Podcast RSI – No, i telefonini non esplodono spontaneamente

Visualizzazioni: 136
Un frammento di uno dei cercapersone esplosi. Fonte: Al Jazeera.

Ultimo aggiornamento: 2024/09/22 19:00.

Questo è il testo della puntata del 20 settembre 2024 del podcast Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto. Il testo include anche i link alle fonti di questa puntata.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, YouTube Music, Spotify e feed RSS.

Il podcast si prenderà una pausa la settimana prossima e tornerà il 4 ottobre.


[CLIP: audio di esplosione e di panico]

Migliaia di dispositivi elettronici sono esplosi improvvisamente nel corso di due giorni in Libano e in Siria, uccidendo decine di persone e ferendone almeno tremila. Inizialmente si è sparsa la voce che si trattasse di un “attacco hacker”, come hanno scritto anche alcune testate giornalistiche [Il Fatto Quotidiano], facendo pensare a un’azione puramente informatica in grado di colpire teoricamente qualunque dispositivo ovunque nel mondo facendone esplodere la batteria attraverso un particolare comando inviato via radio o via Internet.

Non è così, ma resta il dubbio legittimo: sarebbe possibile un attacco del genere?

Questa è la storia di una tecnica di aggressione chiamata supply chain attack, che in questi giorni si è manifestata in maniera terribilmente cruenta ma è usata da tempo da criminali e governi per mettere a segno sabotaggi, estorsioni e operazioni di sorveglianza.

Benvenuti alla puntata del 20 settembre 2024 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.

[SIGLA di apertura]


Il 17 settembre scorso il Libano e la Siria sono stati scossi dalle esplosioni quasi simultanee di migliaia di cercapersone, che hanno ucciso decine di persone e ne hanno ferite oltre duemila. Il giorno successivo sono esplosi centinaia di walkie-talkie, causando la morte di almeno altre venti persone e il ferimento di alcune centinaia.

Queste due raffiche di esplosioni hanno seminato il panico e la confusione nella popolazione locale, presa dal timore che qualunque dispositivo elettronico dotato di batteria, dal computer portatile alle fotocamere allo smartphone, potesse esplodere improvvisamente. Sui social network si è diffusa la diceria che stessero esplodendo anche gli impianti a pannelli solari, le normali radio e le batterie delle automobili a carburante, ma non c’è stata alcuna conferma [BBC]. All’aeroporto di Beirut è scattato il divieto di portare a bordo degli aerei qualunque walkie-talkie o cercapersone [BBC].

Nelle ore successive è emerso che non si è trattato di un “attacco hacker” in senso stretto: non è bastato che qualcuno mandasse un comando a un dispositivo per innescare l’esplosione della sua batteria. I cercapersone e i walkie-talkie esplosi erano stati sabotati fisicamente, introducendo al loro interno delle piccole ma micidiali cariche esplosive, successivamente fatte detonare inviando un comando via radio, con l’intento di colpire i membri di Hezbollah che usavano questi dispositivi.

In altre parole, non c’è nessun pericolo che qualcuno possa far esplodere un telefonino, un rasoio elettrico, una fotocamera, uno spazzolino da denti elettronico, un computer portatile, delle cuffie wireless, un tablet, un’automobile elettrica o qualunque altro dispositivo dotato di batteria semplicemente inviandogli un comando o un segnale particolare o infettandolo con un’app ostile di qualche tipo. Per questo genere di attacco, il dispositivo deve essere stato modificato fisicamente e appositamente.

È importante però non confondere esplosione con incendio. Le batterie dei dispositivi elettronici possono in effetti incendiarsi se vengono danneggiate o caricate in modo scorretto. Ma gli eventi tragici di questi giorni non hanno affatto le caratteristiche di una batteria che prende fuoco, perché le esplosioni sono state improvvise e violente, delle vere e proprie detonazioni tipiche di una reazione chimica estremamente rapida, mentre l’incendio di una batteria è un fenomeno veloce ma non istantaneo, che rilascia molta energia termica ma lo fa in modo graduale, non di colpo.

