La versione del sottoscritto che vedete nella locandina è il mio clone più giovane, ma stasera ci sarò io, l’originale. Almeno credo. Vedremo :-)

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto) e qui sotto.

I podcast del Disinformatico sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano i testi e i link alle fonti di questa puntata, sono qui sotto.

• La guerra è sempre più informatica
• Un tentativo di phishing molto realistico su Twitter rivela le tecniche d’inganno usate dai truffatori. E una mia figuraccia
• Vent’anni di Bonsaikitten, fake news ante litteram

Questo articolo è disponibile anche in versione podcast audio.

Può sembrare cinico parlare di guerra informatica mentre cadono bombe tutt’altro che virtuali sull’Ucraìna, ma l’informatica, nel bene e nel male, sta avendo un peso senza precedenti in questo conflitto. Russia e Ucraina sono paesi tecnologicamente evoluti, con reti di telefonia cellulare e accessi a Internet capillarmente diffusi fra la popolazione, con social network e con servizi che dipendono dalle telecomunicazioni e in particolare da Internet e dal software per funzionare. Se qualcosa li compromette o li sfrutta in maniera inattesa, le conseguenze sono pesantissime.

La Russia lo sa bene. Il 23 dicembre 2015 un suo attacco informatico, uno di una lunga serie ai danni dell’Ucraina, riuscì a interrompere l’erogazione di energia elettrica a circa 230.000 persone per varie ore. Per prima cosa, le reti informatiche delle aziende elettriche furono penetrate usando delle mail contenenti un malware denominato BlackEnergy. Da lì furono presi di mira i sistemi di controllo industriali del tipo SCADA, comandandoli in modo che spegnessero le sottostazioni elettriche e si danneggiassero in maniera permanente, e furono cancellati i file presenti sui server delle aziende elettriche usando il malware KillDisk. Poi i call center di queste aziende furono sommersi di telefonate fasulle in modo da rendere impossibile agli utenti avere informazioni sul blackout. Alla fine l’attacco fece rimanere al buio anche gli addetti nei centri operativi delle aziende elettriche colpite.

Ma la guerra informatica si evolve. In questi giorni i computer ucraini che usano Microsoft Windows sono stati attaccati da un malware di tipo wiper, ossia il cui unico scopo è cancellare irreparabilmente tutti i dati che incontra, come era già successo nel 2017 con NotPetya, che aveva causato disastri a livello mondiale. Ma questo nuovo wiper, denominato FoxBlade, è stato identificato e bloccato molto rapidamente da Microsoft, che ha fornito un apposito aggiornamento del proprio antivirus, Defender, al governo ucraino già tre ore dopo aver scoperto l’attacco. 

Questo, però, vuol dire che Microsoft è intervenuta concretamente in un conflitto: da ottomila chilometri di distanza, e senza lanciare alcun missile intercontinentale, è arrivata in difesa di un paese aggredito, e lo ha fatto su una scala e con una rapidità che neppure un governo potrebbe eguagliare, perché nessun governo ha le risorse tecniche e infrastrutturali per far arrivare a milioni di computer un aggiornamento software che li metta al sicuro.

----

Microsoft non è l’unica grande azienda entrata in guerra: Google ha bloccato le modifiche a Google Maps in Ucraina, Russia e Bielorussia, e sta cancellando tutte le informazioni, le foto e i video geolocalizzati, riferiti a questi paesi, che sono stati aggiunti dal 24 febbraio scorso. Google ha anche disattivato le informazioni in tempo reale sul traffico in Google Maps per l’Ucraina, lasciandole a disposizione esclusivamente dei conducenti che si trovano sul posto. La ragione di questi blocchi, decisamente poco intuitiva, è il forte sospetto che i militari russi stiano usando queste informazioni di Google Maps per coordinare gli attacchi aerei sull’Ucraina, osservando dove si trovano le maggiori concentrazioni di abitanti (per esempio nei pressi dei rifugi) o le colonne di persone e veicoli in fuga, tracciabili tramite i loro smartphone. Anche Apple ha disabilitato i dati sul traffico su richiesta esplicita del vice primo ministro ucraino Fedorov.

Ebbene sì, il tracciamento commerciale di massa della localizzazione delle persone ha un valore militare estremamente reale. Lo ha dimostrato benissimo il fatto che Google Maps segnalava grandi “ingorghi” al confine russo con l’Ucraina nelle ore precedenti l’invasione: i dati non arrivavano dagli smartphone dei soldati russi, ma da quelli dei civili bloccati dalle colonne militari russe. 

Per esempio, il 23 febbraio scorso Jeffrey Lewis, professore presso il Middlebury Institute of International Studies in California, insieme ai suoi studenti aveva notato che il traffico era particolarmente caotico al confine ucraino, alle tre e un quarto del mattino locali, appena prima dell’inizio dell’invasione, e lo aveva segnalato su Twitter con parole profetiche: “Qualcuno si sta muovendo”.

According @googlemaps, there is a "traffic jam" at 3:15 in the morning on the road from Belgorod, Russia to the Ukrainian border. It starts *exactly* where we saw a Russian formation of armor and IFV/APCs show up yesterday.
Someone's on the move. pic.twitter.com/BYyc5YZsWL

— Dr. Jeffrey Lewis (@ArmsControlWonk) February 24, 2022

Questo è il potere dei metadati: quelli che disseminiamo continuamente tramite i nostri dispositivi digitali e che vengono raccolti massicciamente dalle grandi aziende informatiche, e sono in grado di rivelare i movimenti degli eserciti. Il professor Lewis è cauto e avvisa che il sistema non è infallibile, ma l’idea che Google Maps possa mettere sullo schermo di chiunque indicazioni degli spostamenti dei militari di un paese storicamente ossessionato dalla segretezza illustra chiaramente quanto è cambiata la guerra per via dell’informatica.

----

E a proposito di segretezza, questo nuovo conflitto cambia anche le regole della censura e della propaganda. In passato era tecnicamente possibile tenere una popolazione all’oscuro di quello che le stava realmente avvenendo intorno, perché i canali d’informazione locali erano centralizzati e controllabili (come lo è per esempio Yandex, uno dei motori di ricerca più usati in Russia, nelle cui pagine non compaiono notizie negative sul conflitto). Ma oggi ci sono mille modi informatici per eludere qualunque censura, persino in Russia.

Cito giusto un paio dei più originali: le notizie sul reale andamento del conflitto annidate nelle recensioni su Google Maps dei ristoranti delle città russe e i messaggi di colorita critica a Putin e favorevoli all’Ucraina vengono lasciati da ignoti hacker, che li fanno comparire sullo schermo delle colonnine di ricarica per auto elettriche a Mosca, che evidentemente sono aggiornabili via Internet e non sono ben protette.

Just checking random restaurants in Moscow on Google Maps gives these results #UkraineRussiaWar #UkraineInvasion #UkraineCrisis pic.twitter.com/miuy6H3vOT

— Carola Frediani (@carolafrediani) March 1, 2022

Forse l’evoluzione più inattesa di questa guerra è il fatto che oggi, a differenza del passato, è possibile fornire alla popolazione connessioni a Internet che scavalcano completamente i filtri e le barriere governative e permettono di restare in contatto con il mondo esterno anche se gli invasori controllano o distruggono l’infrastruttura di comunicazione.

