Vai al contenuto

Niente Panico RSI

Niente Panico RSI – Puntata del 2024/11/04

Ultimo aggiornamento: 2024/11/04 20:25.

Domattina alle 9 andrà in onda una nuova puntata in diretta di Niente Panico, il programma che conduco insieme a Rosy Nervi sulla Rete Tre della Radiotelevisione Svizzera. La trasmissione sarà ascoltabile in streaming in diretta su https://www.rsi.ch/audio/rete-tre/live/ e riascoltabile qui https://www.rsi.ch/rete-tre/programmi/intrattenimento/serotonina oppure nell’embed che aggiungerò qui sotto non appena sarà disponibile la registrazione.

Aggiungerò qui anche i link alle fonti degli argomenti di cui parleremo nella puntata.

2024/11/04. Ecco la registrazione scaricabile. Qui sotto trovate l’embed della puntata. La raccolta completa delle puntate è presso attivissimo.me/np.

I temi della puntata

L’account Instagram della settimana: @complots.faciles, che prende in giro il cospirazionismo con post dedicati per esempio alla teoria che i dinosauri di plastica sono fatti con i resti dei dinosauri veri, che l’ombra rettilinea della mezza Luna dimostra che la Luna è piatta, che l’Urlo di Munch doveva raffigurare un cane con le orecchie lunghe ma è stato frainteso e Munch si è dovuto adeguare, che il continente americano visto girato a 90° è una papera e non può essere un caso, e che le “scie chimiche” interrotte sono legate al mitico La Linea di Osvaldo Cavandoli.


La bufala della settimana: Le “scie chimiche”, visto che il cantante Miguel Bosè ha affermato, in un post su Instagram delirante, che il disastro dell’alluvione a Valencia è legato “all’ingegneria climatica delle scie chimiche sfuggita di mano” (ANSA; Open). Sono arrivate in diretta le chiamate degli sciachimisti convinti che il complotto sia reale e indignati perché non abbiamo concesso “il contraddittorio” (come se ci fosse da mettere in discussione la chimica di base o quella dell’atmosfera). Il post di Bosè si è preso oltre 50.000 like ed è stato etichettato da Instagram come “Informazioni false”. Ricordo che per i dettagli e i fatti tecnici esiste il mio blog/libro La bufala delle “scie chimiche”.


La donna dimenticata dalla scienza: Jocelyn Bell Burnell, la scopritrice delle pulsar.


L’AIntervista impossibile: La Bella Otero, nata il 4 novembre 1868. Stavolta ho usato Claude di Anthropic (versione gratuita) al posto del consueto ChatGPT. Il mio prompt: “Trova una biografia de La Bella Otero e crea un’intervista fatta a lei, come se fosse un fantasma capace di comunicare dall’oltretomba, con tre domande e tre risposte, citando il più possibile i dettagli e gli aspetti salienti della sua vita professionale e affettiva. Scrivi in tutto almeno 400 parole”.

Il testo generato da Claude, pari pari, e letto dalla voce sintetica Iris di Elevenlabs senza alcuna indicazione manuale dell’intonazione da dare:

Intervistatrice: Madame Otero, lei ha conosciuto l’amore più elevato e quello più basso. Quale lezione ne ha tratto?

La Bella Otero: [con un sorriso malinconico] L’amore, ma quale amore? Quello che ho conosciuto da bambina mi ha insegnato la crudeltà degli uomini. Quello che ho vissuto da adulta mi ha mostrato la loro debolezza. Ho avuto re e principi ai miei piedi, ma non ho mai permesso a nessuno di possedere veramente il mio cuore. La vera lezione? Ho imparato che il potere più grande è quello di non dipendere dall’amore di nessuno. Ho trasformato il dolore in arte e l’arte in potere.

Intervistatrice: Lei ha guadagnato e perso fortune immense. Si è mai pentita della sua passione per il gioco?

La Bella Otero: [ridendo sonoramente] Il gioco d’azzardo era la mia vendetta contro il denaro! Ho visto milioni passare tra le mie mani come acqua. Ma sa qual è la verità? Quello che ho perso al casinò l’ho guadagnato facendo ciò che volevo. La vera sconfitta sarebbe stata conservare quei soldi vivendo nella paura di perderli. Ho vissuto ogni momento con intensità, proprio come ballavo: con passione sfrenata. La fortuna è come un amante: se cerchi di controllarla, ti sfugge.