Cosa più importante, non esiste alcun modo per innescare l’incendio di una batteria di un normale dispositivo attraverso ipotetiche app o ipotetici comandi ostili. Anche immaginando un malware capace di alterare il funzionamento del caricabatterie o dei circuiti di gestione della carica e scarica della batteria, la batteria stessa normalmente ha delle protezioni fisiche contro la scarica improvvisa o la carica eccessiva. Chi si è preoccupato all’idea che degli hacker sarebbero capaci di trasformare i telefonini in bombe con un semplice comando può insomma tranquillizzarsi, soprattutto se si trova lontano dalle situazioni di conflitto.

C’è però da capire come sia stato possibile un sabotaggio così sofisticato, e in questo senso l’informatica ci può dare una mano, perché non è la prima volta che si verifica quello che in gergo si chiama un supply chain attack, o attacco alla catena di approvvigionamento, anche se quella di questi giorni è una sua forma particolarmente cruenta.


Un supply chain attack è un attacco, fisico o informatico, a un elemento della catena di approvvigionamento di un avversario. Invece di attaccare i carri armati del nemico, per esempio, si colpiscono i loro depositi di carburante o le loro fabbriche di componenti. In campo informatico, invece di attaccare direttamente l’azienda bersaglio, che è troppo ben difesa, si prende di mira un suo fornitore meno attento alla sicurezza e lo si usa come cavallo di Troia per aggirare le difese entrando dall’accesso riservato ai fornitori, per così dire. Anzi, si potrebbe dire che proprio il celebre cavallo di Troia fu il primo caso, sia pure mitologico, di supply chain attack, visto che i troiani si fidarono decisamente troppo del loro fornitore.

Un esempio tipico, concreto e moderno di questa tecnica di attacco risale al 2008, quando le forze di polizia europee smascherarono un’organizzazione criminale dedita alle frodi tramite carte di credito che rubava i dati dei clienti usando dei dispositivi non tracciabili inseriti nei lettori delle carte di credito fabbricati in Cina. Questo aveva permesso ai criminali di effettuare prelievi e acquisti multipli per circa 100 milioni di dollari complessivi.

Nel 2013 la catena statunitense di grandi magazzini Target si vide sottrarre i dati delle carte di credito di circa 40 milioni di utenti, grazie a del malware installato nei sistemi di pagamento POS. Nonostante Target avesse investito cifre molto importanti nel monitoraggio continuo della propria rete informatica, l’attacco fu messo a segno tramite i codici di accesso rubati a un suo fornitore in apparenza slegato dagli acquisti: una ditta della Pennsylvania che faceva impianti di condizionamento.

Le modifiche apportate fisicamente di nascosto ai dispositivi forniti da terzi non sono un’esclusiva dei criminali. Grazie alle rivelazioni di Edward Snowden, per esempio, sappiamo che l’NSA statunitense [Ars Technica] ha intercettato server, router e altri apparati per reti informatiche mentre venivano spediti ai rispettivi acquirenti che voleva mettere sotto sorveglianza, li ha rimossi accuratamente dagli imballaggi, vi ha installato del software nascosto (più precisamente del firmware, ossia il software di base del dispositivo) e poi li ha reimballati, ripristinando tutti i sigilli di sicurezza, prima di reimmetterli nella filiera di spedizione.

Altri esempi di attacco alla catena di approvvigionamento sono Stuxnet, un malware che nel 2010 danneggiò seriamente il programma nucleare iraniano prendendo di mira il software degli apparati di controllo di una specifica azienda europea, usati nelle centrifughe di raffinazione del materiale nucleare in Iran, e NotPetya, un virus che nel 2017 fu inserito negli aggiornamenti di un programma di contabilità molto diffuso in Ucraina. I clienti scaricarono fiduciosamente gli aggiornamenti e si ritrovarono con i computer bloccati, i dati completamente cifrati e una richiesta di riscatto.

