Il mio occhio operato, il giorno dopo l’intervento.

Piccolo aggiornamento sulla mia vicenda di body hacking (sostituzione dei cristallini a entrambi gli occhi): stamattina ho sostituito anche il secondo cristallino.

La procedura è stata notevolmente più rapida e meno dolorosa della precedente; ho fatto mettere una lente per visione ravvicinata (monofocale che mette a fuoco gli oggetti vicini), diversa da quella installata nell’altro occhio (che mette a fuoco gli oggetti lontani), con l’intento di avere una visione nitida a qualunque distanza senza occhiali e con l’opzione di fare una leggera correzione ulteriore per le sessioni di lettura o lavoro al computer.

Per ora l’occhio operato è coperto da una conchiglia e da una benda, che toglierò domani. Sto bene e sono al lavoro, anche se avere il campo visivo parzialmente oscurato mi rallenta un po’; nei prossimi giorni aggiornerò questo post con i risultati.

----

Una lente intraoculare simile alle mie. Fonte: Wikipedia.

La lente nell’occhio appena operato (il destro) è gialla, come quella già installata nell’altro occhio mesi fa, e il mio cervello non ha ancora imparato a correggere la tinta; di conseguenza vedo tutto più scuro e giallognolo con l’occhio destro e per ora sono in preda a un divertente effetto Pulfrich, per cui vedo gli oggetti con un effetto tridimensionale esagerato (anche nelle immagini 2D in leggero movimento).

Anche nell’occhio appena operato, come nel precedente, ho al momento un puntino colorato al centro del campo visivo; è un effetto simile a quello che si prova quando si guarda il sole e poi si sposta lo sguardo. A differenza dell’altro occhio, questo puntino non è stellato. Ho anche dei residui fluttuanti nell’occhio, simili a filamenti (chiamate in gergo “mosche volanti”), che dovrebbero riassorbirsi nei prossimi giorni, ma comunque ci vedo più che a sufficienza da poter lavorare.

Ho provato oggi a guidare e non ho avuto assolutamente problemi; ho notato solo che i fanali delle auto in galleria e le sorgenti luminose puntiformi hanno delle punte di diffrazione (diffraction spike) molto pronunciate a ore 11 e a ore 5, come nell’altro occhio.

L’aspetto esteriore dell’occhio è molto meno pesto rispetto a quello che aveva l’occhio precedentemente operato alla stessa distanza di tempo dall’intervento: sembra che mi sia sfregato troppo l’occhio con le mani, ma niente di più.

Ho un’altra visita di controllo domattina; aggiornerò ulteriormente questo post se ci saranno novità.

----

2023/11/14. Una settimana dopo l’intervento, non noto più alcuna differenza di tinta delle immagini fra i due occhi. Il puntino centrale c’è ancora, e per ora impedisce la lettura delle scritte più piccole, ma sta scomparendo. Le punte di diffrazione sono scomparse. Giro ormai sempre senza occhiali, perché vedo bene sia da vicino, sia da lontano (il cervello seleziona automaticamente l’immagine più nitida).

Uso gli occhiali solo quando devo stare molto tempo a guardare oggetti vicini, per esempio davanti allo schermo del computer. In questo caso indosso un paio di quelli che avevo già per la lettura da vicino, al quale ho rimosso la lente per l’occhio destro (che ha la lente intraoculare tarata per la vista da vicino e quindi non ha bisogno di correzione; l’occhio sinistro sì). Direi che la scelta leggermente insolita di installare due cristallini differenti è andata benissimo.

---

2023/11/18. Mi sono fatto dare i dati tecnici delle due lenti intraoculari: sono delle Hoya Vivinex iSert, modello XY1, asferiche e gialle, da +21.00D (occhio sinistro) e +22.00D (occhio destro), con un diametro ottico di 6 millimetri.

Questo è un video che mostra l’inseritore e la procedura di inserimento di una di queste lenti. Attenzione: nella seconda metà il video include immagini di chirurgia.

Pubblicazione iniziale: 2023/07/20 9:40. Ultimo aggiornamento: 2023/07/20 16:30. L’articolo è stato riscritto estesamente per tenere conto delle nuove informazioni.

Kevin Mitnick, uno degli hacker e social engineer più famosi del mondo, è morto il 16 luglio scorso. Ne ha dato l’annuncio inizialmente stanotte (ora italiana) solo un sito di necrologi, Dignitymemorial.com; poi il New York Times (copia permanente) ha confermato la notizia tramite una portavoce dell’azienda KnowBe4, per la quale Mitnick lavorava come chief hacking officer, e SecurityWeek ha scritto di aver confermato tramite proprie fonti imprecisate. 

Solo qualche ora più tardi è comparso un avviso sul sito di KnowBe4 e sull’account Twitter di Mitnick; la moglie Kimberley ha dato l’annuncio su Twitter poco fa; il sito della Mitnick Security ha attiva tuttora (16:30) la pagina per prenotare una conferenza con lui e la sua pagina LinkedIn non riporta alcuna informazione sul suo decesso. Visto che purtroppo ci sono molti siti e account social che speculano sulle morti annunciate, questa inconsueta penuria iniziale di aggiornamenti e di fonti mi ha imposto cautela nel riportare la notizia nelle prime ore.

Secondo il NYT, Mitnick ci ha lasciato in seguito a complicanze legate a un tumore al pancreas. Se volete ripassare chi era Kevin Mitnick, ho scritto alcuni articoli che raccontano alcuni episodi della sua straordinaria carriera e dedicherò a lui parte del podcast del Disinformatico di domattina.

Ultimo aggiornamento: 2023/11/07. Segue dalla prima parte e dalla seconda parte.

Piccolo aggiornamento sul mio body hacking (intervento di sostituzione del cristallino): va tutto bene e finalmente posso andare al cinema a vedere un film nitidamente (ho scelto Indiana Jones e il Quadrante del Destino). I puntini scuri nel campo visivo sono scomparsi, la guida notturna è tornata a essere un piacere e il bagliore luminoso stellato al centro del campo visivo è diventato quasi impercettibile.

La vista dell’occhio operato è decisamente migliore di quella dell’occhio non ancora operato (per il quale l’intervento è previsto per i primi di settembre). A parte una leggera striatura luminosa a ore 11 e a ore 5 quando guardo oggetti luminosi su fondo scuro (fanali, lampioni, la Luna), la vista è tornata com’era anni fa, prima che io iniziassi a mettere gli occhiali, che ora indosso solo per il lavoro a distanza ravvicinata (per leggere o guardare lo schermo del computer).

Adesso devo decidere cosa fare per il secondo occhio (il destro). La procedura standard consisterebbe nell’installare anche lì un cristallino artificiale dello stesso tipo già installato nel sinistro, ossia una lente che mette a fuoco da circa un metro fino all’infinito (il cristallino artificiale non ha accomodamenti come li ha invece il cristallino naturale), ma mi sto accorgendo che l’occhio non operato vede sfuocato da lontano e a fuoco da vicino (almeno di giorno) e che nonostante io abbia in questo momento due occhi che mettono a fuoco a distanze differenti non ho alcun fastidio o disorientamento: anzi, vedo bene sia gli oggetti lontani, sia quelli vicini. E quindi sto considerando l’idea di installare un cristallino che metta a fuoco da vicino, in modo da avere un occhio per la visione di oggetti lontani e l’altro per quella degli oggetti vicini. In questo modo non dovrei indossare occhiali praticamente mai.

Ho chiesto al medico che mi sta seguendo, e mi ha detto che sì, c’è gente che lo fa; è solo questione di preferenze personali. Ma ovviamente non ci sono garanzie su come il mio cervello elaborerà due immagini con focalizzazioni così dissimili. Per ora se la sta cavando bene, tutto sommato, ma va detto che il cristallino naturale che ho ancora è in grado di regolare la propria messa a fuoco, mentre un cristallino artificiale non potrà farlo. Mal che vada, comunque, metterei gli occhiali per correggere la “miopia” del secondo cristallino. Chissà che effetto farebbe con i visori per realtà virtuale o con gli occhialini per il cinema 3D. Ci devo pensare.

