Dieci minuti di totale frivolezza, creati con grande passione e ricerca del dettaglio: da appassionato cultore di entrambi i film, non posso che inchinarmi di fronte al talento tecnico e alla bravura nel trovare i riferimenti alle inquadrature e alle scene dei rispettivi film originali. Buon divertimento.

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto) e qui sotto.

Le puntate del Disinformatico sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano il testo e i link alle fonti di questa puntata, sono qui sotto.

---

[CLIP: La richiesta di “password” da Eyes Wide Shut di Stanley Kubrick]

Ci sono tanti modi per scoprire le password e i dati personali di qualcuno. Spesso i criminali informatici vengono immaginati e rappresentati come maghi della tastiera che sanno scovare e rubare qualunque dato digitale usando tecniche di penetrazione sofisticatissime, ma altrettanto spesso queste tecniche non sono affatto necessarie, perché i dati sono stati messi maldestramente a disposizione del primo che passa e sono accessibili via Internet a chiunque abbia una minima capacità informatica. La colpa, insomma, non è del titolare dei dati, ma di chi è tenuto a custodire i dati degli altri.

Sono Paolo Attivissimo, e in questa puntata del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica, vi racconto tre episodi recentissimi di dati personali trovati a spasso su Internet, le tecniche usate per trovarli, e le trappole usate dai criminali informatici per sfruttare quei dati, partendo da informazioni banali come un’ordinazione di caffé. Due di queste storie hanno un lieto fine: la terza, almeno per ora, ha un finale aperto.

[SIGLA di apertura]

Assicurati poco rassicuranti

Pochi giorni fa mi è arrivata in via confidenziale la segnalazione di un sito aperto a chiunque che contiene quello che sembra essere un elenco di dati assicurativi di clienti italiani, probabilmente della zona di Chieti. Nomi, cognomi, indirizzi, codici fiscali, dettagli delle polizze assicurative, e altro ancora, tutto tranquillamente sfogliabile e leggibile con un normale browser. Tutto quello che serve sapere per leggerli è l’indirizzo IP del sito.

Trovare questo indirizzo IP non è difficile. Esistono motori di ricerca appositi, come Shodan, che in sostanza fanno la stessa cosa che fa Google, ossia esplorano e catalogano tutta Internet, ma a differenza di Google, che rastrella tutti i testi e tutte le immagini, questi motori di ricerca prendono nota solo dei siti che hanno degli accessi non protetti. È sufficiente sfogliare Shodan per trovare di tutto: telecamere di sorveglianza accessibili, server leggibili e scrivibili da chiunque, e pagine Web come quella che mi è stata segnalata. Esattamente come con Google, è sufficiente immettere le parole chiave giuste, facilmente intuibili: nomi di marche famose di telecamere o di apparati di controllo industriale oppure frasi descrittive tipiche degli archivi di dati online. E a volte queste stesse parole chiave sono usabili direttamente in Google, senza neppure dover ricorrere a motori di ricerca specializzati.

Fra l’altro, la facilità con la quale questi dati assicurativi teoricamente privati sono reperibili è dimostrata nella maniera più evidente da una riga molto particolare dell’elenco dei clienti di questo servizio assicurativo. Al posto del nome e cognome del cliente, in questa riga c’è una vistosa dicitura, tutta in maiuscolo: “BUONGIORNO QUESTO DATABASE È ACCESSIBILE A CHIUNQUE VIA INTERNET”.

Chiaramente qualcuno è già passato di qui, ha notato i dati personali pubblicamente accessibili, e ha scelto un modo molto diretto per avvisare i responsabili del sito.

La presenza di questo avviso, inoltre, segnala altrettanto chiaramente che i dati non sono soltanto leggibili, ma sono anche scrivibili da chiunque via Internet. Questo vuol dire che chiunque può alterarli o semplicemente cancellarli. Un avviso del genere è l’equivalente informatico di trovare un volantino di una società di installazione di antifurto dentro casa, sul tavolo in cucina.

Non è una bella situazione, soprattutto per gli assicurati elencati, e così sono andato a frugare pazientemente nei dati e nei documenti pubblicamente accessibili, vi ho trovato l’indirizzo di mail di quella che sembra essere la ditta responsabile e l’ho avvisata della situazione.

Nel giro di poche ore le pagine sono state disattivate, non so se per merito dell’avviso lasciato nei dati stessi oppure della mia segnalazione via mail. Quei dati sono ancora reperibili in Google, che ne conserva temporaneamente memoria nella sua cache, ma perlomeno non sono più alterabili da qualunque malintenzionato in vena di dispetti.

Mi è poi arrivato su Telegram un messaggio di qualcuno che sembra parlare a nome della ditta coinvolta e dice che si trattava di “una versione alfa non in produzione” che conteneva “dati totalmente fittizi anche se costruiti coerentemente”. Non ho modo di verificare questa dichiarazione: posso solo notare che erano “costruiti coerentemente” con un realismo e un dettaglio davvero straordinari per essere dei dati fittizi, e posso solo sperare che la versione definitiva sarà un po’ meno accessibile e disinvoltamente scrivibile di questa, perché in ogni caso provare un database lasciandolo aperto a tutti su Internet, in modo che possa essere riscritto, cancellato o devastato dal primo vandalo che passa, non è comunque una buona prassi di sicurezza informatica. E non è l’unica prassi del suo genere che viene disattesa, come vi racconterò tra un attimo.

Screenshot e dettagli: https://attivissimo.blogspot.com/2023/01/poi-la-gente-si-chiede-come-mai-i-dati.html

Dati sanitari lombardi a spasso

Non si capisce se sia incoscienza, disinvoltura o ignoranza, ma è impressionante la quantità di organizzazioni che mette su alla bell’e meglio una pagina Web con i dati personali dei dipendenti, clienti o collaboratori “perché così è comodo e possiamo consultarli facilmente”.

