Podcast del Disinformatico RSI 2021/07/16: La seduttrice informatica assetata di bitcoin

È disponibile il podcast di oggi de Il Disinformatico della Rete Tre della Radiotelevisione Svizzera, condotto dal sottoscritto. Come la puntata precedente, questa è l’edizione estiva, nella quale mi metto comodo e racconto una storia sola in ogni puntata ma la racconto in dettaglio.

Il podcast di oggi, insieme a quelli delle puntate precedenti, è a vostra disposizione presso www.rsi.ch/ildisinformatico (link diretto) ed è ascoltabile anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano il testo e i link alle fonti della storia di oggi, sono qui sotto!

----

Questa storia inizia con tre ingredienti: uno smartphone, un cuore solitario e delle criptovalute. Uno di questi ingredienti sta per sparire in circostanze misteriose; due resteranno. Provate a indovinare quali. È importante, perché storie come questa succedono realmente e possono capitare a tutti. 

----

Pochi giorni fa Jameson Lopp, della società di sicurezza informatica statunitense Casa Incorporated, ha raccontato [link attualmente non funzionante] sul sito della società una forma di attacco informatico insolita e originale.

Uno dei clienti della società, che chiamerò Mark per comodità (non è il suo vero nome), è un single che, come tante altre persone, usa app di incontri come Tinder per conoscere altre persone. Di recente ha trovato su Tinder il profilo di un donna che si descriveva in una maniera che ha colpito la sua attenzione. Ma non nella maniera che potreste immaginare. Citava semplicemente due parole nella descrizione della propria professione: crypto trader.

Un crypto trader è una persona che fa compravendita di criptovalute: bitcoin, ma non solo. È un mestiere abbastanza raro e Mark è stato attratto dal fatto che la donna, che chiamerò Sara (anche qui, non è il suo vero nome), lo svolgesse, visto che anche lui è un crypto trader.

Così Mark ha contattato la donna su Tinder, dicendole che anche lui era del mestiere; gli sembrava un buon aggancio di conversazione, un interesse comune di cui discutere.

Dopo una chattata su Internet i due hanno deciso di incontrarsi in una caffetteria. Mark ha notato che la donna che si è presentata all’appuntamento aveva un aspetto leggermente differente da quello che aveva visto nelle sue foto su Tinder, ma non si è fatto troppi problemi: tanta gente ha un aspetto reale parecchio differente da quello che pubblica online.

Durante questo primo incontro faccia a faccia Sara ha detto che i suoi genitori le avevano comperato un bitcoin, che aveva un valore di circa 30.000 dollari, ma non ha parlato di criptovalute per il resto dell’incontro.

Dopo una passeggiata insieme, i due si sono messi d’accordo di andare a casa di Mark a bere qualcosa. Hanno comperato degli alcolici, ma Mark ha notato che Sara era tutto sommato poco interessata a bere: mostrava molto più interesse per la musica. Anche qui, tutto sommato, niente di male.

A un certo punto Mark è andato alla toilette, e da quel momento i suoi ricordi si fanno confusi. Ricorda di aver bevuto ancora un po’ dopo essere stato alla toilette. Sara ha preso in mano lo smartphone di Mark e gli ha chiesto di mostrarle come si sbloccava. Mark sentiva che c’era qualcosa di sbagliato, ma aveva perso ogni inibizione e cautela. L’ultima cosa che ricorda di Sara è che la stava baciando, poi più nulla fino all’indomani mattina, quando Mark si è svegliato nel proprio letto.

Sara non c’era più, e non c’era più neppure il telefonino di Mark. Il portafogli, le carte di credito e i documenti personali dell’uomo erano ancora al loro posto. In casa non erano spariti soldi, computer o altri oggetti di valore.

Mark è andato al proprio computer portatile e ha cominciato a controllare i propri account: ha visto che qualcuno aveva tentato di fare acquisti di criptovalute usando il suo conto corrente bancario e di effettuare prelievi di bitcoin in vari siti di custodia di criptovalute. Chiaramente un aggressore stava cercando di svuotargli gli account dedicati alle criptovalute.

Che cosa gli stava succedendo?

Mark era diventato la vittima di una banda di criminali professionisti, ai quali non interessavano i soldi che aveva in casa o le carte di credito. Interessavano soltanto le password che proteggevano i suoi conti in criptovalute. Quelle password erano custodite nel suo smartphone: quello che mancava all’appello.

La sua strana arrendevolezza e perdita di inibizione davanti alla richiesta di Sara di mostrarle come sbloccare il suo smartphone, e la sua confusione nel ricordare gli eventi, erano probabilmente dovute a una sostanza che Sara gli aveva messo nel bicchiere approfittando della visita di Mark alla toilette. Una sostanza di quelle che appunto notoriamente causano perdita di inibizione e di memoria e vengono purtroppo usate solitamente per compiere aggressioni ai danni delle donne, specialmente nei locali pubblici. Stavolta la vittima era un uomo, e l’obiettivo non era un’aggressione fisica.

Sara era probabilmente il membro della banda che si occupava di sedurre le vittime, di drogarle di nascosto e di farsi dire come sbloccare i loro smartphone. Una volta ottenuto l’accesso al telefonino, il dispositivo viene passato a un altro componente della banda che si occupa di estrarne tutti i dati utili.

I criminali, infatti, si stanno rendendo conto che rubare un telefonino è molto remunerativo: questo dispositivo è ormai diventato la chiave di accesso alla vita intera, non solo digitale, di moltissime persone. Chi ha il vostro telefonino sbloccato può accedere alla vostra casella di mail e intercettare tutte le vostre comunicazioni personali e di lavoro. L’accesso alla mail permette di ricevere i link inviati dai siti degli account dei social network e dei servizi finanziari quando si clicca su “Ho dimenticato la password” e prenderne quindi il controllo cambiandone la password. Ma questo è soltanto l’inizio.

Quello che la maggior parte delle persone non si aspetta è che il loro telefonino possa essere considerato così prezioso dai malviventi da spingerli addirittura a organizzare una seduzione mirata, con tanto di incontro in carne e ossa con un membro della banda, soltanto per rubare quel dispositivo e farsene dare i codici di sblocco. Ma c’è un ottimo movente.

Avere il telefonino sbloccato di una persona, infatti, è ancora meglio che avere accesso alla sua mail: sul telefonino arrivano infatti anche gli SMS di autenticazione di banche e altri account che controllano denaro. Sul telefonino c’è anche l’app di autenticazione, per esempio Google Authenticator, che genera i codici usa e getta di questi account. E quindi avere lo smartphone sbloccato di una vittima significa avere tutto quello che serve per superare anche la cosiddetta autenticazione a due fattori usata dagli utenti più attenti: il primo fattore, infatti, è quello che sai (la password) e il secondo è quello che hai (il telefonino). Ma se una seduttrice ti induce a rivelare quello che sai e si porta via quello che hai, l’autenticazione a due fattori non serve più a nulla.

Infatti Mark aveva preso tutte queste precauzioni tecniche per proteggere gli account di criptovalute che gestiva, ma non aveva considerato il fattore umano. Ha sottovalutato l’investimento di risorse che i suoi aggressori erano disposti a fare.

I malviventi, infatti, si organizzano creando falsi account nei siti di incontri e immettendo in questi account parole chiave che attirano vittime facoltose: per esempio i gestori di criptovalute come Mark. Non sono loro a cercare le vittime: è la vittima che si autoseleziona.

Inoltre fanno leva sulle abitudini culturali: in un incontro fra sconosciuti, infatti, normalmente si pensa che la parte vulnerabile sia la donna. Le donne vengono avvisate del pericolo costituito dai farmaci immessi di nascosto nelle bevande: gli uomini no.

Nel caso di Mark, però, c’è un lieto fine, o quasi. Infatti i malviventi sono riusciti a impossessarsi soltanto di una piccola cifra in bitcoin presente in uno dei suoi account perché lui aveva preso un’ulteriore precauzione: aveva protetto i suoi account di maggior valore con un sistema a chiavi multiple.

