È disponibile subito il podcast di oggi de Il Disinformatico della Rete Tre della Radiotelevisione Svizzera, condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto). Questa è la versione Story, dedicata all’approfondimento di un singolo argomento.

I podcast del Disinformatico di Rete Tre sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Se vi interessano il testo e i link alle fonti della storia di oggi, sono qui sotto. Buon ascolto!

---

[CLIP: (in sottofondo) Vento e rumori di una città deserta]

Qui una volta, neanche tanto tempo fa, viveva tanta gente. Le strade erano piene di vita, c’erano negozi, luoghi d’incontro, milioni di cittadini, un’economia fiorente e in crescita, un artigianato creativo e originale. Gli esperti dicevano che questa sarebbe stata la comunità del futuro, con nuove leggi e nuove forme di cultura e socialità.

Oggi c’è il deserto: la popolazione è crollata, nei negozi non c’è più quasi nessuno e le ambasciate aperte con entusiasmo e milioni di dollari pochi anni fa sono deserte.

Questa è la storia di Second Life, la comunità virtuale che molti commentatori, in questi giorni, citano come modello e monito a proposito del Metaverso, la nuova esperienza virtuale di Internet proposta da Mark Zuckerberg, e di come il suo fallimento e i suoi errori possono illuminare la strada verso il futuro immersivo descritto dal fondatore di Facebook.

---

È il 23 giugno 2003: Philip Rosedale della Linden Labs pubblica Second Life, un’applicazione che consente agli utenti Windows, Mac e Linux di creare un simulacro digitale di se stessi, un avatar, e di muoverlo in un mondo virtuale tridimensionale, interagendo con altri utenti tramite la voce e i gesti, per socializzare e partecipare ad attività di gruppo, costruire ambienti, fabbricare oggetti virtuali, comprarli e venderli. Second Life ha una moneta, il Linden Dollar. Non è un gioco: non c’è un obiettivo o un traguardo da raggiungere. Second Life è un luogo, dove sono gli utenti a decidere cosa succede e ognuno può scegliere di avere l’aspetto che preferisce.

È una rivoluzione: gli utenti arrivano a frotte e non si parla d’altro. I giornali generalisti descrivono Second Life esaltandone le immense opportunità economiche. Nel 2005 Linden Labs dichiara che l’economia di Second Life ha generato tre milioni e mezzo di dollari in un solo mese. Nel 2006 il PIL di Second Life sale a 64 milioni. In Second Life si tengono concerti e conferenze, compreso il World Economic Forum di Davos, le imprese acquistano spazi virtuali pagandoli fior di quattrini, i governi aprono consolati per fornire informazioni e servizi. Nel 2007 anche il ministro italiano delle infrastrutture, Antonio Di Pietro, apre uno spazio su Second Life per il proprio movimento politico.

Ma proprio nel 2007 cominciano ad arrivare le stroncature. Second Life risulta lento e macchinoso da usare, la sua grafica è rudimentale e richiede computer potenti e una connessione veloce a Internet; ma soprattutto gli oltre otto milioni di utenti vantati da Second Life sono in realtà tutti coloro che si sono iscritti gratuitamente, sono entrati una volta sola e non si sono più ripresentati. 

Secondo i dati di Forrester Research, anche nei momenti di punta non ci sono mai più di 30-40.000 utenti collegati attivi. I negozi virtuali delle aziende sono deserti. Subentra un certo imbarazzo, perché uno degli oggetti più commerciati su Second Life è costituito dai genitali (che si devono comperare a parte). La bolla scoppia.

Oggi Second Life esiste ancora. Dichiara circa 900.000 utenti attivi: niente, rispetto ai tre miliardi di Facebook e alle centinaia di milioni di tanti altri social network e mondi virtuali più recenti, come Roblox o Minecraft. I suoi Linden Dollar, che una volta si scambiavano alla pari con il dollaro statunitense, sono quasi carta straccia: nel 2020 il tasso di cambio era 320 Linden Dollar per un solo dollaro americano. La grafica è migliorata, i computer odierni hanno tutti una potenza di calcolo più che sufficiente e le connessioni Internet veloci sono ovunque.

Ma resta un problema di fondo: esattamente a che cosa serve Second Life?

[CLIP: Zuckerberg presenta il Metaverso]

Se tutto questo vi sembra molto familiare, è normale. Il Metaverso proposto a ottobre 2021 da Mark Zuckerberg con enorme visibilità mediatica è, sotto molti punti di vista, una riedizione delle idee di Second Life, ma con una tecnologia decisamente superiore e un’ideologia molto chiara sin da subito, che si riassume in due parole: soldi e dati.

A differenza di Second Life e di molti altri mondi virtuali, il Metaverso di oggi non è limitato a qualcosa che abbiamo davanti a noi sullo schermo e che comandiamo toccando dei tasti: può essere usato anche in questo modo, ma si estende anche alla realtà virtuale e alla realtà aumentata. Non c’è un “dentro” e un “fuori”, una linea netta di confine: si può entrare nel Metaverso in maniera graduale.

Il livello più semplice è ancora basato sullo schermo tradizionale: Microsoft, per esempio, ha annunciato che offrirà gli avatar in Teams. Potremo quindi partecipare a una videoconferenza su Teams presentandoci con un’immagine animata tridimensionale, che duplicherà i nostri gesti e le nostre espressioni, al posto della nostra immagine video spettinata, struccata, sonnolenta e male illuminata. Per chiunque abbia difficoltà o disagi nel presentare il proprio aspetto o la propria identità, questo può essere un miglioramento sociale notevolissimo. Questo livello non richiede occhiali speciali, visori per realtà virtuale o altri accessori: basta una normale telecamera.

Chi invece ha questi accessori può vivere il Metaverso in maniera molto più immersiva. Gli occhiali per realtà aumentata promettono di mostrare oggetti o persone virtuali integrati direttamente – perlomeno a livello visivo – nel mondo reale. Vedere famiglia e amici lontani come se fossero seduti nel nostro soggiorno è sicuramente allettante. E naturalmente i pubblicitari hanno già l’acquolina in bocca al pensiero di assalire i nostri sensi con spot virtuali animati che sbucano dai muri per convincerci a comperare nuovi prodotti e servizi.

Con i visori per la realtà virtuale, quelli che coprono tutto il campo visivo con immagini tridimensionali, tutto quello che vediamo intorno a noi è creato digitalmente e quindi è manipolabile in mille modi. Possiamo presentarci con avatar tridimensionali, andare virtualmente a eventi o concerti con la sensazione visiva di essere in mezzo al pubblico o addirittura sul palco, esplorare in tutta sicurezza luoghi inaccessibili, accogliere gli amici in una casa virtuale lussuosa e sempre magicamente pulita e in ordine. Questa è la forma più ricca del Metaverso, che però non è solo realtà virtuale: il Metaverso è una tecnologia ben più ampia e abilitante.

Molte aziende qui fiutano l’odore dei soldi: quegli avatar andranno vestiti in qualche modo, e quindi si potranno vendere indumenti virtuali, esattamente come oggi si comprano a caro prezzo skin e altri accessori in giochi come Fortnite o Call of Duty. Quei concerti e quei luoghi virtuali avranno un biglietto d’ingresso. Quelle ville virtuali dovranno essere progettate e costruite da qualcuno, e sarà socialmente necessario che siano personalizzate, naturalmente a pagamento, perché sarà considerato imbarazzante presentarsi con una casa standard, un po’ come nel libro Snow Crash di Neal Stephenson, lo scrittore che ha coniato il termine “metaverso”, i poveri hanno accesso a questo ambiente virtuale tramite terminali pubblici che li visualizzano in bianco e nero, aprendoli alla derisione degli altri.

Questi comportamenti sociali, però, non sono fantascienza: già oggi in Fortnite i giocatori deridono e bullizzano gli altri utenti che non comprano le skin personalizzate per i propri avatar e si presentano con l’aspetto standard, esattamente come si viene a volte sbeffeggiati e umiliati perché ci si presenta a scuola o in ufficio con le scarpe o i vestiti dell’anno scorso.

Le imprese hanno così già la salivazione accelerata: ci saranno da vendere tanti oggetti virtuali e anche oggetti reali per poter fruire di quelli virtuali. Per sfoggiare la skin del proprio avatar all’ultima moda bisognerà infatti avere un casco per realtà virtuale di nuova generazione e serviranno connessioni mobili, probabilmente 5G, sempre più veloci.

L’interesse commerciale, però, non è solo direttamente monetario: l’uso del Metaverso, specialmente tramite occhiali per realtà aumentata e visori per realtà virtuale ma anche con semplici telecamere che ci riprendono, regala alle aziende montagne di dati biometrici e fisiologici altrimenti inaccessibili e immensamente monetizzabili.

Cose come il modo in cui ci muoviamo, in che direzione guardiamo, come parliamo, come respiriamo, che espressioni facciamo, se abbiamo messo su qualche chilo di troppo e dove, quanto movimento fisico facciamo: dati estremamente personali, usabili sia per diagnosticare lo stato di salute di miliardi di persone, con ovvie conseguenze per la privacy, sia per personalizzare ancora di più le offerte pubblicitarie. “Abbiamo notato che sorridi di meno ultimamente. Ti serve un antidepressivo? Vuoi vedere un film comico? Ti interessa un sito di incontri?”

Il metaverso e gli avatar pongono anche delle nuove sfide sul fronte della sicurezza informatica. Oggi siamo purtroppo abituati al ransomware che blocca i dati aziendali e chiede un riscatto per sbloccarli; nel metaverso arriveranno, inevitabilmente, anche i criminali informatici con forme di attacco su misura per questo ambiente. Non è difficile immaginare un ransomware che toglie i vestiti al nostro avatar e chiede soldi per non farci andare in giro nel metaverso nudi o farci partecipare a una videoconferenza serissima conciati come Pennywise, il pagliaccio assassino di It.

Per le imprese, insomma, anche stavolta i motivi di lucro per interessarsi al metaverso non mancano, e questo spiega il fragore mediatico dell’annuncio di Mark Zuckerberg. Rispetto ai tentativi passati, come Second Life, è cambiata però un’idea fondamentale: il metaverso oggi viene proposto come un’esperienza fluida e continua, che ingloba tutto e non ha barriere. In Second Life bisognava entrare, e quello che si creava restava lì, sui computer di una specifica azienda; nel metaverso prossimo venturo, invece, gli avatar, gli oggetti e gli indumenti creati saranno esportabili e usabili ovunque, grazie a standard aperti. O almeno così ci viene promesso: ci sono ancora parecchi ostacoli tecnici ed economici notevoli da superare.

Nel frattempo resta senza risposta una domanda, che è la stessa che mise in crisi Second Life: esattamente a cosa serve il Metaverso? A parte fare soldi per le aziende, intendo. 

Manca, per ora, la cosiddetta killer app del Metaverso: quell’applicazione i cui pregi sono così evidenti e irresistibili da spingere tanti ad acquisire gli strumenti necessari per poterla usare. In passato abbiamo avuto killer app come VisiCalc e WordStar, un foglio di calcolo e un programma di scrittura testi che fecero esplodere il mercato dei personal computer, o Video Toaster sugli Amiga, o ancora Excel e poi Microsoft Office per il mondo Windows.

È impossibile prevedere quale sarà questa killer app. Specialmente in informatica, cercare di prevedere il futuro è come guidare a fari spenti lungo una stradina di campagna guardando nello specchietto retrovisore. E quindi questa è un’altra storia.

Fonti aggiuntive: Money Crashers, QRCA Views, Wikipedia, Engadget.

È disponibile il podcast di oggi de Il Disinformatico della Rete Tre della Radiotelevisione Svizzera, condotto da me insieme ad Alessio Arigoni. Questi sono gli argomenti trattati, con i link ai rispettivi articoli di approfondimento:

• Escono Windows e MacOS nuovi: non c’è fretta di installarli
• Perché questi codici QR sembrano “green pass” validi di Adolf Hitler, Topolino e Spongebob?
• Squid Game, virus e truffe abusano della popolarità della serie
• Una strana truffa su Booking

Il podcast di oggi, insieme a quelli delle puntate precedenti, è a vostra disposizione presso www.rsi.ch/ildisinformatico (link diretto) ed è ascoltabile anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto!

Mi capita spesso di raccontare truffe online, ma è raro che la vittima sia una persona che conosco prima che mi contatti per la truffa: stavolta, però, il bersaglio del raggiro è il collega della Rete Tre della Radiotelevisione Svizzera con il quale ho fatto tanti podcast, Alessio Arigoni. Lui stesso l’ha raccontata nel podcast di questa settimana: io la riassumo qui con alcune immagini che Alessio mi ha fornito.

Alessio è andato su Booking.com a cercare un appartamento per un breve soggiorno a Bologna, e ha trovato questa offerta di Lineron flats Bologna, in via San Felice 71 (ho alterato il link aggiungendogli “togliquesto-” per evitare di linkare il sito).

Ha risposto all’offerta, stando sempre sulla piattaforma Booking.com, e ha prenotato, senza anticipare denaro. Ha ricevuto correttamente la mail di conferma da Booking.com.

Poco dopo gli è arrivato tramite WhatsApp un messaggio che gli ha riepilogato in inglese i dettagli della sua prenotazione (indirizzo, date, numero degli alloggiati, prezzo) e gli ha chiesto conferma della correttezza di questi dati.

La persona ha proseguito dando istruzioni dettagliate per il ritiro delle chiavi, stavolta in italiano, e ribadendo che il pagamento dell’appartamento “viene effettuato solo online tramite booking.com a causa del covid-19” e spiegando il funzionamento del “modulo di caparra”:

Poi ha inviato ad Alessio un link per il modulo di caparra, ma ha misteriosamente iniziato a scrivere in spagnolo. Ovviamente a questo punto Alessio si era già insospettito e questo ulteriore cambio di lingua gli ha confermato che qualcosa non quadrava e che stava comunicando con un truffatore.

Il link del fantomatico “modulo di caparra” portava a un sito che non è affatto il vero Booking.com ma è visualizzato come booking-eu punto id-404958.online/merchant91129291, presso il quale però si trova l’esatta prenotazione fatta da Alessio su Booking.com, con la richiesta di immettere i dati della carta di credito:

C’erano vari indizi sospetti, come il numero di telefono portoghese (l’avevate notato? Alessio ha ricevuto i messaggi WhatsApp da un numero che inizia per +351), i cambi di lingua e il link con un URL differente dal normale Booking.com, ma l’elemento che dava attendibilità a “Pavel” era appunto questa conoscenza dei dati di Alessio.

La spiegazione più probabile è questa: l’inserzione su Booking.com è gestita dal truffatore stesso. Il truffatore ha creato un alloggio inesistente su Booking.com e quindi riceve da Booking.com le informazioni sulle prenotazioni, che poi usa per contattare le vittime e dirottarle verso il suo sito-clone, nel quale le vittime immettono i dati della propria carta di credito, regalandoli così al truffatore.

In tal caso, Booking.com non avrebbe verificato l’autenticità dell’inserzione. Alessio ha segnalato la situazione a Booking, che ora mostra sulla pagina del finto alloggio la dicitura “Siamo spiacenti, al momento non è possibile effettuare prenotazioni per questo hotel sul nostro sito” ma non l’ha rimosso.

Non ci sono stati addebiti sulla carta di credito di Alessio (che è stata comunque bloccata e sostituita su sua richiesta) e tutto è finito bene, ma c’è mancato poco.

A settembre 2021 il programma Patti Chiari della RSI si è occupato di Booking.com e dell’affidabilità delle offerte presenti sul sito, trovando numerosi alloggi falsi:

Truffe di questo genere, vissute a mente serena in un racconto come questo, sembrano fin troppo evidenti e quindi molti si chiedono come possano essere efficaci. Ma quando vengono vissute sulla propria pelle i loro campanelli d’allarme spesso non suonano, e soprattutto il truffatore è libero di tentare il raggiro con tante persone, finché non trova quella giusta che abbocca. Siate vigili.

