Le telecamere IP o webcam sono diffusissime ma moltissimi utenti si ostinano a installarle senza cambiarne le password predefinite o addirittura senza impostare una password. Il risultato è che online si trovano migliaia di queste telecamere le cui immagini possono essere viste in diretta da chiunque, con tutte le conseguenze del caso.
Alcuni siti, come il classico Insecam.org, catalogano queste telecamere pubblicamente accessibili (e in molti casi comandabili) per area geografica (in maniera molto imprecisa), per marca e per tema delle immagini mostrate.
Insecam sottolinea che queste telecamere non sono state “hackerate”: sono pubblicamente accessibili, anche se forse i proprietari non se ne rendono conto. Le FAQ di Insecam spiegano inoltre quanto è facile usare semplicemente Google per trovare queste telecamere aperte: non è necessaria alcuna particolare abilità informatica, per cui se avete una di queste telecamere non pensate (come fanno molti) “ma tanto chi vuoi che perda tempo a cercare e trovare proprio la mia”, perché il tempo necessario è zero e i curiosi vanno a caso.
Qualche esempio: l’interno di una chiesa, un rifugio per animali in Svizzera, un ingresso di un edificio, un refettorio (forse) e un campo d’aviazione a Kaegiswil, nel canton Obvaldo. In alcuni casi la località è indicata direttamente sullo schermo; in altri è facilmente deducibile da qualche elemento presente nell’inquadratura (insegne, cartelli, edifici caratteristici); in tutti è facilmente circoscrivibile, dato che i loro indirizzi IP sono visibili e questo permette di risalire al luogo di installazione.
Pensateci bene, insomma, prima di lasciare la vostra webcam visibile al mondo.
L’amico e collega Medbunker ha posto oggi su Twitter una domanda alla quale ho provato a dare una risposta rapida. Ricopio qui lo scambio, che magari è utile a qualcuno, con qualche nota e qualche ripulitura.
Per evitare equivoci: non sono contrario per principio alle app di tracciamento per le emergenze sanitarie; sono contrario a quelle fatte male. Scrivo questi appunti non per contrarietà alle app, ma per far capire quanto è dannatamente difficile fare un’app di questo genere in modo efficace e corretto.
Medbunker: Riguardo la app di tracciamento sono incompetente e probabilmente ho i dubbi di tutti. Percepisco un grande problema etico (dati sensibili importanti lasciati a privato). Chi ha competenza chiarirebbe se rischio reale per privacy superiore a quello ordinario di internet? Grazie.
Io: Provo a fare una sintesi. Premetto che il problema principale NON è la privacy, ma la sicurezza, e tutto dipende da _come_ è fatta l’app.
Per privacy:
1. vengono raccolti i tuoi dati di salute, giorno per giorno. Roba che fa gola a tanti. Industrie, marketing, governi rivali.
2. Viene raccolta la catena dei tuoi contatti con le persone. Quindi si sa se vai in moschea, se vai dal ginecologo ( 🙂 ) [Medbunker è appunto ginecologo], se vai dall’avvocato, se vai con escort/amante, se incontri un politico di nascosto, se ti raduni per fondare un movimento di opposizione.
3. Un governo può sapere (SE l’app è fatta male) esattamente chi ha partecipato a una manifestazione di civile protesta. Un potere che fa gola. Tu andresti a manifestare contro il governo se dovessi depositare un tuo documento in Questura per partecipare?
[NOTA: NSA fa già questo genere di raccolta dati con il suo strumento CO-TRAVELER]
4. Google, Apple, Facebook non hanno altrettanto potere. Nemmeno con i loro strumenti di analisi di quello che postiamo e con la localizzazione. Anche perché li possiamo usare senza dare informazioni personali (postando solo gattini e buongiornissimi, per esempio).
Per sicurezza:
5. Qui si tratta di dare a un’app un potere immensamente maggiore di Google/Apple/FB: quello di obbligarci a stare a casa se “risultiamo” positivi a un algoritmo (che non sappiamo quanto sbagli).