Intervistatrice: Guardando indietro alla sua vita, cosa direbbe alla piccola Carolina di Valga?

La Bella Otero: [con voce commossa] Le direi che quella violenza subita non definirà la sua vita. Le direi che trasformerà il suo dolore in una forza che stupirà il mondo. Che un giorno farà tremare i palcoscenici di Parigi, che re e imperatori si contenderanno un suo sguardo. Ma soprattutto le direi che la vera vittoria non sta nei gioielli che indosserà o nel denaro che guadagnerà, ma nella libertà che conquisterà. Io non sono mai stata di nessuno se non di me stessa. Questa è stata la mia più grande conquista, molto più preziosa di tutti i diamanti che ho posseduto.

Niente Panico RSI – Puntata del 2024/10/21

Ultimo aggiornamento: 2024/10/21 19:00.

Stamattina alle 9 andrà in onda una nuova puntata in diretta di Niente Panico, il programma che conduco insieme a Rosy Nervi sulla Rete Tre della Radiotelevisione Svizzera. La trasmissione sarà ascoltabile in streaming in diretta su https://www.rsi.ch/audio/rete-tre/live/ e riascoltabile qui https://www.rsi.ch/rete-tre/programmi/intrattenimento/serotonina oppure nell’embed che aggiungerò qui sotto non appena sarà disponibile la registrazione.

2024/10/21 19:00. Ecco la registrazione scaricabile.

Niente Panico tornerà il 4 novembre.

I temi della puntata

L’account Instagram della settimana: @digiart.of.alex di Alexandra Naylor (Germania). Arte creata con lo strumento dell’intelligenza artificiale, con immagini e animazioni surreali, eleganti e dettagliatissime in tema Halloween e Dia de los Muertos.


La bufala della settimana: Foto di Disney World sott’acqua dopo l’uragano Milton? No, sono propaganda diffusa soprattutto da fonti pro-Cremlino usando immagini generate con l’intelligenza artificiale (info tratte da NewsGuard, paywall).


Una canzone cantata in due lingue contemporaneamente: che effetto vi fa? La newsletter di Tom Scott segnala Dopamine di Madelline, cantata in francese sul canale sinistro e in inglese sul canale destro (da ascoltare ovviamente in cuffia; versione su YouTube). Se conoscete entrambe le lingue, che effetto vi fa? E se non le conoscete, oppure ne masticate soltanto una?


L’intervista impossibile: François Truffaut, nato nel 1932 e morto il 21 ottobre 1984 a 52 anni. Intervista generata con questo prompt a ChatGPT 4o: “Trova una biografia di François Truffaut e crea un’intervista fatta a lui, come se fosse ancora vivo, con tre domande e tre risposte, citando il più possibile i dettagli e gli aspetti salienti della sua vita professionale e affettiva. Scrivi in tutto almeno 600 parole”. Notate che non gli ho dato un link a Wikipedia o altra fonte; gli ho detto di trovarsela. Ho ritoccato solo alcuni passaggi e problemi di pronuncia delle parole e dei nomi francesi da parte della voce sintetica di ElevenLabs (non riusciva a pronunciare correttamente nouvelle vague, ho dovuto modificare il testo in nouvelle vagg), e abbiamo tagliato una delle tre risposte per esigenze di durata. Inquietantemente efficace e credibile, ma saranno accurate le informazioni contenute nelle risposte?


La donna ricordata dalla scienza: Mae Jemison, prima astronauta afroamericana, nata il 17 ottobre 1956, volò nello spazio per quasi 8 giorni a settembre del 1992. Tre lauree e un cameo in Star Trek.

Niente Panico RSI – Puntata del 2024/10/14

Ultimo aggiornamento: 2024/10/16.

Stamattina andrà in onda una nuova puntata in diretta di Niente Panico, il programma che conduco insieme a Rosy Nervi sulla Rete Tre della Radiotelevisione Svizzera, con un nuovo orario: non più alle 11 ma alle 9.

La trasmissione sarà ascoltabile in streaming in diretta su https://www.rsi.ch/audio/rete-tre/live/ e riascoltabile qui https://www.rsi.ch/rete-tre/programmi/intrattenimento/serotonina oppure nell’embed che aggiungerò qui sotto non appena sarà disponibile la registrazione.

