiature di rete della Citrix, nonostante il fatto che l’aggiornamento di sicurezza che la corregge sia disponibile da tempo ma semplicemente non viene installato. E spesso non viene installato non per inettitudine dei responsabili della sicurezza informatica, ma perché per avere le approvazioni per farlo servono trentaquattro firme di altrettanti livelli di burocrazia aziendale.

Se vogliamo difenderci seriamente dagli attacchi informatici, qualcosa deve cambiare.

[2023/12/01: La seconda parte di questa storia è qui]

---

Addendum

Per curiosità ho provato a chiedere a ChatGPT 4 di leggere questo articolo e generarne un riassunto, usando il prompt “Generate a brief, exciting summary in Italian of this article”: questo è il risultato, esattamente come l’ha generato ChatGPT, senza alcun ritocco da parte mia.

Questo articolo narra la vicenda di due attacchi informatici in corso, uno in Italia e l'altro in Svizzera, esplorando come il crimine informatico odierno sia insolitamente volto alla visibilità anziché al nascondimento online. Viene spiegato come gli attacchi siano monitorati e come i criminali informatici si vantino delle proprie azioni, pubblicizzando i loro successi sui loro siti nel dark web e sui canali social. L'articolo delinea anche le tecniche di attacco, principalmente basate su ransomware, e sottolinea l'importanza della preparazione e della risposta alle minacce informatiche per le aziende. Si evidenzia inoltre il comportamento delle aziende colpite, alcune delle quali non hanno annunciato pubblicamente gli attacchi, rischiando conseguenze legali e reputazionali. L'articolo conclude suggerendo che per difendersi seriamente dagli attacchi informatici, è necessario un cambiamento nell'approccio alla sicurezza informatica.

Pubblicazione iniziale: 2023/11/17 8:48. Ultimo aggiornamento: 2023/11/23 23:23.

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate qui sul sito della RSI (si apre in una finestra/scheda separata) e lo potete scaricare qui.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, Google Podcasts, Spotify e feed RSS.

Buon ascolto, e se vi interessano il testo e le immagini di accompagnamento e i link alle fonti di questa puntata, sono qui sotto.

---

[CLIP: Suono di notifica dell’AirDrop]

Molti utenti di iPhone hanno un’abitudine rischiosa: lasciano attiva la funzione AirDrop per la condivisione rapida di foto, video e documenti, aprendo così la porta a stalker, truffatori e molestatori. Le prenotazioni online delle vacanze sono a rischio per via di messaggi fraudolenti che sembrano arrivare da Booking.com ma in realtà rubano i dati delle carte di credito. E i criminali online sono diventati così spavaldi che denunciano alle autorità le aziende che hanno attaccato e che non hanno notificato al pubblico la fuga di dati.

Queste tre storie di truffe informatiche, da conoscere per difendersi meglio, sono gli argomenti della puntata del 17 novembre 2023 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Benvenuti. Io, come al solito, sono Paolo Attivissimo.

[SIGLA di apertura]

Stalking sugli iPhone con AirDrop, come difendersi

[CLIP in sottofondo: rumore soffuso di scompartimento di treno in corsa]

Dany è sul treno, e sfoglia il suo iPhone per passare il tempo. A un certo punto le compare una notifica molto strana che dice “Sicurezza Ferroviaria vorrebbe condividere Notifica Infrazione.pdf”. Preoccupata e al tempo stesso incuriosita, accetta di ricevere il documento. Lo apre per leggerlo e vede che si tratta di un avviso tecnico automatico, che la informa che è stato rilevato un abuso del Wi-Fi del servizio ferroviario: risulta infatti che il suo iPhone è stato usato per condividere immagini illegali mentre era collegato al Wi-Fi del treno.

Dany è sempre più agitata e confusa. Sul telefono ha forse qualche selfie un po’ intimo, ma addirittura illegale? O si tratta di un errore di persona? No, perché l’avviso la cita per nome e specifica che lei ha un iPhone.

Il documento della Sicurezza Ferroviaria prosegue dicendo che l’abuso verrà denunciato e sanzionato con una multa, che si può pagare immediatamente cliccando sul link appositamente fornito se si vuole evitare il sequestro cautelativo del telefono da parte della polizia quando scenderà dal treno. Lei, ormai nel panico, clicca sul link e paga la multa usando la propria carta di credito. Si accorgerà di essere stata truffata solo quando riceverà la notifica che la sua carta è stata bloccata a causa di un tentativo di addebito fraudolento.

Quello che ho appena raccontato è uno scenario di fantasia, ma perfettamente plausibile. Dany esiste davvero, ma non è stata truffata: è semplicemente una delle tante persone vulnerabili a un particolare tipo di attacco informatico che colpisce specificamente gli iPhone, gli iPad e i Mac. Dany infatti era sul mio stesso treno, pochi giorni fa, insieme a Lorenza, Eradis, Viola e Lele: tutte persone che un aggressore informatico avrebbe potuto attaccare con un raggiro come questo, che è solo uno dei tanti possibili che sfruttano AirDrop, ossia il servizio di condivisione di dati dei dispositivi Apple.