In questi sistemi, un account finanziario è protetto da più di un codice o chiave di sicurezza. Le chiavi sono custodite su dispositivi separati e gestite da persone differenti. Per fare un trasferimento di denaro servono almeno due chiavi e quindi almeno due persone che siano d’accordo. Questa è la prassi standard per la gestione dei conti correnti nelle grandi aziende, e rende difficilissima la tecnica della seduzione: i malviventi dovrebbero riuscire a sedurre almeno due dei possessori di chiavi contemporaneamente.

Gli esperti di sicurezza sottolineano che questo tipo di trappola è una variante nuova di una tecnica vecchia, il cosiddetto wrench attack, l’attacco con la chiave inglese, nel quale si minaccia di fare del male alla vittima per indurla a obbedire e consegnare password e dispositivi agli aggressori.

Ora l’obbedienza viene ottenuta usando farmaci. 

L’altra novità è che il boom delle criptovalute ha creato molti nuovi ricchi, che non hanno ancora sviluppato buone abitudini di sicurezza e non si rendono conto che bitcoin e simili sono estremamente facili da perdere o da farsi rubare.

Alla luce di questa evoluzione, i consigli di questi esperti vanno aggiornati.

• Se date appuntamento a una persona sconosciuta che avete contattato su un sito di incontri, fatelo sempre in un luogo pubblico, preferibilmente uno dotato di telecamere le cui registrazioni possano essere consultate dalle autorità se qualcosa va storto.
• Confrontate sempre la foto della persona nel profilo con l’aspetto della persona che incontrate in carne e ossa. Se avete dubbi che sia la stessa persona, è il caso di allarmarsi.
• Non lasciate mai incustoditi cibi o bevande e non accettate cibi o bevande da sconosciuti o persone incontrate da poco.
• Limitate il vostro consumo di alcolici quando siete in un incontro di questo tipo.
• Mettetevi sempre d’accordo con una persona fidata che sappia del vostro appuntamento e agisca se non vi sente entro un certo orario.
• E ovviamente non pubblicizzate a sconosciuti il vostro interesse per le criptovalute.

Comparis.ch colpita da ransomware, consigli per gli utenti

Anch’io sono fra i tanti utenti svizzeri di Comparis.ch, il popolare sito di confronti fra prodotti e servizi (80 milioni di visite l’anno) che è stato colpito da un attacco informatico, basato sul ransomware, il 7 luglio scorso, come raccontato da La Regione/ATS. 

L’azienda dichiara di non aver pagato il riscatto richiesto (400.000 dollari) ed è tornata online dopo una breve pausa grazie alla disponibilità di copie di backup dei dati.

Alcuni dati degli utenti, però, sono stati trafugati dai criminali e quindi sono a spasso in Rete, probabilmente in vendita al miglior offerente.

Non ho trovato dettagli tecnici sull’attacco, a parte l’indicazione che la richiesta di riscatto è stata recapitata a Comparis “sotto forma di un URL impiantato in un’area sicura del sistema informatico”.

Ho ricevuto da Comparis una mail di avviso (ho rimosso alcuni link e dettagli personali), disponibile in copia anche sul sito, che parla pittorescamente di “grande energia criminale”:

Cara lettrice, caro lettore

Le inviamo questo messaggio perché da noi è registrato il suo indirizzo e-mail topone@pobox.com.

Il 7 luglio, il Gruppo Comparis è stato oggetto di un attacco informatico, compiuto con grande energia criminale. Comparis e le sue consociate hanno immediatamente adottato tutte le misure necessarie alla protezione di tutti i dati.

In seguito al cosiddetto attacco ransomware sono stati bloccati vari sistemi informatici del Gruppo Comparis. Nel frattempo il sito web comparis.ch è di nuovo disponibile, funziona normalmente ed è garantito.

Purtroppo, dalle analisi dei dati ora effettuate risulta che gli autori dell’attacco sono riusciti ad accedere ad alcuni dati interni e rilevanti sulla clientela del Gruppo Comparis (p. es. indirizzi e-mail dei nostri utenti).

Lei cosa può fare?

Ha un account da noi? Allora le consigliamo di cambiare la sua password il prima possibile.

Se i suoi dati sono stati interessati dall’attacco, non possiamo escludere che possano essere utilizzati da terzi per scopi commerciali o fraudolenti. La polizia cantonale di Zurigo offre qui una panoramica sul fenomeno (disponibile solo in tedesco). In generale le consigliamo di essere estremamente prudente se la contatteranno terzi che si fanno passare per collaboratori di banche o compagnie assicurative e le chiederanno di fornire determinate informazioni. La preghiamo inoltre di comunicarci eventi del genere per consentirci di segnalarli alle autorità incaricate delle indagini.

Ulteriori informazioni sull’attacco a Comparis sono disponibili nelle nostre FAQ. Per informazioni generali, poi, può consultare la pagina web della polizia cantonale di Zurigo Polizia per la criminalità informatica – Problemi frequenti (disponibile solo in tedesco).

Prendiamo molto sul serio l’accaduto. Abbiamo adottato immediatamente ogni misura necessaria per la protezione di tutti i dati. Il Gruppo Comparis si è già rivolto alle autorità preposte al perseguimento penale, ha sporto denuncia penale e collabora a stretto contatto con gli specialisti in criminalità informatica della polizia di Zurigo. Anche l’Incaricato federale della protezione dei dati e della trasparenza è stato informato.

Ci scusiamo per tutti gli inconvenienti causati.

Cordiali saluti,

Il team Comparis 

Sottoscrivo pienamente i consigli di Comparis: se siete suoi utenti, cambiate la vostra password usata sul sito e sulle sue consociate come Credaris; aggiungo che se avete usato la stessa password altrove, vi conviene assolutamente cambiarla anche lì (usando password differenti per ogni singolo servizio).

Inoltre fate molta attenzione a eventuali prese di contatto telefoniche, via mail o sui social network di persone che si spacciano per rappresentanti di banche o servizi, e della stessa Comparis, e sembrano credibili perché hanno alcune informazioni su di voi. Queste informazioni possono essere state acquisite da attacchi come questi. In caso di telefonate o SMS, infine, non fidatevi del numero che compare: può essere facilmente falsificato.

Fonti aggiuntive: La Regione, Swissinfo, Tages-Anzeiger.

Un’altra chiamata dai truffatori del finto “servizio assistenza Microsoft”

Stamattina ho ricevuto l’ennesima chiamata da un truffatore che si è spacciato esplicitamente per un rappresentante di Microsoft e ha cercato di intortarmi dicendo che il mio computer aveva dei problemi. L’ho fatta breve e l’ho avvisato che la chiamata veniva registrata e che ero un giornalista e sapevo che si trattava di un truffatore. Ha insistito lo stesso.

La chiamata proveniva (almeno in apparenza) dal numero britannico 0044 7902542748. La registrazione è qui sotto:

Valgono le solite raccomandazioni:

• Ricordate che Microsoft non vi chiamerà mai per offrire assistenza tecnica non richiesta; è il cliente che deve chiamare se ha bisogno.
• Diffidate di qualunque telefonata inattesa o di qualunque messaggio pop-up inaspettato che compaia sul vostro schermo di computer, tablet o telefonini.
• Non telefonate a eventuali numeri che compaiono negli avvisi e non cliccate su inviti a scaricare software o effettuare scansioni del vostro dispositivo.
• Non cedete mai il controllo del vostro computer a terzi se non siete in grado di confermare che si tratta di legittimi rappresentanti di un’azienda informatica di cui siete già clienti.
• Se avete il minimo dubbio, prendete nota del nome e del numero della persona che vi ha contattato e segnalatelo alle autorità locali.

Ricordo infine che Microsoft ha una pagina apposita, disponibile anche in italiano, nella quale segnalare i dettagli di queste truffe:

https://www.microsoft.com/it-it/concern/scam

Ma attenzione: i captcha della pagina sono un incubo da risolvere. Ho appunto segnalato questo caso a Microsoft, ma alla fine ho dovuto rinunciare perché non riuscivo a decifrare i vari captcha. Tipo questo: due parole separate? Una sola? In che ordine? Questo genere di complicazione fa passare la voglia.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

Richard Branson va nello spazio. No, non è il primo astronauta privato

Ultimo aggiornamento: 2021/07/14 11:00.

Ieri il velivolo Unity della Virgin Galactic ha portato a 86 chilometri di quota il fondatore dell’azienda, Richard Branson, insieme ai due piloti Dave Mackay e Michael Masucci e a tre dipendenti (Beth Moses, Colin Bennett e Sirisha Bandla). Il volo ha attirato molta attenzione mediatica superficiale, che ha creato parecchia confusione.

Il velivolo Unity viene portato in quota, a circa 15.000 metri, dall’aereo-madre Eve pilotato da Kelly Latimer e C.J. Sturckow.

Non è la prima volta che il velivolo, sganciato a circa 15.000 metri da un aereo che l’ha trasportato fino a questa quota, effettua un volo fino a 80.000 metri, raggiungendo una velocità di circa Mach 3 in un ripidissimo arco parabolico (lo ha già fatto almeno tre volte), ma è la prima volta che Unity lo fa trasportando un complemento completo di passeggeri.

Non avendo superato la quota di 100.000 metri normalmente considerata come demarcazione di inizio dello spazio (la cosiddetta linea di Karman), quello di Branson non è formalmente un volo spaziale in senso stretto: è un volo ad altissima quota. Tuttavia il governo statunitense considera la quota di 80 km come confine fra atmosfera e spazio, per cui i membri dell’equipaggio di Unity, partiti da una base nel New Mexico, possono considerarsi ragionevolmente astronauti suborbitali.

Diversamente da quanto hanno scritto alcuni giornalisti, però, Branson non è affatto il primo astronauta privato: quel primato spetta a Dennis Tito e risale al 2001. Oltretutto Tito andò in orbita intorno alla Terra, invece di fare un volo di qualche minuto come Branson e i suoi compagni di volo, e ci restò per una settimana, visitando la Stazione Spaziale Internazionale. Da allora altri privati cittadini estremamente facoltosi si sono pagati un viaggio nello spazio. Se proprio si vuole dargli un primato, Branson è la prima persona al mondo a raggiungere una quota definibile come “spazio” usando un veicolo finanziato dalla persona stessa. 

Un altro equivoco molto diffuso è pensare che questo veicolo di Branson sia paragonabile ai grandi razzi solitamente utilizzati per andare nello spazio: sono due cose completamente differenti. Sfiorare lo spazio per una manciata di secondi è una cosa totalmente diversa dal restarvi: è questione di velocità, non di quota. Un volo suborbitale come quello di Branson richiede energie molto, molto più piccole di quelle necessarie per un volo orbitale (di quelli che vanno nello spazio e ci restano, continuando a girare intorno alla Terra). Unity raggiunge circa tre volte la velocità del suono: un razzo orbitale, come lo Shuttle o la Soyuz o la Dragon, per restare nello spazio deve accelerare fino ad almeno venticinque volte la velocità del suono. È come paragonare un ciclista che va a 30 km/h con un’auto che va a 240 km/h.

Se questo viene considerato un volo spaziale, si stabilisce un nuovo record per il maggior numero di persone contemporaneamente nello spazio, sia pure per pochi istanti: 16 (tre astronauti cinesi sulla stazione cinese, sette astronauti sulla Stazione Spaziale Internazionale e sei persone a bordo di Unity). 

Il profilo di volo non è particolarmente innovativo: questo tipo di arco parabolico fino ad altissime quote fu effettuato già quasi sessant’anni fa, nel 1963, dall’aereo-razzo sperimentale X-15 della NASA, anch’esso portato in quota da un aereo-madre (un bombardiere B-52 appositamente modificato). La differenza è che stavolta lo fa un’azienda privata, e al posto di un singolo, addestratissimo pilota ci sono sei persone, di cui quattro sono semplici passeggeri in comode poltroncine.

Vista da Unity verso la coda, prima dello sgancio.

I passeggeri a bordo di Unity. Branson è davanti sulla sinistra.

Sgancio di Unity e accensione del suo motore.

Unity in arrampicata.

L’esperienza di bordo è comunque molto simile a quella di un volo spaziale suborbitale: il velivolo deve usare razzi di manovra per il controllo d’assetto, perché a 80 km di quota l’atmosfera è troppo rarefatta per consentire manovre usando le superfici aerodinamiche, e la traiettoria consente circa tre minuti ininterrotti di assenza di peso (diversamente dalla ventina di secondi offerta dai normali voli parabolici in aereo) e una visione della Terra paragonabile a quella che si ha dallo spazio, con il cielo nero e una curvatura molto marcata dell’orizzonte.

Il volo è stato presentato come un collaudo finale per il “turismo spaziale” che Branson prevede di offrire commercialmente dal 2022, con biglietti che attualmente costano circa 250.000 dollari a testa.

La più grande differenza rispetto ai voli spaziali tradizionali è in positivo: qui non ci sono mesi di addestramento (ma solo cinque giorni di preparazione) e non ci sono procedure di imbarco o sbarco particolarmente complesse. Si sale a bordo, si vola, si atterra planando e si scende dall’aereo subito, con le proprie gambe. È tutto molto naturale e accessibile. A parte il prezzo.

Unity atterra sulla pista.

La diretta streaming del volo.

La fase di sgancio, ascesa e assenza di peso mostrata in maggiore dettaglio grazie alle registrazioni effettuate a bordo.

Fonte aggiuntiva: BBC.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

Podcast del Disinformatico RSI 2021/07/09: Stuxnet, il virus informatico più distruttivo della storia

È disponibile il podcast di oggi de Il Disinformatico della Rete Tre della Radiotelevisione Svizzera, condotto dal sottoscritto. Questa è l’edizione estiva, nella quale mi metto comodo e racconto una storia sola in ogni puntata ma la racconto in dettaglio.

Il podcast di oggi, insieme a quelli delle puntate precedenti, è a vostra disposizione presso www.rsi.ch/ildisinformatico (link diretto) ed è ascoltabile anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano il testo e le fonti della storia di oggi, sono qui sotto!

----

Questa storia inizia in un giorno di giugno del 2010, in Bielorussia. È un giorno come un altro presso la VirusBlokAda, una società di sicurezza informatica. Uno dei suoi specialisti, Sergei Ulasen, scopre un esemplare di un nuovo virus: gli capita spesso nel suo lavoro. Lo segnala pubblicamente in un forum di esperti, come è normale. Nota, però, che è un virus che si propaga usando una tecnica insolita, eludendo le normali difese di Microsoft Windows.

Sergei non sa ancora di avere per le mani uno dei virus informatici più distruttivi e sofisticati di sempre, che si sta diffondendo in tutto il mondo attraverso Internet ed è sfuggito al controllo dei suoi creatori.

Ma questo virus così potente ha anche un’altra particolarità: non fa assolutamente nulla. Non cancella dati, non ruba password: si limita a girare per Internet alla ricerca di qualcosa, ma all’inizio non si capisce bene cosa.

Ci vorranno parecchi mesi, e servirà il lavoro coordinato dei migliori esperti informatici civili del mondo, per venire a capo di questo mistero. Ma a quel punto sarà troppo tardi: il virus avrà già raggiunto il suo bersaglio, un delicatissimo impianto nucleare, danneggiandolo gravemente.

Questa è la storia di come quel virus, denominato Stuxnet, sia riuscito a superare tutte le difese di quell’impianto nucleare e a infettarlo in modo invisibile, nonostante fosse blindatissimo e isolato fisicamente da Internet, e di come Stuxnet sia stato capace di causare danni fisici ai macchinari dell’impianto, scrivendo una pagina nuova e inquietante della storia della guerra informatica.

