L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2023/06/23 9:05. Questo articolo è disponibile anche in versione podcast.

Dopo avervi raccontato un attacco informatico dilettantesco, quello di NoName, e un attacco più professionale, quello ai danni degli utenti di Minecraft, è il turno di vedere come operano i criminali informatici più sofisticati, visto che in questi giorni hanno seminato il caos nelle aziende di mezzo mondo, colpendo per esempio British Airways, la BBC, la società di consulenza internazionale EY [nota ai più col suo nome precedente, Ernst and Young (BBC)], nonché molti siti governativi statunitensi e banche di vari paesi, rubando dati sensibili e poi chiedendo un riscatto per non pubblicarli.

Gli esperti attribuiscono questi attacchi a un gruppo criminale russofono denominato Cl0p. Almeno due organizzazioni svizzere sono state colpite, secondo l’elenco geografico dei bersagli basato sui dati pubblicati dai criminali sul dark web [presso il seguente indirizzo, che ho opportunamente alterato]:

hxxp://santat7kpllt6iyvqbr7q4amdv6dzrh6paatvyrzl7ry3zm72zigf4ad[.]onion

Il primo sintomo di un attacco sofisticato è la sua natura indiretta. Oggigiorno è raro che un’azienda venga attaccata direttamente, frontalmente, perché il crimine informatico organizzato ha capito da tempo che è molto più efficiente colpire i grandi fornitori di servizi delle aziende, in un cosiddetto supply-chain attack. In questo modo, con un solo attacco si riesce a entrare nei sistemi di tutte le aziende che usano quei fornitori. In questo caso il fornitore è la Progress Software, che produce un software di trasferimento di file molto diffuso, chiamato MOVEit, che aveva un difetto sconosciuto all’azienda ma purtroppo noto ai criminali.

Questo è il secondo sintomo di un attacco informatico di alto livello: l’uso di una vulnerabilità non ancora nota e documentata, ossia di una cosiddetta falla zero day (che si chiama così perché viene sfruttata dai criminali prima che sia nota agli esperti di sicurezza, e quindi la casa produttrice del software fallato ha avuto zero giorni di tempo per rimediarla prima che venisse utilizzata).

I criminali hanno scoperto che l’interfaccia Web del software MOVEit aveva un difetto classico: non filtrava eventuali comandi annidati opportunamente nei dati immessi dagli utenti. Questi comandi venivano quindi eseguiti, permettendo di visualizzare ed esportare dati confidenziali, di avere privilegi di amministratore sui sistemi attaccati e altro ancora.

Per fare un esempio ipotetico, immaginate di avere davanti a voi un sito web che vi chiede di immettere il vostro nome e cognome, e immaginate di rispondere scrivendo che vi chiamate Cancella di nome e Database filesdb di cognome. Immaginate inoltre che cancella sia un comando valido per la gestione del database, e che quel database si chiami proprio filesdb. Un sito che non filtra le immissioni degli utenti interpreterà queste parole come comandi... e cancellerà il proprio database.

Nella realtà non è così semplice come in questo esempio, ma il principio è lo stesso: i criminali hanno immesso nell’interfaccia Web dei comandi opportunamente confezionati e hanno ottenuto in risposta i dati sensibili delle aziende, senza dover indovinare password, installando anche del software per poter proseguire l’attacco anche in seguito. 

Tutte le installazioni aziendali di MOVEit consultabili via Internet erano vulnerabili in questo modo, in quello che gli esperti chiamano injection attack. Il motore di ricerca specialistico Shodan rileva attualmente circa 2300 siti che usano MOVEit e lo espongono a Internet. In Svizzera, i siti di questo genere sono una quarantina.

Quattro giorni dopo l’inizio degli attacchi, la Progress Software ha corretto la falla e ha informato i propri clienti della situazione, distribuendo due aggiornamenti di MOVEit che risolvono il problema e delle istruzioni molto dettagliate su come procedere. 

Le aziende che hanno installato l’aggiornamento ora sono al sicuro da questo specifico metodo di attacco, ma i loro dati possono essere già stati saccheggiati dai criminali, e resta il problema dei fornitori di servizi aziendali: molte organizzazioni che non usavano direttamente MOVEit, infatti, sono state coinvolte lo stesso perché per la gestione degli stipendi si appoggiavano a una società esterna, Zellis, che usava appunto MOVEit ed è stata attaccata, permettendo così ai criminali di ottenere i dati sensibili delle aziende clienti.

In sintesi: se usate MOVEit, controllate di averlo aggiornato; se non usate MOVEit, chiedete ai vostri fornitori di servizi se lo usano e quali misure hanno già preso. Nel frattempo, i criminali hanno iniziato a pubblicare parte dei dati sottratti, nominando le aziende coinvolte, e il governo degli Stati Uniti ha messo una taglia da 10 milioni di dollari sugli autori di questi attacchi. C’è insomma parecchio da fare per tutti.

Fonti aggiuntive: TechCrunch, BBC, Reliaquest, Sophos, Ars Technica, Bitdefender, Reddit, Graham Cluley, NIST, Socradar.

Nei giorni scorsi un gruppo di aggressori informatici filorussi che si fa chiamare NoName ha attirato su di sé parecchia attenzione mediatica rivendicando pubblicamente attacchi contro numerosi siti istituzionali e aziendali svizzeri, come RUAG, la rete di trasporto che copre il cantone di Zurigo e le aree adiacenti, Svizzera Turismo, SwissID (RSI), il sito della Città di Bellinzona, i siti del Canton Basilea Città, della città di Zurigo, di San Gallo (RSI; La Regione), dell’aeroporto di Ginevra (Swissinfo) e anche il sito del Parlamento svizzero, Parlament.ch (Swissinfo).

