Pubblicazione iniziale: 2022/09/15 9:41. Ultimo aggiornamento: 2022/09/15 11:45.

9:41. Il profilo ufficiale del Ministero della transizione ecologica italiano (https://twitter.com/MiTE_IT/) al momento in cui scrivo ha questo aspetto:

Promuove una truffa basata sulle criptovalute: lo schema è quello classico del “fidati di me che sono famoso, dammi la tua criptovaluta e te la restituisco moltiplicata”. Infatti l’account Twitter rubato ora si fa chiamare Vitalik.eth, come quello autentico di Vitalik Buterin, fondatore della criptovaluta Ethereum, e mostra la sua foto; inoltre il sito reclamizzato nei tweet, ethmerges[.]blogspot.com, dice proprio “To participate you just need to send from 0.5+ ETH to 500+ ETH to the contribution address and we will immediately send you back from 1+ ETH to 1000+ ETH (x2) to the address you sent it from.”

Inutile dire che la criptovaluta data a questi truffatori non verrà mai restituita.

Fate attenzione a truffe come questa, nelle quali il truffatore prende il controllo di un account molto conosciuto e addirittura autenticato con il bollino blu, per poi offrire i propri “servizi” ai numerosi follower dell’account. E fate attenzione anche agli sciacalli, che dicono di essere in grado di aiutarvi a recuperare il maltolto o consigliano qualcuno che lo è: vorranno essere pagati per il tentativo di recupero, che ovviamente fallirà e resterete doppiamente fregati. Uno di questi sciacalli è già comparso nei commenti alla mia segnalazione su Twitter.

L’account del Ministero è così almeno dalle 8.37 italiane di stamattina, ora del primo tweet del truffatore.

---

11.05. Sembra che il controllo dell’account del Ministero sia stato ripreso: alcuni tweet promozionali del truffatore sono stati rimossi e il profilo sta riprendendo il suo aspetto normale.

11.45. Intanto Repubblica (copia permanente), Rainews (copia permanente) e Fatto Quotidiano (copia permanente) scrivono fandonie sulla vicenda spacciandole per notizie, addirittura accusando pubblicamente Buterin di un reato informatico che non ha commesso (e fra l’altro Buterin è russo di origini ma naturalizzato canadese). Il tweet di Angelo Bonelli è archiviato qui. 

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

Nota: nella versione podcast di questo articolo, lo spezzone audio introduttivo è tratto da Breaking bad.

Il mondo delle criptovalute attira molta attenzione con le sue apparenti promesse di guadagni facili, ma anche le perdite sono almeno altrettanto facili. Non c’è solo il problema del controvalore, che varia con andamenti da montagne russe; c’è anche quello dell’affidabilità degli intermediari. Non perché siano disonesti, ma semplicemente perché il loro lavoro si basa interamente sul software e basta un piccolo errore in quel software per causare disastri costosissimi, senza che i clienti abbiano diritto a risarcimenti garantiti dalla legge.

La società di sicurezza informatica Sophos racconta il caso recentissimo di Nomad, un servizio di cosiddetto bridging, ossia di scambio fra criptovalute. Se per esempio avete dei bitcoin e li volete convertire in Ethereum o viceversa, potete usare un servizio di bridging.

Nomad in questo momento è completamente bloccato e si stima che abbia perso circa 200 milioni di dollari, o meglio l’equivalente di questo valore in criptovalute. E ha perso questi soldi in una maniera decisamente imbarazzante, nota nel settore come replay attack.

Immaginate di andare da un cambiavalute con cento euro e chiedere di convertirli in, che so, rupie indonesiane. L’addetto ritira i vostri cento euro, ma non ha subito a disposizione la valuta che avete chiesto e quindi vi rilascia uno scontrino numerato. Quando le rupie arrivano, voi presentate lo scontrino e l’addetto vi consegna le rupie, ritirando lo scontrino.

Ora immaginate di presentare all’addetto una fotocopia dello scontrino chiedendo di nuovo le rupie e che l’addetto, particolarmente smemorato, non si ricordi di voi e di avervele già date e non controlli il numero dello scontrino per vedere se è già stato usato. L’addetto vi dà di nuovo le rupie senza che gli abbiate dato dei soldi equivalenti. E se gli presentate un’altra fotocopia del medesimo scontrino, vi dà altri soldi, e così via all’infinito. O perlomeno finché il cambiavalute esaurisce tutto il denaro che ha in cassa.

Questo è, grosso modo, quello che è successo a Nomad: un aggiornamento del suo software aveva inavvertitamente disattivato la verifica delle transazioni completate, per cui era sufficiente presentarsi al sito con i dati di una transazione già avvenuta e ripeterla per prelevare criptovalute senza averne versate. Non solo: era anche possibile modificare le coordinate del beneficiario mettendoci le proprie.

Non servivano conoscenze sofisticate: era sufficiente trovare una transazione completata correttamente, copiarla, e incollarla cambiando il beneficiario.

La semplicità del raggiro ha scatenato una frenesia di transazioni fasulle che in breve tempo ha prosciugato appunto circa 200 milioni di dollari dalle casse virtuali di Nomad. 200 milioni di dollari che erano stati versati da utenti che si erano fidati del servizio e che adesso hanno pochissime speranze di riavere i propri risparmi.

Nomad ha annunciato di aver comunicato l’accaduto alle forze dell’ordine e di aver incaricato degli esperti per identificare gli utenti che hanno approfittato dell’errore nel software e per recuperare il maltolto. Ha anche messo a disposizione un wallet, ossia un conto, sul quale possono essere restituiti i soldi che sono stati ottenuti indebitamente o, come dice nel suo annuncio, sono stati presi per “custodirli al sicuro”.

Nomad Bridge Funds Recovery Process

Dear white hat hackers and ethical researcher friends who have been safeguarding ETH/ERC-20 tokens,

Please send the funds to the following wallet address on Ethereum: 0x94A84433101A10aEda762968f6995c574D1bF154 pic.twitter.com/UF623JSZ8u

— Nomad (⤭⛓🏛) (@nomadxyz_) August 3, 2022

Ma incidenti spettacolari come questo sottolineano il fatto, spesso trascurato, che moltissimi servizi legati alle criptovalute operano senza nessuna delle garanzie e tutele legali degli istituti finanziari convenzionali e quindi se uno di questi servizi viene depredato da criminali informatici che sfruttano una falla le speranze di riavere il maltolto sono minime. Prima di affidare i vostri soldi a uno di questi servizi, conviene assolutamente verificare quali sono le garanzie offerte dalla legge nel paese in cui operano.

Ma non è finita: Sophos, infatti, mette in guardia contro gli sciacalli delle criptovalute, ossia truffatori che fingono di essere vittime di uno di questi incidenti e raccontano la loro disavventura nei commenti ad articoli dedicati alle valute digitali. Dicono di aver recuperato tutto grazie ai servizi di una certa persona o azienda, ma in realtà si tratta di pubblicità ingannevoli per servizi fraudolenti che fingono di offrire il recupero di criptovalute. Soprattutto se vi chiedono altri soldi per recuperare quelli che avete perso online, ignorateli: rischiate di perdere altro denaro.