2024/10/16. Ecco la registrazione scaricabile.

I temi della puntata

L’account Instagram della settimana: @sand.tagious. Un account con 1,1 milioni di follower su Instagram e 7 milioni di iscritti su YouTube, che mostra video, accuratamente preparati, di forme fatte con la sabbia vivacemente colorata e poi rimescolata, affettata, trapassata, pigiata o modificata in qualche altra maniera, a volte dentro contenitori trasparenti. L’effetto visivo è stranamente appagante e piacevole. L’audio è ASMR, per cui può piacere o meno, ma è indubbio che c’è un grande lavoro di preparazione e ideazione.


La bufala della settimana: il ritorno del codice a barre satanico. Anni fa, nel 2007, avevo raccontato la bufala del codice a barre che veniva ritenuto un segno del demonio perché, si diceva, conteneva il numero 666, ritenuto “il numero della perdizione satanica”, per usare le parole di un consigliere comunale svizzero di allora. Il “666” si anniderebbe, secondo i sostenitori di questa teoria, nelle coppie di righe sottili all’estrema destra, all’estrema sinistra e al centro di ogni codice esistente. Nella codifica dei simboli a barre due righe sottili indicano la cifra 6: quindi, secondo questa tesi, in tutti i codici a barre sarebbe presente un “6-6-6”.

Ma in realtà queste righe estreme e centrali non rappresentano alcuna cifra all’interno del codice a barre: sono semplicemente le linee di riferimento che servono al dispositivo di lettura, allo scanner, per capire dove inizia e dove finisce il codice. Visivamente somigliano in effetti a quelle usate per indicare la cifra 6, ma in realtà la loro spaziatura è differente.

Questa bufala ritorna nel 2024, come segnalato da Bufale un tanto al chilo, a causa delle affermazioni di un conduttore di un canale televisivo italiano secondo il quale una canzone del 1985, Kathy don’t go to the supermarket, è una premonizione anti-satanica, perché mette in guardia contro il codice a barre e il suo uso sempre più comune nei supermercati americani. La tesi di complotto circola sui social network ma proviene da una setta religiosa che è contraria a ogni tecnologia ed è a dir poco impresentabile, con una lunga storia di abusi sessuali anche su minori di cui vi risparmio i dettagli.


L’intervista impossibile. Oggi, 14 ottobre, è l’anniversario della nascita dell’attore Roger Moore, celeberrimo per il suo ruolo di protagonista di ben sette film della serie di James Bond fra il 1973 e il 1985 e noto anche per le serie TV Il santo e Attenti a quei due, ma anche grande attivista in difesa degli animali. Moore era nato a Londra nel 1927 ed è scomparso nel 2017. Con l’aiuto dell’intelligenza artificiale ho preparato un’intervista che diventa uno spunto per ricordare il suo impegno e la sua carriera.


L’intervista reale a Massimo Polidoro sul CICAP e sul Triangolo delle Bermuda. L’ambiente era molto rumoroso e quindi ho dovuto ripulire l’audio usando l’intelligenza artificiale di Lalal.ai.

Niente Panico RSI – Puntata del 2024/10/07 (nuovo orario)

Stamattina andrà in onda una nuova puntata in diretta di Niente Panico, il programma che conduco insieme a Rosy Nervi sulla Rete Tre della Radiotelevisione Svizzera, con un nuovo orario: non più alle 11 ma alle 9.

La trasmissione sarà ascoltabile in streaming in diretta su https://www.rsi.ch/audio/rete-tre/live/ e riascoltabile qui https://www.rsi.ch/rete-tre/programmi/intrattenimento/serotonina o nell’embed che aggiungerò qui sotto non appena sarà disponibile la registrazione.

2024/10/09. Ecco la registrazione:

I temi della puntata

L’account Instagram della settimana: @whatif.now, un esempio non popolarissimo (8500 follower) ma notevole di come l’intelligenza artificiale, nelle mani di persone di talento, possa essere usata per creare quella che perlomeno a me sembra definibile come arte.

