Questo articolo è disponibile anche in versione podcast audio.

Capita sempre più spesso di fare riunioni e incontri in videoconferenza, a distanza, e anche i colloqui di lavoro, per selezionare candidati per un impiego, stanno vivendo la stessa tendenza ad avvenire online invece che di persona. Ma l’FBI ha pubblicato un avvertimento che segnala un aumento parallelo dell’uso di dati personali rubati e di deepfake, ossia di immagini video false generate in tempo reale, nell’ambito di questi colloqui. In pratica il candidato si spaccia per qualcun altro e mostra, durante il colloquio, immagini di un volto che non è il suo o fa sentire la voce di qualcun altro.

I colloqui di lavoro falsificati, dice l’agenzia statunitense, riguardano offerte per impieghi che verranno svolti da remoto o da casa, per cui è possibile che il datore di lavoro non incontrerà mai di persona il lavoratore. In particolare, questi colloqui deepfake avvengono quando il lavoro riguarda il settore informatico e darà quindi accesso a dati personali di clienti, dati finanziari, database aziendali o informazioni tecniche confidenziali.

Questo suggerisce che il movente di queste falsificazioni sia l’accesso fraudolento a questi dati preziosi, spesso a scopo di spionaggio o sabotaggio, come segnalato anche da altre agenzie governative statunitensi a maggio scorso.

Alcuni stati, secondo queste segnalazioni, stanno formando numerosi informatici che poi fingono di risiedere in paesi fidati usando VPN e documenti d’identificazione rubati, usando vari software per alterare voce e video per sembrare affidabili e rassicuranti nei colloqui di selezione fatti attraverso le normali piattaforme di offerta e ricerca di lavoro, e si fanno assumere dalle aziende per poi trafugarne dati o facilitare intrusioni da parte di loro complici.

L’FBI, le altre agenzie statunitensi e gli esperti del settore raccomandano alcune semplici verifiche. I dettagli della storia personale del candidato, come per esempio gli studi svolti, il luogo dove dichiara di risiedere, sono coerenti? Cosa succede se lo si chiama a sorpresa in videochiamata? Come reagisce alla proposta di spedire un plico all’indirizzo che ha dichiarato sui documenti che ha fornito? Se si tratta di un impostore, queste situazioni lo metteranno in seria difficoltà.

Le autorità e gli esperti segnalano anche alcuni trucchi per riconoscere un deepfake video o fotografico durante una videochiamata: per esempio, i gesti e i movimenti delle labbra della persona che si vede in video non corrisponderanno completamente al parlato. Oppure suoni inattesi, come un colpo di tosse o uno starnuto, non verranno falsificati correttamente dai programmi per creare deepfake in tempo reale.

L’MIT Media Lab ha creato una guida e un sito, Detect Fakes, che consente a ciascuno di valutare la propria capacità di riconoscere immagini personali falsificate e consiglia altri trucchi per rivelare una falsificazione: per esempio, guardare le guance e la fronte della persona che appare in video, perché se la pelle di queste zone è troppo liscia o troppo rugosa rispetto al resto del volto è probabile che si tratti di un falso. Si possono anche guardare le ombre della scena, che spesso nei deepfake non sono coerenti, oppure gli occhiali, che spesso hanno riflessi eccessivi, o ancora la barba o le basette o i nei, che i deepfake sbagliano facilmente. Un altro trucco è guardare fissa la persona negli occhi per vedere se sbatte le palpebre o no: anche questo è un errore frequente dei software che alterano il volto.

Cimentatevi, insomma, con il test dell’MIT Media Lab, che trovate presso detectfakes.media.mit.edu. Fra l’altro, saper riconoscere un video falso potrebbe servirvi anche fuori dell’ambito di lavoro, dato che anche molti truffatori online in campo privato usano queste stesse tecniche per fingere di essere persone seducenti e corteggiatrici per poi spingere le vittime a mostrarsi in video in atteggiamenti estremamente ricattabili.

Fonti aggiuntive: Gizmodo, Graham Cluley, Gizmodo.

Sta uscendo finalmente nelle sale No Time to Die, il più recente film della serie dedicata al celeberrimo agente segreto britannico inventato da Ian Fleming. La pandemia ne ha ritardato l’uscita, per cui è comprensibile che alcuni degli oggetti usati o indossati da James Bond ormai non siano più l’ultimissimo modello.

Ma può sembrare davvero strano che lo 007 famoso per le sue ipertecnologie sfoderi, in No Time to Die, dei telefonini Nokia. Specificamente il 3310, il 7.2 (perlomeno nel trailer originale) e l’8.3 5G, che sono usciti rispettivamente vent’anni fa (a meno che si tratti della riedizione del 2017), a fine 2019 e a ottobre 2020. Oltretutto Nokia oggi è un produttore quasi di nicchia (0,7% del mercato). Come mai questa scelta così particolare?

Ovviamente c’è di mezzo un contratto di sponsorizzazione, e in proposito c’è un dettaglio curioso da sapere: Apple non consente che i propri smartphone vengano usati dai cattivi nei film e nei telefilm (come segnalato dal regista Rian Johnson in questo video a 3:00). Per cui la prossima volta che guardate un giallo, per esempio, sapete con certezza che se un personaggio ha in mano uno smartphone di Apple non può essere un cattivo sotto mentite spoglie.

Detto questo, e tenendo presente che i film di 007 sono delle opere di fantasia che non hanno quasi nessun legame con la realtà dello spionaggio, vale la pena di chiedersi se ha senso per un personaggio come James Bond avere uno smartphone o un telefonino “vecchio stile” come un Nokia 3310.

Lo ha fatto Wired.com, e la risposta è che nessuno smartphone sarebbe una buona scelta, mentre un telefonino semplice sarebbe già più accettabile. Ma la vera sicurezza sarebbe non avere addosso nessun dispositivo elettronico.

Anche gli smartphone più recenti, infatti, hanno vulnerabilità come Pegasus che possono copiare messaggi, registrare chiamate e accedere alla telecamera, e per natura sono difficili da blindare completamente: sarebbe necessario evitare il WiFi, collegarsi fisicamente con un cavo Ethernet, installare un password manager e un adblocker, bloccare tutti i cookie, disabilitare Javascript, il tracciamento e il fingerprinting, non usare la mail, eccetera, secondo Edward Snowden. Conviene decisamente un telefonino “normale”, che già in partenza non ha nulla di tutto questo.

Secondo gli esperti consultati da Wired, se si è a rischio di sorveglianza elettronica da parte di malintenzionati molto esperti la soluzione migliore (dopo il non avere dispositivi) è uno smartphone Android appositamente modificato, sul quale è installato un sistema operativo ad alta sicurezza come GrapheneOS (che non manda dati a Google, tanto per cominciare) e nel quale sono stati fisicamente rimossi il microfono interno (si usa una cuffia, da collegare solo quando serve) e i sensori. Questo genere di servizio viene fornito, a caro prezzo, da aziende come NitroKey, Purism e Blackphone.

Ovviamente significa che bisogna fidarsi di queste aziende e sperare che fra i loro dipendenti non ci sia un agente della SPECTRE.

Un’inchiesta del Washington Post, della TV tedesca ZDF e dell’emittente svizzera SRF (anche qui) ha rivelato che l’azienda svizzera di crittografia Crypto AG è stata usata dalla CIA e dalla tedesca BND per decenni per spiare governi e forze armate di tutto il mondo, compresi i paesi loro alleati, come Spagna, Grecia, Turchia e Italia.

Crypto AG, infatti, vendeva apparati di crittografia che a seconda del paese di destinazione venivano alterati segretamente in modo da consentire ai servizi segreti statunitensi e tedeschi di decrittare facilmente le comunicazioni cifrate diplomatiche, governative e militari di quei paesi, comprese quelle del Vaticano.

In Svizzera lo scandalo è forte e verrà istituita una commissione parlamentare d’inchiesta per capire quali autorità specifiche fossero al corrente di questa vicenda. Ma c’è un dato che forse andrebbe considerato: la natura delle attività di Crypto AG non era affatto un segreto.

Infatti con una ricerca mirata in Google e con l’aiuto di alcune segnalazioni dei lettori emergono numerose indagini giornalistiche, anche svizzere, che mettono a nudo Crypto AG sin dal 1994:

• La serie in 5 episodi della RTS La Suisse sous couverture (novembre 2019)
• How NSA and GCHQ spied on the Cold War world (BBC, 2015);
• Depuis 1956, l’entreprise suisse Crypto AG collaborait avec le renseignement américain, britannique et allemand (LeTemps.ch, 2015);
• Swiss cryptography firm helped NSA during Cold War (Swissinfo.ch, 2015);
• National Security Agency Surveillance: Reflections and Revelations 2001-2013, di Wayne Madsen;
• NSA Backdoors in Crypto AG Ciphering Machines, di Bruce Schneier (2008);
• Why NSA is the Fort Knox of the U.S. Intelligence Establishment, di Wayne Madsen (2005, disponibile qui);
• Crypto AG: The NSA's Trojan Whore? di Wayne Madsen e Crypto’s Cryptic Ownership, in Covert Action Quarterly 4/1997, pagine 36-38;
• „Wer ist der befugte Vierte?“ (Der Spiegel, 1996);
• Rigging the Game (Baltimore Sun, 1995);
• Rendezvous: People and Places in Switzerland, intervista con Hans Buehler di James Nason, Swiss Radio International, 18 luglio 1994 (citato in Covert Action Quarterly 4/1997).

