È disponibile il podcast di oggi de Il Disinformatico della Rete Tre della Radiotelevisione Svizzera, condotto da me insieme ad Alessio Arigoni. Questi sono gli argomenti trattati, con i link ai rispettivi articoli di approfondimento:

• Escono Windows e MacOS nuovi: non c’è fretta di installarli
• Perché questi codici QR sembrano “green pass” validi di Adolf Hitler, Topolino e Spongebob?
• Squid Game, virus e truffe abusano della popolarità della serie
• Una strana truffa su Booking

Il podcast di oggi, insieme a quelli delle puntate precedenti, è a vostra disposizione presso www.rsi.ch/ildisinformatico (link diretto) ed è ascoltabile anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto!

Mi capita spesso di raccontare truffe online, ma è raro che la vittima sia una persona che conosco prima che mi contatti per la truffa: stavolta, però, il bersaglio del raggiro è il collega della Rete Tre della Radiotelevisione Svizzera con il quale ho fatto tanti podcast, Alessio Arigoni. Lui stesso l’ha raccontata nel podcast di questa settimana: io la riassumo qui con alcune immagini che Alessio mi ha fornito.

Alessio è andato su Booking.com a cercare un appartamento per un breve soggiorno a Bologna, e ha trovato questa offerta di Lineron flats Bologna, in via San Felice 71 (ho alterato il link aggiungendogli “togliquesto-” per evitare di linkare il sito).

Ha risposto all’offerta, stando sempre sulla piattaforma Booking.com, e ha prenotato, senza anticipare denaro. Ha ricevuto correttamente la mail di conferma da Booking.com.

Poco dopo gli è arrivato tramite WhatsApp un messaggio che gli ha riepilogato in inglese i dettagli della sua prenotazione (indirizzo, date, numero degli alloggiati, prezzo) e gli ha chiesto conferma della correttezza di questi dati.

La persona ha proseguito dando istruzioni dettagliate per il ritiro delle chiavi, stavolta in italiano, e ribadendo che il pagamento dell’appartamento “viene effettuato solo online tramite booking.com a causa del covid-19” e spiegando il funzionamento del “modulo di caparra”:

Poi ha inviato ad Alessio un link per il modulo di caparra, ma ha misteriosamente iniziato a scrivere in spagnolo. Ovviamente a questo punto Alessio si era già insospettito e questo ulteriore cambio di lingua gli ha confermato che qualcosa non quadrava e che stava comunicando con un truffatore.

Il link del fantomatico “modulo di caparra” portava a un sito che non è affatto il vero Booking.com ma è visualizzato come booking-eu punto id-404958.online/merchant91129291, presso il quale però si trova l’esatta prenotazione fatta da Alessio su Booking.com, con la richiesta di immettere i dati della carta di credito:

C’erano vari indizi sospetti, come il numero di telefono portoghese (l’avevate notato? Alessio ha ricevuto i messaggi WhatsApp da un numero che inizia per +351), i cambi di lingua e il link con un URL differente dal normale Booking.com, ma l’elemento che dava attendibilità a “Pavel” era appunto questa conoscenza dei dati di Alessio.

La spiegazione più probabile è questa: l’inserzione su Booking.com è gestita dal truffatore stesso. Il truffatore ha creato un alloggio inesistente su Booking.com e quindi riceve da Booking.com le informazioni sulle prenotazioni, che poi usa per contattare le vittime e dirottarle verso il suo sito-clone, nel quale le vittime immettono i dati della propria carta di credito, regalandoli così al truffatore.

In tal caso, Booking.com non avrebbe verificato l’autenticità dell’inserzione. Alessio ha segnalato la situazione a Booking, che ora mostra sulla pagina del finto alloggio la dicitura “Siamo spiacenti, al momento non è possibile effettuare prenotazioni per questo hotel sul nostro sito” ma non l’ha rimosso.

Non ci sono stati addebiti sulla carta di credito di Alessio (che è stata comunque bloccata e sostituita su sua richiesta) e tutto è finito bene, ma c’è mancato poco.

A settembre 2021 il programma Patti Chiari della RSI si è occupato di Booking.com e dell’affidabilità delle offerte presenti sul sito, trovando numerosi alloggi falsi:

Truffe di questo genere, vissute a mente serena in un racconto come questo, sembrano fin troppo evidenti e quindi molti si chiedono come possano essere efficaci. Ma quando vengono vissute sulla propria pelle i loro campanelli d’allarme spesso non suonano, e soprattutto il truffatore è libero di tentare il raggiro con tante persone, finché non trova quella giusta che abbocca. Siate vigili.

Circolano finte app Android che fingono di essere sfondi a tema Squid Game ma in realtà installano malware, come nota Lukas Stefanko di ESET. Oltre 200 app in Google Play usano il nome della serie senza però esservi associate ufficialmente e fanno soldi attraverso le pubblicità in-app. Va ricordato che non esiste nessuna app ufficiale della serie. 

Secondo Kaspersky (a 29 minuti dall’inizio del podcast), una di queste app fraudolente è stata scaricata oltre un milione di volte e attiva di nascosto abbonamenti a servizi SMS premium a pagamento, i cui incassi vanno ai gestori dell’app, oppure rubano dati o password.

