È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto) e qui sotto.

Le puntate del Disinformatico sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano il testo integrale e i link alle fonti di questa puntata, sono qui sotto.

---

[CLIP: rumori-aula]

[sotto voce] Siamo nell’Illinois, a Cook County, in un’aula scolastica. Sono le 10.55 del 30 aprile 2021. La voce che sentite è quella di un docente, perplesso e confuso perché il videoproiettore dell’aula si è acceso automaticamente e sta mostrando un conto alla rovescia di cinque minuti e un messaggio: “Si prega di restare in attesa per questo messaggio importante.” C’è chi pensa che si tratti di un annuncio del presidente degli Stati Uniti o di qualche altra autorità.

Nessuno sa ancora che in realtà oltre cinquecento tra monitor e teleschermi dell’intero distretto scolastico 214, composto da sei scuole che gestiscono in tutto circa dodicimila studenti, sono ora sotto il controllo di un gruppo di intrusi informatici e stanno mostrando lo stesso conto alla rovescia. L’intrusione è stata preparata pazientemente nel corso di vari anni, penetrando lentamente nei sistemi informatici della scuola, svolgendo prove generali nelle aule di notte e prendendo il controllo del software scolastico che sorveglia i computer degli studenti e registra tutto quello che scrivono e visualizzano sui loro schermi. Oggi questa incursione sta finalmente per arrivare all’obiettivo lungamente atteso.

È un attacco informatico decisamente illegale, eppure gli intrusi non verranno puniti ma addirittura verranno elogiati. Uno di loro andrà alla stampa e al rinomato convegno internazionale di sicurezza informatica DEF CON per presentare con orgoglio tutti i dettagli dell’incursione, dando il proprio nome e cognome, ossia Minh Duong: è uno degli studenti del distretto scolastico di Cook County. E lo scopo di tutto questo sofisticato attacco è celebrare una tradizione informatica che ha radici lontane, perché uno dei suoi elementi fondamentali risale al 1987.

Questa è la storia dell’attacco informatico noto come The Big Rick, una delle più belle lezioni di sicurezza informatica degli ultimi anni.

Benvenuti a questa puntata del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.

[SIGLA di apertura]

Prima di tutto, una precisazione fondamentale. Violare sistemi informatici scolastici è un reato e può portare a danni materiali e a perdite di dati estremamente gravi. La storia di Minh Duong non è un esempio da imitare, ma è un’illustrazione molto efficace della fragilità di questi sistemi e della grande attenzione che richiedono e non sempre ricevono. Le condizioni nelle quali Minh Duong e i suoi complici hanno evitato un processo e una condanna sono molto particolari e difficilmente ripetibili.

Chiarito questo, tutta la storia comincia alcuni anni prima, quando Minh Duong frequenta il primo anno alla scuola superiore di Cook County. Insieme ad alcuni amici, il ragazzo usa un computer situato in un armadietto della scuola per effettuare un cosiddetto port scanning, una sorta di ricognizione digitale dell’intera rete informatica del distretto scolastico. Il responsabile informatico della scuola nota questa attività e intima a Minh Duong e ai suoi amici di interromperla. Ma ormai è troppo tardi: la ricognizione ha consegnato al gruppo di aspiranti intrusi la mappa di metà della rete scolastica. I ragazzi scoprono così che sulla rete ci sono stampanti, telefoni IP e persino telecamere di sorveglianza completamente accessibili, senza alcuna password.

Minh Duong, a 14 anni, può quindi vedere quello che vedono tutte le telecamere del complesso scolastico.

I responsabili tecnici della scuola vengono avvisati della situazione e mettono una protezione informatica più ragionevole alle telecamere (le mettono dietro delle ACL restrictions). Ma non pensano al sistema IPTV, ossia all’impianto che diffonde in streaming i segnali video alle centinaia di videoproiettori e televisori del distretto scolastico attraverso la sua rete informatica. Questo impianto è gestito tramite dispositivi della ditta Exterity, comandabili da remoto, sui quali gira Linux, e Minh Duong ha pieno accesso a tutti questi dispositivi. Fa qualche esperimento e poi lascia perdere.