AirDrop è molto utile quando si tratta di condividere una foto o un documento fra un iPhone e un altro, per esempio, ma tenerlo sempre attivo e accessibile anche agli sconosciuti è pericoloso, perché annuncia il vostro nome a chiunque abbia un dispositivo Apple nelle vicinanze e quindi facilita lo stalking e la molestia, e perché permette l’invio di foto indesiderate o di documenti ingannevoli come quello che ho descritto nello scenario immaginario e che apre la porta a truffe di vario genere.

Per trovare Dany, Lorenza e gli altri utenti vulnerabili che erano presenti sul treno ho semplicemente usato il Finder, l’app di gestione di file del mio Mac: sono comparse sul mio schermo le icone dei loro dispositivi, accompagnate dai nomi di queste persone.

I dispositivi Apple, infatti, per impostazione predefinita si annunciano su AirDrop con il nome del dispositivo seguito dal nome dell’utente: per esempio, MacBook Air di Lorenza, iPhone di Viola, iPad di Lele, e così via. Il nome di persona si può togliere, andando in Impostazioni - Generali - Info - Nome, ma non lo fa praticamente nessuno.

Moltissimi utenti, inoltre, tengono AirDrop sempre attivo e aperto a chiunque: conviene invece disattivarlo, andando in Impostazioni - Generali - Airdrop e scegliendo Ricezione non attiva, per poi attivarlo solo quando serve, in modo da non rendersi visibili e tracciabili dagli sconosciuti [le altre opzioni sono Solo contatti e Tutti per 10 minuti].

Lo so: a mente fredda, mentre ascoltate serenamente questo podcast, l’idea che qualcuno accetti un documento o una foto da uno sconosciuto e si faccia prendere dal panico sembra implausibile. Ma io uso questa tecnica nelle mie dimostrazioni di privacy digitale nelle scuole, con una semplice scansione passiva dei dispositivi disponibili, e l’espressione di ansia e smarrimento sui volti degli studenti quando comincio a chiamarli per nome senza averli mai visti prima è eloquentissima.

E poi non bisogna sottovalutare la curiosità delle persone: se per esempio Matteo vede sul suo iPhone la richiesta di ricevere una foto da Samantha, che lui non conosce, riuscirà a resistere alla tentazione di accettarla? O se il nome del dispositivo dal quale arriva l’invito è quello di un’autorità, come per esempio “Sicurezza Ferroviaria” nello scenario che ho descritto prima, Matteo se la sentirà di rifiutarlo?

Chiarisco subito che non ho inviato nulla a Lele, Lorenza e agli altri utenti che ho incrociato nel mio viaggio in treno, per non allarmarli. Al tempo stesso, non ho potuto avvisarli del loro comportamento informatico a rischio. Infatti so per esperienza che mandare un avviso tramite AirDrop scatena paura o aggressività, e che un uomo che si avvicina a qualcuno in treno, lo chiama per nome e tenta di spiegargli che il suo telefonino è impostato in modo vulnerabile di solito viene interpretato molto male.

E se vi state chiedendo come faccio a identificare la persona che ha impostato incautamente AirDrop, posso solo dire che ci sono tecniche relativamente semplici per farlo che non è il caso di rendere pubbliche per non facilitare gli aspiranti stalker.

Se avete un dispositivo Apple, insomma, disattivate AirDrop, attivatelo solo quando vi serve e togliete il vostro nome dal nome del dispositivo. Anche questo aiuta a rendere la vita più difficile ai truffatori e ai molestatori.

Truffe agli utenti di Booking.com: attenzione a Ebooking.com

Si avvicina il periodo natalizio, che per molti è un’occasione per prenotare vacanze online. Ci sono due trappole particolarmente subdole che riguardano Booking.com, uno dei servizi di prenotazione via Internet più popolari. È meglio conoscerle per evitare di diventarne vittime.

La prima trappola si basa su un equivoco molto facile. Esiste un sito che si chiama Ebooking.com, che non va confuso con Booking.com, senza la E iniziale. Ebooking ha anche un’app nell’App Store di Apple [ho detto “Play Store” nel podcast, scusatemi] e su Google Play per Android, e questo sembra dare credibilità ai suoi servizi, ma ci sono moltissime segnalazioni (Trustpilot, Reddit, Booking, Tripadvisor, Reddit) che lo indicano come fraudolento e citano le lamentele di utenti che hanno prenotato voli e alloggi tramite Ebooking.com, pagandoli in anticipo, per poi scoprire che la prenotazione era inesistente e che il pagamento non sarebbe stato rimborsato.

Quello che rende particolarmente sospetto il comportamento di Ebooking.com è che se si visita il suo sito lo si trova pieno di offerte prenotabili ben confezionate, ma quando si clicca sui link di queste offerte ci si accorge che appartengono a Booking.com (senza la E iniziale).

Anche i link alle condizioni di prenotazione, i termini generali e altri link portano a Booking.com; solo un link all’informativa sulla privacy presente nella pagina di pagamento porta a una pagina di Ebooking.com, dalla quale risulta che Ebooking.com appartiene a una società a responsabilità limitata con sede a Barcellona e non ha alcun legame con Booking.com.