6. L’app ti dice: stai a casa, sei entrato in contatto con un positivo. E perdi il lavoro. Questo Google/FB/Apple non te lo fanno.
7. Un troll, un rivale, un terrorista circola in metropolitana con un telefonino che emette il segnale (vero o fasullo) “sono positivo”. Risultato: migliaia di persone si auto-isolano. È come una bomba, ma invisibile e silente. Rischio per chi la usa: zero. Questo fa gola.
[NOTA: Chi obietta che il positivo risulta tale solo dopo diagnosi da
parte di un medico e quindi non è possibile simulare la positività deve
considerare che un troll o terrorista potrebbe anche farsi infettare per
diventare realmente positivo. Chi pensa che nessuno sarebbe così pazzo dia un’occhiata al caso della setta coreana Shincheonji. O pensi al caso della persona che ragiona “sono positivo, ma se sto a casa perdo il lavoro e se lascio a casa il telefono i clienti non mi trovano”, dello studente che pensa “mi metto accanto a una positiva così l‘app mi obbliga a stare a casa da scuola, yay” oppure dello scemo che dice “sono positivo ma esco lo stesso e mi porto pure il telefono perché sono scemo fino in fondo”]
8. È brutto dirlo, ma c’è [presumo che ci sia] in ogni governo una stanza dove un funzionario sta facendo il conteggio di quanto si risparmierà in pensioni a causa della morìa degli anziani. E accanto a quella stanza ce n’è [presumo che ce ne sia] un’altra in cui si pensa come sfruttare la pandemia per indebolire il “nemico”.
9. La campagna antivaccinista, quella anti-5G, quella sulle “scie chimiche” sono tutte alimentate (anche) dai dipartimenti di propaganda di vari paesi. Non è una novità; è semplicemente [la strategia vecchia] confezionata diversamente. Info su @STRATCOMCOE.
10. Logicamente, [è ragionevole presumere che] alcuni governi stiano considerando quale vantaggio strategico possono ottenere indebolendo i rivali tramite canali digitali come appunto i falsi positivi dell’app anti-Covid-19.
11. So che questi discorsi profumano facilmente di complottismo, ma è sufficiente ripassare un po’ di storia (non solo informatica) recente per vedere che questo tipo di strategia esiste da decenni. Cambridge Analytica, RT.com, Voice of America… così fan tutti.
[NOTA: Lolita di Nabokov fu sponsorizzato dagli Stati Uniti come arma contro l’Unione Sovietica per fiaccare il morale e indebolire la propaganda governativa. L’URSS sponsorizzava direttamente o indirettamente i cantanti italiani che si esibivano nei Festival de L’Unità e i cantautori che cantavano cose tristi, deprimenti e sovversive perché criticavano il potere e l’ordine sociale. Così fan tutti]
12. Cina con i dati dell’OPM americano: en.wikipedia.org/wiki/Office_of…. E ovviamente tutte le cosine simpatiche rivelate/confermate da Snowden.
13. Svizzera con la crittografia farlocca (en.wikipedia.org/wiki/Crypto_AG), eccetera. Per questo parlo di rischio sicurezza più che di privacy: perché mi aspetto, logicamente, che qualcuno stia già studiando come sabotare quest’app per indebolire il paese rivale.
14. In fin dei conti, perché spendere in bombardieri e carri armati quando mi basta insinuare nella popolazione del paese bersaglio il dubbio che i vaccini facciano male? Si vaccineranno di meno, moriranno di più, e i costi sanitari saliranno, rendendo quel paese più debole.
15. Per questo gli esperti hanno chiesto in coro di poter verificare che l’app rispetti tutti i criteri di sicurezza oltre che di privacy. Per questo, e per evitare che l’app dia troppo potere al governo locale. Che oggi ti piace, ma domani come sarà? (v. IBM e nazismo).