StarLink, il sistema di comunicazione satellitare che Elon Musk sta costruendo in orbita intorno alla Terra, è stato messo a disposizione urgentemente del governo ucraino, in seguito a una richiesta fatta a Musk dal già citato vice primo ministro ucraino Fedorov con un semplice tweet pubblico. Non si sa bene come, due giorni dopo è arrivato in Ucraina oltre un centinaio di parabole ultracompatte, grazie alle quali è possibile connettersi direttamente a Internet via satellite.

Starlink service is now active in Ukraine. More terminals en route.

— Elon Musk (@elonmusk) February 26, 2022

Starlink — here. Thanks, @elonmusk pic.twitter.com/dZbaYqWYCf

— Mykhailo Fedorov (@FedorovMykhailo) February 28, 2022

Non è una soluzione perfetta: la rete StarLink non è ancora completata (sono operativi solo circa cento satelliti e altri 300 circa si stanno ancora posizionando in orbita) e per ora richiede che ci sia una stazione a terra nel raggio di circa 400 chilometri (ce n’è una in Polonia che forse potrebbe servire l’Ucraina occidentale). Soprattutto c’è il rischio che i segnali emessi da queste paraboline possano essere captati dai sistemi di sorveglianza elettronica militare russi e usati per individuare e colpire chi li usa. In ogni caso, i primi test indicano una velocità di connessione più che accettabile di oltre 200 megabit al secondo.

--- 

In questa raffica di novità tecnologiche della guerra informatica non poteva mancare l’intelligenza artificiale. Facebook e Twitter hanno segnalato e bloccato una campagna di disinformazione e di hacking ai danni dei giornalisti, del personale militare e dei funzionari pubblici locali in Ucraina. Questa campagna creava dei finti articolisti ucraini, che scrivevano notizie negative sul paese, e dava loro dei volti creati con l’intelligenza artificiale.

The Russian troll farm accounts used AI-generated faces to simulate identities for Ukrainian columnists, who tried to frame Ukraine as a failed state.

Here's one of them, Facebook confirmed. She doesn't really exist.https://t.co/eosBMFerl1 pic.twitter.com/RajszKsnec

— Ben Collins (@oneunderscore__) February 28, 2022

Le campagne di disinformazione provenienti dai canali russi, come RT, Sputnik e Ruptly hanno spinto Google a bloccare i loro canali YouTube in tutta Europa. Lo stesso stanno facendo Apple, Spotify, Facebook, TikTok e Microsoft in seguito all’annuncio della Commissione Europea di voler bandire dall’Unione Europea “la macchina mediatica del Cremlino”.

È un provvedimento che molti vedono come una forma di censura e contestano, dicendo che dovrebbero essere liberi di scegliere come informarsi, ma è un’obiezione che non tiene conto dell’altro protagonista informatico di questa guerra: gli algoritmi, specificamente quelli di YouTube e Facebook che fanno sì che se un utente comincia a guardare qualche video di RT o Sputnik gli verranno proposti altri video dello stesso tipo e della stessa fonte e alla fine si troverà sommerso dalla disinformazione senza che gli vengano suggeriti altri punti di vista.

Allo stesso tempo, però, questo blocco pone anche un problema giornalistico notevole: come fa un giornalista a documentare cosa viene effettivamente trasmesso su questi canali, se non li può vedere? In realtà sono perfettamente visibili, se ci si tiene: basta infatti usare un software di VPN che faccia sembrare che ci si trovi al di fuori dell’Europa. Ovviamente servono giornalisti in grado di usare una VPN e non solo capaci di cliccare sull’icona di YouTube, ma questa è un’altra storia.

---

Le armi informatiche in questo conflitto includono anche delle tecniche classiche, come il denial of service, ossia l’intasamento dei siti più significativi dell’avversario in modo da impedirne l’uso. Sono stati messi offline in questo modo numerosi siti, compreso quello del Cremlino, quello dell’agenzia spaziale Roscosmos e quello dell’agenzia di notizie russa TASS. Quest’ultimo è stato colpito anche con un defacement, ossia il suo contenuto è stato proprio alterato, facendo comparire un messaggio contro la guerra, visibile a qualunque cittadino russo che visitasse il sito. 

C’è anche il, come dire, denial of product: si sta continuamente allungando l’elenco di aziende del settore tecnologico e informatico che rifiutano di esportare i propri prodotti verso la Russia: Apple ha interrotto tutte le vendite dei propri prodotti nel paese, AMD, Intel, Dell, HP e Lenovo stanno facendo altrettanto, e colossi nei servizi informatici per le aziende come Oracle e SAP hanno sospeso le proprie attività nella Federazione Russa.

---

Basterà tutto questo a fermare la guerra, quella vera, fisica, dove la gente muore per davvero? È decisamente troppo presto per dirlo. Ma questa guerra sempre più digitale di certo ci mette di fronte a lezioni importanti, valide per qualunque paese informatizzato; lezioni che forse abbiamo cercato di non affrontare. Siamo tutti enormemente dipendenti dalla tecnologia e specificamente da un gruppo ristretto di aziende tecnologiche private, più potenti e ricche di interi stati, senza i cui fragili servizi si ferma tutto. Forse è il caso di riflettere sulla sensatezza di questa dipendenza dalla complicazione, partendo da uno spunto: la BBC ha deciso di potenziare i suoi servizi informativi via radio analogica in onde corte, in modo da poter far arrivare le notizie anche in Russia e in Ucraina a chiunque abbia una radio, come ai tempi della Cortina di Ferro. 

You can listen for updates on the Russia-Ukraine war on BBC World Service live online 📱 https://t.co/ZpQiRUoNHP

And the map shows our shortwave radio reach in #Ukraine
📻 15735 kHz 16:00 – 18:00 GMT +2
📻 5875 kHz 22:00 – 00:00 GMT +2 pic.twitter.com/q1wa2o3j4g

— BBC World Service (@bbcworldservice) March 2, 2022

Ma guardatevi intorno: ce l’avete ancora una radio che riceva non dico le onde corte, ma almeno le onde medie? I vostri figli, nati e cresciuti nell’era dello streaming via Internet e di Spotify, hanno idea di cosa siano le onde medie? Appunto.

Fonti aggiuntive: New York Times, BBC, The Verge, Snopes, ANSA, The Register, ANSA, Ars Technica, Electrek.

Credit: io, Mission-Patch e Natália Brondani

Ultimo aggiornamento: 2022/03/02 12:55.

Samantha Cristoforetti non avrà occasione di comandare la Stazione Spaziale Internazionale, contrariamente a quanto previsto inizialmente, ma per tutta la durata della sua permanenza a bordo avrà il ruolo di “lead” del segmento statunitense della Stazione, che include i moduli e i componenti statunitensi, europei, giapponesi e canadesi dell’avamposto orbitale. È lo stesso ruolo ricoperto da Paolo Nespoli nel suo primo volo di lunga durata nel 2011.

ESA ha infatti annunciato poco fa, molto concisamente, un accorciamento della sua missione, la Crew-4. Questo accorciamento implica che la missione terminerà prima dell’inizio della fase denominata Expedition 68a a ottobre 2022, che avrebbe visto Samantha nel ruolo di comandante della Stazione intera.