Nel frattempo è scomparso l’effetto Pulfrich (non vedo più in 3D le immagini 2D con movimenti da sinistra a destra) e ho notato una particolarità dell’occhio operato: quando lo muovo di scatto, percepisco una leggera oscillazione dell’immagine, che si stabilizza quasi subito. Anche questo, mi dice il medico, è normale. L’effetto è molto insolito, non fastidioso, e ho provato a documentarlo con un paio di video ripresi usando semplicemente una webcam con una lente d’ingrandimento apposita. Se guardate bene, dovreste intravedere il bordo della lente artificiale (un circolino più piccolo rispetto alla pupilla) e l’oscillazione dell’umor acqueo sotto la cornea (una sorta di “effetto budino di gelatina”).

I video sono stati girati rispettivamente 7 e 22 giorni dopo l’intervento. Anche se vista da fuori l’oscillazione può sembrare impressionante, io in realtà non la noto affatto, salvo in particolari condizioni di luce (per esempio quando ho una luce laterale molto intensa), probabilmente per via della cecità saccadica, ossia la breve interruzione della visione che si ha normalmente ogni volta che si sposta lo sguardo.

2023/08/31. Piccolo aggiornamento all’aggiornamento: il secondo intervento è stato rinviato al 7 novembre su richiesta del chirurgo, per esigenze sue non legate al mio decorso. Non ho potuto scegliere una data più vicina a causa dei miei impegni già presi e non spostabili, come il CicapFest e varie conferenze alle quali non posso presentarmi con un occhio bendato.

2023/11/07. Intervento eseguito: i dettagli sono qui.

13 giugno. Stamattina ho installato il primo cristallino artificiale, quello per l’occhio sinistro (foto qui accanto, fatta da me prima dell’intervento usando la mia webcam e la luce di un telefonino). Scrivo queste righe nel pomeriggio, mentre ho una conchiglia e una benda sull’occhio operato che fa sembrare che io sia un esponente di una dimenticata e trasgressiva banda di pirati che usavano reggiseni taglia zero al posto della tradizionale benda nera. Sì, ci sono foto; no, non le pubblicherò. Il mondo non è ancora pronto.

Se volete sapere com’è andata e come si svolge un intervento moderno di sostituzione del cristallino, qui sotto trovate tutti i dettagli. Come ho già scritto a proposito della prima parte, anche qui vale l’avviso che questo articolo conterrà immagini e/o concetti che potranno creare ansia o disgusto negli animi sensibili e che questo articolo non costituisce informazione medica ma è solo un resoconto da nerd ed è possibile che io abbia interpretato e descritto male le varie fasi dell’intervento.

Se non volete sapere altro, vi dico subito che a) sto bene, a parte una sonnolenza epica alla quale ho ceduto con piacere dormendo quasi tutto il pomeriggio; b) saprò i risultati dell’intervento nei prossimi giorni, visto che devo tenere la benda fino a domani e ci vuole qualche giorno di adattamento; c) sto continuando a lavorare usando l’occhio destro. Vedere il mondo in 2D e con un campo visivo quasi dimezzato è fastidioso ma sopportabile. Non avverto dolori ma solo un leggero fastidio all’occhio operato.

Colgo l’occasione per ringraziarvi tutti per le vostre parole di incoraggiamento e sostegno; fanno molto piacere.

Aggiungo infine un dettaglio da fan dello spazio: l’intervento di sostituzione del cristallino con una lente artificiale intraoculare non squalifica dal volo spaziale. Almeno un astronauta è andato nello spazio per una missione di lunga durata dopo un intervento di cataratta e non ha avuto problemi. Pubblicherò i dettagli in una prossima Storia di Scienza, ma intanto la cosa che conta è che posso ancora sperare di andare nello spazio :-)

----

Quattro giorni fa ho iniziato la preparazione, che è consistita semplicemente nel mettere una goccia di antinfiammatorio (Nevanac) nell’occhio ogni sera. Stamattina (13 giugno) alle otto sono andato al centro oculistico che ho scelto, a Lugano, accompagnato dalla Dama del Maniero, a digiuno, e lì ho fatto gli ultimi esami agli occhi per confermare tutta la situazione. Poi un’infermiera mi ha messo nell’occhio sinistro delle gocce per dilatare l’iride e ho aspettato lungamente (almeno tre quarti d’ora d’orologio) che facessero effetto. Lì ho deciso che per il secondo occhio mi porterò un libro o qualcosa da fare per passare il tempo. La Dama, più saggia di me, è sempre armata del suo libretto di sudoku ultra-difficili.

Finalmente l’occhio è risultato pronto e quindi sono andato a cambiarmi: tuta da ginnastica, accappatoio, soprascarpe usa e getta sopra le calze (niente scarpe o ciabatte) e cuffietta da pasticciere in testa per coprire i capelli. No, non ci sono foto; lascio fare alla vostra perversa fantasia (o a (Un)Stable Diffusion, if that is your kink).

Dopo i controlli di routine e la preparazione per la blanda sedazione in vena, sdraiato su un lettino sagomato che tiene molto ferma la testa, sono stato portato alla prima sala, dove una macchina della Lensar (ho visto il logo sul display mentre faceva reboot diverse volte) ha fatto qualcosa mentre i chirurghi mi preparavano l’occhio, anestetizzandolo con un liquido, divaricando le palpebre con un aggeggio in stile Arancia Meccanica (uno speculum palpebrale) e appoggiando con forza sull’occhio quello che mi è sembrato essere una sorta di cilindretto semitrasparente.

Questa è stata la parte più impegnativa e inaspettatamente dolorosa dell’intervento: mi hanno spiegato che a causa delle mie orbite particolarmente infossate (un modo garbato, sospetto, per dirmi che ho una fisionomia da Neanderthal) è stato particolarmente difficile completare questa fase preparatoria. Sono stati necessari vari tentativi, tutti svolti premendo molto energicamente sull’occhio e sulla zona circostante, e tutti parecchio dolorosi. Se immaginate il dolore di una seduta dal dentista quando l’anestesia locale prende solo in parte, potete farvene un’idea. Sono contento di dover rifare la stessa esperienza solo una volta, per l’altro occhio, e non aspetto con entusiasmo il prossimo intervento (se tutto è andato bene, fra una settimana). 

Mi ci è voluta un bel po’ di concentrazione per stare rilassato e sopportare; le mie pulsazioni sono rimaste comunque basse e l’anestesista ha osservato che devo essere per natura “un tipo calmo” (non gli ho spiegato l’addestramento intensivo che noi Rettiliani subiamo prima di entrare in servizio sulla Terra). Avevo il viso coperto da un telino chirurgico con due fessure per gli occhi e una cannula che alimentava ossigeno per consentirmi di respirare agevolmente.

Per contro, la parte che mi immaginavo più impressionante, ossia la chirurgia vera e propria, è stata praticamente inavvertibile. Sono stato portato sotto un altro macchinario, che credo fosse il laser a femtosecondi vero e proprio, ho tenuto lo sguardo fisso verso una luce molto intensa e fastidiosa, ho sentito una serie di suoni molto brevi e rapidi (che presumo siano stati il cicalino di avviso dell’attività del laser), ma non ho avvertito assolutamente nulla a livello tattile o doloroso, né odori di bruciato come avviene con altri trattamenti laser. Ho udito i chirurghi che parlavano di “faco 1” e “faco 2”, probabilmente come abbreviazione di facoemulsificazione, che è il processo di demolizione del cristallino naturale, affetto da cataratta, ma non mi sono accorto né di questo processo né del successivo procedimento di incisione laterale della cornea, di inserimento di un aspiratore e di aspirazione dei frammenti di cristallino demoliti. Non ho visto nessuno strumento chirurgico avvicinarsi all’occhio.