Altre segnalazioni riguardano app che dicono di consentire di vedere una puntata della serie, ma non sono ospitate da Google Play, oppure sono app che fingono di essere giochi legati alla serie ma in realtà mostrano solo un’animazione intanto che si fanno dare i dati degli utenti (o li rubano). Ci sono anche finti negozi ufficiali che rifilano fregature a chi abbocca. Non cascateci.

Fonti aggiuntive: PC Mag, Punto Informatico, Itechpost, TechRepublic, Tomsguide.

Una volta tanto non è urgente installarli: non introducono miglioramenti importanti della sicurezza, perlomeno per l’utente comune, per cui aggiornatevi se volete, ma non sentitevi particolarmente in obbligo. Non c‘è fretta: Windows 10 continuerà a essere supportato fino a ottobre del 2025.

Come sempre, prima di aggiornare un sistema operativo, fate un backup completo dei vostri dati e delle vostre applicazioni (meglio ancora, dell’intero sistema), controllate che le applicazioni che usate e il vostro hardware siano compatibili con la nuova versione di Windows/MacOS e ritagliatevi un paio d’ore di tempo per l’aggiornamento. 

Ho provato a installare sia Windows 11 sia MacOS Monterey, e anche sui miei computer non particolarmente potenti o recenti non sembrano causare rallentamenti. In entrambi i casi, il computer stesso vi avvisa se è compatibile o meno con l’aggiornamento non appena tentate di avviarlo.

Windows 11

La nuova versione del sistema operativo di Microsoft offre un nuovo design molto pulito, che però ha una scelta probabilmente controversa: il pulsante Start, che per decenni è stato nell’angolo in basso a sinistra, ora sta in basso al centro della Taskbar, sovvertendo abitudini e automatismi ben radicati nella memoria muscolare degli utenti. Si può riportare a sinistra andando nelle impostazioni di Windows 11.

A parte questo, una novità interessante di Windows 11 è che vi girano o gireranno anche le applicazioni Android, grazie al Windows Subsystem for Android (WSA), anche se con alcune limitazioni hardware e geografiche. C’è una gestione più potente dei monitor multipli e delle finestre multiple, arriva un nuovo Store delle app Microsoft e ci sono alcune migliorie per i gamer. Ma non ho visto nulla che mi faccia correre ad installarlo.

MacOS 12 (Monterey)

Il nuovo MacOS è installabile anche su computer piuttosto vecchiotti (ho appena finito di installarlo su un Mini del 2014). Anche qui non ci sono miglioramenti che fanno venire fretta di installarlo: sono arrivati gli shortcut, ossia dei “programmi” o script che permettono di automatizzare le operazioni ripetitive (tipo creare una GIF partendo da un video). I Mac possono ora essere usati come monitor e altoparlanti per altri dispositivi, tramite AirPlay: si può mostrare sullo schermo del Mac lo schermo di un iPhone, per esempio. I MacBook recenti hanno una funzione di consumo energetico ridotto (è nelle impostazioni della batteria). C’è un’opzione che consente di limitare notifiche e distrazioni.

La novità forse più interessante è lo Universal Control, che però non è ancora disponibile ma dovrebbe consentire prossimamente di usare una sola tastiera e un solo trackpad o mouse di un Mac per comandare altri Mac e iPad nelle sue vicinanze (che siano sulla stessa rete Wi-Fi e usino lo stesso Apple ID e soprattutto permetterà di trascinare e mollare un file da un dispositivo all’altro.

I nuovi MacBook Pro, per contro, rivelano una magagna piuttosto comica: il loro schermo ha una tacca, il notch, per ospitare la webcam, ma la barra menu situata in alto non ne tiene conto e alcune sue voci finiscono per essere nascoste dalla tacca. Piuttosto imbarazzante, per un’azienda che ha il culto del design e dell’estetica.

Questo tweet https://twitter.com/thelazza/status/1453307197115490317 mostra un problema serio dei nuovi Mac con la tacca per la webcam:

WTF HAHAHAHA HOW IS THIS SHIPPABLE? WHAT IS THIS?! pic.twitter.com/epse3Cv3xF

— Quinn Nelson (@SnazzyQ) October 26, 2021

Il problema è parzialmente risolvibile cambiando le impostazioni dello schermo in modo da sacrificarne una fettina.

Fonti aggiuntive: Howtogeek, Gizmodo.

Pubblicazione iniziale: 2021/10/27 00:00. Ultimo aggiornamento: 2021/10/28 13:40.

Sto ricevendo numerose segnalazioni di codici QR come quello qui accanto, che alcune applicazioni di verifica dei “green pass” considerano validi ma che sono intestati ad Adolf Hitler. Successivamente si sono aggiunti altri codici QR intestati a Topolino, a Spongebob e ad altri.

Provate a scansionare i primi tre codici QR di questo articolo con l’app italiana VerificaC19 o con l’app svizzera equivalente, CovidCheck: restituiscono HITLER come cognome, ADOLF come nome e 01.01.1900 (oppure 01.01.1930) come data di nascita. Cosa più importante, queste app di verifica li accettano come validi.

