Febbraio, 2024

ALLERTA SPOILER: Questo è il testo di accompagnamento al podcast
Il Disinformatico della Radiotelevisione Svizzera che uscirà questo
venerdì presso
www.rsi.ch/ildisinformatico.

Le puntate del Disinformatico sono ascoltabili anche tramite
iTunes,
Google Podcasts,
Spotify
e
feed RSS.

—

[CLIP: Voci di YouTuber italiani (uno, due,
tre) che parlano
del Flipper Zero]

Se sfogliate YouTube noterete che moltissimi video parlano di questo strano
oggetto tascabile chiamato Flipper Zero e lo presentano come uno
strumento in grado di “hackerare tutto”, dalle auto ai semafori ai
cancelli elettrici. Pochi giorni fa il governo canadese ha
deciso
di vietarne l’importazione, la vendita e l’uso per combattere
“la piaga dei furti di auto”.

Beh, ho qui uno di questi Flipper Zero, l’ho provato e non è in alcun modo uno
strumento per rubare auto. Di certo non manipola i semafori, e anche la sua
capacità di scoprire password di Wi-Fi e aprire casseforti e porte di alberghi
è stata raccontata in modo… decisamente fantasioso. La realtà è molto
diversa e meno sensazionale. Ma allora perché non è più in vendita in molti
negozi online e il governo canadese lo vuole bandire?

Questa è la storia del Flipper Zero, ma più in generale è la storia del
conflitto fra chi difende il diritto di esplorare apertamente i limiti della
tecnologia per diffondere cultura e conoscenza, migliorare la sicurezza e
smascherare i venditori di soluzioni insicure, e chi vuole vietare tutto
perché ha paura di ogni oggetto tecnologico.

Benvenuti alla puntata del 16 febbraio 2024 del Disinformatico, il
podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie
strane dell’informatica. Io sono Paolo Attivissimo.

[SIGLA di apertura]

Flipper Zero, le cose da sapere

Vado spesso nelle scuole a fare lezioni di sicurezza e privacy informatica, e
in ogni classe c’è sempre qualche studente o studentessa che durante la
lezione nota e osserva con particolare interesse e fascino il telecomando che
tengo in mano e che uso per gestire la mia presentazione, e lo indica
emozionato ai propri compagni.

Fascino, interesse e emozione non sono parole che normalmente si associano a
un telecomando per computer, ma questo non è un telecomando qualsiasi: è un
Flipper Zero, un piccolo dispositivo elettronico multifunzione tascabile che,
perlomeno secondo quello che raccontano molti YouTuber, sarebbe una sorta di
vietatissimo grimaldello universale in grado di “hackerare” praticamente
qualunque cosa.

Vorrei subito rassicurare i genitori e i docenti che seguono questo podcast:
non vi preoccupate, non uso il mio Flipper Zero per violare i telefonini dei
vostri figli o studenti o per rubare la password del Wi-Fi. A scuola lo uso
semplicemente come telecomando per il mio computer, perché nonostante sia un
prodotto amatoriale è molto più stabile e affidabile dei normali telecomandi
commerciali e perché so che catturerà l’attenzione, e quell’attenzione mi
permetterà di comunicare meglio i concetti di sicurezza e privacy digitale che
sono chiamato a insegnare.

Flipper Zero è molto di più di un telecomando: è in grado di leggere,
duplicare e emulare i dispositivi RFID e NFC incorporati in molti oggetti
elettronici, dalle carte di credito alle tessere delle camere d’albergo, è
capace di leggere i microchip di identificazione degli animali e di ricevere e
registrare segnali radio, e può duplicare anche molte chiavi elettroniche
usate per aprire porte o gestire accessi. Ha un ricevitore e un emettitore a
infrarossi che gli permette di fare da telecomando universale e un
ricetrasmettitore Bluetooth per collegarsi senza fili ad altri dispositivi.
Inoltre è espandibile grazie a schede elettroniche esterne. 