Ci sono alcune frasi che riescono a riassumere un concetto complesso perfettamente, concisamente e in maniera memorabile. A volte hanno anche un altro effetto: permettono di valutare le competenze delle persone in base al modo in cui reagiscono quando le sentono per la prima volta, perché la loro brevità e il loro argomento un po’ tecnico le rende criptiche. Bisogna insomma intendersene un po’per capirle.

Ma se le si capisce, creano un guizzo di piacere intellettuale tutto speciale: quello che spesso su Internet si rappresenta graficamente con il celebre meme mind blown (quello dove qualcuno mette le mani ai lati della propria testa e mima lo scoppio della propria mente causato dalla potenza dell’idea che ha appena ricevuto).

 

Una di queste frasi è “Ogni criptovaluta ha un proprio bug bounty incorporato”. Se avete accanto a voi qualcuno che dice di conoscere bene il mondo delle criptovalute, dai bitcoin agli Ether passando per i Dogecoin e gliela sottoponete, guardate attentamente la sua reazione. Se ci pensa su un attimo e poi si lascia andare a un “a-HA!” di profonda e improvvisa comprensione, seguita da un’espressione preoccupata o rassegnata, allora quella persona sa il fatto suo sull’argomento. Se reagisce diversamente, forse è il caso di essere un po’ cauti nel fidarsi delle sue competenze. Purtroppo quello delle criptovalute è un campo nel quale ci sono molti improvvisati che sono vittima del proprio entusiasmo e della speranza di arricchirsi magicamente e in fretta.

La frase, se ve lo state chiedendo, non è opera mia: l’ha coniata, a quanto mi risulta, l’informatico finlandese Mikko Hyyponen.

Every cryptocurrency has a built-in bug bounty. https://t.co/wrja6eLZlD

— @mikko (@mikko) April 18, 2021

Se l’avete capita al volo, e quindi avete provato quel piacere di scoprire un concetto potente espresso con eleganza, complimenti: ma se invece brancolate nel buio, niente paura. Chiarisco subito.

Il termine chiave da conoscere, qui, è bug bounty: è il nome che si dà alla ricompensa, di solito monetaria, che spetta a chi scopre un difetto in un software e lo comunica responsabilmente a chi ha sviluppato quel software. Moltissime aziende informatiche, come Microsoft, Apple o Google, offrono questi bug bounty e ci sono molti informatici che si mantengono grazie a queste ricompense, che possono essere decisamente ragguardevoli. Apple, per esempio, offre centomila dollari a chiunque scopra un modo per ottenere un accesso non autorizzato ai dati di un account iCloud sui server di Apple oppure trovi la maniera di scavalcare la schermata di blocco di un dispositivo della stessa marca. E le ricompense possono arrivare anche a un milione di dollari in alcuni casi molto particolari.

Questi bug bounty esistono e funzionano perché costituiscono un incentivo molto chiaro a ispezionare il software altrui, trovarne gli errori e segnalarli allo sviluppatore del software affinché li corregga, invece di approfittare di questi difetti per commettere qualche crimine informatico. Fanno insomma in modo che convenga essere onesti e responsabili invece di tenere per sé le vulnerabilità scoperte.

Bene. Sappiamo cos’è un bug bounty, sappiamo cos’è una criptovaluta; ma il senso complessivo di quella frase può essere ancora un po’ nebuloso e il momento “a-HA!” non è ancora arrivato. Manca ancora un passo e ci siamo.

Una criptovaluta, semplificando, è una valuta digitale basata sulla crittografia e su un registro digitale condiviso e pubblico delle transazioni (una blockchain): in parole povere, è denaro espresso tramite software e protetto tramite software. Questo vuol dire che se c’è un difetto in quel software e qualcuno lo scopre, chi lo scopre può approfittarne direttamente prelevando quel denaro e saccheggiando i conti altrui. Non c’è bisogno che l’azienda che ha sviluppato il software decida di istituire un sistema di ricompense e di seguire la sua complessa trafila burocratica per riscuotere il premio: la ricompensa è già integrata nella falla. E questo fa crollare completamente il normale incentivo del bug bounty. Allo scopritore di una falla nelle criptovalute conviene non rivelarla e usarla per continuare a depredare i conti altrui.

È per questo motivo che moltissimi operatori del settore delle criptovalute sono stati oggetto di attacchi informatici che hanno portato a saccheggi da centinaia di milioni di dollari: se c’è un singolo difetto in uno dei vari componenti software di una criptovaluta, quel difetto ha effetto su tutti i conti espressi in quella valuta, quei conti sono tutti accessibili online e quindi il furto può essere ripetuto su vastissima scala in pochissimo tempo. 

In altre parole, ogni criptovaluta ha un proprio bug bounty incorporato.

È arrivato il vostro momento “a-HA!”? Ottimo. Allora divertitevi a proporre questa frase ai vostri conoscenti o colleghi presi dalla febbre delle criptovalute: farete bella figura e distinguerete gli intenditori dagli improvvisati.

---

2022/05/06 9:30. Esiste anche il bug bounty inverso: un lettore mi segnala via Twitter il caso di un errore nel software e nelle procedure di JUNO, una comunità basata sulla blockchain, che ha fatto finire circa 36 milioni di dollari in un indirizzo della blockchain che è irraggiungibile per chiunque (persino per i gestori). Per recuperarli sarà necessaria una drastica ristrutturazione dell’intera blockchain. 

Fonte: Avira/Krebs on Security.

Di solito, quando qualcuno mi chiede quale antivirus usare, rispondo che grosso modo uno vale l’altro: l’importante è usarne uno, tenerlo aggiornato e stare alla larga dagli antivirus fasulli che appaiono spesso nelle pubblicità di Internet. È già tanto rispetto a quello che fanno molti utenti, ossia assolutamente niente oppure, peggio ancora, installare qualche antivirus farlocco che dà un falso senso di protezione. Ma forse sarò costretto a cambiare consiglio.

Due noti antivirus, Norton360 e Avira, hanno infatti iniziato qualche mese fa a integrare nelle proprie installazioni un cryptominer, ossia un programma che genera criptovalute. Nel caso specifico, genera la criptovaluta Ethereum.

I soldi digitali così prodotti vengono suddivisi fra l’utente e l’azienda produttrice dell’antivirus. Norton e Avira si prendono il 15%, più una commissione su ogni transazione, e il resto va all’utente. Tutto il meccanismo è descritto in una sezione apposita del sito di Norton e in una analoga del sito di Avira.

Il problema è che generare criptovalute richiede un uso molto intensivo del computer dell’utente, per cui questo guadagno in realtà si paga sotto forma di consumo di energia elettrica e di surriscaldamento e rallentamento del computer. Per chi non usa le criptovalute, poi, non c’è proprio nessun guadagno ma solo una perdita.

Va chiarito che l’installazione del cryptominer non è automatica: avviene solo su computer dotati di scheda grafica piuttosto potente (per esempio una NVIDIA o AMD con almeno 6 GB di memoria) e viene proposta all’utente durante la prima installazione dell’antivirus, secondo la formula chiamata opt-in, ma molti utenti sono abituati a cliccare distrattamente sulle varie richieste che compaiono durante le installazioni e quindi è facile che si ritrovino con un cryptominer installato senza volerlo.