La bufala della settimana: Oltre 600.000 persone, fra le quali l’attore James McAvoy, hanno creduto alla bufala del messaggio “Goodbye Meta AI” che, se postato pubblicamente, negherebbe a Meta il diritto di usare le loro immagini per l’addestramento delle intelligenze artificiali dell’azienda. Non è così: per negare questo utilizzo non basta un messaggio pubblicato ma è necessario attivare un’opzione apposita, che ho descritto nel podcast del Disinformatico del 7 giugno 2024 (BBC).

L’intervista impossibile: Bette Davis. Testo generato da ChatGPT (al quale è stato chiesto di leggersi prima la pagina di Wikipedia dedicata all’attrice) e voce generata da ElevenLabs. Chicca: la canzone Bette Davis Eyes, diventata popolarissima (nove settimane in cima alla classifica della Hot 100 di Billboard, Grammy come canzone dell’anno nel 1981) grazie a Kim Carnes, è ovviamente ispirata a quest’attrice, ma quella di Kim Carnes non è la versione originale, che è invece questa interpretata da Jackie DeShannon e scritta insieme a Donna Weiss nel 1974 (Wikipedia).

Abbiamo anche presentato due brani creati con Suno per ricordare semiseriamente il cambio di orario.

Niente Panico RSI – Puntata del 2024/09/30

Stamattina è andata in onda una nuova puntata in diretta di Niente Panico, il programma che conduco insieme a Rosy Nervi sulla Rete Tre della Radiotelevisione Svizzera. La trasmissione è riascoltabile qui oppure nell’embed qui sotto. Le puntate vengono pubblicate a questo link:

https://www.rsi.ch/rete-tre/programmi/intrattenimento/serotonina

I temi della puntata

L’account Instagram della settimana: Jan Hakon Erichsen (@janerichsen), 797.000 follower, è un artista norvegese che si è fatto notare per le sue esibizioni surreali e virali, che pubblica su Instagram dal 2017. Usa oggetti quotidiani come cibo, palloncini e strumenti meccanici per creare scene di distruzione comica e assurda o situazioni totalmente bizzarre come il Banana Tapper (The Guardian).

La donna dimenticata (e ora ricordata) dalla scienza: Rosalind Franklin, chimica britannica (1920-1958) ed esperta di cristallografia, che ebbe un ruolo chiave, non riconosciuto all’epoca, nella realizzazione dell’immagine (diffrattogramma a raggi X) che permise di identificare la forma del DNA, scoperta che valse il Nobel per la medicina a Watson, Crick e Wilkins nel 1962 (ma non a lei, anche perché le regole del premio all’epoca non consentivano i riconoscimenti postumi e lei era morta a soli 37 anni nel 1958). Oggi il suo nome verrà ricordato usandolo per la sonda mobile robotica (rover) Exomars che dovrebbe partire per Marte nel 2028.

Origine del termine robotrix: dovrebbe essere una pubblicazione del 1933, Science Fiction Digest di Forrest Ackerman, in riferimento al film Metropolis di Fritz Lang, secondo SFdictionary.

L’intervista impossibile: Victoria Braithwaite (1967-2019), nota per aver dimostrato scientificamente che i pesci provano dolore, cambiando radicalmente il modo in cui consideriamo questi esseri viventi; la ricordiamo nell’anniversario della sua scomparsa.

Cosa fare in caso di hacking o furto di un account Instagram: prima di tutto si deve fare prevenzione, con l’autenticazione a due fattori e l’attivazione di un account a pagamento, che ha diritto all’assistenza tecnica. Se il disastro è già successo, si può tentare il negoziato con il ladro dell’account.

Auto connesse “hackerabili” via Internet: problema risolto, ma i dettagli sono preoccupanti in termini di fragilità dei sistemi di gestione (Samcurry.net). Ne parlerò nel prossimo podcast de Il Disinformatico.

Podcast RSI – No, i telefonini non esplodono spontaneamente

Un frammento di uno dei cercapersone esplosi. Fonte: Al Jazeera.

Ultimo aggiornamento: 2024/09/22 19:00.

Questo è il testo della puntata del 20 settembre 2024 del podcast Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto. Il testo include anche i link alle fonti di questa puntata.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, YouTube Music, Spotify e feed RSS.

Il podcast si prenderà una pausa la settimana prossima e tornerà il 4 ottobre.