A prima vista sembrerebbe essere una gravissima violazione dell’affidabilità del sistema dei green pass o certificati Covid digitali, che minerebbe alla base la fiducia nel sistema di verifica. In teoria, infatti, soltanto gli enti o operatori sanitari autorizzati hanno le chiavi crittografiche private che consentono di generare green pass validi e rendono impossibile alterare un green pass esistente immettendovi per esempio un nome differente (questa è la procedura di richiesta di autorizzazione in Svizzera, per esempio). Ma affermazioni straordinarie richiedono prove straordinarie, che per ora scarseggiano.

Questo è un altro codice QR (segnalato da @reversebrain) che fornisce lo stesso risultato, anche qui con il nome e cognome interamente in maiuscolo:

Questo, invece, risulta valido ma intestato a Adolf Hitler (in minuscolo tranne le iniziali), con data di nascita 01.01.1930:

Secondo le prime analisi (grazie @fuomag9 e alla sua app Green Pass Decoder), l’ente emittente indicato nei primi due codici QR sarebbe la CNAM francese (Caisse Nationale d’Assurance Maladie), ma secondo queste fonti e i commenti qui sotto il dato potrebbe essere stato immesso da chiunque abbia una chiave privata valida per l’emissione dei certificati Covid. La chiave privata, infatti, consente di firmare un certificato inserendovi qualunque valore o testo a piacere.

Il primo codice viene interpretato da Green Pass Decoder così:

{
	1:"CNAM",
	4:1697234400,
	6:1635199742,
	-260:{
		1:{
			"v":[
				{
					"ci":"URN:UVCI:01:FR:T5DWTJYS4ZR8#4",
					"co":"FR",
					"dn":2,
					"dt":"2021-10-01",
					"is":"CNAM",
					"ma":"ORG-100030215",
					"mp":"EU/1/20/1528",
					"sd":2,
					"tg":"840539006",
					"vp":"J07BX03"
				}
			],
			"dob":"1900-01-01",
			"nam":{
				"fn":"HITLER",
				"gn":"ADOLF",
				"fnt":"HITLER",
				"gnt":"ADOLF"
			},
			"ver":"1.3.0"
		}
	}
}

Il secondo codice viene letto da Green Pass Decoder come se fosse identico al primo, mentre il terzo viene decifrato come segue:

{
	4:1685101990,
	6:1635098906,
	1:"PL",
	-260:{
		1:{
			"v":[
				{
					"dn":1,
					"ma":"ORG-100001417",
					"vp":"J07BX03",
					"dt":"2021-07-11",
					"co":"PL",
					"ci":"URN:UVCI:01:PL:1/AF2AA5873FAF45DFA826B8A01237BDC4",
					"mp":"EU/1/20/1525",
					"is":"Centrum e-Zdrowia",
					"sd":1,
					"tg":"840539006"
				}
			],
			"nam":{
				"fnt":"HITLER",
				"fn":"Hitler",
				"gnt":"ADOLF",
				"gn":"Adolf"
			},
			"ver":"1.0.0",
			"dob":"1930-01-01"
		}
	}
}

Secondo queste info, dob è la data di nascita, fn è il cognome, gn è il nome, co è il paese di vaccinazione, dn è il numero di dosi ricevute, dt è la data di vaccinazione, is è l’ente che ha emesso il green pass, ma è il produttore del vaccino, mp è l’identificativo di prodotto del vaccino, sd è il numero totale di dosi, tg è la malattia coperta dal vaccino, vp indica vaccino o profilassi, ver è la versione dello schema, 4 indica la scadenza del codice e 6 indica la data di generazione del codice.

Su Raidforums c’è una discussione molto lunga e tecnica secondo la quale sembrerebbe che siano state trovate le chiavi private (o che siano state generate per forza bruta). Open ha indagato e dice che sembra che un utente polacco di Raidforums abbia creato un codice QR a nome di Hitler per dimostrare di essere in grado di farlo e offre il servizio a pagamento.

Se così fosse, chiunque potrebbe ottenere un green pass fraudolento e l’intero sistema sarebbe da buttare e rifare da capo (o almeno sarebbe necessario revocare tutte le chiavi private attuali e cambiarle) e in ogni caso il green pass avrebbe perso gran parte della sua credibilità presso l’opinione pubblica non esperta.

Stefano Zanero, docente di computer security e informatica forense al Politecnico di Milano, ha commentato pubblicamente in questo modo: “che si sia trattato di un leak o quantomeno di un abuso di chiavi di firma non è che sia discutibile, è abbastanza evidente.”

--- 

2021/10/27 1:25. VerificaC19 non riconosce più come validi i codici QR mostrati qui sopra, o perlomeno questo è quello che dice l’app sul mio telefono Android, mentre altre persone mi dicono che la loro app continua a ritenerli validi:

L’app svizzera CovidCheck, invece, li riconosce ancora validi. 

---

2021/10.27 9:20. Oggi alle 9 circa ho registrato questi due video che documentano la situazione a quel momento (il rumore che sentite nei video è prodotto dalla mia gatta MiniCalzini, che è sorda e quindi non sa quanto è rumorosa quando fa le fusa):

---

2021/10/27 12:10. Ansa parla di chiavi sottratte e dice che “le chiavi che sono state sottratte sono state annullate e, di conseguenza, sono stati invalidati tutti i green pass generati con quei codici.”