16. Con questo ho auto-Godwinizzato il thread e quindi mi autozittisco 🙂
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.
Cory Doctorow ha segnalato che i criminali informatici stanno inviando falsi messaggi che fingono di essere allarmi di tracciamento anti-pandemia, dicono alle vittime che sono entrate in contatto con una persona infetta e invitano a cliccare su un link che li porta a del malware:
Phishers are sending out fake contact-tracing messages warning people they’ve come into contact with infectious individuals and asking them to click a link to a malware dropper.https://t.co/Xd4Rz4FY9q
Le sue osservazioni nel thread sono molto interessanti:
It’s both totally predictable and extremely clever. We’re primed to expect these messages, we don’t know what they’re supposed to look like, and finding out what this message says is really urgent. It’s an ideal moment to be sending out this kind of thing if you’re a scumbag. It’s easy to feel invulnerable to phishing, but phishing is so persistent that the moment you are vulnerable, there will almost certainly be a phishing scam waiting to pounce (link al suo articolo Persistence Pays Parasites).
Io ho commentato causticamente “”Un’app per il tracciamento dei contatti? Cosa MAI potrebbe andare storto? Chi MAI vuoi che se ne approfitti?” :-)” ed è nato un equivoco che vorrei chiarire, visto che c’è chi è arrivato a dire che il mio commento è “ingenuo o disonesto”.
Non sto dando colpa alle app di tracciamento in sé, ma al modo in cui vengono proposte e gestite.
Chiunque lavori nella sicurezza (non solo informatica), a contatto con gli utenti, sa che ogni volta che un comportamento nuovo viene imposto tramite l’emotività, qualcuno ne approfitta. Lo schema di (in)sicurezza è classico: si crea un’esigenza nuova
fortemente emotiva, con le migliori intenzioni, e poi arriva puntuale
chi specula su questa esigenza. Chi crea queste esigenze dovrebbe
saperlo e tenerne conto.
Per esempio, chi fa raccolte fondi per beneficenza si trova costretto a
mettere in guardia i partecipanti, avvisandoli di diffidare degli
impostori. La polizia avverte di non aprire a sconosciuti che dicono
di essere la polizia. Quando le banche introducono app di home banking, avvisano molto chiaramente gli utenti che nessuno deve chiedere loro codici, password o PIN. Eccetera.
Sapendo che i criminali useranno ogni appiglio emotivo per le loro
trappole, una buona prassi di sicurezza è non creare appigli emotivi
inutili. Esempio: un’azienda mette un accesso controllato con password ai PC dei
dipendenti. “Per sicurezza”, l’accesso ha un timer di 30 secondi entro i quali va digitata la password, così
non può essere lasciato incustodito. Errore gravissimo, perché il tempo troppo breve crea stress
all’utente, che si angoscia e quindi non si accorge se l’accesso è stato sostituito da un malware rubapassword: una schermata molto simile a quella legittima, ma non proprio identica.
Lo facevo io (il rubapassword) in un’azienda dove ero aiuto sysadmin, per dimostrare il concetto.
Certo, l’errore è formalmente dell’utente, ma è complice anche chi ha creato la condizione che
incoraggia decisioni basate sull’ansia invece che sulla serena
razionalità e valutazione della situazione.
Le app di tracciamento anti-Covid-19 sono un classico esempio di situazione
fortemente emotiva. Chi le organizza dovrebbe rendersi conto che questa
emotività verrà sfruttata da malintenzionati e predisporre soluzioni che
riducano il rischio.
Per esempio, le app andrebbero introdotte con la chiara avvertenza “l’app
si scarica solo dal sito ufficiale; l’app NON manderà mai SMS di
allarme; diffidate di qualunque avviso di natura differente.” Invece questa comunicazione non è stata fatta. Anzi, si è fatto solo un gran
casino e non si capisce più niente.