--

C’è un’espressione, in informatica, che indica il massimo livello possibile della sicurezza dei dati e dei sistemi: air gap. Letteralmente vuol dire “divisorio d’aria”: significa che il sistema informatico non è collegato in alcun modo al resto del mondo. Niente Internet, niente cavi di rete, niente Wi-Fi: non entra e non esce nulla. Un sistema con air gap è un’isola, una fortezza.

Questo isolamento drastico si usa per proteggere le risorse strategiche di un’azienda o di un paese: centrali elettriche, impianti di produzione, sistemi militari, archivi di dati sensibili. Cose preziose e costosissime, che devono assolutamente funzionare sempre.

L’impianto nucleare iraniano di Natanz è una di queste risorse protette da un air gap: è un complesso in gran parte sotterraneo, dentro il quale lavorano incessantemente migliaia di centrifughe, ossia degli apparati che ruotano ad altissima velocità per separare gli isotopi dell’uranio allo scopo di usarli nella produzione di energia nucleare o, potenzialmente, nella fabbricazione di bombe atomiche (che il governo iraniano dichiara però di non voler realizzare).

Ma qualcuno ha deciso che quelle centrifughe, a torto o a ragione, vanno fermate. Un attacco militare tradizionale sarebbe difficilissimo, perché le bombe non riuscirebbero a sfondare i massicci bunker sotterranei, e soprattutto sarebbe un atto politicamente esplosivo. Serve un approccio più sottile, preferibilmente invisibile: ed è qui che entra in scena l’informatica. Come si recapita un attacco informatico a un sistema che è isolato da Internet e dal mondo?

Torniamo da Sergei Ulasen, lo specialista bielorusso che per primo, a giugno del 2010, ha isolato lo strano virus informatico, più propriamente un worm, e lo sta esaminando. All’inizio sembra un virus abbastanza ordinario, che sfrutta una falla di sicurezza di Microsoft Windows che gli consente di infettare un computer semplicemente inserendovi una chiavetta USB infetta. Non ha bisogno che l’utente apra un file o lo esegua: il solo fatto di guardare il contenuto della chiavetta con Esplora Risorse è sufficiente a completare l’infezione. Una tecnica potente, che però Microsoft blocca rapidamente diffondendo un aggiornamento per Windows a luglio 2010, un mesetto dopo la scoperta.

Gli esperti informatici civili di tutto il mondo cominciano a parlarne pubblicamente, ma lo segnalano semplicemente come uno dei tanti malware in circolazione in quel periodo. Poi cominciano ad accorgersi che questo virus ha qualcosa di davvero speciale. Gli danno il nome che lo renderà famoso fra gli informatici: Stuxnet, che è una fusione di alcune parole chiave presenti nel suo codice (stub e mrxnet.sys).

Stuxnet manifesta ben presto delle preferenze molto precise: si diffonde indiscriminatamente, effettuando migliaia di tentativi al giorno di infettare altri computer Windows, ma contiene una serie di istruzioni dedicate a colpire soltanto degli specifici apparati di controllo programmabili, i cosiddetti SCADA, usatissimi nei processi industriali, e ce l’ha specificamente con quelli di una sola marca, la Siemens. Tuttavia non colpisce tutti gli apparati di controllo di questa azienda: è molto schizzinoso, e li infetta soltanto se sono collegati a macchinari specifici, ad altissime prestazioni.

È un comportamento molto strano, che lascia perplessi gli esperti: nell’ottica del virus tradizionale, creato da criminali, non ha senso essere così selettivi. Intanto le infezioni si diffondono in tutto il pianeta, e anche qui Stuxnet si rivela stranamente attento nella scelta dei bersagli. Vengono segnalati casi di infezioni da Stuxnet in Pakistan, negli Stati Uniti, in India e in Indonesia, ma ben il 60% dei computer infettati si trova in Iran. Un altro dettaglio che non ha senso, visto che i sistemi SCADA della Siemens non sono vendibili all’Iran a causa dell’embargo internazionale.

Man mano che gli esperti proseguono nell’analisi di Stuxnet, emerge un altro fatto assolutamente insolito: questo virus sfrutta ben quattro vulnerabilità di Windows prima sconosciute. Di solito un malware sofisticato ne usa una sola: adoperarne quattro in una sola volta è rarissimo, perché una volta usate, queste vulnerabilità non saranno più sfruttabili per attacchi. Come se non bastasse, Stuxnet contiene la firma digitale segreta di due fabbricanti di chip taiwanesi. Queste firme vengono usate per certificare le applicazioni e garantire che non siano pericolose. Rubarle è un’impresa difficilissima.

Chi mai si darebbe così tanta pena per colpire dei sistemi industriali di una marca specifica, ma praticamente solo se si trovano in Iran, dove quella marca non è in vendita?

Soltanto a settembre 2010, tre mesi dopo la scoperta di Stuxnet, alcuni esperti si azzardano timidamente a proporre una spiegazione a tutti questi misteri: il crimine informatico non c’entra nulla. Si tratta, secondo loro, di un’arma informatica militare, concepita e pilotata da qualcuno che ha mire geopolitiche. Sarebbe il primo caso pubblicamente noto di un virus informatico utilizzato a scopi militari per un attacco che ha effetti distruttivi nel mondo reale. Per questo Mikko Hypponen, uno dei più noti esperti di sicurezza informatica, lo descrive come il malware più importante dell’anno e probabilmente del decennio.

Questa spiegazione militare, proposta dai principali produttori di antivirus e ambiguamente supportata da alcune dichiarazioni governative e militari statunitensi e israeliane, è coerente con tutti i fatti accertati e con alcuni altri fatti poco conosciuti che vengono rivelati dagli esperti con il contributo di Wikileaks, come il fatto che in realtà ci sono eccome degli apparati di controllo della Siemens in Iran: sono stati acquistati clandestinamente, eludendo l’embargo, e si trovano proprio negli impianti nucleari del paese. Guarda caso, controllano le centrifughe per l’arricchimento dell’uranio. Che però sono isolate da Internet, come tutti gli impianti nucleari iraniani, da quel famoso air gap. Quindi come ha fatto Stuxnet a raggiungerli? E una volta raggiunti, come ha fatto a non farsi notare?

La ricostruzione più plausibile è che Stuxnet sia stato impiantato, non si sa bene come, nei computer di alcune organizzazioni iraniane che fanno manutenzione agli impianti industriali, compresi quelli nucleari. Il virus sarebbe rimasto dormiente, invisibile, su questi computer fino al momento in cui i tecnici di queste organizzazioni hanno portato i propri computer dentro gli impianti nucleari e li hanno usati per effettuare la manutenzione degli apparati di controllo della Siemens. Ecco come si scavalca l’air gap: qualcuno da fuori porta dentro un dispositivo infetto e lo collega fisicamente agli apparati isolati. Che a questo punto non sono più isolati.

Stuxnet si sarebbe reso conto di aver raggiunto il proprio bersaglio e si sarebbe attivato, installandosi in modo invisibile negli apparati della Siemens di quegli impianti nucleari. E qui, stando all’analisi tecnica del codice di questo virus, sarebbe stata usata un’astuzia molto particolare per non far notare che questi apparati erano infettati e sotto il controllo di Stuxnet.

Per prima cosa, Stuxnet avrebbe modificato il funzionamento degli apparati Siemens iraniani in modo da alterare leggermente la velocità di rotazione delle centrifughe in modo irregolare, creando delle sollecitazioni eccessive che le avrebbero man mano danneggiate fino a rovinarle. Ma per non farsi notare, avrebbe visualizzato e registrato dei dati falsi, che avrebbero fatto credere ai tecnici dell’impianto che tutto fosse normale.

Le centrifughe, insomma, avrebbero dato l’impressione di guastarsi per ragioni assolutamente inspiegabili, e l’esame dei dati registrati dai loro apparati di controllo non avrebbe rivelato nulla di anomalo. In questo modo il virus avrebbe potuto continuare ad agire indisturbato, in segreto, per mesi o anni, e non ne avremmo mai saputo nulla se non avesse contenuto un errore di programmazione.