I chirurghi mi hanno parlato periodicamente durante l’intervento, sia per aggiornarmi sulla situazione sia per controllare come stavo, e a un certo punto mi hanno annunciato che stavano per inserire la lente artificiale. Tutto quello che ho dovuto fare è stato guardare fisso verso il soffitto o seguire la mano del chirurgo messa appositamente davanti a me. Non ho visto gli strumenti e non ho percepito alcun dolore.

Una volta inserita la lente, mi è stato bendato l’occhio e sono stato lasciato a riposare qualche minuto. Poi, con l’aiuto dell’anestesista e delle infermiere, mi sono alzato dal lettino e sono stato accompagnato a sedermi su una poltrona per qualche altro minuto di recupero. Superata anche questa pausa, sono andato a rivestirmi, facendo attenzione a muovermi perché ovviamente mi mancava la percezione stereoscopica delle distanze degli oggetti e degli ostacoli. Alle 10.40 era tutto finito.

Due parole rapide con il chirurgo coordinatore dell’intervento per concordare la visita di controllo di domattina e sull’antidolorifico da prendere in caso di dolore, e poi via a fare finalmente colazione al bar con un caffé e uno squisito tortino caldo al cioccolato. Da lì siamo tornati a casa, portati da una nostra amica. Io mi sono buttato sul divano a dormire per riprendermi dalla tensione dell’intervento e dopo pranzo me la sono presa comoda per un po’ intanto che mi abituavo alla vista con un solo occhio, per poi mettermi a scrivere questo articolo. Poi ho dormito di gusto ancora quasi tutto il giorno, preso da una sonnolenza micidiale.

Ora non resta che scoprire, domani, come funziona il mio primo occhio bionico, quando mi toglieranno la benda.

---

14 giugno. Stamattina ho fatto la prima visita di controllo e ho tolto la benda: la prima impressione è stata la forte differenza di colore fra l’occhio operato, che vede tutto tinto di giallo, e quello non operato, che vede i colori normali. Questo è un effetto previsto, perché la lente intraoculare è gialla (come protezione UV, mi dicono) e nel giro di pochi giorni il cervello correggerà automaticamente la colorazione.

La vista adesso è a 6/10, che secondo il medico è già un buon risultato a 24 ore dall’operazione e dovrebbe migliorare progressivamente nei prossimi giorni man mano che la cornea riprende la propria forma naturale dopo il trauma del taglio e dell’intrusione degli strumenti. Per ora vedo tutto molto sfuocato, a parte delle particelle sospese dentro l’occhio operato: sembrano granellini o bollicine e presumo che si trovino quindi davanti al cristallino artificiale. Anche questa visione, che credo si chiami miodesopsia anche se riguarda l’umor acqueo invece di quello vitreo, dovrebbe svanire nel giro di pochi giorni.

Di giorno tengo scoperto l’occhio, che è solo leggermente arrossato nella sclera (il bianco degli occhi) e non mi fa male; lo devo coprire di notte con una conchiglia rigida appoggiata sul viso, per proteggere l’occhio contro sfregamenti involontari o impatti e pressioni durante il sonno. Devo applicare gocce e pomate quattro volte al giorno per i prossimi giorni.

Sono già abilitato alla guida e oggi farò una breve prova nel vicinato. Domani ho un’altra visita di controllo e poi si tratterà di decidere se fare l’intervento all’altro occhio, che ora è previsto per il 20 giugno.

---

15 giugno. La prova di guida (diurna) di ieri è andata bene: non ho ancora la piena nitidezza nell’occhio operato, ma ci vedo comunque più che abbastanza per percepire le distanze e guidare con tranquillità e senza incertezze. 

La visita di controllo di stamattina indica una progressiva guarigione, ma come dicevo la vista non è ancora tornata a sufficienza da permettermi di leggere e quindi di lavorare, per cui abbiamo deciso di rinviare l’intervento al secondo occhio a settembre, per dare tutto il tempo a quello già operato di riprendere la piena funzionalità. 

Al momento il fastidio principale, oltre a una visione piuttosto sfocata che sta diventando gradatamente più nitida, è la presenza di un piccolo bagliore circolare con sei punte proprio al centro del campo visivo. Non c’è se tengo l’occhio chiuso; compare solo quando guardo qualche oggetto illuminato (un foglio di carta, un monitor) e poi sposto lo sguardo o sbatto le palpebre, e ha lo stesso aspetto del bagliore che rimane temporaneamente dopo aver guardato il sole, ma è più piccolo. 

Inoltre nella zona centrale del campo visivo ho dei puntini scuri molto netti, disposti in modo casuale ma fisso, che si spostano all’unisono insieme alla direzione dello sguardo. Sono differenti dalle “mosche volanti” sfuocate che si vedono normalmente: questi punti sono ben scontornati (immaginate dei puntini fatti con una biro nera su un foglio) e alcuni sembrano anulari (hanno il centro chiaro).

Per i prossimi giorni non mi resta che aspettare che la vista migliori e mettere le gocce antibiotiche nell’occhio. Di notte tengo l’occhio coperto con una conchiglia apposita, come ho già descritto. Aggiornerò questo articolo se ci saranno novità.

---

16 giugno. La vista dall’occhio operato è migliorata notevolmente: è ancora velata, ma ora posso leggere anche caratteri piuttosto piccoli. Leggerei anche meglio se non ci fosse, proprio al centro del mio campo visivo, quel persistente bagliore a sei punte. I puntini neri sono diminuiti, ma ci sono ancora.

La colorazione gialla dell’immagine è praticamente scomparsa: pur avendo installato una lente decisamente gialla, il mio cervello ha imparato a correggere la tinta nonostante sia presente in un occhio e non nell’altro. 

Questa differenza di colore è probabilmente alla base di un altro effetto decisamente inaspettato e bizzarro: ieri ho “visto in 3D” un video 2D. È arrivata fresca fresca la prima puntata della seconda stagione di Star Trek - Strange New Worlds (che si conferma una gran bella serie), e la Dama e io l’abbiamo guardata subito sul nostro monitor OLED 4K (la puntata era comunque in 2K). A un certo punto ho avuto la nettissima, disorientante sensazione che le scenografie e le astronavi fossero in 3D. Per un istante ho proprio pensato “Wow, com’è naturale questo effetto 3D”, e subito dopo mi sono reso conto che non stavo guardando un video stereoscopico.

Una spiegazione possibile è l’effetto Pulfrich, che normalmente si ottiene mettendo un filtro scuro su un occhio. La presenza del filtro genera un leggero ritardo nell’elaborazione dell’immagine vista dall’occhio coperto dal filtro; se l’inquadratura si sposta lateralmente, il cervello riceve contemporaneamente due fotogrammi differenti, che in realtà sono leggermente sfalsati nel tempo, e questo produce parallasse, che il cervello interpreta come tridimensionalità.

È una tecnica usata per certi effetti 3D cinematografici e televisivi, soprattutto in passato, ma ha il limite di funzionare solo in scene che hanno un movimento laterale continuo e pronunciato; non funziona se gli oggetti sono statici o si muovono verticalmente. In effetti ho notato il fenomeno specificamente nelle scene in cui l’inquadratura si spostava lateralmente o un soggetto attraversava la scena da sinistra verso destra o viceversa. Affascinante.

---

20 giugno. Il mio cervello ha imparato a correggere la tinta gialla del cristallino artificiale e ora vedo i colori allo stesso modo con entrambi gli occhi. Addio effetto Pulfrich naturale, ma pazienza (posso sempre indurlo con un filtro davanti a un occhio). Nel frattempo la nitidezza della vista è aumentata notevolmente, i puntini neri sono quasi scomparsi (non so se per adattamento automatico del cervello o se sono fisicamente stati riassorbiti) e resta solo il piccolo bagliore circolare con sei punte al centro esatto del campo visivo, che è un notevole fastidio per la lettura di precisione ma è tollerabile per tutte le altre attività.