Così mi sono iscritto al loro canale su Telegram e ho monitorato un po’ le loro attività. Il quadro tecnico che ne risulta è piuttosto dilettantesco, con alcuni scivoloni che permettono di capire meglio il modo di operare di questo gruppo.

Prima di tutto, chiarisco che non c’è nulla di speciale nel mio monitoraggio: il canale Telegram di NoName è pubblico e quindi facilmente consultabile da chiunque, sia in russo sia in inglese. Anche la tecnica di attacco usata da NoName non è particolarmente sofisticata: è un classico distributed denial of service o DDOS, cioè una interdizione di un sito effettuata sommergendolo di centinaia di migliaia di richieste di accesso fasulle, provenienti da computer o altri dispositivi gestiti o coordinati dagli aggressori. 

Questo tipo di attacco non comporta nessuna violazione dell’integrità del sito. Semplicemente, il sito diventa temporaneamente irraggiungibile per gli utenti legittimi, e questo può causare disagi se si tratta di un sito di commercio o di servizio al pubblico, ma a parte questo il sito resta integro e inviolato. 

Per fare un paragone, immaginate mille persone che si accalcano davanti alla porta d’ingresso di una banca e impediscono ai clienti di entrare e fare operazioni agli sportelli: la banca in sé rimane sicura e non viene danneggiato o rubato nulla. Una volta che la folla si è stufata di accalcarsi e se ne va, tutto torna come prima.

Questo non vuol dire che attacchi di questo tipo siano innocui o trascurabili: un’interruzione di un servizio comporta costi e problemi concreti. Nel 2010, per esempio, il sito di Postfinance fu bloccato da un attacco DDOS lanciato per protestare contro la chiusura delle donazioni al sito Wikileaks e del conto di Julian Assange in Svizzera (CdT), rendendo difficili se non impossibili le transazioni con i numerosi servizi online di Postfinance. Nel 2013 un altro DDOS importante colpì la Svizzera, cercando di sfruttarne l’infrastruttura Internet per amplificare un’interdizione rivolta però a siti statunitensi [ma Switch.ch respinse rapidamente il tentativo] 

Questi attacchi, fra l’altro, non coinvolgono soltanto computer, che spesso appartengono a utenti ignari che si sono fatti infettare da un malware che visita a ripetizione il sito-bersaglio; già da qualche anno vengono sfruttati anche altri tipi di dispositivi connessi, comprese persino le telecamere di sorveglianza, perché sono più facili da infettare e spesso meno protette rispetto ai computer. È quindi importante evitare di diventare aiutanti involontari di queste aggressioni, come può capitare a chi lascia le password predefinite nei propri dispositivi e non li aggiorna.

Chiarito tutto questo, veniamo a NoName: il canale Telegram di questo gruppo annuncia trionfalmente di aver “ucciso” vari siti svizzeri (usando proprio la parola inglese killed), ma si tratta solo di attacchi DDOS. Passato l’attacco, il sito resta intatto e torna accessibile come prima. E la rassegna eterogenea dei siti presi di mira suggerisce un approccio molto a casaccio di NoName: la loro idea di trionfo è, per esempio, interdire momentaneamente il sito della società di navigazione del lago di Lucerna o il sito del centro per la sicurezza stradale di Obvaldo e Nidvaldo, per poi passare ad altri siti in Danimarca, Svezia, Polonia, Belgio, Regno Unito, Grecia e Canada, con una predilezione solo momentanea per i siti svizzeri. Sono tutti attacchi di breve durata e non sostenibili: dopo qualche ora NoName passa ai bersagli successivi, liberando l’accesso a quelli attaccati prima.

Dai loro annunci, inoltre, emerge un indicatore tecnico piuttosto utile: in varie occasioni NoName nota che i siti si sono difesi bloccando l’accesso da parte di dispositivi che hanno un indirizzo IP estero.

Questo sembra indicare che NoName non abbia sotto il proprio controllo un numero significativo di dispositivi in nessuno dei paesi presi di mira, e che quindi gli amministratori dei siti possano difendersi abbastanza facilmente bloccando appunto le richieste di consultazione che arrivano dall’estero e specificamente dalla Russia. Ci sono ovviamente anche strategie di difesa più sofisticate, ma il fatto che NoName sia seriamente ostacolata da una misura così semplice la dice lunga sulla scarsità delle sue risorse.

Anche il numero di annunci di siti attaccati ogni giorno, ossia normalmente non più di una decina, permette di valutare le effettive capacità di NoName:

• 10 giugno: 8
• 11 giugno: 9
• 12 giugno: 7
• 13 giugno: 12
• 14 giugno: 9
• 15 giugno: 9
• 16 giugno: 8
• 17 giugno: 10
• 18 giugno: 10
• 19 giugno: 7
• 20 giugno: 8

Si tratta insomma di attacchi che fanno notizia, perché toccano obiettivi ben visibili al grande pubblico, ma la loro sostanza tecnica è davvero modesta e banale in confronto a quella degli attacchi effettuati da bande criminali specializzate. La speranza è che l’attenzione attirata sul problema della sicurezza informatica da queste scorribande superficiali serva a incoraggiare tutti gli utenti ad agire concretamente. 