C’è anche un caso di supply chain attack che ci tocca molto da vicino, ed è quello della Crypto AG [sintesi su Disinformatico.info], l’azienda svizzera che per decenni ha venduto ai governi e alle forze armate di numerosi paesi del mondo degli apparati di crittografia molto sofisticati, che però a seconda del paese di destinazione venivano a volte alterati segretamente in modo da consentire ai servizi segreti statunitensi e tedeschi di decrittare facilmente le comunicazioni cifrate diplomatiche, governative e militari di quei paesi. In questo caso l’attacco proveniva direttamente dall’interno dell’azienda, ma il principio non cambia: il bersaglio veniva attaccato non frontalmente, ma attraverso uno dei fornitori di cui si fidava.


Difendersi da questo tipo di attacchi non è facile, perché spesso il committente non conosce bene il fornitore, e a sua volta quel fornitore deve conoscere bene i propri fornitori, perché non è la prima volta che un governo o un’organizzazione criminale costituiscono ditte fittizie e si piazzano sul mercato offrendo prodotti o servizi di cui il bersaglio ha bisogno.

Gli esperti raccomandano di ridurre al minimo indispensabile il numero dei fornitori, di visitarli spesso per verificare che siano autentici e non delle semplici scatole cinesi di copertura, di instillare in ogni fornitore, anche nel più secondario, una cultura della sicurezza che invece spesso manca completamente, e di adottare hardware e software che incorporino direttamente delle funzioni di verifica e di sicurezza contro le manomissioni. Ma per la maggior parte delle organizzazioni tutto questo ha costi insostenibili, e così gli attacchi alla catena di approvvigionamento prosperano e, secondo i dati delle società di sicurezza informatica, sono in costante aumento.

Lo schema di questi attacchi ha tre caratteristiche particolari che lo distinguono da altri tipi di attacco: la prima caratteristica è la necessità di disporre di risorse tecniche e logistiche enormi. Nel caso di cui si parla in questi giorni, per esempio, chi lo ha eseguito ha dovuto identificare marche e modelli usati dai membri di Hezbollah, infiltrarsi tra i fornitori fidati o intercettarne le spedizioni in modo invisibile, e progettare, testare e costruire le versioni modificate di migliaia di esemplari dei dispositivi, appoggiandosi a sua volta a fornitori di competenze tecnologiche ed esplosivistiche e di componenti elettronici che fossero capaci di mantenere il segreto.

La seconda caratteristica è invece più sottile. In aggiunta al tremendo bilancio di vite umane, impossibile da trascurare, questi attacchi hanno il risultato di creare angoscia e sfiducia diffusa in tutta l’opinione pubblica verso ogni sorta di tecnologia, creando falsi miti e diffidenze inutili e devastando la reputazione delle marche coinvolte.

Ma la terza caratteristica è quella più pericolosa e in questo caso potenzialmente letale. Chi si inserisce di nascosto in una catena di approvvigionamento raramente ne ha il pieno controllo, per cui non può essere certo che qualcuno dei prodotti che ha sabotato non finisca in mani innocenti invece che in quelle dei bersagli designati, e agisca colpendo chi non c’entra nulla, o rimanga in circolazione dopo l’attacco.

Finché si tratta di malware che causa perdite di dati, il danno potenziale a terzi coinvolti per errore è solitamente sopportabile; ma in questo caso che insanguina la cronaca è difficile, per chi ha lanciato questo attacco, essere certo che tutti quei dispositivi modificati siano esplosi, e così in Libano e in Siria probabilmente circolano ancora, e continueranno a lungo a circolare, dei cercapersone e dei walkie-talkie che sono imbottiti di esplosivo a insaputa dei loro utenti.

Chissà se chi ha concepito questi attacchi dorme sonni tranquilli.