Ho fatto vari controlli presso il centro oculistico dove sono stato operato e mi dicono che tutto procede bene e che il bagliore dovrebbe svanire man mano. Ho fatto un test di guida notturna e la vista complessiva è molto migliore rispetto a prima dell’intervento (e di notte il bagliore non c’è o perlomeno non lo noto). Ora ho una cognizione molto chiara delle distanze e le luci delle auto non creano più confusione e aloni. Però l’occhio non operato sta ancora facendo molto supporto a quello operato e quindi credo di aver fatto bene a rinviare il secondo intervento.

Adesso guido senza occhiali da vista e indosso gli occhiali solo per la lettura di caratteri piccoli a distanza ravvicinata (per esempio quando lavoro al computer). Rispetto alla situazione di qualche giorno fa è tutto molto più rassicurante. Ora devo solo continuare con gocce antibiotiche e pomate notturne per qualche giorno, a scalare, ma a parte questo sono tornato alla normalità.

2023/07/15. La terza parte è disponibile qui.

The Raidforums leak is reported to include “usernames, email addresses, hashed passwords, registration dates, and a variety of other information related to the forum software”.

A username and email address linked to me is almost certainly in the Raidforums database and in the Breached userlist. As a journalist, I registered with Raidforums and Breached to monitor and report on newsworthy data breaches and other security incidents, as evidenced in this blog and in my podcasts for Swiss National Radio Rsi.ch. I intentionally made no attempt to conceal my identity, using one of my primary and well-known e-mail addresses to register. I am announcing this preemptively in the hope that it will save law enforcement some time, but if you’re with LE and you still want to know more about my presence on these forums, you know how to contact me.

---

Riassunto in italiano: è stato annunciato che le liste utenti di due noti forum di hacking, Raidforums e Breached/Breachforums, sono state acquisite dalle forze dell’ordine e che la lista di Raidforums è stata anche pubblicata online da ignoti. Come giornalista, mi ero iscritto a entrambi per monitorare e riferire sulle fughe di dati di interesse pubblico, e a questo scopo ho scelto di non nascondere la mia identità, usando uno dei miei indirizzi di mail più noti. Segnalo queste informazioni a titolo preventivo sperando che questo eviti equivoci e perdite di tempo.

Ultimo aggiornamento: 2023/06/13 12:25.

Qualche mese fa mi è stata diagnosticata una cataratta nucleare a entrambi gli occhi; a giugno installerò cristallini artificiali per risolverla. Da appassionato di informatica, non so resistere all’idea di considerare la cosa come un caso di body hacking interessante da raccontare. Ma confesso che quest’idea mi serve anche per esorcizzare la fifa blu di farmi perforare gli occhi come Jean-Luc Picard in Star Trek: Primo Contatto. Beh, non proprio allo stesso modo, però...

Prima di tutto, vorrei sdrammatizzare la situazione. Sto bene, tutto sommato, e mi rendo perfettamente conto che c’è tanta gente che sta infinitamente peggio di me e non ha accesso al livello di cure mediche al quale ho il privilegio di accedere io. 

La mia condizione attuale è che la cataratta mi vela la vista di notte o al buio e crea aloni intorno alle luci, riducendo la nitidezza e il contrasto, per cui andare al cinema è uno strazio (soprattutto per un appassionato di alta definizione come me), le luci laterali mi abbagliano (lavorare negli studi TV è una faticaccia) e per maggiore sicurezza ho deciso di smettere di guidare quando c’è buio (gli aloni intorno ai fanali sono un fastidio fortissimo e rendono molto più faticosa la percezione delle distanze).

Di giorno, invece, vedo benissimo, anzi paradossalmente meglio di qualche anno fa, tanto che ho smesso di portare gli occhiali. Questa “seconda vista” è un fenomeno frequente in queste condizioni ed è una delle crudeli ironie della natura: proprio quando devi trovare il coraggio di farti mettere delle lame negli occhi ci vedi meglio. Ma razionalmente so che è un miglioramento che passerà in fretta se non faccio un upgrade. Me ne sono reso conto, in particolare, qualche mese fa, quando ho indicato alla Dama del Maniero un bellissimo arcobaleno circolare intorno alla Luna piena e lei mi ha chiesto perplessa “Quale arcobaleno?”.

Detto questo, avviso subito che questo articolo conterrà immagini e concetti che potranno creare ansia o disgusto negli animi sensibili. In fin dei conti, si tratta di un intervento chirurgico agli occhi. Se questo pensiero vi crea agitazione, non leggete oltre. Ne riparleremo tra qualche settimana.

Aggiungo infine che questo articolo non costituisce informazione medica. È solo uno spiegone da nerd. Se avete bisogno di informazioni mediche, consultate un medico (non Google).

---

Cominciamo dalle basi: la cataratta nucleare è un graduale offuscamento della parte centrale (nucleo) del cristallino, che è la lente naturale che mette a fuoco le immagini sulla retina (fonte: Manuale MSD). Speravo che c’entrasse qualcosa l’energia atomica, ma no. Nell’illustrazione qui sotto, che mostra schematicamente un occhio umano in sezione, il cristallino è l’ovale al centro.

Per risolvere la cataratta, il cristallino va rimosso e sostituito con una lente artificiale. Ma farlo senza danneggiare l’occhio non è banale: è necessario praticare due piccoli tagli laterali nell’occhio, raggiungere il cristallino attraverso quei tagli, all’interno della capsula che lo contiene, farlo a pezzi e poi estrarre i pezzi con un aspiratore, inserendo infine appunto una lente sintetica. Questo intervento viene fatto da svegli, sotto anestesia locale e lieve sedazione, e ovviamente si vede tutto. Almeno fino al momento in cui viene distrutto il cristallino. Brrr.

Fare a pezzi un cristallino significa usare un emettitore di ultrasuoni che lo sbriciolano, cosa piuttosto traumatica per l’occhio ma comunque gestibile, oppure usare un laser per tagliare il cristallino a dadini. Il vantaggio del laser è che agisce dall’esterno, attraverso la parte trasparente frontale dell’occhio, è meno traumatico per l’occhio rispetto agli ultrasuoni ed evita il rischio di tagli posteriori alla capsula prodotti dagli strumenti chirurgici. Questo laser emette impulsi che durano femtosecondi (milionesimi di miliardesimi di secondo) e sono posizionati e orientati usando un sistema in realtà aumentata che pianifica tutti i puntamenti del raggio che trapassano progressivamente il cristallino fino a sezionarlo. Ho scelto la soluzione laser.

Una volta aspirati i dadini di cristallino (attraverso uno dei piccoli tagli laterali praticati dal chirurgo), viene inserita la lente sostitutiva, passando attraverso i piccoli tagli laterali già praticati per inserire gli strumenti precedenti. La lente è flessibile e viene inserita arrotolata, dispiegandosi all’interno dell’occhio, dentro la parte rimanente della capsula, e poi viene posizionata dal chirurgo e agganciata con due bracci o uncini morbidi.

Esistono vari tipi di lente intraoculare, anche con focali multiple che permettono di vedere a fuoco sia da vicino sia da lontano, ma le loro prestazioni sono un compromesso, per cui ho scelto una lente monofocale che mi dovrebbe dare una messa a fuoco perfetta, anche di notte, da circa un metro di distanza fino all’infinito. Per le distanze inferiori userò gli occhiali, come prima.

La lente artificiale ha una messa a fuoco fissa, a differenza del cristallino, la cui forma viene modificata dai muscoli intraoculari per mettere a fuoco a distanze differenti. Con la lente sostitutiva si perde la possibilità di mettere a fuoco, ma non è un grosso problema, dato che la forma della lente mette a fuoco tutto sempre (entro la gamma di distanze scelta).

Il video seguente, già posizionato al punto giusto, mostra in dettaglio la procedura di eliminazione della cataratta. Su YouTube trovate anche le riprese delle operazioni, che sono un po’ più splatter di queste animazioni pulitine e rassicuranti.