Questa non è una cyberguerra combattuta su qualche fronte immaginario e lontano, da geni dell’informatica: è un conflitto digitale che sfrutta i nostri dispositivi elettronici a casa e in ufficio, e quindi ciascuno di noi può avere un ruolo attivo nella difesa. A volte possono bastare piccole cose, come un cambio di password per la telecamera di sorveglianza o l’aggiornamento puntuale del software, per evitare di diventare complici involontari.

Molti siti hanno pubblicato la notizia che esiste un modo astuto per chiedere a ChatGPT di generare le chiavi di attivazione di Microsoft Windows 10 e 11 (BoingBoing; DigitalTrends; @immasiddtweets). Non è vero: non sono chiavi generate, ma chiavi di installazione e attivazione temporanea, pubblicate da Microsoft e lette da ChatGPT durante il suo addestramento.

Come spiega bene Bufale.net, con queste chiavi “puoi installare sì Windows, ma non usarlo: Windows risulterà limitato nelle funzioni e con messaggi a ricordarti l’obbligo di comprare delle chiavi funzionanti.”

Se giocate a Minecraft su computer Windows o Linux e siete appassionati di modding, ossia dell’aggiunta o modifica di funzioni, oggetti, ambienti e altro ancora al gioco di base, vi conviene fare più attenzione del solito a cosa scaricate e da dove lo scaricate.

Ai primi di giugno, infatti, due fra le più importanti piattaforme di distribuzione di queste modifiche, o mod, sono state attaccate, violando vari account, e molte mod e molti plugin per Minecraft disponibili tramite queste piattaforme sono stati infettati e distribuiti agli utenti.

Il risultato è che chi ha scaricato modpack molto popolari, come Better Minecraft, che ha oltre quattro milioni e mezzo di download, può trovarsi con il computer infetto da un malware che ruba le credenziali di accesso salvate nei browser e quelle degli account Minecraft, Microsoft e Discord e si insedia permanentemente sul computer, aggiornandosi man mano.

Le piattaforme di modding prese di mira sono CurseForge e Bukkit, e l’elenco di mod e modpack infettate è piuttosto lungo (lo trovate per esempio su BleepingComputer.com) e non si sa se sia completo. 

Per evitare panico inutile, soprattutto fra i giocatori più giovani e i loro genitori, è importante sottolineare che il problema riguarda esclusivamente chi ha installato modifiche a Minecraft e usa computer Windows o Linux. Chi gioca semplicemente a Minecraft di base e usa altri dispositivi non basati su Windows o Linux non è coinvolto in questo problema.

Ma per chi ama il modding e usa questi sistemi operativi il danno è molto serio, anche in termini di fiducia. Gli aggressori informatici hanno infatti preso di mira siti attendibili, come appunto CurseForge e Bukkit, e li hanno indotti a distribuire il loro malware, denominato Fractureiser. Per prima cosa hanno preso il controllo di alcuni account su queste piattaforme e hanno inserito del codice ostile nei plugin e nelle mod offerte da questi account. Poi questi software modificati e infetti sono stati adottati automaticamente da vari modpack molto popolari e quindi sono stati distribuiti automaticamente agli utenti fino al momento in cui sono intervenuti i gestori di queste piattaforme e hanno ripulito i propri sistemi.

Chi ha scaricato ed eseguito una di queste mod infette, distribuite più o meno nelle ultime tre settimane, ha probabilmente infettato il proprio computer. Fortunatamente ci sono degli script di scansione per Windows e per Linux che rilevano i sintomi di un’infezione; in alternativa è possibile controllare manualmente se il Registro di Windows è stato alterato o se ci sono altri file ostili sul computer.

I principali antivirus si stanno già aggiornando per rilevare questi sintomi, per cui se avete dubbi conviene aspettare ancora qualche ora e poi aggiornare il vostro antivirus e rifare una scansione completa.

Se purtroppo scoprite di avere il computer infetto, è consigliabile reinstallare il sistema operativo e cambiare tutte le proprie password, partendo subito da quelle dei servizi più interessanti per i criminali, ossia quelle che proteggono criptovalute, caselle di mail e conti correnti.

Maggiori dettagli tecnici sul malware Fractureiser e sulla tecnica di attacco dei criminali informatici sono disponibili sul già citato BleepingComputer e su Tripwire [anche su CurseForge, Hackmd.io, Prismlauncher.org e Github]. Una delle piattaforme colpite, CurseForge, ha inoltre pubblicato una descrizione approfondita delle varie fasi di questo attacco mirato e sofisticato e delle misure di protezione da adottare.

Questo attacco è particolarmente interessante, perché sovverte uno dei consigli di sicurezza più frequenti, ossia quello di scaricare solo software da siti attendibili, e lo usa per abbassare le difese degli utenti, perché sfrutta proprio questi siti di cui l’utente si fida. Qui le vittime non sono giocatori incauti che hanno scaricato software da siti sconosciuti e senza garanzie; sono persone che si sono rivolte a piattaforme universalmente considerate sicure.

Inoltre l’attacco prende di mira una categoria di utenti che è solitamente meno attenta di altre alla sicurezza informatica, cioè i gamer giovani e giovanissimi, che probabilmente non si aspettano di essere attaccati, specialmente da qualcosa che scaricano da un sito di ottima reputazione. Sui loro computer spesso ci sono informazioni e password non solo loro, ma anche di altri membri della famiglia, che valgono soldi per i criminali. 