ESA dice che il cambiamento fa parte della “normale pianificazione dei veicoli”, ma sembra logico presumere che ci sia un nesso con l’attuale crisi dei rapporti con la Russia.

La sua partenza dal Kennedy Space Center insieme ai colleghi statunitensi Kjell Lindgren, Robert Hines e Jessica Watkins, a bordo di una capsula Crew Dragon portata da un vettore Falcon 9, entrambi di SpaceX, rimane prevista per il 15 aprile. 

Da sinistra: Robert Hines, Samantha Cristoforetti, Jessica Watkins e Kjell Lindgren. Foto JSC2022e011014, datata 7 febbraio 2022 (NASA su Flickr).

Questo è il testo integrale dell’annuncio di ESA:

In brief

In May 2021 it was announced that ESA astronaut and Dragon Crew-4 mission specialist Samantha Cristoforetti would serve as Commander of International Space Station (ISS) Expedition 68a. As part of normal vehicle scheduling, the Space Station flight programme was recently updated adjusting the upcoming crew rotation for Crew-4 and Crew-5, resulting in a shorter mission for Crew-4. ISS Expedition 68a will now take place after Samantha’s departure from the Station.

In-depth 

Throughout her time on board, Samantha will have the role of lead of the United States Orbital Segment (USOS), which includes the US, European, Japanese and Canadian modules and components of the Space Station.

L’Agenzia Spaziale Italiana ha pubblicato un comunicato più ampio che spiega meglio la situazione e include una dichiarazione dell’astronauta:

[...] Le opportunità di volo e i ruoli a bordo della Stazione spaziale internazionale vengono assegnati ai membri dell’equipaggio dal Multilateral Crew Operations Panel (MCOP), costituito dai rappresentanti di ESA, NASA, Roscosmos, l'Agenzia giapponese per l'esplorazione aerospaziale (JAXA) e l'Agenzia spaziale canadese (CSA). L'ESA è rappresentata dal Capo del Centro Astronauti Europeo Frank De Winne.

Secondo Frank De Winne, non è raro che il piano di volo venga modificato dato che il traffico della Stazione spaziale Internazionale deve essere attentamente coordinato in base alle esigenze operative. «Questo significa che Samantha Cristoforetti non sarà più comandante della Stazione spaziale internazionale, ma il Panel la conferma la sua fiducia in lei come leader. Continuerà a essere completamente addestrata per la posizione di comandante ed è inteso che, nel caso in cui il piano di volo dovesse tornare a quello iniziale, Samantha assumerebbe questo ruolo».

Samantha Cristoforetti commenta così il cambiamento di piani: «Come membri dell'equipaggio, siamo pronti a dare il nostro contributo come necessario. È un onore per me essere a capo dello USOS, e questo ruolo comprende la maggior parte dei compiti che avrei assunto come comandante. Riconosco tuttavia che molte persone in Europa, in particolare molte donne, hanno tratto ispirazione dalla prospettiva di avere la prima donna europea comandante dell'ISS. Mi rammarico che questo non accadrà durante la mia missione, ma stiamo selezionando una nuova classe di astronauti e astronaute e sono certa che questa comprenderà donne molto preparate e determinate che saranno pronte, in un futuro non così lontano, ad assumere ruoli di leadership».

Il Direttore dell'Esplorazione Umana e Robotica dell'ESA David Parker afferma che la nomina di Samantha Cristoforetti a capo dell'USOS è una conferma delle qualità che porta con sé sulla Stazione Spaziale.

«Come astronauta al secondo volo e leader competente, la conoscenza, l'atteggiamento sereno e la precedente esperienza di Samantha Cristoforetti in orbita sono una vera risorsa per l'equipaggio. È un'eccellente figura di riferimento per coloro che attualmente partecipano al processo di selezione degli astronauti dell'ESA, in particolare per le nostre candidate, che desiderano rappresentare l'Europa nello spazio».

Ultimo aggiornamento: 2022/03/14 13:15.

Di fronte alle morti, alle sofferenze e alla distruzione che stanno colpendo l’Ucraìna, parlare degli effetti dell’invasione russa sulle attività spaziali può sembrare insensibile o perlomeno secondario. Ma il dramma principale è ben documentato dal giornalismo generalista; l’aspetto spaziale molto meno, e qui forse posso dare un contributo.

Prima di tutto, non c’è alcun pericolo immediato di caduta della Stazione Spaziale Internazionale. È vero che Dmitri Rogozin, direttore dell’agenzia spaziale russa Roscosmos, ha pubblicato una serie delirante di tweet nei quali in sostanza ha minacciato di lasciare che la Stazione precipiti, visto che la sua stabilità orbitale dipende dalla sezione russa del complesso spaziale, e ha detto che tanto la Stazione non sorvola mai il territorio russo (è falso, e vi transita l’1,9% del tempo contro il 2,3% degli Stati Uniti, secondo i calcoli aggiornati dell’esperto Jonathan McDowell).

Ma Rogozin è noto da tempo, fra gli addetti ai lavori, per le sue sparate incoerenti, che ultimamente si sono alzate di tono. La sua risposta ai calcoli di McDowell è stata “2.8% of mostly deserted territory? OK))) But all your territory and the territory of your NATO allies looks great”. McDowell ha fatto notare che nel territorio “principalmente deserto” ci sono le città di Vladivostok e Volgograd. La questione è descritta in dettaglio in questo mio articolo.

Quello che conta è la realtà tecnica: la Stazione Spaziale Internazionale si trova a circa 400 km di quota, in orbita intorno alla Terra a circa 28.000 km/h, e a quella quota l’atmosfera terrestre è incredibilmente tenue ma esiste ancora, per cui la Stazione viene lentamente frenata dalla resistenza aerodinamica e di conseguenza perde lentamente quota. Periodicamente è necessario un reboost, ossia un’applicazione di un spinta per riaccelerarla e farle riprendere quota. Il grafico di queste variazioni di quota è disponibile per esempio presso Heavens Above.

Questa spinta viene solitamente applicata dai motori di manovra del modulo Zvezda, che fa parte della sezione russa della Stazione, oppure dai motori di una navetta Progress attraccata alla Stazione. In questo senso è corretto dire che il mantenimento della quota orbitale normalmente dipende dai russi. Tuttavia il reboost può essere effettuato anche da veicoli non russi. Lo ha fatto in passato il veicolo europeo ATV (ora non più operativo) e nel 2018 questa capacità è stata dimostrata sperimentalmente da un veicolo cargo Cygnus ed è poi diventata operativa di recente con un nuovo reboost.

Fra l’altro, la Cygnus viene messa in orbita da un vettore Antares, il cui primo stadio è costruito in Ucraina e ha motori russi, mentre il secondo stadio è statunitense e la Cygnus ha molti componenti strutturali europei (Scott Manley). Sventolii di bandiere a parte, le interdipendenze spaziali sono tante.

La situazione è leggermente più delicata per un altro tipo di manovra, ossia lo spostamento per evitare collisioni con detriti spaziali. Qui la dipendenza dai russi è più forte, ma se i rapporti di cooperazione dovessero davvero deteriorarsi fino a questo punto ci sarebbe la possibilità di utilizzare i motori di manovra delle capsule cargo Dragon o quelli delle capsule con equipaggio Crew Dragon. Ovviamente si tratterebbe di un’operazione nuova, da collaudare con estrema cautela, ma fattibile, e la NASA ha già dichiarato di aver esplorato concretamente questa ipotesi.