---

2021/10/27 13:00. Ne parla anche Il Post. Sembra ormai piuttosto chiaro, anche da alcune verifiche tecniche che mi sono arrivate confidenzialmente, che almeno la chiave privata francese e quella polacca usate per firmare questi codici QR sono state rubate o ottenute in qualche altro modo.

Intanto c’è anche un altro codice QR, stavolta intestato a Rokotepassieu (cognome) Ota Yhteyttä Wickr (nome) con data di nascita 06.12.1917. Dai commenti mi dicono che Rokote in finlandese vuol dire “vaccino”, quindi Rokotepassieu starebbe per “Passi Vaccino EU”, e Ota Yhteyttä Wickr dovrebbe voler dire “contattami su Wickr”). Viene tuttora riconosciuto come valido da CovidCheck ma non da VerificaC19 (perlomeno sul mio telefono Android):

---

2021/10/27 14:15. VerificaC19 ora non riconosce più come valido il mio green pass svizzero. La faccenda si fa personale.

---

2021/10/27 16:40. La vicenda è approdata anche in Svizzera (LaRegione; RSI.ch). Intanto  Insicurezzadigitale.com segnala un sito nel Dark Web (la parte di Internet accessibile via Tor) che venderebbe green pass falsi a partire da 250 euro.

𝗨𝗽𝗱𝗮𝘁𝗲 #𝗚𝗿𝗲𝗲𝗻𝗣𝗮𝘀𝘀 𝗳𝗮𝗹𝘀𝗶: creato un sito sotto #Tor per la vendita.
🔹 https://t.co/Gne0kqYkmk
Via, @nuke86 pic.twitter.com/eGf3hIdwO5

— Claudio (@sonoclaudio) October 27, 2021

Per chiunque fosse tentato di acquistarne uno sentendosi particolarmente furbo, ho due spunti di riflessione:

• Il primo è che se sei disposto a violare la legge e a pagare 250 euro per qualcosa che potresti avere gratis semplicemente vaccinandoti, sei il bersaglio perfetto per gli spennapolli che popolano il Dark Web.
• Il secondo è che se lo comperi, non illuderti che duri più di qualche ora: basta che un singolo agente di polizia o addetto alla sicurezza ne compri uno per sapere quale chiave privata è stata usata per generare i green pass falsi e revocare quella chiave e con essa tutti i green pass truffaldini. Ma i soldi che hai mandato ai truffatori non saranno altrettanto revocabili.
  

---

2021/10/27 20:40. Mi è stata segnalata da fonte confidenziale l’esistenza di un codice QR che viene riconosciuto come green pass valido, sia da VerificaC19 sia da Covid-Check, ed è intestato a Mickey Mouse, data di nascita 31 dicembre 2001. Eccolo.

---

2021/10/28 00:25. Mi è arrivata la segnalazione di un altro codice QR falso ma validato dall’app di verifica svizzera, stavolta a nome di Spongebob Squarepants, nato l’1/10/1900, vaccinato il 27 settembre 2021 nel Regno Unito, con Ministry of Health come emittente del certificato, tecnicamente valevole fino al 27 settembre 2022.

.@DavidPuente @disinformatico Greenpass a nome di Spongebob Squarepants. Generati da portale; questo screenshot viene da 4chan. Il pass é valido con VerificaC19 (28/10 01:11pm con update del 27 alle 11:43) pic.twitter.com/0XiKefUoNj

— Andrea Santaniello 🏴‍☠️ (@lupetto_) October 27, 2021

Sulla base di tutto questo, di questa analisi di Denys Vitali, di quest’altra analisi, del fatto che i green pass falsi sono apparentemente firmati dalle chiavi di numerosi paesi differenti e anche di alcune informazioni ricevute da fonti confidenziali, sembra che la spiegazione più plausibile (per ora, sottolineo, ipotetica) sia questa:

• alcuni membri di piccole organizzazioni sanitarie autorizzate a emettere i certificati Covid avrebbero deciso di abusare della fiducia concessa loro e della scarsità di controlli interni (logici e fisici) e quindi avrebbero creato questi codici QR falsi per burla o per soldi.
• Altri truffatori, nei forum online di criminali, avrebbero deciso di dire di poter generare green pass a pagamento e avrebbero usato questi green pass farlocchi come “dimostrazione” delle loro capacità. Gli allocchi pagherebbero e poi i truffatori scapperebbero coi soldi, senza consegnare il green pass promesso.

In tal caso, i  green pass corrispondenti sarebbero formalmente “veri”, nel senso che sarebbero stati emessi da persone autorizzate, e non ci sarebbe stata alcuna sottrazione massiccia di chiavi crittografiche private di paesi multipli o sfruttamento di qualche falla tecnica del sistema o (ancora più improbabile) bruteforcing per trovare queste chiavi. 

Quello degli addetti disonesti è insomma uno scenario che rispetta il Rasoio di Occam.