Quest’altro video mostra una procedura leggermente differente ma chiarisce bene le varie fasi:

---

L’operazione in sé è piuttosto breve; si torna subito a casa e nel giro di qualche ora si può usare l’occhio operato senza problemi. Le uniche precauzioni sono di non guidare subito (per via della sedazione e del riadattamento del cervello alla nuova visione), indossare occhiali scuri per qualche ora, mettere regolarmente gocce disinfettanti, e non fare sforzi o assumere posizioni che possano aumentare la pressione intraoculare, perché questo potrebbe far riaprire i tagli laterali (che normalmente si rimarginano da soli). Vi risparmio l’elenco delle posizioni e soprattutto degli, uhm, sforzi, che è particolarmente pittoresco. Ovviamente vanno evitate per qualche giorno anche le nuotate e gli ambienti polverosi.

I medici che mi stanno seguendo sanno che lavoro faccio e quindi hanno prevenuto subito la “sindrome del dottor Google” dandomi loro le parole chiave da cercare online per conoscere meglio la procedura medica: femto cataract lensar (da usare anche su YouTube). Lensar è il nome della ditta che produce questi apparecchi medicali laser. Mi hanno ovviamente spiegato personalmente in dettaglio tutta la procedura e tutti i pro e contro delle varie opzioni. 

Da fuori non si nota nulla a occhio nudo (salvo forse in certe condizioni di luce, nelle quali si vede un riflesso come quello degli occhi dei gatti, dice Francesco via Twitter). Purtroppo l’intervento non sembra conferire superpoteri o un miglioramento dello spettro visibile. I Rettiliani mi dicono che i miei impianti bioplasmatici non verranno influenzati.

Ho già fatto tutti gli esami medici preliminari e non ci sono complicazioni. Il 13 giugno farò il primo intervento; se tutto va bene, il 20 giugno farò il secondo. Nel frattempo, farfalle nello stomaco a parte, tutto va avanti come prima.

---

Venerdì 9 giugno. Ho fatto un ultimo controllo agli occhi e ho scelto da quale occhio iniziare: quello sinistro (nessun motivo particolare, è stata una scelta mia del tutto casuale). Iniziano i preliminari: una goccia di soluzione oftalmologica antinfiammatoria (Nevanac) al giorno. Nessun fastidio.

Sabato 10 giugno. Una goccia, come sopra.

Domenica 11 giugno. Altra goccia, come sopra. Mi sforzo di memorizzare come ci vedo adesso con l’occhio sinistro, per poter poi fare il confronto.

Lunedì 12 giugno. Ultima goccia di antinfiammatorio, ultima cena pre-intervento (ci si deve presentare a digiuno). L’intervento è domattina.

Martedì 13 giugno, 6:00. Sveglia alle sei, senza colazione, poi doccia e preparativi: mi è stato chiesto di portare un pigiama o una tuta in cui cambiarmi per l’intervento. Un’amica porterà la Dama e me al luogo dell’intervento, a Lugano (dopo l’intervento non si può guidare, perché un occhio è coperto e la sedazione leggera potrebbe causare problemi, come dicevo), alle 8 del mattino. Chicca: oggi è il nostro anniversario di matrimonio. È un modo bizzarro di festeggiarlo, ma non c’erano altre date libere e quindi abbiamo deciso di chiudere un occhio.

Martedì 13 giugno, 12:25. Rieccomi al Maniero, dopo una dormita per recuperare lo stress dell’intervento, che è stato un pochino più impegnativo del normale ma sembra essere andato bene. Cose che capitano a noi Rettiliani. Racconto tutti i dettagli nella seconda parte di questa storia.

Formalmente, la PlayStation 5 dotata degli accessori per la realtà virtuale non offre un browser Web, per cui non dovrebbe essere possibile usarla per vedere i video presenti per esempio su YouTube e anche in altri siti. Ma @Clodo76 ha segnalato su Twitter un metodo che consente di aggirare questa limitazione e attivare un browser per vedere lo stesso alcuni tipi di video: per farlo si usa, paradossalmente, Twitter.

Si va in Impostazioni, Utenti e account, Servizi collegati, si chiede di collegare l’account e si clicca sul logo di Twitter, ignorando la richiesta di autorizzazione di Twitter. Quando compare l’invito ad accedere a Twitter, lo si chiude e da lì si digita l’URL di Google per accedere a Google e digitare nella sua casella il nome del sito o dell’argomento che interessa vedere in video, come mostrato nel tweet qui sotto.

pic.twitter.com/qWNfJfrpg3

— Fabrizio Carimati (@Clodo76) March 13, 2023

@Clodo76 ha osservato che “di tutti i servizi a cui collegare PS5 (Apple, Spotify, Twitter, Twitch etc) SOLO Twitter apre un browser web per il login, in cui non si può digitare un url, ma basta cliccare un link in un tweet qualsiasi per 'uscire dal seminato'”. Nota inoltre che “I video VR non vanno, dice "browser incompatibile". Ma i porno 2D si.”

È strano che sia proprio Twitter a offrire questa inattesa e bizzarra via di fuga.

C’è una particolarità poco conosciuta di tutte le Tesla: l’interfaccia web dei loro account contiene dei codici nascosti che rivelano molte caratteristiche importanti dell’auto, fra le quali si annida, nel mio caso, un dato particolarmente interessante.

Questi codici si chiamano option code, e li ho scoperti grazie a questo video di Matteo Valenza, che presenta Ginger e la sua dettagliatissima guida all’acquisto di una Tesla Model S usata. Fra le tante cose che racconta la guida ci sono questi codici e le istruzioni su come ottenerli per il proprio veicolo.

In estrema sintesi, per ottenerli si entra nel proprio account Tesla e si fa clic destro sull’immagine della propria auto per visualizzarla in una scheda separata, come mostro qui sotto con il mio account:

Gli option code non sono nascosti nell’immagine: sono nel suo URL, che inizia con https://static-assets.tesla.com/v1/compositor/?model=[tipo del modello di Tesla] e prosegue con $BP00, $ADPX2, $AU00 eccetera: questa lunghissima serie di sigle che iniziano con il simbolo di dollaro è costituita appunto dagli option code.

Questi codici sono decodificabili immettendoli per esempio in questa pagina di Tesla-info.com e sono spiegati (anche in italiano) in tutte le loro variazioni qui su Pub.dev o presso Teslascout.com. Rivelano molte informazioni utili sia ai possessori di una Tesla sia a chi sta valutando di acquistarne una usata e vuole assicurarsi che il venditore gli stia dando informazioni corrette e complete: per esempio, questi codici indicano se l’esemplare specifico di auto ha la ricarica gratuita a vita sulle colonnine Tesla, la connettività dati gratuita, le sospensioni standard o evolute, la potenza del caricatore di bordo, il paese e l’area geografica originali, le finiture interne ed esterne e molto altro ancora.

Nel mio caso personale, ho trovato con particolare interesse la conferma di un dato tecnico che avevo sospettato sin dall’acquisto, quando ho fatto un po’ di calcoli sui consumi in ricarica e sull’autonomia: la batteria della mia Tesla (una Model S 70 del 2016) è limitata a livello firmware in modo da rendere disponibili solo 60 dei 70 kWh della capacità di carica nominale, riportata in un’etichetta un po’ nascosta. 

Questa limitazione è indicata dall’option code $BR03, che significa Firmware limit (60kwh). In altre parole, nella mia auto ci potrebbero essere 10 kWh, ossia circa 50 km di autonomia extra, sbloccabili in qualche modo (per esempio chiedendo a Tesla). L’autonomia che ho (circa 340 km) è comunque sufficiente, ma se fosse possibile aumentarla senza troppe spese o tribolazioni lo farei volentieri: un po’ di margine extra non fa mai male. Nei prossimi giorni esplorerò questa possibilità.

Se vi interessa saperne di più, ho trascritto tutti gli option code della mia Tesla in questo articolo su Fuoriditesla.ch.

Questo articolo è disponibile anche in versione podcast audio.