La decisione di Norton e Avira non è stata gradita da molti addetti ai lavori e da parecchi utenti. È vero che Avira è un prodotto gratuito, per cui lasciare che questo antivirus guadagni qualcosina è una sorta di forma di pagamento, ma è spesso un pagamento inconsapevole. Norton360, invece, è un prodotto a pagamento, per cui l’utente finisce in un certo senso per pagarlo due volte.

Se avete installato di recente uno di questi prodotti e notate che il vostro computer è più lento del solito o fa girare più spesso la ventola di raffreddamento, può darsi che abbiate installato il cryptominer senza accorgervene. E qui arriva l’altro problema che sta facendo arrabbiare gli utenti: disinstallare il cryptominer non è affatto facile.

Bisogna infatti trovare un file specifico, di nome Ncrypt.exe, e rimuoverlo. Ma per rimuoverlo bisogna andare nelle impostazioni e disattivare la protezione contro le alterazioni, come descritto in una pagina del sito di Norton che non è certo facile da trovare per un utente medio. Una volta rimosso il file, bisogna poi riattivare la protezione contro le alterazioni dell’antivirus. Tutte cose che portano via tempo. E il tempo è denaro, specialmente se richiede l’intervento di uno specialista: forse è meglio scegliere direttamente un antivirus a pagamento che non comporta tutte queste complicazioni.

Fonti: Slashdot, Digital Trends, Wired, The Register, Punto Informatico, The Register.

È disponibile il podcast di oggi de Il Disinformatico della Rete Tre della Radiotelevisione Svizzera, condotto dal sottoscritto. Come la puntata precedente, questa è l’edizione estiva, nella quale mi metto comodo e racconto una storia sola in ogni puntata ma la racconto in dettaglio.

Il podcast di oggi, insieme a quelli delle puntate precedenti, è a vostra disposizione presso www.rsi.ch/ildisinformatico (link diretto) ed è ascoltabile anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano il testo e i link alle fonti della storia di oggi, sono qui sotto!

----

Questa storia inizia con tre ingredienti: uno smartphone, un cuore solitario e delle criptovalute. Uno di questi ingredienti sta per sparire in circostanze misteriose; due resteranno. Provate a indovinare quali. È importante, perché storie come questa succedono realmente e possono capitare a tutti. 

----

Pochi giorni fa Jameson Lopp, della società di sicurezza informatica statunitense Casa Incorporated, ha raccontato [link attualmente non funzionante] sul sito della società una forma di attacco informatico insolita e originale.

Uno dei clienti della società, che chiamerò Mark per comodità (non è il suo vero nome), è un single che, come tante altre persone, usa app di incontri come Tinder per conoscere altre persone. Di recente ha trovato su Tinder il profilo di un donna che si descriveva in una maniera che ha colpito la sua attenzione. Ma non nella maniera che potreste immaginare. Citava semplicemente due parole nella descrizione della propria professione: crypto trader.

Un crypto trader è una persona che fa compravendita di criptovalute: bitcoin, ma non solo. È un mestiere abbastanza raro e Mark è stato attratto dal fatto che la donna, che chiamerò Sara (anche qui, non è il suo vero nome), lo svolgesse, visto che anche lui è un crypto trader.

Così Mark ha contattato la donna su Tinder, dicendole che anche lui era del mestiere; gli sembrava un buon aggancio di conversazione, un interesse comune di cui discutere.

Dopo una chattata su Internet i due hanno deciso di incontrarsi in una caffetteria. Mark ha notato che la donna che si è presentata all’appuntamento aveva un aspetto leggermente differente da quello che aveva visto nelle sue foto su Tinder, ma non si è fatto troppi problemi: tanta gente ha un aspetto reale parecchio differente da quello che pubblica online.

Durante questo primo incontro faccia a faccia Sara ha detto che i suoi genitori le avevano comperato un bitcoin, che aveva un valore di circa 30.000 dollari, ma non ha parlato di criptovalute per il resto dell’incontro.

Dopo una passeggiata insieme, i due si sono messi d’accordo di andare a casa di Mark a bere qualcosa. Hanno comperato degli alcolici, ma Mark ha notato che Sara era tutto sommato poco interessata a bere: mostrava molto più interesse per la musica. Anche qui, tutto sommato, niente di male.

A un certo punto Mark è andato alla toilette, e da quel momento i suoi ricordi si fanno confusi. Ricorda di aver bevuto ancora un po’ dopo essere stato alla toilette. Sara ha preso in mano lo smartphone di Mark e gli ha chiesto di mostrarle come si sbloccava. Mark sentiva che c’era qualcosa di sbagliato, ma aveva perso ogni inibizione e cautela. L’ultima cosa che ricorda di Sara è che la stava baciando, poi più nulla fino all’indomani mattina, quando Mark si è svegliato nel proprio letto.

Sara non c’era più, e non c’era più neppure il telefonino di Mark. Il portafogli, le carte di credito e i documenti personali dell’uomo erano ancora al loro posto. In casa non erano spariti soldi, computer o altri oggetti di valore.

Mark è andato al proprio computer portatile e ha cominciato a controllare i propri account: ha visto che qualcuno aveva tentato di fare acquisti di criptovalute usando il suo conto corrente bancario e di effettuare prelievi di bitcoin in vari siti di custodia di criptovalute. Chiaramente un aggressore stava cercando di svuotargli gli account dedicati alle criptovalute.

Che cosa gli stava succedendo?

Mark era diventato la vittima di una banda di criminali professionisti, ai quali non interessavano i soldi che aveva in casa o le carte di credito. Interessavano soltanto le password che proteggevano i suoi conti in criptovalute. Quelle password erano custodite nel suo smartphone: quello che mancava all’appello.

La sua strana arrendevolezza e perdita di inibizione davanti alla richiesta di Sara di mostrarle come sbloccare il suo smartphone, e la sua confusione nel ricordare gli eventi, erano probabilmente dovute a una sostanza che Sara gli aveva messo nel bicchiere approfittando della visita di Mark alla toilette. Una sostanza di quelle che appunto notoriamente causano perdita di inibizione e di memoria e vengono purtroppo usate solitamente per compiere aggressioni ai danni delle donne, specialmente nei locali pubblici. Stavolta la vittima era un uomo, e l’obiettivo non era un’aggressione fisica.

Sara era probabilmente il membro della banda che si occupava di sedurre le vittime, di drogarle di nascosto e di farsi dire come sbloccare i loro smartphone. Una volta ottenuto l’accesso al telefonino, il dispositivo viene passato a un altro componente della banda che si occupa di estrarne tutti i dati utili.

I criminali, infatti, si stanno rendendo conto che rubare un telefonino è molto remunerativo: questo dispositivo è ormai diventato la chiave di accesso alla vita intera, non solo digitale, di moltissime persone. Chi ha il vostro telefonino sbloccato può accedere alla vostra casella di mail e intercettare tutte le vostre comunicazioni personali e di lavoro. L’accesso alla mail permette di ricevere i link inviati dai siti degli account dei social network e dei servizi finanziari quando si clicca su “Ho dimenticato la password” e prenderne quindi il controllo cambiandone la password. Ma questo è soltanto l’inizio.