Circolano finte app Android che fingono di essere sfondi a tema Squid Game ma in realtà installano malware, come nota Lukas Stefanko di ESET. Oltre 200 app in Google Play usano il nome della serie senza però esservi associate ufficialmente e fanno soldi attraverso le pubblicità in-app. Va ricordato che non esiste nessuna app ufficiale della serie. 

Secondo Kaspersky (a 29 minuti dall’inizio del podcast), una di queste app fraudolente è stata scaricata oltre un milione di volte e attiva di nascosto abbonamenti a servizi SMS premium a pagamento, i cui incassi vanno ai gestori dell’app, oppure rubano dati o password.

Altre segnalazioni riguardano app che dicono di consentire di vedere una puntata della serie, ma non sono ospitate da Google Play, oppure sono app che fingono di essere giochi legati alla serie ma in realtà mostrano solo un’animazione intanto che si fanno dare i dati degli utenti (o li rubano). Ci sono anche finti negozi ufficiali che rifilano fregature a chi abbocca. Non cascateci.

Fonti aggiuntive: PC Mag, Punto Informatico, Itechpost, TechRepublic, Tomsguide.

Una volta tanto non è urgente installarli: non introducono miglioramenti importanti della sicurezza, perlomeno per l’utente comune, per cui aggiornatevi se volete, ma non sentitevi particolarmente in obbligo. Non c‘è fretta: Windows 10 continuerà a essere supportato fino a ottobre del 2025.

Come sempre, prima di aggiornare un sistema operativo, fate un backup completo dei vostri dati e delle vostre applicazioni (meglio ancora, dell’intero sistema), controllate che le applicazioni che usate e il vostro hardware siano compatibili con la nuova versione di Windows/MacOS e ritagliatevi un paio d’ore di tempo per l’aggiornamento. 

Ho provato a installare sia Windows 11 sia MacOS Monterey, e anche sui miei computer non particolarmente potenti o recenti non sembrano causare rallentamenti. In entrambi i casi, il computer stesso vi avvisa se è compatibile o meno con l’aggiornamento non appena tentate di avviarlo.

Windows 11

La nuova versione del sistema operativo di Microsoft offre un nuovo design molto pulito, che però ha una scelta probabilmente controversa: il pulsante Start, che per decenni è stato nell’angolo in basso a sinistra, ora sta in basso al centro della Taskbar, sovvertendo abitudini e automatismi ben radicati nella memoria muscolare degli utenti. Si può riportare a sinistra andando nelle impostazioni di Windows 11.

A parte questo, una novità interessante di Windows 11 è che vi girano o gireranno anche le applicazioni Android, grazie al Windows Subsystem for Android (WSA), anche se con alcune limitazioni hardware e geografiche. C’è una gestione più potente dei monitor multipli e delle finestre multiple, arriva un nuovo Store delle app Microsoft e ci sono alcune migliorie per i gamer. Ma non ho visto nulla che mi faccia correre ad installarlo.

MacOS 12 (Monterey)

Il nuovo MacOS è installabile anche su computer piuttosto vecchiotti (ho appena finito di installarlo su un Mini del 2014). Anche qui non ci sono miglioramenti che fanno venire fretta di installarlo: sono arrivati gli shortcut, ossia dei “programmi” o script che permettono di automatizzare le operazioni ripetitive (tipo creare una GIF partendo da un video). I Mac possono ora essere usati come monitor e altoparlanti per altri dispositivi, tramite AirPlay: si può mostrare sullo schermo del Mac lo schermo di un iPhone, per esempio. I MacBook recenti hanno una funzione di consumo energetico ridotto (è nelle impostazioni della batteria). C’è un’opzione che consente di limitare notifiche e distrazioni.

La novità forse più interessante è lo Universal Control, che però non è ancora disponibile ma dovrebbe consentire prossimamente di usare una sola tastiera e un solo trackpad o mouse di un Mac per comandare altri Mac e iPad nelle sue vicinanze (che siano sulla stessa rete Wi-Fi e usino lo stesso Apple ID e soprattutto permetterà di trascinare e mollare un file da un dispositivo all’altro.

I nuovi MacBook Pro, per contro, rivelano una magagna piuttosto comica: il loro schermo ha una tacca, il notch, per ospitare la webcam, ma la barra menu situata in alto non ne tiene conto e alcune sue voci finiscono per essere nascoste dalla tacca. Piuttosto imbarazzante, per un’azienda che ha il culto del design e dell’estetica.

Questo tweet https://twitter.com/thelazza/status/1453307197115490317 mostra un problema serio dei nuovi Mac con la tacca per la webcam:

WTF HAHAHAHA HOW IS THIS SHIPPABLE? WHAT IS THIS?! pic.twitter.com/epse3Cv3xF

— Quinn Nelson (@SnazzyQ) October 26, 2021

Il problema è parzialmente risolvibile cambiando le impostazioni dello schermo in modo da sacrificarne una fettina.

Fonti aggiuntive: Howtogeek, Gizmodo.

È disponibile subito il podcast di oggi de Il Disinformatico della Rete Tre della Radiotelevisione Svizzera, condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto). Questa puntata (la numero 700 da quando ho iniziato, nel 2006) è in versione Story, quella sperimentata quest’estate e dedicata all’approfondimento di un singolo argomento, che sarà il format standard dal 5 novembre prossimo.

Come consueto, i podcast del Disinformatico di Rete Tre sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano il testo e i link alle fonti della storia di oggi, sono qui sotto!

Nota: la parola CLIP nel testo che segue non è un segnaposto in attesa che io inserisca dei contenuti. Indica semplicemente che in quel punto del podcast c’è uno spezzone audio. Se volete sentirlo, ascoltate il podcast oppure guardate il video (se disponibile) che ho incluso nella trascrizione.

---

Credit: Naked Security.

[CLIP: (in sottofondo) Rumore di tastiera di computer degli anni 90]

È il 4 maggio 2000, un giovedì come tanti a Manila, nelle Filippine. Uno studente d’informatica, il ventiquattrenne Onel de Guzman, vuole collegarsi a Internet, come tante altre persone in tutto il mondo quel giorno.

Ma Onel non sa ancora che tra poche ore scatenerà il caos informatico planetario, causando danni per oltre dieci miliardi di dollari, travolgendo il Pentagono, la CIA, il Parlamento britannico e moltissime aziende multinazionali. Farà tutto questo usando un singolo computer e un messaggio d’amore ingannevole, che si propagherà via mail in decine di milioni di esemplari perché gli utenti non sapranno resistere alla curiosità di sapere cosa c’è dietro le tre parole di quel semplice messaggio scritto da Onel: I Love You.

Mentre preparo questo podcast, la Svizzera e molti paesi europei sono invasi da messaggi digitali che stuzzicano gli utenti allo stesso modo: sono SMS che dicono che c’è un messaggio vocale importante per loro. Chi non resiste alla tentazione, li apre e ne segue ciecamente le istruzioni finisce per farsi infettare lo smartphone e per farsi rubare il contenuto del proprio conto bancario.

Questa è la storia di quell’attacco informatico mondiale di oltre vent’anni fa e dei suoi paralleli con quello in corso attualmente. Gli anni passano, la tecnologia cambia, ma la leva più potente per scardinare le difese tecnologiche rimane sempre la stessa: la curiosità umana.

[SIGLA]

Torniamo a Manila e a quello studente d’informatica, Onel de Guzman. È squattrinato e le connessioni a Internet costano. Così ha un’idea: scrivere un worm, ossia un programma autoreplicante che rubi le password di accesso a Internet di altri utenti, così lui potrà collegarsi senza pagare.

Per creare questo worm, de Guzman sfrutta una delle scelte più fallimentari della storia dell’informatica: quella di nascondere automaticamente le cosiddette estensioni dei nomi dei file. Ogni file, infatti, ha un nome che è composto da una parte principale e da un’estensione: se scrivete un documento con Microsoft Word e lo chiamate Fattura, il suo nome completo sarà Fattura.docx. Docx è l’estensione. Il punto separa la parte principale del nome dalla sua estensione.