Qualunque comunicazione proveniente da Ebooking.com va insomma trattata con molta diffidenza, e conviene controllare sempre che le prenotazioni vengano realmente fatte su Booking.com, senza la E iniziale.

Messaggi interni di Booking.com veicolano frodi

La seconda trappola, segnalata dall’esperto di sicurezza Graham Cluley, che ha rischiato di esserne vittima, è ancora più sofisticata: in questo caso la comunicazione arriva davvero da Booking.com ed è disponibile anche nell’app e nel sito web di Booking.com. Non è, insomma, la classica mail del truffatore che usa un mittente simile a Booking.com sperando che la vittima non se ne accorga.

Questo messaggio arriva dall’albergo dove effettivamente è stata fatta la prenotazione e avvisa che quella prenotazione rischia di essere annullata perché la carta di credito del cliente non è stata verificata con successo. Per tentare una nuova verifica si deve cliccare su un link cortesemente fornito, ed è qui che scatta la truffa: il link porta a un sito il cui nome somiglia a quello di Booking.com e che chiede di immettere i dettagli della carta di credito. Se la vittima non se ne accorge, fornisce i dati della sua carta ai malviventi.

Il raggiro è molto efficace e credibile appunto perché il messaggio arriva via mail da Booking.com ed è effettivamente presente anche nell’app di questo servizio, insieme a tutti gli altri messaggi scambiati con l’albergo, e include i dettagli effettivi dell’utente e della sua prenotazione, creando così un falso senso di sicurezza.

Ma come fanno i criminali a mandare messaggi dall’interno di Booking.com? La spiegazione più probabile è che i malviventi siano riusciti a ottenere la password dell’account dell’albergo su Booking.com e usino questo account per inviare le loro comunicazioni, che si mischiano così con quelle autentiche dell’hotel. In questo modo basta un momento di disattenzione per cliccare sul link truffaldino e dare la propria carta di credito ai truffatori.

Difendersi da inganni così sofisticati non sembra facile, ma in realtà c'è un rimedio piuttosto semplice: fare le prenotazioni telefonando o scrivendo una mail direttamente all’albergo trovato online.

Aggressori informatici denunciano l’azienda che hanno attaccato

Le estorsioni informatiche non sono certo una novità: una banda di criminali penetra via Internet nei sistemi informatici di un’azienda, si scarica una copia dei suoi dati confidenziali e poi mette una password sui dati originali presenti sui computer dell’azienda, rendendoli inaccessibili. Così l’azienda non può più lavorare, e a questo punto i criminali chiedono denaro – molto denaro – per rivelarle la password che blocca i dati e consentire la ripresa dell’attività. Per evitare che l’azienda cerchi di recuperare i dati da una sua copia di scorta, i criminali minacciano inoltre di pubblicare i dati confidenziali scaricati e causare un gravissimo danno d’immagine all’azienda se non verrà pagata la cifra richiesta.

Attacchi di questo tipo sono purtroppo frequentissimi: pochi giorni fa ne è stata vittima anche un’azienda svizzera produttrice di software per amministrazioni pubbliche, come segnala il sito web del Dipartimento federale delle finanze. In casi come questi, le aziende colpite sono tenute a informare le autorità e i loro clienti che è avvenuta una fuga di dati.

Quello che è meno frequente è che l’informazione alle autorità venga comunicata dai criminali stessi. È quello che è successo il 15 novembre scorso, quando un’organizzazione criminale nota come AlphV ha pubblicato, sul proprio sito nel dark web, una schermata dalla quale risulta che AlphV ha denunciato alle autorità una delle aziende di servizi finanziari che ha attaccato, la californiana MeridianLink, che non avrebbe segnalato alla Securities and Exchange Commission (SEC), l’ente governativo che vigila sulle borse valori, di essere stata attaccata e di aver subìto una fuga di dati.

Secondo le informazioni raccolte dal sito Databreaches.net, l’attacco non avrebbe cifrato i dati aziendali, ma li avrebbe scaricati, e questo scaricamento (o esfiltrazione in termini tecnici) sarebbe avvenuto il 7 novembre scorso. Sarebbe quindi scaduto il tempo entro il quale l’azienda avrebbe dovuto denunciare l’attacco alle autorità di vigilanza, e così gli autori stessi dell’aggressione hanno provveduto a fare denuncia.

Questo comportamento dei criminali informatici può sembrare una spavalderia insolita o una ripicca infantile, ma in realtà ha uno scopo cinicamente pratico: serve per massimizzare il danno alla vittima e mantenere la reputazione dei malviventi. L’estorsione informatica, infatti, è efficace – dal punto di vista dei criminali – soltanto se la vittima ha la certezza che se non paga la cifra richiesta dagli estorsori ci saranno delle conseguenze pesanti, e questa certezza viene costruita da AlphV e da altre organizzazioni criminali tramite gesti vistosi come questo.

Se avete un’azienda e subite un attacco informatico che comporta una fuga di dati, far finta di nulla per evitare imbarazzi pubblici può sembrare una buona idea, ma oltre a essere illegale rischia di diventare un autogol se emerge che non solo siete stati vittima di un furto di dati dei vostri clienti, ma avete anche nascosto il furto. Ed è paradossale che siano proprio i criminali a indurre le vittime a rigare dritto ed essere trasparenti.