Vero, è comodo, ma altrettanto facilmente può consultarli anche chiunque altro. A quanto pare non è ancora stata capita diffusamente la lezione fondamentale che non basta non dire a nessuno dove si trovano i dati e così nessuno li troverà: bisogna proteggerli attivamente, così come non basta lasciare la chiave di casa sotto lo zerbino e sperare che nessuno la trovi.

I motori di ricerca generalisti, come Google, permettono di trovare le pagine Web pubblicamente raggiungibili anche senza conoscerne l’indirizzo, e ci sono anche i motori di ricerca specializzati, come il già citato Shodan oppure Binaryedge, Zoomeye o Censys, che esplorano tutta Internet e catalogano i siti che hanno servizi troppo accessibili e quindi vulnerabili.

Sempre pochi giorni fa mi è stato segnalato un servizio di soccorso sanitario della Lombardia che pubblica su una pagina Web accessibile a Google (e a chiunque abbia un browser) nomi, cognomi, indirizzi, numeri di telefono e orari degli utenti che si avvalgono dei suoi servizi e molti altri dati, compresi i nomi e cognomi, le firme e i numeri delle carte di identità e delle patenti di numerosi soccorritori volontari o professionisti.

Chiunque può leggere, per esempio, che il primo febbraio scorso Mattea doveva essere trasportata da Predore a Sarnico; che il 2 febbraio Mario, telefono 34879 eccetera, doveva essere portato da Villongo all’ospedale di Iseo, o che il 14 febbraio prossimo la signora Teresa, telefono 32987 eccetera, verrà trasportata da Villongo alla clinica Sant’Anna di Brescia, e così via. E per ciascun utente è indicata anche la situazione medica che rende necessario il trasporto. E poi ci sono nomi, cognomi e ruoli del personale, con tanto di firma digitalizzata.

Già è brutto che vengano disseminati i dati sanitari degli utenti, ma c’è un problema peggiore, che riguarda tutti i casi di dati pubblicati online inconsapevolmente: questi dati possono essere un appiglio perfetto per compiere truffe o raggiri ai danni delle persone coinvolte.

Giusto per fare un esempio, si può immaginare un truffatore o malintenzionato che telefoni a quella signora Teresa fingendo di essere un addetto al servizio trasporto utenti e le dica che il suo trasporto (quello di cui cita tutti i dettagli) avrà un costo aggiuntivo e che passerà un incaricato a riscuoterlo. Probabilmente la signora ci crederebbe e aprirebbe la porta di casa al finto incaricato.

A un livello più sofisticato, un malvivente potrebbe approfittare del fatto che sa di questa grave violazione della privacy sanitaria e contattare i responsabili del sito chiedendo bitcoin per non segnalare l’accaduto al Garante per la protezione dei dati personali; se non chiedesse troppo, avrebbe buone probabilità di incassare, perché l’estorsione costerebbe meno di quello che costerebbe la sanzione del Garante più le spese legali e quelle per mettere a posto il sito.

Questi sono solo i primi due scenari che mi vengono in mente, e io non sono un criminale informatico, che sicuramente avrà più inventiva di me.

Ho segnalato pubblicamente sui social network e nel mio blog questa situazione, ovviamente mascherando i dati personali delle persone coinvolte, e così sono stato contattato dall’Agenzia Regionale Emergenza Urgenza della Lombardia, che con i dettagli che ho fornito è riuscita a risalire all’associazione di soccorso coinvolta in questa vicenda e a contattare i responsabili. Ora i dati non sono più accessibili via Internet.

Tutto è bene quel che finisce bene, insomma, ma sarebbe meglio per tutti se storie come questa non iniziassero nemmeno.

Screenshot e dettagli: https://attivissimo.blogspot.com/2023/01/dati-spasso-nomi-cognomi-firme-e-altri.html

Per una truffa online basta un’ordinazione di caffè

[CLIP: Sofia Loren parla di caffè in Questi fantasmi]

Il terzo caso di questa carrellata di dati a spasso è in apparenza banale. Tutto inizia con una delle tante segnalazioni che mi arrivano: una pagina Web, pubblicamente accessibile, che ospita una serie di caselle per l’immissione di dati. Un form, in gergo informatico.

Il form cita una società di logistica italiana, che però non ha colpa; la pagina è probabilmente di un’azienda che usa questa società di logistica per le proprie spedizioni di merci.

Non sembra molto interessante, ma come capita spesso in questi casi anche questo form ha una caratteristica elementare, utilissima per chi vuole rastrellare dati: premendo semplicemente Invio, senza immettere nulla, elenca tutti i dati dell’intero archivio, che sono circa un migliaio di schede separate. Questa è una tecnica classica, che qualunque scraper o raccattatore di informazioni conosce e applica.

Ognuna di quelle schede permette di vedere i dettagli dei clienti: per esempio quelli dell’azienda in provincia di Macerata, che paga con ricevuta bancaria a 60 giorni fine mese e ordina circa 600 capsule di caffè e spende quasi 600 euro, o quelli della signora Antonella, di Genova, che paga le sue capsule di caffè con la carta di credito.

Lo so, conoscere nomi e cognomi di chi compra caffè non sembra un grosso problema di sicurezza, visto che il consumo di questa bevanda non è particolarmente controverso o privato, ma ovviamente il problema non è il prodotto acquistato, ma il fatto che i dati dei clienti siano accessibili a chiunque, anche a malintenzionati.

L’esempio più banale di questo problema è che un criminale potrebbe usare le informazioni per chiamare la signora Antonella, quella di Genova, spacciandosi per un addetto del servizio di sicurezza delle carte di credito che le telefona per un controllo e dicendole con tono rassicurante che sta solo verificando che lei abbia regolarmente acquistato quello specifico prodotto.