Per ora, comunque, in concreto non ci sono cambiamenti alla situazione di bordo. La Progress 79 russa ha effettuato regolarmente un reboost a fine febbraio. Sulla situazione personale a bordo bocche cucite: i due russi, Anton Shkaplerov e Pyotr Dubrov, i quattro statunitensi Mark Vande Hei, Kayla Barron, Raja Chari e Thomas Marshburn e l’europeo Matthias Maurer non commentano gli eventi. Kathy Lueders, associate administrator della NASA per le attività spaziali, ha detto che le operazioni della Stazione non sono cambiate: “Non stiamo ricevendo indicazioni, a livello operativo, che le nostre controparti non siano impegnate a continuare l’attività della Stazione... operiamo esattamente come operavamo tre settimane fa” (Spacenews).

Non ci sono indicazioni, al momento, di alcun cambiamento nel lancio dell’astronauta europea Samantha Cristoforetti insieme agli statunitensi Kjell Lindgren, Robert Hines e Jessica Watkins a bordo di una capsula Crew Dragon previsto per il 15 aprile (ma ESA ha annunciato poco fa un accorciamento della loro missione che implica che Samantha non diventerà comandante dell’intera Stazione ma solo lead del segmento non russo). Nessun cambiamento è annunciato anche per il lancio della Soyuz MS-21 russa da Baikonur con tre cosmonauti russi (Oleg Artemyev, Denis Matveev e Sergey Korsakov) verso la Stazione il 18 marzo e per il rientro di Shkaplerov e Dubrov il 28 marzo. Nessuna variazione è stata resa nota anche per il volo dell’equipaggio Axiom 1 (10 giorni sulla Stazione) previsto per il 28 marzo e per il rientro dell’equipaggio della Crew Dragon 3 il 21 aprile.

Forse la situazione più delicata è quella dello statunitense Mark Vande Hei, che in teoria dovrebbe rientrare sulla Terra insieme a Shkaplerov e Dubrov su un veicolo Soyuz russo (MS-19), atterrando in Kazakistan. Vande Hei e Dubrov avranno trascorso in tutto 355 giorni continuativi nello spazio.

Per contro, sembrano esserci problemi per quanto riguarda il braccio robotico europeo ERA che è installato a bordo del modulo russo Nauka della Stazione: le sanzioni internazionali potrebbero rendere impossibile la collaborazione russo-europea, rendendo problematica la manutenzione e l’evoluzione del modulo Nauka, che dipende in gran parte da questo braccio telecomandato.

---

Le cose vanno meno bene allo spazioporto europeo di Kourou, nella Guyana francese; i russi hanno deciso di richiamare il loro personale presente e di sospendere le attività del vettore Soyuz che avrebbe dovuto portare in orbita una coppia di satelliti di navigazione europei Galileo ad aprile.

Un altro atto concreto derivante dall’invasione russa dell’Ucraina è l’interruzione delle attività del telescopio a raggi X eRosita, che è tedesco, a bordo del satellite di ricerca scientifica russo Spektr-RG, situato a un milione e mezzo di chilometri dalla Terra.

Anche un’altra collaborazione europea con la Russia è ora fortemente compromessa: un vettore russo Proton avrebbe dovuto lanciare la missione robotica ExoMars verso Marte a settembre dal cosmodromo di Baikonur, e la sonda avrebbe dovuto usare un modulo russo, Kazachok, per l’atterraggio su Marte, ma l’Agenzia Spaziale Europea ha dichiarato che questo lancio è ora “molto improbabile”. Le leggi inesorabili della meccanica orbitale implicano che la missione dovrà aspettare altri due anni prima della prossima finestra di lancio.

Sul piano commerciale, inoltre, Rogozin ha dichiarato inizialmente che se la Russia non riceverà entro il 4 marzo prossimo garanzie che i satelliti commerciali per telecomunicazioni OneWeb non verranno usati per scopi militari, il loro lancio a bordo di un vettore Soyuz, previsto per il 5 marzo da Baikonur, non avverrà. Poi RIA Novosti ha scritto che Roscosmos ha chiesto anche il ritiro del governo britannico dall’azionariato di OneWeb.

Il problema di fondo, qui, è che il programma spaziale russo non può permettersi di perdere queste commesse. Rogozin può strillare finché vuole e annunciare improbabili fughe in avanti autarchiche, ma la realtà dei fatti è che la Russia non ha soldi per le missioni spaziali e per mantenere le infrastrutture necessarie per effettuarle. Se la politica impone a Roscosmos di sbattere la porta in faccia a tutti, l’agenzia spaziale russa e tutto lo storico apparato che ha contribuito così tanto alla storia dell’esplorazione spaziale rischiano di chiudere definitivamente.

---

2022/03/02 17.30. Roscosmos.ru è inaccessibile. Anonymous afferma di aver preso il controllo del centro di controllo dell’agenzia spaziale russa, ma non ci sono conferme. RIA Novosti parla di un attacco hacker al centro di controllo ma non conferma che abbia avuto successo.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

Ultimo aggiornamento: 2022/03/03 8:15. Questo articolo è disponibile anche in versione podcast audio.

Poche ore fa mi è arrivato su Twitter questo messaggio diretto:

Per qualche secondo mi sono allarmato, perché in effetti era possibile che io avessi commesso una violazione di copyright in qualche immagine che avevo postato, e l’account dal quale proveniva la segnalazione era davvero autenticato: cliccando sul suo bollino, infatti, compariva la normale informativa di Twitter sui motivi dell’autenticazione, che diceva che l’account dal quale mi era arrivata la segnalazione era “verificato poiché è considerato degno di nota nella categoria delle istituzioni, dell’attualità, dello spettacolo o di un altro settore specifico.”

Ma si trattava di una trappola ben costruita. Non era affatto un account tecnico di Twitter, nonostante fosse autenticato.

Il primo ingrediente di questa trappola era la psicologia. Il testo del messaggio era fatto su misura per creare ansia nel destinatario, tramite la minaccia di chiusura dell’account.

E confesso che ha funzionato. Nonostante io non sia -- come dire -- di primo pelo in fatto di sicurezza informatica, la mia mente non ha nemmeno fatto caso alle motivazioni dell’autenticazione: ha semplicemente registrato il fatto che l’account era autenticato. Non mi sono accorto che un account di supporto tecnico di Twitter non c’entrava nulla con “istituzioni”, “attualità” o “spettacolo”. Voi ci avete fatto caso? Ecco un esempio perfetto dei corti circuiti mentali che si instaurano quando si è agitati. I truffatori li conoscono benissimo e li sfruttano senza pietà. 

L’unico elemento che mi ha insospettito è stato il link a Google. Perché mai Twitter avrebbe dovuto appoggiarsi a Google per ospitare le pagine di richiesta di giustificazione?

Così mi sono fermato un momento a pensare e ho provato a controllare il nome dell’account del presunto Feedback Team di Twitter: non quello indicato da Twitter, ma quello presente nel link associato al messaggio: era https://twitter.com/reazlepuff. 

Decisamente non era un nome plausibile per un account tecnico di Twitter. Però era autenticato. Come era possibile che un truffatore avesse un account autenticato? 