Le chiavi di cifratura e di protezione del software della Hyundai Ioniq SEL sono pubblicamente disponibili con una semplice ricerca in Google. Lo ha scoperto Daniel Feldman, un ingegnere informatico di Minneapolis, negli Stati Uniti, che con questa chiave è riuscito a hackerare il sistema di informazione e intrattenimento o infotainment della propria vettura.

Feldman racconta nel proprio blog che la sua auto, un’ibrida del 2021, è dotata di un sistema di infotainment, appunto, che funziona adeguatamente, ma lui voleva vedere se era possibile personalizzarlo, e così ha scoperto che esistono già vari modi non ufficiali, ovviamente ad alto rischio, per entrare nella modalità manutenzione e installare applicazioni. Il sistema, infatti, è basato su Android e quindi accetta quasi qualunque applicazione realizzata per questo sistema operativo. A quanto pare, la password di accesso a questa modalità manutenzione è definita usando una tecnica piuttosto originale: è semplicemente composta dalle quattro cifre dell’ora e del minuto indicati dall’orologio di bordo.

Ma Feldman voleva fare di più: voleva scoprire se era possibile creare degli aggiornamenti personalizzati del firmware, ossia del software di base del sistema di infotainment. Gli aggiornamenti ufficiali, diffusi da Hyundai Mobis, sono distribuiti all’interno di un file ZIP protetto da una password e sono cifrati e anche firmati digitalmente. Sembrerebbe una tripla protezione più che ragionevole, ma purtroppo qualcuno in Hyundai ha commesso una serie di errori davvero imbarazzante.

Per prima cosa, Feldman è riuscito a scavalcare la password del file ZIP e a estrarne i contenuti; i dettagli della tecnica che ha usato sono nel suo blog. Per la cifratura degli aggiornamenti, ha trovato la chiave di decrittazione direttamente nel file ZIP. Due ostacoli su tre erano quindi rimossi.

Ma c’era ancora la firma digitale, ossia la protezione che consente di installare soltanto software che sia stato firmato e garantito usando una chiave segreta in due parti, una pubblica e una privata, nota soltanto ai tecnici di Hyundai Mobis. Senza quella chiave, Feldman era a un punto morto. È qui che ha avuto un’ispirazione molto felice.

Per verificare che nessun altro avesse già ottenuto i suoi stessi risultati, ha provato a cercare in Google la chiave di cifratura che aveva scoperto. E Google gli ha fatto scoprire che la chiave usata da Hyundai era quella usata come esempio nei manuali pubblici di crittografia (come il documento NIST SP800-38A). Era insomma come scoprire che i tecnici di Hyundai Mobis avevano “protetto” (si fa per dire) il proprio software usando la password pippo che si usa sempre nei tutorial e che conoscono tutti.

Ma non è finita qui. Frugando all’interno del software originale, l’ingegnere informatico ha scoperto che quel software conteneva la parte pubblica della chiave di firma digitale. Ispirato dall’errore precedente dei tecnici Hyundai, ha provato a cercare su Google una porzione di questa chiave, e ha scoperto che anche stavolta i tecnici avevano usato una chiave di firma digitale che è presente negli esempi dei tutorial, quelli che spiegano come firmare digitalmente qualunque file. E quei tutorial, ovviamente, includono anche la chiave privata corrispondente.

In altre parole: Hyundai ha usato una chiave privata di firma digitale presa da un tutorial e ha messo la chiave pubblica corrispondente nel proprio software. E così è emerso che tutto il suo castello di protezioni risulta essere fondato sull’argilla, e Feldman è riuscito a installare del software (più precisamente del firmware) scritto da lui sulla propria auto, come descrive in due altri articoli (primo, secondo). Missione compiuta, insomma.

Morale della storia: la sicurezza nel software non è cosa che si improvvisa. I protocolli e gli standard possono essere anche robustissimi e matematicamente inespugnabili, ma l’errore umano, o in questo caso la pigrizia di chi ha usato una chiave di firma digitale presa di peso da un tutorial, è sempre in agguato. Conviene ricordarlo quando qualche azienda, anche al di fuori del settore automobilistico, si vanta di usare i software di crittografia più sofisticati. Se li usa un pasticcione, sforneranno pasticci.

Fonte aggiuntiva: The Register.

Questo articolo è disponibile anche in versione podcast audio.

A maggio 2022 ha avuto un forte impatto mediatico la notizia di un furto ingente di trattori in Ucraina, commesso da un gruppo di soldati russi; furto che si era trasformato in una beffa per i ladri. I trattori, infatti, erano stati bloccati e resi inutilizzabili grazie alla loro connessione a Internet. Ne avevo parlato anch’io in una puntata di questo podcast. Torno a parlarne perché c’è un seguito.

Pochi giorni fa un informatico australiano che si fa chiamare Sick Codes è riuscito a prendere il pieno controllo degli apparati elettronici di un trattore della John Deere, la stessa marca di quelli rubati e brickati da remoto in Ucraina. Lo ha fatto durante una presentazione alla conferenza internazionale di sicurezza DEF CON 30, tenutasi a Las Vegas, e da buon informatico ha dimostrato il proprio successo facendo girare sull’elettronica del trattore il gioco classico Doom.

Playing Doom on a John Deere tractor display (jailbroken/rooted) at @defcon pic.twitter.com/ih0QUTGNuS

— Sick.Codes (@sickcodes) August 14, 2022

Ovviamente, per fare le cose per bene, la versione di Doom giocata da Sick Codes non è quella di base, ma è appositamente modificata: si svolge in un campo agricolo e bisogna colpire i mostri senza ferire gli animali da fattoria.

Tutto questo può sembrare un colossale esercizio di frivolezza, ma in realtà il fatto che qualcuno sia riuscito a prendere il controllo dell’elettronica di questi sofisticatissimi macchinari agricoli rivela che sono basati su hardware e software fragili e non aggiornati. Dato che dipendiamo dall’agricoltura di precisione realizzata tramite macchine agricole computerizzate di questo genere, questa non è una buona situazione.

Sick Codes non è nuovo a queste dimostrazioni: ad aprile 2021 aveva fatto vedere che era possibile trasmettere dati senza autorizzazione ai trattori della John Deere, che era stata avvisata e aveva chiuso le falle che consentivano questa intrusione. Ma ora l’informatico è tornato alla carica facendo addirittura un jailbreak locale di questi trattori, ossia uno sblocco che consente all’utente di eseguire qualunque software, e la cosa è importante per gli agricoltori, perché scavalca i blocchi che impediscono loro artificialmente di riparare le proprie macchine agricole e li obbligano a dipendere dai concessionari ufficiali. In altre parole, come sugli smartphone, il jailbreak dei trattori ridà ai proprietari il pieno controllo degli apparati che hanno acquistato e consente loro di ripararli o modificarli.

Il diritto di riparare gli oggetti di cui si è proprietari viene spesso ostacolato da protezioni artificiali di questo tipo, ma negli Stati Uniti, in Unione Europea e nel Regno Unito si sta facendo strada una serie di leggi che proteggono questo diritto, e scoperte come quella di Sick Codes sono preziose per documentare il fatto che le giustificazioni presentate dalle aziende per l’esistenza di questi blocchi software non reggono.

Di solito, infatti, le aziende dicono che impedire la riparazione a persone non autorizzate è necessario per tutelare i sofisticati sistemi software installati. Ma Sick Codes ha dimostrato che questi sistemi sono in realtà tutt’altro: alcuni usano Windows CE, altri usano versioni antiche di Linux, e tutto, persino l’intero firmware, gira come root, ossia con pieni permessi di amministratore, e non c’è alcun controllo sulla provenienza del software che viene eseguito, nessuna firma digitale o checksum. In parole povere, i “sofisticati sistemi” vanno contro tutte le regole di sicurezza informatica.