Questa estensione viene usata spesso dai dispositivi digitali per sapere come gestire un file: per esempio, se l’estensione è xls o xlsx, allora si tratta di un foglio di calcolo, che va aperto con Excel; se l’estensione è odt, è un documento di testo che va aperto con LibreOffice o OpenOffice; se l’estensione è mp3, è un brano musicale o un file audio, e così via.

Ma normalmente Windows nasconde le estensioni, appunto, e Onel lo sa bene. Così crea un worm che manda una mail che contiene un allegato il cui nome termina con .txt.vbs. In questo modo chi riceve l’allegato vede un file che ha apparentemente l’estensione txt, che identifica i file di testo normale, assolutamente innocui, ma in realtà il file è uno script, ossia un programma scritto in Visual Basic.

In altre parole, l’allegato sembra un documento perfettamente sicuro agli occhi della vittima, ma il computer della vittima lo interpreta come una serie di comandi da eseguire.

Non solo: Onel de Guzman approfitta anche di un altro errore monumentale presente in Microsoft Outlook a quell’epoca: Outlook esegue automaticamente gli script in Visual Basic che riceve in allegato se l’utente vi clicca sopra.

Queste due falle, concatenate, permettono a de Guzman di confezionare un attacco potentissimo: le vittime ricevono via mail quello che sembra essere un documento non pericoloso ma è in realtà un programma, lo aprono per sapere di cosa si tratta, e il loro computer esegue ciecamente quel programma. Il programma a quel punto si legge tutta la rubrica degli indirizzi di mail della vittima e la usa per mandare una copia di se stesso a tutti i contatti del malcapitato utente intanto che ruba le password di accesso a Internet.

L’effetto valanga che ne consegue è rafforzato dall’ingrediente finale scelto da Onel de Guzman: il nome dell’allegato l’oggetto della mail è I Love You, “ti amo” o “ti voglio bene” in inglese, scritto senza spazi.

Mettetevi nei panni delle vittime di questo attacco: ricevete una mail che vi invita a leggere una lettera d’amore. Questa lettera, oltretutto, proviene da qualcuno che conoscete. Riuscireste a resistere alla tentazione di aprirla?

Il risultato di questa tempesta perfetta di difetti informatici e di astuzia psicologica è un’ondata virale di messaggi che nel giro di poche ore intasa i computer di mezzo mondo, causando confusioni e congestioni a non finire, anche perché il virus informatico non si limita ad autoreplicarsi massicciamente, ma rinomina e cancella anche molti dei file presenti sui dischi rigidi delle vittime.

Vengono colpiti il settore finanziario di Hong Kong, il parlamento danese, quello britannico, la CIA, il Pentagono, la Ford e Microsoft stessa, paralizzate dall’enorme traffico di mail; lo stesso accade a quasi tutte le principali basi militari degli Stati Uniti. Le infezioni segnalate nel giro di dieci giorni sono oltre cinquanta milioni: circa il 10% del computer di tutto il mondo connessi a Internet. I danni e i costi di ripristino ammontano a decine di miliardi di dollari.

[CLIP: reporter di CTV che riferisce dei danni causati da Iloveyou (da 0:09 a 0:23)]

Eppure Onel de Guzman, con il suo worm Iloveyou, voleva soltanto procurarsi qualche password per connettersi a Internet senza pagare.

[CLIP: Suono di modem che si collega in dialup]

Quando si rende conto del disastro che ha involontariamente combinato, cerca di coprire le proprie tracce, ma è troppo tardi: nel giro di pochi giorni viene rintracciato dalle autorità.

Ma le leggi delle Filippine nel 2000 non includono i reati informatici e quindi de Guzman non è punibile, perché non ha commesso alcun reato.

Negli anni successivi il creatore accidentale di uno dei virus informatici più distruttivi della storia scomparirà dalla scena pubblica. A maggio del 2020 viene rintracciato da un giornalista, Geoff White, che scopre che Onel de Guzman lavora presso un negozietto di riparazione di telefonini a Manila. Ogni tanto qualcuno lo riconosce, ma lui mantiene un profilo basso ed evita ogni attenzione mediatica. Chissà se sa che nel 2002 i Pet Shop Boys hanno scritto una canzone, E-mail, che a giudicare dal testo, con quella richiesta di mandare una mail che dice "I love you", sembra proprio dedicata a lui.

---

Da quell’attacco informatico sferrato per povertà da uno studente oltre vent’anni fa sono cambiate molte cose. Le Filippine, come moltissimi altri stati, ora hanno leggi che puniscono severamente il furto di password e il danneggiamento dei sistemi informatici. Microsoft ha chiuso le falle tecniche che avevano permesso a Onel de Guzman e a molti altri suoi emuli di creare programmi ostili autoreplicanti.

Ma dopo molti anni senza ondate di virus informatici diffusi automaticamente via mail, in questi giorni è ricomparso un worm che usa esattamente le stesse tecniche sfruttate da Onel de Guzman e si sta diffondendo a moltissimi utenti di smartphone in un elevato numero di copie. Si chiama FluBot, e invece di usare la mail adopera gli SMS, ma a parte questo segue il medesimo copione.

La vittima di FluBot riceve un SMS il cui mittente è qualcuno che conosce e di cui quindi tende a fidarsi, proprio come capitava con Iloveyou. L’SMS contiene un invito a cliccare su un link per ascoltare un messaggio vocale, e siccome proviene da un suo contatto scatta la molla emotiva della curiosità, oggi come vent’anni fa. 

Il messaggio vocale, però, in realtà non esiste e il link porta invece a un avviso che dice che per ascoltare il messaggio la vittima deve installare un’app apposita non ufficiale che non si trova nei normali archivi di app. Questa app è il virus vero e proprio.

Se la vittima abbocca all’esca emotiva e la installa, FluBot prende il controllo dello smartphone e si mette in attesa. Quando la vittima usa il telefonino per una transazione bancaria, FluBot se ne accorge, ruba il nome utente e la password e intercetta l’SMS che contiene la password aggiuntiva temporanea necessaria per validare la transazione. Fatto questo, ha tutto il necessario per prendere il controllo del conto corrente della vittima e consegnarne il contenuto ai criminali informatici che gestiscono il virus.

Già che c’è, FluBot usa la rubrica telefonica della vittima per trovare nuovi bersagli, esattamente come faceva Iloveyou, e questo gli consente di propagarsi in modo esplosivo.

Rimuovere FluBot dal telefonino, inoltre, non è facile: non basta togliere l’app ma è necessario un riavvio in Safe Mode, una procedura che è meglio affidare a mani esperte.

C’è anche un altro parallelo con quell’attacco di due decenni fa: FluBot può colpire soltanto se l’utente clicca sul link presente nel messaggio, proprio come avveniva con lloveyou. Senza questo primo gesto, l’attacco fallisce.

FluBot e Iloveyou sono accomunati anche da un’altra peculiarità: funzionano soltanto su alcuni tipi specifici di dispositivi molto diffusi. Iloveyou poteva agire soltanto sui popolarissimi sistemi Windows 95 che usavano Outlook; non aveva alcun effetto sui computer MacOS o Linux. Allo stesso modo, oggi FluBot colpisce soltanto gli smartphone, e specificamente gli smartphone Android; non ha effetto sui telefonini non smart e sugli iPhone.

L’attacco di FluBot, quindi, ha effetto soltanto se si verifica una catena ben precisa di errori dell’utente:

1. la vittima si fida del messaggio di invito, pensando che provenga da un suo conoscente fidato;
2. clicca sul link presente nel messaggio; 
3. scarica e installa un’app non ufficiale senza chiedersi come mai non è presente negli App Store normali; 
4. e usa uno smartphone Android senza proteggerlo con un antivirus aggiornato. 

Se manca uno solo di questi anelli della catena, l’attacco fallisce.

Oggi come allora, insomma, difendersi dagli attacchi informatici più diffusi è soprattutto questione di emozioni, di psicologia più che di tecnologia. E siccome la psicologia umana non cambia e non si aggiorna, certe trappole funzionano sempre e continueranno a funzionare.

La differenza è che adesso le trappole psicologiche vengono usate dal crimine organizzato, mentre vent’anni fa Onel de Guzman era semplicemente uno smanettone che voleva usare Internet a scrocco. E la sua esca psicologica era altrettanto semplice: il bisogno universale umano di sentirsi amati da qualcuno. 

---

Informazioni su FluBot e istruzioni per riconoscerlo e rimuoverlo

Guida dell’operatore telefonico svizzero Salt (in italiano).

Descrizione tecnica dettagliata di FluBot (Switch.ch, in inglese).

Articolo di Le Temps.ch (in francese).

Avvertenza del Centro Nazionale per la Cibersicurezza svizzero (in italiano, giugno 2021).

Fonti aggiuntive: CNN, Sophos, AP Archive, Graham Cluley.

Il podcast del Disinformatico della Rete Tre della Radiotelevisione Svizzera ha un paio di novità: da oggi esce in leggero anticipo rispetto al passato, alle 9 del mattino del venerdì, e prossimamente (dal 5 novembre) sarà regolarmente in versione Story, ossia dedicata a un singolo argomento approfondito, come già fatto sperimentalmente quest’estate con ottimi risultati di ascolto. Se avete un argomento da proporre o una storia informatica che vorreste sentirmi raccontare, i commenti sono a vostra disposizione.

La puntata di oggi, condotta da me insieme ad Alessio Arigoni, copre i seguenti argomenti, con i link ai rispettivi articoli di approfondimento:

• Come uscire dai social network e salvare i propri dati
• Il sito che sa che cosa hai scaricato
• Sondaggio Bitdefender: un utente su due usa la stessa password ovunque
• Il personal computer antibatterico?

Il podcast di oggi, insieme a quelli delle puntate precedenti, è a vostra disposizione presso www.rsi.ch/ildisinformatico (link diretto) ed è ascoltabile anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto!

L’annuncio del completamento di un’intera gamma di computer fissi, monitor laptop, tablet e ibridi laptop/tablet dotati di un trattamento antimicrobico a base di ioni d’argento è ovviamente molto accattivante in epoca di mascherine, gel disinfettante e pandemia, e Acer cita documentazioni e riferimenti ISO molto seri, ma The Register ha notato la precisazione in caratteri minuscoli in fondo alla pagina descrittiva della gamma antimicrobica Acer:

Bitdefender ha effettuato un sondaggio sulle pratiche di base di sicurezza informatica in 11 paesi, e i risultati sono piuttosto deludenti: c’è ancora tanta strada da fare. Per esempio, il 50% degli intervistati ha ammesso disinvoltamente di usare la stessa password per tutti gli account. Un altro 32% ha detto di usare solo poche password, che adopera più volte su vari account.

Il sondaggio (PDF scaricabile, in inglese; comunicato stampa riassuntivo in italiano) si basa su un campione di 10.124 intervistati in Australia, Stati Uniti, Regno Unito, Francia, Germania, Italia, Spagna, Paesi Bassi, Romania, Svezia e Danimarca, di età fra 18 e 65 anni.

Sempre a proposito di password, più di una persona su quattro usa password banali (tipo 1234) come PIN di blocco del cellulare, e più di una persona su dieci non usa nessun PIN. Gli uomini tendono a usare password semplici più delle donne (31% contro 23%). Poi chiediamoci come mai i furti di account sono così frequenti.

Per quanto riguarda gli antivirus, più di uno su tre (35%) non ne usa sul proprio smartphone e il 30% ritiene che i telefonini non ne abbiano bisogno. Eppure il 66% dice di aver avuto almeno una minaccia informatica su quello stesso cellulare negli ultimi 12 mesi.

Il sondaggio copre anche l’uso degli smartphone e degli altri dispositivi digitali connessi da parte dei bambini (36% è senza supervisione) e molti altri aspetti della vita digitale.

Nel comunicato stampa sono disponibili anche i dati riferiti all’Italia. Qualche esempio: le piattaforme maggiormente utilizzate sono WhatsApp e Facebook (nessuna sorpresa); fra i 18 e 24 anni spadroneggiano Instagram e TikTok, nella fascia 25-34 si usano maggiormente Instagram e Netflix, e dai 45 ai 65 anni prevalgono Gmail e Facebook. Gli smartphone più diffusi sono gli Android. Un quarto degli utenti non usa un antivirus sul proprio dispositivo mobile; un quinto abbondante (23%) usa una password semplice per gli account online mentre il 22% usa una password semplice o non ha affatto una password.

C’è un sito, I Know What You Download (letteralmente “so cosa scarichi”), che dice di essere in grado di rivelare che cosa è stato scaricato tramite Bittorrent da chi lo visita.

La cosa è piuttosto inquietante, ma i suoi risultati basati sugli indirizzi IP non vanno presi per oro colato: infatti se da un lato è vero che uno scaricamento fatto con il protocollo Bittorrent è facilmente monitorabile e quindi non va considerato privato, va ricordato che gli indirizzi IP vengono assegnati agli utenti quasi sempre in modo temporaneo, per cui l’indirizzo IP che avete adesso può essere stato assegnato a qualcun altro ieri e I Know What You Download vi potrebbe mostrare cosa ha scaricato quel qualcun altro anziché voi.

La schermata qui sopra, per esempio, è tratta da un mio computer e mi dice che io avrei scaricato The Matrix Reloaded e The Matrix Revolutions il 4 ottobre scorso. Decisamente non l’ho fatto, visto che uso rarissimamente il protocollo Torrent e quei due film li ho già.

Il sito offre un altro servizio interessante: la creazione di un link breve che permette di scoprire cosa ha scaricato qualcun altro (perlomeno secondo quanto risulta al sito). Per provarlo, scegliete un sito innocuo (un post sui social network, una pagina di Wikipedia) e immettete il suo link nella sezione apposita di I Know What You Download:otterrete in risposta un link breve da mandare all’utente che volete sorvegliare. Il link è del tipo https://ikwyd.com/r/4Do1.  

Quando l’utente-bersaglio cliccherà sul link che gli avete inviato, vedrà il sito innocuo che gli avete scelto, ma IKWYD saprà qual è il suo indirizzo IP ed elencherà a voi eventuali scaricamenti Torrent effettuati da quell’indirizzo IP. Anche qui i risultati vanno letti con un pizzico di cautela.

Ultimo aggiornamento: 2021/10/18 17:30.

Si parla molto, ultimamente, di lasciare i social network: troppo ficcanaso e troppo tossici nel loro favorire l’odio, la lite e l’aggressività. Se per caso state meditando di chiudere un account social ma non volete perdere tutte le foto e i contatti che vi avete accumulato, Intego ha pubblicato un articolo molto dettagliato che spiega come fare per Facebook, Instagram, Twitter, YouTube, WhatsApp, TikTok e molti altri. Questa è una sua sintesi con i link essenziali.

Facebook. Si può disattivare temporaneamente l’account oppure eliminarlo definitivamente e si può scaricare una copia di tutti i propri dati. Per riattivare un account disattivato basta rientrare nell’account. Se si elimina un account, ci sono 30 giorni di tempo per ripristinarlo.

YouTube. YouTube fa parte di Google, per cui l’account YouTube è legato all’account Google. Per eliminare il proprio account YouTube occorre quindi eliminare il proprio account Google, ma attenzione, perché eliminare un account Google significa perdere anche Gmail, Google Drive e molti altri servizi. Però si può eliminare un canale YouTube lasciando intatto tutto il resto. Non c’è modo di fare una disattivazione temporanea; si può scaricare una copia dei propri dati andando a takeout.google.com.

WhatsApp. Si può eliminare l’account ma non è prevista la disattivazione temporanea. I dati possono essere scaricati tramite un backup.

Instagram. Qui è permessa la disattivazione temporanea e si può scaricare una copia dei propri dati prima di eliminare l’account (cosa che non si può fare nei menu dell’app). 

TikTok. La disattivazione temporanea non è prevista; si può eliminare l’account scegliendo la gestione account dal menu che compare cliccando sulle tre barrette orizzontali in alto a destra. Per scaricare i propri dati può essere necessario aspettare fino a 30 giorni.

SnapChat. Eliminare definitivamente un account SnapChat è facile; per disattivarlo temporaneamente (per 30 giorni) basta chiederne l’eliminazione e poi rientrare nell’account prima che siano trascorsi 30 giorni. Non sembra esserci un modo per scaricare i propri dati.

Twitter. Si può chiedere la disattivazione per un periodo di 30 giorni; se non si accede all’account per tutto questo periodo, l’account viene eliminato. Si può scaricare una copia dei propri dati.

LinkedIn. Scaricare una copia dei dati è semplice; disattivare temporaneamente non è previsto, ma si può eliminare il proprio account, con 14 giorni di tempo per eventuali ripensamenti. 

Tumblr. È possibile scaricare una copia dei propri dati seguendo queste istruzioni; l’eliminazione di un account è spiegata qui ed è definitiva (nessun periodo di ripensamento) ed eseguibile solo tramite browser (non dall’app).

È disponibile il podcast di oggi de Il Disinformatico della Rete Tre della Radiotelevisione Svizzera, condotto da me insieme ad Alessio Arigoni. Questi sono gli argomenti trattati, con i link ai rispettivi articoli di approfondimento:

• Facebook, Instagram, WhatsApp bloccati in tutto il mondo per sei ore
• Twitch messo a nudo, diffusi tutti i dati interni, compresi i pagamenti agli streamer
• Le parole di Internet: Metaverso
• Arrivano le infradito Bluetooth, costano 8000 dollari. Servono per barare

Il podcast di oggi, insieme a quelli delle puntate precedenti, è a vostra disposizione presso www.rsi.ch/ildisinformatico (link diretto) ed è ascoltabile anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto!

Lo riferisce infatti la polizia dello stato indiano del Rajasthan, dando la notizia dell’arresto di cinque persone che sono state colte con dei piccolissimi ricevitori Bluetooth nelle orecchie mentre indossavano infradito nella cui suola era dissimulato un cellulare parzialmente smontato ma funzionante.

Questa bizzarra scelta di calzature non era dettata da una moda locale, ma dall’intento di barare a un importante esame di selezione per poter diventare insegnanti governativi: un lavoro ambitissimo che fornisce sicurezza d’impiego e vari benefici.

Per questo esame si sono presentati 1,6 milioni di candidati, sparsi su 4000 centri. I posti di insegnante disponibili sono 31.000 e quindi la competizione fra candidati è fortissima e non esclude colpi bassi come l’uso di impostori, l’acquisto delle soluzioni trafugate e la corruzione dei funzionari incaricati di sorvegliare la regolarità della selezione.

Le misure per evitare frodi sono eccezionali. Decine di migliaia di poliziotti sorvegliano le sedi d’esame, e 10 dei 33 distretti dello stato hanno sospeso l’accesso cellulare a Internet e persino gli SMS per l’intera giornata della prova.

Le persone sono state arrestate mentre tentavano di entrare in una sede d’esame indossando questi apparati elettronici: gli agenti si sono accorti dei loro movimenti sospetti e hanno notato la SIM che sporgeva lateralmente da una delle suole.

L’auricolare, in un caso, era talmente piccolo e inserito così profondamente nell’orecchio che la sua rimozione ha richiesto l’intervento di un medico. Da fuori era assolutamente invisibile, ma avrebbe consentito a un complice esterno di dare istruzioni ai candidati. Non è chiaro se il telefono dissimulato nella sottile suola degli infradito includesse anche un microfono per ascoltare.

La polizia del Rajasthan dice che questi sandali infradito vengono progettati da una banda che li commissiona a terzi a circa 400 dollari e poi li rivende ai candidati per circa 8000 dollari.

Per evitare il ripetersi di questa tecnica, la polizia dice che d’ora in poi saranno vietati tutti i tipi di calzatura e anche i calzini. Se i truffatori insisteranno a trovare nuovi anfratti del vestiario in cui nascondere questi dispositivi, sarà forse necessario presentarsi nudi?

La parola Metaverso, o Metaverse nell’originale inglese, con la M maiuscola, indica un insieme di luoghi virtuali digitali nei quali le persone possono interagire come se fossero fisicamente presenti in quel luogo con il proprio corpo.

Immaginate un videogioco che sta tutto intorno a voi invece di essere confinato nello schermo di un telefonino o di una console di gioco, ed è tridimensionale e interattivo. Voi vi muovete e gli altri utenti vedono il vostro movimento, rappresentato da un avatar. Il Metaverso è insomma una sorta di realtà virtuale e come tale richiede un visore apposito.

Il termine fu coniato nel 1992 dall’autore di fantascienza Neal Stephenson per il libro Snow Crash. Nel libro, il Metaverso è una sorta di successore di Internet. Qualcosa di simile si è visto in Ready Player One.

L’idea non è nuova, e il lockdown l’ha resa più interessante come modo alternativo, a volte unico, per socializzare e partecipare a grandi eventi in sicurezza. Epic Games ha già tenuto concerti in Fortnite e Roblox ha già fatto altrettanto, per esempio radunando in tutto 33 milioni di presenze per il concerto virtuale del rapper Lil Nas X.

Finché le immagini restano su uno schermo piatto, il Metaverso sembra semplicemente una riedizione di Second Life (ve lo ricordate? era il 2003) ma con una grafica più ricca. Ma quando si indossa il visore per realtà virtuale tutto diventa molto differente e l’esperienza è fortemente immersiva. O almeno questa è l’intenzione.

Il concetto di Metaverso è tornato alla ribalta in una serie di post, discorsi e interviste di Mark Zuckerberg, che l’ha descritto come “una Internet corporea, dove invece di limitarti a vedere dei contenuti, sei nei contenuti”. Zuckerberg dice che vuole che Facebook si trasformi da una rete di social network in una “società del metaverso”, nel giro dei prossimi cinque anni e secondo lui andremo a lavorare in “uffici infiniti” personalizzabili e potremo incontrare i nostri colleghi e amici nella stessa stanza virtuale e chiacchierare come se fossimo fisicamente vicini, vedendo le espressioni e la gestualità dei nostri interlocutori. Ne ha parlato anche Swisscom, pochi giorni fa, nel keynote di Stefano Santinelli (delegato del CEO per la Svizzera italiana) agli Swisscom Business Days di Lugano. Il Metaverso è business.

Non è un caso che Facebook abbia speso due miliardi di dollari per acquistare Oculus, società specializzata in visori per realtà virtuale, e stia lentamente facendo confluire Facebook e Oculus. Da qualche tempo per poter creare un account Oculus bisogna avere un profilo Facebook.

Le ragioni dell’interesse di Facebook e di molti investitori per il Metaverso sono molto pratiche: permette di raccogliere ancora più dati personali. Oggi viene schedato e analizzato minuziosamente il modo in cui clicchiamo e cosa decidiamo di condividere, ma nel Metaverso vengono analizzati anche i movimenti del corpo, le direzioni dello sguardo, le reazioni ai vari stimoli: una miniera d’oro per chi fa soldi vendendo i nostri dati.

Avranno ragione? Andremo davvero a lavorare e a trovare gli amici indossando scomodi visori e gesticoleremo comicamente agli occhi di qualunque osservatore esterno oppure il Metaverso sarà un flop come lo fu Second Life dopo la febbre iniziale? Forse sì, se la qualità delle immagini migliora e soprattutto i visori diventano più leggeri. E se accetteremo di essere ancora più sorvegliati di oggi, persino nei gesti.

Fonte aggiuntiva: The Verge.

Twitch.tv, il popolarissimo sito di streaming video in diretta di proprietà di Amazon, è stato messo a nudo dalla diffusione dei suoi dati e documenti, causata da un suo errore di configurazione che li ha resi accessibili dall’esterno e non da un attacco informatico. Dopo il disastro di Facebook, sembra che gli errori di configurazione catastrofici siano la moda del momento.

I dati in questione sono stati scaricati e ripubblicati su 4chan da ignoti come grande file Torrent di quasi 130 GB e secondo le prime analisi conterrebbe almeno parte del software di gestione di Twitch, alcuni progetti non annunciati e una cartella dedicata ai pagamenti fatti a migliaia dei più importanti streamer negli ultimi due anni, da agosto-settembre 2019 fino a ottobre di quest’anno. I dati in questa cartella sono quindi recentissimi e documentano che in molti casi gli incassi degli streamer ammontano a milioni di dollari per ciascuno. La BBC ha ricevuto conferme da alcuni di loro, per cui i dati sono almeno parzialmente autentici.

Sizeof.cat ha pubblicato un’analisi che elenca alcuni di questi incassi. Attenzione a visitare gli account Twitch citati, perché alcuni potrebbero essere inadatti ad ambienti di lavoro o altrimenti sensibili.

Amouranth: $92.949 on September 2021
Pokimane: $38.217 on September 2021
moonmoon: $83.685 on September 2021
pestily: $105.107 on September 2021
shroud: $96.359 on September 2021
moistcr1tikal: $117.959 on September 2021

La top ten degli incassi lordi in dollari:

CriticalRole 9626712.16
xQcOW 8454427.17
summit1g 5847541.17
Tfue 5295582.44
NICKMERCS 5096642.12
ludwig 3290777.55
TimTheTatman 3290133.32
Altoar 3053839.94
auronplay 3053341.54
LIRIK 2984653.7

Niente male, per persone che in molti casi stanno semplicemente trasmettendo in streaming le loro sessioni di videogioco.

La fuga di dati è particolarmente imbarazzante e dannosa perché Twitch ha sempre tenuto gelosamente segreti i guadagni dei suoi streamer. Oltretutto il file Torrent è denominato part one, cosa che fa supporre che ci sia altro materiale che verrà pubblicato prossimamente. 

C’è poi anche il codice sorgente del sito, dei client per dispositivi mobili, desktop e console di gioco, e c’è una cartella infosec dedicata alle misure di sicurezza: dati che potrebbero facilitare intrusioni.

Per gli utenti di Twitch si pone subito un problema di sicurezza: Twitch ha annunciato di aver resettato tutte le stream key, ossia i codici univoci usati dal software di streaming per trasmettere video sugli specifici account della piattaforma. Quelle nuove sono disponibili presso https://dashboard.twitch.tv/settings/stream. 

Anche se per ora non ci sono indicazioni che i file pubblicati contengano password, è prudente cambiare la propria password su Twitch, magari cogliendo l’occasione per sceglierne una difficile e soprattutto differente da quelle usate altrove e per attivare l’antifurto, ossia l’autenticazione a due fattori.

Twitch ha inoltre dichiarato di non custodire i dati integrali delle carte di credito degli utenti, per cui non ci dovrebbe essere il rischio di violazione di queste carte.

Mentre scrivo la prima stesura di queste righe Facebook e le sue proprietà (WhatsApp, Instagram e Oculus) sono completamente inaccessibili da alcune ore in tutto il pianeta. Facebook ha confermato laconicamente il problema con un post su Twitter.

Anche la pagina ufficiale di stato di Facebook, status.fb.com, è inaccessibile.

Questa è una mia prima sintesi della situazione. La aggiornerò man mano che ci saranno novità.

---

Ultimo aggiornamento: 2021/10/07 20:30.

A quanto risulta dalle prime analisi e indiscrezioni, tutto è iniziato intorno alle 15.40 UTC (le 17.40 italiane) in seguito a un errore commesso durante un cambiamento di configurazione interno a Facebook. 

Questo errore comporta che tutta Internet non sa più dove trovare Facebook, perché qualcuno di Facebook ha cancellato la mappa che dice dove si trova Facebook e che strada fare per raggiungerlo.

In termini leggermente tecnici: l’errore di configurazione ha reso inaccessibili da remoto i BGP peering router di Facebook, i computer dell’azienda che gestiscono il BGP (Border Gateway Protocol), che è il protocollo di Internet che determina l’instradamento (routing) dei dati da trasmettere, come spiegato qui e qui.

Between 15:50 UTC and 15:52 UTC Facebook and related properties disappeared from the Internet in a flurry of BGP updates. This is what it looked like to @Cloudflare. pic.twitter.com/PFw5FR2W5j

— John Graham-Cumming (@jgrahamc) October 4, 2021

ThousandEyes tests can confirm that at 15:40 UTC on October 4, the Facebook application became unreachable due to DNS failure. Facebook’s authoritative DNS nameservers became unreachable at that time. The issue is still ongoing as of 17:02 UTC. pic.twitter.com/zNmZWTxEUo

— ThousandEyes (@thousandeyes) October 4, 2021

L’errore ha causato l’eliminazione improvvisa dei route (percorsi) BGP che consentivano di accedere ai server DNS di Facebook, per cui il DNS di Facebook non va più (lo sappiamo da tweet come questo).

Il problema è che correggere questo errore richiede che si acceda fisicamente a questi peering router, visto che non sono più raggiungibili da remoto, ma chi può farlo non è necessariamente dotato delle autorizzazioni e dell’autenticazione che sono necessari. BNO News alle 22.15 ha tweetato, citando il NYT, che Facebook ha inviato una squadra a uno dei suoi data center a Santa Clara, in California, per resettare manualmente i server.

Non solo: questo errore implica che non funziona più nessuno dei servizi interni di Facebook (mail, strumenti di gestione, sistemi di sicurezza, agende, la messaggistica interna Workplace, eccetera), visto che sono tutti sul dominio Facebook.com, che è totalmente irraggiungibile, per cui neppure i dipendenti dell’azienda possono usarli per comunicare tra loro, come nota il New York Times.

E non è finita: se, come sembra (anche da qui), le serrature delle porte degli uffici di Facebook sono “smart” (basate sull’IoT), dipendono dalla connessione a Internet e dall’accesso ai server di Facebook. Che sono inaccessibili, per cui molti dipendenti non riescono a entrare perché i loro badge di accesso non funzionano. Il New York Times conferma.

Non ci sono indicazioni di eventuali attacchi esterni: tutto indica un errore interno di dimensioni catastrofiche. 

NOTA: L’annuncio della diffusione dei dati di circa un miliardo e mezzo di utenti Facebook non è correlato a questo incidente. I dati non includono password.

Questo errore sta avendo conseguenze a catena sul resto di Internet, e arrivano segnalazioni di rallentamenti anche per Disney+, Netflix e Twitter (che finora ha retto):

#GoogleDNS 8.8.8.8 becomes much slower because of #Facebookdown and all the client retries. pic.twitter.com/4aTyFAykMq

— awlnx (@awlnx) October 4, 2021

Finché Facebook è fuori uso, è possibile che non funzionino neanche gli accessi alle app o ai siti che usano l’opzione "Login tramite Facebook" (per esempio Pokémon Go). 

In pratica, un miliardo di smartphone e di altri dispositivi sta cercando disperatamente di trovare Facebook e questi tentativi inutili generano traffico DNS che rallenta tutti gli altri accessi.

Agli utenti di Facebook, Instagram, WhatsApp e Oculus non resta che aspettare che la situazione venga ripristinata ed eventualmente installare app analoghe come Signal o Telegram. Aggiungo un paio di suggerimenti:

• Disattivate le notifiche di Facebook, WhatsApp e Instagram, altrimenti quando torneranno a funzionare verrete sommersi da un fiume di notifiche rimaste in coda (grazie ad @alessLongo per la dritta). 
• NON FIDATEVI di eventuali messaggi o mail che invitano a cliccare da qualche parte per riattivare i vostri account. I truffatori approfitteranno sicuramente del panico causato da questo collasso e invieranno messaggi-esca che porteranno a siti-trappola che somigliano alle schermate di login dei social di Zuckerberg ma sono in realtà delle copie che rubano le password.
  

Maggiori informazioni ed analisi sono presso Ars Technica, The Register, Brian Krebs (anche qui in maggiore dettaglio), SANS.

---

2021/10/04 23:30. Status.fb.com è tornato online:

---

2021/10/04 23:50. Alcuni lettori mi segnalano che WhatsApp e Instagram stanno riprendendo a funzionare, dopo circa sei ore di paralisi. Non è un record: un altro blackout di Facebook, WhatsApp e Instagram a marzo 2019 durò oltre quattordici ore.

---

2021/10/05 13:10. Facebook ha pubblicato delle scuse e una spiegazione dettagliata dell’incidente. Da questa pubblicazione cito:

The underlying cause of this outage also impacted many of the internal tools and systems we use in our day-to-day operations, complicating our attempts to quickly diagnose and resolve the problem.

Our engineering teams have learned that configuration changes on the backbone routers that coordinate network traffic between our data centers caused issues that interrupted this communication. This disruption to network traffic had a cascading effect on the way our data centers communicate, bringing our services to a halt.

Our services are now back online and we’re actively working to fully return them to regular operations. We want to make clear at this time we believe the root cause of this outage was a faulty configuration change. We also have no evidence that user data was compromised as a result of this downtime.

In altre parole; è confermato che anche i sistemi interni di Facebook sono stati colpiti, che si è trattato di un errore di configurazione  (non di un attacco esterno) e che non risulta che ci siano state violazioni dei dati degli utenti.

---

2021/10/05 20:55. Facebook ha pubblicato un’ulteriore spiegazione dell’accaduto. Cito la parte interessante ed evidenzio i punti salienti:

This outage was triggered by the system that manages our global backbone network capacity. The backbone is the network Facebook has built to connect all our computing facilities together, which consists of tens of thousands of miles of fiber-optic cables crossing the globe and linking all our data centers.

Those data centers come in different forms. Some are massive buildings that house millions of machines that store data and run the heavy computational loads that keep our platforms running, and others are smaller facilities that connect our backbone network to the broader internet and the people using our platforms. 

When you open one of our apps and load up your feed or messages, the app’s request for data travels from your device to the nearest facility, which then communicates directly over our backbone network to a larger data center. That’s where the information needed by your app gets retrieved and processed, and sent back over the network to your phone.

The data traffic between all these computing facilities is managed by routers, which figure out where to send all the incoming and outgoing data. And in the extensive day-to-day work of maintaining this infrastructure, our engineers often need to take part of the backbone offline for maintenance — perhaps repairing a fiber line, adding more capacity, or updating the software on the router itself.

This was the source of yesterday’s outage. During one of these routine maintenance jobs, a command was issued with the intention to assess the availability of global backbone capacity, which unintentionally took down all the connections in our backbone network, effectively disconnecting Facebook data centers globally. Our systems are designed to audit commands like these to prevent mistakes like this, but a bug in that audit tool didn’t properly stop the command. 

This change caused a complete disconnection of our server connections between our data centers and the internet. And that total loss of connection caused a second issue that made things worse.  

One of the jobs performed by our smaller facilities is to respond to DNS queries. DNS is the address book of the internet, enabling the simple web names we type into browsers to be translated into specific server IP addresses. Those translation queries are answered by our authoritative name servers that occupy well known IP addresses themselves, which in turn are advertised to the rest of the internet via another protocol called the border gateway protocol (BGP). 

To ensure reliable operation, our DNS servers disable those BGP advertisements if they themselves can not speak to our data centers, since this is an indication of an unhealthy network connection. In the recent outage the entire backbone was removed from operation,  making these locations declare themselves unhealthy and withdraw those BGP advertisements. The end result was that our DNS servers became unreachable even though they were still operational. This made it impossible for the rest of the internet to find our servers. 

All of this happened very fast. And as our engineers worked to figure out what was happening and why, they faced two large obstacles: first, it was not possible to access our data centers through our normal means because their networks were down, and second, the total loss of DNS broke many of the internal tools we’d normally use to investigate and resolve outages like this. 

Our primary and out-of-band network access was down, so we sent engineers onsite to the data centers to have them debug the issue and restart the systems. But this took time, because these facilities are designed with high levels of physical and system security in mind. They’re hard to get into, and once you’re inside, the hardware and routers are designed to be difficult to modify even when you have physical access to them. So it took extra time to activate the secure access protocols needed to get people onsite and able to work on the servers. Only then could we confirm the issue and bring our backbone back online. 

Once our backbone network connectivity was restored across our data center regions, everything came back up with it. But the problem was not over — we knew that flipping our services back on all at once could potentially cause a new round of crashes due to a surge in traffic. Individual data centers were reporting dips in power usage in the range of tens of megawatts, and suddenly reversing such a dip in power consumption could put everything from electrical systems to caches at risk.   

Helpfully, this is an event we’re well prepared for thanks to the “storm” drills we’ve been running for a long time now. In a storm exercise, we simulate a major system failure by taking a service, data center, or entire region offline, stress testing all the infrastructure and software involved. Experience from these drills gave us the confidence and experience to bring things back online and carefully manage the increasing loads. In the end, our services came back up relatively quickly without any further systemwide failures. And while we’ve never previously run a storm that simulated our global backbone being taken offline, we’ll certainly be looking for ways to simulate events like this moving forward. 

---

2021/10/07 23:20. Ho provato a tradurre in italiano umanamente comprensibile lo spiegone di Facebook del suo collasso che ho citato qui sopra. Ditemi come sono andato.

In sintesi e con qualche mio commento: Facebook è un insieme geograficamente sparso in tutto il mondo di data center, grandi e piccoli, che sono interconnessi tramite una vasta rete di cavi di telecomunicazioni, denominato backbone. Quando un utente interagisce con Facebook (e le sue associate Instagram e WhatsApp), la sua app chiede dati. Questa richiesta viene ricevuta dal data center piccolo più vicino, che la manda tramite la rete di Facebook a uno dei data center più grandi, dove viene elaborata e riceve risposta. Questo traffico è gestito da router che decidono dove inviare i dati ricevuti e spediti.

A volte questa rete ha bisogno di manutenzione o modifiche. Il blackout è stato causato da una di queste manutenzioni: è stato dato un comando per valutare la disponibilità di capacità del backbone globale. Questo comando ha involontariamente interrotto tutte le connessioni del backbone, scollegando tutti i data center. I sistemi di Facebook sono progettati per valutare comandi di questo genere per impedire questo tipo di errore, ma un bug nel sistema di valutazione non ha bloccato il comando.

Questa disconnessione ha causato un secondo problema. I data center più piccoli di Facebook rispondono anche alle query del DNS. Il DNS è la rubrica degli indirizzi di Internet: traduce i nomi dei siti che digitiamo nel browser in indirizzi IP. Questa traduzione, nel caso di Facebook, viene fatta dai name server di Facebook, i cui indirizzi vengono comunicati a tutta Internet tramite un protocollo di nome border gateway protocol o BGP.

Ma Facebook è progettata in modo che se i name server dell’azienda non riescono a comunicare con i suoi data center, le informazioni BGP vengono rimosse per sicurezza. Il risultato è che tutta Facebook diventa irreperibile e sparisce completamente da Internet.

Tutto questo è accaduto molto in fretta. I data center erano inaccessibili da remoto (la rete non funzionava) e il crollo del DNS ha bloccato il funzionamento di molti degli strumenti interni usati solitamente per gestire questi problemi. Così è stato necessario inviare fisicamente dei tecnici ai data center per risolvere l’anomalia e riavviarli. Ma questo ha richiesto tempo per via delle sicurezze fisiche elevate di questi data center: è difficile entrarvi (questo accenno sembra confermare le voci di dipendenti chiusi fuori dalle sicurezze) e una volta dentro sono progettati per rendere difficili le modifiche anche quando si ha accesso fisico.

Una volta ripristinato il backbone, si è posto un ulteriore problema: riattivare di colpo tutti i servizi avrebbe rischiato di causare nuovi crash a causa dell’improvviso aumento del traffico. Questo ha delle implicazioni a livello elettrico (non elettronico) molto importanti: i singoli data center segnalavano cali di consumo dell’ordine delle decine di megawatt, e invertire di colpo questi cali avrebbe messo a rischio gli impianti elettrici e molti altri sistemi.

Facebook aveva simulato queste situazioni durante varie esercitazioni e ha saputo riavviare i sistemi senza causare sovraccarichi. Però, nota Facebook, questo scenario non era mai stato simulato. Una pecca grave. 

Credit per l’immagine dello Swiss cheese Model: BenAveling/Wikipedia.