Quello che la maggior parte delle persone non si aspetta è che il loro telefonino possa essere considerato così prezioso dai malviventi da spingerli addirittura a organizzare una seduzione mirata, con tanto di incontro in carne e ossa con un membro della banda, soltanto per rubare quel dispositivo e farsene dare i codici di sblocco. Ma c’è un ottimo movente.

Avere il telefonino sbloccato di una persona, infatti, è ancora meglio che avere accesso alla sua mail: sul telefonino arrivano infatti anche gli SMS di autenticazione di banche e altri account che controllano denaro. Sul telefonino c’è anche l’app di autenticazione, per esempio Google Authenticator, che genera i codici usa e getta di questi account. E quindi avere lo smartphone sbloccato di una vittima significa avere tutto quello che serve per superare anche la cosiddetta autenticazione a due fattori usata dagli utenti più attenti: il primo fattore, infatti, è quello che sai (la password) e il secondo è quello che hai (il telefonino). Ma se una seduttrice ti induce a rivelare quello che sai e si porta via quello che hai, l’autenticazione a due fattori non serve più a nulla.

Infatti Mark aveva preso tutte queste precauzioni tecniche per proteggere gli account di criptovalute che gestiva, ma non aveva considerato il fattore umano. Ha sottovalutato l’investimento di risorse che i suoi aggressori erano disposti a fare.

I malviventi, infatti, si organizzano creando falsi account nei siti di incontri e immettendo in questi account parole chiave che attirano vittime facoltose: per esempio i gestori di criptovalute come Mark. Non sono loro a cercare le vittime: è la vittima che si autoseleziona.

Inoltre fanno leva sulle abitudini culturali: in un incontro fra sconosciuti, infatti, normalmente si pensa che la parte vulnerabile sia la donna. Le donne vengono avvisate del pericolo costituito dai farmaci immessi di nascosto nelle bevande: gli uomini no.

Nel caso di Mark, però, c’è un lieto fine, o quasi. Infatti i malviventi sono riusciti a impossessarsi soltanto di una piccola cifra in bitcoin presente in uno dei suoi account perché lui aveva preso un’ulteriore precauzione: aveva protetto i suoi account di maggior valore con un sistema a chiavi multiple.

In questi sistemi, un account finanziario è protetto da più di un codice o chiave di sicurezza. Le chiavi sono custodite su dispositivi separati e gestite da persone differenti. Per fare un trasferimento di denaro servono almeno due chiavi e quindi almeno due persone che siano d’accordo. Questa è la prassi standard per la gestione dei conti correnti nelle grandi aziende, e rende difficilissima la tecnica della seduzione: i malviventi dovrebbero riuscire a sedurre almeno due dei possessori di chiavi contemporaneamente.

Gli esperti di sicurezza sottolineano che questo tipo di trappola è una variante nuova di una tecnica vecchia, il cosiddetto wrench attack, l’attacco con la chiave inglese, nel quale si minaccia di fare del male alla vittima per indurla a obbedire e consegnare password e dispositivi agli aggressori.

Ora l’obbedienza viene ottenuta usando farmaci. 

L’altra novità è che il boom delle criptovalute ha creato molti nuovi ricchi, che non hanno ancora sviluppato buone abitudini di sicurezza e non si rendono conto che bitcoin e simili sono estremamente facili da perdere o da farsi rubare.

Alla luce di questa evoluzione, i consigli di questi esperti vanno aggiornati.

• Se date appuntamento a una persona sconosciuta che avete contattato su un sito di incontri, fatelo sempre in un luogo pubblico, preferibilmente uno dotato di telecamere le cui registrazioni possano essere consultate dalle autorità se qualcosa va storto.
• Confrontate sempre la foto della persona nel profilo con l’aspetto della persona che incontrate in carne e ossa. Se avete dubbi che sia la stessa persona, è il caso di allarmarsi.
• Non lasciate mai incustoditi cibi o bevande e non accettate cibi o bevande da sconosciuti o persone incontrate da poco.
• Limitate il vostro consumo di alcolici quando siete in un incontro di questo tipo.
• Mettetevi sempre d’accordo con una persona fidata che sappia del vostro appuntamento e agisca se non vi sente entro un certo orario.
• E ovviamente non pubblicizzate a sconosciuti il vostro interesse per le criptovalute.

Avvertenza: leggete questo articolo fino in fondo prima di saltare a conclusioni affrettate.

Avete mai avuto la sensazione che il vostro telefonino vi ascolti e vi proponga pubblicità sulla base di quello che dite? Non è così; si tratta soltanto di pubblicità mirata, generata sulla base di dove siete, vicino a chi siete, che siti visitate, che informazioni cercate e altri dati personali. Ma ora è stata annunciata un’app che estende questo concetto: SayPal. La trovate presso Saypal.app.

SayPal, infatti, vi paga per citare nomi di marche celebri nelle vostre conversazioni. A differenza del tracciamento pubblicitario convenzionale, inoltre, vi avvisa subito di quanto avete incassato con ciascuna menzione della marca, e l’incasso va a voi, non a chissà chi.

Una volta concessi i permessi, SayPal vi ascolta tramite il microfono del telefonino e adopera sofisticate tecniche di intelligenza artificiale ed elaborazione del linguaggio naturale per identificare le parole chiave. 

SayPal include inoltre un wallet Bitcoin, sul quale vengono accreditati automaticamente gli incassi.

Come vi siete sentiti leggendo questa descrizione? Tentati di monetizzare le vostre conversazioni o inorriditi all’idea di essere costantemente ascoltati o i vedere che i vostri amici si convertono a SayPal e cominciano a parlarvi intercalando citazioni di marche famose in cambio di soldi?

È esattamente questo lo scopo di SayPal, che non esiste se non come provocazione da parte di Matt Reed, “tecnologo creativo” presso redpepper e già autore di altre burle digital come il Rickroll per Zoom e lo Zoombot che crea un ”gemello” virtuale da far partecipare alle riunioni online. Se continuiamo ad accettare la sorveglianza commerciale, SayPal rischia di essere un’anticipazione profetica di quello che ci aspetta nel nostro futuro iperpubblicitario.

Ancora una volta, con sentimento: Idiocracy era un avvertimento, non un manuale di cose da fare.

Questo è il vero Trezor.

Secondo quanto riportato dal Washington Post, un proprietario di criptovalute, Phillipe Christodoulou, afferma di aver perso circa 600.000 dollari per colpa di un’app presente nel blindatissimo App Store di Apple.

L’utente ha cercato nello store di Apple un’app per Trezor, un dispositivo speciale che custodisce criptovalute (un wallet hardware). Ha trovato l’app, con tanto di recensioni a cinque stelle, e l’ha scaricata e installata. Poi ha immesso le proprie credenziali nell’app. In meno di un secondo ha perso 17,1 bitcoin, che all’epoca dei fatti valevano circa 600.000 dollari. Anche altri utenti hanno lamentato furti analoghi.

L’app, infatti, era una truffa, creata da criminali informatici che hanno abusato del nome Trezor per rendersi visibili e ingannare gli utenti di questo dispositivo. Trezor, infatti, non ha un’app ufficiale.