Fonti aggiuntive: RSI; Swissinfo; The Cyberexpress; Ars Technica; Admin.ch.

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate qui sul sito della RSI (si apre in una finestra/scheda separata) e lo potete scaricare qui. Se ho fatto bene i conti, con questa puntata arrivo a quota 800 episodi dal 2006 a oggi. Niente male.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, Google Podcasts, Spotify e feed RSS.

Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle fonti di questa puntata, sono qui sotto.

---

[CLIP: Spezzone della voce restaurata di Lennon da “Now and Then”]

La voce di John Lennon, recuperata da un’audiocassetta registrata a casa sua oltre quarant’anni fa e usata per il brano dei Beatles Now and Then appena uscito, stupisce non solo per le emozioni che evoca ma anche per la qualità tecnica del restauro, considerato a lungo impossibile, perché la voce era coperta dal pianoforte suonato dallo stesso Lennon. Questo restauro è ora reso possibile dall’informatica e specificamente dall’intelligenza artificiale.

Dappertutto ci sono discussioni animate su quanto sia “vera” o “falsa” un’operazione di questo genere, ma il clamore intorno a Now and Then è un’ottima occasione per esplorare il mondo ben più vasto del restauro sonoro basato sul software e per scoprire quali meraviglie e nuove possibilità ci offre non solo in campo musicale ma anche in termini di vera e propria archeologia sonora.

Benvenuti alla puntata del 10 novembre 2023 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.

[SIGLA di apertura]

Sottrazioni e isolamenti

L’elaborazione digitale delle voci dei cantanti ha radici molto lontane: già nel 1975, per esempio, la voce di Alan Parsons veniva trasformata digitalmente da uno dei primi vocoder digitali nel brano The Raven. Adesso non stupisce più nessuno, ma all’epoca tutto questo era molto innovativo.

[CLIP: Spezzone di “The Raven”]

Un altro tipo di elaborazione vocale digitale molto noto, e per alcuni famigerato, è l’Autotune, che corregge le intonazioni e crea effetti di distorsione particolari: è stato introdotto nel 1997 e reso celebre dalla canzone Believe di Cher nel 1998.

[CLIP: Spezzone di “Believe”, con la voce isolata dalla musica]

Oggi il trattamento digitale delle voci in campo musicale conosce mille sfumature ed è disponibile in quasi tutti i programmi per la produzione di musica. Ma si tratta sempre di elaborazione: si parte da una sorgente audio esistente e la si manipola in qualche modo per ottenere un determinato risultato.

L’intelligenza artificiale, però, consente di fare ben di più, vale a dire generare voci che nella realtà non esistono oppure isolare una voce da altri rumori o suoni. È quello che è successo con la voce di Lennon per Now and Then, che nell’audiocassetta originale era sovrastata dal suono del pianoforte di accompagnamento, impossibile da filtrare con tecniche convenzionali. È così che si è passati da questo…

[CLIP: Spezzone dell’audiocassetta di Lennon]

…a questo:

[CLIP: Spezzone della voce ripulita di Lennon]

in cui il pianoforte è completamente rimosso e la voce sembra registrata da un microfono professionale in studio.

L’isolamento di uno strumento o di un rumore indesiderato tramite software di intelligenza artificiale, specificamente di machine learning, lavora per sottrazione: al software vengono forniti molti campioni dello strumento o del rumore che si vuole rimuovere, e questo gli permette di riconoscere gli elementi della registrazione che corrispondono a quello strumento o rumore e quindi di sottrarli, lasciando così la voce originale e offrendola pulita per ulteriori elaborazioni.

Questa tecnica di isolamento è oggi liberamente disponibile anche in molte applicazioni, anche online, come Lalal.ai, al quale basta inviare una registrazione digitale per riottenerne, nel giro di qualche decina di secondi, una versione che isola la voce dagli strumenti oppure estrae solo la percussione, le chitarre elettriche o acustiche, il pianoforte e altri strumenti.

Software come questo, e come Magic Dust AI, possono anche rimuovere i rumori di fondo, per esempio da un’intervista in un ambiente affollato e rumoroso, diventando strumenti preziosissimi non solo per musicisti ma anche per giornalisti e anche per chi ha problemi di udito o più in generale fatica a isolare una conversazione in un ambiente pieno di persone che parlano.

Per esempio, se si addestra un software di machine learning dandogli campioni puliti delle voci di due persone, quel software diventa in grado di isolare le loro singole voci da una registrazione in cui parlano entrambe contemporaneamente, come negli esempi che vi proporrò tra poco, pubblicati dal professor Paris Smaragdis dell’Università dell’Illinois, che ha lavorato al restauro audio del documentario “Get Back” dedicato ai Beatles, realizzato con tecniche simili a quelle utilizzate per recuperare la voce di John Lennon. Queste sono le voci sovrapposte, che parlano in inglese:

[CLIP: voci sovrapposte]

E queste sono le singole voci:

[CLIP: voci separate]

Anche isolare una voce da un rumore di fondo particolarmente invadente è fattibile con ottimi risultati. Sentiamo la registrazione originale e poi la voce estratta dal software:

[CLIP: campione di voce con denoising]

Fin qui si tratta di togliere dei suoni indesiderati lasciando la parte che interessa. Ma si può fare di più. Molto di più.