---

Passa qualche anno, e all’inizio del 2021, quando Minh Duong ha 19 anni e la sua scuola ritorna alle lezioni in presenza dopo un periodo di didattica a distanza a causa del Covid, il ragazzo si rende conto che questo sarebbe un buon momento per effettuare un attacco informatico tramite l’impianto video davanti a tutti gli studenti.

Con tre amici, noti solo come Shapes, Jimmy e Green, Minh Duong (che si fa chiamare WhiteHoodHacker) scopre che ha ancora quell’accesso all’impianto video scolastico scoperto cinque anni prima. Per non lasciare tracce dei preparativi dell’attacco, si procura una copia per docenti del software Lanschool utilizzato dal distretto scolastico, che consente di bloccare a distanza i computer degli studenti, di osservarli e controllarli e di caricarvi ed eseguirvi programmi.

Lanschool è un software molto invadente, che addirittura registra tutto quello che viene digitato dagli studenti sui computer scolastici. Ironicamente, è proprio questa profonda invasività a consentire a questi giovani hacker di passare inosservati, installando i propri programmi e script di attacco sui computer degli altri studenti.

E qui arriva la prima lezione di sicurezza informatica di questa vicenda: quando si indebolisce la sicurezza di un computer per consentirne la sorveglianza e il controllo a distanza da parte dei buoni, la si indebolisce anche per i cattivi. I sistemi informatici non possono sapere se chi usa questi indebolimenti è un buono o un cattivo, un gendarme o un ladro, un sorvegliante scolastico o un hacker ostile. Per cui la cosa giusta da fare è non consentire sorveglianze e controlli a distanza addirittura con permessi di scrittura, anche per rispettare la privacy degli utenti.

---

La seconda lezione di sicurezza della storia di Minh Duong è che se si vuole sperare di passarla liscia dopo un’intrusione informatica, bisogna assicurarsi di non causare danni. Non si deve accedere a dati personali, non si devono fare modifiche ai sistemi e l’effetto dell’attacco deve essere innocuo, anche nella scelta del momento della sua esecuzione.

I quattro hacker scelgono infatti le 11 del mattino del 30 aprile, che è un venerdì di fine sessione scolastica, per cui il loro attacco non interromperà le lezioni ma avverrà appena prima che tutti gli studenti lascino le rispettive aule. E soprattutto decidono che il loro attacco informatico sarà spettacolare ma privo di conseguenze. Scelgono infatti di compiere un cosiddetto rickroll.

Per chi non conoscesse questa tradizione informatica, il rickroll consiste nel creare una situazione di grande attesa e poi presentare a sorpresa, al posto di quello che la vittima si aspettava, il video della canzone del 1987 di Rick Astley Never Gonna Give You Up. Per esempio, se qualcuno vi manda un link dicendo che porta a un video piccante di qualche celebrità, ma quando vi cliccate sopra parte la canzone di Rick Astley, siete stati rickrollati.

Questo scherzo è nato nel 2007 ed è ormai un classico della cultura online, tanto che il video della canzone di Rick Astley su YouTube ha oltre un miliardo e duecento milioni di visualizzazioni. Persino Rick Astley stesso è stato rickrollato in alcune occasioni, e il fenomeno ha ridato slancio alla sua carriera musicale.

Tutto è pronto, insomma, per l’attacco al sistema video scolastico. Ma tre giorni prima di sferrarlo, i quattro ragazzi scoprono gli indirizzi IP, ossia le coordinate sulla rete, degli altoparlanti della scuola. Sì, anche il sistema di annunci è informatizzato. E la password di uno degli amministratori è banalissima: è quella usata come esempio nel manuale dell’impianto. Invece quella del superutente che può gestire tutti gli avvisi acustici di tutte le sedi scolastiche è proprio la parola password, come racconta Minh Duong nel suo resoconto pubblico (le slide della sua presentazione alla DEF CON forniscono ulteriori dettagli). E così la canzone di Rick Astley viene caricata su tutti gli altoparlanti delle scuole, pronta per il momento fatidico.