In altre parole, è una specie di coltellino svizzero per informatici,
inventato da
Alex Kulagin e
Pavel Zhovner nel
2019, finanziato tramite una campagna su Kickstarter e basato su software
aperto, ossia open source, pubblicando anche i suoi schemi elettronici
per massima trasparenza. Con tutti i suoi sensori, ricevitori e trasmettitori
programmabili e la possibilità di collegare schede elettroniche esterne, è un
gioiello di versatilità per chiunque sia interessato a studiare il
funzionamento dei dispositivi informatici e le loro comunicazioni senza fili.

Non è un oggetto a buon mercato, visto che oggi costa intorno ai 160 franchi,
e soprattutto non è facile da trovare, anche perché molti grandi negozi online
si rifiutano di tenerlo in catalogo. Ad aprile 2023 Amazon ha
vietato
le vendite di Flipper Zero perché secondo l’azienda si tratterebbe di un
dispositivo in grado di clonare carte di credito e altre tessere. L’anno
scorso in Brasile le spedizioni di Flipper Zero sono state
bloccate
e sequestrate dall’agenzia nazionale per le telecomunicazioni, e ora in Canada
le autorità
vogliono bandire
questo dispositivo perché verrebbe “usato per commettere reati”.

In Svizzera non sembrano esserci problemi o restrizioni, almeno per ora, visto
che ho acquistato il mio esemplare tramite importazione standard.

Questo oggetto, insomma, viene considerato pericoloso da alcune autorità e
molti YouTuber mostrano come usarlo per aprire porte e addirittura comandare
semafori. Ma dal punto di vista tecnico tutta questa fama è in realtà una
bufala.

Capacità reali, video irreali

Le prodezze che vengono mostrate da tanti video su YouTube sono in realtà
frutto di montaggi o messinscene: Flipper Zero è stato progettato
appositamente in modo da non poter fare cose particolarmente pericolose. Per
esempio, non è fisicamente in grado di leggere i dati crittografici delle
carte di credito e quindi non può clonarle: può solo acquisirne per contatto
il numero e la data di scadenza, cosa che può fare qualunque persona
semplicemente guardando una carta di credito o appoggiandola contro
molti smartphone recenti. Lo stesso vale per i biglietti dei mezzi di
trasporto: può copiarli, ma non può generarli.

Flipper Zero non è in grado di comandare i semafori e la sua sezione a
infrarossi è semplicemente un telecomando universale per televisori e altri
apparecchi, come quelli acquistabili in qualunque negozio di elettronica.
Questo vuol dire che questo dispositivo tascabile può effettivamente accendere
e spegnere televisori, condizionatori, videoproiettori e altri dispositivi
elettronici e può cambiarne il canale o regolarne il volume, per esempio, ma
queste non sono certo dimostrazioni di chissà quale potere informatico: sono
cose che appunto chiunque può fare con un normale telecomando universale, che
nessuno considera pericoloso.

Le cose cambiano per la sua parte radio: questo dispositivo è in effetti in
grado di registrare i segnali degli apricancelli standard e ripeterli, e
questo significa che in teoria potrebbe essere usato per aprire un cancello
senza autorizzazione. Ma in pratica, oltre a tutti i problemi di legalità di
un atto del genere, usare un Flipper Zero in questo modo richiederebbe
l’accesso a uno dei telecomandi originali oppure una lunga sessione di
tentativi alla cieca fino a trovare il codice dello specifico apricancello.
Inoltre il suo asserito potere di trovare le password dei Wi-Fi funziona
soltanto se la password è una parola del dizionario, e se un malintenzionato
ha queste mire può semplicemente usare un normale personal computer sul quale
ha installato Wireshark o altri programmi analoghi. In altre parole, non ne
vale la pena.

Probabilmente la cosa peggiore che un Flipper Zero può realmente fare è
paralizzare gli iPhone
tramite un sovraccarico (o denial of service) del segnale
Bluetooth, ma solo nel caso degli iPhone che non sono stati aggiornati dai
loro proprietari, visto che Apple ha
rilasciato
un aggiornamento correttivo a dicembre 2023.