2024/09/22 19:00: La teoria alternativa di Umberto Rapetto

Su La Regione Ticino è stato pubblicato un articolo nel quale il generale della Guardia di Finanza Umberto Rapetto, “già comandante del Gruppo Anticrimine Tecnologico, per anni docente di Open Source Intelligence alla Nato School di Oberammergau (D)”, afferma che l’esplosivo sarebbe stato inserito nei dispositivi non da un aggressore esterno, ma da Hezbollah, ossia dall’utente stesso.

A suo dire, la fornitura di cercapersone sarebbe stata

“commissionata pretendendo che all’interno del normale involucro del prodotto di serie sia ospitata una piccolissima carica esplosiva e che il software includa le istruzioni per attivare la deflagrazione”

in modo da costituire una sorta di meccanismo di autodistruzione da usare qualora un dispositivo fosse caduto in mani nemiche. Non solo: secondo Rapetto, la carica sarebbe stata installata addirittura a insaputa degli stessi affiliati di Hezbollah che usavano i walkie-talkie e i cercapersone modificati, allo scopo di eliminare anche loro qualora fossero stati rapiti:

“Non solo il minuscolo aggeggio non deve spianare la strada all’intelligence, ma deve anche evitare che il suo possessore eventualmente catturato possa raccontare cose riservate e compromettere la sorte dell’organizzazione […] il dispositivo non è più in grado di offrire spunti agli 007 avversari e anche il proprio agente – ucciso o gravemente ferito – perde la possibilità di confessare”.

A supporto di questa teoria non vengono portate prove, e finora non ho trovato nessun’altra persona esperta che abbia proposto questa ricostruzione degli eventi.


38 risposte

  1. Avatar Egidio Pignatelli
    Egidio Pignatelli

    Oh, vedo che hai sposato la piattaforma WordPress! 🙂
    Capisco il perché, è molto versatile e rapida da usare.
    Spero che, una volta fininita, questa pagina assumerà un aspetto analogo a quella di Blogger, perché ormai mi ero abituato all’aspetto grafico degli articoli, che è tuttora gradevolissimo! 🙂
    Un piccolo appunto: hai scritto “Ditta” con TRE “t”. “dittta”. 🙂

    1. Dovrebbero somigliarsi ma in meglio.

      Refuso corretto, grazie!

  2. Avatar Pugacioff
    Pugacioff

    Secondo questo articolo: https://www.ilpost.it/2024/09/19/cercapersone-walkie-talkie-da-dove-arrivano/ sembra che i cercapersone siano stati prodotti da una ditta di proprietà dei servizi segreti israeliani

    Secondo tre agenti di intelligence che hanno parlato col New York Times, BAC era in realtà una società di facciata creata dai servizi segreti israeliani proprio per produrre cercapersone per Hezbollah. L’identità degli agenti israeliani che l’hanno creata sarebbe stata tutelata da almeno altre due società fittizie. Secondo gli agenti che hanno parlato col giornale, rimasti anonimi, l’azienda avrebbe anche prodotto dispositivi normali per altri clienti, ma il suo vero obiettivo erano quelli da mandare a Hezbollah, che sarebbero stati prodotti separatamente e riempiti del composto esplosivo PETN.

  3. […] questa. Il testo del podcast, diversamente dal solito, non sarà pubblicato qui, ma è già online qui sul mio nuovo sito, Attivissimo.me, che sto […]

  4. Ma sicuramente chi ha compiuto queste azioni dorme tra quattro guanciali. Chi arriva anche solo a pensarle certe cose ha perso da tempo la sensibilità per provare qualche emozione che non sia frustrazione e sete di vendetta.