Restauro troppo creativo?

L’elaborazione del suono tramite intelligenza artificiale può essere sottrattiva, come avete sentito fino a questo punto, ma può anche essere generativa: in altre parole, aggiunge all’originale delle parti mancanti. Per esempio, una registrazione molto vecchia o fatta usando microfoni di bassa qualità può essere elaborata per renderla qualitativamente più gradevole.

Magic Dust AI, per esempio, è in grado di prendere una registrazione fatta con i modestissimi microfoni integrati negli auricolari dei telefonini ed elaborarla per darle una qualità più vicina a quella di un microfono professionale.

Lo stesso principio è utilizzabile anche per i brani musicali. Un altro esempio pubblicato dal professor Smaragdis riguarda la cosiddetta bandwidth expansion, cioè l’espansione della larghezza di banda. Le registrazioni musicali d’epoca perdevano gran parte delle frequenze sonore più basse e più alte, ma con questa tecnica è possibile ricreare quelle frequenze mancanti. Il software viene addestrato dandogli dei campioni musicali equivalenti registrati con qualità migliore, che vengono aggiunti alla registrazione originale.

Per esempio, si prende questo brano musicale registrato in bassa qualità:

[CLIP: brano in bassa qualità]

poi si fornisce al software questo breve campione di strumenti analoghi registrati meglio:

[CLIP: campione strumenti]

e questo è il risultato dell’elaborazione:

[CLIP: risultato]

Il problema di fondo di questa elaborazione generativa è che aggiunge suoni che non erano presenti nella registrazione originale ma probabilmente erano presenti durante l’esecuzione dal vivo e si sono persi. Si tratta insomma di una approssimazione ragionevole, non di una elaborazione certa di un segnale esistente. In questo caso, si può ancora parlare di restauro puro o stiamo sconfinando nell’invenzione, in una sorta di equivalente sonoro del ridare le braccia alla Venere di Milo basandosi sulle braccia di altre statue analoghe?

Non è chiaro, al momento, se la voce di John Lennon sia stata elaborata da un software di questo secondo tipo o se sia stata fatta solo una sottrazione dei suoni indesiderati seguita da un’elaborazione del contenuto sonoro effettivamente esistente. E anche se dovesse trattarsi di elaborazione generativa per ridare ricchezza e corpo alla voce originale, si tratterebbe comunque di un’elaborazione basata su campioni di alta qualità della voce di Lennon, per cui la voce sarebbe comunque la sua. Forse quello che conta è che all’orecchio la voce che si sente in Now and Then sembra proprio quella dello scomparso John Lennon, fresca come se fosse stata registrata ieri, e alla fine l’emozione prevale sulla disquisizione tecnica.

E se schiudiamo le porte al restauro audio generativo diventano possibili scenari inaspettati e recuperi di suoni davvero straordinari.

Archeologia sonora

Il professor Smaragdis ha pubblicato anche altre dimostrazioni di usi inattesi dell’elaborazione dei suoni tramite intelligenza artificiale. Per esempio, il riconoscimento dei suoni può essere usato per l’analisi dei contenuti video, come nel rilevamento dei momenti salienti di un evento sportivo registrato. Normalmente è necessario far scorrere il video registrato fino a trovare l’istante del gol, del punto o dell’azione di gioco importante, ma se un software riconosce suoni come gli applausi o le esclamazioni di gruppo può localizzare automaticamente gli istanti che interessano.

Il machine learning applicato all’audio ha anche applicazioni interessanti nella sicurezza. È molto difficile rilevare automaticamente un evento nelle immagini di una telecamera di sorveglianza se ci si basa appunto sulle immagini, perché il riconoscimento delle immagini ha un tasso d’errore molto alto. Ma se ci si basa sull’audio, per esempio riconoscendo grida, voci sotto stress o rumori improvvisi, diventa relativamente facile identificare queste situazioni e inviare un avviso automatico che consenta di intervenire più prontamente.

[CLIP: Spezzone di aggressione simulata, usato per testare il sistema]

Ma l’applicazione più affascinante resta l’archeologia sonora. Generando i suoni mancanti, è possibile rendere fruibili registrazioni la cui qualità scadente le relegherebbe nell’oblio, come nel caso delle registrazioni tremolanti e gracchianti degli inizi dell’era del fonografo o dei cilindri di cera, ed è possibile estrarre suoni da fonti quasi inimmaginabili.

Nel 1860, quando negli Stati Uniti iniziava la presidenza di Abramo Lincoln, Garibaldi [in Italia] iniziava la spedizione dei Mille e in Francia c'era Napoleone III, il francese Édouard-Léon Scott de Martinville usò un apprecchio rudimentale, il fonautografo, per catturare suoni su un foglio di carta coperto di nerofumo, quella finissima fuliggine prodotta dalle lampade a olio. Il suono veniva inciso nel nerofumo usando una setola di maiale collegata a una membrana di pergamena che si muoveva in base al suono raccolto da un cilindro o da un corno. Queste incisioni all’epoca erano impossibili da riascoltare, ma sono state conservate e ricostruite digitalmente già alcuni anni fa, sia pure con un fortissimo fruscio di fondo:

[CLIP: ricostruzione originale]

Ora sono elaborabili anche con l’intelligenza artificiale. E così oggi possiamo sentire, sia pure con una certa fatica, una persona che nel 1860 cantava Au clair de la lune.

