Febbraio, 2024

È disponibile subito il podcast di oggi de
Il Disinformatico
della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto:
lo trovate
qui sul sito della RSI
(si apre in una finestra/scheda separata) e lo potete scaricare
qui.

Le puntate del Disinformatico sono ascoltabili anche tramite
iTunes,
Google Podcasts,
Spotify
e
feed RSS.

—

[CLIP: Rumore di spazzolino elettronico in uso]

Tre milioni di spazzolini da denti elettronici hackerati e usati per sferrare
un attacco informatico a un’azienda svizzera: lo hanno scritto molte testate
giornalistiche, anche specializzate, ma è una bufala. Come mai ci sono cascati
in tanti? Ed è plausibile un attacco del genere?

Circola anche la notizia di un altro attacco informatico in odor di bufala:
l’ufficio di Hong Kong di una multinazionale avrebbe ricevuto una
videochiamata in cui numerosi dipendenti e il direttore finanziario erano in
realtà impostori digitali realizzati in diretta, che hanno dato istruzioni ai
colleghi reali di fare dei bonifici urgenti un po’ speciali. Ed è così che
hanno preso il volo circa 25 milioni di dollari. Mancano i riscontri, ma
questo tipo di attacco è tecnicamente plausibile e potrebbe colpire qualunque
azienda, per cui è meglio sapere che perlomeno esiste.

E infine una novità tutta in italiano per la difesa contro i bullismi, i
ricatti e le estorsioni di chi minaccia di diffondere foto intime di qualcuno,
specialmente se minore: esiste un modo facile e gratuito per segnalare alle
piattaforme online una foto o un video intimi senza dovergliene mandare una
copia.

Benvenuti alla puntata del 9 febbraio 2024 del Disinformatico, il
podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie
strane dell’informatica. Io sono Paolo Attivissimo.

[SIGLA di apertura]

Antibufala: attacco informatico con gli spazzolini da denti

Nei giorni scorsi moltissime testate giornalistiche nazionali e internazionali
hanno diffuso ampiamente la notizia di un attacco informatico effettuato
tramite tre milioni di spazzolini da denti elettronici ai danni di un’impresa
elvetica, dichiarando per esempio che
“Quello che sembra uno scenario da film hollywoodiano è realmente
accaduto”
e che il sito dell’impresa è crollato sotto l’attacco ed è rimasto
“paralizzato per quattro ore”; i danni ammonterebbero a
“milioni di franchi” (Swissinfo). Gli spazzolini in questione sarebbero stati infettati con del malware Java
installato da criminali e sarebbero stati indotti a visitare in massa e
ripetutamente il sito dell’azienda presa di mira, creando un DDOS o
distributed denial of service. Ma la storia è una bufala, e nessun
attacco del genere è mai avvenuto.

La notizia falsa è stata pubblicata dalla Aargauer Zeitung e dai
giornali ad essa associati (Luzerner Zeitung,
copia d’archivio) in una intervista a un dirigente della filiale svizzera di Fortinet, una
società statunitense specializzata in sicurezza informatica, molto nota nel
settore. In realtà l’attacco informatico tramite spazzolini da denti è uno
scenario ipotetico, come ha chiarito successivamente Fortinet,
dichiarando che è stata fatta confusione fra scenari reali e scenari
immaginati.

La bufala si è diffusa ed è diventata virale perché la storia aveva tutti gli
ingredienti giusti per essere giornalisticamente accattivante: riguardava un
oggetto familiare usato in maniera insolita, evocava una paura molto diffusa,
quella degli attacchi informatici, e citava un numero sensazionale e facile da
ricordare e da mettere in un titolo. Era così intrigante che anche molte
testate semispecialistiche del settore informatico l’hanno pubblicata dandola
per buona e fidandosi della fonte apparente, che sembrava essere Fortinet,
mentre gli esperti esprimevano pubblicamente forti dubbi sulla credibilità
tecnica dello scenario raccontato ma venivano puntualmente ignorati.

Allarme rientrato, insomma: non buttate via il vostro spazzolino da denti
elettronico per paura che sia stato “hackerato” da malviventi. Nessuna azienda
svizzera è stata paralizzata da un’orda di spazzolini e la notizia è, ripeto,
una bufala.

Ma potrebbe accadere davvero una cosa del genere? Quasi sicuramente no. Gli
spazzolini da denti elettronici non si connettono direttamente a Internet ma
si collegano solo agli smartphone, tramite Bluetooth, per cui uno spazzolino
in sé, anche se “hackerato” installandogli del software malevolo, non potrebbe
visitare un sito Web e quindi non sarebbe possibile paralizzare un sito
facendolo visitare a ripetizione da milioni di spazzolini da denti.