Lo spavento che avevo preso, e la consapevolezza che la trappola ben congegnata avrebbe causato danni a tanti, mi ha fatto inviperire e quindi ho lasciato al truffatore un messaggio di risposta decisamente colorito ("F*** you, phishing ***hole", ma senza gli asterischi). 

Me ne sarei pentito poche ore dopo.

Lo scopo della trappola era il phishing, ossia il tentativo di rubare login e password. Me ne sono accordo quando ho visitato con molta cautela (cioè con un browser di una macchina virtuale) il link a Google indicato nel tweet del truffatore, ossia sites.google . com/view/case-02506828635-tw/ (copia permanente). Sullo schermo compariva quella che sembrava essere una pagina di login di Twitter, con tutta la grafica giusta e le diciture corrette, ma era in realtà gestita dal truffatore.

Chiunque avesse immesso il proprio nome utente e la propria password in questa pagina avrebbe inviato questi dati al ladro, dandogli tutto il necessario per prendere il controllo dell’account (salvo che avesse attivato l’autenticazione a due fattori, cosa che purtroppo molti utenti ancora non fanno).

Così ho segnalato subito a Twitter e a Google l’account truffaldino, rispettivamente tramite l’account @TwitterSafety e la pagina Safebrowsing.google.com.

@TwitterSafety The account @reazlepuff has been hacked and is now sending DMs that link to a phishing page on Google. Please fix this. pic.twitter.com/MIOWaKJBdy

— Paolo Attivissimo (@disinformatico) February 27, 2022

Restava il mistero di come avesse fatto il truffatore ad avere un account autenticato. 

Una possibile spiegazione era che si trattasse di un account che era stato rubato a una persona reale, che in precedenza si era fatta autenticare da Twitter, in modo da avere il bollino blu di garanzia. In questo caso non sarebbe stato il ladro a ingannare i servizi di autenticazione di Twitter: più semplicemente, il truffatore avrebbe ereditato l’autenticazione fatta regolarmente dalla sua vittima. Questa sarebbe stata tutto sommato una buona notizia, perché avrebbe significato che il sistema di autenticazione non era stato compromesso.

Ma se le cose erano andate così, chi era la vittima autenticata? L’autenticazione su Twitter non è facile da avere, per cui doveva trattarsi di una persona o di un ente di una certa fama. Il nome reazlepuff non sembrava fornire indizi. Mi ci è voluta una ricerca approfondita nel motore di ricerca interno di Twitter (twitter.com/search) per trovare non tanto i suoi tweet, perché il truffatore li aveva nascosti, ma i tweet delle persone che le avevano scritto prima del furto dell’account (con la query https://twitter.com/search?lang=it&q=(to%3Areazlepuff)&src=typed_query). Questa ricerca indiretta mi ha permesso di scoprire di chi si trattava. 

Ed è lì che è partito il mio imbarazzato pentimento.

In difesa di Reality Winner si erano schierate associazioni come la Electronic Frontier Foundation e la Freedom of the Press Foundation. La sua storia è raccontata qui da USA Today.

Sono riuscito a contattarla privatamente via Instagram, dove mi ha confermato di essere lei la titolare dell’account Twitter rubato e che stava cercando di riprenderne il controllo. L’autenticazione a due fattori non era stata violata.

È stato a quel punto che mi sono ricordato che avevo lasciato quel messaggio di insulti destinato al ladro, e mi sono reso conto che Reality Winner, una volta ripreso il controllo del proprio account, l’avrebbe letto e avrebbe pensato che fosse stato rivolto a lei. 

Insomma, le mie prime parole su Twitter a una nota whistleblower finita in prima pagina, a una persona che si era appena fatta cinque anni di carcere per difendere la libertà di stampa e fornire al pubblico informazioni politicamente vitali e che si stava da poco riaffacciando a Internet oltre che alla vita normale dopo cinque anni di sostanziale isolamento digitale, sarebbero state “F*** you".

Mi sono precipitato a tentare di cancellarle, ma Twitter non consente di eliminare i messaggi diretti. Così ho riscritto di corsa a Reality Winner via Instagram, scusandomi profondamente e avvisandola che ero io il colpevole della pessima accoglienza verbale che avrebbe trovato.

Per fortuna l’ha presa molto sportivamente e mi ha perdonato con garbo quando il suo account è stato ripristinato (e la pagina del truffatore ora viene segnalata molto vistosamente come pericolosa da Google, come mostrato qui sotto). Ma la mia figuraccia resta. Mi raccomando: non fidatevi dei messaggi di avviso, neanche se arrivano da account autenticati, e soprattutto imparate dalle mie gaffe.

L’invasione russa in Ucraina ha attivato una serie di sanzioni internazionali che riguardano molte aziende russe o legate alla Russia, e fra queste c’è anche il noto produttore di software di sicurezza Kaspersky. 

Mi stanno arrivando parecchie domande su cosa fare in particolare con gli antivirus di Kaspersky. La tesi che gira maggiormente è che siccome il fondatore e CEO, Eugene Kaspersky, è un ex membro del KGB, allora non ci si dovrebbe fidare dei prodotti della sua azienda. Inoltre si fa notare che il governo statunitense ha vietato già nel 2017 alle agenzie federali di usare software di Kaspersky.

È vero che Eugene Kaspersky ha studiato alla scuola del KGB e ci ha lavorato (Stefano Quintarelli), però temere che l'azienda annidi trappole pro-Russia nei suoi prodotti perché il suo CEO è un "ex KGB" suona un po' come dire "non mi fido dei consigli informatici di Edward Snowden, è un ex dell’NSA". Tantissimi dei migliori esperti del settore informatico sono passati dalle rispettive scuole tecniche militari.

Inoltre l'azienda non è composta solo dal suo CEO. Ci lavorano tecnici esperti di moltissimi paesi del mondo, e in seguito alle accuse statunitensi Kaspersky ha attivato una serie di Centri di trasparenza o Transparency Center che consentono ai partner fidati e agli enti governativi di esaminare il codice dei suoi prodotti. Uno di questi Centri di Trasparenza si trova a Zurigo.

Alcuni giorni fa Kaspersky Lab Italia ha inviato una lettera ai suoi clienti (di cui ho copia ma che non pubblico per tutela delle fonti), nella quale rassicura sui princìpi aziendali e sulle misure prese per mantenere la continuità operativa nonostante gli embargo verso la Russia. Queste misure comprendono i data center, che già da novembre 2018 sono stati gradualmente trasferiti in Svizzera e altri paesi. Resta da vedere se tutto questo basterà a convincere i clienti.

Come sempre in questi casi, bisognerebbe basarsi sulle prove, non sui sospetti. Ci sono prove? Bene, allora si può ragionare. Non ci sono prove? Allora forse è meglio evitare decisioni di pancia. Anche il divieto statunitense è stato emanato senza fornire alcuna prova concreta, e anche il Centro per la cibersicurezza britannico (NCSC) nota che non ci sono motivi robusti (“no compelling case at present”) per sconsigliare l’uso del software di Kaspersky.