Anche la sua capacità di consentire i furti d’auto, come affermato dalle
autorità canadesi, è in realtà stata gonfiata dalle spettacolarizzazioni
pubblicate dai TikToker e dagli YouTuber per ottenere più ascolti. È vero che
un Flipper Zero può essere usato per memorizzare il segnale inviato dal
telecomando della chiave all’auto e quindi aprirne le portiere, ma questo
segnale cambia ogni volta, secondo il principio dei cosiddetti
rolling code. Di conseguenza, bisognerebbe procurarsi la chiave
originale dell’auto, azionarne il telecomando mentre la chiave è fuori dalla
portata radio dell’auto, registrare il segnale e il relativo codice usa e
getta con il Flipper Zero e poi usare questo dispositivo per trasmettere
all’auto il segnale registrato, e comunque non sarebbe possibile avviare
l’automobile.

Divertente e educativa, come dimostrazione, ma assolutamente inutile come
strumento per i ladri professionisti di auto, che infatti non usano affatto
apparecchi limitati come questo ma sfruttano dei ben più sofisticati
ripetitori radio: uno viene messo all’esterno della casa della vittima, ad
alcuni metri da dove si trovano presumibilmente le chiavi, ossia solitamente
nell’ingresso, vicino alla porta di casa; l’altro ripetitore radio viene
appoggiato all’auto, facendo quindi credere al veicolo che la chiave sia
vicina e quindi debbano aprirsi le portiere, come ho
raccontato
già sette anni fa in una puntata di questo podcast
[e in versione aggiornata anche nel 2022
qui].
Se volete ridurre il rischio di questo tipo di furto, non lasciate le chiavi
dell’auto nelle vicinanze della porta di casa.

L’accanimento canadese contro il Flipper Zero, insomma, è tecnicamente
infondato, frutto della poca conoscenza dell’argomento da parte dei governanti
e delle esagerazioni fatte da chi pubblica video sensazionali per fare soldi:
questo dispositivo è troppo limitato per fare danni reali. Ma allora, se è
troppo limitato, a cosa serve esattamente?

Imparare l’hacking

Il Flipper Zero è nato con lo scopo specifico di dare agli hobbisti e agli
appassionati uno strumento semplice e ragionevolmente economico per studiare
il modo in cui funzionano i sistemi di trasmissione di dati, sempre più
presenti nelle nostre vite, dagli RFID agli NFC al Bluetooth al Wi-Fi, e per
capire se i prodotti che acquistiamo sono realmente sicuri e ben progettati.

Se una tessera elettronica o una chiave di un’auto o una serratura elettronica
sono attaccabili con un dispositivo di base come un Flipper Zero, il problema
non è il Flipper Zero: è il fabbricante della tessera, auto o serratura, che
sta usando tecnologie obsolete e insicure, vecchie di venti e più anni nel
caso delle auto, e continua a farlo perché nessuno ha modo di accorgersene.

Smascherare questo approccio incosciente alla sicurezza è un gesto socialmente
utile, e impedire agli appassionati e agli studenti di imparare la vera
sicurezza rendendo difficile l’accesso a dispositivi come Flipper Zero non fa
altro che frenare i ricercatori di sicurezza informatica e le persone ben
intenzionate che vorrebbero diventare ricercatori di sicurezza, mentre i
malviventi continuano ad agire indisturbati usando tutt’altre apparecchiature.

Siamo insomma ancora una volta di fronte a un caso di quello che gli esperti
chiamano
security theater o “teatrino della sicurezza”: un problema preoccupa l’opinione pubblica, che
quindi chiede che la politica faccia qualcosa, e la politica risponde facendo
qualcosa, preferibilmente qualcosa di costoso e vistoso, che in realtà
non risolve affatto il problema ma dà l’impressione che qualcosa sia
stato fatto. Tutti sono soddisfatti, ma il problema rimane.

Se state pensando che questo modo di fare non si applica solo all’informatica,
avete perfettamente ragione. Il termine security theater fu infatti
coniato dall’esperto di sicurezza Bruce Schneier nel 2003, per il suo libro
Beyond Fear, non per questioni informatiche, ma per descrivere alcune
misure di sicurezza aeroportuale introdotte dopo gli attentati dell’11
settembre 2001. Ma questa è decisamente un’altra storia.

We’re launching the AI Cyber Defense Initiative to help transform cybersecurity and use AI to reverse the dynamic known as the “Defender’s Dilemma”

For 60 years, the Munich Security Conference has brought together world leaders, businesses, experts and civil society for frank discussions about strengthening and safe…