Fonte: Swissinfo.ch.

Tutte queste inchieste documentano che i rapporti con Crypto AG dei servizi segreti statunitensi e tedeschi erano già stati resi noti con grande dettaglio. La novità di oggi è semplicemente che sono stati resi pubblici documenti sulla vicenda che prima erano segreti. Fingere di non averne saputo nulla sembra quindi piuttosto implausibile.


2020/02/15. Cominciano a essere pubblicate le prime ammissioni ufficiali.

2020/02/19. È stato ritrovato il dossier mancante dal 2014, contenente gli atti dell’indagine della Polizia Federale su Crypto AG (Ticinonews).


Fonti aggiuntive: Tvsvizzera.it, Swissinfo.ch, The Register.

Lo smartphone di Jeff Bezos, boss miliardario di Amazon, uno a cui i soldi e le motivazioni per pensare alla propria sicurezza informatica non mancano di certo, è stato violato.

Secondo i risultati di una perizia tecnica, l’iPhone di Bezos ha iniziato a trasmettere dati in quantità elevate (in media 100 megabyte al giorno) verso una destinazione imprecisata il primo maggio 2018, dopo che Bezos ha ricevuto tramite WhatsApp un video inviatogli dall’account di Mohammed bin Salman Al Saud, influente principe ereditario saudita che sostanzialmente governa l’Arabia Saudita.

Lasciando da parte momentaneamente i risvolti planetari politici della vicenda (Bezos è proprietario del Washington Post, il giornale per il quale scriveva il giornalista Jamal Khashoggi, fortemente critico del governo saudita  assassinato presso il consolato saudita di Istanbul a ottobre 2018), per noi comuni mortali questo attacco ha alcune implicazioni importanti.

Immagini tratte dal telefono di Bezos e inviategli dall’account di Mohammed bin Salman mostrano una donna che sembra essere Lauren Sanchez, con la quale Bezos aveva all’epoca una relazione extraconiugale segreta.

Primo, e non banale, a quanto pare le persone più influenti del mondo chattano tramite WhatsApp. Ci si potrebbe aspettare un social network riservato ai miliardari, e invece no.

Secondo, è stato violato un iPhone X, nonostante tutte le dichiarazioni sulla sicurezza di questo dispositivo fatte da Apple.

Terzo, l’iPhone è stato violato mandando un video alla vittima. Questo vuol dire che esiste un modo per attaccare chiunque via WhatsApp inviando un video? Non proprio. Secondo la perizia tecnica, il video è arrivato insieme a un imprecisato “downloader crittografato”, per cui non basta semplicemente ricevere un video per temere un attacco.

Quarto, è possibile che la falla usata per violare lo smartphone di Jeff Bezos sia stata già corretta: a maggio 2019 fu annunciata e corretta una grave vulnerabilità di WhatsApp (un buffer overflow) che veniva a quanto pare utilizzata da vari governi per spiare le persone.

Quinto, a quanto pare Bezos ha dimenticato la password del proprio account iTunes, visto che i periti hanno dovuto usare una tecnica particolare per ottenere i dati senza usare questa password.

Morale della storia: il vostro smartphone è così complesso e potente che è difficilissimo metterlo in totale sicurezza persino per uno come Jeff Bezos e quindi l’unica vera difesa è non usarlo, preferendo un telefonino normale (o nessun telefonino). Per contro, attacchi sofisticati come questo richiedono le risorse economiche e tecniche di uno stato, per cui se non siete un bersaglio particolarmente appetibile per motivi professionali o politici non avete motivo di preoccuparvi per questo genere di intrusione sofisticata.

Ma se lo siete, pensateci. E in ogni caso fate sempre gli aggiornamenti di sicurezza e non dimenticatevi le vostre password.


Fonti aggiuntive: Graham Cluley, BoingBoing, Vice.com.

Il furto dei dati di circa 500 milioni di clienti degli alberghi della catena internazionale Marriott, che include anche altri marchi noti (come per esempio Sheraton, Westin, Element, Aloft, The Luxury Collection, Tribute Portfolio, Le Méridien, Four Points e altri ancora), è il secondo più grande di tutti i tempi per numero di persone colpite. Al primo posto c’è il furto subìto da Yahoo nel 2013, quando furono trafugati i dati di tre miliardi di account.

Ma che cosa se ne fanno, esattamente, i criminali di questi dati?

A prima vista l’archivio dei clienti di una catena d’alberghi non sembra particolarmente allettante, visto che oltretutto sembra per ora che i dati delle carte di credito dei clienti Marriott non siano stati violati. Ma in realtà anche gli altri dati sottratti hanno un valore notevole: nomi e cognomi, indirizzi di mail, numeri di telefono, numeri di passaporto, date di nascita e date di partenza e arrivo possono infatti essere usati per moltissime truffe informatiche.

Le più ovvie sono quelle che contattano la vittima, via mail o per telefono, spacciandosi per il servizio clienti della catena alberghiera e offrendo un rimborso da versare sulla carta di credito, se la vittima è così gentile da fornirne il numero e il codice di sicurezza. Questo genere di raggiro è estremamente convincente se viene accompagnato da così tanti dati personali: chi altro, se non l’albergo, saprebbe per esempio le date di arrivo e di partenza?

È vero che molte persone fiuteranno comunque il tranello, ma nella massa ci sarà sempre qualcuno che abboccherà. E qui la massa è grande: con cinquecento milioni di bersagli, anche un successo ogni mille tentativi frutterà cinquecentomila carte di credito di persone economicamente ben dotate, e i tentativi possono essere completamente automatici.

Ci sono anche truffe meno ovvie: per esempio, molti utenti usano la stessa password dappertutto, per cui quella che hanno usato per prenotare camere presso questa catena è quella che usano anche per la mail o per i social network. Accedere alla mail aziendale di qualcuno permetterebbe di mandare istruzioni di lavoro fasulle, come un cambio di conto corrente su cui pagare un fornitore, in modo che il pagamento finisca sul conto dei criminali. Accedere a un account su un social network consentirebbe di trovare foto imbarazzanti da usare per estorsioni e ricatti oppure permetterebbe di fare spamming.

Ma c’è anche un altro modo per sfruttare dati alberghieri rubati: i numeri dei passaporti possono essere usati per creare passaporti falsi o per aprire conti correnti spacciandosi per le vittime. Lo spionaggio governativo ne può approfittare per sorvegliare gli spostamenti dei funzionari dei governi spiati, grazie per esempio al fatto che negli Stati Uniti esiste un archivio pubblico di tracciamento dei viaggi che si basa proprio sul numero di passaporto.

Insomma, quello che poteva sembrare un problema marginale ha implicazioni molto serie. Se negli ultimi anni siete stati ospiti di questi alberghi, vi conviene cambiare le vostre password, visitare il sito info.starwoodhotels.com per avere istruzioni e tenere d’occhio gli estratti conto della vostra carta di credito.


Fonti: Wired, Kroll.com, Ars Technica, Gizmodo, Naked Security, Il Post.

Ultimo aggiornamento: 2017/03/14 13:40. 

Martedì scorso Wikileaks ha diffuso circa mezzo gigabyte di dati e documenti che, a suo dire, provengono direttamente dagli archivi della CIA e rivelano molti degli strumenti informatici dell’agenzia governativa statunitense. La compilation, chiamata Year Zero, farebbe parte di una collezione più ampia che Wikileaks chiama Vault 7. Le prime verifiche indipendenti indicano che almeno alcuni dei documenti pubblicati sono autentici.

La rivelazione è molto spettacolare: nei documenti vengono descritti strumenti decisamente inquietanti, capaci per esempio di infettare qualunque smartphone, di prendere il controllo di qualunque Smart TV della Samsung e trasformarla in un microfono permanentemente acceso anche quando il televisore sembra spento, e soprattutto viene elencata una serie di falle informatiche presenti in vari prodotti, compresi i computer Windows e Apple e molti antivirus, e tenute segrete per poterle sfruttare al momento opportuno. Secondo Wikileaks la CIA avrebbe anche modi per “scavalcare la cifratura” che protegge WhatsApp, Signal, Telegram e molte altre app di messaggistica ritenute sicure. Ma se avete una Smart TV o uno smartphone o un computer e state pensando di buttarli e di rinunciare a difenderli perché la CIA vi spia, è il caso che prendiate un bel respiro e non vi facciate prendere dal panico. Anche se l’esame di questi circa 8700 documenti è appena iniziato, ci sono già parecchi miti da smontare.