Fabio Pietrosanti ha fatto un’inchiesta su Kaspersky (l’azienda): leggetela. Leggete anche l’articolo di Stefano Quintarelli su Il Post che nota che Kaspersky è certificata per l’uso in ambiti classificati, ma solleva “la questione dell’opportunità di una riflessione a lungo termine in merito a chi affidare la scansione di tutti i contenuti digitali (con antivirus ed altre tecnologie), in particolare di quelli ospitati nelle organizzazioni pubbliche e private che rientrano nel “perimetro cibernetico” italiano.” Ma sempre Quintarelli, nello stesso articolo del Post, nota anche che Kaspersky si occupa molto direttamente della sicurezza informatica delle infrastrutture governative russe.

Il problema, in effetti, è che un antivirus è un software che ha pieno accesso ai dati e al sistema operativo, per necessità, e quindi è indispensabile potersene fidare completamente.

Conviene insomma ragionare con calma per decidere se si vuole cambiare prodotto o no, quale prodotto scegliere e come fare bene una migrazione che non crei una vulnerabilità proprio in un momento delicato come questo. Le decisioni avventate raramente si sposano bene con la sicurezza informatica.

Nel passare a un prodotto alternativo, bisogna anche valutare quanta fiducia si può dare al paese dal quale proviene quel prodotto alternativo. Sarebbe ingenuo pensare che solo le aziende russe possano avere legami governativi scomodi. L’ente statunitense di sorveglianza NSA, per esempio, ha alterato di nascosto i router della Cisco, tanto per dire, e nel 2020 è emerso il caso della società Svizzera Crypto AG, che produceva dispositivi di cifratura venduti in tutto il mondo ma modificava quelli forniti ad alcuni paesi, in modo da consentire alla CIA e ai servizi segreti tedeschi di sorvegliare gli utenti di quei paesi.

In questa valutazione è opportuno considerare, per esempio, se il prodotto è open source e quindi liberamente ispezionabile. È più difficile annidare trappole in un prodotto open source che in uno a sorgente chiuso. 

[2022/03/13: l’esperto di sicurezza informatica Corrado Giustozzi, sul Corriere, descrive un modo elegante in cui un antivirus, pur essendo open source e completamente trasparente e anche ispezionato da autorità terze affidabili, può agire per conto di un aggressore: è sufficiente che i creatori dell’antivirus intenzionalmente non gli facciano rilevare il malware usato dall’aggressore. Una tecnica, aggiungo, già usata in passato da alcuni antivirus nei confronti di malware commerciale e forse anche malware governativo.] 

Infine non va dimenticato il contributo dei ricercatori di tutto il mondo che lavorano per Kaspersky Labs, che danno una mano importante da anni nella difesa contro il malware e pubblicano info preziose sui malware circolanti. Fra l’altro, la qualità del software antivirus di Kaspersky è ritenuta molto alta e superiore a molti prodotti alternativi come Norton o Trend Micro:

“Kaspersky’s malware scanner has been tested as recently as fall of 2020 by major testing labs. It performed extremely well, capturing 100% of zero-day malware and 100% of widespread malware, with fewer false positives than a close competitor Norton. SE Labs in London confirmed that this 100% record resulted from blocking the malware from being installed, rather than dismantling it once it had been installed. Only Trend Micro had a similarly perfect record, while top products like Norton and Microsoft allowed a few pieces of malware to be installed before neutralizing them.” (Cybernews).

C’è anche un altro aspetto pratico importante da considerare a proposito di Kaspersky: in caso di embargo sui prodotti russi potrebbero esserci problemi di supporto tecnico o di aggiornamento. E c’è anche la questione del messaggio politico di isolamento e di protesta che si potrebbe dare abbandonando un prodotto considerato “russo”. 

Non è una situazione facile, insomma. Ma in sintesi: se usate Kaspersky e vi sentite più tranquilli a cambiare prodotto di sicurezza, è perfettamente comprensibile. Però pensateci bene e pianificate altrettanto bene l’eventuale sostituzione.

---

Full disclosure: non uso prodotti Kaspersky, a parte un porta-carte di credito schermato che ho ricevuto in omaggio. Ma se essere contigui è indice di colpa, preciso che sì, una volta sono stato a pochi metri da Eugene. Insieme a Neil deGrasse Tyson, Oliver Stone e Larry King. Allo Starmus Festival, a Trondheim, nel 2017. Non ci siamo parlati :-)

---

2022/03/15 23:10. L’ente di sicurezza informatica governativo tedesco BSI (Bundesamt für Sicherheit in der Informationstechnik) ha pubblicato un avviso ufficiale (in tedesco) sull’uso dei prodotti Kaspersky, mettendo in guardia non solo a proposito di quello che potrebbero fare, ma anche di quello che potrebbero essere costretti a fare da altri. Il BSI ha anche pubblicato una FAQ apposita dedicata a Kaspersky e altre info sono su Der Spiegel, sempre in tedesco.

Kaspersky ha pubblicato una replica.

---

2022/03/16 6:45. Il CSIRT italiano ha pubblicato una raccomandazione sulle “implicazioni di sicurezza derivanti dall’utilizzo di tecnologie informatiche fornite da aziende legate alla Federazione Russa”. Non cita per nome Kaspersky, ma il senso è evidente. Consiglio di leggerla.

Fonti aggiuntive: SafetyDetectives, Wired UK.

Per tutti quelli che mi stanno segnalando la "notizia" delle "minacce" russe di far precipitare la Stazione Spaziale Internazionale: È UNA SCEMENZA. Una trollata di un fanfarone. Alla quale non bisognerebbe abboccare. Fine della questione. Non intendo regalarle altro tempo.

Se proprio volete dedicare il vostro tempo a questa minchiata, potete leggere le misurate parole di Adrian Fartade:

L’unica cosa che precipita, qui, è la qualità del giornalismo che abbocca a qualunque provocazione propagandistica e contribuisce a fare terrorismo mediatico spaventando i lettori con pericoli totalmente irrealistici.

Questo è il testo, con link, della seconda parte del mio podcast di questa settimana. Il testo della prima parte è invece qui.

Ho un aggiornamento sulla vicenda del ladro informatico che tenta di rubare i conti correnti alle vittime di cui vi ho parlato nella puntata precedente di questo podcast [e qui]. Riassunto veloce: qualcuno sta mandando moltissimi SMS a persone a caso, facendo sembrare che si tratti di messaggi provenienti da una banca. I messaggi contengono un link e un invito a cliccarvi su per verificare la propria situazione sul conto. Il link porta a un sito, gestito dal truffatore, che ha lo stesso aspetto del sito della banca presa di mira. Se la vittima cade nella trappola e vi immette i dati, regala le proprie credenziali al criminale.

Sembrava una vicenda classica di phishing, ma poi è emerso che il truffatore stava commettendo un errore tecnico madornale: il file nel quale registrava le login, le password e i dati delle carte di credito delle vittime era pubblicamente accessibile via Internet e quindi chiunque poteva leggerlo semplicemente conoscendone il nome (che è un nome assolutamente banale che si usa spessissimo in questi casi).

Questo mi ha permesso di contattare le vittime, molte delle quali immettevano nel sito del truffatore anche il proprio numero di telefonino, e così le ho allertate evitando il danno o perlomeno riducendo la portata del furto di credenziali.

Ma la vicenda non è finita: prima di tutto l’ufficio stampa della banca mi ha contattato per ringraziare delle segnalazioni e per avvisare che gli uffici interni della banca stessa sono stati allertati in modo che possano prendere le contromisure necessarie e fare le segnalazioni opportune. Questo proteggerà meglio i clienti e conferma che segnalare questi tentativi di furto non è inutile ma è anzi apprezzato.