[CLIP: versione ripulita]

Con i progressi dell’elaborazione dei suoni che prima venivano considerati irrecuperabili, viene da chiedersi quale sarà la prossima frontiera inattesa del restauro sonoro.

Nel 1969, la rivista scientifica Proceedings of the Institute of Electrical and Electronics Engineers ospitò sulle sue auguste pagine una lettera firmata da un certo R.G. Woodbridge [Acoustic recordings from antiquity], che affermava di aver scoperto registrazioni sonore accidentali sulle superfici di oggetti antichi e in particolare su vasi lavorati sui torni da vasai, in cui il tornio poteva essere immaginato come una sorta di primitivo giradischi e la mano del vasaio come una puntina da incisione sonora molto grossolana.

[Il testo della lettera è dietro paywall, ma Bldblog.com ne ospita qualche estratto, notando che secondo Woodbridge i suoni sarebbero registrati anche nei quadri dipinti a olio e sarebbero riascoltabili tenendo la puntina di un giradischi in contatto con la superficie del vaso in questione, che viene fatto girare, oppure muovendo la puntina sopra una pennellata di un quadro: “positioned against a revolving pot mounted on a phono turntable (adjustable speed) ‘stroked’ along a paint stroke, etc.” Grazie a questo gesto, “low-frequency chatter sound could be heard in the earphones.”

Woodbridge suggerisce anche applicazioni alternative:“This is of particular interest as it introduces the possibility of actually recalling and hearing the voices and words of eminent personages as recorded in the paint of their portraits or of famous artists in their pictures.” Inoltre descrive un esperimento: “With an artist’s brush, paint strokes were applied to the surface of the canvas using “oil” paints involving a variety of plasticities, thicknesses, layers, etc., while martial music was played on the nearby phonograph. Visual examination at low magnification showed that certain strokes had the expected transverse striated appearance. When such strokes, after drying, were gently stroked by the “needle” (small, wooden, spade-like) of the crystal cartridge, at as close to the original stroke speed as possible, short snatches of the original music could be identified. […] Many situations leading to the possibility of adventitious acoustic recording in past times have been given consideration. These, for example, might consist of scratches, markings, engravings, grooves, chasings, smears, etc., on or in “plastic” materials encompassing metal, wax, wood, bone, mud, paint, crystal, and many others. Artifacts could include objects of personal adornment, sword blades, arrow shafts, pots, engraving plates, paintings, and various items of calligraphic interest.”]

Le sue affermazioni non furono mai verificate, ma di fronte a queste nuove meraviglie del restauro dei suoni la sua proposta sembra un pochino meno fantascientifica. Staremo a vedere; anzi, a sentire.

Pubblicazione iniziale: 2023/11/02. Ultimo aggiornamento: 2023/11/17 8:30.

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate qui sul sito della RSI (si apre in una finestra/scheda separata) e lo potete scaricare qui.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, Google Podcasts, Spotify e feed RSS.

Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle fonti di questa puntata, sono qui sotto.

---

[CLIP: spezzoni di YouTuber che parlano di Temu e spot di Temu]

Pochi giorni fa, mentre stavo facendo lezione di informatica in una scuola, uno studente mi ha chiesto cosa ne pensassi di Temu, la popolarissima app di shopping cinese, e se fosse pericolosa. È un dubbio che hanno in tanti, e le opinioni degli YouTuber sono molto contrastanti. Lo so, le opinioni degli YouTuber probabilmente non sono in cima alla vostra classifica delle fonti informatiche attendibili, per cui ho provato a rispondere alla domanda dello studente consultando gli esperti del settore. In particolare, è stata pubblicata una ricerca tecnica che sembra inchiodare Temu, ma anche così la questione non è proprio chiara come potrebbe sembrare.

Benvenuti alla puntata del 3 novembre 2023 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo, e tra poco vi parlerò di Temu e anche dello stranissimo consiglio delle agenzie di sicurezza informatica statunitensi che raccomandano di usare gli adblocker, cioè le app che bloccano le pubblicità online, e vi racconterò dell’errore imbarazzante di Google, che addirittura dice in sostanza che il Kenya non esiste.

[SIGLA di apertura]

Temu è un’app pericolosa?

Secondo una ricerca pubblicata a settembre dalla società di sicurezza informatica Grizzly Research, la popolarissima app di shopping cinese Temu sarebbe un malware e spyware estremamente pericoloso. Tutte le app per fare acquisti sono piuttosto invadenti, ma Temu è tutta un’altra storia, stando alle analisi tecniche.

Per esempio, notano i ricercatori, Temu chiede per impostazione predefinita la localizzazione precisa dell’utente in quel momento, cosa che non ha senso se l’utente vuole semplicemente acquistare un prodotto e ha già dato il proprio indirizzo per la spedizione. Se l’app rimane attiva, i gestori di Temu possono tracciare l’utente per tutto il tempo.