Christodoulou, però, non se la prende soltanto con i ladri informatici: incolpa Apple di aver contribuito a ingannarlo dandogli un falso senso di fiducia. Apple, infatti, presenta il suo App Store come un luogo sicuro e affidabile, nel quale ogni app viene controllata prima di essere messa a disposizione degli utenti.

L’utente ha segnalato il caso all’FBI e fa notare che Apple incassa dal 15 al 30% sulle vendite delle app e dice che questa commissione serve a finanziare i controlli. Ma i controlli sono evidentemente meno robusti di quello che viene dichiarato negli slogan. Apple ha rimosso l’app truffaldina, ma è ricomparsa subito nello Store.

I controlli vengono aggirati con una tecnica semplice: il creatore dell’app pubblica nello Store una versione innocua dell’app, che supera le verifiche, e poi la sostituisce con un’altra versione che contiene la trappola. In questo caso, inoltre, i truffatori avevano usato apertamente il nome Trezor e il logo dell’azienda. Apple non se n‘è accorta.

Per evitare questo genere di danno, anche se non siete titolari di grandi cifre in criptovalute, è sempre consigliabile andare sul sito ufficiale del produttore di un dispositivo o di un’app e usare il link allo Store appositamente fornito, invece di cercare alla cieca sullo Store.

 

Fonte aggiuntiva: Cointelegraph.

Ultimo aggiornamento: 2021/04/20 1:35.

Tutti parlano di criptovalute e in particolare di bitcoin, grazie anche al fatto che il controvalore dei bitcoin è salito vertiginosamente. Chi ha comprato bitcoin un anno fa oggi ha ben 12 volte l’investimento iniziale.

Ma questa corsa all’oro digitale ha anche un risvolto ecologico che non va trascurato. Ogni creazione di bitcoin e ogni transazione richiede complicatissimi calcoli matematici, che richiedono enormi potenze di calcolo. A loro volta, queste potenze di calcolo richiedono computer altrettanto potenti, che consumano energia. Tanta energia. E molta di questa energia viene prodotta usando fonti altamente inquinanti.

Non solo: la matematica dei bitcoin è fatta in modo che man mano che aumenta la potenza di calcolo disponibile aumenta anche la difficoltà dei calcoli, per cui aumenta anche il consumo di energia.

Secondo una stima del Cambridge Centre for Alternative Finance, pubblicata presso Cbeci.org, nel 2019 la generazione di bitcoin consumava più energia dell’intera Svizzera: 77 terawattora ogni anno (la Svizzera ne ha consumati circa 57). Oggi, nel 2021, questo consumo stimato di energia è salito a 127,7 TWh/anno, ossia più di Norvegia o Argentina (mentre il consumo svizzero è lievemente diminuito (-0,8%)). Altre stime indicano valori più bassi.

Queste stime hanno ampi margini d’incertezza, ma la tendenza è chiara: i consumi derivanti dall’uso dei bitcoin stanno aumentando. Oggi rappresentano, secondo il CCAF, lo 0,6% dei consumi totali di elettricità del pianeta. A titolo di paragone, tutti i datacenter del mondo consumano 199 TWh/anno.

Se volete un altro paragone, e se non ho perso qualche zero per strada, 127,7 TWh sarebbero sufficienti a far fare oltre 100.000 km a tutte le auto della Svizzera (circa 6 milioni di veicoli) o 16.000 km a tutte le auto d’Italia (circa 39 milioni) se fossero tutte elettriche (stimando 0,2 kWh/km).

Il 65% dell’hashrate (la potenza di calcolo complessiva usata per generare bitcoin e gestirne le transazioni) si trova in Cina.

Inoltre secondo la ricerca del CCAF circa i due terzi dell’energia consumata per gestire i bitcoin provengono da fonti fossili, e questo significa che i bitcoin hanno un impatto ambientale significativo. Investire in bitcoin e presentarsi come sostenitori dell’ecologia, come ha fatto per esempio Tesla a febbraio scorso, sembra essere un controsenso. 

I sostenitori dei bitcoin obiettano che parte dell’energia usata deriva da fonti rinnovabili oppure da centrali che la devono generare anche se non viene utilizzata e non c’è modo di accumularla, per cui formalmente non è tolta ad altri usi. Tuttavia è difficile quantificare con precisione quanta sia questa parte.

---

Ma probabilmente l’obiezione principale all’adozione su vasta scala dei bitcoin (e specificamente dei bitcoin) è il numero di transazioni gestibili da questo sistema: attualmente è meno di sette al secondo ed è tecnicamente difficilissimo aumentarlo. Non si può pensare di usare questa criptovaluta per gestire gli scambi dell’economia mondiale.

 

A titolo di confronto, la rete informatica di un singolo gestore di carta di credito, come Visa, ha una capacità teorica di 65.000 transazioni al secondo.

Altre criptovalute hanno sviluppato metodi che consentono un numero molto superiore di transazioni al secondo e riducono fortemente il consumo di energia, ma al prezzo di una minore sicurezza. Il problema è che oggi è il bitcoin la forma di criptovaluta dominante.

In sintesi: per come stanno le cose ora, i bitcoin non hanno alcuna possibilità di sostituire le monete convenzionali e producono molto inquinamento. Altre criptovalute possono far di meglio, ma resta il dilemma del grande consumo di energia, inevitabile per qualunque criptovaluta basata sul proof of work e in generale per qualunque tecnologia basata sulla blockchain.

Per cui mi sa che liquiderò i miei pochi bitcoin: mi arrendo al fatto che non sono eticamente sostenibili, salvo prove contrarie. 

 

2021/04/20. Ho liquidato il mio wallet e ho convertito in franchi svizzeri, che ora riposano nel mio conto corrente.

Fonti aggiuntive: BBC, BBC.

Con il rapido aumento di valore dei bitcoin, molte persone stanno tirando fuori dai cassetti le chiavette o i dischi rigidi sui quali, anni fa, avevano generato o custodito questa criptovaluta quando era soltanto un esperimento di poco valore. Oggi quei bitcoin possono valere cifre molto ingenti, a patto di riuscire a recuperarli. E qui arrivano le sorprese amare.

La BBC racconta il caso estremo di James Howells, che vive a Newport, in Galles, che aveva comprato 7500 bitcoin nel 2009, quando valevano pochissimo. Howells li aveva archiviati sul disco rigido di un computer portatile, per poi dimenticarsene. Nel 2013 aveva buttato via quel computer e il suo disco rigido, sul quale ci sono quei bitcoin che oggi valgono circa 236 milioni di euro.

Howells dice di essere disposto a donare un quarto di quella somma alla città se riesce a recuperare il disco rigido dalla discarica nella quale si trova il computer, ma la città dice che le leggi vigenti non consentono di effettuare la ricerca.

Il malcapitato sostiene che la ricerca sarebbe meno difficile di quel che si potrebbe pensare, perché verrebbe affidata a professionisti e Howells sa con precisione quando ha buttato via il disco rigido e quindi sa in che zona della discarica si dovrebbe trovare. Inoltre alcuni investitori si sono offerti di coprire le spese in cambio di una percentuale dei bitcoin recuperati.