[CLIP: audio di esplosione e di panico]

Migliaia di dispositivi elettronici sono esplosi improvvisamente nel corso di due giorni in Libano e in Siria, uccidendo decine di persone e ferendone almeno tremila. Inizialmente si è sparsa la voce che si trattasse di un “attacco hacker”, come hanno scritto anche alcune testate giornalistiche [Il Fatto Quotidiano], facendo pensare a un’azione puramente informatica in grado di colpire teoricamente qualunque dispositivo ovunque nel mondo facendone esplodere la batteria attraverso un particolare comando inviato via radio o via Internet.

Non è così, ma resta il dubbio legittimo: sarebbe possibile un attacco del genere?

Questa è la storia di una tecnica di aggressione chiamata supply chain attack, che in questi giorni si è manifestata in maniera terribilmente cruenta ma è usata da tempo da criminali e governi per mettere a segno sabotaggi, estorsioni e operazioni di sorveglianza.

Benvenuti alla puntata del 20 settembre 2024 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.

[SIGLA di apertura]


Il 17 settembre scorso il Libano e la Siria sono stati scossi dalle esplosioni quasi simultanee di migliaia di cercapersone, che hanno ucciso decine di persone e ne hanno ferite oltre duemila. Il giorno successivo sono esplosi centinaia di walkie-talkie, causando la morte di almeno altre venti persone e il ferimento di alcune centinaia.

Queste due raffiche di esplosioni hanno seminato il panico e la confusione nella popolazione locale, presa dal timore che qualunque dispositivo elettronico dotato di batteria, dal computer portatile alle fotocamere allo smartphone, potesse esplodere improvvisamente. Sui social network si è diffusa la diceria che stessero esplodendo anche gli impianti a pannelli solari, le normali radio e le batterie delle automobili a carburante, ma non c’è stata alcuna conferma [BBC]. All’aeroporto di Beirut è scattato il divieto di portare a bordo degli aerei qualunque walkie-talkie o cercapersone [BBC].

Nelle ore successive è emerso che non si è trattato di un “attacco hacker” in senso stretto: non è bastato che qualcuno mandasse un comando a un dispositivo per innescare l’esplosione della sua batteria. I cercapersone e i walkie-talkie esplosi erano stati sabotati fisicamente, introducendo al loro interno delle piccole ma micidiali cariche esplosive, successivamente fatte detonare inviando un comando via radio, con l’intento di colpire i membri di Hezbollah che usavano questi dispositivi.

In altre parole, non c’è nessun pericolo che qualcuno possa far esplodere un telefonino, un rasoio elettrico, una fotocamera, uno spazzolino da denti elettronico, un computer portatile, delle cuffie wireless, un tablet, un’automobile elettrica o qualunque altro dispositivo dotato di batteria semplicemente inviandogli un comando o un segnale particolare o infettandolo con un’app ostile di qualche tipo. Per questo genere di attacco, il dispositivo deve essere stato modificato fisicamente e appositamente.

È importante però non confondere esplosione con incendio. Le batterie dei dispositivi elettronici possono in effetti incendiarsi se vengono danneggiate o caricate in modo scorretto. Ma gli eventi tragici di questi giorni non hanno affatto le caratteristiche di una batteria che prende fuoco, perché le esplosioni sono state improvvise e violente, delle vere e proprie detonazioni tipiche di una reazione chimica estremamente rapida, mentre l’incendio di una batteria è un fenomeno veloce ma non istantaneo, che rilascia molta energia termica ma lo fa in modo graduale, non di colpo.

Cosa più importante, non esiste alcun modo per innescare l’incendio di una batteria di un normale dispositivo attraverso ipotetiche app o ipotetici comandi ostili. Anche immaginando un malware capace di alterare il funzionamento del caricabatterie o dei circuiti di gestione della carica e scarica della batteria, la batteria stessa normalmente ha delle protezioni fisiche contro la scarica improvvisa o la carica eccessiva. Chi si è preoccupato all’idea che degli hacker sarebbero capaci di trasformare i telefonini in bombe con un semplice comando può insomma tranquillizzarsi, soprattutto se si trova lontano dalle situazioni di conflitto.