Prima di tutto, come principio generale, quasi tutti gli strumenti di spionaggio catalogati da Year Zero sono concepiti per infettare un singolo dispositivo per volta (le TV Samsung vanno infettate infilando una chiavetta USB) e non consentono sorveglianze di massa. Le probabilità che la CIA si prenda la briga di infettare personalmente i vostri dispositivi sono quindi estremamente basse (se non lavorate in ambienti particolarmente delicati).

Se avete paura per la vostra sicurezza informatica, è infinitamente più probabile che subiate un attacco di phishing o di ransomware fatto a caso da una delle tante bande di criminali informatici o che il vostro collega devasti i computer dell’azienda scaricandovi giochini o video infetti o rispondendo alla mail di un funzionario nigeriano che gli offre di spartire una grande somma di denaro (un’industria truffaldina che racimola almeno un miliardo di dollari l’anno). Conviene concentrarsi sulla difesa da questi pericoli realistici e non su quelli ispirati da James Bond.

In secondo luogo, la fuga di queste notizie riservatissime ha molte conseguenze positive per noi tutti. Certo, è una figuraccia per la CIA, ma è anche una conferma chiarissima delle ragioni che avevano spinto Tim Cook, boss di Apple, a rifiutarsi di collaborare con gli inquirenti statunitensi nello sbloccare l'iPhone di uno dei terroristi dell’attentato di San Bernardino nel 2016. Cook diceva che creare un grimaldello capace di sbloccare quell’iPhone avrebbe compromesso la sicurezza di tutti gli utenti iPhone del mondo, perché prima o poi quel grimaldello sarebbe sfuggito al controllo del governo e sarebbe finito nelle mani sbagliate. All’epoca quest’ipotesi era sembrata un po’ fantasiosa ed eccessivamente priva di fiducia verso le autorità: adesso i documenti della CIA trafugati dimostrano che era corretta.

Una seconda conseguenza positiva delle rivelazioni è che adesso le aziende che producono hardware e software possono sapere di queste falle tenute nascoste e correggerle. Va notato che in questa prima tranche di documenti ci sono solo informazioni generali sugli strumenti d’attacco ma non ci sono gli strumenti veri e propri, per cui è difficile che i criminali informatici possano usare questa fuga di dati per creare nuovi attacchi.

Allo stesso tempo la pubblicazione dei documenti da parte di Wikileaks ha messo in luce un problema di sicurezza generale: è giusto che un governo scopra delle falle di sicurezza nei prodotti di largo consumo, usati dai suoi stessi cittadini e dalle sue aziende strategiche, e le tenga segrete per poterle sfruttare, invece di informare le aziende produttrici e consentire di correggerle? È vero che conoscere queste falle conferisce un vantaggio nella lotta al terrorismo e nel controspionaggio, ma allo stesso tempo compromette la sicurezza dei cittadini e delle infrastrutture che il governo è tenuto a proteggere, come nota la Electronic Frontier Foundation. È difficile argomentare in modo credibile che siccome da qualche parte ci potrebbe essere un terrorista che usa una TV della Samsung è meglio lasciare milioni di persone esposte al rischio di intrusione e di stalking. Per fare un paragone, è come se un poliziotto passasse davanti a casa vostra, si accorgesse che la serratura della vostra porta di casa è difettosa, e invece di avvisarvi che è meglio cambiarla se ne andasse via facendo finta di niente e prendendo nota del difetto, caso mai gli dovesse servire entrare di soppiatto.

Inoltre le tecniche di intrusione descritte nei documenti resi pubblici fin qui non rivelano nulla di straordinario: si sospettava già da tempo che i servizi di sicurezza di vari governi ne disponessero e questi documenti non hanno sorpreso gli esperti. Semmai questi documenti sono interessanti perché mostrano dall’interno il modo di operare di una delle agenzie più segrete del mondo, spesso con risultati sorprendenti. Per esempio, i documenti trafugati mostrano che la CIA acquista attacchi informatici da società commerciali e da agenzie governative di altri paesi.

Per fare un altro esempio, i nomi dei vari strumenti d’attacco informatico sono presi spesso dalla cultura geek e giovanile. Spicca, per esempio, il programma Weeping Angel, “Angelo piangente”, che serve per attaccare le Smart TV: è una chiarissima citazione del telefilm britannico Doctor Who. Ci sono moltissimi nomi comici o ridicoli o citazioni da memi o videogiochi, come Philosoraptor o DRBOOM, e c’è addirittura una collezione di emoticon personalizzate (mostrata anche qui e nel documento originale): paradossalmente, questa fuga di dati umanizza parecchio gli operatori senza nome dell’agenzia.

Purtroppo il clamore giornalistico e un po’ di esagerazione drammatica stanno creando parecchi equivoci. Forse il più importante è che nei documenti resi pubblici non viene affatto detto che la CIA ha compromesso la crittografia di WhatsApp, Signal o Telegram, ma che è in grado di intercettare le digitazioni degli utenti in generale se riesce a infettare l’intero smartphone sul quale girano queste app. Quindi la sicurezza di queste app non è stata violata e non è affatto il caso di abbandonarle pensando “tanto è tutto inutile”: semplicemente, come per qualunque app, se il dispositivo è stato compromesso non c’è nulla che l’app possa fare per proteggere il suo utente. Anzi, secondo Moxie Marlinspike, creatore di Signal, il fatto che la CIA debba ricorrere all’infezione individuale dello smartphone significa che la crittografia di Signal è robusta contro le intercettazioni di massa. E se un intruso ha accesso fisico ai vostri dispositivi personali vuol dire che potrebbe fare ben di peggio, per esempio installando microspie tradizionali, senza prendersi la briga di architettare complicate infezioni.

Inoltre il fatto che la CIA sviluppi o tenti di sviluppare strumenti informatici d’attacco non significa necessariamente che li usi o che li abbia creati con successo. Per esempio, l’idea che la CIA studi tecniche per infettare i sistemi computerizzati che controllano il funzionamento delle nostre automobili per avere un modo di compiere delitti perfetti senza lasciare tracce è inquietante, soprattutto per chi ha un’auto interconnessa o addirittura aggiornabile via software da remoto (Tesla, per esempio, ma anche le altre marche che hanno centraline aggiornabili con un intervento locale), ma non vuol dire che ci sia riuscita, che lo faccia e che i costruttori di auto non possano prendere contromisure. Di fronte al rischio quotidiano di un incidente stradale, questi pericoli finiscono per essere puramente teorici.

Se volete leggere i dettagli di questa vicenda, consiglio gli articoli di Stefania Maurizi su Repubblica e di Carola Frediani su La Stampa.


Fonti aggiuntive: Washington Post, The Register, Gizmodo, Reuters, The Intercept.

Il buon senso informatico dice che uno dei modi migliori per proteggere i dati presenti in un computer è isolare il computer da qualunque connessione. Se non è collegato alla rete locale o, peggio ancora, a Internet, dovrebbe essere impenetrabile.

Giusto, o quasi. Un computer completamente scollegato (in gergo “air-gapped”, ossia “isolato in aria”) è in effetti molto difficile da attaccare. Non per nulla isolare fisicamente i computer è una pratica molto comune a livello militare, governativo e commerciale per i sistemi più critici.  Ma un attacco non è impossibile, e un gruppo di ricercatori israeliani ha trovato e dimostrato un metodo decisamente creativo per sferrarlo: sfruttare le luci del disco rigido.

L’indicatore luminoso di attività di un disco rigido normalmente lampeggia durante l’uso del computer, e nessuno fa caso ai suoi bagliori intermittenti, per cui ai ricercatori del Centro di Ricerca per la Sicurezza Informatica dell'Università Ben Gurion del Negev è venuto in mente che questa luce è un segnale perfetto: una volta infettato il computer isolato (con un complice interno o con altre tecniche, come quelle usate dal malware Stuxnet nel 2010 per raggiungere e danneggiare i sistemi di controllo degli impianti nucleari iraniani), i dati da rubare vengono trasmessi codificandoli nei lampeggiamenti dell’indicatore luminoso, comandati dal malware. Questi lampeggiamenti sono una sorta di codice Morse luminoso e vengono captati a distanza da una telecamera. Un computer esamina le riprese e ne estrae i dati.

Il concetto è intrigante e sa di trovata da film, ma i ricercatori hanno architettato una dimostrazione pratica, descritta in un articolo tecnico e in un video: montano una piccola telecamera su un drone, che di notte si piazza in modo da vedere attraverso una finestra la luce del disco rigido del computer bersaglio.

Potrebbe sembrare un modo molto lento per estrarre dati, ma i ricercatori sono riusciti a trasmettere fino a 4000 bit al secondo (un megabyte in mezz’ora): più che sufficienti per trasmettere del testo o delle password o una chiave crittografica. A queste velocità, fra l’altro, il lampeggiamento del LED del disco rigido è talmente rapido da essere impercettibile all’occhio umano e la fuga di dati non lascia tracce.

Per fortuna le contromisure sono molto semplici: coprire il LED con qualcosa di opaco, orientarlo in modo che non sia visibile attraverso le finestre o (meglio ancora) collocare i computer essenziali in stanze prive di finestre. Ma bisogna avere l’accortezza di pensarci.

Una volta ti prendevano in giro perché mettevi il nastro adesivo sulla webcam, poi hanno capito che non era paranoia perché la si poteva davvero accendere di nascosto; chissà se adesso scoppierà la moda di tappare anche le lucette dei dischi rigidi. Ci sarà pure una ragione per cui quelle lucette si chiamano spie, no?

Fonti aggiuntive: Wired.

Fonte: SZ.

Pochi giorni fa le autorità tedesche hanno diramato un ordine decisamente insolito: distruggere tutti gli esemplari di una bambola. Lo ha fatto l’Autorità garante delle telecomunicazioni della Germania (Bundesnetzagentur) perché la bambola in questione, chiamata Cayla, è per le norme tedesche un dispositivo di spionaggio. Ma come è possibile?

Di Cayla avevo già raccontato qui un paio di mesi fa, quando l’Ufficio europeo delle Unioni dei Consumatori aveva pubblicato le prime segnalazioni di violazioni della privacy e della sicurezza da parte di questa bambola interattiva e del suo cugino, il robot i-Que, entrambi fabbricati dalla Genesis Toys. Ma ora in Germania è stato diffuso l’invito ufficiale a distruggere la bambola perché usarla o possederla è addirittura illegale.

Questi giocattoli “smart”, infatti, si collegano senza fili, tramite Bluetooth, a un telefonino e da lì si connettono a Internet; hanno un microfono nascosto che ascolta le parole dei bambini, che vengono registrate e trasmesse via Internet alla Nuance Communication, un’azienda specializzata nel riconoscimento vocale. Presso la Nuance le parole ascoltate vengono convertite in testo, che viene usato per generare delle risposte automatiche, pronunciate quasi istantaneamente dalla bambola o dal robot, creando l’illusione di un dialogo. Cayla e i-Que, insomma, sono una sorta di Siri incorporata in un giocattolo.

Il problema di questi giocattoli è che non hanno alcuna protezione contro le intrusioni, per cui un malintenzionato può semplicemente usare uno smartphone generico per collegarsi alla bambola – non c'è nessun codice PIN da digitare per farlo – e ascoltare a distanza (una decina di metri) quello che viene detto nelle vicinanze del giocattolo e per esempio circuire o molestare un bambino.



Può anche essere usata per sbloccare una serratura comandata a voce o per attivare qualunque altro oggetto comandabile a voce:



In altre parole, la bambola Cayla agli occhi delle autorità tedesche è una cosiddetta “cimice”: un radiomicrofono dissimulato in un oggetto comune, che non rivela esplicitamente la propria funzione di dispositivo d'ascolto. E questo genere di oggetti è vietato severamente dalla legge tedesca, memore della terrificante sorveglianza di massa effettuata dai governi della Germania nazista e della Germania Est prima della riunificazione.

Cayla è stata già tolta dal mercato in Germania, e non è il primo oggetto del genere a subire questa sorte. Le autorità tedesche hanno dichiarato che al momento non sono previste sanzioni per chi ha acquistato la bambola e che spetterà ai genitori renderla innocua, per esempio togliendole le batterie.

A livello europeo, e quindi anche in Italia, le norme sui registratori o microfoni dissimulati non sono così severe, ma resta il fatto che Cayla e i-Que sono giocattoli digitali privi di qualunque sicurezza informatica e captano le conversazioni domestiche per mandarle a un’azienda estera. Anche con le migliori intenzioni del mondo, abituare i nostri figli a crescere con un microfono sempre acceso in casa probabilmente non è un’idea molto “smart”.


Fonti aggiuntive: BBC; BoingBoing; SZ; La Stampa; Codacons.

Il disastro del miliardo di account Yahoo violati annunciato di recente ha un’unica circostanza attenuante: essendo avvenuto tre anni fa, nel frattempo molti utenti hanno comunque cambiato le proprie password o hanno smesso di usare i propri account Yahoo. Ma questo non vuol dire che quest’enorme collezione di dati non sia sfruttabile e non faccia gola ai grandi criminali informatici.

I dati sottratti sono stati venduti al mercato nero ad almeno tre acquirenti distinti, ciascuno dei quali avrebbe pagato circa 300.000 dollari, stando alle fonti del New York Times. Gli acquirenti sarebbero due spammer e un altro gruppo interessato allo spionaggio.

Ma cosa se ne fanno, questi criminali, di account che hanno probabilmente password obsolete? Una risposta è che di solito gli utenti cambiano periodicamente le password, ma raramente cambiano le risposte alle domande di recupero password (anche perché domande del tipo “Come si chiamava tua madre da nubile?” di solito hanno risposte che non variano nel tempo).

Questo significa che i malfattori possono rubare gli account anche se non hanno la password aggiornata: usano le risposte alle domande di recupero, che fanno parte dei dati trafugati a Yahoo. Non solo: dato che appunto le risposte alle domande non cambiano, possono usare quelle che avete immesso in Yahoo per rubarvi anche account che avete altrove e che dipendono dalle stesse domande. Di conseguenza, sarebbe una buona idea prendere l’abitudine di rispondere con dati di fantasia alle domande di recupero (segnandosi ovviamente in un luogo sicuro le risposte).

Ma c’è un motivo ancora più significativo per l’acquisto di dati come quelli sottratti a Yahoo: Bloomberg segnala che fra i dati ci sono quelli di oltre 150.000 dipendenti governativi e militari statunitensi. Per una potenza straniera, mettere le mani su “nomi, password, numeri di telefono, domande di sicurezza, date di nascita e indirizzi di e-mail di riserva” di “personale attuale e passato della Casa Bianca, membri del Congresso USA e loro assistenti, agenti dell’FBI, dell’NSA, della CIA” e altri ancora, elencati da Bloomberg, è altamente desiderabile.

Roba da fantascienza. Un gruppo di intrusi informatici probabilmente legato all'NSA, l'ente di sicurezza e sorveglianza statunitense, infetta impunemente di nascosto da più di un decennio i computer di tutto il mondo. Lo segnala la società di sicurezza informatica russa Kaspersky in un dettagliatissimo rapporto che profuma di spy-story.

Fra le tecniche utilizzate ne spicca una: un malware in grado di riscrivere il firmware (il software di controllo di base) dei dischi rigidi di Western Digital, Maxtor, Samsung, IBM, Micron, Toshiba e Seagate. Il malware creava su ogni disco rigido infettato un deposito nascosto nel quale archiviare dati intercettati. L'archivio e il malware non venivano rilevati dagli antivirus e sopravvivevano allegramente alla cancellazione e alla riformattazione del disco e alla reinstallazione del sistema operativo. La capacità tecnica di creare un malware del genere implica risorse tecniche eccezionali, compreso l'accesso al codice sorgente dei fabbricanti di dischi rigidi.

Un altro esempio notevole: nel 2009 dei ricercatori scientifici che avevano partecipato a una conferenza a Houston, in Texas, ricevettero per posta un CD contenente i documenti della conferenza, come capita normalmente. Ma il CD originale era stato intercettato in transito nel sistema postale ed era stato sostituito con una copia che iniettava nel computer un software-spia.

Anche le penne USB venivano usate come vettori d'infezione già nel 2008 da questi intrusi d'alto livello, che sfruttavano una falla di Windows all'epoca sconosciuta che consentiva d'infettare un PC semplicemente inserendo la penna, anche se l'Autorun era disattivato.

Kaspersky chiama questa squadra d'élite Equation Group per via della passione dei suoi membri per gli algoritmi di cifratura e le tecniche matematiche avanzate usate per nascondere i dati. La società di sicurezza informatica ha documentato circa 500 infezioni perpetrate dall'Equation Group in almeno 42 paesi: in cima alla lista dei paesi colpiti ci sono Iran, Russia, Pakistan, Afghanistan, India, Siria e Mali.

L'utente comune probabilmente non ha motivo di preoccuparsi di questo genere di attacco: a differenza delle forme di sorveglianza di massa usate da altre organizzazioni, secondo Kaspersky questo gruppo effettua attacchi con precisione chirurgica contro utenti estremamente specifici (governi, sistemi militari, società di telecomunicazione, banche, operatori del settore energetico, ricercatori nucleari e attivisti islamici) ed è in mano a gente spettacolarmente competente, anche se è emerso un caso, risalente al 2010, di un utente comune che è stato colpito da Fanny, uno dei malware per chiavette USB dell'Equation Group.

Tuttavia l'esistenza di strumenti d'attacco così sofisticati e invisibili pone un problema di fondo non banale: se esiste malware in grado di alterare il funzionamento di base di un disco rigido e depositarvi dati senza lasciare tracce rilevabili, molte delle tecniche d'informatica forense usate comunemente per documentare reati informatici non possono essere più considerate perfettamente attendibili. D'ora in poi i criminali potranno sempre insinuare il ragionevole dubbio che i reati commessi tramite i loro computer siano stati perpetrati da qualche malware a loro insaputa.


Fonti: Reuters, Ars Technica, TomsHw.