Mi è arrivata una segnalazione (grazie Lorenza) di un messaggio molto sospetto che sta circolando: una notifica che arriva sugli smartphone e secondo la quale il politico italiano Matteo Salvini sarebbe stato ospite di un programma di una rete televisiva italiana (“la trasmissione di Floris”, presumo si riferisca a “Dimartedì” su La7, condotto da Giovanni Floris) e avrebbe parlato dei miracoli di questa app basata sui Bitcoin.

Sempre secondo la notifica, il conduttore della trasmissione si sarebbe iscritto all’app come dimostrazione in diretta.

Non mi risulta che sia successo nulla del genere: la notifica fa probabilmente parte dei tanti tentativi di speculare sull’interesse per i bitcoin. 

Alcuni di questi tentativi sconfinano nella truffa e nell’abuso, usando appunto nomi di programmi televisivi o di celebrità senza il loro consenso o addirittura inventando finte pagine di giornale che magnificano le opportunità di guadagno dei loro servizi, come questa falsa pagina di Repubblica che parla di Maria de Filippi, il cui ultimo investimento avrebbe “lasciato gli esperti a bocca aperta e spaventato le banche” (copia permanente su Archive.is):

Di questa tendenza parla anche Marco Cavicchioli in questo video, con molti esempi di finte pagine di giornali che sembrano promuovere servizi legati alle criptovalute.

Finte notizie come queste purtroppo approdano anche su testate giornalistiche reali, come ho raccontato il mese scorso, causando ancora più confusione nei lettori, che si fidano di quello che vedono scritto.

La notifica ricevuta dalla lettrice parla specificamente di un’app denominata BitcoinUp, il cui sito fa promesse mirabolanti (“i nostri algoritmi di trading stanno generando risultati folli per i nostri clienti [...] guadagna potenzialmente fino a $ 1500 il primo giorno di negoziazione [...]”), ed è interessante leggere quali sono le conseguenze per chi si iscrive a BitcoinUp, secondo il racconto di Lorenza: ha scaricato d’impulso l’app e vi ha inserito nome, cognome e numero di telefono.

“Da lì sono tempestata di chiamate con prefissi da Romania, Inghilterra, Svizzera, Germania o Austria, li sto bloccando ma mi arrivano sempre chiamate con numeri diversi. Ad una ho risposto e hanno riappeso.”

Ora Lorenza non vuole essere più contattata, ma ormai il suo numero è nelle rubriche di altri partecipanti a BitcoinUp.

Posso solo ripetere per l’ennesima volta le raccomandazioni classiche: non bisogna credere a tutto quello che si legge, anche se sarebbe legittimo aspettarsi dalle testate giornalistiche un minimo di controllo in più, e qualunque offerta che vi sembri troppo bella per essere vera probabilmente non è vera. 

Purtroppo le ristrettezze economiche aumentano il desiderio di trovare vie d’uscita, e il valore crescente dei bitcoin attira speculatori e imbroglioni in cerca di vittime vulnerabili. Siate prudenti, e non date i vostri dati al primo che passa.

Ultimo aggiornamento: 2020/11/24 1:00.

OggiTreviso ha avuto la simpatica idea di ospitare un "pubbliredazionale" (quella sottile forma di prostituzione giornalistica per cui fai finta che una pubblicità sia un articolo) che linka un sito truffa.

Una copia permanente dell'articolo è presso Archive.is/txHUG.

Il sito-truffa in questione (Bitcoin Up) è documentato qui su Bitcoin.com.

Ho provato a telefonare in redazione: nessuna risposta. Ho mandato una mail. Vediamo se serve.

Dal sito di Oggitreviso.it cito: “OggiTreviso | Quotidiano on line iscritto al n. 87/2008 del registro stampa del Tribunale di Treviso del 15/02/2008 | Direttore: Ingrid Feltrin Jefwa”.

Faccio notare le dimensioni lillipuziane dell’unica parola che fa capire, dopo aver letto tutto il pezzo, che non si tratta di un articolo ma di una pubblicità mascherata. Però le fake news e la disinformazione, signora mia, son colpa di Internet e dei gruppi chiusi su Telegram, vero?

2020/11/23 11:50

Questa è la mail che ho inviato ieri alle 12:24 a redazione@oggitreviso.it:

Oggetto: Sito truffa in vostro pubbliredazionale

Buongiorno,

sono un giornalista informatico. Vi segnalo che state pubblicizzando un sito truffaldino in questo vostro pubbliredazionale:

https://www.oggitreviso.it/bitcoin-valore-aggiunto-anche-principianti-delle-criptovalute-242129

Le indicazioni di truffa:

https://news.bitcoin.com/the-tell-tale-signs-of-a-scam-crypto-website/

Vi invito a rimuovere l'articolo per non essere visti come complici di truffa.

Cordiali saluti

Paolo Attivissimo

Stamattina ho ricevuto dalla redazione di OggiTreviso una mail che ringrazia della segnalazione ma parla di denigrazione da parte mia e mi intima di rimuovere “immediatamente” questo mio articolo.

Mi sono rifiutato, non solo per diritto di cronaca, ma soprattutto perché il pubbliredazionale contenente il link al sito truffa e la sua promozione è ancora al suo posto in questo momento (copia permanente delle 10:44 UTC) e quindi persiste il pericolo di portare i lettori a un sito truffaldino, con l’aggravante che i lettori tenderanno a fidarsi di quanto pubblicato da una testata giornalistica.

2020/11/24 1:00

L’articolo risulta ora rimosso. Al suo posto compare un semplice “Pagina 403”.

 

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Uno degli aspetti spesso dimenticati delle criptovalute è che per definizione tutte le transazioni sono pubbliche; ogni spostamento di valuta è visibile a tutti. Non si sa di chi sono i soldi, ma si vede come si muovono. È grazie a questa caratteristica che sappiamo che qualcuno ha tolto 69.369 bitcoin, l’equivalente di circa un miliardo di dollari, da un wallet (un conto in criptovaluta) martedì scorso.

Il wallet in questione, noto come 1HQ3Go3ggs8pFnXuHVHRytPCq5fGG8Hbhx, era seguitissimo e dormiente dal 2015. Era popolare non solo perché era uno dei wallet più ricchi del mondo, ma anche perché conteneva soldi collegati a Silk Road, un noto mercato criminale online il cui fondatore era stato processato appunto nel 2015.

Per qualche giorno si è ipotizzato che qualcuno fosse riuscito finalmente a scoprire la password che proteggeva il wallet e compiere così il più grande furto di criptovalute della storia senza neanche spostarsi dalla tastiera, ma poi l’autore della transazione si è fatto avanti.

È il governo statunitense, specificamente il suo Dipartimento di Giustizia, che in un comunicato ha spiegato che un furto miliardario è effettivamente avvenuto, ma nel 2012 o 2013. Lo ha commesso un informatico che è riuscito a entrare nel sito di Silk Road e trasferire i soldi dei criminali sul proprio wallet. L’informatico ha ora consegnato i soldi al Dipartimento.

Non si sa chi sia questo ladro, che nei documenti legali è citato solo come Individuo X. Né si sa come sia stato individuato, anche se è stato reso noto che c’è di mezzo la società investigativa specializzata Chainalysis. Ma sembra piuttosto chiaro che stare seduti su un miliardo di dollari rubati a una banda criminale era una situazione insostenibile per chi ha commesso questo furto colossale. Come sempre, la parte difficile non è commettere il reato informatico: è gestirne le conseguenze.