    Interessante invece la consultazione del sito della Icom, notissima azienda Giapponese produttrice dei walkie talkie incriminati. Da tempo si lamentano della quantità di prodotti contraffatti e hanno una pagina dedicata ai clienti per aiutarli a capire se un prodotto arriva effettivamente da loro oppure no. Nel caso specifico, quasi sicuramente no. Il prodotto è fuori produzione da 10 anni e notoriamente scopiazzato da aziende cinesi, spesso si trovano sul mercato con la scritta made in china, quando Icom sottolinea che non hanno siti produttivi in quel paese. Esistono addirittura dei prodotti a marchio Icom che non hanno MAI fatto parte del loro catalogo. Probabilmente i signori hezbolla avevano una catena di procurement piuttosto sciatta.

  5. Avatar Roberta
    Roberta

    Bello il sito nuovo, essenziale e veloce nella navigazione! Complimenti anche per il titolo e per il logo ^_^

  6. Avatar Gian Luigi Valerio Di Rago
    Gian Luigi Valerio Di Rago

    Mi sembra che tu sia esaustivo come al solito.

  7. Avatar Il Lupo della Luna
    Il Lupo della Luna

    I commenti si potranno lasciare qui e su blogger?

    Quando avevo un blog avevo trovato il metodo per sincronizzarli automaticamente.

    1. Ciao, non credo che lo farò. Troppe complicazioni.

  8. Avatar Eudora
    Eudora

    Avevo postato questo commento su Blogger in riferimento ai feed di cui si parlava nei commenti. Ma a quanto pare di là il mio account è bloccato. Lo riporto qui, se ritieni sia utile ovviamente 🙂


    Ciao,
    il feed generale è questo: https://attivissimo.me/feed/
    Il feed dei commenti è questo: https://attivissimo.me/comments/feed/
    Il feed dei commenti al singolo articolo si raggiunge aggiungendo /feed/ all’URL.
    I feed di ogni tag o categoria si raggiunge aggiunge /feed/ all’URL relativo (ad esempio: https://attivissimo.me/tag/radio/feed/ )
    
    In bocca al lupo per il nuovo sito. Io commento poco ma ti leggo sempre, soprattutto via feed 🙂

    1. Aggiungo subito i link, grazie!

      Non mi risulta che il tuo account sia bloccato su Blogger.

  9. Avatar Roby arulonius (r'obi wan)
    Roby arulonius (r’obi wan)

    Questa è una prova per vedere se adesso mi prende i commenti. Fino a stamattina, come a molti, mi appariva la finestra di login, ma senza nessun link di registrazione.
    Così vedo anche se hai già portato di qui l’approvazione automatica dei commenti.

  10. Avatar Moreno Manzini
    Moreno Manzini

    Ciao

    Ecco il mio primo commento, vediamo se ora è possibile commentare.
    Noto subito una cosa spiacevole, la pagina è impostata di default per l’inglese, scrivendo in italiano il correttore ortografico impazzisce.

    Ciao Ciao, Moreno

    1. Provo a rimediare. Riprova fra una decina di minuti.

      1. Avatar Moreno Manzini
        Moreno Manzini

        Ciao

        Direi che ora è tutto OK.
        Come sempre GRAZIE

        Ciao Ciao, Moreno

      2. Avatar Roby arulonius (r’obi wan)
        Roby arulonius (r’obi wan)

        Adesso l’inserimento dei commenti funziona bene.
        A me il correttore ortografico mi ha mantenuto l’italiano e l’inglese che avevo impostato nella mia ultima visita di qualche ora fa. Adesso l’ho messo solo in italiano e funziona correttamente. Se aggiungo anche l’inglese, tutto continua a funzionare correttamente. Funziona pure con lo svizzerano 🙂
        Ah, Firefox 130.0.1 (64 bit) su Linux.

  11. Auguri per il nuovo sito!

  12. Avatar Roby arulonius (r’obi wan)
    Roby arulonius (r’obi wan)

    Una nota: vedo che il visualizzatore non considera gli “a capo” (i newline) che inserisco nell’editor, nel mio commento precedente.
    Provo a metterne uno con SHIFT-ENTER, anziché con ENTER, e vediamo ceh succede.
    Un altro SHIFT-ENTER.