Circola da tempo la diceria che in alcuni paesi vengano usati, durante i controlli in frontiera, dei sistemi ultraveloci per infettare i computer dei sospettati o delle persone ritenute interessanti per ragioni di sorveglianza o spionaggio. Sembra uno scenario da film, perché pare impossibile scavalcare in pochi minuti le protezioni di un buon computer odierno, ma Ars Technica analizza in dettaglio un tipo di attacco, denominato Thunderstrike, che è in grado di infettare rapidamente un Mac usando un dispositivo collegato alla sua porta Thunderbolt.

In sintesi, un aggressore che abbia accesso fisico al Mac deve soltanto riavviare il computer mentre il dispositivo di attacco è connesso appunto alla porta Thunderbolt del Mac. Se il computer è protetto da una schermata di blocco, all'aggressore basta tenere premuto per alcuni secondi il tasto di accensione, in modo da obbligarlo ad effettuare un hard reboot. Il malware installato sul dispositivo Thunderbolt è un bootkit, ossia un software che sostituisce il firmware normale di avvio del Mac e quindi scavalca le password sul firmware e quelle che proteggono la cifratura del disco.

Il malware, operando a livello del firmware, è indipendente dal sistema operativo e sopravvive persino a una formattazione e alla reinstallazione del sistema operativo. Inoltre sostituisce la firma digitale usata da Apple per consentire ai Mac di eseguire solo firmware autorizzato, per cui diventa estremamente difficile da eliminare da un computer infettato.

Si tratta, a quanto risulta, del primo bootkit per Mac: è decisamente inquietante, ma per ora si tratta soltanto di un malware dimostrativo, non circolante in Rete, che è stato creato da un esperto, Trammell Hudson. Hudson ha segnalato la vulnerabilità ad Apple, che la sta correggendo tramite degli aggiornamenti.

In attesa che questa falla venga chiusa, ci sono soltanto due rimedi: uno è assicurarsi che il proprio Mac non rimanga mai incustodito dove può essere maneggiato da qualcuno (per esempio in camera in albergo, dove gli addetti alle camere possono entrare) e l'altro è sigillare fisicamente la porta Thunderbolt, cosa non proprio pratica, dato che da questa porta passano i collegamenti per i monitor esterni e per moltissimi altri dispositivi.

Mikko ha centrato ancora una volta il problema con grande efficacia: è tempo di smetterla di fingere che tutto vada bene e che si debba continuare a suonare la musica e servire ai tavoli intanto che il locale sta prendendo fuoco. Il “locale”, in questo caso, è Internet, sfruttata come campo di battaglia dagli stati, che con suprema indifferenza spiano tutti e si attaccano a vicenda anche tra alleati europei e dai social network che sembrano sempre più lo zio un po’ troppo guardone. I fanti di questo campo di battaglia siamo noi; il bello è che ci siamo offerti volontari senza renderci conto di cosa stavamo facendo.


Ho chiesto a Hypponen il permesso di preparare una traduzione in italiano del suo discorso e la pubblicherò qui se la sua risposta sarà positiva.


Aggiornamento (2014/12/11) Ho ricevuto il permesso da Mikko, e sto preparando la traduzione.


Aggiornamento (2014/12/18): Qui sotto trovate la trascrizione integrale, con qualche piccola correzione per le papere di Mikko. Datele un'occhiata e snidate eventuali errori. Io intanto la uso per preparare la traduzione.


Aggiornamento (2014/12/27): La traduzione è pronta, grazie anche all'aiuto di mio figlio Liam; anche qui, controllatela per eventuali refusi o pasticci.