Temu, secondo questa ricerca, ha anche un altro comportamento molto pericoloso: la cosiddetta compilazione dinamica. L’app può scaricare da Internet del codice software aggiuntivo e compilarlo, cioè renderlo eseguibile sul dispositivo dell’utente. Questo vuol dire che l’app può superare tranquillamente i controlli di sicurezza di Google Play, per esempio, perché non contiene codice pericoloso, ma una volta installata può scaricare altro codice ed eseguirlo, eludendo completamente le verifiche di sicurezza.

La lista delle caratteristiche pericolose di Temu è molto lunga, secondo questa ricerca, e va detto che i toni di Grizzly Research sono un po’ sensazionalisti e che gli esperti esterni citati da questa ricerca non vengono nominati, ma la sostanza delle asserzioni sembra robusta e ben documentata, anche con il supporto di una società di sicurezza informatica svizzera. E una delle caratteristiche sospette di Temu è stata confermata indipendentemente: è la cosiddetta obfuscation, una tecnica nella quale il software dell’app è scritto in modo intenzionalmente poco chiaro, usando metodi che rendono estremamente difficile capire cosa stia facendo realmente.

Però l’app è ancora disponibile sul Play Store di Google per i dispositivi Android e nell’App Store di Apple, sia pure con una dettagliata elencazione dei dati personali che raccoglie e che sono davvero tanti.

Allo stesso tempo, la piattaforma di commercio elettronico Pinduoduo, legata a Temu, è stata sospesa da Google perché conteneva malware, e pochi giorni fa nel Regno Unito alcune pubblicità su Temu sono state bandite perché mostravano una bambina in bikini “in posa molto adulta”, come dice molto signorilmente la Advertising Standards Authority britannica, e presentavano altre immagini che, sempre secondo l’autorità britannica, “oggettificavano le donne”. Temu ha rimosso l’immagine della bambina, ammettendo che violava le sue regole, ma si è opposta alle altre contestazioni.

Inoltre Apple ha dichiarato che in passato Temu ha violato le regole di privacy, ingannando gli utenti sul modo in cui usa i loro dati, ma la questione è stata poi risolta.

I sospetti sulla sicurezza e la privacy di Temu, insomma, non mancano, per cui è sconsigliabile perlomeno installarla su smartphone usati per lavoro o per altre attività sensibili, ma forse il problema non è solo informatico.

Molte delle recensioni indipendenti di questa app notano che i prezzi dei prodotti sono semplicemente insostenibili, considerato che vengono quasi sempre spediti dalla Cina, e quindi fare shopping su tutte queste app che fanno viaggiare i propri prodotti per decine di migliaia di chilometri ma li fanno pagare una manciata di euro, dollari o franchi ha non solo un probabile impatto informatico, ma anche un indubbio impatto ambientale, che va preso in considerazione.

[Fonti aggiuntive: privacy policy di Temu; Agenda Digitale; Cybersecurity360.it]

Agenzia di sicurezza informatica USA: bloccate le pubblicità, possono trasportare malware

Non capita spesso che un’agenzia di sicurezza governativa includa le parole “installate software che blocchi le pubblicità online” nelle proprie raccomandazioni, ma è quello che si legge in un documento della Cybersecurity and Infrastructure Security Agency del governo statunitense (Cisa.gov), un’autorità indiscussa nel campo della sicurezza informatica. 

E non è l’unico caso: raccomandazioni analoghe sono state pubblicate anche da un’altra agenzia di sicurezza informatica piuttosto ben conosciuta, la NSA (National Security Agency) statunitense.

Prevengo subito il vostro comprensibile dubbio che queste raccomandazioni siano in qualche modo legate alle decisioni recenti di Facebook e Instagram di offrire anche versioni a pagamento e senza pubblicità e siano una sottile forma di incoraggiamento a pagare per usare questi servizi, soprattutto alla luce della decisione dell’Unione Europea di vietare la raccolta di dati personali per la profilazione pubblicitaria: queste raccomandazioni di CISA e NSA, infatti, risalgono a tempi non sospetti, ossia al 2021 e al 2018, e sono tuttora valide, ma richiedono qualche spiegazione.

Le pubblicità su Internet non sono come quelle che vedete o ascoltate alla radio, alla televisione o sui giornali e nelle riviste: non sono informazioni passive, scelte e approvate manualmente dall’editore. Le pubblicità online sono codice, ossia sono software che può essere eseguito dal vostro smartphone, tablet o computer, e sono spesso inserite nelle pagine del Web e nei social network senza alcun controllo significativo di sicurezza da parte di chi le pubblica. Questa situazione permette agli aggressori informatici di creare quello che in gergo si chiama malvertising, ossia pubblicità che trasportano attacchi informatici.