---

2021/10/28 11:25. Matteo Flora ha pubblicato un video nel quale mostra una tecnica che consentirebbe a quasi chiunque di generare un’anteprima del green pass, senza salvarla, potendo quindi creare codici QR validi ma falsi senza lasciarne traccia nel sistema. Questa sarebbe una falla procedurale davvero grossa, che ha parecchi indizi a supporto. Ecco il video:

---

2021/10/28 13:40. Sono stati trovati almeno sei punti di accesso al sistema di generazione delle anteprime dei green pass, lasciati stupidamente accessibili a chiunque. A questo punto è estremamente improbabile che siano state rubate chiavi crittografiche: i truffatori hanno semplicemente usato quello che gli addetti ai lavori hanno stupidamente lasciato in giro. Non c’è alcun bisogno di rubare chiavi, se la porta è aperta.

---

 Se scoprite altri dettagli, segnalatemeli nei commenti; aggiornerò questo articolo man mano che avrò informazioni più dettagliate e sicure.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

Il volo dei “turisti spaziali” di Inspiration 4 è stato presentato mediaticamente come un successo pieno, e in effetti tutto è andato molto bene se si considerano le complessità e difficoltà dell’impresa, ma dietro le quinte ci sono stati alcuni problemi un po’ particolari.

Secondo il resoconto pubblicato su Twitter dal giornalista specializzato Joey Roulette e dalla Associated Press, William Gerstenmaier (noto anche come Bill Gerst), ex direttore dei voli spaziali umani alla NASA e ora vicepresidente di SpaceX, ha dichiarato che il gabinetto della Crew Dragon, la capsula riutilizzabile dell’azienda, è stato riprogettato dopo i problemi che l’hanno colpito durante la missione Inspiration 4.

Un tubo che trasporta urina verso un contenitore si è rotto e staccato durante la missione e ha avuto delle perdite, dirette verso una ventola che ha spruzzato urina in un’area al di sotto del pavimento della capsula. Gerst dice che l’equipaggio non ha notato nulla durante il volo: il malfunzionamento ha interessato soltanto la sezione interna sotto il pavimento. 

La riprogettazione include un sistema completamente saldato, senza giunti che possano “scollarsi” come è avvenuto in questo caso.

SpaceX, preoccupata che lo stesso problema potesse manifestarsi nelle sue altre capsule, ha chiesto agli astronauti di usare un boroscopio (una telecamera di ispezione montata su un sottile cavo flessibile) per controllare la situazione della Crew Dragon attualmente attraccata alla Stazione Spaziale Internazionale. Gli astronauti hanno trovato la stessa contaminazione sotto il pavimento della capsula. La quantità è però minore perché gli astronauti attualmente in orbita sono rimasti nella capsula soltanto per un giorno, mentre l’equipaggio di Inspiration 4 si è trattenuto a bordo per tre giorni.

L’urina degli astronauti si mescola con un composto denominato Oxone (perossimonosolfato di potassio), usato per rimuovere l’ammoniaca dall’urina, e SpaceX temeva che questo potesse corrodere i componenti della capsula in caso di accumulo stagnante per mesi. Pertanto l’azienda ha svolto test molto estesi sulla Terra, comprese delle immersioni di pezzi in alluminio in una miscela di Oxone e urina, ponendo i pezzi per un periodo prolungato in una camera che imita le condizioni di umidità della Stazione.

SpaceX ha scoperto che la “crescita di corrosione” causata dall’Oxone “si autolimita nell’ambiente a bassa umidità a bordo della Stazione”. Per fortuna o intenzionalmente, prosegue Gerst, SpaceX aveva scelto una lega di alluminio molto insensibile alla corrosione. Gli studi proseguono con ulteriori esemplari ancora in camera di test.

La vicenda è un esempio perfetto di quanto è difficile viaggiare nello spazio, specialmente quando si trasporta un equipaggio umano, che è fragile, ha bisogno costante di alimentazione e sostentamento ed è intrinsecamente “sporco” perché la sua biologia è quella che è. Basta un niente, magari appunto una perdita in un tubo della toilette, per rovinare una missione. E se sei in rotta verso Marte non puoi tornare indietro a sistemare il guasto.

Gli ingegneri delle aziende aerospaziali sono bravi a far sembrare tutto facile, ma ogni tanto emergono storie come questa, che ci ricordano che mettere delle persone in cima ad alcune centinaia di tonnellate di propellente altamente infiammabile, scagliarle verso il vuoto pneumatico dello spazio a ventottomila chilometri l’ora, tenerle vive e farle tornare intere sulla Terra richiede dosi enormi di talento, metodo, disciplina e coraggio.

Questi sono i tweet originali di Joey Roulette:

SpaceX’s Bill Gerst says Crew Dragon’s toilet mechanics were redesigned after the toilet issues on the Inspiration4 mission. A tube that sends urine into a container broke off during the mission and leaked into a fan which sprayed the urine in an area beneath the capsule floor.

Gerst says the crew didn’t notice anything during flight; it only affected the internal section under the floor. Redesign involves a fully welded system with no joints that could come “unglued” like the faulty Inspiration4 system did.