Il Beverly Hills Country Club era un nightclub e ristorante. Uno enorme. Poteva accogliere fino a tremila persone ogni sera. Persone che venivano a godersi cene a più portate e ad assistere a spettacoli di prima categoria. Il 28 maggio 1977, un diciannovenne di nome Walter Bailey stava lavorando al Beverly Hills Country Club come cameriere. Attorno alle otto, quella sera, fu fermato da un altro cameriere che gli chiese se sapeva dov'erano i proprietari del club. Walter non lo sapeva e chiese il motivo della domanda. L'altro cameriere gli disse che c'era un piccolo incendio causato dall'elettricità in una delle stanze al centro del complesso e che quindi stava cercando i proprietari. The Beverly Hills Country Club was a nightclub and a restaurant. A huge one. It could seat up to three thousand people every single night. People who would come to enjoy multi-course dinners and watch first-class entertainment. On the 28th of May in 1977, a nineteen-year-old guy called Walter Bailey was working at the Beverly Hills Country Club as a waiter. At around 8 o'clock that evening, Walter was stopped by another waiter who asked Walter if he knew where the owners of the club are. And Walter didn't and he asked why. And the other waiter told him that there's a small electrical fire in one of the rooms in the center of the complex, so he’s trying to find the owners. Walter si interessò e decise di investigare, e quindi lasciò la sala da ballo, dove stava servendo, e andò al centro del Country Club, verso la stanza che conteneva l'incendio. Mentre si avvicinava alla stanza poteva vedere che c'era del fumo che usciva dalla parte superiore della porta che conduceva alla stanza. Così si rese conto che lì dentro c'era un grosso incendio e fu abbastanza sveglio da non aprire la porta. Invece tornò nella propria sala da ballo. Il complesso aveva molte sale da ballo differenti, e quella dove lui stava servendo ospitava più di 900 persone sedute. Così andò lì, trovò il proprio capo e gli disse, “C'è un incendio nell'edificio e dobbiamo evacuare questa sala.” Il capo si limitò a guardarlo con espressione smarrita. Walter got interested and he decided to investigate, so he left his ballroom where he was serving and he went to the center of the Country Club, towards the room which had the fire. And as he was getting closer to this room he could see that there was smoke pouring out from the top of the door that led to the room. So he realized that there's a big fire inside the room and he was clever enough not to open the door. Instead he returned back to his ballroom. The complex had multiple different ballrooms and the one where he was serving in had over 900 people seated down. So he went there and he found his boss and he told his boss, “There’s a fire in the building and we have to evacuate this room”. And his boss was just looking at him blankly. Dovete capire che c'erano novecento persone sedute lì dentro e che queste persone stavano festeggiando cose come per esempio i propri matrimoni. C'erano numerose feste di matrimonio fra i presenti, per esempio spose in abito nuziale; c'erano persone che festeggiavano il cinquantesimo compleanno o anniversario di matrimonio con le proprie famiglie assistendo a spettacoli, bevendo e godendosi il cibo. Poi Walter vide che c'era in realtà anche una fila di persone che stavano ancora entrando nella sala. Così andò verso la fila e disse “Seguitemi tutti”. Poi guidò questa fila lungo diversi corridoi per uscire dal complesso in uno spiazzo interno e disse loro “Aspettate qui, per favore.” Nessuno si chiese neanche il perché; stavano semplicemente seguendo gli ordini. And now you have to understand there were nine hundred people seated down there, and these people were celebrating things like their weddings. There were multiple wedding parties in the audience, like brides in their wedding dresses; there were people celebrating their 50th anniversaries or fiftieth birthdays with their families, watching entertainment and drinking and enjoying the food. And then Walter saw that there was actually a queue of people who are still coming into the room, so he went to the queue and he told them “Everybody follow me”. And then he walked this queue through different corridors out from the complex to the courtyard and he told them “Please wait here.” Nobody even asked why; they were just following orders. Ma tornando nella propria sala da ballo, Walter vide con orrore che tutti erano ancora seduti. L’orchestra stava ancora suonando, alcune persone stavano ancora ordinando dei cocktail. Allora decise di agire. Pensò, “Finirò nei guai per questo”, ma ciò nonostante salì sul palco, prese il microfono dal cantante, disse di fermare la musica e poi si rivolse alla folla. Disse: “Ascoltatemi tutti. Se guardate alla vostra destra, c'è un'uscita in quella parete laggiù. Se guardate alla vostra sinistra, c'è un'uscita in quella parete laggiù, e sul retro ce n'è un'altra. Alzatevi tutti adesso e abbandonate la sala.” E questo è quello che fece la gente; seguì gli ordini. But as Walter returned to his ballroom, to his horror he saw that everybody was still sitting down. The band was still playing, people were still ordering cocktails. And then he decided to act. He thought to himself, “I'm gonna get into trouble over this”, but nevertheless he climbed to the stage, he took the microphone from the singer of the band, he told the band to stop and then he addressed the crowd. He told the crowd, “Everybody listen up. If you look on your right side, there’s an exit in the wall over there. If you look on your left side, there's an exit in the wall over there, and in the back there's one more exit. Everybody stand up right now and leave the room.” And that's what people did; they followed orders. Quella sera il Country Club, nel Kentucky, fu raso al suolo dall'incendio. La sala da ballo che Walter – il diciannovenne Walter – aveva fatto evacuare fu divorata dalle fiamme dieci minuti dopo che lui aveva deciso di prendere il microfono. Walter salvò centinaia di persone. Altri nel complesso non furono altrettanto fortunati. Più di 165 persone morirono nell'incendio quella notte. And that night the Kentucky Country Club burned to the ground. The ballroom that Walter – the 19-year-old Walter – evacuated was engulfed in flames in ten minutes from the moment when he took the mike. Walter saved hundreds of people. There were other people in the complex who weren't so lucky. Over 165 people died that night in that fire. Ma questa storia mi fa venire in mente le nostre azioni di oggi, nelle nostre vite odierne, nelle nostre vite digitali odierne, perché si stanno spostando sempre di più verso il mondo online. Assistiamo a cose che non stanno andando bene nel nostro mondo online, e pochissime persone stanno facendo qualcosa. Sentiamo un gran parlare di cose tipo il Grande Fratello o “la società del Grande Fratello”, ma vorrei invece citare un futurologo recentemente scomparso e un mio connazionale finlandese, Mika Mannermaa, che nei suoi libri scrisse molto sul futuro e scrisse di come non credeva davvero in una società del Grande Fratello. Credeva, piuttosto, che saremmo entrati a far parte di una società di “Qualche Fratello”. Una società nella quale c'è sempre qualcuno che ci guarda. Non necessariamente il Grande Fratello, non necessariamente il governo, ma qualcuno. Osservò anche che stiamo vivendo una vita da acquario, nella quale non abbiamo pareti, o meglio le abbiamo ma sono trasparenti. But that story reminds me of our own actions today, in our lives today, in our digital lives today, because our lives are moving more and more to the online world. We're seeing things going wrong in our online world, and very few people are taking action. And we hear a lot of talks about things like the Big Brother or “Big Brother society”, but I'd like to actually quote a late futurologist and a fellow Finn, Mika Mannermaa, who in his books wrote a lot about the future, and he wrote about how he actually doesn't believe in a Big Brother society. He sort of believed more that we will be entering a “Some Brother” society. A society where there's always someone watching. Not necessarily the Big Brother, not necessarily the government, but someone. And he also made the note that we are living an aquarium life, where we have no walls, or we have walls, but they can be seen through. Ora un po' di questa mentalità del “Qualche Fratello” che guarda si nota nelle azioni dei governi. Per esempio, soltanto nel corso di quest'ultimo anno, nei nostri laboratori presso la F-Secure, abbiamo analizzato cinque famiglie di malware che crediamo provengano dal governo russo. Malware come Sandworm e Cosmicduke, che sono stati trovati principalmente provenienti dall'Ucraina, che proprio ora è un paese nel mezzo di una crisi, o malware come Havex, che è il primo malware che abbiamo visto dai tempi di Stuxnet che sta effettivamente cercando di trovare e fare il fingerprinting degli apparati di automazione delle fabbriche. Riteniamo che questi provengano dal governo russo. Now some of this “Some Brother” watching mentality can be seen from the actual action of governments. For example, during just this year, in our labs at F-Secure, we’ve analyzed five malware families which we believe to be coming from the Russian government. Malware like Sandworm and Cosmicduke, which have mostly been found from Ukraine, which is a country in the middle of a crisis right now, or malware like Havex, which is the first malware we’ve seen since Stuxnet that's actually trying to find and fingerprint factory automation gear. And we believe these are coming from the Russian government. E poi abbiamo il governo cinese. In effetti i primissimi attacchi mirati lanciati da un governo, ovunque nel mondo, che abbiamo mai visto provenivano dal governo cinese, e questo succedeva più di dieci anni fa. Esattamente un anno fa io ero su questo stesso palco a parlarvi di attacchi avvenuti proprio qui a Bruxelles, di attacchi che prendevano di mira le compagnie telefoniche locali. Attacchi che ora capiamo molto meglio. A un anno di distanza li capiamo molto meglio. And then we have the Chinese government. In fact the very first targeted attacks launched by any government anywhere in the world we ever saw were coming from the Chinese government, and that was more than ten years ago. And exactly a year ago I was on this very stage speaking to you about attacks right here in Brussels, about attacks targeting local telcos. Attacks that we now understand much better. A year later, we understand them much better. Per esempio, ora sappiamo esattamente da dove arrivavano questi attacchi. Arrivavano dai servizi di intelligence inglesi, dal GCHQ. Sappiamo anche il tipo esatto di malware che è stato usato in questi attacchi. È un malware chiamato Regin, che crediamo sia stato sviluppato insieme dall'intelligence britannica e da quella americana. Abbiamo imparato molto di più riguardo i bersagli di questi attacchi, perché c’erano molti più bersagli di quanti ne conoscessimo un anno fa. For example, we now know exactly where these attacks were coming from. They were coming from the UK intelligence, from GCHQ. We also know which exact malware was being used in these attacks. It’s a piece of malware called Regin, which we believe was developed together with the British intelligence and the US intelligence. And we learned much more about the targets of these attacks, because there were many more targets than just what we knew a year ago. Per esempio, sappiamo che questo malware e queste operazioni avviate dall'intelligence britannica stavano prendendo di mira membri della comunità accademica qui in Belgio: professori e altre persone del genere. Stavano anche prendendo di mira bersagli in Austria, compresa l'IAEA – l'agenzia internazionale per l'energia nucleare in Austria. For example, we know that this malware and these operations launched by the UK intelligence were targeting academics here in Belgium. Professors, people like that. They were also targeting targets in Austria, including the IAEA – the International Atomic Energy Agency in Austria. Ora sappiamo anche che uno dei più grandi gruppi di bersagli nel mondo era in Irlanda, e questa è una buona indicazione di chi sta dietro questi attacchi. A chi interessa l'Irlanda? Beh, l'Irlanda interessa al Regno Unito. Ed è piuttosto notevole avere una situazione del genere, nella quale paesi membri dell'UE lanciano attacchi attivi, basati su malware, finanziati dai governi, verso altri paesi che fanno parte della stessa Unione Europea. Ma questo è il punto al quale siamo arrivati oggi. Now we also know that one of the largest amounts of targets anywhere in the world were in Ireland, which is a good indication of who’s behind the attacks. Who's interested in Ireland? Well, the United Kingdom is interested in Ireland. And it's quite remarkable when we have a situation like this, where fellow EU countries are launching active government-funded malware attacks against fellow EU countries. But that’s where we are today. Ma ci sono entità che stanno cercando di contrattaccare. Un paio di anni fa il governo statunitense ha tentato di accedere ai dati di svariate aziende della Silicon Valley. Una di queste aziende era Yahoo. Yahoo ha cercato di combattere quegli attacchi, che erano molto simili a quelli che abbiamo visto proprio adesso in Germania. But there are parties which are trying to fight back. The US government tried to gain access to the data of several of the Silicon Valley companies a couple of years ago. One of the companies was Yahoo. Yahoo tried to fight back those attacks, and these attacks are actually very similar to the attacks we've been seeing just now in Germany. Questo è Ali Fares. Lavora per un'azienda che si chiama Stellar, che è una compagnia telefonica tedesca, un provider in telecomunicazioni tedesco che offre connettività tramite connessioni satellitari. La rivista Der Spiegel ha svolto un’indagine e ha scoperto che ancora una volta l'intelligence britannica aveva penetrato le compagnie telefoniche in Europa e in questo caso aveva penetrato la rete di Stellar. This guy is Ali Fares. He works for a company called Stellar, which is a German telco company, a German telecommunications provider which provides connectivity over satellite links. Der Spiegel magazine did an investigation in which they found out that once again the British intelligence had been breaching telcos in Europe, in this case the network of Stellar. Così qui abbiamo un video in cui i giornalisti di Der Spiegel vanno a incontrare i tecnici di questa azienda, la Stellar, e mostrano loro i dati rivelati da Edward Snowden. File che dimostrano che Stellar – la loro stessa azienda – è stata presa di mira e violata informaticamente dall'intelligence britannica. Stanno vedendo ora per la prima volta queste slide che elencano la loro stessa azienda tra gli obiettivi che sono stati violati dalle agenzie di intelligence britanniche. Poi viene mostrata loro un'altra slide, che elenca i bersagli: i nomi dei tecnici dell'azienda. E vedono i propri nomi elencati in questo documento top secret. Si rendono conto solo ora che hanno subito un attacco informatico personale. So here we have a video clip of the Der Spiegel journalists going and meeting engineers at this Stellar