C’è però da capire come sia stato possibile un sabotaggio così sofisticato, e in questo senso l’informatica ci può dare una mano, perché non è la prima volta che si verifica quello che in gergo si chiama un supply chain attack, o attacco alla catena di approvvigionamento, anche se quella di questi giorni è una sua forma particolarmente cruenta.


Un supply chain attack è un attacco, fisico o informatico, a un elemento della catena di approvvigionamento di un avversario. Invece di attaccare i carri armati del nemico, per esempio, si colpiscono i loro depositi di carburante o le loro fabbriche di componenti. In campo informatico, invece di attaccare direttamente l’azienda bersaglio, che è troppo ben difesa, si prende di mira un suo fornitore meno attento alla sicurezza e lo si usa come cavallo di Troia per aggirare le difese entrando dall’accesso riservato ai fornitori, per così dire. Anzi, si potrebbe dire che proprio il celebre cavallo di Troia fu il primo caso, sia pure mitologico, di supply chain attack, visto che i troiani si fidarono decisamente troppo del loro fornitore.

Un esempio tipico, concreto e moderno di questa tecnica di attacco risale al 2008, quando le forze di polizia europee smascherarono un’organizzazione criminale dedita alle frodi tramite carte di credito che rubava i dati dei clienti usando dei dispositivi non tracciabili inseriti nei lettori delle carte di credito fabbricati in Cina. Questo aveva permesso ai criminali di effettuare prelievi e acquisti multipli per circa 100 milioni di dollari complessivi.

Nel 2013 la catena statunitense di grandi magazzini Target si vide sottrarre i dati delle carte di credito di circa 40 milioni di utenti, grazie a del malware installato nei sistemi di pagamento POS. Nonostante Target avesse investito cifre molto importanti nel monitoraggio continuo della propria rete informatica, l’attacco fu messo a segno tramite i codici di accesso rubati a un suo fornitore in apparenza slegato dagli acquisti: una ditta della Pennsylvania che faceva impianti di condizionamento.

Le modifiche apportate fisicamente di nascosto ai dispositivi forniti da terzi non sono un’esclusiva dei criminali. Grazie alle rivelazioni di Edward Snowden, per esempio, sappiamo che l’NSA statunitense [Ars Technica] ha intercettato server, router e altri apparati per reti informatiche mentre venivano spediti ai rispettivi acquirenti che voleva mettere sotto sorveglianza, li ha rimossi accuratamente dagli imballaggi, vi ha installato del software nascosto (più precisamente del firmware, ossia il software di base del dispositivo) e poi li ha reimballati, ripristinando tutti i sigilli di sicurezza, prima di reimmetterli nella filiera di spedizione.

Altri esempi di attacco alla catena di approvvigionamento sono Stuxnet, un malware che nel 2010 danneggiò seriamente il programma nucleare iraniano prendendo di mira il software degli apparati di controllo di una specifica azienda europea, usati nelle centrifughe di raffinazione del materiale nucleare in Iran, e NotPetya, un virus che nel 2017 fu inserito negli aggiornamenti di un programma di contabilità molto diffuso in Ucraina. I clienti scaricarono fiduciosamente gli aggiornamenti e si ritrovarono con i computer bloccati, i dati completamente cifrati e una richiesta di riscatto.

C’è anche un caso di supply chain attack che ci tocca molto da vicino, ed è quello della Crypto AG [sintesi su Disinformatico.info], l’azienda svizzera che per decenni ha venduto ai governi e alle forze armate di numerosi paesi del mondo degli apparati di crittografia molto sofisticati, che però a seconda del paese di destinazione venivano a volte alterati segretamente in modo da consentire ai servizi segreti statunitensi e tedeschi di decrittare facilmente le comunicazioni cifrate diplomatiche, governative e militari di quei paesi. In questo caso l’attacco proveniva direttamente dall’interno dell’azienda, ma il principio non cambia: il bersaglio veniva attaccato non frontalmente, ma attraverso uno dei fornitori di cui si fidava.


Difendersi da questo tipo di attacchi non è facile, perché spesso il committente non conosce bene il fornitore, e a sua volta quel fornitore deve conoscere bene i propri fornitori, perché non è la prima volta che un governo o un’organizzazione criminale costituiscono ditte fittizie e si piazzano sul mercato offrendo prodotti o servizi di cui il bersaglio ha bisogno.