Terza lezione di sicurezza informatica: mai usare password banali o addirittura predefinite, ma soprattutto mai pensare che tanto una password offre solo un accesso limitato e quindi non è un problema se è facile da indovinare, perché quell’accesso limitato può essere ampliato fino a sfondare tutte le difese e saltare da un sistema all’altro.

---

I preparativi sono meticolosissimi: durante una serie di prove notturne viene verificato che il programma automatico installato su tutti i dispositivi di controllo dei monitor e dei videoproiettori riprodurrà al momento opportuno un file contenente il video di Rick Astley, forzerà l’uso della porta HDMI impedendo agli utenti di cambiare sorgente del segnale, disabiliterà i telecomandi a infrarossi e accenderà i videoproiettori mettendo il loro volume al massimo. Terminata l’incursione, ripristinerà tutte le impostazioni precedenti.

E così, alle 11 in punto del 30 aprile 2021, Minh Duong, Shapes, Jimmy e Green diventano gli autori del più grande rickroll di massa mai documentato: le note della canzone di Rick Astley risuonano in tutte le aule e nei corridoi, il video appare sugli schermi, e gli studenti e i docenti che sono rimasti per cinque minuti in attesa di quell’“annuncio importante” capiscono di essere stati rickrollati.

[CLIP del rickroll]

L’incursione informatica viene presa bene. Una delle docenti si mette a ballare; un altro insegnante fa addirittura i complimenti online agli intrusi, che per il momento sono ignoti, anche se è abbastanza evidente che si tratti di una burla studentesca.

😂😂😂 Very clever, seniors! #D214RickRoll pic.twitter.com/AJQgjH8E1A

— Melissa Curtis (@melissacurtis26) April 30, 2021

Ma si tratta comunque di una violazione di vari sistemi informatici, con utilizzazione di password altrui. I quattro ragazzi evitano l’ira dei dirigenti scolastici perché giocano subito la loro carta migliore: prima di effettuare l’attacco hanno preparato un dettagliatissimo dossier di 26 pagine e lo hanno inviato anonimamente agli amministratori subito dopo il successo del loro rickroll. Nel rapporto hanno delineato i princìpi etici che hanno seguito, hanno spiegato esattamente cosa hanno fatto e hanno fornito consigli su come evitare che potesse accadere di nuovo. Hanno poi incontrato via Zoom i responsabili informatici del distretto scolastico.

Ciliegina sulla torta, i ragazzi hanno scoperto e comunicato responsabilmente all’azienda produttrice e alle autorità una grave falla tecnica (una privilege escalation to root) che avevano scoperto nei dispositivi della Exterity usati dalla rete scolastica. Un portavoce del distretto scolastico ha dichiarato che l’episodio sarebbe stato considerato come un normale test di penetrazione, e anche i tecnici informatici hanno apprezzato la condotta molto professionale e trasparente degli studenti-intrusi.

Oggi Minh Duong studia informatica alla prestigiosa University of Illinois a Urbana-Champaign e presenta la storia della sua incursione alle conferenze di sicurezza informatica, ma in un’intervista a Wired sottolinea ripetutamente che sconsiglia a chiunque di fare quello che ha fatto lui con i suoi amici, perché si tratta comunque di una serie di comportamenti illegali e severamente punibili.

Una volta tanto, insomma, è andata bene; gli aggressori si sono dimostrati responsabili e si sono limitati a far suonare Never Gonna Give You Up a cinquecento e passa dispositivi, regalando a tanti una risata, quando avrebbero potuto sabotare pesantemente gli impianti scolastici e cancellare dati o accedere a informazioni private sensibili e diffonderle. Ma sono stati anche fortunati, perché hanno trovato dei dirigenti scolastici che hanno saputo apprezzare il loro approccio etico e goliardico e hanno sistemato le falle segnalate invece di farsi prendere dall’imbarazzo e reagire con un panico vendicativo, come accade invece troppo spesso.

Quindi se siete studenti e notate una falla informatica nella vostra scuola, non fate come i quattro hacker dell’Illinois. Ma se siete responsabili informatici o utenti amministratori di questi sistemi, controllate le vostre configurazioni e assicuratevi almeno che non sia possibile usare la parola password come password. Là fuori, oltre agli studenti burloni, ci sono anche vandali e criminali informatici che non aspettano altro che un vostro passo falso per chiedervi un riscatto invece di suonare Rick Astley.