CISA e NSA segnalano che questa tecnica di attacco è sempre più diffusa, e proprio ieri, 2 novembre, l’azienda di sicurezza informatica Bitdefender ha pubblicato una ricerca su una campagna di crimine online che prende di mira gli account Facebook usando in modo improprio la rete pubblicitaria di Meta, che possiede Facebook. L’obiettivo di questi attacchi è rubare gli account e acquisire dati personali. Se un utente clicca sulle pubblicità create dagli aggressori, scarica automaticamente un malware, chiamato NodeStealer, che ruba dati di mail, wallet di criptovalute e altro ancora.

La pubblicità online diventa un canale di diffusione di malware molto potente, fra l’altro: Bitdefender stima che siano stati almeno 100.000 i download potenziali in questo recente attacco e nota che con un singolo annuncio infettante si possono produrre 15.000 scaricamenti nel giro di 24 ore dal lancio della campagna pseudo-pubblicitaria.

Ci sono vari modi per difendersi da questo tipo di attacco: le autorità e le aziende di sicurezza informatica raccomandano di usare solo browser noti e aggiornati, e suggeriscono inoltre di installare un adblocker, cioè un’app che blocchi tutte le pubblicità. Tuttavia notano che è necessario scegliere gli adblocker con molta cautela, perché queste app vedono tutto il traffico di dati dell’utente (e devono farlo, per poter funzionare) e quindi potrebbero raccogliere dati personali. Inoltre ci sono stati casi di adblocker che hanno accettato pagamenti da alcuni inserzionisti per far passare indisturbate le loro pubblicità.

Un altro rimedio è impostare un filtro sulla propria rete informatica che blocchi il traffico dei siti pubblicitari conosciuti, come fa per esempio il software libero e gratuito Pi-hole, disponibile presso Pi-hole.net e installabile anche su dispositivi a bassissima potenza come i Raspberry Pi. In pratica si ottiene una sorta di scatolotto hardware che filtra e blocca tutti i siti pubblicitari ed è completamente controllabile dall’utente. Installare questi filtri, però, richiede competenze tecniche notevoli: se non le avete, potete chiedere aiuto a una persona esperta di fiducia.

Ne vale la pena: gli spot spariscono e la navigazione diventa molto più veloce, perché viene eliminato il peso delle immagini e dei video pubblicitari. Ma attenzione: molti siti, soprattutto quelli più piccoli, dipendono dalla pubblicità per vivere. Non a caso, YouTube ha avviato una campagna per tentare di bloccare l’uso di adblocker.

Se decidete di bloccare le pubblicità di un sito che trovate utile, insomma, è opportuno compensarlo in modi alternativi, come per esempio un abbonamento o una donazione. E se tutto questo vi sembra troppo complicato, c’è sempre la difesa più semplice: non cliccare mai sulle pubblicità, così non potranno scaricare malware sul vostro dispositivo.

Secondo Google, nessun paese africano inizia con la K

Google è di gran lunga il motore di ricerca più usato al mondo, ma ultimamente i suoi risultati lasciano un po’ a desiderare, tanto che numerosi utenti stanno passando ad alternative come DuckDuckGo.

La differenza è notevole, soprattutto perché DuckDuckGo non fa tracciamento delle attività di ricerca a scopo pubblicitario e non mette in primo piano risultati palesemente falsi, come quello che da qualche tempo sta generando parecchia ilarità fra gli utenti di Google: se chiedete a Google in inglese di dirvi il nome di un paese africano che inizia con la lettera K (sì, so che avete già in mente la risposta), Google risponde mettendo al primo posto un delirio senza senso: dice che “Benché vi siano in Africa 54 paesi riconosciuti, nessuno di essi inizia con la lettera K”, e già così commette un errore imbarazzante, ma poi prosegue dicendo che “quello che più vi si avvicina è il Kenya, che inizia con un suono ‘K’ ma viene effettivamente scritto con un suono ‘K’”.

DuckDuckGo, invece, risponde fornendo semplicemente link a elenchi di nomi di paesi africani, dai quali è facile estrarre quello che inizia con la K.

Perché Google fa un errore così ridicolo? La colpa è dell’azienda, che ha introdotto i cosiddetti snippet in primo piano, che sono risultati che dovrebbero “aiutare gli utenti a trovare più facilmente quello che stanno cercando” e sarebbero “particolarmente utili per le ricerche vocali o su dispositivi mobili”.

Ma questi snippet non stanno funzionando molto bene. A ottobre scorso ho segnalato in questo podcast il caso di Google che spiegava (si fa per dire) come fondere le uova. Anche in questo nuovo caso c’è lo zampino dell’intelligenza artificiale, usata maldestramente, perché Google ha preso questo risultato demenziale da una risposta di ChatGPT pubblicata su Emergent Mind. 

Ma gli algoritmi di Google non si sono resi conto che quella risposta è stata pubblicata, ed è stata linkata da molti utenti, non perché è corretta, ma perché è ridicolmente sbagliata.

Al momento in cui chiudo questo podcast Google continua a dichiarare che il Kenya non esiste, ma probabilmente anche questo errore sparirà a breve se verrà segnalato da un numero sufficiente di utenti tramite l’apposito link di feedback presente sotto il risultato. Ma per ora sembra che gli utenti si stiano divertendo troppo per segnalare questi e altri errori, e quindi non ci resta che ridere e diffidare dei risultati proposti dagli snippet in primo piano di Google.