Ancora una volta, insomma, la sicurezza informatica si conferma un problema che tocca tutti. Nessuno può permettersi il lusso di dire “ma chi vuoi che se la prenda con me, io non ho niente che interessi ai ladri”. È proprio su questo modo di pensare che contano quei ladri.

Diciamolo: ChatGPT queste scemenze non le avrebbe scritte.

Il 6 maggio scorso ho partecipato al Convegno nazionale del CICAP intitolato “Siamo soli nell'universo? Alla ricerca della vita, fra mito e realtà” presso l’Aula Magna dell’Università dell’Insubria, a Como, e ho parlato di una categoria di avvistamenti molto particolari: quelli attribuiti agli astronauti. Gente che conosce bene lo spazio e le cose che volano in atmosfera e fuori dall’atmosfera e che per questo viene spesso ritenuta particolarmente attendibile. E in effetti gli astronauti sono attendibili in questo campo; il problema è che chi riferisce le loro parole lo è parecchio meno.

Se vi interessa saperne di più e vedere i risultati delle mie ricerche su cosa si dice che abbiano detto e fatto gli astronauti in materia ufologica e su cosa hanno realmente detto e fatto, è stato pubblicato oggi il video.

Se vi chiedete il perché della mia strana posa china in avanti, non è una mia brutta imitazione di Quasimodo nel Gobbo di Notre Dame o un problema di mal di schiena, ma solo una soluzione veloce per stare vicino al microfono e consentire la registrazione del mio intervento. Buona visione.

Repubblica titola oggi che "Gli umani hanno estratto talmente tanta acqua dal sottosuolo che l'asse della Terra si è spostato", secondo “una ricerca degli scienziati dell’università di Seul”. Peccato che il titolo non dica a quanto ammonta questo spostamento. 

Ve lo dico subito, così vi risparmio la fatica e l’ansia: settantotto centimetri. Nel corso di 17 anni. Quando lo spostamento annuo dell’asse di rotazione terrestre è di diversi metri. Il testo dell’articolo, nel disperato tentativo di dare spessore alla notizia, parla di “quasi un metro”.

Copia permanente: https://archive.is/7o6ne.

Insomma, la notizia, detta così, è quella che in gergo tecnico si chiama minchiata sesquipedale. O, se preferite, catastrofismo acchiappaclic. Dipende se pensate che titolare in questo modo sia semplicemente inettitudine redazionale o una scelta intenzionale.

Peccato, perché lo studio in sé sarebbe anche abbastanza interessante. Ma Repubblica non ne cita gli autori, non ne linka la fonte, non dà insomma al lettore nessuno strumento per approfondire la notizia. Perlomeno non lo fa nella parte pubblicamente consultabile dell’articolo a firma di Enrico Franceschini, perché questo pezzo è, si badi bene, “contenuto per gli abbonati premium”, per la gente che paga, non per i plebei straccioni che leggono aggratis e si sorbiscono pubblicità e tracciamento commerciale.

L’unica informazione fornita nella parte pubblica dell’articolo di Repubblica è che lo studio è “una ricerca di scienziati dell’università di Seul citata dal sito americano di informazione Axios.” Mettere un link proprio no, vero?

E va bene: andiamo in Google, scriviamo “axios seoul university earth axis”, e troviamo l’articolo:

https://www.axios.com/2023/06/17/groundwater-removal-tilted-earth-315-inches

Axios, a differenza di Repubblica, linka eccome. Cita il nome di un geofisico, Ki-Weon Seo, e linka il comunicato stampa. Visto? Non è mica così difficile. Axios dimostra che linkare le fonti non è peccato mortale e non fa crescere i peli sulle mani.

https://news.agu.org/press-release/weve-pumped-so-much-groundwater-that-weve-nudged-the-earths-spin

Il comunicato stampa a sua volta linka l’articolo scientifico, pubblicato su Geophysical Research Letters il 15 giugno 2023 e pubblicamente accessibile:

https://agupubs.onlinelibrary.wiley.com/doi/10.1029/2023GL103509

Il titolo è “Drift of Earth's Pole Confirms Groundwater Depletion as a Significant Contributor to Global Sea Level Rise 1993–2010” e gli autori sono Ki-Weon Seo, Dongryeol Ryu, Jooyoung Eom, Taewhan Jeon, Jae-Seung Kim, Kookhyoun Youm, Jianli Chen e Clark R. Wilson. Il link DOI è questo:

https://doi.org/10.1029/2023GL103509

Leggendo la pubblicazione scientifica originale invece del riassuntino di Enrico Franceschini emerge che lo spostamento è appunto di settantotto centimetri e si riferisce all’effetto cumulativo avvenuto nel corso di quasi vent’anni, dal 1993 al 2010, e ascrivibile all’estrazione umana dell’acqua dal sottosuolo. Il comunicato stampa sottolinea che il polo di rotazione normalmente varia di diversi metri nel corso di un anno (“The rotational pole normally changes by several meters within about a year”). E quindi non c’è pericolo che l’estrazione dell’acqua possa far spostare le stagioni (“changes due to groundwater pumping don’t run the risk of shifting seasons”).

Il fatto che gli scienziati siano capaci di misurare variazioni così incredibilmente piccole (meno di un cinquantamilionesimo della circonferenza terrestre) dovrebbe essere già degno di notizia e ammirazione, e il fatto che noi umani estraiamo dal sottosuolo così tanta acqua da avere un effetto piccolissimo ma misurabile sulla rotazione dell’intero pianeta dovrebbe far riflettere. Ma se non si fanno titoli strillati e sensazionali, addio lettori.