In secondo luogo, è emerso che questo errore grossolano non è successo una sola volta, ma fa parte di una serie.

Non è chiaro se si tratti dello stesso ladro pasticcione che ripete l’errore in tutti i siti che crea o se si tratti di un kit standard per creare frodi bancarie che contiene questo difetto. Ma di fatto ci sono numerosissimi siti-truffa che hanno lo stesso schema colabrodo. Questo è bene, perché così è possibile avvisare le vittime.

In attesa che i ladri imbranati vengano assicurati alla giustizia o perlomeno neutralizzati, ognuno di noi può dare una mano a contrastarli. Ecco come.

La prima cosa da fare è, ovviamente, non abboccare a questi falsi allarmi e avvisare parenti, colleghi e amici di questo tipo di trappola. Non bisogna mai, mai, mai cliccare sui link presenti in questi messaggi.

La seconda cosa da fare è segnalarli a Google, presso Safebrowsing.google.com, cliccando su Report phish. In Svizzera si può inviare una segnalazione anche ad Antiphishing.ch per allertare il Centro nazionale per la cibersicurezza della Confederazione. In Italia si può inviare una segnalazione allo sportello online della Polizia Postale e delle Comunicazioni. Più in generale, si può segnalare il sito-trappola ad Antiphishing.org. Inoltre molti antivirus per telefonini avvisano l’utente se tenta di visitare un sito che finge di essere una banca e in molti casi bloccano direttamente l’accesso al sito in questione.

Se siete utenti più esperti, potete poi usare il comando whois in una finestra di terminale per sapere chi è il responsabile tecnico del server di hosting che ospita il sito dei truffatori e mandargli una mail di segnalazione, preferibilmente in inglese [qualcosa del tipo “Please note that you're hosting a phishing site that is stealing credentials from victims”, seguito dal link del sito]. Molti di questi responsabili non sono al corrente di tutto quello che succede sui loro server: non sono complici ma vittime, per cui ricevono volentieri segnalazioni che evitino un loro coinvolgimento in frodi bancarie. 

[Per esempio, ho trovato il sito di phishing mostrato qui sopra in hosting su Tripulante.mx. Così ho fatto un whois per scoprire che indirizzo di mail hanno i responsabili tecnici, amministrativi e di abuse di Tripulante.mx: il record whois punta (stranamente) direttamente a tech-iana chiocciola nic.mx, adm-iana chiocciola nic.mx e abuse chiocciola nic.mx. Ho mandato loro una mail con la segnalazione dell’URL di phishing e ho ricevuto conferma dell’apertura di un ticket al quale verrà data risposta entro 24 ore. Al momento in cui scrivo, però, l’URL è ancora attivo, anche se si sta riempiendo di credenziali farlocche immesse da utenti consapevoli del raggiro.

[Un’altra mia segnalazione, invece, è andata a buon fine. Il sito isp-info-intesa-com.preview-domain punto com ospitava una pagina di phishing che simulava Banca Intesa San Paolo:

Anche in questo caso ho usato whois per trovare la mail dell’abuse (abuse chiocciola hostinger punto com) e ho mandato una mail di segnalazione. Lo stesso è successo anche per un altro sito di phishing, aggiornadati2022 punto com.]

Se tutto questo vi sembra troppo complicato, per voi o per qualcuno che conoscete, ricordate soltanto la regola fondamentale: nessuna banca seria vi manderà mai un messaggino di allarme chiedendovi di cliccare su un link per avere maggiori informazioni. Quindi qualunque messaggio che faccia queste cose va semplicemente cestinato. E se è troppo tardi e avete immesso i vostri dati confidenziali nel sito dei truffatori, non perdete tempo e bloccate immediatamente il vostro conto corrente e la relativa carta di credito, chiamando direttamente la vostra banca o andandoci di persona. Non usate Internet.

Io, intanto, proseguo in buona compagnia il pedinamento dei ladri pasticcioni.

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto e condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto) e qui sotto.

I podcast del Disinformatico sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano il testo e i link alle fonti di questa puntata, sono qui sotto.

---

Sto pedinando digitalmente una donna per le vie di Lugano. La vedo mentre va a trovare un’amica, ha un incontro di lavoro, si ferma davanti ai negozi, entra in un centro commerciale e prende l’autobus per tornare a casa. La seguo comodamente, tramite un’apposita app sul mio smartphone, fino al suo indirizzo di abitazione. La cosa più strana è che i passanti mi stanno dando una mano a pedinarla, e neanche lo sanno.

Niente paura: la donna in questione è mia moglie e si è offerta volontaria per un test degli AirTag, i localizzatori elettronici di Apple, piccoli come bottoni, basati sulla tecnologia Bluetooth già usata per gli auricolari e per tanti altri accessori per smartphone, tablet e computer. Si attaccano per esempio alle chiavi di casa o a qualunque oggetto che si tema di perdere e permettono di ritrovarlo in caso di smarrimento. 

Non sono i primi localizzatori del genere sul mercato, ma gli AirTag hanno una caratteristica molto particolare: funzionano a grandi distanze, anche fuori dalla normale portata del Bluetooth, che è di qualche decina di metri, perché si appoggiano a tutti i telefonini Apple che si trovino nelle vicinanze. Lo fanno anche altri localizzatori di altre marche, come per esempio gli SmartTag di Samsung, ma nessun concorrente può contare su un numero così elevato di smartphone degli utenti, che diventano sensori inconsapevoli di una rete di tracciamento vastissima e capillare.

Finché un AirTag è a pochi metri dal suo proprietario, comunica direttamente usando i segnali radio del suo piccolo trasmettitore Bluetooth e gli può anche indicare in che esatta direzione e a che distanza si trova. Ma questo trasmettitore è intenzionalmente molto debole, per far durare a lungo la batteria incorporata. Così Apple usa una tecnica ingegnosa per estendere il raggio d’azione del suo localizzatore: qualunque iPhone che passi nelle vicinanze di qualunque AirTag e abbia il Bluetooth attivo riceve automaticamente il segnale identificativo di quell’AirTag e lo inoltra via Internet ad Apple. Se avete un iPhone, fate parte della rete di rilevamento degli AirTag e magari non lo sapete nemmeno.

[CLIP da Il Cavaliere Oscuro]

Lucius Fox: Hai trasformato ogni cellulare di Gotham in un microfono spia.

Batman: E in un generatore ricevitore ad alta frequenza.

Lucius Fox: Lei ha preso il mio concetto di sonar e lo ha applicato a tutti i telefoni della città. Con mezza città che le dà segnali, può tracciare la mappa di Gotham.

Per tutelare la privacy, il segnale di ogni AirTag ha una chiave digitale che è nota soltanto al localizzatore stesso e al proprietario, e i dati che vengono trasmessi sono ulteriormente mascherati tramite hashing. In parole povere, un passante il cui iPhone riceva   il segnale Bluetooth di un AirTag non può sapere a chi appartiene quel localizzatore o altre informazioni: si limita a ricevere gli impulsi radio e a inoltrare automaticamente i dati ricevuti, che non può decifrare. Ci sono anche vari altri strati di protezione digitale che permettono, in sostanza, soltanto al legittimo proprietario di un AirTag di ricevere informazioni da quell’AirTag.