Gli esperti raccomandano di ridurre al minimo indispensabile il numero dei fornitori, di visitarli spesso per verificare che siano autentici e non delle semplici scatole cinesi di copertura, di instillare in ogni fornitore, anche nel più secondario, una cultura della sicurezza che invece spesso manca completamente, e di adottare hardware e software che incorporino direttamente delle funzioni di verifica e di sicurezza contro le manomissioni. Ma per la maggior parte delle organizzazioni tutto questo ha costi insostenibili, e così gli attacchi alla catena di approvvigionamento prosperano e, secondo i dati delle società di sicurezza informatica, sono in costante aumento.

Lo schema di questi attacchi ha tre caratteristiche particolari che lo distinguono da altri tipi di attacco: la prima caratteristica è la necessità di disporre di risorse tecniche e logistiche enormi. Nel caso di cui si parla in questi giorni, per esempio, chi lo ha eseguito ha dovuto identificare marche e modelli usati dai membri di Hezbollah, infiltrarsi tra i fornitori fidati o intercettarne le spedizioni in modo invisibile, e progettare, testare e costruire le versioni modificate di migliaia di esemplari dei dispositivi, appoggiandosi a sua volta a fornitori di competenze tecnologiche ed esplosivistiche e di componenti elettronici che fossero capaci di mantenere il segreto.

La seconda caratteristica è invece più sottile. In aggiunta al tremendo bilancio di vite umane, impossibile da trascurare, questi attacchi hanno il risultato di creare angoscia e sfiducia diffusa in tutta l’opinione pubblica verso ogni sorta di tecnologia, creando falsi miti e diffidenze inutili e devastando la reputazione delle marche coinvolte.

Ma la terza caratteristica è quella più pericolosa e in questo caso potenzialmente letale. Chi si inserisce di nascosto in una catena di approvvigionamento raramente ne ha il pieno controllo, per cui non può essere certo che qualcuno dei prodotti che ha sabotato non finisca in mani innocenti invece che in quelle dei bersagli designati, e agisca colpendo chi non c’entra nulla, o rimanga in circolazione dopo l’attacco.

Finché si tratta di malware che causa perdite di dati, il danno potenziale a terzi coinvolti per errore è solitamente sopportabile; ma in questo caso che insanguina la cronaca è difficile, per chi ha lanciato questo attacco, essere certo che tutti quei dispositivi modificati siano esplosi, e così in Libano e in Siria probabilmente circolano ancora, e continueranno a lungo a circolare, dei cercapersone e dei walkie-talkie che sono imbottiti di esplosivo a insaputa dei loro utenti.

Chissà se chi ha concepito questi attacchi dorme sonni tranquilli.


2024/09/22 19:00: La teoria alternativa di Umberto Rapetto

Su La Regione Ticino è stato pubblicato un articolo nel quale il generale della Guardia di Finanza Umberto Rapetto, “già comandante del Gruppo Anticrimine Tecnologico, per anni docente di Open Source Intelligence alla Nato School di Oberammergau (D)”, afferma che l’esplosivo sarebbe stato inserito nei dispositivi non da un aggressore esterno, ma da Hezbollah, ossia dall’utente stesso.

A suo dire, la fornitura di cercapersone sarebbe stata

“commissionata pretendendo che all’interno del normale involucro del prodotto di serie sia ospitata una piccolissima carica esplosiva e che il software includa le istruzioni per attivare la deflagrazione”

in modo da costituire una sorta di meccanismo di autodistruzione da usare qualora un dispositivo fosse caduto in mani nemiche. Non solo: secondo Rapetto, la carica sarebbe stata installata addirittura a insaputa degli stessi affiliati di Hezbollah che usavano i walkie-talkie e i cercapersone modificati, allo scopo di eliminare anche loro qualora fossero stati rapiti:

“Non solo il minuscolo aggeggio non deve spianare la strada all’intelligence, ma deve anche evitare che il suo possessore eventualmente catturato possa raccontare cose riservate e compromettere la sorte dell’organizzazione […] il dispositivo non è più in grado di offrire spunti agli 007 avversari e anche il proprio agente – ucciso o gravemente ferito – perde la possibilità di confessare”.

A supporto di questa teoria non vengono portate prove, e finora non ho trovato nessun’altra persona esperta che abbia proposto questa ricostruzione degli eventi.