Sono tornate di moda le “scie chimiche”. Ho ricevuto questa mail l’11 maggio scorso.

Ma veramente pensa che le scie chimiche sono una teoria delirante?

Come mai allora quando si fanno le denunce, il magistrato non può fare nulla poiché è tutto coperto da segreto militare?

Comunque guardi che, chi divulga certe cose non è un pazzo paranoico, forse lo siete voi, quando cercate una bufala che non c'è. Mi vanto insieme a veri esperti aeronautici, di conoscere l'aviazione civile e militare, la climatologia mi appassiona e mi creda, qualcosa la conosco, le invierò solo questo messaggio e da questo capiremo chi sono i veri paranoici. Esistono le scie di condensa lunghe, persistenti che, possono fare gridare al complotto, ma queste intanto richiedono determinate condizioni atmosferiche che non è facile avere, 8000 metri di altitudine, 70% di umidità, e temperature di 40 gradi sotto lo zero.

In realtà queste condizioni atmosferiche sono assolutamente normali. Oltretutto non sono affatto necessarie per la formazione di scie di condensa. Lo sappiamo almeno dal 1953. Meno male che il mittente si vanta di conoscere l'aviazione civile e militare e di essere appassionato di climatologia. 

Inoltre queste le formano aerei di vecchia concezione. I motori degli aerei moderni che, sono la stragrande maggioranza, raramente possono fare scie di condensa,

Questa non so dove l’ha trovata o se l’è inventata, ma è una fesseria epica.

la gran quantità di queste scie che, si vedono quasi ogni giorno, ovviano alla rarità e non possono essere di condensa. Quando poi alcuni aerei presentano dei fori che, non dovrebbero avere, dai quali cade in maniera visibile del liquido, il tutto viene inviato a dei laboratori, si ha la serietà, di mandare i risultati alla procura della repubblica, si finisce di essere complottisti e si inizia ad essere denuncianti. Complottista è chi vede complotti, senza sapere neanche di cosa sta parlando.

Paradossalmente quest’ultima sua frase è corretta, solo che non si rende conto che si applica a lui. Dunning-Kruger a tutto spiano.

Quando lei ci definisce paranoici a prescindere, si trasforma come d'incanto in quello che più odia, un complottista. Si ricordi una cosa e non la dimentichi, lei e tutti quelli di open che, con tanto orgoglio cita. La scienza è bella ma anche terribile, la comunità scientifica può avere ragione, ma nella storia i più grandi scienziati, anche premi nobel avevano il coraggio, di andare contro le teorie della suddetta comunità, meno male aggiungo, altrimenti saremmo rimasti al medioevo.

Ci sono cose della scienza che come le dicevo, sono coperte da segreto militare, HAARP, le onde ELF, le non deliranti ma reali scie chimiche, purtroppo esistono, informatevi meglio,

Mi impressiona sempre il numero di persone che dicono di conoscere dettagliatamente queste “cose della scienza... coperte da segreto militare”. Di preciso come fanno a saperle, se sono segrete?

perché voi ritenete di farlo, ma avete o volete avere gli occhi chiusi, spero non faccia parte di quella categoria di personaggi che, screditano chi dice la verità e presenta fatti non parole, tecnica da sempre utilizzata da chi non vuole che, la verità venga divulgata.

Punteggiatura, questa sconosciuta.

PS.... per me la terra è sferica, l'uomo è andato sulla luna e l'universo segue più o meno le complicate teorie fisico quantistiche ipotizzate da grandi scienziati.

Porgo distinti saluti..

Notate il magnanimo “più o meno”.

Non ho risposto.

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto) e qui sotto.

Le puntate del Disinformatico sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle fonti di questa puntata, sono qui sotto.

---

[CLIP: Compilation di spezzoni tratti da YouTube di persone e aziende che parlano (in italiano) delle VPN e le promuovono]

È difficile guardare video su YouTube senza incappare nella sponsorizzazione di qualche fornitore di VPN che promette di farvi accedere a siti altrimenti bloccati e di usare sistemi di sicurezza di livello militare per proteggere il vostro computer, tablet e smartphone da virus, hacker malvagi che vi ruberebbero password e vi vuoterebbero il conto bancario, spie governative, restrizioni commerciali e rapimenti da parte degli alieni. 

[CLIP: Spezzone della sigla di X Files]

Sì, lo so, la cosa dei rapimenti alieni non è vera, ma il problema è che non è l’unica bugia in questo elenco di promesse presentate ossessivamente da tanti influencer per farvi acquistare un prodotto e intascare una generosa commissione. Il recente blocco temporaneo di ChatGPT per gli utenti italiani, per esempio, aveva creato molto interesse per le VPN, e questo interesse continua perché le VPN promettono di farvi accedere ai vostri servizi di streaming video preferiti anche se siete all’estero o se volete collegarvi a siti o servizi vietati o non disponibili nel vostro paese.

C’è molta confusione e ci sono molti miti intorno a queste VPN. La storia di cosa sono, cosa fanno realmente, cosa non possono fare e chi ne ha realmente bisogno è il tema della puntata del 16 giugno 2023 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Benvenuti. Io sono Paolo Attivissimo.