Il rickroll è una tradizione di Internet nata nell’ormai informaticamente lontano 2007: qualcuno annuncia qualcosa di clamoroso, desiderabile o sensazionale, linkando una fonte dove trovarla, e tutti i creduloni e curiosi cliccano sul link. 

Ma il link porta a un video di Rick Astley che canta Never Gonna Give You Up, un successo planetario del 1987. A volte al posto di Rick Astley si usa la canzone russa Trololo.

È una burla innocua, nonostante le sue origini nei bassifondi crudeli e feroci di Internet, nei forum di 4chan. Qualcuno ti chiede le foto sexy della celebrità del momento alla quale tiene esageratamente, o dove scaricare una versione craccata di un videogioco o un film attesissimo, e tu rispondi con il link a Rick Astley. Il rickroll ha tante forme: un codice QR su una finta multa, un malware dimostrativo per iPhone, o la versione per Zoom. Nel 2008 lo fece direttamente YouTube: il primo d’aprile, tutti i video nella prima pagina di YouTube portavano a Never Gonna Give You Up. Persino la Casa Bianca fece un rickroll, nel 2011.

Pochi giorni fa il video della canzone di Rick Astley che si usa per i rickroll (questo) ha raggiunto una tappa importante: un miliardo di visualizzazioni su YouTube. Molte saranno presumibilmente dovute alla tradizione del rickroll. 

Comprensibilmente, molti si chiedono se così tante visualizzazioni abbiano fruttato qualche soldo al cantante. Nel 2010, quando il video aveva “solo” alcuni milioni di visualizzazioni, aveva incassato da questo canale soltanto dodici dollari, perché non è l’autore della canzone e quindi riceve soltanto i diritti da esecutore o interprete, non quelli ben più sostanziosi che spettano ai compositori. Se i compensi da allora sono proporzionali, forse l’ex cantante può aver incassato una decina di migliaia di dollari. In un Ask Me Anything di Reddit del 2016 (grazie a @Tigro724791 per averlo trovato), Astley disse di non sapere con precisione quanto abbia ricevuto dal video in sé, ma aggiunge che grazie al rickroll è stato pagato dalla Virgin per fare uno spot e da altri per partecipare ad altri eventi, per cui qualcosina, insomma, questa strana forma di nuova notorietà gli ha fruttato.

La storia completa del rickroll è pubblicata su Melmagazine. Beh, quasi completa: manca un episodio minore, quello in cui io tentai un rickroll e andò in maniera terribilmente imbarazzante davanti alle telecamere.

Ai media piacciono gli allarmi catastrofici, e così si sono fatti un po’ prendere la mano quando Microsoft ha annunciato il 14 gennaio scorso un aggiornamento “critico” di sicurezza per una falla di Windows 10 che le è stata segnalata nientemeno che dalle super-spie dell’NSA.

La falla, denominata CVE-2020-0601, è seria: se sfruttata con successo, consentirebbe a un aggressore di creare programmi ostili (virus o malware) apparentemente provenienti da una fonte attendibile e fidata.

Per esempio, una banda di criminali o uno stato ostile potrebbe creare una falsa versione di Adobe Acrobat o di Microsoft Word e “firmarla” con quella che sembrerebbe, a Windows, la vera firma digitale di Adobe o Microsoft. La stessa impostura si applicherebbe alle identità delle pagine Web.

Microsoft, però, nota che non ha visto alcuna prova del fatto che questa falla venga già sfruttata da malfattori. Quindi aggiornare Windows 10 è importante, ma non è il caso di disperarsi e fare di fretta: basta fare i normali aggiornamenti. Quello che risolve questa falla è già stato distribuito martedì scorso e risolve anche parecchie altre magagne. Anche Windows Server 2016 e 2019 è vulnerabile e ha i suoi aggiornamenti appositi, come segnala Cybersecurity360 (in italiano).