Ma di fatto, praticamente tutti gli iPhone in circolazione sono sensori della rete di tracciamento di Apple. Questo è incredibilmente utile quando si tratta di ritrovare le proprie chiavi smarrite, o di localizzare la propria valigia in aeroporto magari mentre qualcuno la sta portando via per errore al posto della propria identica o la sta proprio rubando. Ma cosa succede se qualcuno decide di usare questo potere per pedinare una persona senza il suo consenso? È già accaduto: per esempio, negli Stati Uniti la modella Brooks Nader ha raccontato di aver trovato un AirTag non suo nella tasca del proprio cappotto dopo aver visitato un bar di Manhattan, e non è l’unico caso del suo genere.

Questi localizzatori, facilissimi da configurare, estremamente piccoli e discreti, poco costosi, con una durata che si misura in mesi e una portata enorme, possono essere annidati facilmente: in una tasca di un indumento, in uno zaino di scuola, in una cucitura di un cappotto, nelle pieghe della carrozzeria di un’automobile. Il loro design ultraminimalista non li identifica vistosamente come dei dispositivi di tracciamento. Sembrano, effettivamente, dei grossi bottoni bianchi. Si apre insomma l’era dello stalking digitale di massa, a portata dell’utente comune. Non occorre nessuna conoscenza tecnica.

----

Ovviamente Apple, come gli altri produttori di dispositivi analoghi, si è resa conto del rischio di abusi e ha integrato negli AirTag una serie di limitazioni apposite. 

Per esempio, qualunque AirTag che si allontani a lungo dal proprietario e rilevi di essere in movimento farà suonare un cicalino, per cui una vittima di stalking potrebbe udire questo avviso acustico e accorgersi di avere un localizzatore addosso. Ma dai primi test sembra che “a lungo” significhi fino a 24 ore, per cui c’è tempo in abbondanza per un pedinamento quotidiano, per esempio di una persona convivente. Inoltre il cicalino può essere difficile da udire se l’AirTag è sepolto sul fondo di una borsetta o applicato a un’automobile. E inevitabilmente è nato anche un mercato di AirTag modificati, nel quale il cicalino è completamente silenziato.

Apple ha predisposto anche un’altra misura antipedinamento: un AirTag che sia lontano dal proprietario e si muova insieme a voi farà comparire un avviso sul vostro telefonino, ma soltanto se avete un iPhone. Se avete uno smartphone di qualunque altra marca, niente avviso.

Chi ha uno smartphone Android può installare un’app di nome Tracker Detect, disponibile nel Play Store di Google, che permette di cercare manualmente eventuali AirTag indesiderati e indurli a produrre un avviso acustico (sempre che non siano stati modificati). Ci sono anche altre app che fanno una scansione generica di qualunque dispositivo Bluetooth, come LightBlue e BLE Scanner per iPhone o BLE Scanner e Bluetooth Scanner per Android. Anche Samsung offre un’app analoga, SmartThings, per i propri dispositivi di localizzazione [Android; iOS]. Ma in ogni caso si tratta di un procedimento macchinoso e manuale, che l’utente deve fare appositamente e periodicamente.

Chi trova un AirTag sconosciuto può inoltre appoggiarlo contro il proprio smartphone di qualunque marca (basta che sia dotato di sensore NFC) e riceverà un link che rivelerà il numero seriale e le tre cifre finali del numero di telefono del proprietario del localizzatore. Lo stesso link informerà anche su come disabilitare un AirTag trovato: in sostanza, spiegherà come si toglie la sua batteria.

Attenzione, però , ai falsi allarmi: alcuni utenti di iPhone hanno segnalato che il loro smartphone avvisava di aver rilevato un accessorio sconosciuto e quindi hanno temuto che si trattasse di un AirTag abusivo. In realtà l’avviso veniva prodotto da alcuni modelli di cuffie senza filo. Va chiarito anche che la localizzazione remota funziona bene soltanto se ci sono degli iPhone nelle immediate vicinanze. Se siete da soli in aperta campagna o su una strada poco battuta, gli AirTag non potranno comunicare la vostra presenza.

Se temete che qualcuno vi stia tracciando, insomma, queste app sono un aiuto, ma conviene abbinarne l’uso alla tecnica classica manuale di frugare nelle proprie borse, negli indumenti e in qualunque altro luogo in cui un malintenzionato potrebbe nascondere un localizzatore.

Da parte sua, Apple sta aggiornando iOS in modo che chi configura un AirTag riceva un avviso molto chiaro del fatto che usare questo dispositivo per tracciare le persone senza il loro consenso è un reato in molte regioni del mondo e del fatto che il dispositivo è progettato per essere rilevato da eventuali vittime e per consentire alle forze dell’ordine di richiedere informazioni che consentano di identificare il proprietario dell’AirTag. L’azienda dice di aver già collaborato con la polizia in diverse occasioni per rintracciare chi aveva piazzato abusivamente degli AirTag. È confortante, ma è anche una conferma del fatto che il problema è reale.

---

Una dimostrazione positiva della potenza di questi dispositivi di tracciamento è arrivata dalla Germania, dove la ricercatrice di sicurezza e attivista informatica berlinese Lilith Wittmann ha usato gli AirTag per dimostrare che un’agenzia governativa tedesca è in realtà una copertura di un’attività di spionaggio. Ha spedito per posta dei plichi contenenti questi localizzatori e ne ha tracciato il percorso, scoprendo che venivano reinviati a strutture usate dai servizi di intelligence tedeschi. Il tracciamento ha funzionato sfruttando presumibilmente gli iPhone degli stessi addetti dell’intelligence. Chi si occupa di sicurezza dovrà ora fare i conti anche con questo aspetto delle tecnologie commerciali.

---

I ricercatori di sicurezza, infatti, si sono lanciati sugli AirTag per studiarli e capire come ottimizzare le loro funzioni positive e indebolire quelle negative. L’Università di Darmstadt ha già messo gratuitamente a disposizione AirGuard, un’app disponibile nello store ufficiale di Android che per certi versi è più potente delle app fornite da Apple, perché fa una scansione periodica automatica alla ricerca di AirTag e simili. Se trova ripetutamente lo stesso dispositivo di tracciamento, l’app avvisa l’utente. Se usate quest’app, tutte le informazioni di localizzazione restano nel vostro telefonino. Se nessuno vi sta tracciando, l’app vi lascia in pace, restando vigile.

È indubbio che avere un dispositivo economico che permette di trovare i propri oggetti smarriti sia utile: la sfida tecnologica è trovare il modo di consentire questo potere senza allo stesso tempo rendere troppo facile un abuso. La soluzione perfetta è ancora tutta da trovare: nel frattempo, qualche aiuto tecnologico c’è, ma come sempre è indispensabile affidarsi anche al buon senso pratico. Ogni tanto vuotate la borsa, lo zaino e il cassetto dell’auto: magari troverete cose che credevate perse per sempre.

E se vi siete persi qualcuno dei nomi delle app citate in questo podcast, non c’è bisogno di un AirTag per recuperarli: trovate il testo integrale, con i link alle singole app, sul mio blog Disinformatico.info.

[il testo della seconda parte del podcast è qui]

Fonti aggiuntive: Sophos, Gizmodo, New York Times, Gizmodo, Engadget.