A causa di questo errore, infatti, quando un tecnico collegò a Internet un computer che era stato usato per la manutenzione degli impianti nucleari iraniani, Stuxnet si diffuse in tutta Internet, infettando centinaia di migliaia di computer e sistemi industriali, e così fu rilevato dagli esperti di sicurezza civili.

L’entità esatta dei danni materiali causati da Stuxnet non è nota. Secondo alcune stime, la sua incursione avrebbe rovinato un quinto di tutte le centrifughe nucleari iraniane. Le autorità del paese hanno ammesso che un virus informatico era riuscito a causare problemi a “un numero limitato” di queste centrifughe. Ma in queste situazioni la disinformazione viene usata da tutti i contendenti, sia per esagerare i propri successi, sia per sminuire le proprie sconfitte.

Quello che è certo è il codice di Stuxnet, che è stato analizzato dagli esperti di aziende come Symantec, Kaspersky, F-Secure e molte altre. Il suo bersaglio e la sua complessità e sofisticazione non sono in dubbio: Stuxnet è la dimostrazione che è possibile realizzare un’arma informatica capace di causare danni fisici a macchinari strategici, e che qualcuno è disposto a usarla. Ma è anche la dimostrazione che persino le armi più sofisticate e mirate possono sfuggire al controllo dei loro creatori.

Su chi siano questi creatori e i loro mandanti, fra l’altro, ci sono solo congetture e ipotesi: ma sono pochi i paesi che hanno competenze informatiche di questo livello e la determinazione politica di usarle per sganciare armi digitali del genere contro un paese specifico.

A un decennio abbondante di distanza da questo esordio delle armi da guerra informatica, oltre al fascino da spy-story della vicenda in sé restano fondamentalmente due lezioni.

La prima è che abbiamo oggi le prove del fatto che dietro le quinte, a nostra insaputa, si combatte una guerra informatica non dichiarata, ma a lungo sospettata, che può usare i nostri dispositivi digitali come cavalli di Troia per distruzioni fisiche, non solo per alterare, rubare o cancellare dati. Stuxnet è soltanto un episodio di questa guerra che è venuto alla luce. Non sappiamo quanti altri ce ne sono stati, e ce ne sono, di cui non verremo mai a conoscenza. Ma almeno adesso sappiamo per certo che la guerra informatica esiste ed è molto concreta.

La seconda lezione è che Stuxnet e i suoi derivati non sono semplicemente un nuovo strumento che si aggiunge all’arsenale militare. Un virus informatico riscrive completamente le regole della guerra. Un’arma convenzionale lascia sempre delle tracce che permettono di risalire ai suoi mandanti: il tipo di esplosivo, i componenti dell’ordigno, il genere di danno che produce, per esempio. Un’arma informatica non ha nulla di tutto questo. Rende incredibilmente facile lanciare il sasso e nascondere la mano, o addirittura dare la colpa a qualcun altro. Non richiede macchinari sofisticati o poligoni di test difficili da occultare.

E questo, come si dice in questi casi, cambia tutto.

 

Fonti aggiuntive: BBC (2011); BBC (2021); Disinformatico (2010). 

Avventurette in auto elettrica: Lugano-Firenze-Lugano (790 km). Dati, cifre, trucchetti, piaceri e magagne

Nota: a scanso di equivoci, tutte le foto sono state scattate da me mentre non guidavo. Prima di lanciarsi nelle solite critiche sulle auto elettriche si prega di leggere le risposte alle obiezioni più frequenti su Fuoriditesla.ch. Ultimo aggiornamento: 2021/07/11 00:15.

6 luglio 2021. Dobbiamo andare da Lugano a Firenze e ritorno (circa 790 km), fermandomi una notte, per un mordi e fuggi personale: siamo in tre (io, la Dama del Maniero e un’amica), per cui andarci in treno sarebbe poco conveniente, e in più c’è ancora una pandemia in corso, per cui anche se siamo tutti vaccinati preferiamo non esporci e non stare per ore in treno con una mascherina incollata alla faccia, insieme a gente che non sappiamo se e quanto sia vaccinata.

Inoltre vorrei cogliere l’occasione per fare qualche test: con una berlina elettrica del 2016 che ha una batteria relativamente piccola è possibile fare un viaggio del genere, a velocità autostradali normali, senza assolutamente preoccuparsi dell’autonomia e senza perdere tempo in ricarica? Il pianificatore dell’auto è affidabile? Al Maniero abbiamo abbandonato definitivamente l’auto a carburante oltre un anno fa, ma finora abbiamo avuto poche occasioni di fare viaggi lunghi ed è ora di mettere alla prova dei fatti la nostra scelta.

---

Uno dei modi per ridurre o eliminare l’incombenza della ricarica di un’auto elettrica è scegliere un albergo dotato di colonnina di ricarica. Per sceglierne uno a Firenze potremmo usare Booking.com, che ha l’opzione di selezionare gli alberghi in base alla disponibilità di una stazione di ricarica per veicoli elettrici (è nella sezione Servizi di Booking.com), ma c’è un sistema più semplice: avendo  una Tesla (una Model S di seconda mano, soprannominata TESS), possiamo usare il pianificatore online fornito dall’azienda oppure la mappa interattiva delle colonnine Tesla per farci dire quali sono gli alberghi dotati di colonnina Tesla nelle vicinanze della nostra destinazione. Scopro che ce ne sono quattro.

In base alla vicinanza del luogo del Mordi e Fuggi, la scelta si riduce a due: il Classic Hotel e l’UNA Hotel Vittoria, situati in modo da consentirci di fare due passi a piedi o in taxi fino alla nostra destinazione. Non vogliamo complicazioni con ZTL e simili, per cui consulto anche la mappa della ZTL di Firenze. Alla fine scegliamo il Classic: molto tranquillo, con cortile interno, situato in una villa con tanto verde intorno.

Pianifico il viaggio con Abetterrouteplanner (ABRP), che mi propone all’andata 4 ore e 4 minuti di viaggio, compresa una tappa di 21 minuti di ricarica al Supercharger Tesla di Modena, che non pago (grazie ai referral ho accumulato circa 8500 km di carica gratuita) ma richiede una piccola deviazione fuori dall’autostrada (è all’Hotel Real Fini Baia del Re, uscita autostradale Modena Sud della A1) che si aggiunge ai tempi di ricarica e comporta la leggera scomodità di doverla trovare, visto che è la prima volta che la uso (beh, non proprio: l’ho usata nel 2015 per andare a Roma, ma con un’auto non mia). Potremmo caricare alle colonnine presenti all’autogrill di Secchia Ovest, ma non appartengono alla rete Tesla, per cui le pagheremmo: le tengo come Piano B in caso di imprevisti. Lungo il percorso abbiamo comunque una discreta scelta di colonnine rapide Tesla: Melegnano, Piacenza, Campogalliano e Firenze.

Il piano di ABRP (a 120 km/h di velocità massima, senza tenere conto del traffico), in dettaglio:

• 8:00 Partenza da Lugano con il 100% di carica.
  
• 10:33 Arrivo al Supercharger di Modena con il 15% di carica residua, dopo 262 km. Carica per 21 minuti.
• 10:54 Partenza dal Supercharger di Modena con il 49%.
• 12:04 Arrivo al Classic Hotel dopo 122 km con il 6% di carica residua.
  

Il pianificatore di Tesla, invece, basandosi su una Model 3 Standard range Plus (l‘auto attuale la cui autonomia si avvicina maggiormente a quella di TESS), propone un piano assurdo: una tappa di 10 minuti di ricarica a Melide, subito dopo la partenza, e poi una tappa di cinque minuti di ricarica a Firenze (screenshot qui accanto). Non ha senso; lascio perdere.