Grazie anche a iniziative come questa insieme alle nuove normative sul diritto di riparare, John Deere ha annunciato a marzo che renderà disponibile ai proprietari delle sue macchine agricole una porzione più consistente del software di riparazione e consentirà ai clienti e ai riparatori esterni di scaricare e installare gli aggiornamenti software ufficiali, invece di obbligare gli agricoltori a portare i mezzi alle officine autorizzate. Perché se può essere una scocciatura trovarsi con un laptop che decide di scaricare e installare i propri aggiornamenti proprio mentre si sta facendo una presentazione o si sta cercando di concludere un lavoro urgente, potete immaginare quanto sia devastante trovarsi con un trattore che non va solo per un problema software mentre il raccolto ottenuto con tanta fatica si sta rovinando sul campo.

Fonti aggiuntive: Ars Technica, The Register, Fierce Electronics.

Ultimo aggiornamento: 2022/01/23 19:50. 

È una scena classica da western: l’eroe si accorge che sta per avvenire una rapina e corre a perdifiato per avvisare lo sceriffo, arrivando appena in tempo. Se invece vedeste un cowboy che corre semplicemente... fino al telefono più vicino restereste probabilmente spiazzati. 

Ma la realtà storica è questa: già nel 1890, quindi sul finire dell’era western comunemente intesa, negli Stati Uniti si potevano comperare i telefoni, e questi telefoni venivano “hackerati” dai cowboy per telefonare gratis nelle grandi pianure rurali.

Il problema non era procurarsi il telefono: lo si poteva ordinare per posta. Ma mancavano i cavi telefonici, che le compagnie come la Bell Telephone installavano soltanto nelle città. Tirare centinaia di chilometri di cavi per servire una manciata di persone non aveva nessuna convenienza economica.

Ma alcuni rancher intraprendenti si resero conto che in realtà i cavi c’erano già: bastava essere un pochino creativi. Le loro enormi proprietà erano infatti delimitate dal filo spinato, che è in sostanza un filo metallico in grado di condurre corrente e quindi anche di trasportare un segnale telefonico.

E di filo spinato ce n’era tanto. Nel periodo di picco, nel West ne veniva posato oltre un milione di chilometri ogni anno. Bastava attaccare un telefono alla recinzione e si poteva telefonare da un capo all’altro del filo, dato che i telefoni di quell’epoca erano autoalimentati da una batteria e generavano un segnale elettrico molto potente. Non serviva un centralino e non serviva un abbonamento. 

Si potevano anche fare chiamate collettive: anzi, quando qualcuno faceva una chiamata, squillavano tutti i telefoni presenti sul circuito. Ci si metteva d’accordo con una sequenza particolare di squilli per indicare la persona con la quale si voleva comunicare, ma era normale che rispondessero un po’ tutti. Le occasioni per parlare con qualcuno erano pochissime e quindi erano benvenute.

Questa strana storia di hacking nel Far West è documentata da storici come Rob MacDougall, della University of Western Ontario, in Canada, e raccontata da riviste come New Scientist (21/28 dicembre 2013) in tempi recenti e dalla Electrical Review del 1897, che segnala un ranch in California in cui “fra i vari accampamenti c’è una comunicazione telefonica tramite le recinzioni di filo spinato”. Il New England Journal of Agriculture, sempre nel 1897, cita due contadini del Kansas che vivevano a un miglio di distanza l’uno dall’altro e avevano collegato due telefoni al filo spinato per parlarsi.

In Texas, poi, c’era una recinzione, quello dell’XIT Ranch, che si estendeva per oltre 260 chilometri, e ai primi del Novecento “furono installati moltissimi telefoni nel ranch. Dove possibile, il filo superiore delle recinzioni veniva usato come linea telefonica, anche se la qualità del ‘servizio’ era atroce”, spiega il Texas Standard nel 2021. E non erano casi isolati: nel 1907 questi sistemi telefonici artigianali raccoglievano circa tre milioni di utenti, ossia mezzo milione in più di quelli della compagnia telefonica Bell. Trovate altre informazioni e dettagli in proposito su Atlas Obscura, How Stuff Works, Inc.

Queste reti telefoniche di filo spinato avevano però un limite: consentivano soltanto telefonate locali. Alla fine prevalsero le compagnie telefoniche, che offrivano chiamate interubane verso chiunque, anche se a pagamento, e oggi i cowboy comunicano le emergenze usando modernissimi telefoni satellitari, che prendono la linea anche dove non c’è il segnale radio della rete cellulare convenzionale.

Fonte: NBC News.

Storie dimenticate come questa, però, sono importanti per ricordare che non sempre è necessario ricorrere a tecnologie complicate, software e sistemi digitali per ottenere risultati sorprendenti. E se dovesse capitarvi di vedere un western in cui qualcuno telefona, non stupitevi e non gridate all’errore. La storia della tecnologia è piena di soluzioni alternative finite nell’oblio. Ogni tanto conviene ripassarle.

Ultimo aggiornamento: 2021/11/03 10:50.

Il 2 novembre scorso Andrea Draghetti di D3Lab ha segnalato un annuncio, pubblicato il giorno precedente su un noto forum di hacking, secondo il quale il sito del Ministero della Salute italiano sarebbe stato violato. 

⚠️🚨🚨⚠️

"Italy's Ministery of Healthcare hacked and Blackmails WhiteHat"

ℹ️ A user claims to have violated the Italian Ministry of Health (Ministero della Salute)!

😱 To prove it publishes an extract of the Apache LOGs, that also contain CLEAR passwords and a curious story... pic.twitter.com/ev4WjtRelz

— Andrea Draghetti 👨🏻‍💻 🎣 (@AndreaDraghetti) November 2, 2021

L’autore della violazione ha portato come prove un estratto dei log di Apache che fa riferimento a nsis.sanita.it e contiene login e password in chiaro (nella forma Ecom_User_ID=ID[omissis]&Ecom_Password=[omissis]).

Le prove sono accompagnate da un racconto molto bizzarro, che accusa i tecnici del Ministero di aver falsificato delle mail a nome di “giudici del Ministero della Giustizia” [sic] e di averle usate per minacciare chi aveva segnalato ai tecnici la vulnerabilità del sito, per farlo tacere. Ci sono di mezzo, secondo l’autore, anche degli accessi ai vaccini. Accusa gravissima che al momento, sottolineo, non è confermata.

Una persona addetta ai lavori mi ha invece confermato che la violazione del sito del Ministero della Salute è reale. Un’altra fonte, in attesa di conferme, mi ha segnalato che il 13 ottobre ci sarebbe stato un reset generale delle password del sito.

Le password contenute nel dump sono di questo genere (ometto per sicurezza alcuni caratteri e gli userid corrispondenti):

FAJKSKSF***
f2a***
a2g2ga***
ads**
Acquamarina**
Vaccini.20******
Appell***
Ekibio20***
Gabriel***
Gambuzzel****
Boletus*****

Come sempre, se qualcuno ha ulteriori informazioni, il mio Signal è aperto alle coordinate che trovate nella barra laterale di questo blog. 

Qui sotto riporto pari pari il racconto bizzarro pubblicato dall’autore della violazone, senza per questo voler dare particolare credito alla sua storia. Segnalazioni-vanteria di questo genere sono frequentissime e spesso false; se non avessi ricevuto una conferma della violazione da una fonte attendibile non avrei nemmeno segnalato questo annuncio. 

Long story of how this happened:

I'm online writing a script for some 0's i wanna test, here comes a contact asking me if i could get vaccines, asks for EU, he specifically asked for Italy.
I thought "No problem" italian devs are chimps, it will be ez if it all works by web.
I did not think it would be THAT ez, after less than 1h i found a hole and it took me 8 hours to have complete control over the DB's, Linux shell with 90% privilege (and i had 0 knowledge of the underlying infostructure or system lmao) .
I got some credentials, gave the vaccine to my friend and started getting to know better the system,
low and behold,
there was access to too much critical infostructure, I could've made people arrested by cancelling their vaccines, i could've get data about shipments, containers, anything ANYTHING healthcare related, i had access to 100%, mail servers, bla bla bla, 100% pwned.

Due to there being too much critical info-structure and not having any fitting operation to do with it, i decided to pay a jabber advert and find a buyer.