Il criminale potrebbe conquistarsi facilmente la fiducia della vittima, descrivendole in dettaglio che cosa ha acquistato e quando lo ha acquistato, se ha ricevuto correttamente la merce o se vuole fare reclamo, e poi potrebbe chiederle, con la massima disinvoltura, “Sempre per un controllo di sicurezza, signora” dice chiamandola per cognome “mi conferma i dati della carta con la quale ha effettuato il pagamento? Perché qui risulta che l’acquisto è stato segnalato come fraudolento e non vorrei che ci fosse un equivoco. Sarebbe un peccato bloccarle la carta di credito per errore.”

Certo, non tutti cadranno in questa trappola e comunicheranno i dati della propria carta di credito, che il criminale potrà poi usare per commettere frodi. Ma con migliaia di nominativi a disposizione in questo singolo archivio, prima o poi il criminale troverà qualcuno che ci cadrà. E gli basterà avere successo solo una volta ogni tanto.

È questo il problema generale dei dati lasciati a spasso: singolarmente possono sembrare innocui o poco importanti, ma sono dei punti di appiglio utilissimi per i criminali informatici. Per questo esistono standard tecnici e leggi che regolamentano severamente la gestione dei dati personali. Leggi che purtroppo non sempre vengono rispettate e che spesso vengono viste solo come una scocciatura o una complicazione inutile.

Purtroppo in questo caso non sembrano esserci dati utili per risalire all’identità del gestore maldestro di questa pagina Web. Ho provato a contattare via mail alcuni clienti per chiedere se se la sentissero di dirmi il nome della ditta alla quale avevano fatto l’ordinazione, ma finora non ho avuto nessuna risposta. Il passo successivo sarebbe una segnalazione formale al Garante per la protezione dei dati. Nel frattempo quei dati restano a disposizione di qualunque malintenzionato.

Screenshot e dettagli: https://attivissimo.blogspot.com/2023/02/dati-spasso-nomi-cognomi-e-indirizzi-di.html

Conclusioni

Quelli che ho raccontato sono solo tre piccoli esempi di data leak, ossia di disseminazione non intenzionale di dati personali, che mi sono capitati fra le mani nel giro di pochi giorni e non fanno notizia perché non riguardano milioni di persone in un sol colpo ma in realtà sono purtroppo la normalità quotidiana della gestione non sempre diligente delle nostre informazioni digitali. Per fortuna esistono persone che invece di approfittare di questi incidenti perfettamente evitabili lasciano avvisi o mandano segnalazioni; è grazie a loro che ho potuto raccontarvi queste storie e avvisare, almeno due volte su tre, i responsabili.

Se vi state chiedendo come mai in questa piccola rassegna di naufragi informatici non ci siano siti svizzeri, la risposta è che i data leak avvengono anche nella Confederazione, ma hanno caratteristiche diverse. Così diverse che meritano una puntata a parte.

Grazie per aver seguito questa puntata del Disinformatico, una produzione della RSI Radiotelevisione svizzera; gli spezzoni sonori sono stati tratti dai film Eyes Wide Shut di Stanley Kubrick e Questi fantasmi di Renato Castellani. Questo podcast viene pubblicato ogni venerdì mattina presso www.rsi.ch/ildisinformatico, dove trovate anche le puntate precedenti. Questa serie di podcast è disponibile anche su tutte le principali piattaforme podcast.

Tutti i link ai siti citati e alle fonti di riferimento sono pubblicati presso Disinformatico.info. Se avete commenti, correzioni o segnalazioni, potete scrivermi una mail all’indirizzo paolo.attivissimo@rsi.ch. A presto.

Ricevo e ripubblico con piacere l’annuncio ufficiale del rilascio della versione 7.5 di LibreOffice, che ho appena scaricato e installato (dopo aver fatto una donazione alla Document Foundation). Uso LibreOffice sin dalle sue primissime versioni per quasi tutto il mio lavoro. Funziona, garantisce l’indipendenza dei miei documenti, e provarlo non costa nulla.

Berlino, 2 febbraio 2023 – LibreOffice 7.5 Community, la nuova major release della suite per ufficio per la produttività desktop libera e open source, supportata da volontari, è immediatamente disponibile all'indirizzo https://www.libreoffice.org/download per Windows (processori Intel/AMD e ARM), macOS (processori Apple e Intel), e Linux.

Le novità più significative

GENERALI

• Importanti miglioramenti al supporto del dark mode
• Nuove icone per le applicazioni e i tipi MIME, più colorate e vivaci.
• Lo Start Centre può filtrare i documenti per tipo
• È stata implementata una versione migliore dell'interfaccia utente Single Toolbar
• Esportazione PDF migliorata con diverse correzioni e nuove opzioni e funzionalità
• Supporto per l'embedding dei font su macOS
• Miglioramenti alla finestra di dialogo Font Features con diverse nuove opzioni
• Aggiunta di un cursore di zoom in basso a destra nell'editor delle macro

WRITER

• I segnalibri sono stati notevolmente migliorati e sono anche molto più visibili
• Gli oggetti possono essere definiti come decorativi, per una migliore accessibilità
• Sono state aggiunte nuove tipologie di controlli di contenuto, che migliorano anche la qualità dei moduli PDF
• Nel menu Strumenti è stata aggiunta una nuova opzione di controllo automatico dell'accessibilità
• È disponibile una prima versione di traduzione automatica, basata sulle API di DeepL translate
• Diversi miglioramenti al controllo ortografico

CALC

• Le tabelle di dati sono ora supportate nei grafici
• Il Function Wizard adesso consente di effettuare la ricerca per descrizioni
• Sono stati aggiunti i formati numerici "compitati"
• Le condizioni di formattazione condizionale sono ora insensibili alle maiuscole e alle minuscole
• Comportamento corretto quando si inseriscono numeri con un singolo prefisso (')

IMPRESS & DRAW

• Nuovo set di stili di tabella predefiniti e creazione di stili di tabella
• Gli stili delle tabelle possono essere personalizzati, salvati come elementi master ed esportati
• Gli oggetti possono essere trascinati e rilasciati nel navigatore
• È ora possibile ritagliare i video inseriti nella diapositiva e riprodurli ugualmente
• La console del presentatore può essere eseguita anche come finestra normale invece che a schermo intero.

Un video che riassume le principali novità di LibreOffice 7.5 Community è disponibile su YouTube: https://www.youtube.com/watch?v=ZlAmjIwUvs4 e PeerTube: https://peertube.opencloud.lu/w/of24ezgA4ytWDpHWevGPiF. 

Una descrizione di tutte le nuove funzionalità è disponibile nelle Note di rilascio [1].

Interoperabilità con Microsoft Office

Basato sulle specifiche caratteristiche della piattaforma tecnologica LibreOffice per la produttività personale su desktop, dispositivi mobili e cloud, LibreOffice 7.5 offre un gran numero di miglioramenti e nuove funzionalità rivolte agli utenti che condividono documenti con MS Office o che stanno migrando da MS Office. Questi utenti dovrebbero controllare regolarmente le nuove versioni di LibreOffice, poiché i progressi sono così rapidi che ogni nuova versione migliora sensibilmente la precedente.

LibreOffice offre il più alto livello di compatibilità nel segmento di mercato delle suite per ufficio, con il supporto nativo per l'OpenDocument Format (ODF) – che batte i formati proprietari per sicurezza e robustezza – e il supporto per i file MS Office, oltre ai filtri per un gran numero di formati di documenti legacy, per restituire la proprietà e il controllo dei contenuti agli utenti.

I file Microsoft sono ancora basati sul formato proprietario deprecato da ISO nel 2008 e non sullo standard approvato dalla stessa ISO, per cui sono artificialmente e inutilmente complessi (anche se tutto questo viene nascosto all'utente). Questo causa problemi di gestione a LibreOffice, che utilizza per default un vero formato standard aperto (OpenDocument Format).

Chi ha contribuito a rilascio di LibreOffice 7.5

Le nuove funzionalità di LibreOffice 7.5 Community sono state sviluppate da 144 membri della comunità: il 63% dei commit di codice proviene dai 47 sviluppatori impiegati da tre aziende che fanno parte dell'Advisory Board di TDF – Collabora, Red Hat e allotropia – o da altre organizzazioni, il 12% dai 6 sviluppatori di The Document Foundation, e il restante 25% da 91 volontari indipendenti.

Inoltre, 112 volontari – in rappresentanza di centinaia di traduttori volontari – hanno fornito localizzazioni in 158 lingue. LibreOffice 7.5 Community viene rilasciato in 120 versioni linguistiche diverse, più di ogni altro software libero o proprietario, e come tale può essere utilizzato nella lingua madre (L1) da oltre 5,4 miliardi di persone nel mondo. Inoltre, oltre 2,3 miliardi di persone parlano una di queste 120 lingue come seconda lingua (L2).

LibreOffice per le imprese

Per le implementazioni di livello aziendale, TDF raccomanda la famiglia di applicazioni LibreOffice Enterprise fornite dalle aziende dell'ecosistema - per desktop, mobile e cloud - con un gran numero di specifiche funzionalità a valore aggiunto e altri vantaggi come gli SLA (Service Level Agreement): https://www.libreoffice.org/download/libreoffice-in-business/.

Ogni riga di codice sviluppata dalle aziende dell'ecosistema per i propri clienti enterprise viene condivisa con la comunità sul repository principale del codice sorgente, e contribuisce a migliorare la piattaforma LibreOffice Technology.

I prodotti basati sulla tecnologia LibreOffice sono disponibili per i principali sistemi operativi desktop (Windows, macOS, Linux e Chrome OS), per le piattaforme mobili (Android e iOS) e per il cloud.

Migrazioni a LibreOffice

La Document Foundation ha sviluppato un Protocollo di migrazione per supportare le imprese che passano dalle suite per ufficio proprietarie a LibreOffice, che si basa sulla distribuzione di una versione LTS della famiglia LibreOffice Enterprise, oltre alla consulenza e alla formazione per la migrazione fornita da professionisti certificati che offrono soluzioni a valore aggiunto in linea con le offerte proprietarie. Riferimento: https://www.libreoffice.org/get-help/professional-support/.

Infatti, LibreOffice - grazie alla maturità del codice sorgente, al ricco set di funzionalità, al forte supporto per gli standard aperti, all'eccellente compatibilità e alle opzioni LTS di partner certificati - è la soluzione ideale per le aziende che vogliono riprendere il controllo dei propri dati e liberarsi dal vendor lock-in.

Disponibilità di LibreOffice 7.5 Community

LibreOffice 7.5 Community è disponibile all'indirizzo: https://www.libreoffice.org/download/. I requisiti minimi per i sistemi operativi proprietari sono Microsoft Windows 7 SP1 e Apple macOS 10.12. I prodotti basati sulla tecnologia LibreOffice per Android e iOS sono elencati qui: https://www.libreoffice.org/download/android-and-ios/.

Per gli utenti che non hanno bisogno delle funzioni più recenti e preferiscono una versione che è stata sottoposta a un maggior numero di test e di correzioni di bug, The Document Foundation mantiene la famiglia LibreOffice 7.4 family, che include alcuni mesi di backporting delle correzioni. La versione corrente è  LibreOffice 7.4.5.

La Document Foundation non fornisce supporto tecnico agli utenti, anche se questi possono ottenerlo dai volontari delle mailing list degli utenti e dal sito web Ask LibreOffice: https://ask.libreoffice.org

Gli utenti di LibreOffice, i sostenitori del software libero e i membri della comunità possono sostenere The Document Foundation con una donazione su https://www.libreoffice.org/donate.

[1] Note di Rilascio: https://wiki.documentfoundation.org/ReleaseNotes/7.5

Press Kit

Link: https://nextcloud.documentfoundation.org/s/C9aDx4rka6HeDb6

Ultimo aggiornamento: 2023/02/05 15:50.

Il tempo passa e tanti ricordi sbiadiscono in fretta, ma alcuni rimangono impressi per sempre. Come tante persone, quel giorno di vent’anni fa, stavo seguendo in diretta via Internet il rientro dello Shuttle Columbia. Dieci anni fa scrissi queste parole, che credo siano ancora valide ora che si torna a volare frequentemente nello spazio e si pianificano nuovi veicoli e nuove missioni, come promemoria del fatto che lo spazio è un ambiente ostile che non perdona e che non va mai, in nessun caso, preso sottogamba. Per aspera ad astra.

Ricordo una voce del Controllo Missione che cercava ripetutamente, oltre ogni buon senso e ogni speranza, di avere risposta alle sue chiamate via radio dallo Shuttle Columbia che stava rientrando sulla Terra al termine della propria missione. Ricordo le prime immagini di quei frammenti brillanti che solcavano in gruppo il cielo, tracciando scie bianche che non lasciavano spazio a conclusioni alternative.

Ricordo la voce rotta del direttore di volo che dava l'ordine che nessun direttore vorrebbe mai dare: chiudere a chiave le porte della sala controllo e sigillare i computer. L'ordine significa che la missione si è conclusa in tragedia e che ora bisogna congelare la situazione per capire cosa è andato terribilmente storto. Sette astronauti erano morti: Rick Husband, William McCool, Michael Anderson, Kalpana Chawla, David Brown, Laurel Clark, Ilan Ramon. Di loro restavano soltanto le immagini, a quel punto amaramente fuori luogo, dei loro sorrisi e dei loro sereni resoconti degli esperimenti svolti durante la missione, trasmesse a terra prima del rientro. C'era persino un video, recuperato fra i rottami, che mostrava l'equipaggio durante le fasi iniziali del rientro, ignaro di quello che sarebbe accaduto pochi minuti più tardi.

Durante il decollo, lo Shuttle era stato colpito all'ala sinistra da un frammento della schiuma isolante dei supporti del grande serbatoio di propellente che accompagnava la navetta. Il danno sembrava a prima vista trascurabile e la fase orbitale della missione era stata completata normalmente, ma l'impatto aveva in realtà aperto un varco nell'ala attraverso il quale, durante il rientro, era penetrato un getto dell'aria rovente che circondava il velivolo, fondendo la struttura dall'interno. L'ala si era spezzata e il velivolo spaziale privo di controllo si era disintegrato mentre correva a venti volte la velocità del suono, a circa 70 chilometri di quota.

All'epoca erano circolate le storie più strane e alcuni giornali avevano pubblicato falsi scoop sul disastro. Nel 2008 fu pubblicato il rapporto finale sulle cause della perdita dell'equipaggio e del veicolo. Questo secondo incidente mortale con uno Shuttle (dopo quello del Challenger nel 1986) fu l'inizio della fine per questo veicolo straordinario.

Due disastri avvenuti (e tanti altri sfiorati) non solo per colpa di un veicolo eccessivamente complesso e delicato, frutto di mille compromessi tecnici e politici, non solo per colpa di un ambiente che per sua natura è irto di pericoli, ma anche per colpa di un difetto più insidioso: l’autocompiacimento della NASA, il suo eccesso di fiducia e di tolleranza verso gli errori.

Entrambe le tragedie erano state preannunciate da problemi che i dirigenti della NASA decisero ripetutamente di ignorare. E ogni missione che riusciva a tornare a casa regolarmente nonostante danni sempre più gravi faceva crescere quest’autocompiacimento, invece di far suonare campanelli d’allarme. “Visto? Siamo tornati anche stavolta, quindi quelle preoccupazioni sulle scheggiature dello scudo termico o sul gelo eccessivo nelle guarnizioni dei motori a propellente solido sono eccessive.”

Nel 1986 e nel 2003 quattordici persone, e le loro famiglie, pagarono un prezzo altissimo per quell’eccesso di fiducia.

Per il ventesimo anniversario del Columbia, il sempre documentatissimo Eric Berger di Ars Technica ha pubblicato un articolo che spiega bene la cultura della NASA che portò a questi incidenti.

Scott Manley inoltre ricostruisce istante per istante la dinamica del disastro del Columbia sulla base delle inchieste effettuate:

Manley cita anche i principali rapporti tecnici e un libro sulla vicenda:

• Columbia Accident Investigation Report; 
• Columbia Crew Survival Investigation Report;
• Loss of Signal - Aeromedical Lessons Learned from the STS-107 Columbia Space Shuttle Mishap;
• Bringing Columbia Home: The Untold Story of a Lost Space Shuttle and Her Crew (libro).

E questa è l’inesorabile, agghiacciante ricostruzione in tempo reale degli eventi, con le ultime immagini degli astronauti riprese in video durante il rientro e recuperate dai rottami del Columbia e le chiamate del Controllo Missione (da 13:40).

Un altro giorno, un’altra segnalazione di dati personali a spasso, pronti per essere raccattati dal primo criminale informatico che passa ed essere usati come punto di partenza per attacchi informatici e truffe di ogni sorta.

Mi è stato segnalato un indirizzo IP italiano, sulla rete Eolo, che propone una pagina aperta a tutti che ospita un form di immissione dati:

Il form cita Artoni, che è una società di logistica italiana, ma i dati a spasso non sono colpa sua; la pagina che li diffonde è probabilmente di un’azienda che usa Artoni per le proprie spedizioni di merci.

Il form da solo non dice granché, ma non c’è bisogno di provare a immettere dati a caso sperando di trovare qualche corrispondenza: sarebbe molto improbabile e tedioso. Come capita spesso in tanti database, anche questo form ha una caratteristica elementare, utilissima per chi vuole rastrellare dati: premendo semplicemente il pulsante Cerca, senza immettere nulla, elenca tutti i dati dell’intero archivio, che sono circa un migliaio. Una tecnica classica, che qualunque scraper o raccattatore di informazioni conosce e applica.