SpaceX, concerned that the same toilet issues are plaguing its other vehicles, had astronauts use a borescope to investigate the Crew Dragon currently docked to the ISS. They confirmed SpaceX’s suspicions and indeed found similar contamination under the floor, Gerst said

Astronaut pee is mixed with a compound called Oxon, and SpaceX worried that might corrode hardware on Crew Dragon if pools around the system unchecked for months. So SpaceX did "extensive tests" on the ground that involved soaking aluminum parts in an Oxon-pee mixture

For "an extended period of time," the Oxon-pee-soaked aluminum parts were placed in a chamber that mimicked the humidity conditions on the ISS. SpaceX found "that corrosion growth" caused by Oxon pee "limits itself in the low-humidity environment onboard station."

typo correction - I’ve been told that the correct spelling of the ammonia-removing compound in the astronaut pee is oxone, not “oxon”

So anyway, Crew Dragon appears to be resilient to piss. Gerst: "Luckily, or, on purpose, we chose an aluminum alloy that is very insensitive to corrosion." The study is ongoing — "We got a couple more samples we'll pull out of the chamber"

This was a really good example of how a engineering problem was detected, studied and fixed. Gotta commend Gerst’s transparency here.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

Qualcuno ha una spiegazione plausibile per quest'improvvisa tripletta di fake news su Sole 24 Ore, Ansa e Fatto Quotidiano a proposito dell'atterraggio di Perseverance "oggi" (in realtà avvenuto a febbraio scorso)? 

A parte il rincitrullimento collettivo, intendo?

In realtà la sonda Perseverance è atterrata il 18 febbraio 2021. Qui non c’è ma e non c’è se, non è questione di opinioni: la notizia è falsa. Questo dimostra che i controlli sulle notizie pubblicate sono inesistenti. Ma ricordiamoci che le fake news sono colpa di Internet, mi raccomando :-)

Ho chiesto lumi alle rispettive redazioni: Sole 24 Ore, ANSA, Fatto Quotidiano.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

Il 3 settembre scorso ho fatto una chiacchierata pubblica a ruota libera, nell’ambito del CICAPFest tenutosi a Padova, sul tema dell’esplorazione spaziale e delle sue incertezze. Se vi interessa, c’è un video della chiacchierata: lo trovate qui sotto.

Purtroppo la qualità audio non è un granché, perché il sonoro non è stato preso dal mixer.

2021/12/30. L’audio diretto dal mixer, molto più pulito, è ora disponibile qui su Radio Cicap e qui su YouTube.

Ricordate la vicenda della Tesla Model S che ad aprile 2021 si era schiantata vicino a Houston mentre "nessuno era al volante", secondo la polizia e come scriveva Repubblica? Le due persone a bordo erano morte.

Ora la perizia tecnica del National Transportation Safety Board dimostra, sulla base dei dati recuperati dalla “scatola nera” di bordo, che c’era eccome una persona al posto di guida e che l’acceleratore era premuto praticamente a fondo (al 98,8%) e che la velocità massima registrata nei cinque secondi precedenti l’impatto è stata di 108 km/h.

Data from the module indicate that both the driver and the passenger seats were occupied, and that the seat belts were buckled when the EDR recorded the crash. The data also indicate that the driver was applying the accelerator in the time leading up to the crash; application of the accelerator pedal was found to be as high as 98.8 percent. The highest speed recorded by the EDR in the 5 seconds leading up to the crash was 67 mph.

L’Autopilot, insomma, avrà anche un nome discutibile, ma in questo caso proprio non c’entra nulla. Vediamo se i giornali che hanno pubblicato la notizia iniziale pubblicheranno la rettifica. Per ora l’articolo di Repubblica è ancora al suo posto, com’era sei mesi fa, senza alcuna menzione dei nuovi risultati della perizia. Ne salvo una copia permanente, non si sa mai che qualcuno scopra il ravvedimento operoso.

La mia indagine iniziale, con tutti i dettagli e la cronologia della vicenda, è qui.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

È disponibile subito il podcast di oggi de Il Disinformatico della Rete Tre della Radiotelevisione Svizzera, condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto). Questa puntata (la numero 700 da quando ho iniziato, nel 2006) è in versione Story, quella sperimentata quest’estate e dedicata all’approfondimento di un singolo argomento, che sarà il format standard dal 5 novembre prossimo.

Come consueto, i podcast del Disinformatico di Rete Tre sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano il testo e i link alle fonti della storia di oggi, sono qui sotto!

Nota: la parola CLIP nel testo che segue non è un segnaposto in attesa che io inserisca dei contenuti. Indica semplicemente che in quel punto del podcast c’è uno spezzone audio. Se volete sentirlo, ascoltate il podcast oppure guardate il video (se disponibile) che ho incluso nella trascrizione.

---

Credit: Naked Security.

[CLIP: (in sottofondo) Rumore di tastiera di computer degli anni 90]

È il 4 maggio 2000, un giovedì come tanti a Manila, nelle Filippine. Uno studente d’informatica, il ventiquattrenne Onel de Guzman, vuole collegarsi a Internet, come tante altre persone in tutto il mondo quel giorno.

Ma Onel non sa ancora che tra poche ore scatenerà il caos informatico planetario, causando danni per oltre dieci miliardi di dollari, travolgendo il Pentagono, la CIA, il Parlamento britannico e moltissime aziende multinazionali. Farà tutto questo usando un singolo computer e un messaggio d’amore ingannevole, che si propagherà via mail in decine di milioni di esemplari perché gli utenti non sapranno resistere alla curiosità di sapere cosa c’è dietro le tre parole di quel semplice messaggio scritto da Onel: I Love You.