company and showing them files leaked by Edward Snowden. Files which prove that Stellar – their own company – has been targeted and hacked by British intelligence. They are now seeing for the very first time these slides which list their own company among the targets which have been hacked by UK intelligence agencies. Then they’re shown another slide, which lists the targets: the names of the engineers in the company. And they see their own names listed in this top secret file. They just now realize that they, personally, have been hacked. Quindi, tornando a Yahoo, Yahoo cercò di lottare contro il governo statunitense. Non voleva dare accesso ai dati dei propri clienti. Questa lotta si svolgeva in un tribunale segreto; esistono cose del genere, tribunali segreti, negli Stati Uniti. È il cosiddetto tribunale FISA o tribunale del Foreign Intelligence Surveillance Act (Legge sulla Sorveglianza dei Servizi di Intelligence Stranieri), nel quale un avvocato di Yahoo cercava di difendere gli utenti di Yahoo dal governo statunitense. E i giudici del tribunale fecero dei commenti interessanti. So returning back to Yahoo. Yahoo tried to fight the US government. They didn't want to give access to their customers’ data. And this fight was happening in a secret court; there are such things, secret courts, in the United States. It’s the so-called FISA court or Foreign Intelligence Surveillance Act court, in which a lawyer from Yahoo was trying to defend the users of Yahoo against the US government. And the judges in the court made interesting comments. Per esempio, uno dei giudici sosteneva che non ci poteva essere alcun danno per i clienti di Yahoo, dato che la sorveglianza sarebbe stata segreta, il che significava che i clienti non avrebbero saputo che venivano osservati. Quindi come avrebbero potuto subire danni, se non sapevano di essere osservati? E in realtà aveva ragione: questa tesi fu accolta, secondo le leggi statunitensi, e l’azione legale di Yahoo fu rigettata. Fu poi usata come precedente legale per effettuare sorveglianze simili anche su altre società della Silicon Valley. For example, one of the judges was claiming that there couldn't possibly be any damage to customers of Yahoo, since this surveillance will be secret, which means that the customers will not know that they are being watched. So how could they possibly have any damage, since they will not know that they are being watched? And he was actually right, this actually stood, based on the US law and Yahoo's case was thrown out. And it was then used as a legal precedent to do similar surveillance against other Silicon Valley-based companies as well. Quindi permettetemi di citare un mio amico, Aral Balkan della Indytech. Fece un’ottima osservazione sul fatto che una volta “privato” aveva un significato completamente diverso. “Privato” significava che andavi con un tuo amico – solo voi due – in un posto dove non c'era nessun altro e parlavate in privato. Era quello il suo significato. So let me quote a friend of mine, Aral Balkan from Indytech. He made a great comment about how “private” used to mean something completely different. “Private” used to mean something where you would go with your friend – just the two of you – where there's no one else and you would speak in private. That's what it used to mean. Beh, al giorno d'oggi, nel mondo online, “privato” non ha quel significato. Per esempio, quando siete su Facebook e mandate un messaggio privato, in realtà non lo mandate a qualcun altro; lo date a Facebook e Facebook lo dà al vostro amico. È un po’ come se diceste il vostro messaggio privato al vostro zio viscido e poi lo zio viscido lo dicesse al vostro amico. Giusto? È la stessa cosa. Well, today in the online world “private” doesn't mean that. For example, when you're on Facebook and you send a private message, you don't actually send it to someone else; you give it to Facebook and Facebook gives it to your friend. This is sort of like you would tell your private message to your creepy uncle and then the creepy uncle would tell it to your friend. Right? That's the equivalent. E lo zio viscido più grande che abbiamo su Internet è Google. Google, che vede esattamente quello che stiamo facendo e quello che stiamo pensando. Google, che fornisce servizi eccellenti e grandiosi. Li usiamo tutti, e quel che è meglio, sono gratuiti. Il che è notevole, quando si pensa che azienda enorme è Google e quanto sono costose le sue attività. Infatti Google spende ogni trimestre più o meno due miliardi di dollari per i propri data center. Investe ogni tre mesi più di due miliardi per costruire data center sempre più grandi. Eppure i servizi che fornisce sono gratuiti. E quello che è ancora più sorprendente, Google guadagna. Ha un guadagno annuo di 12 miliardi, che dimostra chiaramente che non esiste nulla di gratuito. Questo è il valore dei nostri dati per Google. And the largest creepy uncle we have on the Net is Google. Google, who sees exactly what we are doing and what we are thinking. Google, who provides excellent and great services. We all use them, and what's even better, these services are free. Which is remarkable, when you consider how big a company Google is and how expensive their operations are. In fact Google spends every quarter roughly two billion dollars into their data centers. They’re investing every quarter over two billion into building larger and larger data centers. Yet the services they provide are free. And what's even more remarkable, Google is profitable. They make 12 billion dollars profit every year, which nicely illustrates that there is no such thing as free. That's how valuable our data is to Google. Non esistono pasti gratuiti; non esistono motori di ricerca gratuiti; non esistono depositi nel cloud gratuiti; non esistono webmail gratuite. Le uniche cose su Internet che sono davvero gratuite sono cose come il kernel di Linux e i progetti open source. La maggior parte delle cose che vengono chiamate “gratuite” non è affatto gratuita. There are no free lunches; there are no free search engines; there are no free cloud storages; there are no free webmails; the only things on the Net which really and truly are free are things like, you know, the Linux kernel, open source projects. Most of the things which are called “free” are not free. Per esempio, le app. Non esistono app gratuite. Sappiamo che tutti i negozi di app sono pieni di app gratuite; nessuna di esse è gratuita. Lo vedete quando ne scaricate una semplice, come un'applicazione che fa diventare il vostro telefonino una torcia, ma quando date un'occhiata più da vicino a che tipo di diritti o permessi richiede al vostro dispositivo, vuole sapere dove siete e accedere ai vostri contatti e a Internet, ovviamente. Perché una torcia dovrebbe averne bisogno? Non esistono pasti gratuiti; non esistono app gratuite. For example, apps. There are no free apps. We know that all the app stores are filled with free apps; none of them are free. And you see this when you go and download something simple. You know, an application which will turn your phone into a flashlight or a torch, and then when you take a closer look at what kind of rights or permissions it requires from your handset, it wants to know your location and gain access to your contacts and to the Internet, of course. Why would a flashlight need that? There is no free lunch; there are no free apps. Quindi è facile dare la colpa all'utente. Gli utenti stanno facendo errori stupidi. Ho sentito una bella storia su di loro; un tizio aveva un vecchio computer fisso al lavoro e ne aveva preso uno nuovo e quindi voleva trasferire i propri dati da quello vecchio a quello nuovo. Così andò nella propria cartella Documenti, selezionò con il mouse tutti i propri file e poi fece clic destro e selezionò Copia; poi scollegò il mouse dal computer, lo collegò al nuovo computer e cliccò su Incolla. E questo non è un utente stupido: in realtà questo è ovviamente un uomo molto intelligente che semplicemente non ha una formazione sufficiente – voglio dire, potrebbe funzionare in quel modo; ma semplicemente non lo fa. So it's easy to blame the user. The users are making stupid mistakes. I heard a good story about users; about this guy who had an old desktop computer at his work and he got a new computer, so he wanted to move his files from the old computer to the new computer. So what he did is he went to his My Documents folder and with his mouse he selected all of his files then he right-clicked and selected Copy, then he disconnected the mouse from the computer, connected it to the new computer, and clicked Paste. And that's not a stupid user: that’s actually obviously a very smart man who simply hasn't had the training – I mean, it could work like that; it just doesn’t. E un'altra cosa che fanno gli utenti è mentire. Qual è la bugia più grande su Internet? La bugia più grande su Internet è “Ho letto e accetto il contratto di licenza”. Lo facciamo tutti. Noi sappiamo che lo fate, perché lo abbiamo proprio verificato. Abbiamo messo un accesso Wi-Fi gratuito a Londra qualche mese fa, in modo che potevate avere accesso gratuito ad un hotspot Wi-Fi ma ovviamente dovevate leggere i contratti di licenza per avere accesso. E nel nostro contratto di licenza avevamo una piccola clausola che diceva che avreste dovuto darci il vostro primogenito. E tutti hanno cliccato su OK. Ora, non siamo davvero andati a prendere il primogenito; credo che avremmo davvero dovuto farlo – sfondare le loro porte e dire “Salve, siamo venuti a prendere Jamie”. Non lo abbiamo fatto. And another thing users do is that they lie. What is the biggest lie on the Internet? The biggest lie on the Internet is “I have read and I agree to the license agreement”. We all do this. We know you do this, because we actually tested this. We set up a free Wi-Fi hotspot in London earlier this year, so you got free access to a Wi-Fi hotspot, but of course you had to read through the end-user license agreement to get the access. And in our license agreement we had a slight clause which said that you will have to give your firstborn child to us. And everybody clicked OK. Now, we didn't actually go and pick up the firstborn child; I think we really should have – you know, go through their doors and say “Hello, we've come to pick up Jamie”. We didn't do that. Oggi dobbiamo accettare dei contratti di licenza anche quando usiamo i nostri dispositivi, come le nostre lavatrici smart o i nostri campanelli smart o le nostre smart TV. Lasciate che vi confidi un segreto: quando sentite che la macchina è “smart”, intelligente, quello che vuol dire veramente è che è sfruttabile. “Intelligente” significa “sfruttabile”. “Smart TV” vuol dire “TV sfruttabile”; “smartphone” vuol dire “telefonino sfruttabile”, e così via. Questo è quello che vuol dire. And we have to accept the license agreements today even when we use our devices, like our smart washing machines or smart doorbells or our smart TVs. Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable. “Smart” means “exploitable”. “Smart TV” means an “exploitable TV”; “smartphone” means an “exploitable phone”, and so on. That’s what it means. E questi dispositivi, quando andate a leggere i loro contratti di licenza, hanno cose sorprendenti. Per esempio, la Smart TV della Samsung vi spiega che questa funzione di riconoscimento vocale nella vostra TV registrerà quello che dite nelle vicinanze del televisore, quindi per favore tenete presente che se le vostre parole includono informazioni personali o sensibili, queste informazioni verranno registrate dal vostro televisore – nel vostro soggiorno. O se state giocando ad un videogioco di calcio con la vostra X-Box e vi capita di imprecare quando il computer fa un punto contro di voi, vi registrerà mentre imprecate nel vostro soggiorno e vi manderà delle ammonizioni perché avete detto una parolaccia nel vostro soggiorno. È come avere degli zii viscidi dentro le nostre console di gioco e nei nostri televisori. Viviamo una vita da acquario. And these devices, when you go and read their license agreements, have surprising things. So for example, the Samsung Smart TV explains to you that this voice recognition feature in your TV will record what you speak around the TV, so please be aware that if your spoken words include personal or sensitive information it will be recorded by your television – in your living room. Or if you're playing a game of football with your X-Box and you happen to swear when the computer scores against you, it will actually record you swearing in your living room and will give you warnings because you swear in your living room. This is sort of like having the creepy uncles in our gaming consoles and inside our television sets. We are living an aquarium life. Oppure un'altra cosa grandiosa che è successa col nuovo iPhone, che ora ha questa app che tiene traccia della vostra salute. Un utente si è accorto che l’app stava monitorando i suoi passi, così ha chiesto online una cosa del tipo “Okay, sta contando i miei passi, non ho mai abilitato questa cosa, come faccio a impedire al mio telefono di contare i miei passi?” E la risposta è stata che in realtà ha contato i tuoi passi sin dall'iPhone 4S – semplicemente prima non te lo faceva vedere. E ovviamente se non era un problema per te prima, come mai è un problema adesso? E non c'è modo di disabilitare questa funzione. Or a great thing that happened with the new iPhone, which now has this health app which tracks your health. And one user noticed that it was tracking his steps, so he asked a question online, like, “Okay it's counting my steps, I actually never enabled this, how do I stop my phone from counting my steps?” And the answer was that actually, it's been counting your steps already from iPhone 4s – it just never showed it to you before. And obviously if it hasn't been a problem for you before, how come it's a problem now? And there's no way to disable it. E c'è gente che ti dirà che non c'è niente da fare contro queste cose. Non c'è niente che si possa fare, quindi non dovresti neanche provare a fare qualcosa. Io non ci credo. Io credo che quando vediamo che le cose non vanno bene, dovremmo fermarci; e anche se pensiamo che questo ci metterà nei guai, dovremmo agire. And there are people who will tell you that there's nothing you could do about these things. There's nothing that could be done, so you shouldn't even try to do anything at all. And I don't believe in that. I believe that when we see things going wrong, we should stop; and even though we might think that this will get us into trouble, we should act. Spero che abbiamo la forza e il coraggio di agire. Spero di avere io la forza e il coraggio di agire. Spero che abbiate la forza e il coraggio di agire quando le cose vanno male. Spero che abbiate la forza e il coraggio di pensare “Questo mi metterà nei guai,” ma che quando ce n'è bisogno siate voi quelli che fermano l’orchestra e prendono in mano il microfono. Grazie mille. I hope we have the strength and guts to act. I hope I have the strength and guts to act. I hope you have the strength and the guts to act when things go wrong. I hope you have the strength and guts to think “This will get me into trouble,” but when needed I hope you are the one who will stop the band and grab the microphone. Thank you very much.