Un ricercatore, Saleem Rashid, ha presentato su Twitter una dimostrazione pratica decisamente allegra di una parte della falla, facendo sembrare che il sito dell’NSA, su una connessione sicura, stesse suonando il video di Never Gonna Give You Up di Rick Astley. Un rickroll, insomma.


Resta un solo dubbio: se l’NSA sapeva di questa vulnerabilità, che le permetteva teoricamente di fare ogni sorta di attacchi, come mai ha deciso di divulgarla invece di tenerla per sé e avere un vantaggio? Si possono solo fare ipotesi. La più ingenua, ma non impossibile, è che l’NSA abbia agito per buon cuore. Ma è anche possibile, e forse più plausibile, che l’agenzia governativa statunitense abbia avuto il timore che altri scoprissero questa stessa falla e la sfruttassero.

In ogni caso, ora che la falla è nota, i criminali non perderanno tempo a costruire attacchi informatici che la sfruttano per prendere di mira tutti quelli che non si aggiornano e restano vulnerabili. Quindi scaricate e installate gli aggiornamenti di sicurezza di Windows 10 seguendo la consueta procedura.


Fonte aggiuntiva: Ars Technica.

Poco fa un filocomplottista commentatore ha pensato malauguratamente di postare nei commenti di questo blog un link a un video di un lunacomplottista, regalandogli un po' di visibilità in casa del “nemico”. E lo ha fatto in un post che non c’entra assolutamente nulla con il lunacomplottismo.

Lo sventurato non ha tenuto conto del fatto che i commenti sono editabili dal moderatore. Che sono io. E quindi sono editabili anche i link. Che ho pertanto editato:


Per correttezza ho aggiunto una nota del moderatore che avvisa di non cliccare sul link o di farlo a proprio rischio e pericolo.

Il link porta, naturalmente, a youtube.com/watch?v=dQw4w9. Et voilà, complottista disinnescato.

Certe cose mi vengono istintive e non so resistere.


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Da Asheville, in North Carolina, arriva una storia bizzarra: numerosi cittadini hanno ricevuto delle multe per divieto di sosta da 100 dollari. Già questo è insolito, perché le multe di questo tipo da quelle parti costano una decina di dollari e non cento, ma c’è un altro fattore strano e molto informatico: le multe contengono un codice QR, assente nelle multe standard.

Chi ha provato a usare il codice QR, visualizzandolo con il proprio telefonino, ha scoperto che porta a un video di Rick Astley che canta Never Gonna Give You Up, il suo grande successo del 1987. Che c’entra Rick Astley con i divieti di sosta?

La faccenda pare sempre più assurda e incomprensibile fino al momento in cui i cittadini di Asheville che hanno dimestichezza con la cultura di Internet si rendono conto di essere stati rickrollati: le finte multe sono ispirate a una burla classica degli internauti, che consiste nel proporre in un forum o su un social network quello che sembra essere un link a qualcosa di altamente desiderabile (una foto introvabile, un’anteprima di un gioco o di un film attesissimo) ed è in realtà un link al video di Rick Astley.

La tradizione è nata quasi nove anni fa, a maggio del 2007, nei controversi forum di 4chan, e nel corso degli anni ha visto numerose varianti: quella che usa il codice QR al posto del link normale è soltanto una delle tante, che complessivamente hanno generato oltre 70 milioni di visualizzazioni del video di Rick Astley. Il cantante, fra l’altro, non ha incassato nulla a parte una dozzina di dollari da tutte queste visualizzazioni perché come semplice esecutore e non autore incassa una percentuale molto piccola dei diritti musicali.

L’episodio di Asheville è una burla innocente, ma è una buona occasione per parlare di un problema di sicurezza piuttosto diffuso: molti servizi pubblici (per esempio i parcheggi) usano i codici QR per consentire ai clienti di accedere facilmente a un sito con lo smartphone senza dover digitare un link complicato. Il problema è che ci sono truffatori che applicano codici QR falsi sopra quelli veri e dirottano i clienti verso siti che somigliano a quelli reali ma sono in realtà gestiti dai truffatori, per cui qualunque pagamento effettuato viene dirottato verso i criminali. Meglio quindi ricordarsi di Rick Astley e stare attenti ai codici QR che troviamo in giro: se sono applic ati e non stampati direttamente sui cartelli informativi è opportuno diffidare o almeno controllare con attenzione l’indirizzo al quale portano.