Cliccando sui link delle singole ordinazioni si possono vedere i dettagli: per esempio quelli dell’azienda di Urbisaglia, in provincia di Macerata, che paga con ricevuta bancaria a 60 giorni fine mese e ordina circa 600 capsule di caffè e spende quasi 600 euro, o quelli della signora Antonella, di Genova, che paga le sue capsule di caffè con la carta di credito.

Sapere i dati di chi compra caffè forse non sembra un grosso problema di sicurezza, visto che il consumo di questa bevanda non è particolarmente controverso o privato, ma ovviamente il problema non è il prodotto acquistato, ma il fatto che i dati dei clienti siano accessibili a chiunque, anche a malintenzionati.

L’esempio più banale di questo problema è che un criminale potrebbe usare le informazioni per chiamare la signora Antonella di Genova spacciandosi per un addetto del servizio di sicurezza delle carte di credito che le telefona per un controllo e dicendole con tono rassicurante che sta solo verificando che lei abbia regolarmente acquistato quello specifico prodotto. Il criminale potrebbe conquistarsi facilmente la fiducia della vittima descrivendole in dettaglio che cosa ha acquistato e quando lo ha acquistato, se ha ricevuto correttamente la merce o se vuole fare reclamo, e poi potrebbe chiederle, con la massima disinvoltura, “Sempre per un controllo di sicurezza, signora C*******, mi conferma i dati della carta con la quale ha effettuato il pagamento? Perché qui risulta che l’acquisto è stato segnalato come fraudolento e non vorrei che ci fosse un equivoco. Sarebbe un peccato bloccarle la carta di credito per errore.”

Certo, non tutti cadranno nella trappola e comunicheranno i dati della propria carta di credito, che il criminale potrà poi usare per commettere frodi. Ma con migliaia di nominativi a disposizione in questo singolo archivio, prima o poi troverà qualcuno che ci cadrà. E al criminale basta avere successo solo una volta ogni tanto.

Purtroppo non sembrano esserci dati utili per risalire all’identità del gestore maldestro di questa pagina Web, ma ho provato a contattare via mail alcuni clienti per chiedere se se la sentono di dirmi il nome della ditta alla quale hanno fatto l’ordinazione. Finora non ha risposto nessuno.

Ultimo aggiornamento: 2023/02/01 16:05. 

Non si capisce se sia incoscienza, disinvoltura o ignoranza, ma è impressionante la quantità di organizzazioni che mette su alla bell’e meglio una pagina Web con i dati personali dei dipendenti, clienti o collaboratori “perché così è comodo e possiamo consultarli facilmente”.

Vero, è comodo, ma altrettanto facilmente può consultarli anche chiunque altro. A quanto pare non è ancora stata capita diffusamente la lezione fondamentale che non basta non dire a nessuno dove si trovano i dati e così nessuno li troverà: bisogna proteggerli attivamente. Perché ormai da anni ci sono i motori di ricerca generalisti, come Google, che permettono di trovare le pagine Web pubblicamente raggiungibili anche senza conoscerne l’indirizzo, e ci sono i motori di ricerca specializzati, come Shodan, che esplorano tutta Internet e catalogano i siti che hanno servizi troppo accessibili e quindi vulnerabili.

Ieri (30 gennaio) ho segnalato il caso di un elenco di clienti assicurativi della zona di Chieti, allegramente consultabile e modificabile da chiunque da chissà quanto tempo fino alla mia segnalazione; oggi (31 gennaio) è il turno di un servizio di soccorso sanitario della Lombardia, che pubblica su una pagina Web accessibile a Google (e a chiunque abbia un browser) nomi, cognomi, indirizzi, numeri di telefono e orari degli utenti che si avvalgono dei suoi servizi e molti altri dati, compresi i nomi e cognomi, le firme e i numeri delle carte di identità e delle patenti di numerosi soccorritori volontari o professionisti.

Il primo febbraio, per esempio, Mattea B. doveva essere trasportata da Predore a Sarnico; il 2 febbraio Mario, telefono 34879*****, doveva essere portato da Villongo all’ospedale di Iseo; il 14 febbraio la signora Teresa, telefono 32987******, verrà trasportata da Villongo alla clinica Sant’Anna di Brescia, e così via (le date sono visualizzate nel formato statunitense mese-giorno-anno). Per ciascun utente è indicata anche la situazione medica che rende necessario il trasporto.

E poi ci sono nomi, cognomi e ruoli del personale, con tanto di firma digitalizzata:

C’è anche un elenco di “personale che non timbra da più di 3 settimane”:

Tutto in HTTP; niente HTTPS, su un indirizzo IP di Telecom Italia, aperto sulle porte 443, 8045, 8445, 8545 (sulla 80 c’è una login a una VPN in HTTPS). Non ho trovato il modo di capire chi sia il responsabile di queste pagine e avvisarlo; nell’HTML non ci sono informazioni di identità e anche un reverse DNS lookup non trova nulla. Se avete idee, segnalatele nei commenti.

Già è brutto che vengano disseminati i dati sanitari degli utenti, ma c’è un problema peggiore: questi dati possono essere un appiglio perfetto per compiere truffe o raggiri ai danni delle persone coinvolte. Giusto per fare un esempio, se qualche truffatore o malintenzionato telefonasse alla signora Teresa fingendo di essere un addetto al servizio trasporto utenti e le dicesse che il suo trasporto (di cui cita tutti i dettagli) avrà un costo aggiuntivo e che passerà un incaricato a riscuoterlo, probabilmente la signora ci crederebbe e aprirebbe la porta di casa all’“incaricato”.

A un livello più sofisticato, un malvivente potrebbe approfittare del fatto che sa di questa violazione della privacy e contattare i responsabili del sito chiedendo bitcoin per non segnalare l’accaduto al Garante; se non chiedesse troppo, avrebbe buone probabilità di incassare, perché l’estorsione costerebbe meno di quello che costerebbe la sanzione del Garante più le spese legali e quelle per mettere a posto il sito.

Questi sono solo i primi due scenari che mi vengono in mente, e io non sono un criminale informatico, che sicuramente avrà più inventiva di me.

---

2023/02/01 16:05. Ho ricevuto una mail dall’Agenzia Regionale Emergenza Urgenza che mi segnala che con le informazioni che ho fornito privatamente all’AREU è stato possibile risalire all’Associazione di Soccorso e contattarne i responsabili.

---

2023/02/02 11:30. I dati non sono più accessibili via Internet.

Credo che questa chioma batta tutti i record spaziali di capigliatura, o perlomeno dia del filo da torcere a Marsha Ivins in questa celebre foto del 2001 (grazie a Paolo Amoroso per la segnalazione). La cosmonauta Anna Kikina è a bordo della Stazione Spaziale Internazionale. Foto datata 22 gennaio 2023. Fonte: NASA su Flickr.

La foto di Ivins è la S98E5020, che per quel che ne so è disponibile solo a bassa risoluzione su Archive.org e in risoluzione leggermente migliore qui.

Ultimo aggiornamento: 2023/01/02 10:15. L’articolo è stato riscritto per tenere conto degli aggiornamenti e per fornire un contesto più ampio.

Quasi sempre i criminali informatici vengono immaginati e rappresentati come maghi della tastiera che sanno scovare e rubare qualunque dato digitale usando tecniche di penetrazione sofisticatissime, ma spesso queste tecniche non sono affatto necessarie, perché i dati sono stati messi maldestramente a disposizione del primo che passa e sono accessibili via Internet da chiunque abbia una minima capacità informatica.

Per esempio, pochi giorni fa mi è arrivata in via confidenziale la segnalazione di un sito aperto a chiunque che contiene quello che sembra essere un elenco di dati assicurativi di clienti italiani, probabilmente della zona di Chieti. Nomi, cognomi, indirizzi, codici fiscali, dettagli delle polizze assicurative, e altro ancora.

Ma soprattutto contiene una voce dell’elenco che non è un nome e cognome di cliente ma è un avviso: “Buongiorno questo database è accessibile a chiunque via Internet”, tutto in maiuscolo. Segno che qualcuno ha già trovato questo archivio, si è accorto che è non solo leggibile da chiunque ma è anche modificabile da chiunque, e ha pensato di lasciare un cordiale ma ben visibile avviso.

Trovare queste perle non è difficile. Esistono motori di ricerca appositi, come Shodan, che ho citato tante volte qui e che fanno la stessa cosa che fa Google, ossia esplorano e catalogano tutta Internet, e prendono nota dei siti che hanno degli accessi non protetti. È sufficiente sfogliare uno di questi motori di ricerca per trovare di tutto: telecamere di sorveglianza accessibili, server leggibili e scrivibili da chiunque, e pagine Web come questa. Esattamente come con Google, è sufficiente immettere le parole chiave giuste.

E a proposito di Google, molto spesso questi siti vulnerabili sono catalogati anche da Google, appunto, anche se trovarli in questo modo richiede molta più fatica. Infatti nel caso che mi è stato segnalato, il sito contenente l’archivio di dati personali di assicurati italiani è non solo reperibile in Google ma è anche nella sua cache, ossia nella copia temporanea che Google fa di tutti i siti che visita. Questo vuol dire che i dati saranno accessibili, almeno in parte, anche per qualche tempo dopo che il sito lasciato incautamente aperto sarà stato finalmente messo in sicurezza.

Qualche giorno fa ho contattato via mail quella che credo sia la ditta responsabile, la cui identità è trovabile frugando pazientemente in dettaglio nei dati e documenti pubblicamente accessibili. Mentre attendevo la risposta, ho notato che l’archivio non risultava più pubblicamente accessibile via Internet, anche se la copia cache è tuttora presente in Google. Probabilmente l’avviso lasciato in bella vista ha attirato positivamente l’attenzione dei responsabili del sito. Non è una soluzione elegante, ma perlomeno è efficace.

Finora non ho ricevuto nessuna risposta formale dalla ditta in questione, ma mi è arrivato un messaggio Telegram di qualcuno che sembra parlare a nome di questa ditta e dice che si tratta di “una versione alfa non in produzione” che contiene “dati totalmente fittizi anche se costruiti coerentemente”. Non ho modo di verificare questa dichiarazione e posso solo sperare che la versione definitiva sia un po’ meno accessibile e disinvoltamente scrivibile di questa, perché provare un database lasciandolo aperto a tutti su Internet, in modo che possa essere riscritto, cancellato o devastato dal primo vandalo che passa, non è comunque una buona prassi di sicurezza informatica.

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto) e qui sotto.

Le puntate del Disinformatico sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano i testi di accompagnamento e i link alle fonti di questa puntata, sono linkati qui sotto.

• Le mail da BSAcompliancesolutions.org sono autentiche? Sì, però attenzione
• Lo strano caso dello spam in latino
• Spam, SpaceX, Tesla e YouTube

Sono stato gentile, paziente e disponibile, e tutto quello che ne ho ricavato è una perdita di tempo. Per cui adesso lascio perdere le inutili cortesie ed espongo i fatti.

Come avevo accennato, il 21 dicembre scorso un avvocato mi ha scritto chiedendomi di rimuovere “prontamente” un mio intero articolo risalente al 2008 per ottemperare al diritto all’oblio dei suoi assistiti. O almeno così sembra, visto che chi mi ha scritto ha mandato una semplice mail (non una PEC, non una raccomandata, ma una normalissima mail) a paolo.attivissimo@gmail.com. La mail del mittente corrisponde a quella di un avvocato del Nord-Est italiano, ma essendo una normale mail non offre alcuna garanzia di autenticità.

Ma anche supponendo che la mail provenga davvero da un avvocato, resta il problema che l’articolo non contiene nessun riferimento ai suoi assistiti. L’unico riferimento agli assistiti in questione è in un commento all’articolo. E quel commento segnala la circolazione di una catena di Sant’Antonio che li riguarda. Chiedermi di rimuovere l’articolo è quindi privo di senso.

Ho risposto prontamente (il 23 dicembre scorso) all’avvocato, dalla casella di mail alla quale mi era arrivato il messaggio iniziale (paolo.attivissimo@gmail.com) e inviando la risposta alla casella indicata come mittente in quel messaggio iniziale, dicendo semplicemente quanto segue, perché ovviamente non discuto i dettagli di una questione legale tramite mail ordinaria:

Oggetto: Re: Sig.ri Cremonini esercizio diritto all'oblio

Buongiorno Avvocato,

la prego di contattarmi formalmente tramite PEC:

paolo.attivissimo@pec.net


Cordiali saluti

Paolo Attivissimo

Il giorno successivo (24 dicembre) ho inviato alla casella di mail dell’avvocato (quella dalla quale sembrava avermi scritto) una PEC con lo stesso contenuto:

Oggetto: Sua mail a me del 21/12/2022 (Cremonini)

Buongiorno Avvocato,
la prego di contattarmi formalmente tramite PEC:
paolo.attivissimo@pec.net

Cordiali saluti
Paolo Attivissimo

Questa PEC risulta accettata e inoltrata dal sistema PEC, con ricevuta datata 24/12/2022 alle ore 09:38:25. Da allora, silenzio totale. 

Dallo stile e da altri indizi, ritengo molto probabile che la mail iniziale sia davvero stata inviata dall’avvocato in questione e da qui in poi, per chiarezza di racconto, presumo che sia così.

Sembra che l’avvocato che mi chiedeva di “procedere prontamente” e di informarlo “una volta avvenuta tale cancellazione” non abbia trovato il tempo, in tutto un mese, per rispondermi in merito alla sua richiesta che dalle sue parole appariva così urgente.

E quindi quel commento che pareva essere così importante da cancellare “prontamente” è rimasto dov’è, e l’articolo pure. 

Non solo: può benissimo darsi che gli assistiti dell’avvocato abbiano diritto di chiedere l’oblio per quella vicenda di quattordici anni fa, ma ora questa vicenda diventa una notizia nuova che li riguarda.

Sì, perché se la mail proviene realmente dal loro avvocato, è decisamente notiziabile il fatto che i signori Luigi Cremonini, Vincenzo Cremonini, Claudia Cremonini, Serafino Cremonini e Augusto Cremonini chiedano tramite un avvocato, in maniera tecnicamente inetta e vessatoria, di rimuovere “prontamente” un intero articolo che nemmeno li riguarda. 

Oltretutto dalla mail dell’avvocato si ha l’impressione che si tratti di una richiesta fatta distrattamente e con il copiaincolla, dato che parla di “articoli” e di “eliminazione delle url sopra indicate” (plurale) ma in realtà cita un singolo URL e un solo articolo. È un esempio, interessante per l’opinione pubblica, della maniera grossolana e un tanto al chilo in cui lavora chi è chiamato a un compito importante e delicato come far valere il diritto all’oblio e per questo, presumo, riceve una parcella.

È anche un esempio di come vengono trattati i giornalisti: si manda una semplice mail, oltretutto sbagliata, si pretende che il giornalista agisca subito e “prontamente”, ma non ci si degna neppure di rispondergli per chiarire i dettagli o trovare una soluzione corretta.

L’articolo in questione, quello che mi è stato chiesto di rimuovere integralmente addirittura eliminandone l’URL, è questo:

https://attivissimo.blogspot.com/2008/07/antibufala-allarme-per-il-piombo-nei.html

Come si capisce già dall’URL, l’articolo non ha minimamente a che fare con la famiglia Cremonini (parla di un allarme-bufala per il presunto piombo nei rossetti). Il commento che li riguarda è questo. E sono disposto a rimuoverlo se ne ricevo richiesta formale. È sufficiente una PEC. Ma il mio articolo, che non c’entra nulla, non si tocca. Oltretutto, a questo punto, visto che l’avvocato ha lasciato passare tranquillamente un mese senza mandarmi neanche una riga di risposta, diventa difficile argomentare che l’eventuale danno alla famiglia derivante dal commento in questione sia grave.

Per maggiore scrupolo, il 27 gennaio 2023 ho cercato la casella PEC dell’avvocato e le ho mandato una mia PEC:

Buongiorno Avvocato,

sono Paolo Attivissimo, giornalista informatico. A dicembre 2022 ho ricevuto sulla mia casella paolo.attivissimo@gmail.com una mail, apparentemente inviata da "[omissis]", che parlava di miei "articoli" (plurale) e mi richiedeva di "procedere prontamente all'eliminazione delle url sopra indicate e di informarmi una volta avvenuta tale cancellazione."

Le URL in questione, anzi l’unico URL (e quindi l'unico articolo), era https://attivissimo.blogspot.com/2008/07/antibufala-allarme-per-il-piombo-nei.html

La richiesta era materialmente errata, perché il mio articolo non contiene alcun riferimento ai signori Cremonini.

Ho risposto prontamente, sia via Gmail sia tramite PEC, chiedendo una presa di contatto. Ormai è trascorso più di un mese, ma non ho avuto da lei nessun riscontro.


Distinti saluti
Paolo Attivissimo

La mia PEC risulta accettata e consegnata. Se anche questa comunicazione verrà ignorata, considererò chiusa la questione.

In sintesi: se l’avvocato avesse avuto semplicemente la cortesia di rispondere, i suoi assistiti avrebbero evitato un perfetto Effetto Streisand. Spero che siano contenti del servizio che ricevono.

---

2023/01/27 17:20. Oggi intorno alle 13 l’avvocato ha risposto via PEC alla mia PEC, scusandosi per il ritardo nel rispondere e ha chiesto cortesemente di eliminare i commenti privi di fondamento contenenti il nome dei suoi assistiti. Ho provveduto, lasciando una nota nel flusso di commenti dell’articolo per spiegare l’accaduto. L’articolo rimane al suo posto. Considero chiusa la questione.