Oggi Wikileaks ha messo online copie di FinFisher, il software d'intercettazione venduto dall'omonima azienda tedesca ai governi, che spesso lo usano per spiare giornalisti e dissidenti. Il software è in grado di intercettare le comunicazioni e i dati di sistemi OS X, Windows, Linux, Android, iOS, BlackBerry, Symbian e Windows Mobile. Finfisher, normalmente accessibile a caro prezzo soltanto alle agenzie governative, è ora scaricabile qui allo scopo di consentire a tutti (in particolare ai creatori onesti di antivirus) di analizzarlo e realizzare difese.

Finfisher ha fruttato ai suoi creatori circa 50 milioni di euro. Questi sono alcuni dei suoi clienti: in Europa spicca l'Italia insieme al Belgio e ai Paesi Bassi. Insieme al software sono disponibili anche i log dell'assistenza clienti di FinFisher, che contengono dati molto interessanti, compresi gli indirizzi IP dei “bersagli” e degli “agenti”.

Un aspetto particolarmente interessante per l'utente comune è che la società di sicurezza francese VUPEN Security ha collaborato con FinFisher fornendo vulnerabilità (exploit) che non rende pubbliche. Non è la prima volta che VUPEN è stata denunciata giornalisticamente per questo comportamento: anzi, VUPEN se ne vanta pure (Forbes, 2012; grazie a @flameeyes per la segnalazione).

Giusto per capirci: una società di sicurezza scopre una falla in un sistema operativo e invece di pubblicarla responsabilmente per consentirne la correzione, la tiene per sé e la rivela soltanto a chi realizza prodotti di sorveglianza. Questo significa che la falla nota non viene corretta neppure nei sistemi degli utenti onesti e innocenti.

Qui non si tratta più di argomentare se sia giusto o meno che un governo che voglia definirsi democratico abbia strumenti di sorveglianza così potenti e pervasivi, perché c'è sempre chi invoca la scusa (discutibile) che questi strumenti sono necessari per la lotta al terrorismo e al crimine organizzato. Qui siamo di fronte all'equivalente di avere un meccanico che scopre un difetto letale in una marca di automobili e lo rivende alla polizia, invece di segnalarlo al fabbricante, lasciando che continui a esserci (e sia scopribile da malintenzionati) in tutte le auto di quella marca. Compresa la vostra.

Questo articolo vi arriva grazie alla gentile donazione di “stefano.bene*” e “antoniopri*”.

Mikko Hypponen di F-Secure ha tweetato oggi quest'immagine tratta dal nuovo libro di Glenn Greenwald, No Place to Hide (“nessun posto dove nascondersi”), che documenta con nuove informazioni quello che sta facendo l'NSA con i nostri dati.

Fondamentalmente, risulta che a partire da marzo 2013 il sistema PRISM raccoglie i dati di Microsoft Skydrive. Questo è il risultato, dice il testo, di “molti mesi di lavoro dell'FBI con Microsoft per stabilire questa soluzione di tasking e di raccolta”. In altre parole, non è che i servizi di sicurezza USA prendono i dati degli utenti da Microsoft Skydrive di nascosto e contro il volere di Microsoft. C'è una collaborazione consapevole da parte sua.

Se la vostra azienda, il vostro studio medico, il vostro studio legale gestisce informazioni passando tramite Skydrive (magari perché usate un Windows Phone), avete un problema: non potete garantire ai vostri clienti la riservatezza di queste informazioni. Questo potrebbe avere implicazioni legali non banali.

Diciamola com'è: un governo straniero ci spia in massa. Lo sospettavamo da tempo, ma grazie a Edward Snowden ora lo sappiamo in dettaglio e sappiamo quanto è vasta e pervasiva questa rete a strascico di spionaggio da parte di un paese “amico”. Vogliamo continuare a far finta che sia il problema di qualcun altro?

Questo articolo vi arriva grazie alla gentile donazione di “buon12*”.

Neanche Orwell aveva avuto il coraggio di immaginare che invece di farci imporre un teleschermo che guarda e ascolta in casa da uno stato totalitario ossessionato dal controllo, come descritto nel suo profetico libro 1984, saremmo stati noi stessi a installarcelo in casa, pagandolo di tasca nostra e oltretutto vantandoci di averlo fatto.

Un “televisore che vi ascolta e vi capisce”, che riconosce i gesti e le voci ed è collegato a Internet: lo strumento perfetto per il monitoraggio domestico. Sono paranoico? No, perchè è già successo.

Ho già parlato (Borsa della Spesa, pag. 20) dei televisori Samsung che potevano essere controllati via Internet (articolo; video). Ora è il turno dei televisori LG, che trasmettono alla casa produttrice in Corea non solo i nomi dei file video che guardate, ma anche i nomi dei file (non necessariamente video) condivisi sulla rete domestica, e informano la LG ogni volta che accendete o spegnete il televisore (Ars Technica). E dato che queste informazioni sono trasmesse in chiaro, facilitano inoltre il lavoro degli intrusi.

La LG, in altre parole, si è arrogata il diritto di sapere quando e quanto guardate la TV e che video guardate. E la pubblicità esalta queste caratteristiche. “Possibilità illimitate”: sì, ma di farsi i fatti degli altri. Qui non stiamo parlando di NSA o altri grandi ficcanaso di stato, ma di un'azienda che si prende il diritto di sapere cosa facciamo. No, no, no e ancora no: quello che faccio io con il mio televisore, quello che leggo e quello che guardo, sono e devono essere fatti miei. Non è questione di non avere niente da nascondere: è un diritto fondamentale della libertà civile. Se non vi è chiaro il concetto, se vi sembra retorica esagerata, non dovete fare altro che pubblicare nei commenti qui sotto la vostra cronologia completa di navigazione. Con nome e cognome.

Se avete una Smart TV, non collegatela a Internet. O imparate a bloccare i pacchetti di dati in uscita dal televisore spione.