Infettare informaticamente uno spazzolino elettronico, invece, è plausibile.
Proprio Fortinet, già quasi dieci anni fa, ha dimostrato come era possibile
“hackerare” uno di questi oggetti tramite la sua app di controllo, ma gli
effetti dell’attacco si limitavano a spegnere e accendere lo spazzolino, farlo
andare più velocemente o disattivarlo. Si tratta insomma di esperimenti
puramente dimostrativi, che mettono in luce un principio tecnico generale che
purtroppo non è una bufala: molti dei dispositivi che colleghiamo a Internet
non hanno protezioni adeguate contro gli attacchi informatici, oppure le hanno
ma gli utenti non le attivano, e quindi è davvero possibile infettarli in
massa e usarli per attaccare un sito.

Non è teoria: è già successo, per esempio nel 2019, quando il malware
denominato Mirai è
riuscito a infettare milioni di dispositivi connessi a Internet, dalle
stampanti alle telecamere di sicurezza ai dispositivi di monitoraggio per
neonati, sfruttando il fatto che moltissimi utenti lasciavano attive le loro
password predefinite, che sono pubblicate nei manuali, e questo malware ha
ordinato a questi dispositivi di visitare tutti contemporaneamente uno
specifico sito Internet, paralizzandolo. Ma si trattava di dispositivi
connessi direttamente a Internet, non di spazzolini, i cui dati passano
attraverso uno smartphone, e comunque i criminali informatici oggi hanno a
disposizione metodi di attacco ben più efficaci ed efficienti di un’infezione
di massa di spazzolini smart.

Questa vicenda degli spazzolini, insomma, è fasulla ed è un caso da manuale di
passaparola giornalistico in cui tutti citano tutti e nessuno controlla perché
la storia è troppo accattivante, ma è comunque un buon pretesto per fare
l’inventario dei nostri oggetti digitali e controllare che siano aggiornati e
che la loro password per collegarsi a Internet non sia ancora quella
predefinita dal costruttore, magari una simpatica e attaccabilissima sequenza
“1234”.

Deepfake in diretta usati per rubare 25 milioni di dollari? Forse

In questi giorni sta circolando anche un’altra notizia sensazionale a
proposito di un attacco informatico, e anche qui ci sono dubbi su come siano
andate le cose realmente. La testata giornalistica
South China Morning Post ha segnalato
che l’ufficio di Hong Kong di un’azienda multinazionale, di cui non viene
fatto il nome, sarebbe stato raggirato per circa 25 milioni di dollari con un
inganno molto sofisticato.

Gli aggressori, secondo la testata, hanno creato una copia digitale, animata
in tempo reale, delle sembianze e della voce del direttore finanziario
dell’azienda e di altri dipendenti e l’hanno usata durante una videoconferenza
di gruppo, nella quale questi impostori digitali hanno dato istruzioni di
pagamento speciali a uno o più dipendenti.

I truffatori sono riusciti a creare queste copie fedeli e realistiche di
queste persone usando come fonte i video e le registrazioni audio
pubblicamente disponibili che le ritraggono e usando appositi software per
fare in modo che ogni gesto e parola dei truffatori venisse convertito
istantaneamente in un gesto o in una parola di questi cloni digitali.

Sempre secondo la testata giornalistica, la polizia di Hong Kong sta indagando
sul caso e per questo il nome dell’azienda non è stato reso pubblico. Uno dei
dipendenti che ha effettuato i pagamenti, ben 15 bonifici su cinque conti
bancari differenti a Hong Kong, ha avuto qualche dubbio sulla richiesta di
provvedere a questi versamenti, ma la presenza in video e in voce di quelli
che sembravano essere il direttore finanziario e altri dipendenti lo ha
indotto a fidarsi.

A differenza dell’attacco informatico tramite spazzolini da denti, questa
notizia non ha nulla di tecnicamente implausibile. Esistono da tempo software
pubblicamente disponibili, come SwapFace,
DeepFaceLive e
Swapstream, che sono in grado di sostituire in tempo reale il volto di una
persona con quello di un altro con una qualità sufficiente a ingannare la
maggior parte delle persone, specialmente durante le videochiamate, quando la
risoluzione del video è spesso molto limitata. Inoltre una
ricerca
recente indica che gli attacchi di questo genere sono aumentati di oltre sette
volte nella seconda metà del 2023 rispetto al semestre precedente e vengono
usati per ingannare i sistemi di verifica online dell’identità usati da molti
servizi di pagamento e di commercio.