La previsione più accurata, però, dovrebbe essere quella fatta da TESS stessa, che “conosce” la propria autonomia e i propri consumi. Il problema è che non posso sapere la sua proposta fino al momento in cui partiamo, perché il pianificatore di bordo fa i suoi calcoli sulla base della carica corrente della batteria, e io avrò il “pieno” solo domattina, appena prima di partire. Infatti per allungare la vita operativa della batteria conviene evitare di tenerla carica al 100% senza utilizzarla, per cui ho impostato la carica notturna in modo che termini poco prima dell’orario previsto per la partenza.

In ogni caso, la tratta è ben coperta da colonnine rapide e abbiamo almeno 300 km di autonomia a velocità autostradale, per cui quello che importa sapere è che sarà necessaria una sola tappa da qualche parte e che possiamo permetterci di arrivare a destinazione con la batteria quasi scarica perché siamo certi di poter caricare all’arrivo (abbiamo chiamato l’albergo e avvisato che ci servirà la colonnina).

---

7 luglio 2021, 8:00. Partenza con il 100% di carica fatta a casa di notte in garage, monitorando la carica con l’app sul telefono. Costo della carica (circa 48 kWh, l’auto era già parzialmente carica): circa 9,60 CHF (8,85 EUR).

Primo problema: il pianificatore di bordo è rimbambito. Come il pianificatore online, mi propone di fermarmi a caricare dopo 30 km per poi fare una tratta lunga con una tappa ulteriore a Piacenza. Per fortuna l’esperienza acquisita in due anni di guida elettrica mi permette di capire che posso ignorare il suggerimento dell’auto: è assurdo, visto che quando la batteria è quasi piena la carica è molto più lenta. 

Voglio essere comunque prudente, per cui partiamo viaggiando a non più di 120 km/h fino alla tappa di ricarica. In Svizzera 120 km/h è in ogni caso la velocità massima consentita, e so che la differenza di consumi fra 120 km/h e 130 km/h (la massima velocità consentita in Italia) è notevole. La differenza di tempo di viaggio, invece, è modesta: ipotizzando 120 km/h fissi, 383 km si fanno in tre ore e 12 minuti; a 130 km/h si fanno in 2 ore e 56 minuti: teoricamente una ventina di minuti in meno, ma tanto i 130 fissi in autostrada trafficata sono solo un sogno, come vedrete nel riepilogo dei dati.

11:06. A causa del traffico, i 120 o 130 km/h sono appunto un sogno lontano e quindi arriviamo al Supercharger di Modena in tre ore e sei minuti, dopo 268 km, avendo consumato 49,8 kWh (185 Wh/km), secondo i dati indicati dall’auto; la velocità media è stata di circa 90 km/h. Ci resta il 22% di carica: sufficiente, in emergenza, ad arrivare a una colonnina successiva, ma tanto TESS ci ha avvisato che le colonnine sono operative e ce ne sono parecchie disponibili.

Dato interessante: durante il viaggio noto a un certo punto che abbiamo coperto 170 km consumando il 50% di carica, per cui l’autonomia teorica di TESS alle velocità autostradali che abbiamo potuto tenere sarebbe pari a 340 km, ben più di quella che considero prudenzialmente. Con modelli di Tesla dotati di batterie più capienti (ne esistono anche da 100 kWh) l’autonomia sarebbe molto maggiore.

Altro dato interessante, a proposito di capienza: se 49,8 kWh sono il 78% di carica, vuol dire che la capacità di carica effettiva della batteria di TESS è circa 64 kWh. Non sono i 70 kWh indicati dalla targhetta dell’auto: non so ancora se si tratta di un fenomeno dovuto al degrado della batteria o a una limitazione introdotta da Tesla su alcuni tipi di batteria per estenderne la vita. Lo scoprirò prossimamente.

Mettiamo l‘auto sotto carica ed entriamo a fare pausa toilette e bombolone/caffè/mail (necessaria per fisiologia e lavoro, non per autonomia del veicolo) all’Hotel Real Fini Baia del Re, che ospita il Supercharger, come previsto nella pianificazione pre-viaggio. Il Supercharger è appena fuori dal casello autostradale di Modena Sud e si raggiunge in un paio di minuti. TESS carica inizialmente a 88 kW, per poi rallentare man mano che il livello di carica sale (le Tesla più recenti caricano molto più rapidamente, fino a 250 kW).

Il Supercharger di Modena Sud. TESS è la quarta da sinistra.

11:35. Prima che finisca la pausa, TESS ha già caricato a sufficienza per arrivare con ampio margine a destinazione. Il tempo di sosta (29 minuti) è stato dettato dalle esigenze umane. Cinque minuti prima di finire la pausa, attiviamo da remoto tramite l’app il condizionatore, per avere l’auto fresca nonostante sia sotto il sole. Funziona ed è una gran comodità. Ripartiamo, stavolta senza limitazioni di velocità salvo quelle del codice della strada. Ci sono 37°C e il condizionatore lavora intensamente. Anche così, l’autonomia rimane ampiamente sufficiente.

13:10. Arriviamo a destinazione al Classic Hotel dopo altri 126 km autostradali, consumando 25,4 kWh, e ci resta il 23% di carica. Parcheggiamo TESS in uno dei due posti auto dedicati alle auto elettriche (con colonnine da 11 kW), la mettiamo sotto carica e ce ne andiamo in albergo e poi a compiere il Mordi e Fuggi (è una piacevole faccenda personale, vi risparmio i dettagli) intanto che TESS ricarica gratis. Abbiamo percorso in tutto 394 km e consumato in tutto 75,2 kWh, pari a 191 Wh/km. Tempo impegnato dalla ricarica: zero, visto che tanto avremmo dovuto fermarci per motivi non tecnici e abbiamo lasciato che fossero questi motivi a decidere la durata della sosta.

---

8 luglio 2021, 8:00. Sveglia e avvio da remoto dell’ultima parte di carica di TESS in modo che arrivi al 100% per quando partiremo. Il grosso della carica è già stato fatto durante la giornata di ieri. Un ipotetico “pieno” dallo 0% richiederebbe circa 7 ore, ma ci è bastato parecchio meno. Non so quanto, perché il bello è che non me ne sono dovuto preoccupare: l’auto ha caricato mentre facevamo altro.

10:05. Partenza e guida a 130 km/h di velocità massima, senza risparmiare i cavalli, fino all’ora di pranzo.

12:33. Pausa pranzo, che facciamo mentre TESS si abbevera (sempre gratis) al Supercharger di Piacenza, situato anche in questo caso appena fuori dal casello autostradale. Bonus: incontriamo a sorpresa un famoso utente Tesla di cui per privacy ometto il nome; dico solo che a Modena lo conoscono in tanti. Arriviamo al Supercharger con il 20% di carica residua dopo 241 km percorsi e 48,9 kWh consumati (203 Wh/km).

Le “stazioni di servizio” elettriche sono decisamente più gradevoli di quelle per auto a carburante. Alberi, ombra, niente puzza di gasolio o benzina. La foto è un po’ distorta dal grandangolo.

Pranziamo in una trattoria adiacente al Supercharger e ancora una volta lasciamo che siano i tempi umani, non quelli del mezzo tecnico, a dettare la durata della sosta. Altro dato interessante di questo viaggio: le pause “naturali” si confermano molto più lunghe di quello che si immagina. Ho dovuto ricontrollare gli orari dei log di bordo per rendermi conto che un pranzo leggero ha richesto un’ora e mezza: avrei giurato che ci fossimo fermati in tutto un’ora. Così TESS ha ricaricato fino al 96%, ampiamente sufficiente per arrivare fino al Maniero Digitale con un grosso avanzo.

13:57. Partiamo per il Maniero. Il viaggio è assolutamente normale e privo di eventi significativi.

15:43. Arriviamo al Maniero con il 44% di carica residua, dopo aver percorso altri 154 km e consumato 32,2 kWh (210 Wh/km).

---

Tirando le somme, il viaggio è stato molto meno complicato delle mie previsioni: ormai l’ansia da autonomia comincia a scemare, un po’ per via dell’esperienza, un po’ perché l’auto calcola molto correttamente l’autonomia prevista (anche se i criteri di pianificazione delle ricariche sono piuttosto bislacchi). 