Mentre preparo questo podcast, la Svizzera e molti paesi europei sono invasi da messaggi digitali che stuzzicano gli utenti allo stesso modo: sono SMS che dicono che c’è un messaggio vocale importante per loro. Chi non resiste alla tentazione, li apre e ne segue ciecamente le istruzioni finisce per farsi infettare lo smartphone e per farsi rubare il contenuto del proprio conto bancario.

Questa è la storia di quell’attacco informatico mondiale di oltre vent’anni fa e dei suoi paralleli con quello in corso attualmente. Gli anni passano, la tecnologia cambia, ma la leva più potente per scardinare le difese tecnologiche rimane sempre la stessa: la curiosità umana.

[SIGLA]

Torniamo a Manila e a quello studente d’informatica, Onel de Guzman. È squattrinato e le connessioni a Internet costano. Così ha un’idea: scrivere un worm, ossia un programma autoreplicante che rubi le password di accesso a Internet di altri utenti, così lui potrà collegarsi senza pagare.

Per creare questo worm, de Guzman sfrutta una delle scelte più fallimentari della storia dell’informatica: quella di nascondere automaticamente le cosiddette estensioni dei nomi dei file. Ogni file, infatti, ha un nome che è composto da una parte principale e da un’estensione: se scrivete un documento con Microsoft Word e lo chiamate Fattura, il suo nome completo sarà Fattura.docx. Docx è l’estensione. Il punto separa la parte principale del nome dalla sua estensione.

Questa estensione viene usata spesso dai dispositivi digitali per sapere come gestire un file: per esempio, se l’estensione è xls o xlsx, allora si tratta di un foglio di calcolo, che va aperto con Excel; se l’estensione è odt, è un documento di testo che va aperto con LibreOffice o OpenOffice; se l’estensione è mp3, è un brano musicale o un file audio, e così via.

Ma normalmente Windows nasconde le estensioni, appunto, e Onel lo sa bene. Così crea un worm che manda una mail che contiene un allegato il cui nome termina con .txt.vbs. In questo modo chi riceve l’allegato vede un file che ha apparentemente l’estensione txt, che identifica i file di testo normale, assolutamente innocui, ma in realtà il file è uno script, ossia un programma scritto in Visual Basic.

In altre parole, l’allegato sembra un documento perfettamente sicuro agli occhi della vittima, ma il computer della vittima lo interpreta come una serie di comandi da eseguire.

Non solo: Onel de Guzman approfitta anche di un altro errore monumentale presente in Microsoft Outlook a quell’epoca: Outlook esegue automaticamente gli script in Visual Basic che riceve in allegato se l’utente vi clicca sopra.

Queste due falle, concatenate, permettono a de Guzman di confezionare un attacco potentissimo: le vittime ricevono via mail quello che sembra essere un documento non pericoloso ma è in realtà un programma, lo aprono per sapere di cosa si tratta, e il loro computer esegue ciecamente quel programma. Il programma a quel punto si legge tutta la rubrica degli indirizzi di mail della vittima e la usa per mandare una copia di se stesso a tutti i contatti del malcapitato utente intanto che ruba le password di accesso a Internet.

L’effetto valanga che ne consegue è rafforzato dall’ingrediente finale scelto da Onel de Guzman: il nome dell’allegato l’oggetto della mail è I Love You, “ti amo” o “ti voglio bene” in inglese, scritto senza spazi.

Mettetevi nei panni delle vittime di questo attacco: ricevete una mail che vi invita a leggere una lettera d’amore. Questa lettera, oltretutto, proviene da qualcuno che conoscete. Riuscireste a resistere alla tentazione di aprirla?

Il risultato di questa tempesta perfetta di difetti informatici e di astuzia psicologica è un’ondata virale di messaggi che nel giro di poche ore intasa i computer di mezzo mondo, causando confusioni e congestioni a non finire, anche perché il virus informatico non si limita ad autoreplicarsi massicciamente, ma rinomina e cancella anche molti dei file presenti sui dischi rigidi delle vittime.

Vengono colpiti il settore finanziario di Hong Kong, il parlamento danese, quello britannico, la CIA, il Pentagono, la Ford e Microsoft stessa, paralizzate dall’enorme traffico di mail; lo stesso accade a quasi tutte le principali basi militari degli Stati Uniti. Le infezioni segnalate nel giro di dieci giorni sono oltre cinquanta milioni: circa il 10% del computer di tutto il mondo connessi a Internet. I danni e i costi di ripristino ammontano a decine di miliardi di dollari.

[CLIP: reporter di CTV che riferisce dei danni causati da Iloveyou (da 0:09 a 0:23)]

Eppure Onel de Guzman, con il suo worm Iloveyou, voleva soltanto procurarsi qualche password per connettersi a Internet senza pagare.

[CLIP: Suono di modem che si collega in dialup]

Quando si rende conto del disastro che ha involontariamente combinato, cerca di coprire le proprie tracce, ma è troppo tardi: nel giro di pochi giorni viene rintracciato dalle autorità.

Ma le leggi delle Filippine nel 2000 non includono i reati informatici e quindi de Guzman non è punibile, perché non ha commesso alcun reato.