Per i curiosi che si stanno chiedendo che aspetto abbia un miliardo di dollari, segnalo questa stima fatta da Groovewallet: in biglietti da cento dollari, sono circa 10 tonnellate.

Normalmente, se qualcuno vi contatta via Internet dicendo che ha un file ZIP protetto da password che contiene le chiavi di accesso di un grossa somma in bitcoin ma sfortunatamente non ricorda più la password e vuole il vostro aiuto per recuperarla, la risposta giusta è chiudere subito la conversazione e scappare via il più rapidamente possibile.

Ma non è andata così a Michael Stay, un esperto di sicurezza informatica che diciannove anni fa ha pubblicato un articolo scientifico nel quale ha spiegato una tecnica per decrittare i file ZIP protetti da password. A ottobre 2019, racconta Wired, ha ricevuto un messaggio tramite LinkedIn da uno sconosciuto russo che gli ha spiegato di aver acquistato circa 10.000 dollari in bitcoin a gennaio 2016, quando questa criptovaluta valeva poco, e di aver salvato i codici di accesso di questi bitcoin in un file ZIP di cui aveva purtroppo dimenticato la password.

Quei bitcoin, a ottobre scorso, valevano ben 300.000 dollari. Se Michael Stay fosse riuscito a trovarne la password, il misterioso interlocutore lo avrebbe compensato lautamente.

L’affare puzzava di losco lontano un miglio, ma Stay non è un dilettante e ha compiuto le opportune verifiche. L’interlocutore aveva ancora il laptop originale sui quale aveva generato il file ZIP e sapeva quale crittografia e quale software erano stati usati (la 2.0 Legacy e Info-ZIP). Questo indicava che era quasi sicuramente il legittimo proprietario del file. Inoltre il committente aveva preso delle precauzioni tecniche affinché Michael Stay non potesse scappare con i soldi una volta decifrato il file: gliene aveva fornito solo una parte (gli header).

Soprattutto, queste premesse tecniche riducevano parecchio il numero di possibili password da tentare per forza bruta, ma si trattava comunque di qualche quintilione. Nel sistema americano, un quintilione è 1 seguito da diciotto zeri: 1.000.000.000.000.000.000. Un miliardo di miliardi. Grosso modo lo stesso numero di granelli di sabbia di tutti i deserti del mondo messi insieme.

Stay ha fatto due conti e ha visto che un tentativo per forza bruta del genere, impensabile anche solo pochi anni fa, era fattibile con i computer e i processori grafici di oggi, a patto di noleggiare tanta potenza di calcolo e scrivere un programma apposito. Il tutto sarebbe costato circa 100.000 dollari, compreso l’onorario dell’esperto.

Il committente ha accettato il preventivo e così Stay ha scritto un programma di decrittazione nel corso di alcuni mesi, l’ha messo all’opera sui processori a noleggio di un’azienda specializzata... e dopo dieci giorni di tentativi il programma è fallito.

Ma Stay non si è dato per vinto: ha riesaminato il programma e ha trovato un minuscolo errore. Lo ha corretto ed è riuscito a recuperare la password, come spiega nel proprio resoconto scritto e in una conferenza alla DEF CON:


Il committente ha pagato l’onorario, che grazie alle ottimizzazioni è risultato inferiore al preventivo (circa 25.000 dollari in tutto), e si presume che abbia felicemente incassato i propri bitcoin.

Morale della storia: se avete dei dati preziosi in un file protetto da una password che non ricordate, non arrendetevi e non cancellate il file. È sempre possibile che venga trovata una falla nel sistema di protezione o che l’evoluzione frenetica della potenza di calcolo renda fattibile un tentativo per forza bruta che oggi pare impensabile. Meglio ancora: segnatevi le password da qualche parte ed eviterete tanti problemi.

Ultimo aggiornamento: 2020/07/17 06:45.

Poco fa, intorno alle 21:30 italiane del 15 luglio 2020, è stata segnalata una raffica di tweet truffaldini pubblicati da numerosi exchange di criptovalute. Da allora è iniziata quella che vedo ormai definire una twitpocalypse: una violazione di un numero di account, anche di altissimo profilo.

Anche l’account Twitter di Elon Musk e quello di Bill Gates (entrambi verificati) hanno pubblicato lo stesso genere di tweet: un’offerta (falsa) di raddoppiare i bitcoin che vengono mandati alle coordinate indicate nel tweet. Non fatelo: non rivedrete mai più i vostri soldi, perché li avrete inviati ai truffatori.



È un bagno di sangue.

OMG what is happening @sniko_ you seeing this? pic.twitter.com/mhWcHXGmxv

— Oliver Hough (@olihough86) July 15, 2020

ALL MAJOR CRYPTO TWITTER ACCOUNTS HAVE BEEN COMPROMISED.

2FA / strong password was used for @Gemini account. We are investigating and hope to have more information shortly. https://t.co/X3C0uJzc6C

— Cameron Winklevoss (@winklevoss) July 15, 2020

Si sono sfondati gli account Twitter di @elonmusk, @Ripple, @bitfinex e di DECINE di altri #bitcoin exchange.

NON SPEDITE DIGITAL CURRENCY, RIPETO NON SPEDITE DIGITAL CURRENCY a nessun account. pic.twitter.com/3Y2Ulqqm1Z

— Matteo G.P. Flora (@lastknight) July 15, 2020

Anche Uber:





Prime congetture sulla causa:

Solid rumor is that an employee panel got hacked pic.twitter.com/z6GY2apjVf

— Under the Breach (@UnderTheBreach) July 15, 2020

Intanto i truffatori trovano le prime vittime che abboccano: hanno già incassato oltre 22.000 dollari.

22K so far pic.twitter.com/4XYcu7U57Q

— Oliver Hough (@olihough86) July 15, 2020

A quanto pare Cryptoforhealth punto com, sito citato in molti dei tweet truffaldini, è stato creato oggi:

Mass Twitter account hijacking going on right now.

Even @Bitcoin was just jacked too

Archived here https://t.co/9tLmokv7y1

Domain created today (15 July), hosted with CloudFlare pic.twitter.com/Pq1iTFUq7g

— Will | BushidoToken 👁‍🗨 (@BushidoToken) July 15, 2020

Anche Apple:



Intanto l’incasso è arrivato a 58.000 dollari:

58K now pic.twitter.com/PVrP2Aq6HS

— Oliver Hough (@olihough86) July 15, 2020

Violati anche Jeff Bezos e Kanye West:



Ormai gli account violati non si contano più, come potete vedere facendo questa query o (meglio ancora) questa che seleziona solo gli account verificati:

bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh filter:verified



Violato Mike Bloomberg:


Mi arrivano segnalazioni di violazione anche degli account di Warren Buffett e Joe Biden, che però sono tornati subito a posto. Dalle prime informazioni non si tratterebbe di un hackeraggio vero e proprio (furto di password e credenziali) dei singoli account, ma sembra che qualcuno stia abusando del sistema di autorizzazione di Twitter o di un accesso di dipendenti di Twitter.