Fonte: Naked Security.

L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Finalmente un virus anche per iPhone. Perché lasciare agli altri tutto il divertimento di avere uno sconosciuto che ti entra nel telefono e gli fa fare quello che gli pare? Ora anche gli utenti del cellulare feticcio di Apple (che è un buon telefonino, ma non tanto da venerarlo come fanno alcuni, specialmente chi non ce l'ha) possono vedere soddisfatta questa lacuna.

Arriva infatti dall'Australia un vero e proprio worm autopropagante: ogni iPhone infetto cerca altri iPhone attraverso la rete telefonica e si installa in quelli che trova. Ma il titolo di Apple in borsa non è precipitato e non c'è alcuna pandemia cellulare, perché il worm ha i denti limati.

Infatti funziona soltanto sugli iPhone ai quali è stato applicato un jailbreak, letteralmente una “fuga dal carcere”, ossia ai quali è stata rimossa la protezione messa da Apple per bloccarne alcune funzionalità e vietare all'utente di installare software non approvato dalla società della mela morsicata. E fra gli iPhone con jailbreak, colpisce soltanto quelli ai quali è stato installato il programma SSH e non è stata cambiata la password di amministratore supersegreta, ossia alpine. State cominciando a sbadigliare?

Ma Graham Cluley di Sophos procede inesorabile nella descrizione di quello che si candida ad essere il worm più fiacco della storia: vale la pena parlarne lo stesso, perché oltre a essere un proof of concept (una dimostrazione di fattibilità) mi offre lo spunto per raccontare un po' di folklore internettiano.

L'unico danno che fa questo programma autoreplicante, infatti, è cambiare lo sfondo dell'iPhone infettato, mettendovi una foto del cantante Rick Astley e la dicitura “ikee is never going to give you up”. Un chiaro riferimento a una delle canzoni di maggior successo di Astley, Never Gonna Give You Up, annata 1987, ma un chiarissimo messaggio per i conoscitori del folklore di Internet: il worm è un rickroll, ossia una presa in giro, secondo una tradizione scoppiata nel 2007.

Il rickroll consiste nel fornire, durante una conversazione online, un link che sembra portare a qualcosa di altamente desiderato o provocatorio (per esempio il celebre video in cui Carla Bruni si sfila le mutandine e le porge maliziosamente a Sarkozy durante una funzione pubblica, credendo di non essere ripresa) ma che in realtà porta al video della canzone di Rick Astley. L'arte del rickroll sta nel creare una descrizione del link che contiene un vago indizio della sua natura burlesca, che verrà ignorato a causa della concitazione e del desiderio evocati dalla descrizione stessa. Il divertimento sta nel vedere quanta gente ci casca. Tanta, a quanto pare: il video di Astley su YouTube usato solitamente per i rickroll ha superato quota 21 milioni di visioni.

Ma torniamo alla parte tecnica del worm. Non ci sono per ora segnalazioni di infezioni al di fuori dell'Australia; non funziona sugli iPhone e iPod touch non sbloccati (senza jailbreak); richiede che sia installato SSH e che non sia stata cambiata la password di default. Se riesce a installarsi, cerca altri iPhone nelle stesse condizioni e li infetta. L'analisi di Sophos indica che si tratta di un worm dimostrativo sostanzialmente innocuo, ma nulla vieta di usarne il canovaccio per creare versioni più aggressive.

Va detto che cambiare lo sfondo del cellulare è comunque un'intrusione non autorizzata in un dispositivo informatico, ossia un reato punibile in molti paesi, e può avere un costo non banale, sia per ripristinare lo sfondo desiderato, sia per la paura di furto di dati che può evocare. È comunque un forte richiamo a fare attenzione quando si modifica un apparecchio: se non si sa esattamente cosa si sta facendo, c'è il rischio di farsi male esponendosi inconsapevolmente ad attacchi ben più gravi di un video degli anni Ottanta che parte a sorpresa.