  13. Avatar Raffaele David Mammoliti
    Raffaele David Mammoliti

    Complimenti per il nuovo sito e per il logo!

  14. Avatar Lele

    Complimenti. Del nuovo sito apprezzo soprattutto la possibilità di poter commentare senza dover accedere ad alcun account.

  15. Avatar Bombola del gas
    Bombola del gas

    Immagino che anche qui valgano le stesse regole e moderazione del vecchio sito anche se non le ho viste esposte.
    Come impaginazione sullo schermo del portatile la trovo un po’ stretta nel senso che si sono due colonne vuote a dx e sx del testo per cui bisogna scrollare molto sopratutto i commenti.
    Però va anche bene così. Immagino che ripartire da zero non sia uno scherzo e certe questioni estetiche possono aspettare.
    Avanti così.

    1. Grazie! Sì, le regole solo le stesse anche se non le ho ancora postate.

  16. Avatar Bombola del gas
    Bombola del gas

    Riguardo ai pager esplosi vedo che nessuno ha spiegato chi tiene attiva la rete di broadcast dei segnali. Nel mondo occidentale le reti dei pager ( in Italia mi sembra si chiamasse Teledrin) sono state chiuse da anni ma esistono ancora piccole reti locali gestite da organizzazioni private come negli ospedali.
    In libano come funzionava? Era una telecom locale a tenere su la rete o Hetzbollah si era fatta la sua? Potrebbe anche essere che gli israeliani abbiano diffuso il segnale radio direttamente da loro territorio senza hackerare alcun sito.

    1. Me lo sono chiesto anch’io. Non ho trovato info.

  17. Avatar Angelo
    Angelo

    Il nuovo sito è sicuramente più veloce!

  18. Avatar Roby arulonius (r’obi wan)
    Roby arulonius (r’obi wan)

    Del sito nuovo apprezzo la mancanza del bug discus che ne nasconde i commenti su Firefox. Bug facilmente aggirabile si PC, non sono riuscito ad evitarlo sul cellulare.
    A me fa strano commentare senza dover fare nessun login.

  19. Avatar Purputiello
    Purputiello

    Icom la conosco benissimo perché ho e ho avuto diversi loro apparati.
    Come Yaesu o Kenwood, sono apparati costosi (sia in assoluto sia ovviamente rispetto alle cinesate).
    Quelli nelle foto sono apparati molto vecchi, fuori produzione da anni, o sono usati o non sono originali, questo con sicurezza.

  20. Avatar Nadirik
    Nadirik

    Il logo (l’avevo già visto) è eccezionale!!! 🙂

  21. In teoria sarebbe possibile inserire un gps autonono (tipo tracker) in uno spazio minimo dei pager o altri dispositivi?
    P.S. O.T. Mi viene chiesto di inserire il mio sito; L’ho fatto, ma non capisco l’utilità 😉

    1. Non credo che ci sia lo spazio sufficiente per un oggetto del genere. Forse un tag tipo AirTag di Apple ma miniaturizzato. Ma avrebbe il problema di essere rilevabile perché emette un segnale.

      Per il tuo PS: non so neanche io perché lo fa 🙂

      1. Ho capito.
        Quindi su una mossa autonoma intelligente di Hezbollah (ma credo che senza un’infiltrazione nella catena di comando non sarebbe stata presa questa decisione), l’intelligence israeliana è riuscita a creare una vera e propria logistica fittizia alternativa per raggiungere il proprio scopo.
        P.S. O.T. Come la prima volta, ho risalvato l’anagrafica e spero che la prossima volta il browser se ne ricordi …

  22. Avatar corradoventu
    corradoventu

    Bene il nuovo sito ma sul PC il testo mi compare in una colonna al centro larga circa 1/3 della pagina.

    1. È intenzionale.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *