Podcast RSI - Copie digitali dei defunti, Threads contro Twitter contro Mastodon, addio a un grande hacker

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto) e qui sotto.

Le puntate del Disinformatico sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle fonti di questa puntata, sono qui sotto.

---

[CLIP: Video di Re;memory]

Il signor Lee sapeva che gli restava poco da vivere ed era preoccupato per sua moglie, che sarebbe rimasta sola, e così le ha lasciato il suo gemello digitale. Pochi mesi dopo la sua morte, la moglie è andata a trovarlo. “Tesoro, sono io. È passato molto tempo” le ha detto. 

Sembra l’inizio di una puntata di Black Mirror, ma è invece l’inizio di un video commerciale che promuove i servizi molto concreti di un’azienda coreana che offre griefbot: repliche digitali interattive, audio e video, delle persone decedute.

Benvenuti alla puntata del 21 luglio 2023 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo, e in questo podcast vi racconterò i dettagli di questi griefbot e dei loro usi inattesi, insieme alle ultime novità riguardanti lo scontro fra Threads e Twitter e la storia di uno degli hacker più famosi di sempre, Kevin Mitnick.

[SIGLA di apertura]

Griefbot e intelligenze artificiali

La visionaria serie televisiva distopica Black Mirror ha ormai una lunga tradizione di previsioni tecnologiche che qualche anno dopo si avverano. Dieci anni fa, nella puntata Be Right Back (Torna da me nella versione italiana), aveva immaginato un servizio online che raccoglieva tutte le informazioni pubblicate sui social network da una persona defunta e tutti i suoi messaggi vocali e video e li usava per creare un avatar che, sullo schermo dello smartphone, parlava esattamente come quella persona e aveva il suo stesso aspetto.

Con l’arrivo di ChatGPT e delle altre tecnologie di intelligenza artificiale, quest’idea è diventata fattibile, e ha un nome tecnico, griefbot, che combina il termine inglese “grief” (cioè “lutto”), con “bot”, vale a dire “programma o agente automatico”.

Già alcuni anni fa erano stati realizzati in Russia, Canada, Stati Uniti e Cina dei griefbot elementari, capaci di scrivere messaggi e di chattare online imitando più o meno lo stile e, in alcuni casi, anche la voce di una persona defunta, e proprio un anno fa in questi giorni Amazon proponeva di dare al suo assistente vocale Alexa la voce di un familiare deceduto. Ma questi griefbot erano abbastanza limitati come fedeltà delle loro conversazioni e non erano in grado di mostrare interazioni video.

Ora, però, l’azienda coreana Deepbrain AI, che produce assistenti virtuali e conduttori sintetici per telegiornali, offre anche queste interazioni su schermo, tramite Re;memory, un servizio che permette alle persone di dialogare anche in video con chi non c’è più.

A differenza dei griefbot realizzati fin qui, che si basano sui dati lasciati dalla persona deceduta, Re;memory si appoggia a suoni, immagini e dati forniti appositamente e preventivamente. Chi vuole lasciare ai posteri un proprio avatar interattivo deve farsi videoregistrare per circa sette ore, durante le quali avviene un colloquio dettagliato, il cui contenuto viene poi usato per fornire a un’intelligenza artificiale una serie di campioni audio e video e di informazioni personali sulle quali basare l’avatar che replicherà l’aspetto fisico e la voce della persona.

I familiari potranno incontrare l’avatar, e interagirvi in vere e proprie conversazioni, recandosi in apposite sedi, dove vedranno l’immagine della persona su un grande schermo, a grandezza naturale, seduta comodamente in poltrona, che parla e si muove in risposta alle loro parole.

Nel video promozionale del servizio, che costa circa 10.000 dollari e si paga anche ogni volta che lo si usa, si vede che l’avatar dialoga per esempio con la figlia di un defunto, rispondendo a senso alle sue parole e creando in lei una forte commozione anche se il tono dell’avatar è poco dinamico e molto pacato, perché il software si basa solo sui campioni registrati in queste sedute apposite, che comprensibilmente non sono ricolme di entusiasmo.

Re;memory non è l’unico griefbot sul mercato: aziende come Hereafter AI offrono avatar più vivaci, ma solo in versione audio, che dialogano con i familiari e sono anche in grado di citare storie e aneddoti del passato della persona scomparsa.

L’avvento di questi fantasmi digitali era facilmente prevedibile, ma come capita spesso queste nuove possibilità, concepite con uno scopo di conforto ben preciso, hanno anche delle applicazioni meno facili da anticipare.

Per esempio, nulla vieta, almeno dal punto di vista tecnico, di creare un avatar di una persona e di usarlo mentre quella persona è ancora in vita, al posto di quella persona. Immaginate un adolescente che passa moltissimo tempo al telefonino a dialogare con i propri amici e si rende conto che preferisce interagire con gli avatar di quegli amici, che sono meno impulsivi e più socievoli e non sono mai stanchi o scocciati, e comincia a preferirli agli amici in carne e ossa. Per citare il futurologo Ian Beacraft in un suo recente intervento pubblico, una sfida dei genitori di domani non sarà decidere quanto tempo è giusto lasciare che i propri figli stiano online, ma decidere quanti dei loro amici possano essere sintetici.

[CLIP: Beacraft che dice “as many of you with kids, the challenges aren't going to be about how much time they spend on their digital devices but deciding how many of their friends should be synthetic versus organic”]

Oppure immaginate uno stalker che si crea un avatar della persona dalla quale è ossessionata, attingendo ai testi, ai video e ai messaggi vocali pubblicati sui social network da quella persona. Tutti quei dati che abbiamo così disinvoltamente condiviso in questi anni verranno custoditi tecnicamente, e verranno protetti legalmente, contro questo tipo di abuso? Non si sa.

Ma ci sono anche delle applicazioni potenzialmente positive: una persona molto timida o che ha difficoltà di relazione o si trova a dover affrontare una conversazione molto difficile potrebbe per esempio esercitarsi e acquisire fiducia in se stessa usando un avatar interattivo. In ogni caso, è ormai chiaro che la frontiera delle persone virtuali è stata aperta e non si chiude.

Fonte aggiuntiva: Engadget.

Threads vs Twitter

Non capita spesso di sentire che un social network impedisce intenzionalmente ai propri utenti di frequentarlo più di tanto, ma è quello che succede da qualche tempo su Twitter. Proprio mentre sto preparando questo podcast mi è comparso l’avviso che ho “raggiunto il limite giornaliero di visualizzazione di post” e mi è stato proposto di abbonarmi “per vedere più post giornalmente”. 

La limitazione è stata decisa ai primi di luglio ufficialmente per contenere il cosiddetto data scraping, ossia la copiatura su vasta scala dei contenuti pubblicati dagli utenti, però è anche un modo per incoraggiare gli utenti a pagare per abbonarsi.

Queste limitazioni sono insolite e non piacciono né agli utenti né agli inserzionisti, perché ovviamente impediscono agli utenti di vedere le loro pubblicità, eppure anche Threads, il rivale di Twitter creato da Meta e rilasciato in fretta e furia pochi giorni fa in versione incompleta, ha dovuto prendere una misura analoga per difendersi dagli attacchi degli spammer. Anche in questo caso, ci stanno andando di mezzo anche gli utenti onesti che sfogliano tanto il servizio.

Threads ha ovviamente anche una limitazione ben più forte per noi utenti dell’Europa continentale. Ufficialmente, infatti, l’app non è disponibile per chi risiede in Europa, salvo nel Regno Unito, perché acquisisce dati personali in modi incompatibili con le principali norme europee. Questo blocco fino a pochi giorni fa era aggirabile in vari modi, ma ora è stato reso più robusto: molti di coloro che riuscivano a usare Threads dall’Europa passando attraverso una VPN si sono visti comparire un messaggio di errore e non possono più postare messaggi ma solo leggere quelli degli altri.

Nel frattempo, anche senza gli utenti europei, Threads ha battuto ogni record di velocità di adozione di un servizio online, raggiungendo i primi 100 milioni di iscritti complessivi nel giro di una settimana dal suo debutto e superando anche il primatista precedente, ChatGPT, che ci aveva impiegato due mesi. Ma dopo l’entusiasmo iniziale, il numero di utenti attivi giornalmente su Threads si è dimezzato rispetto all’inizio, scendendo da 49 milioni [nel podcast per errore dico 40] a circa 24, ossia poco meno di un quinto di quelli di Twitter. La strada per rimpiazzare Twitter come fonte di notizie in tempo reale è insomma ancora lunga.

Nonostante il calo molto significativo, Threads rimane comunque enorme rispetto a Mastodon, altra piattaforma simile a Twitter, caratterizzata dalla sua indipendenza federata e dal fatto che non raccoglie dati personali, come fanno invece Threads e Twitter. Il confronto è particolarmente significativo perché Meta, proprietaria di Threads, ha avviato formalmente presso il World Wide Web Consortium, uno dei principali enti di standardizzazione di Internet, la procedura di adozione dello standard ActivityPub, lo stesso usato da Mastodon e da tanti altri servizi analoghi, e questo in teoria permetterebbe agli utenti di Mastodon di interagire con quelli di Threads e viceversa. Ma molti degli amministratori delle varie istanze di Mastodon, le “isole” che compongono questa piattaforma federata, non vedono di buon occhio l’arrivo di un colosso commerciale come Threads, che li potrebbe travolgere sommergendole di traffico, e stanno già pensando di bloccare o defederare Threads. Altri, invece, sperano che la popolarità di Threads possa dare maggiore visibilità a questo ideale di libera migrazione e interoperabilità proposto da ActivityPub e da Mastodon.

Twitter, da parte sua, non se la passa bene economicamente. Il suo proprietario, Elon Musk, aveva detto in un’intervista recente che Twitter era a un passo dal generare profitti e che gli inserzionisti che erano scappati dopo la sua acquisizione della piattaforma stavano tornando, ma pochi giorni fa ha invece dichiarato che i ricavi pubblicitari sono scesi del 50%. E su Twitter grava anche il debito di 13 miliardi di dollari che Musk ha usato per acquistare questa piattaforma a ottobre 2022. Quel debito sta costando circa un miliardo e mezzo di dollari l’anno, e il bilancio rimane in rosso nonostante i licenziamenti massicci e, a quanto risulta perlomeno dalla ventina di cause avviate contro Twitter, nonostante le bollette non pagate e i compensi di liquidazione ai dipendenti licenziati che non sono stati corrisposti. Non è chiaro quanto possa ancora durare Twitter in queste condizioni. Se non avete ancora fatto una copia dei vostri dati pubblicati su Twitter, forse è il caso di cominciare a pensarci.

Storia di un hacker

È il 1979. Un ragazzino di sedici anni riesce a farsi dare il numero telefonico di accesso ad Ark, il sistema informatico sul quale la Digital Equipment Corporation, uno dei grandi nomi dell’informatica dell’epoca, sta sviluppando il suo nuovo sistema operativo. Il ragazzino entra nel sistema e si copia il software. Per questo reato trascorre un mese in carcere e resta per tre anni in libertà vigilata. Verso la fine del periodo di sorveglianza, riesce a entrare nei computer della società telefonica Pacific Bell che gestiscono le segreterie telefoniche e per i successivi due anni e mezzo si rende irreperibile, usando telefoni cellulari clonati per nascondere la sua localizzazione e violando numerosi sistemi informatici.

Il ragazzo viene inseguito a lungo dall’FBI, che lo arresta nel 1995 per una lunga serie di reati informatici, e trascorre cinque anni in carcere. 

Ma questa non è la storia di un criminale informatico qualunque, perché l’allora nascente Internet insorge in sua difesa. Il sito Yahoo, popolarissimo in quel periodo, viene violato e ospita un messaggio che chiede la scarcerazione del giovane hacker. Lo stesso succede al sito del New York Times [13 settembre 1998]. La rivista informatica 2600 Magazine, lettura fondamentale degli hacker di allora, distribuisce un adesivo con due semplici parole che faranno la storia dell’informatica: FREE KEVIN.

Fonte: Wikipedia.

Fonte: Kevin Kopec.

Fonte: Kerberos824/Jalopnik.

Quel ragazzo, infatti, è Kevin Mitnick, uno degli hacker più famosi e temuti della storia dell’informatica, e la punizione inflittagli dalle autorità viene vista da molti informatici come eccessiva e gonfiata dalle pressioni dei media, anche perché le tecniche di penetrazione usate da Mitnick sono spesso elementari e basate più sulla persuasione delle persone (il cosiddetto social engineering) e sull’inettitudine delle aziende in fatto di protezione dei dati e di sicurezza dei sistemi che su chissà quali acrobazie informatiche, e Mitnick ha avuto accesso a tantissimi sistemi ma non ne ha tratto grande profitto economico.

Kevin Mitnick viene rilasciato nel 2000, con il divieto di usare qualunque sistema di comunicazione diverso dal telefono fisso, e diventa un affermatissimo consulente informatico, che insegna le proprie tecniche di social engineering agli addetti alla sicurezza di moltissime aziende in tutto il mondo. Scrive alcuni dei libri fondamentali della sicurezza informatica, come The Art of Deception, in italiano L’arte dell’inganno, e The Art of Intrusion, che diventa L’arte dell’intrusione in italiano, e racconta il proprio punto di vista sulle sue scorribande informatiche nel libro The Ghost in the Wires, altra lettura obbligatoria per chiunque voglia fare sicurezza informatica seriamente, tradotta in italiano con il titolo Il fantasma nella rete.

Una delle sue caratteristiche, oltre alla fama mondiale nel suo campo, è il suo biglietto da visita: è realizzato in lamina di metallo, fustellata in modo da formare dei grimaldelli che sono funzionanti e adatti per aprire la maggior parte delle serrature. 

Fonte: Mitnicksecurity.com.

Mentre preparo questo podcast, il New York Times, quello violato tanti anni fa dai sostenitori di Kevin Mitnick, ha pubblicato la notizia della sua morte a 59 anni in seguito alle complicanze di un tumore pancreatico. Lascia la moglie Kimberley, che aspetta da lui il primo figlio. E qualcuno, su Twitter, si augura caldamente che l’inferno e il paradiso abbiano installato l’autenticazione a due fattori. Kevin is free.

Both Heaven and Hell have hopefully installed two-factor Authenticationhttps://t.co/CtMOt0lJLW

— Jason Scott (@textfiles) July 19, 2023

Kevin Mitnick, 1963-2023

Pubblicazione iniziale: 2023/07/20 9:40. Ultimo aggiornamento: 2023/07/20 16:30. L’articolo è stato riscritto estesamente per tenere conto delle nuove informazioni.

Kevin Mitnick, uno degli hacker e social engineer più famosi del mondo, è morto il 16 luglio scorso. Ne ha dato l’annuncio inizialmente stanotte (ora italiana) solo un sito di necrologi, Dignitymemorial.com; poi il New York Times (copia permanente) ha confermato la notizia tramite una portavoce dell’azienda KnowBe4, per la quale Mitnick lavorava come chief hacking officer, e SecurityWeek ha scritto di aver confermato tramite proprie fonti imprecisate. 

Solo qualche ora più tardi è comparso un avviso sul sito di KnowBe4 e sull’account Twitter di Mitnick; la moglie Kimberley ha dato l’annuncio su Twitter poco fa; il sito della Mitnick Security ha attiva tuttora (16:30) la pagina per prenotare una conferenza con lui e la sua pagina LinkedIn non riporta alcuna informazione sul suo decesso. Visto che purtroppo ci sono molti siti e account social che speculano sulle morti annunciate, questa inconsueta penuria iniziale di aggiornamenti e di fonti mi ha imposto cautela nel riportare la notizia nelle prime ore.

Secondo il NYT, Mitnick ci ha lasciato in seguito a complicanze legate a un tumore al pancreas. Se volete ripassare chi era Kevin Mitnick, ho scritto alcuni articoli che raccontano alcuni episodi della sua straordinaria carriera e dedicherò a lui parte del podcast del Disinformatico di domattina.

Podcast RSI - Un ricatto informatico molto particolare

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto e condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto) e qui sotto.

In questa puntata del podcast vi racconto una storia di ransomware: l’estorsione che colpisce le aziende bloccando i loro dati con una password che verrà consegnata dal criminale solo se verrà pagato un riscatto. Non è una tecnica nuova, ma stavolta c’è un colpo di scena e ci sono di mezzo due milioni di dollari e fino a 37 anni di carcere. E se un guru storico del crimine informatico come Kevin Mitnick dice che è una storia interessante, si va sul sicuro.

I podcast del Disinformatico sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano il testo e i link alle fonti della storia di oggi, sono qui sotto.

---

[CLIP: Spot Ubiquiti]

Ubiquiti è un nome che probabilmente non vi dice nulla, ma è una grande azienda statunitense del settore dei dispositivi per la gestione delle reti informatiche: la “ferraglia” elettronica sulla quale transitano continuamente i nostri dati digitali, insomma.

Di recente è stata attaccata da un ricattatore molto particolare, tanto da meritarsi l’interesse di uno dei massimi esperti di crimine informatico, il mitico Kevin Mitnick.

Questa è la storia di un ricatto informatico insolito e di come la speranza di intascare due milioni di dollari rischia ora, per un banale errore, di diventare una sentenza che comporta fino a 37 anni di carcere. Visto che i dati più recenti indicano un aumento notevole dei ricatti informatici ai danni di aziende piccole e grandi, anche in Svizzera, è una storia che conviene conoscere, perché contiene lezioni utili per tutti, dai datori di lavoro ai dipendenti. E anche, inevitabilmente, per gli aspiranti criminali.

[SIGLA]

Il ransomware, ossia il software che penetra nei sistemi informatici delle aziende, blocca i loro dati con una password conosciuta solo ai criminali che gestiscono questo software, e poi chiede un riscatto per sbloccarli o per non pubblicarli, non è certo una novità.

Ma secondo i dati raccolti da Swissinfo.ch, il ransomware è un fenomeno in netta crescita. Fra agosto 2020 e agosto 2021 circa 2700 aziende svizzere sono state colpite da questa forma di attacco, stando alle stime della società di sicurezza statunitense Recorded Future: quasi il triplo rispetto agli anni precedenti, con una richiesta media di pagamento di circa 167.000 franchi o 180.000 dollari.

È difficile avere dati precisi, perché molte aziende non denunciano questi attacchi per non subire danni alla propria reputazione. Comparis, Stadler, RUAG e il comune di Rolle nel canton Vaud sono solo alcune delle vittime note più recenti, ma ce ne sono molte altre che pagano e tacciono.

Lo schema di attacco è ben documentato: i criminali iniziando inviando ai dipendenti dell’organizzazione presa di mira una mail contenente un allegato dall’aspetto innocuo, tipicamente una fattura. L’allegato, che in realtà trasporta un malware o virus informatico, viene aperto incautamente, senza adeguate precauzioni tecniche e comportamentali, facendo leva sulla fiducia dell’utente, e così supera le difese informatiche del bersaglio.

A volte l’attacco è più sofisticato e avviene sfruttando le falle di qualche sistema informatico maldestramente configurato e lasciato esposto su Internet, oppure una chiavetta USB infetta inserita con l’astuzia o la seduzione in un computer aziendale, ma capita abbastanza raramente. In un modo o nell’altro, gli aggressori entrano insomma nel cuore informatico dell’azienda, lo bloccano cifrando i dati oppure ne prelevano una copia, e poi chiedono soldi, solitamente sotto forma di criptovalute.

La storia di ricatto che voglio raccontarvi oggi, però, segue un copione leggermente differente.

Tutto inizia il 10 dicembre del 2020, quando qualcuno entra nei server gestiti dall’azienda informatica californiana Ubiquiti Networks, un grande nome del settore che vende router, telecamere e altri sistemi digitali di sicurezza, e ne sottrae vari gigabyte di dati sensibili usando una tecnica abbastanza insolita: l’intruso adopera infatti le credenziali di un amministratore del cloud aziendale.

Il furto prosegue una decina di giorni più tardi, il 21 e 22 dicembre, quando vengono rubati altri dati. L’intruso copre le proprie tracce alterando i log che registrano le attività. Ma a differenza dei casi tradizionali di ransomware, i dati di quest’azienda non vengono cifrati dall’aggressore.

Alcuni dipendenti della Ubiquiti si accorgono del furto una settimana più tardi, poco dopo Natale, e l’azienda raduna i suoi esperti per analizzarne le conseguenze.

Ai primi di gennaio 2021 Ubiquiti riceve una mail di richiesta di riscatto. La proposta del criminale è molto chiara: se l’azienda non gli pagherà 25 bitcoin, equivalenti a poco più di un milione di dollari, i dati confidenziali sottratti verranno resi pubblici, causando un disastro reputazionale.

Ma la mail di ricatto non si ferma qui: prosegue offrendo di rivelare all’azienda la tecnica usata per entrare nei suoi sistemi, in modo che possa chiudere la falla ed evitare nuovi attacchi. Per questa sorta di bizzarra consulenza informatica, il criminale chiede altri 25 bitcoin. Entrambe le proposte, che ammontano quindi a due milioni di dollari in tutto, scadranno a mezzanotte del 9 gennaio.

L’azienda decide di non pagare nessuna delle due richieste di denaro. Allo scadere dell’ultimatum, il criminale pubblica su Internet, visibili a chiunque, alcuni campioni dei dati confidenziali sottratti.

Ubiquiti riesce a farli togliere da Internet contattando il sito che li ospita, Keybase, e trova e chiude una falla nei propri sistemi creata dall’aggressore, cambia tutte le credenziali dei dipendenti e poi annuncia pubblicamente, l’11 gennaio 2021, di aver subìto una violazione informatica. I dati sottratti, dice, includono nomi, indirizzi di mail e password cifrate dei suoi clienti. L’azienda raccomanda a tutti gli interessati di cambiare password e di attivare l’autenticazione a due fattori.

L’incidente sarebbe chiuso, ma a questo punto della vicenda entra in gioco un whistleblower, ossia un anonimo lanciatore d’allerta interno all’azienda, che a fine marzo 2021 contatta i media specializzati, in particolare il noto esperto di sicurezza informatica Brian Krebs, e rivela i retroscena dell’annuncio pubblico di violazione, che lui conosce bene perché ha fatto parte del gruppo di esperti incaricati dell’analisi dell’incidente informatico.

L’anonimo aggiunge che Ubiquiti sta minimizzando la portata della violazione, che in realtà sarebbe “catastrofica” e includerebbe tutti i codici di autorizzazione più delicati, tanto da consentire ai criminali di accedere a qualunque dispositivo Ubiquiti installato presso i clienti sparsi in tutto il mondo. Questa violazione sarebbe stata perpetrata da un aggressore non identificato, che sarebbe entrato impossessandosi banalmente delle credenziali di un amministratore di sistema dell’azienda. Una figuraccia imbarazzante per una grande società che si specializza in sicurezza informatica.

Questa rivelazione causa comprensibilmente un crollo nella quotazione in borsa della Ubiquiti, che scende di circa il 20% nel giro di una giornata, comportando perdite di capitalizzazione di mercato equivalenti a oltre quattro miliardi di dollari. L’azienda annuncia il giorno successivo, che è il primo d’aprile, di essere oggetto di un tentativo di estorsione.

Nel frattempo l’FBI ha avviato un’indagine informatica e ha scoperto che l’intruso si è collegato via Internet ai computer di Ubiquiti usando Surfshark, un software di VPN (Virtual Private Network o “rete privata virtuale”), per mascherare l’origine del collegamento e impedire qualunque tentativo di rintracciarlo tramite il suo indirizzo IP, che normalmente verrebbe registrato nei log aziendali, e poi è entrato nei sistemi della Ubiquiti usando delle credenziali di amministratore, proprio come dice il whistleblower. Ma l’aggressore ha commesso un breve, fatale errore.

In due brevissime occasioni si è collegato senza accorgersi che un’interruzione momentanea del suo accesso a Internet aveva impedito a Surfshark di attivarsi correttamente, e così si è collegato a Ubiquiti direttamente, comunicando il suo vero indirizzo IP. Cosa peggiore, durante questi collegamenti ha trasferito parte dei dati sensibili dell’azienda.

L’FBI ha insomma tutto il necessario per identificare l’aggressore, e procede così a una perquisizione e a un arresto, seguiti da un atto di accusa del Dipartimento di Giustizia di New York che è stato recentemente reso pubblico.

Questo atto di accusa rivela il dettaglio che spinge lo storico hacker Kevin Mitnick a descrivere su Twitter la vicenda come “un colpo di scena interessante nel ransomware” e a esclamare “Busted!” (“Beccato!”): l’aggressore e il whistleblower sono infatti la stessa persona, e si tratta di un dipendente della Ubiquiti.

Secondo l’atto di accusa, che non fa esplicitamente il nome dell’azienda ma consente di dedurlo, il dipendente in questione è Nickolas Sharp, un trentaseienne di Portland, in Oregon, che lavorava alla Ubiqiti come senior software engineer ed era responsabile per lo sviluppo del software e per la sicurezza delle infrastrutture aziendali.

Sharp, paradossalmente, faceva proprio parte del team di specialisti della Ubiquiti incaricati di indagare sulla violazione. Quella violazione che lui stesso aveva commesso, usando le proprie credenziali di amministratore e la propria conoscenza dei sistemi informatici aziendali.

Quando il suo tentativo di estorsione è fallito perché Ubiquiti ha deciso di non pagare, ha tentato di danneggiare l’azienda e di depistare le indagini diffondendo notizie false su un presunto aggressore esterno. Ma è stato tradito da una banale caduta di linea. Come ha dichiarato Michael J. Driscoll, Assistant Director dell’FBI, “Il signor Sharp forse riteneva di essere abbastanza astuto da far funzionare il suo piano, ma un semplice guasto tecnico ha messo fine ai suoi sogni di ricchezza.”

Il processo deciderà se le accuse molto circostanziate dell’FBI sono fondate: in tal caso, Nickolas Sharp rischia fino a 37 anni di carcere.

L’esperto di sicurezza informatica Graham Cluley ha commentato questa insolita tentata estorsione osservando che “tutte le aziende farebbero bene a ricordare che probabilmente la minaccia peggiore non proviene da hacker esterni, ma dai dipendenti che sono stati assunti e ai quali è stata data fiducia nel gestire i sistemi informatici e nell’interagire con i dati aziendali”.

Non che gli hacker esterni facciano pochi danni, intendiamoci, ma un addetto interno può fare ben di peggio. Un buon rimedio è vincolare tutti gli accessi ai dati più sensibili in modo che serva l’autorizzazione contemporanea di almeno due persone e altre persone vengano allertate di ognuno di questi accessi. Questo rende molto più difficili sabotaggi dall’interno come quello che ha colpito l’azienda statunitense.

E per tutti gli aspiranti hacker che pensano che usare una VPN li renda invisibili e impossibili da rintracciare e identificare: pensateci due volte. Storie come quella di Nickolas Sharp dimostrano che non è così semplice, neanche per un addetto ai lavori. 

Fonti aggiuntive: Catalin Cimpanu, Bleeping Computer, Bitdefender.

FAQ: perché ce l’ho con Trump presidente? Perché sono un debunker

No, non è un fotomontaggio,
ma non è un saluto nazista.
Credit: Getty Images.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi per incoraggiarmi a scrivere ancora. Ultimo aggiornamento: 2017/01/22 4:00.

Molti mi chiedono come mai twitto spesso di Trump e che c’entra con me, che sono un debunker, un cacciatore di bufale, uno che si occupa di scienza, non di politica. Semplice: Donald J. Trump è una bufala vivente. È un complottista alla Casa Bianca. Le sue decisioni influenzano l’intero pianeta. Le sue scelte per lo staff che lo circonderà sono antiscienza pura. È un idiota circondato da furbi: per un debunker è inevitabile occuparsene. E preoccuparsene.

Se avete dubbi su quello che dico, toglieteveli: documentatevi su cosa dice e fa e soprattutto su chi sono e cosa dicono i membri del suo staff. Leggete le loro dichiarazioni dirette, non filtrate. In confronto, George Bush Jr. era un genio circondato da sommi sapienti.

Forse chi non conosce l’inglese è un po’ schermato dalla barriera linguistica e non riesce a cogliere l’intonazione boriosa dell’imbecille che pensa di sapere tutto e in realtà non sa niente. Ma il modo di parlare, il modo di gesticolare, il modo di twittare di Trump ricorda senza ambiguità quello di tanti complottisti, sciachimisti, antivaccinisti con i quali ho avuto a che fare in questi anni di debunking. Il suo modo di fare è quello di chi dice “Non mi serve la scienza, non mi servono gli esperti, mi basta quello che so e quello che vedo”.

Sto cominciando a raccogliere qui le sue perle migliori: questo è solo un assaggio.

Trump e l’antivaccinismo

Donald Trump ha dichiarato di credere che i vaccini causano l’autismo (bufala conclamata). Lo ha detto ripetutamente.

Healthy young child goes to doctor, gets pumped with massive shot of many vaccines, doesn't feel good and changes - AUTISM. Many such cases!

— Donald J. Trump (@realDonaldTrump) 28 marzo 2014

Trump ha proposto un antivaccinista dichiarato, Robert F. Kennedy Jr, per presiedere una commissione sulla sicurezza dei vaccini.

Trump ha anche voluto incontrare personalmente Andrew Wakefield, il medico (ora radiato dall’albo per frode) che con il suo articolo fraudolento su Lancet ha inventato la bufala del legame fra vaccino trivalente morbillo-parotite-rosolia e autismo. Trump ha invitato e ospitato Wakefield alla propria festa d’insediamento.

Trump e il riscaldamento globale

Donald Trump afferma che “il concetto di riscaldamento globale è stato creato da e per i cinesi per rendere non competitiva l’industria americana”:

The concept of global warming was created by and for the Chinese in order to make U.S. manufacturing non-competitive.

— Donald J. Trump (@realDonaldTrump) 6 novembre 2012

Trump e il complottismo dei birther

Non bisogna dimenticare il suo complottismo ossessivo a proposito del certificato di nascita di Obama. CNN ha compilato una collezione cronologica delle sue dichiarazioni ripetute e deliranti sull’argomento. È arrivato a sostenere che una delle persone che ha validato il certificato è morta in una cospirazione.

Trump e la storia americana

Questo è il modo in cui Trump ha risposto a una domanda basilare di storia americana: cosa fece Abramo Lincoln e perché ebbe successo. Uno dei concetti fondamentali della storia degli Stati Uniti. Quelle che seguono sono le sue esatte parole in un’intervista nientemeno che con Bob Woodward.

Beh, credo che Lincoln abbia avuto successo per varie ragioni. Era un uomo che era di grande intelligenza, cosa che la maggioranza dei presidenti sarebbe. Ma era un uomo di grande intelligenza, ma era anche un uomo che fece qualcosa che era una cosa molto vitale da fare a quell’epoca. Dieci anni prima o venti anni prima, quello che stava facendo non sarebbe mai stato neanche pensato possibile. Per cui fece qualcosa che era una cosa molto importante da fare, e specialmente a quell’epoca.

In originale:

Well, I think Lincoln succeeded for numerous reasons. He was a man who was of great intelligence, which most presidents would be. But he was a man of great intelligence, but he was also a man that did something that was a very vital thing to do at that time. Ten years before or 20 years before, what he was doing would never have even been thought possible. So he did something that was a very important thing to do, and especially at that time.

Se vi ricorda la risposta che si dà a scuola quando si viene interrogati e non si sa niente dell’argomento che si dovrebbe conoscere, non siete i soli. Questo è un futuro presidente americano che non sa cos’ha fatto Abramo Lincoln.

Trump e l’informatica

Vogliamo parlare di informatica? Questo è un tweet di Trump:

Se non acciuffi gli “hacker” sul fatto, è molto difficile determinare chi stava facendo hacking. Perché questa cosa non è stata sollevata prima delle elezioni?

In originale:

“Unless you catch "hackers" in the act, it is very hard to determine who was doing the hacking. Why wasn't this brought up before election?

La questione non è stata sollevata prima delle elezioni per una buona ragione: è una stronzata. Non lo dico io: gli ha risposto nientemeno che Kevin Mitnick, che sa sulla propria pelle che si può eccome essere acciuffati dopo l’atto di “hacking”:

.@realDonaldTrump Not true. You can catch hackers after the act as well. Take it from someone who knows this fact very well.

— Kevin Mitnick (@kevinmitnick) 12 dicembre 2016

In italiano: “Non è vero. Si possono acciuffare gli hacker anche dopo l’atto. Se lo lasci dire da qualcuno che sa bene questo fatto”.

E questa è una sua dichiarazione sulla guerra informatica durante uno dei dibattiti presidenziali:

...when you look at what ISIS is doing with the internet, they're beating us at our own game. ISIS. So we have to get very, very tough on cyber and cyber warfare. It is a, it is a huge problem. I have a son. He's 10 years old. He has computers. He is so good with these computers, it's unbelievable. The security aspect of cyber is very, very tough. And maybe it's hardly doable.

In italiano:

...quando guardi cosa fa l’ISIS con Internet, ci stanno battendo al nostro gioco. L’ISIS. Per cui dobbiamo diventare molto, molto duri nel cyber e nella cyberguerra. È un, è un problema enorme. Io ho un figlio. Ha dieci anni. Ha dei computer. È così bravo con questi computer, è incredibile. L’aspetto della sicurezza del cyber è molto, molto difficile. E forse è quasi irrealizzabile.

Parole in libertà, ovvietà assolute (e anche sbagliate, visto che gli Stati Uniti fanno guerra informatica con strumenti sofisticatissimi mentre l’ISIS riesce solo a postare video-shock su Youtube). Parole che non vogliono dire nulla e nascondono una totale incompetenza e impreparazione.

Sapete chi ha scelto come “zar per la sicurezza informatica”? Rudolph Giuliani. Sì, l’ex sindaco di New York, che oggi ha 72 anni e di informatica non capisce un’acca. La sua azienda di “cybersicurezza”, Giulianisecurity.com, è stata ridicolizzata da chi d’informatica ci capisce veramente: usa software obsoleto e ha diverse vulnerabilità basilari da puro dilettantismo. E questo è l’uomo che dovrebbe difendere l’America dagli attacchi degli esperti dei governi stranieri e fare da consulente a Trump?

Trump e le armi nucleari

Vogliamo parlare, che so, di una questioncella come le armi nucleari? L’uomo che tra poco avrà accesso ai più grandi poteri di distruzione mai affidati a un singolo individuo non sa neanche che cos’è la triade nucleare. E dire che non è difficile: la triade nucleare è composta da bombardieri, missili e sottomarini armati di testate nucleari. Glielo chiedono specificamente in un dibattito e lui risponde con un altro fiume di parole incoerenti da scolaretto impreparato. Guardate il video.

E poi c’è questo suo tweet di dicembre 2016: “Gli Stati Uniti devono rafforzare massicciamente ed espandere la propria capacità nucleare fino al momento in cui il mondo comincerà a ragionare sulle bombe atomiche” (“The United States must greatly strengthen and expand its nuclear capability until such time as the world comes to its senses regarding nukes”). Gli Stati Uniti hanno già milleottocento bombe atomiche pronte per l’uso rapido. Più altre duemila circa in riserva, caso mai non bastassero le prime milleottocento. Perché Trump vuole espandere quest’arsenale? Intende usarlo? Quando gli hanno chiesto di chiarire, Trump ha risposto “Lasciamo che sia una corsa agli armamenti”.

Trump, il razzismo e il sessismo

Ci sarebbero, poi, da considerare le sue parole razziste e sessiste, il suo chiamare le donne “scrofe” o il suo vantarsi di poterle palpeggiare come e quando gli pare, ma queste sono questioni fuori tema rispetto al debunking. Anche perché non c’è alcuna necessità di verificare che queste cose le abbia dette: lo ha fatto, documentatamente e pure in pubblico.

L’antiscienza e l’arroganza al potere

Come debunker, vedere l’antiscienza al potere, assistere al trionfo strafottente di chi pensa che le proprie opinioni contino più dei fatti, che studiare e prepararsi non serva, mi mette paura. Sì, paura: perché la storia è già abbastanza ricolma dei danni causati quando una nazione ha abbracciato l’antiscienza e l’ha portata al potere. Non abbiamo bisogno di “dargli una possibilità”, come sento dire a tanti. Sappiamo già come va a finire.

Se vi serve un ripasso, leggete questo mio breve saggio sulla pseudoscienza al potere nel passato: Reagan che decide in base all’astrologia, Stalin e la purga dei biologi che si opponevano alle teorie di Lysenko, l’inesprimibile orrore della pseudoscienza ariana alla base dell’Olocausto, i militari americani e sovietici che finanziano i sensitivi che promettono di attraversare i muri con la forza del pensiero, e via così, fino agli sciachimisti e agli antivaccinisti di oggi seduti nei posti di potere.

Se quello che dico vi scoccia, siete liberi di non seguirmi e di non leggermi. Fate pure. Ma non siete liberi di sfuggire alle decisioni della presidenza Trump. Alla Casa Bianca sta per insediarsi un negazionista del riscaldamento globale. Uno che vuole bloccare la ricerca della NASA sul clima, in modo da non avere più dati climatici e far sparire il problema. Uno che, spalleggiato da compari legati a doppio filo all’industria petrolifera, vuole spingerci tutti a ficcare la testa nella sabbia.

––

Ci aspettano almeno quattro anni di antiscienza pura al potere in America, che avrà effetto su di noi, perché le decisioni prese là, ci piacciano o no, influenzano anche noi; influenzano il mondo. Forse non dovrei chiamarla antiscienza, perché la scienza viene spesso percepita come fredda, astratta, soggetta a ripensamenti: dovrei chiamarla, molto semplicemente, antirealtà.

Non ne faccio questione di politica: i fatti non sono né di destra né di sinistra, sono fatti e basta, e sono quelli che sono. Non c’è quantità di lacca per capelli o di strilli isterici o di istigazione all’odio che tenga: la realtà ha da tempo immemorabile questo sublime difetto di infischiarsene delle opinioni e delle ideologie e di tutti gli idioti che pensano di poterla piegare al loro volere, e poi presentare il conto.

Come debunker, insomma, non posso stare a guardare mentre si fa scempio della scienza e del mondo. Ecco perché.

Sono a un simposio internazionale di sicurezza informatica. Vi racconto cosa si dice

Questo articolo vi arriva gratuitamente grazie alle donazioni dei lettori. Se vi piace, potete farne una per incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2016/09/21 15:50.

Sono stato cortesemente invitato ad assistere al simposio Cybersecurity and Managerial Challenges “A continuing challenge for a modern society” che si tiene oggi e domani al Franklin College di Lugano (www.cmcsymposium.org). I relatori sono di tutto rispetto e promettono di toccare argomenti estremamente interessanti per la sicurezza informatica aziendale, nazionale e internazionale. Proverò a raccontarvi più o meno in tempo reale gli eventi salienti della giornata. Intanto date un’occhiata al programma e all’elenco dei relatori.

Jacob Keidar, ambasciatore d’Israele a Berna, parla dell’approccio israeliano alla sicurezza informatica. Quasi il 5% del PIL israeliano viene investito in ricerca e sviluppo, e le forze armate fanno sinergia massiccia con le università per formare le nuove leve della sicurezza informatica nazionale, che spesso vanno poi a occupare posti chiave nelle aziende private o le fondano. Il 25% degli informatici israeliani ha così una formazione di origine militare (per cui non c’è da stupirsi, aggiungo io, se quando si parla di aziende informatiche israeliane salta quasi sempre fuori un legame militare).

Morris Mottale, professore della Franklin University, parla dell’evoluzione della teoria cibernetica con una bella citazione dell’informatica di Star Trek (riferita alla Serie Classica che compie cinquant’anni). Prevede un inesorabile aumento della sorveglianza informatica governativa e considera che uno dei pericoli principali sia l’insider ai livelli intermedi di un’organizzazione di sicurezza nazionale.

Siim Alatalu, Head of International Relations che collabora con il CCD COE (Cooperative Cyber Defence Centre of Excellence) della NATO in Estonia, parla della cooperazione internazionale per la sicurezza informatica nazionale. Sottolinea che da luglio di quest’anno oltre la metà della popolazione mondiale è online; Internet non è più territorio esclusivo dei paesi occidentali, e questo cambia tutti gli equilibri. Dice che ci sono 17 paesi con “capacità offensive dichiarate” in campo informatico (cita Russia, Cina e Corea del Nord “e altri paesi”). Cita gli attacchi a livello nazionale in Estonia (2007), Georgia (2008) e Ucraina (2014) e il Manuale di Tallinn (il libro di testo principale sulle leggi internazionali applicabili alla guerra informatica), di cui uscirà prossimamente un’edizione aggiornata. Anche per lui la minaccia chiave è il fattore umano: l'utente innocente che non si rende conto di fare qualcosa di pericoloso (97% degli incidenti informatici). In Estonia è stato reso obbligatorio un corso preliminare di addestramento alla sicurezza informatica per tutti i dipendenti, dall’utente di base fino al manager e allo specialista, e altri paesi europei stanno imitando questo approccio.

Daniele Mensi, vicepresidente di Ubiquity, parla di crimine informatico finanziario su piattaforme mobili. Conferma attraverso due casi vissuti personalmente una teoria molto interessante: gli errori vistosi e le palesi sgrammaticature nelle mail di phishing sono intenzionali, perché permettono di valutare la vulnerabilità e l’ingenuità della vittima potenziale. In altre parole, gli errori selezionano i bersagli migliori. Ci sono oggi tre miliardi di persone connesse a servizi mobili e altre due si aggiungeranno entro il 2020: quasi un raddoppio in quattro anni. Nell’UE, nel 2013 (ultimo anno per il quale sono disponibili dati), l’ammontare delle transazioni fraudolente tramite carte di credito e debito è stato di 1,44 miliardi di euro (lo 0,039% del valore totale delle transazioni). Le frodi con carta non presente sono passate dal 46% al 66%. Uno dei problemi principali nel migliorare la sicurezza, nota Mensi, è che non c’è armonizzazione nelle forme di sicurezza fornite dalle banche.

Matthias Bossardt, Head of Cyber Security and Data Protection di KPMG, affronta i dati sugli attacchi informatici in Svizzera: il 54% delle aziende ha subito attacchi informatici negli ultimi 12 mesi. Dal 14 aprile in UE ci saranno multe fino a 20 milioni di euro o il 4% del fatturato annuale per chi non rispetta le norme sulla protezione dei dati; qualcosa di analogo ci sarà prossimamente anche in Svizzera. Meno della metà delle aziende svizzere ha un piano di risposta agli incidenti di sicurezza informatica e svolge esercitazioni di sicurezza (dati 2016). Sottolinea che in questo momento uno dei canali preferiti per gli attacchi informatici è costituito dai fornitori dell’azienda bersaglio.

Francesco Arruzzoli di STE Spa fa sul palco una dimostrazione in tempo reale (con parecchi intoppi, ma il messaggio è abbastanza chiaro) di penetrazione in un sistema informatico di un’azienda immaginaria: attaccano una periferica di un amministratore di sistema (un vivavoce USB). La periferica originale viene sostituita fisicamente (grazie a una persona che finge di essere un addetto alle pulizie che ha un tesserino falso, ottenuto fotografando da lontano quello originale) con una copia il cui microcontroller viene simulato con un Arduino e quindi ha molte funzioni aggiuntive utili agli aggressori: in particolare ha la capacità di iniettare malware nel PC al quale è collegato, emulando una tastiera. Usando una sequenza di digitazioni preregistrate, viene aperta una sessione di terminale senza conoscere la password dell’amministratore, viene creato un nuovo account amministratore e viene fatto reboot. Il malware si nasconde all’occhio dell’utente usando l'omografia Unicode per assumere un nome apparentemente legittimo (svchost.exe). Non viene spiegato come sfugge all’antivirus. Fatto questo, viene usato Metasploit per trovare una vulnerabilità nel PC. Una volta trovata, viene sfruttata per prendere il controllo dell’intero datacenter aziendale. Morale della storia: qualunque cosa possa andare storta in una demo lo farà. Perla finale: viene presentato come reale un video di hacking di segnali stradali che in realtà era un falso realizzato per marketing virale, come descrivevo nel 2008.

Neil Hindocha della danese Fortconsult parla di Internet delle Cose: usando Shodan.io e Massscan trovano oltre 60.000 dispositivi (sensori di domotica, antifurto, serrature, sensori sismici, porte di carceri, 15.000 Bancomat, automobili, robot industriali, sensori di monitoraggio della pressione di oleodotti, impianti nucleari e molto altro) che comunicavano in chiaro. E i dati sono anche scrivibili. Quando ha presentato questo problema a DEF CON, venti minuti dopo qualcuno ha iniettato nei sensori sismici in Giappone un terremoto di grado Richter 9.1. Questa falla è ancora aperta. Bello l’accenno a Stuxnet (guardate il documentario Zero Days per i dettagli); magnifici gli scenari di attacco informatico, basati su questa falla, in grado di paralizzare una città o una nazione. Maggiori informazioni sono qui. La mia domanda a Hindocha è stata come mai non c’è crittografia o autenticazione su queste comunicazioni: la risposta è che il protocollo MQTT era stato concepito per le comunicazioni satellitari con sensori in ambienti remoti e impossibili da aggiornare, e poi è stato usato per altri scopi e ci si è dimenticati della sicurezza. Un classico.

William Long, della Sidley Austin LPP londinese, parla delle novità normative dell’UE in materia di responsabilità e protezione dei dati. In particolare ha presentato la NIS Directive, una direttiva europea sulla sicurezza informatica che cerca di mettere ordine nel caos legislativo dei vari paesi ed entrerà in vigore nel 2018, dando nuovi diritti ai cittadini (cancellabilità, rifiuto di profilazione, portabilità dei dati) e obblighi di annuncio alle autorità europee delle violazioni di sicurezza entro 72 ore. Divertentissime le acrobazie linguistiche alle quali Long (essendo britannico) è costretto a causa della Brexit. Interessante la portata di questa normativa, che varrà anche per le grandi aziende extra-UE che detengono dati sui cittadini UE (Facebook, Google, Apple e Microsoft, per esempio). Viene citato anche il caso dirompente di Max Schrems contro Facebook davanti alla Corte di Giustizia Europea, che ha avuto impatto su oltre 5000 aziende che adottavano le norme sul safe harbor per la gestione dei dati personali.

Carolina Reggiani, criminologa, esplora brevemente la psicologia dell’hacker (nell’accezione popolare del termine, ossia “criminale informatico”), smontando miti e luoghi comuni. Citati, in particolare, Mitnick e McKinnon.

Federico Luperi, di ADNKronos, parla del danno alla reputazione dopo un attacco informatico, visto oggi come uno dei rischi più importanti per un’azienda. Cita i casi di Ashley Madison, Mossack Fonseca, e spiega alcune delle tecniche di gestione di questo danno.

Con questo si conclude la giornata. Il simposio prosegue domani, ma non ci potrò essere per via di una conferenza che devo tenere a Milano. Spero che  questo resoconto sia stato interessante e utile quanto lo è stato per me partecipare.

Lo spione spiato: HackingTeam si fa fregare 400 giga di dati. Compresi gli affari con governi impresentabili

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla gentile donazione di “ste.simon*”, “davidedani*” e “matteo.cam*” ed è stato aggiornato estesamente dopo la pubblicazione iniziale. Se vi piace, potete incoraggiarmi a scrivere ancora.
Ultimo aggiornamento: 2015/07/11 18:45.

Stanotte HackingTeam, la controversa società italiana che vende software di sorveglianza a governi d'ogni sorta e per questo è etichettata come “nemica di Internet” da Reporter Senza Frontiere, è stata violata massicciamente: questo è, perlomeno, quanto risulta a giudicare dai 400 gigabyte di suoi dati riservati che sono ora a spasso su Bittorrent, a disposizione di chiunque abbia banda sufficiente a scaricarli e tempo e competenza per analizzarli.

Anche l'account Twitter di HackingTeam (@HackingTeam) è stato violato ed è stato usato per pubblicare schermate del materiale pubblicato e tweet di sfottimento come quello mostrato qui sopra.

Dentro la collezione di dati trafugata, stando ai primi esami, c'è di tutto: registrazioni audio, mail, codice sorgente, credenziali di login per i siti di supporto di Hacking Team in Egitto, Messico e Turchia. Secondo l'analisi dell'elenco di file del pacchetto Bittorrent, i clienti di HackingTeam includono la Corea del Sud, il Kazakistan, l'Arabia Saudita, l'Oman, il Libano e la Mongolia; c'è una fattura da 480.000 euro al NISS (National Intelligence and Security Services) del Sudan, che secondo Human Rights Watch ha soffocato le proteste contro il governo facendo 170 morti nel 2013, e c'è una fattura da un milione di euro tondi alla Information Network Security Agency dell'Etiopia, eppure HackingTeam ha dichiarato di non fare affari con governi oppressivi.