Dati riepilogativi:

• Lugano-Firenze: 394 km, 4h 41m di viaggio (soste escluse), 84 km/h di media (soste escluse), 75,2 kWh, 191 Wh/km
• Firenze-Lugano: 395 km, 4h 04m di viaggio (soste escluse), 97 km/h di media (soste escluse), 81,1 kWh, 205 Wh/km
• Spesa di ricarica: 9,60 CHF / 8,85 euro (64,1 CHF / 59,1 EUR se avessi pagato a tariffa normale, 0,41 CHF/kWh, le ricariche Tesla)
• Spesa equivalente con un’auto a benzina: 107,6 EUR (ipotizzando 12 km/litro e 1,634 EUR/litro, che è il prezzo medio italiano corrente)
  

Serve comunque un po’ di pianificazione, e in questo senso gli alberghi dotati di colonnina di carica sono una manna dal cielo: poter caricare, anche lentamente, una volta arrivati a destinazione è una comodità enorme che fa tutta la differenza. Albergatori, se volete attirare clienti, dotatevi di colonnine elettriche, anche “lente”.

Avere una rete di ricarica garantita è un altro bonus enorme. Lo stesso vale anche per la facilità d’uso: ai Supercharger non servono app o tessere. Basta parcheggiare l’auto alla colonnina e inserire il cavo di carica nella presa dell’auto. Fine. Nessuna perdita di tempo e nessuna incognita. E per di più, nel mio caso, gratis.

Per contro la segnaletica dei punti di ricarica è pessima, e questo vale per tutte le marche di colonnine. Sui cartelli lungo l’autostrada non c’è alcuna indicazione della presenza di stazioni di ricarica (anche in Svizzera, dove c’è, bisogna aguzzare l’occhio per trovarla). Non ci sono insegne o cartelli indicatori per individuare dove si trova la stazione di ricarica. Per fortuna mi sono informato prima sull’ubicazione di quella di Piacenza guardando le recensioni in Google, perché altrimenti non l‘avremmo mai trovata: dalla strada non si vede nulla.

Se Tesla, Ionity e gli altri fornitori di colonnine rapide vogliono far partire il mercato,  secondo me devono dotarsi di insegne ben visibili come quelle delle pompe di benzina. Non solo per aiutare gli utenti di auto elettriche (che possono comunque sfruttare il navigatore apposito), ma anche per rassicurare chi sta semplicemente pensando di fare la transizione alla mobilità elettrica: se il pubblico non vede che le colonnine ci sono, sono tante e sono ben distribuite, non comprerà mai un’auto elettrica.

Insomma, c’è ancora molta strada da fare, ma già ora un viaggio di questo genere è fattibile anche con un‘auto elettrica che ha già cinque anni di anzianità tecnologica. Ed è un viaggio confortevole, silenzioso e non inquinante, oltre a costare pochissimo (8,85 euro di “carburante” per 790 km). Ma se vi piace stressarvi con rumore, puzze, file alle casse, fretta di arrivare e un Camogli trangugiato in piedi, lasciate perdere l’auto elettrica.

Podcast del Disinformatico RSI 2021/07/02: Rapporto UFO e testimonianze, attacco ai dischi rigidi, stranezze di Google Translate

È disponibile il podcast di oggi de Il Disinformatico della Rete Tre della Radiotelevisione Svizzera, condotto da me insieme a Tiki. Dalla settimana prossima il programma avrà una veste differente ed estiva: ci sarò io a raccontare in dettaglio una grande storia dell’informatica o della disinformazione. Questi sono gli argomenti trattati nella puntata di oggi, con i link ai rispettivi articoli di approfondimento:

• Il famoso rapporto militare sugli UFO che tutti aspettavano è stato pubblicato. Gli ufologi piangeranno, come previsto
• Perché non ci si può fidare delle testimonianze ufologiche prive di reperti a supporto? Un caso personale
• Qualcuno sta cancellando i dati dai dischi My Book Live di Western Digital connessi a Internet. Scollegateli
• Ehi Google, come si dice in inglese “salsicce e friarielli”?

Il podcast di oggi, insieme a quelli delle puntate precedenti, è a vostra disposizione presso www.rsi.ch/ildisinformatico (link diretto) ed è ascoltabile anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto!

25 anni di Quake, rivoluzione 3D nei videogiochi

Sono già passati 25 anni dal debutto di uno dei videogiochi più importanti di sempre. Per i pignoli, la data esatta era il 22 giugno 1996. Quel giorno la iD software presentò Quake, uno sparatutto in soggettiva cupo e labirintico che fu uno dei primi a offrire grafica interamente tridimensionale, personaggi compresi, su un normale PC dell’epoca (che quando andava bene era un Pentium a 75 MHz, come racconta in dettaglio Howtogeek).

Prima di Quake, i giochi per PC offrivano al massimo spostamenti su un piano bidimensionale. Quake, invece, consentiva al giocatore di saltare e di guardarsi intorno facilmente grazie al mouselook (l’uso del mouse, joystick o simile per cambiare l’orientamento del protagonista). Questa maggiore libertà di movimento fu rivoluzionaria e completamente immersiva, perlomeno per gli standard dell’epoca, che prevedevano risoluzioni oggi imbarazzanti (320 x 200, per esempio, roba che nel 2021 neppure il più misero dei telefonini oserebbe proporre). 

Quake fu il terzo successo tecnicamente rivoluzionario della iD software, dopo Wolfenstein 3D (1992) e Doom (1993). Come bonus offriva inoltre una colonna sonora firmata da Trent Reznor dei Nine Inch Nails. Bonus nel bonus: Reznor è anche la voce del personaggio principale, il Ranger.

Perché non ci si può fidare delle testimonianze ufologiche prive di reperti a supporto? Un caso personale

Ultimo aggiornamento: 2021/07/14 14:40.

Mi chiedono spesso perché sono così scettico sul fenomeno UFO e soprattutto sulle testimonianze di avvistamenti. Provo a spiegare perché: in una parola, esperienza. Chi non ha esperienza di avvistamenti e segnalazioni tende a credere che le persone siano testimoni affidabili e precisi; chi ce l’ha sa che le testimonianze sono spesso incredibilmente distorte, anche nei casi apparentemente più banali. Faccio un esempio tratto, appunto, dalla mia esperienza.

Alcuni anni fa (nel 2015) mi scrisse una persona, dicendomi che un suo conoscente, una persona di sua assoluta fiducia, aveva ripreso e fotografato direttamente un oggetto misterioso.

Il testimone stava tornando a casa dopo una serata passata in compagnia quando

“si è trovato di fronte a questo oggetto, che si "dondolava" ed emetteva una strana luce ed era collocato in un campo adiacente a casa sua. [...] stando al racconto del mio amico, non c'era un filo di vento a casa sua questa sera. Dopo averlo filmato e fotografato dalla lontananza, ha provato ad avvicinarsi all'oggetto, ma questo schizzava verso l'alto per poi tornare a terra una volta che lui si allontanava, fino a quando, dopo l'ennesimo tentativo di avvicinarlo, è sparito nel cielo.”

Il caso sembra interessantissimo: un oggetto sconosciuto che si muove spontaneamente, addirittura decollando, in un campo a poca distanza dall’osservatore, ed emette una luce. Cosa potrà mai essere? 

Provate a fare qualche ipotesi prima di continuare la lettura. Immaginatevi la scena sulla base delle parole della descrizione, che ho riportato testualmente, omettendo soltanto i riferimenti personali per tutelare l’identità delle persone coinvolte.

---

Avete fatto le vostre ipotesi? Avete fissato bene nella vostra mente cosa avete immaginato? Bene, allora siete pronti per il resto della vicenda.

Se ci fosse soltanto questa testimonianza dell’evento, l’episodio rimarrebbe inspiegabile, misterioso e affascinante. Ma c’è un dettaglio che cambia tutto: il testimone ha appunto “filmato e fotografato” questo oggetto, e mi ha mandato foto e video.

Nel video, la voce del testimone dice, mentre sta riprendendo l’oggetto che si dondola ed emette luce:

“Oh beh, ragazzi, guardate questo. Io non so cosa sia. Io non so che animale sia questo. È nel mio campo, e questo è un UFO. Non vi dico una balla, questo è un UFO, ragazzi. Non so se ci credete o no, ditemi voi che cos’è.”

Sia il testimone, sia la persona che mi ha mandato il video e le foto dell’avvistamento, sono convinte di aver visto qualcosa di straordinario che non riescono a spiegare.

Ma il video, che per ora non vi posso mostrare,* riprende molto chiaramente un oggetto molto normale.

* 2021/07/14. Mi è arrivato oggi il permesso di pubblicarlo.

Un palloncino.

Un palloncino metallizzato semisgonfio, appoggiato sul campo e mosso dal minimo refolo di vento. È a pochi metri dalla persona che lo sta riprendendo. Emette una “strana luce” semplicemente perché è illuminato dai fari dell’auto del testimone. E non “schizza verso l’alto”: si limita a oscillare leggermente.

Tutto qui. È un palloncino, lo si vede chiaro come il sole.

Questo è il video:

Senza questo video e senza le foto, la narrazione sarebbe appunto perfettamente ufologica. Conosco ufologi e conduttori di programmi TV che ci ricamerebbero su a non finire. Ma il video ridimensiona completamente la vicenda.

I testimoni, insomma, sono incredibilmente inattendibili. Ma la cosa ancora più interessante è che quando spiego che si vede lontano un miglio che si tratta di un palloncino, la persona che mi ha contattato non accetta la spiegazione. Non vuole arrendersi all’evidenza. Fatica a pensare che la spiegazione possa essere così ovvia, e forse gli ho rovinato quella che per lui era un'esperienza straordinaria.

Io ricevo un gran numero di segnalazioni di avvistamenti di oggetti ritenuti misteriosi, e posso dire che queste reazioni emotive alle spiegazioni sono comunissime e umanissime. Questi sì che sono gli aspetti umani e psicologici che dovremmo considerare e investigare quando si parla di ufologia. 

---

2017/07/14. Per chi sospetta che si tratti di una burla, aggiungo che insieme al permesso di pubblicazione del video è arrivato questo commento dalla persona che mi ha mandato il video: chiarisce bene lo stato d’animo di chi vive un’esperienza che in quel momento gli appare incomprensibile.

“a distanza di anni, riguardando il video a freddo, effettivamente sembra davvero un palloncino metallizzato che si muove sospinto dal vento, però la sera del fatto ed i giorni seguenti ero abbastanza condizionato dal racconto di chi aveva filmato l'accaduto, e probabilmente anche quello ha giocato un ruolo chiave nella percezione del fatto in sé.” 

La prima narrazione che si riceve ha un impatto emotivo enorme e persistente, nonostante le eventuali correzioni successive. Che spesso non arrivano mai.

---

C’è anche un altro fattore comunissimo, un errore di metodo che l’astrofisico e divulgatore scientifico Neil DeGrasse Tyson riassume egregiamente in questo video da 00:56 in avanti:

“Qualcuno vede delle luci lampeggianti in cielo. Non le ha mai viste prima. Non capisce cosa siano. Dice ‘Un UFO!’ La U sta per Unidentified [non identificato]. E così dice ‘Non so cosa sia. Devono essere alieni dallo spazio che ci visitano da un altro pianeta!’. Ma se non sai cosa sia, è a questo punto che la tua conversazione dovrebbe fermarsi!”

Qualcuno sta cancellando i dati dai dischi My Book Live di Western Digital connessi a Internet. Scollegateli

Ultimo aggiornamento: 2021/07/04 11:10.

Da alcuni giorni, chiunque abbia un disco rigido esterno My Book Live o My Book Live Duo della Western Digital sta sudando freddo. Qualcuno, non si sa bene chi, sta prendendo il controllo via Internet di questi dischi e li sta azzerando (facendo un factory reset da remoto). 

Visto che questi dischi rigidi vengono usati per conservare grandi quantità di dati, per molti utenti il risultato è catastrofico: perdita di tutti i documenti digitali, di tutte le foto e i video di famiglia, di tutta la musica e altro ancora. 

Fra gli utenti che stanno sudando freddo ci sono stato anch’io, visto che ho ancora un paio di questi dischi e li uso come archivi temporanei (circa 9 terabyte in tutto, spesso piuttosto pienotti).

Il consiglio di Western Digital è stato molto drastico: scollegare immediatamente questi dischi da Internet. Punto. Si tratta infatti di dischi rigidi dotati di porta Ethernet al posto delle consuete porte USB, che si collegano alla rete locale e fanno da archivio condiviso per tutti i dispositivi presenti sulla rete. Possono essere configurati in modo da affacciarsi a Internet e quindi essere consultabili o gestiti via Internet, a patto di conoscerne la password di amministrazione. Ma qualcuno ha trovato il modo di scavalcare questa protezione e devastarli. Brrr.

L’azienda precisa che il problema riguarda soltanto i suoi dischi della serie My Book Live e non i suoi prodotti successivi. Aggiunge inoltre che non fornirà aggiornamenti che correggano le due falle software (CVE-2018-18472 e CVE-2021-35941) che consentono queste cancellazioni di massa. Noterete che una di queste falle è nota dal 2018; fra l’altro, colpisce anche alcuni modelli di altre marche, come NetGear, SeaGate e Medion.

In alcuni casi, Western Digital offrirà a chi ha perso dati dei servizi gratuiti di recupero dati e degli sconti di permuta (trade-in) con altri dischi rigidi analoghi più recenti. L’azienda fa notare che i dischi vulnerabili sono stati messi sul mercato nel 2010 e hanno ricevuto il loro ultimo aggiornamento firmware nel 2015. In altre parole, sono obsoleti e non più supportati.

L’unico rimedio per chi, come me, ha ancora questi dischi è isolarli da Internet, impostandoli in modo che non siano accessibili da fuori della rete locale (niente port forwarding o simili). Questo non protegge da eventuali attacchi locali (o anche remoti, messi a segno attaccando prima qualche altro dispositivo che faccia da testa di ponte sulla rete locale), ma è meglio di niente. E ovviamente conviene fare una copia di scorta (fisicamente isolata) dei dati presenti su questi dischi.

La tecnica di attacco è stata scoperta: l’aggressore trova un disco rigido My Book Live accessibile via Internet (con un port scanning) e usa una delle due vulnerabilità per scavalcare la password e installare un trojan, mentre l’altra vulnerabilità viene usata successivamente per azzerare il disco tramite uno script.

Sappiamo anche che la falla che consente di eseguire l’azzeramento senza digitare password è colpa di Western Digital: infatti uno dei suoi sviluppatori ha commentato via le righe di codice che proteggevano con la password il comando di reset. Un errore madornale e imperdonabile.

Quello che resta da capire è chi abbia scatenato questo attacco, e soprattutto perché: manca infatti un movente. Non viene chiesto un pagamento, non vengono sottratti dati. È pura e semplice distruzione, una cosa rara in questi tempi di attacchi informatici motivati sistematicamente dal denaro.

Una teoria è che le vittime di questi attacchi si siano trovate coinvolte in una lotta fra due gruppi di criminali informatici che si contendevano il controllo di questi dischi rigidi. Uno dei gruppi, secondo questa teoria, aveva preso il controllo di un grande numero di dispositivi My Book Live per trasformarli in una botnet (un esercito di dispositivi comandabili a distanza e usabili per altri attacchi). L’altro gruppo avrebbe cercato di rubare il controllo di questa botnet.

Ars Technica approfondisce gli aspetti tecnici di questa teoria, se volete saperne di più. Quello che conta è che quel disco rigido che molti di noi tengono sulla scrivania, silenzioso e apparentemente innocuo, è in realtà un probabile teatro di guerra fra bande informatiche rivali.