Chiaramente, a prescindere dall’autenticità o meno di questa notizia, non ci
si può più fidare di un video o di una voce, neppure in diretta, per
autenticare la persona che si ha davanti sullo schermo. Servono altri metodi,
come per esempio frasi di sicurezza concordate, oppure domande alle quali solo
la persona vera è in grado di rispondere, oppure ancora chiavi crittografiche
personali, da scambiare durante un incontro faccia a faccia per potersi poi
autenticare in seguito nelle videochiamate. E ovviamente serve personale
addestrato, che sia stato informato che esiste il rischio che le persone che
vede muoversi e parlare sullo schermo potrebbero essere sintetiche.

Fonte aggiuntiva:
Ars Technica.

Meta, nuovi strumenti contro la sextortion

Una foto intima che finisce in mani ostili è sempre un dramma, specialmente
nel caso di minori. Ci si trova ricattati o minacciati da criminali
sconosciuti o da ex partner sentimentali e non si sa a chi rivolgersi per
risolvere il problema. Adesso c’è un aiuto in più contro questo reato, ossia
contro la cosiddetta sextortion: esiste un modo semplice, discreto e
gratuito, ora anche in lingua italiana, per segnalare ai principali social
network una propria foto intima che si teme possa essere messa in circolazione
da qualcuno.

Questo aiuto è offerto da Meta, la società che coordina Facebook, Instagram,
Threads e WhatsApp
[comunicato stampa]; lo avevo
preannunciato
in una puntata precedente di questo podcast, circa un anno fa, e da pochi
giorni è finalmente disponibile appunto anche in italiano oltre che in una
ventina di altre lingue. Il sito al quale rivolgersi si chiama
Take It Down, ossia “rimuovila o rimuovilo“, ed è raggiungibile presso
takeitdown.ncmec.org.

Il servizio funziona in maniera molto pratica, risolvendo una delle
preoccupazioni principali di chi si trova in questa situazione: di solito ci
si aspetta che il primo passo per ottenere la rimozione da Internet di una
foto o di un video di natura intima sia inviare una copia di quella foto o di
quel video alle autorità, e questo causa comprensibilmente disagio e
imbarazzo.

Ma Take It Down lavora in un altro modo: le immagini e i video non lasciano
mai il dispositivo della vittima e non vengono mai trasmessi a nessuno. Il
servizio, infatti, assegna una sorta di impronta digitale unica, chiamata
valore hash, a ciascuna immagine e ciascun video selezionato dalla
vittima, e le piattaforme online possono utilizzare e disseminare questo
valore hash per riconoscere quell’immagine o video se circola sui loro
servizi, quindi Threads, Facebook e Instagram, e anche sui siti partecipanti,
che al momento sono Onlyfans, Pornhub, TikTok, Yubo, Snap, Clips4sale e
Redgifs.

Questa assegnazione viene fatta eseguendo un programma apposito sul
dispositivo della vittima, ossia di solito sul suo telefonino, quindi senza
che nessuno veda o riceva le immagini. L’unica informazione che lascia il
telefonino è un codice numerico (il valore hash, appunto) dal quale non è
possibile ricostruire l’immagine o il video. Massima discrezione, insomma.

In pratica il servizio di aiuto funziona così: la vittima visita il sito
takeitdown.ncmec.org usando un dispositivo sul quale ci sono le
immagini che vuole far rimuovere. Lì trova la parola cliccabile Inizia;
cliccandoci sopra viene chiesto se la richiesta riguarda immagini di minorenni
o di maggiorenni, visto che per i maggiorenni c’è un servizio separato,
chiamato StopNCII.org, che funziona allo
stesso modo. Fatto questo si può cliccare su
Selezionate le foto/i video.

Meta ha inoltre attivato anche in italiano una
pagina apposita
con le istruzioni su come segnalare minacce e condivisioni di immagini intime
senza autorizzazione e con informazioni sulle misure prese da Meta per
avvisare i minori quando un account potenzialmente sospetto tenta di seguirli
o di interagire con loro.

Si spera sempre che questi servizi non siano necessari, ma se ci si trova nei
guai è bello sapere che c’è una soluzione.

Fonte aggiuntiva:
TechCrunch.

We are supporting the European Parliamentary Elections by surfacing high-quality information to voters, safeguarding our platforms from abuse and equipping campaigns wit…