I get contacted by a guy,
he asks screenshots
tells me that hes starting a cyber sec company and he would like to buy it (the access) to report it,
i tell him to not do it because in Italy they are chimps and he is only wasting money,
he ignores me and keeps asking for the access
i sell him the accesses for 15k$ in monero
he contacts the technicians to report it, tells them his name and company
> technician tells they were not aware of the hack and it was not possible (they were hacked from 7 days~ already, they are most surely not able to do their job) they asked him to send proofs by email, he asks me proofs and he forwards them to the 'technicians'
> one day goes by, then they write to him an email asking more information and more about a possible "partnership"
> they stop answering
> my client sends them an email asking to notify everyone (millions) as per GDPR law of the breach,
> (the technicians department of the Ministery of Healthcare people) start forging emails with Ministery of Justice Judges names people and they blackmail him
1) The technicians did not lawfully oblige to disclose breaches as per GDPR european law.
2) They blackmailed a whitehat security researcher by email with fake names,
3) They blackmailed him on instagram (WTF)
4) They removed a page thinking it would fix the problem, instead of hiring someone professional. they are still vulnerable.
By not going trough the official and right way, they have achieved shitting on any law and leaving one of the most if not the most critical infostructure vulnerable.

tl;dr
Don't target Italian systems because they are poor retarded chimps, this poor guy wasted 15k in hope to, since millions of people and the most critical info-structure got hacked, he thought that by reporting it they would then publish a statement of breach to notify the millions involved and quote his company for notifying them.
He learned the hard way Italy is not a country but instead a mafia,
since I've never heard of a legit country like Germany or Denmark Ministery being notified of a breach and blackmailing the person that let them know it for this information to not become public.
btw i spoke with him (my customer) and he told me so today, he told me that "I attempted writing to the Media and got no response, I attempted disclosing it to the technicians and i got blackmailed, i got no use of this anymore i consider my money wasted, do as you please with it"
so, take this as a reminder from a BH to both WH and BH's onhere, don't work with Italy, let them be abused and die as a country, because surely they don't have a system that is worth defending (nor pwning).

List of the DUMP:
SAML Keys:
[omissis]

Authentication Cerfiticates:
[omissis]

[16:52] [server1.[omissis].me var] # cat accounts.log
[omissis]

Conclusion Thoughts.
The servers were vulnerable from 11+ Years already,
there was no monitoring of any kind, I did not delete any log or hidden my access in any way as my customer had asked as he would've preferred to report it and showcase there was no malicious intent, rather, just report it and get a deal written.
There was no security, it got hacked in 8 hours.
Governative servers are rented on the same subnets, due to dumped keys, I think it's very much possible You could query the other DB's, other just than the Healthcare one, aka Police etc, so was not done since when I thought of this i had already sold the access and he requested for no damage or further compromise to be done.
In Italy the Tax is 40% (1-time, or 80% if you count also buying it and reselling it), just imagine going to work 40% of your working day EVERY DAY to pay people salary for 12 Years for them to do NOTHING, do not setup any security, get hacked in 8h, instead of following laws and notifying everyone go out of their way to blackmail the white hat guy.
When even the people in the state start doing unlawful things, You might start to wonder if such state should exist.
From today I surely deem Italy no longer a state but rather a Mafia.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

In realtà sì, perlomeno secondo quanto riferisce Wired.com. Alcuni Bancomat dotati di componenti NFC (quelli che consentono di appoggiare la carta di credito invece di inserirla) hanno un difetto che consente un attacco ancora più elegante di quello mostrato al cinema dal regista James Cameron in Terminator 2: basta avvicinare al terminale uno smartphone Android contenente un’app appositamente programmata e diventa possibile mandare in tilt il Bancomat, modificarne il funzionamento in modo che raccolga e trasmetta dati delle carte di credito, alterare il valore delle transazioni e, in almeno un modello, fare quello che in gergo si chiama jackpotting, ossia far erogare al dispositivo una pioggia di banconote.

Ma niente panico: lo ha scoperto uno dei “buoni”, il consulente informatico spagnolo Josep Rodriguez, che per mestiere verifica la sicurezza dei sistemi informatici bancari per conto delle aziende produttrici, che sono già state allertate oltre sette mesi fa. Il problema è stato corretto, anche se alcuni Bancomat possono continuare a manifestarlo se non sono stati aggiornati.

Un attacco così semplice da sembrare finzione scenica è in realtà possibile per via di un difetto elementare e classico: il software che gestisce molti lettori contactless (NFC) non fa alcuna validazione delle dimensioni del pacchetto di dati mandato dalla carta quando viene avvicinata al sensore.

Il software si aspetta che si tratti di una carta di pagamento, che si comporta secondo gli standard, e si fida di quello che la carta gli manda. L’app di Rodriguez, però, manda un pacchetto di dati centinaia di volte più grande del normale e questo genera un classico buffer overflow che permette di prendere il controllo del Bancomat o terminale di pagamento.

Per noi utenti, comunque, il rischio è minimo: le falle scoperte da Rodriguez non consentono di leggere il PIN e o i dati presenti nel chip integrato nella carta e riguardano soltanto le vecchie carte senza chip integrato, raramente usate in Europa. Il disagio è soprattutto per le banche, che devono aggiornare centinaia di migliaia di terminali in tutto il mondo.

Esempio di “hackeressa”.

BoingBoing segnala un thread su Twitter che descrive la tecnica astuta usata da una bambina di otto anni a Austin, in Texas per avere una giustificazione tecnica plausibile per non frequentare le lezioni online che non le piacevano.

Tutto inizia con un problema apparentemente normale: la bambina non riesce a collegarsi con Zoom per la lezione. La madre tenta di ricollegarla per oltre un’ora ma fallisce. Presume che si tratti di un malfunzionamento di Zoom.

Il giorno successivo avviene la stessa cosa: la bimba non riesce a ricollegarsi. La madre avvisa il docente.

Il terzo giorno il problema si ripresenta, con l’avviso di Zoom che la password è sbagliata. Madre e docente ci provano per un’ora, ma niente da fare.

Siamo al quarto giorno: madre e figlia vanno a casa di un’amica per provare la sua connessione a Internet. Tutto funziona, ma a un certo punto il collegamento a Zoom smette di funzionare ed è impossibile ricollegarsi. Si sospetta che l’account della bambina sia stato messo in lista nera.

Quinto giorno: vengono coinvolti i tecnici di Zoom, ma non riescono a risolvere il problema.

Sesto giorno: il docente ricrea tutta l’aula virtuale da zero. Tutti e trenta gli studenti devono aggiornare, ricollegarsi. Niente da fare.

Siamo a una settimana: il docente d’informatica viene a casa della bambina per provare a risolvere il malfunzionamento. Inutile.

A questo punto la madre abbandona i tentativi e inizia a fare lezione al posto degli insegnanti. La bambina non si lamenta.

Passano due settimane e la bimba va in visita a un’amica della madre. Da lì riesce a collegarsi e ricomincia a frequentare le lezioni per qualche tempo. L’amica nota che la bimba si scollega da Zoom e le chiede come mai l’ha fatto. La bimba, innocentemente, risponde che la connessione non stava funzionando bene e quindi stava uscendo per ricollegarsi, come si fa spesso.

L’amica, però, si insospettisce e tiene d’occhio la bambina di otto anni. Dopo un’ora di lezione, la bambina non ce la fa più e si scollega per ricollegarsi. Ed è qui che scatta la sua astuzia. Quando si ricollega, sbaglia intenzionalmente la propria password per una ventina di volte.

Infatti la bimba ha capito che se un utente tenta di collegarsi con la password sbagliata un numero sufficiente di volte, Zoom blocca ulteriori tentativi per un certo periodo di tempo. Più si tenta, più aumenta la durata di questo periodo.

Ma il messaggio d’errore che viene mostrato sullo schermo è “password sbagliata”, non un più esplicativo “Il tuo account è stato bloccato per troppi tentativi sbagliati di immettere la password”.

Mai sottovalutare l’ingegno di un utente sufficientemente motivato.