Barack Obama:



Prime reazioni di Twitter: “We are aware of a security incident impacting accounts on Twitter. We are investigating and taking steps to fix it. We will update everyone shortly.”

We are aware of a security incident impacting accounts on Twitter. We are investigating and taking steps to fix it. We will update everyone shortly.

— Twitter Support (@TwitterSupport) July 15, 2020

Verso mezzanotte Twitter ha iniziato a bloccare qualunque mio tweet (anche di solo testo, anche i DM, anche solo immagini). Poco dopo Twitter ha postato questo: “You may be unable to Tweet or reset your password while we review and address this incident.”

You may be unable to Tweet or reset your password while we review and address this incident.

— Twitter Support (@TwitterSupport) July 15, 2020

2020/07/16 00:30. Gli account verificati sono stati tutti bloccati: niente DM, solo retweet. Gli account non verificati sono liberi di postare.


2020/07/16: 00:55. Mi sto arrangiando scrivendo i tweet su @AttivissimoLIVE e poi retweetandoli dal mio account principale (@disinformatico).


2020/07/16: 01:35. Twitter ha scritto “We’re continuing to limit the ability to Tweet, reset your password, and some other account functionalities while we look into this. Thanks for your patience.”

We’re continuing to limit the ability to Tweet, reset your password, and some other account functionalities while we look into this. Thanks for your patience.

— Twitter Support (@TwitterSupport) July 15, 2020

Nel frattempo viene ricordato un altro brutto caso di insicurezza di Twitter: “A little over ten years ago: Twitter settled with the FTC as a result of an internal tools breach. Their internal tooling was available directly over the web and accessed through an employee account protected by the password "happiness"”

A little over ten years ago: Twitter settled with the FTC as a result of an internal tools breach. Their internal tooling was available directly over the web and accessed through an employee account protected by the password "happiness"https://t.co/rOQgTONhQp

— Ryan McGeehan (@Magoo) July 15, 2020

2020/07/16 09:00. Gli account verificati, compreso il mio, possono di nuovo postare e tutto sembra essere tornato alla normalità. @TwitterSupport ha postato un po’ di informazioni nelle scorse ore: sembra che si sia trattato di un attacco coordinato di social engineering ai danni dei dipendenti di Twitter, ottenendo accesso ai sistemi e agli strumenti dell’azienda.

Most accounts should be able to Tweet again. As we continue working on a fix, this functionality may come and go. We're working to get things back to normal as quickly as possible.
Our investigation is still ongoing but here’s what we know so far:
We detected what we believe to be a coordinated social engineering attack by people who successfully targeted some of our employees with access to internal systems and tools.
We know they used this access to take control of many highly-visible (including verified) accounts and Tweet on their behalf. We’re looking into what other malicious activity they may have conducted or information they may have accessed and will share more here as we have it.
Once we became aware of the incident, we immediately locked down the affected accounts and removed Tweets posted by the attackers
We also limited functionality for a much larger group of accounts, like all verified accounts (even those with no evidence of being compromised), while we continue to fully investigate this.
This was disruptive, but it was an important step to reduce risk. Most functionality has been restored but we may take further actions and will update you if we do.
Internally, we’ve taken significant steps to limit access to internal systems and tools while our investigation is ongoing. More updates to come as our investigation continues.

2020/07/16 21:35. Twitter ha pubblicato un ulteriore aggiornamento informativo:

Here’s an update addressing questions we’ve heard around passwords and account access specifically:
We have no evidence that attackers accessed passwords. Currently, we don’t believe resetting your password is necessary.
Out of an abundance of caution, and as part of our incident response yesterday to protect people’s security, we took the step to lock any accounts that had attempted to change the account’s password during the past 30 days.
As part of the additional security measures we’ve taken, you may not have been able to reset your password. Other than the accounts that are still locked, people should be able to reset their password now.
If your account was locked, this does not necessarily mean we have evidence that the account was compromised or accessed. So far, we believe only a small subset of these locked accounts were compromised, but are still investigating and will inform those who were affected.
We're working to help people regain access to their accounts ASAP if they were proactively locked. This may take additional time since we’re taking extra steps to confirm that we’re granting access to the rightful owner.
We’ve been working around the clock and will continue to provide updates here.

2020/07/17 06:45. Altro aggiornamento da TwitterSupport:

We want to share some more specific updates coming out of the second day of our investigations.
Based on what we know right now, we believe approximately 130 accounts were targeted by the attackers in some way as part of the incident. For a small subset of these accounts, the attackers were able to gain control of the accounts and then send Tweets from those accounts.
We’re working with impacted account owners and will continue to do so over the next several days. We are continuing to assess whether non-public data related to these accounts was compromised, and will provide updates if we determine that occurred.
For all accounts, downloading Your Twitter Data is still disabled while we continue this investigation.
We have also been taking aggressive steps to secure our systems while our investigations are ongoing. We’re still in the process of assessing longer-term steps that we may take and will share more details as soon as we can.
Thank you for your continued patience and understanding while we investigate this incident. We’ll continue to provide updates when we have them.

Intanto l’incasso complessivo degli autori della truffa ammonta all’equivalente di circa 120.000 dollari. Per chi si sta chiedendo come faranno a convertire questa criptovaluta in soldi convenzionali senza farsi identificare, visto che ogni transazione fatta con criptovalute è solitamente pubblica e tracciabile, Engadget ha un articolo che spiega le tecniche di tracciamento e di elusione del tracciamento (tumbling, conversione in altra criptovaluta meno pubblica, come Monero, o gioco d’azzardo).

È vero, come si dice in giro, che la criptovaluta bitcoin consuma tanta elettricità quanto l’intera Svizzera? Sì.

La dichiarazione arriva dallo studio Cambridge Bitcoin Electricity Consumption Index, realizzato dal centro di ricerca Centre for Alternative Finance dell’Università di Cambridge, nel Regno Unito, ed è una stima basata su una serie molto complessa di assunti. Indica che i computer che gestiscono i bitcoin in tutto il mondo attualmente consumano circa 77 terawattora ogni anno.

Nel 2018 la Svizzera ha consumato circa 57 terawattora, per cui è corretto dire che i bitcoin consumano tanta energia elettrica quanto l’intera Svizzera: anzi, si stima che ne consumino di più.

Per capire se è tanto o è poco e se è dannoso e dobbiamo preoccuparcene è necessario fare qualche confronto. Per esempio, i dispositivi elettrici lasciati sempre accesi ma inattivi nelle abitazioni soltanto negli Stati Uniti consumano quasi tre volte di più dei bitcoin a livello mondiale.

Inoltre i bitcoin rappresentano lo 0,36% del consumo totale mondiale di energia elettrica. Se vogliamo ridurre i consumi e quindi inquinare meno, abolire i bitcoin non farà molta differenza. Ci sono molti altri settori nei quali si possono ottenere risultati ben più significativi.

È invece interessante notare che i bitcoin sono molto meno efficienti, come consumo di energia, rispetto agli altri sistemi di pagamento elettronico tradizionali, come le carte di credito. Una singola transazione con bitcoin consuma quanto quattrocentomila transazioni con carta di credito.


Fonti aggiuntive: Naked Security; CCN; NewsBTC; Forbes; The Verge; BBC.


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.