Negli anni successivi il creatore accidentale di uno dei virus informatici più distruttivi della storia scomparirà dalla scena pubblica. A maggio del 2020 viene rintracciato da un giornalista, Geoff White, che scopre che Onel de Guzman lavora presso un negozietto di riparazione di telefonini a Manila. Ogni tanto qualcuno lo riconosce, ma lui mantiene un profilo basso ed evita ogni attenzione mediatica. Chissà se sa che nel 2002 i Pet Shop Boys hanno scritto una canzone, E-mail, che a giudicare dal testo, con quella richiesta di mandare una mail che dice "I love you", sembra proprio dedicata a lui.

---

Da quell’attacco informatico sferrato per povertà da uno studente oltre vent’anni fa sono cambiate molte cose. Le Filippine, come moltissimi altri stati, ora hanno leggi che puniscono severamente il furto di password e il danneggiamento dei sistemi informatici. Microsoft ha chiuso le falle tecniche che avevano permesso a Onel de Guzman e a molti altri suoi emuli di creare programmi ostili autoreplicanti.

Ma dopo molti anni senza ondate di virus informatici diffusi automaticamente via mail, in questi giorni è ricomparso un worm che usa esattamente le stesse tecniche sfruttate da Onel de Guzman e si sta diffondendo a moltissimi utenti di smartphone in un elevato numero di copie. Si chiama FluBot, e invece di usare la mail adopera gli SMS, ma a parte questo segue il medesimo copione.

La vittima di FluBot riceve un SMS il cui mittente è qualcuno che conosce e di cui quindi tende a fidarsi, proprio come capitava con Iloveyou. L’SMS contiene un invito a cliccare su un link per ascoltare un messaggio vocale, e siccome proviene da un suo contatto scatta la molla emotiva della curiosità, oggi come vent’anni fa. 

Il messaggio vocale, però, in realtà non esiste e il link porta invece a un avviso che dice che per ascoltare il messaggio la vittima deve installare un’app apposita non ufficiale che non si trova nei normali archivi di app. Questa app è il virus vero e proprio.

Se la vittima abbocca all’esca emotiva e la installa, FluBot prende il controllo dello smartphone e si mette in attesa. Quando la vittima usa il telefonino per una transazione bancaria, FluBot se ne accorge, ruba il nome utente e la password e intercetta l’SMS che contiene la password aggiuntiva temporanea necessaria per validare la transazione. Fatto questo, ha tutto il necessario per prendere il controllo del conto corrente della vittima e consegnarne il contenuto ai criminali informatici che gestiscono il virus.

Già che c’è, FluBot usa la rubrica telefonica della vittima per trovare nuovi bersagli, esattamente come faceva Iloveyou, e questo gli consente di propagarsi in modo esplosivo.

Rimuovere FluBot dal telefonino, inoltre, non è facile: non basta togliere l’app ma è necessario un riavvio in Safe Mode, una procedura che è meglio affidare a mani esperte.

C’è anche un altro parallelo con quell’attacco di due decenni fa: FluBot può colpire soltanto se l’utente clicca sul link presente nel messaggio, proprio come avveniva con lloveyou. Senza questo primo gesto, l’attacco fallisce.

FluBot e Iloveyou sono accomunati anche da un’altra peculiarità: funzionano soltanto su alcuni tipi specifici di dispositivi molto diffusi. Iloveyou poteva agire soltanto sui popolarissimi sistemi Windows 95 che usavano Outlook; non aveva alcun effetto sui computer MacOS o Linux. Allo stesso modo, oggi FluBot colpisce soltanto gli smartphone, e specificamente gli smartphone Android; non ha effetto sui telefonini non smart e sugli iPhone.

L’attacco di FluBot, quindi, ha effetto soltanto se si verifica una catena ben precisa di errori dell’utente:

1. la vittima si fida del messaggio di invito, pensando che provenga da un suo conoscente fidato;
2. clicca sul link presente nel messaggio; 
3. scarica e installa un’app non ufficiale senza chiedersi come mai non è presente negli App Store normali; 
4. e usa uno smartphone Android senza proteggerlo con un antivirus aggiornato. 

Se manca uno solo di questi anelli della catena, l’attacco fallisce.

Oggi come allora, insomma, difendersi dagli attacchi informatici più diffusi è soprattutto questione di emozioni, di psicologia più che di tecnologia. E siccome la psicologia umana non cambia e non si aggiorna, certe trappole funzionano sempre e continueranno a funzionare.

La differenza è che adesso le trappole psicologiche vengono usate dal crimine organizzato, mentre vent’anni fa Onel de Guzman era semplicemente uno smanettone che voleva usare Internet a scrocco. E la sua esca psicologica era altrettanto semplice: il bisogno universale umano di sentirsi amati da qualcuno. 

---

Informazioni su FluBot e istruzioni per riconoscerlo e rimuoverlo

Guida dell’operatore telefonico svizzero Salt (in italiano).

Descrizione tecnica dettagliata di FluBot (Switch.ch, in inglese).

Articolo di Le Temps.ch (in francese).

Avvertenza del Centro Nazionale per la Cibersicurezza svizzero (in italiano, giugno 2021).

Fonti aggiuntive: CNN, Sophos, AP Archive, Graham Cluley.