[SIGLA di apertura]

La sigla VPN sta per Virtual Private Network, che significa “rete privata virtuale”. Indica un software che crea un collegamento protetto fra un dispositivo e una rete informatica, appoggiandosi a un mezzo di telecomunicazione non protetto. Le VPN sono nate in ambito professionale, per consentire di usare Internet per collegare tra loro in modo sicuro computer distanti.

Un’azienda, invece di creare una rete fisica apposita per collegare telematicamente due sedi lontane, con tutti i costi e i tempi lunghi che questo comporterebbe, può usare una VPN per creare quel collegamento appoggiandosi all’infrastruttura già esistente di Internet. Per questo si chiama rete virtuale: una VPN usa il software per creare l’equivalente di un cablaggio diretto reale. E la si definisce privata perché nessuno, da fuori, può decifrarne il traffico di dati, grazie alla crittografia. È una sorta di tunnel: i dati entrano da una parte, per esempio da una filiale aziendale remota, viaggiano in modo protetto lungo i canali di Internet, e riemergono una volta arrivati a destinazione presso la sede centrale.

Ma da qualche tempo l’uso delle VPN si è esteso dalle aziende anche ai privati, grazie anche alla pubblicità incessante fatta da alcuni fornitori di questi prodotti e dagli YouTuber e influencer che si fanno sponsorizzare da chi vende VPN.

Alcune di queste pubblicità, però, alimentano un senso di panico ingiustificato, raccontando che le VPN proteggono da pericoli che in realtà non esistono. 

Per esempio, viene proclamato spesso che se non si usa una VPN si è a rischio ogni volta che ci si collega a un Wi-Fi pubblico, per esempio in un albergo o in un bar, perché un hacker cattivo che si trova nello stesso locale potrebbe intercettare le vostre comunicazioni, rubandovi le password dei siti che visitate oppure entrando insieme a voi nel vostro conto corrente. Oppure potrebbe farlo direttamente il gestore malvagio del locale. Non è vero, e sono anni che non è vero. 

[CLIP: coro di sospiri di sollievo]

Sì, un tempo era tecnicamente possibile fare intercettazioni illegali di questo tipo, ed era anche abbastanza facile farle con metodi come il cosiddetto ARP spoofing o ARP poisoning. L’aggressore dirottava il traffico della rete locale in modo che passasse attraverso il suo computer e poteva così catturare qualunque password inviata in chiaro dagli utenti della rete Wi-Fi. Ma quest’era è finita da un pezzo: nessun servizio decente trasmette le password in chiaro da quando è stato adottato il protocollo HTTPS. L’icona del lucchetto che (ancora per qualche tempo) noterete accanto al nome di un sito indica l’uso di questo metodo sicuro per scambiare dati e trasmettere le password. Chi si mettesse in ascolto sulla rete Wi-Fi potrebbe sapere al massimo il nome del sito che state visitando, ma niente di più. Sono ormai anni che è così, e quindi è inutile usare una VPN per proteggere le proprie password o il proprio conto bancario quando si va su un Wi-Fi pubblico.

Molte pubblicità di VPN promettono di usare la cosiddetta “crittografia di livello militare” per proteggere i vostri dati e le vostre navigazioni da occhi indiscreti. Detta così sembra una protezione fortissima, perché viene istintivo pensare che se una crittografia viene usata dai militari deve essere potentissima, ma in realtà si tratta di un termine di marketing. Significa semplicemente che i militari usano quel tipo di crittografia per alcune cose.

La crittografia in questione si chiama AES, è solo uno degli standard adottati a livello militare, ed è esattamente la stessa che trovate già incorporata in qualunque browser e in qualunque app decente. Se visitate qualunque sito che usi l’HTTPS, ossia oggigiorno praticamente tutti, state già usando “crittografia di livello militare”. Ce l’aveva già Internet Explorer 8 su Windows Vista, e ce l’hanno Google Chrome, Firefox, Safari, Edge, e Opera, per citare alcuni dei principali browser.

---

Capita spesso di sentire che le VPN impediscono al vostro fornitore di accesso a Internet di sorvegliare le vostre navigazioni:

[CLIP: pubblicità di una VPN che esprime questo concetto] 

Ma anche questo è vero solo in parte. Sì, senza una VPN il vostro fornitore può sapere i nomi dei siti che visitate, e ci possono essere nomi di siti che preferite che nessuno sappia perché vivete in un ambiente nel quale visitare un sito politico, religioso o relativo alla sessualità o alle questioni di genere è considerato riprovevole o è addirittura proibito. Può capitare anche che un governo di un certo paese decida di bloccare l’accesso a un social network o di consentirlo solo se l’utente si identifica, mentre gli utenti esteri sono liberi di accedere. In questi casi una VPN può essere effettivamente utile.

Ma anche senza una VPN, il fornitore di accesso non può leggere il contenuto dei siti che visitate, se quei siti usano HTTPS, cosa che (come dicevo) ormai fanno tutti. 

[CLIP: uno YouTuber dice che senza una VPN i nostri dati sono a spasso]  

C’è invece un problema più serio che emerge se usate una VPN per nascondere al vostro fornitore d’accesso i nomi e i dati dei siti che visitate. Il problema è che li nascondete al fornitore, ma li affidate al gestore della VPN. E siccome le VPN spesso si usano per visitare siti che non si vuole consultare apertamente, il gestore della VPN diventa depositario di una vasta cronologia delle navigazioni più sensibili di milioni di persone. Se quel gestore venisse attaccato e quella cronologia venisse rubata, le possibilità di ricatto sarebbero molto remunerative e le conseguenze personali potrebbero essere catastrofiche.

È già successo, per esempio a UFO VPN e ad altri sei gestori di VPN nel 2020, quando oltre un terabyte di dati degli utenti è risultato pubblicamente accessibile a causa di un errore di configurazione. E il bello è che si trattava di cosiddette VPN no-log, ossia offerte da gestori che dichiaravano di non tenere memoria delle attività degli utenti.

E qui c’è un’altra mezza bugia delle VPN che è opportuno chiarire. Nessun fornitore di VPN serio ha realmente una politica di non conservazione assoluta delle attività degli utenti. Qualche traccia delle vostre attività, se usate una VPN, viene comunque archiviata, sia per motivi tecnici, sia per motivi legali. Se le autorità giudiziarie hanno fondati motivi per sospettare che stiate facendo qualcosa di gravemente illegale, si rivolgeranno al fornitore della vostra VPN e chiederanno la sua cooperazione, e quel fornitore normalmente sarà obbligato a fornirla.

Bisogna ricordare, inoltre, che installare una VPN sui propri dispositivi significa far passare tutto il proprio traffico Internet attraverso i server del gestore della VPN, che si trova quindi in una posizione ideale per sorvegliare le vostre attività online. Per questo conviene scegliere attentamente il proprio gestore e non fidarsi delle offerte troppo belle per essere vere. Per orientarsi nella scelta conviene cercare prodotti open source (il cui contenuto e funzionamento è insomma aperto, pubblico e ispezionabile) e che usino protocolli standard come WireGuard o IPSec.

----

Non è invece una bugia la proposta di usare le VPN per accedere a contenuti soggetti a restrizioni geografiche. Infatti dal punto di vista tecnico si può davvero usare una VPN per vedere un sito che per qualunque ragione è bloccato nel paese in cui ci si trova. Bisogna però valutare se sia opportuno farlo dal punto di vista legale.

Per esempio, probabilmente non ci sono grossi problemi legali nell’usare una VPN per simulare di trovarsi negli Stati Uniti allo scopo di vedere su YouTube il nuovo trailer di un film che i produttori hanno limitato a quel paese e bloccato nel resto del mondo, perché vogliono gestire la campagna promozionale in momenti differenti nelle varie regioni del pianeta.

Ma usare la stessa tecnica per accedere a un account Netflix statunitense, o a un server statunitense di una rete di gioco, senza risiedere in quel paese è quasi sicuramente una violazione del contratto di servizio e può portare al blocco dell’account e alla perdita dei soldi pagati per quell’account. Lo stesso vale per chi ha un account presso un servizio commerciale di streaming video nel proprio paese di residenza e vuole usarlo all’estero. Alcuni fornitori di questi servizi tollerano questo comportamento; altri no. Conviene leggere attentamente le regole del singolo servizio.

Se poi andate in paesi nei quali ci sono forti restrizioni di accesso a Internet per motivi politici, religiosi o di altro genere e pensate di usare una VPN per aggirarle, pensateci due volte, e poi lasciate perdere. I fornitori di accesso a Internet, infatti, si accorgono se usate una VPN, perché vedono che vi collegate al sito del gestore della VPN, e le autorità possono chiedervi di giustificare questa vostra scelta. In certi paesi questa richiesta, come dire, può rendere spiacevolmente memorabile una vacanza o un soggiorno di lavoro.

Insomma, se le VPN vengono usate conoscendone bene i limiti tecnici, sono sicuramente degli strumenti utili in molte situazioni, anche se spesso vengono vendute facendo promesse o creando paure che non hanno nessuna base di realtà. Ma non sono una bacchetta magica che risolve tutti i problemi di sicurezza, perché come si dice spesso la sicurezza informatica non è un prodotto, è un processo. Se usate una VPN su un dispositivo non aggiornato e non protetto e vi comportate online in modo imprudente, la vostra sicurezza rimarrà inadeguata.

Faccio un esempio pratico. Anni fa, mentre ero in vacanza nel Regno Unito, mi misi a lavorare con il mio computer portatile nell’accoglientissima sala del piccolo albergo a conduzione famigliare che avevo scelto. Seduto comodamente accanto al caminetto acceso, riuscii nel giro di pochi minuti a procurarmi i dati delle carte di credito di alcuni clienti: nomi e cognomi, numeri, codici di sicurezza e date di scadenza. Eppure il computer dell’albergo era moderno e aggiornato, con un browser che sicuramente usava HTTPS per tutte le transazioni commerciali, e non era neppure collegato al Wi-Fi accessibile agli ospiti. Ma l’albergatore aveva la brutta abitudine che quando prendeva una prenotazione per telefono, per essere sicuro di aver capito bene ripeteva ad alta voce tutti i dati delle carte di credito da usare.

Stamattina sono stato ospite del programma Modem della Radiotelevisione Svizzera (Rete Uno) per parlare della serie di attacchi informatici che hanno colpito numerosi siti istituzionali nazionali, su due filoni: distributed denial of service da una parte e ransomware con esfiltrazione e pubblicazione di dati sensibili. 

Potete riascoltare la puntata qui sotto:

Questo è il mio rapido riassunto delle informazioni pubblicate sugli attacchi noti fin qui, sugli aggressori e sulle misure di difesa possibili.

• Ci sono rivendicazioni di un gruppo filorusso che si fa chiamare NoName. Il Centro Nazionale per la Cibersicurezza conferma “legami con la Russia del gruppo responsabile” (RSI).
• Il gruppo NoName ha un canale Telegram pubblicamente accessibile, dove annuncia i propri attacchi in inglese (NoName057(16) Eng) e in russo (NoName057(16)).  
• 15 giugno: NoName rivendica DDOS contro RUAG e “ZVV – la  rete di trasporto che copre il cantone di Zurigo e le aree adiacenti – Svizzera turismo e SwissID, i cui siti web sono risultati temporaneamente inaccessibili.” (RSI). 
• 14 giugno: il Centro Nazionale per la Cibersicurezza (NCSC) pubblica un altro comunicato stampa sull’attacco ai danni di Xplain, nel quale precisa che “tra i dati di Xplain rubati e criptati vi erano probabilmente anche dati operativi dell’Amministrazione federale”, diversamente da quanto annunciato inizialmente. “Le diverse autorità e organizzazioni interessate devono chiarire se i dati trafugati sono attuali e se la loro pubblicazione possa comportare implicazioni di ampia portata. [...] Dato che sono stati colpiti dati operativi, diversi servizi dell’Amministrazione federale hanno sporto denuncia penale o stanno prendendo in considerazione misure simili. Ciò permetterebbe di chiarire per quale motivo i dati dell’Amministrazione federale sono finiti nel sistema della ditta Xplain”. Un’ipotesi è che si tratti di dati condivisi con Xplain per risolvere questioni tecniche (cose per esempio del tipo “questo allegato in una mail inviata da un cliente fa scattare l’antivirus/l’antispam, ti giro la mail per fartela analizzare”).
  
• 14 giugno: NoName rivendica DDOS al sito della Città di Bellinzona, effettuato con circa 1500 computer al ritmo di 70.000 richieste/secondo (RSI).
• 14 giugno: NoName rivendica DDOS ai siti del Canton Basilea Città, città di Zurigo, San Gallo (RSI) (La Regione).
• 13-14 giugno: pubblicati nel dark web “altri dati operativi sottratti in precedenza all’Amministrazione federale. Questi attacchi di tipo ransomware erano stati inflitti a fine maggio ai danni di Xplain, ditta svizzera che fornisce software per le autorità e avevano interessato, tra gli altri, l'Ufficio federale di polizia (Fedpol) e l'Ufficio federale della dogana e della sicurezza dei confini (UDSC), nonché le FFS e le autorità di polizia cantonali.” (RSI). Attribuito al gruppo che si fa chiamare Play. “Non vi sono tuttavia ancora prove che i sistemi federali siano stati attaccati direttamente. Visto che sono stati colpiti dati operativi, diversi servizi dell’amministrazione federale hanno sporto denuncia penale o stanno prendendo in considerazione misure simili. Ciò permetterebbe di chiarire per quale motivo questi dati sono finiti nel sistema della ditta Xplain, una società che sviluppa, tra l'altro, applicazioni per i servizi cantonali di esecuzione delle pene.” (RSI).
• 14 giugno: NoName rivendica DDOS contro il sito dell’aeroporto di Ginevra (Swissinfo).
  
• 8 giugno: NoName rivendica DDOS contro il sito del Parlamento svizzero, Parlament.ch (Swissinfo). Non è corretto dire che il gruppo di criminali informatici si è “intrufolato”, come scrive La Regione: un DDOS non sfonda le difese, non entra nel sito, ma lo rende inaccessibile agli utenti legittimi.
• 8 giugno: il Centro Nazionale per la Cibersicurezza (NCSC) pubblica un comunicato stampa sull’attacco ai danni di Xplain.
• 3 giugno: “L'esercito svizzero, l'Ufficio federale della dogana e della sicurezza dei confini (UDSC), l'Ufficio federale di polizia (Fedpol) e diversi corpi di polizia cantonali sono indirettamente toccati da un attacco cibernetico. Secondo rivelazioni pubblicate sabato dal quotidiano romando Le Temps, l'aggressione ha visto come vittima Xplain, una società informatica bernese a cui facevano riferimento tutte le entità in questione... Si parla di sei file compressi contenenti migliaia di documenti, provenienti dalla società con sede a Interlaken (BE) specializzata in servizi di sicurezza informatica... UDSC e Fedpol hanno confermato a Keystone-ATS che sono state divulgate delle informazioni, minimizzando la portata di quanto accaduto: l'Ufficio delle dogane sostiene che non sono stati sottratti dati interni, bensì elementi legati alla corrispondenza con clienti, mentre Fedpol afferma che l'attacco non ha interessato i suoi progetti, ma soltanto "dati di simulazione anonimizzati a scopo di test".” (Tvsvizzera.it)
• L’attacco contro Xplain sembra un classico caso di supply chain attack, nel quale l’aggressore prende di mira un fornitore di servizi o risorse tecniche del bersaglio effettivo e lo usa per raggiungere quel bersaglio. Tecnica molto efficace, usata già per esempio per i grandi attacchi di Solarwinds e NotPetya.
• A fine maggio il gruppo Play ha fatto ransomware a Xplain (annuncio pubblico del gruppo il 23 maggio) e ha colpito anche i media: CH Media e NZZ (The Local). Colpiti indirettamente anche le FSS e il Cantone di Argovia (RSI) il Dipartimento dell'istruzione di Basilea Città, l'amministrazione comunale di Rolle (Vd), “l'Università di Neuchâtel e il caseificio Cremo nel Cantone di Friburgo” (La Regione).