Stando ai dati pubblicati a seguito dell'intrusione, ci sono clienti di HackingTeam nei seguenti paesi: Arabia Saudita, Australia, Azerbaigian, Bahrein, Cile, Cipro, Colombia, Corea del Sud, Ecuador, Egitto, Emirati Arabi, Etiopia, Germania, Honduras, Italia, Kazakistan, Lussemburgo, Malesia, Marocco, Messico, Mongolia, Nigeria, Oman, Panama, Polonia, Repubblica Ceca, Russia, Singapore, Spagna, Stati Uniti, Sudan, Svizzera, Tailandia, Ungheria, Uzbekistan, Vietnam.

Fra questi paesi quello più scottante è il Sudan, perché c'è un embargo ONU contro questo paese e un'eventuale violazione di quest'embargo da parte di HT sarebbe decisamente imbarazzante, viste anche le dichiarazioni passate di HackingTeam, secondo le quali ci sarebbe un “comitato legale” che “tiene conto delle risoluzioni ONU, dei trattati internazionali e delle raccomandazioni di Human Rights Watch e di Amnesty International”. Attenzione: “tenere conto” non è sinonimo di “rispettare”. E in un'intervista a Wired di febbraio 2014 HT dichiarava che “Siccome il nostro software è potente, lavoriamo per evitare che finisca in mano di chi potrebbe abusarne.” I risultati di questo lavoro si sono visti stamattina.

C'è anche, secondo Christopher Soghoian, un file Excel con tutti i clienti governativi, le date di primo acquisto da HackingTeam e i ricavi accumulati (maggiori dettagli negli aggiornamenti qui sotto).

Non è finita: alcuni screenshot rivelano pratiche di sicurezza davvero imbarazzanti per una società che si occupa di sicurezza informatica a livelli governativi. Ci sono le password di una persona dotata di account di posta su Hackingteam.com, conservate in chiaro in un file (forse custodito dentro un volume cifrato Truecrypt, comunque scavalcato) e costituite principalmente dalla parola Passw0rd usata ripetutamente per più siti.

E la stessa persona conserva sul computer di lavoro dei link a Youporn (aggiornamento 2015/07/11: potrebbe esserci una ragione di lavoro):

Ho contattato il CEO di HackingTeam per avere una dichiarazione sulla vicenda e sono in attesa di risposta.

Se i dati vengono confermati come autentici, è una carneficina digitale e la reputazione di HackingTeam ne esce a pezzi. Alcuni governi si cominceranno a chiedere in che mani hanno messo i loro affari più sensibili.

13:30. La vicenda sta scivolando rapidamente nel surreale. In tarda mattinata Christian Pozzi di HackingTeam si è affacciato su Twitter per dire che l'azienda ha inviato “una mail di massa a tutti i nostri clienti colpiti non appena abbiamo saputo dell'attacco informatico”. Una dichiarazione che suona decisamente come una conferma dell'autenticità dei dati in circolazione.

Non vorrei essere nei panni della persona di HT che deve spiegare ai servizi di sicurezza russi o di altri paesi che i loro dati riservati ora sono a spasso su Internet.

Non è finita: poco dopo che Pozzi ha tweetato la dichiarazione, anche il suo account Twitter è stato violato, probabilmente a causa di una password un tantinello ovvia come quelle mostrate qui sopra. Ora l'account Twitter risulta disattivato, ma non prima che ne siano stati catturati screenshot assolutamente epici.

Questa vicenda sta diventando un perfetto manuale di tutto quello che non va fatto quando c'è una violazione della sicurezza informatica. E anche di quello che non va fatto per evitare che si verifichi. Regola numero uno: quando succede un casino, stai zitto e lascia che parlino gli avvocati.

Intanto emergono dati aggiuntivi: secondo le ricerche degli esperti, nei file trafugati ci sono dati e password dei clienti di HackingTeam, contratti, parametri di configurazione e un file particolarmente compromettente, che elenca lo stato dei vari clienti, con Russia e Sudan etichettati come “non supportati ufficialmente”:

14:10. La vicenda dovrebbe far riflettere, a mio avviso, su tutta la questione dei trojan di stato. Se, come sembra, il codice sorgente del malware creato da HackingTeam è stato pubblicato nel pacchetto di dati trafugati, questo dimostra concretamente quello che gli esperti dicono da anni: non c'è modo per un governo di creare un malware che potrà essere usato soltanto dai “buoni”. Il malware è malware. È tossico per tutti, esattamente come le armi chimiche o batteriologiche. E prima o poi sfugge di mano.


16:30. Un utente, “Phineas Fisher”, si è attribuito con un tweet (parzialmente confermato) il merito di quest'incursione e di quella ai danni di un'altra società dello stesso settore, Gamma, qualche tempo addietro. Intanto dal Torrent sono stati estratti e segnalati online dei file Excel (Client Overview*) nei quali ci sono i clienti e i loro indirizzi di mail e su Github sono stati pubblicati quelli che sembrano essere i codici sorgente trafugati. Ci sono persino degli screenshot dei desktop dei computer del personale della società. La situazione per HackingTeam, insomma, diventa sempre più disastrosa.


17:00. Apple avrebbe dato a HackingTeam un certificato digitale come iOS enterprise developer per firmare le app e quindi farle sembrare sicure e approvate: Subject: UID=DE9J4B8GTF, CN=iPhone Distribution: HT srl, OU=DE9J4B8GTF, O=HT srl, C=IT. Da quel che ho capito (grazie a Manuel W e Maurizio C), questo in teoria avrebbe permesso a HackingTeam di inviare alla vittima via mail o postare su un sito (non nell'App Store) un'app ostile per iPhone/iPad che il dispositivo e la vittima avrebbero ritenuto sicura perché firmata col certificato, bypassando così i controlli che rendono difficile installare malware nei dispositivi iOS. Sarà interessante vedere la reazione di Apple.


18:00. C'è anche la Svizzera, e specificamente la Polizia Cantonale di Zurigo, fra i clienti di HackingTeam. Per la cifra non trascurabile di 486.500 euro la Kantonspolizei ha acquistato a fine 2014 da HT il Remote Control System Galileo (fattura numero 072/2014). Di questo acquisto ho conferma da fonte indipendente. Galileo è uno dei nomi usati da HT per indicare il proprio malware usato per intercettare i contenuti di smartphone (iOS, Android, Windows Phone, BlackBerry, Symbian) e computer (Windows, Linux, OS X) scavalcandone la crittografia. Galileo viene offerto vantandone l'uso per gestire “fino a centinaia di migliaia di bersagli”.

HackingTeam e i suoi clienti difendono spesso l'uso di malware di stato dicendo che è necessario per lottare contro terrorismo, narcotraffico e pedopornografia. Ma quando si parla di “centinaia di migliaia di bersagli” siamo nel campo della sorveglianza di massa della popolazione e quei reati non c'entrano nulla. A meno che qualche governo se la senta di dire che ha in casa centinaia di migliaia di terroristi, spacciatori e pedofili.


21:30. Si stanno accumulando molte domande, anche autorevoli (The Register, Kevin Mitnick), intorno ad alcuni pezzi di codice sorgente (come questo e questo) che a prima vista sembrano istruzioni per piazzare file di contenuto pedopornografico nei dispositivi dei sorvegliati. Prima di fare un'accusa così grave aspetterei un'analisi esperta di quel codice: non vorrei che si trattasse, per esempio, di semplici funzioni usate per creare un file dimostrativo per i test di funzionalità del malware. Quei nomi pippo e pluto, così tipici della programmazione fatta da italofoni, hanno l'aria di utenti demo.

22:45. Motherboard (Vice.com) scrive che HackingTeam “ha detto a tutti i propri clienti di interrompere tutte le attività e di sospendere ogni uso dello spyware dell'azienda”, riferendosi specificamente al software Galileo/RCS. Scrive inoltre che HT non ha più accesso alla propria mail e che probabilmente i 400 GB di dati sono solo una parte del materiale trafugato. L'intrusione sarebbe avvenuta entrando nei computer dei due amministratori di sistema di HT, Christian Pozzi e Mauro Romeo (sì, la persona che usa come password Passw0rd e lo fa ripetutamente è un sysadmin; non ridete). Nessuno dei dati sensibili era cifrato: passaporti dei dipendenti, elenchi di clienti, tutto in chiaro. Il profilo LinkedIn di Pozzi lo descrive come Senior System and Security Engineer, Hacking Team, April 2014 – Present (1 year 4 months).

Correzione: in una versione precedente di questo articolo avevo scritto che il profilo era stato cancellato; invece era online e c'era un errore mio nell'URL che stavo usando.

C'è anche di peggio. Sempre secondo le fonti di Motherboard, il software di HT ha una backdoor (probabilmente questa) che permette a HT di disattivare o sospendere il suo funzionamento, e questo non lo sanno neppure i clienti.

E ancora: ogni copia del software ha un watermark, per cui “HackingTeam, e adesso chiunque abbia accesso a questo dump di dati, può scoprire chi lo usa e chi viene preso di mira. [...] è possibile collegare una specifica backdoor a uno specifico cliente. E sembra esserci un una backdoor nel modo in cui i proxy di anonimizzazione vengono gestiti, che consente a HackingTeam di spegnerli indipendentemente dal cliente e di recuperare l'indirizzo IP finale che devono contattare”.

Saranno contentissimi i clienti di HT, che volevano un prodotto che desse loro una backdoor per spiare i loro bersagli e invece si sono trovati con un prodotto che ha anche una backdoor che agisce contro di loro e rivela chi volevano spiare. Sembra un brutto remake di Inception.

Come se non bastasse tutta questa devastazione, su Twitter gira un umiliante abbinamento di carte: da una parte c'è un documento datato 2015 in cui il rappresentante all'ONU dell'Italia, Sebastiano Cardi, dichiara che HackingTeam al momento non opera nel Sudan e chiede che HackingTeam chiarisca se ci sono stati affari precedenti con il Sudan; dall'altra c'è una fattura di HackingTeam al Sudan datata 2012. Sarebbe interessante sapere come si sente ora Sebastiano Cardi.

Correzione: il paragrafo precedente è stato aggiornato per presentare più correttamente il ruolo di Cardi.

23:00. È una disfatta totale: sono finiti online anche gli estratti conto delle carte di credito dei membri di HackingTeam, i file audio, gli screenshot di Pozzi che ha in archivio il file pirata di Cinquanta sfumature di grigio, si collega dal lavoro a un desktop remoto e lo usa per scaricare film pirata su Emule e altre chicche. Vediamo quali altre sorprese ci porterà la notte.


23:55. Vorrei concludere la giornata con un grandissimo grazie pubblico a tutti i lettori che mi hanno aiutato a raccogliere al volo i pezzi di questa vicenda; senza di voi non sarebbe stato possibile, ma siete troppi per potervi ringraziare uno per uno. A domani!


2015/07/07 10:40. Ho sistemato alcune imprecisioni nel testo di questo articolo e ne sto preparando uno supplementare con gli aggiornamenti della notte e del mattino. Eccolo.


Fonti aggiuntive (con link al Torrent, a screenshot e a documenti): The Register (anche qui), The Next Web, CSO Online (anche qui), Wired, Bruce Schneier, The Intercept, Ars Technica, The Guardian.

Se avete un server OpenVPN, occhio a ShellShock; collezione di attacchi dimostrativi

In alcune configurazioni i server OpenVPN sono vulnerabili alla falla ShellShock. Lo segnala Hacker News; qui c'è il codice dimostrativo. Altre info sono su The Register.

Più in generale, Kevin Mitnick segnala l'esistenza di un archivio di proof of concept basati su ShellShock.

Megaupload e Filesonic: implicazioni per il cloud

Megaupload e Filesonic dimostrano che il cloud puro non è sicuro

La chiusura di Megaupload e la mutazione senza preavviso di Filesonic non sono soltanto tappe della lotta alla pirateria audiovisiva. Hanno implicazioni molto più significative: dimostrano che l'idea di depositare i propri dati nel cloud è insicura.

Come hanno segnalato molti utenti, fra coloro che utilizzavano questi cyberlocker c'erano anche clienti che non commettevano alcuna violazione del diritto d'autore: vi avevano caricato dei dati di cui erano legittimi titolari. Erano clienti legali che oltretutto pagavano per un servizio. Ma la scure della chiusura (calata dall'FBI o autoimposta) ha colpito anche loro, causando la perdita dei loro dati se non ne avevano una copia altrove.

Kevin Mitnick, come al solito, ha riassunto bene le implicazioni della vicenda sulla strombazzatissima idea del cloud: “Il caso Megaupload ha appena dimostrato che i VOSTRI dati NON SONO AL SICURO nel cloud. Il Governo può semplicemente sequestrare i vostri dati :-( mentre interviene su un'altra azienda”.

Queste sono le conseguenze inattese della difesa fanatica di un diritto d'autore obsoleto: ci vanno di mezzo anche gli utenti onesti. La validità delle accuse degli inquirenti statunitensi nei confronti di Megaupload è, in questo senso, del tutto irrilevante. Chi usa il cloud puro rischia comunque di vedersi sparire tutto senza preavviso; chi usa soluzioni ibride, con copia locale, corre un rischio minore, ma deve tenere presente che in qualunque momento la copia remota può svanire.

Falla nel TCP/IP di Windows permette di infettare i PC

L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Il bollettino di sicurezza MS11-083 di Microsoft (Vulnerability in TCP/IP Could Allow Remote Code Execution) definisce “critica“ la falla nel TCP/IP di Windows Vista, Windows Server 2008 e Windows 7 che “potrebbe consentire l'esecuzione di codice da remoto se un aggressore invia un flusso continuo di pacchetti UDP appositamente confezionati a una porta chiusa del sistema-bersaglio... un aggressore potrebbe eseguire codice arbitrario in kernel mode” e “potrebbe poi installare programmi; visualizzare, modificare o cancellare dati; oppure creare nuovi account con pieni permessi d'utente”. Ironicamente, Windows XP è immune al problema. Idem dicasi per Windows Server 2003.

Secondo Kevin Mitnick via Twitter, questo potrebbe essere un video che dimostra la falla e il suo utilizzo (su una rete locale):

È una falla decisamente bizzarra, perché è così facile da sfruttare e perché è sorprendente che esista: mandi via Internet i pacchetti UDP malformati e prendi il controllo della macchina-bersaglio. Tutto qui. Oltretutto attraverso una porta chiusa, che come tale dovrebbe dare una certa protezione. Anche per F-Secure la falla è piuttosto soprendente; Technet di Microsoft fornisce dettagli e smorza la sfruttabilità del difetto. L'aggiornamento è in arrivo già disponibile fra quelli mensili del Patch Tuesday dell'altroieri; se usate i sistemi operativi affetti, aggiornateli appena possibile.

Film porno sugli aerei? No, trovata pubblicitaria [UPD 2011/11/09]

Compagnia low-cost promette video porno sui propri voli. E i giornalisti ci cascano

C'è una compagnia aerea a basso costo che da anni si fa pubblicità gratuita annunciando toilette a pagamento o posti in piedi sugli aerei. Puntualmente i giornalisti abboccano e pubblicano quelle che in realtà sono solo sparate pubblicitarie per far parlare di sé. Basterebbe un briciolo di buon senso per capire che sono proposte irrealizzabili.

Irrealizzabili esattamente come questa nuova trovata: l'offerta di film a luci rosse durante i voli. Il boss della compagnia aerea in questione (che non citerò qui per ovvie ragioni) avrebbe paragonato il servizio a quello degli alberghi. Ma avrebbe anche messo le mani avanti dicendo che il servizio richiederebbe un anno di preparativi tecnici. Fra un anno non se ne ricorderà nessuno, ma intanto la pubblicità per la compagnia aerea sarà passata.

Non sarebbe ora di piantarla di abboccare a qualunque scemenza inventata dai reparti di marketing?

Aggiornamenti

2011/11/09. Le trovate della compagnia aerea in questione scivolano nel surreale. Kevin Mitnick, via Twitter, segnala un video in circolazione che mostra il boss della compagnia che prospetta, durante una conferenza stampa, non solo film porno, ma anche prestazioni sessuali: a pagamento in classe economica, gratuite in business class.

Convergenza cosmica di EPIC WIN: Neil Armstrong e Kevin Mitnick

Kevin Mitnick e Neil Armstrong. Wow

Dal flusso Twitter di Mitnick, il suo incontro con Neil Armstrong. L'uomo che per primo ha messo piede sulla Luna insieme all'uomo che avrebbe usato il social engineering per convincere Neil a scendere per secondo e dargli le chiavi del modulo lunare.

È difficile raggiungere un livello di cool, geekitudine ed epicità più alto. L'originale è qui.

Aggiornamento: Mitnick ha anche una foto insieme a Stan Lee e Steve Wozniak. Notevole. Grazie a @Flavio_MfM per la segnalazione.