Non solo: le situazioni emotive
andrebbero introdotte solo se dimostrabilmente vantaggioso o necessario, e qui manca
la dimostrazione che l’app funzioni e quindi sia realmente vantaggiosa e/o necessaria. È come offrire un’app di home banking che poi all’atto pratico ti obbliga comunque ad andare in banca di persona.
Spero di aver chiarito il concetto.
Se vi sembra ancora ingenuo o disonesto, vi consiglio di cliccare qui
per saperne di più e per avere una demo di cosa intendo per provocare
reazioni emotive: non usate Internet Explorer per cliccare sul link.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.
I tantissimi nuovi utenti di Zoom stanno imparando a proprie spese che questo servizio di videoconferenze ha dei seri problemi di privacy e di sicurezza, come ho già accennato la settimana scorsa, sia per via dei suoi difetti tecnici, sia a causa dell’impreparazione e dell’eccessiva fiducia degli utenti.
Zoom ha dichiarato di essere passata dalla gestione di circa 10 milioni di utenti giornalieri a oltre 200 milioni, di aver risolto una falla di sicurezza che permetteva di rubare le credenziali degli utenti Windows, un’altra che permetteva di prendere il controllo di webcam e microfono di un Mac e di aver smesso di passare dati a Facebook nella versione iOS dell’applicazione. Se usate Zoom, quindi, aggiornate l’applicazione in modo da usare la versione più recente e robusta.
Ma alcuni problemi sono rimasti. Il primo è che le videoconferenze fatte con Zoom non sono completamente cifrate (non è una vera crittografia end-to-end, ma è una crittografia parziale, nonostante le dichiarazioni ambigue della Zoom Video Communications), per cui in teoria l’azienda potrebbe accedere alle comunicazioni dei suoi utenti. Questo rende piuttosto discutibili scelte come quella del primo ministro britannico, Boris Johnson, di tenere una riunione di gabinetto tramite Zoom e oltretutto vantarsene pubblicamente.
This morning I chaired the first ever digital Cabinet.
— Boris Johnson #StayHomeSaveLives (@BorisJohnson) March 31, 2020
Il secondo problema si chiama Zoombombing: incursioni di bande di utenti all’interno di videoconferenze altrui, spesso per origliare oppure per pubblicare materiale osceno o lanciare insulti fino a costringere gli utenti legittimi a interrompere la sessione. Ho assistito in diretta ad alcuni di questi attacchi, e non sono per nulla piacevoli da subire, specialmente se si tratta di un docente che sta facendo lezione e compaiono di colpo video di torture o altre violenze sullo schermo di tutti gli studenti.
Questi vandalismi sono resi possibili dal fatto che ogni videoconferenza fatta con Zoom ha un numero identificativo composto da 9, 10 o 11 cifre, che può essere scoperto facilmente ed è tutto quello che serve per aggiungersi a una sessione se non sono state prese altre misure di protezione.
L’esperto di sicurezza Brian Krebs nota che esistono degli strumenti di wardialing che tentano tutti i numeri identificativi possibili delle sessioni Zoom, e i risultati non sono confortanti: nel giro di un’ora i ricercatori che hanno usato uno di questi strumenti hanno trovano in media 110 sessioni prive di password e quindi attaccabili. Molte appartenevano a banche, società di consulenza internazionali, aziende con contratti governativi e altre società del settore finanziario.
Automated Zoom conference meeting finder ‘zWarDial’ discovers ~100 meetings per hour that aren’t protected by passwords. The tool also has prompted Zoom to investigate whether its password-by-default approach might be malfunctioning https://t.co/dXNq6KUYb3pic.twitter.com/h0vB1Cp9Tb
Zoom ha pubblicato una guida dettagliata su come configurare l’applicazione in modo da bloccare questi attacchi, ma al momento è disponibile soltanto in inglese; Aranzulla.it ha una miniguida in italiano.
Se usate un Mac e avete bisogno di partecipare a un incontro tramite Zoom, consiglio di non installare l’applicazione ma di aprire il link al meeting usando Google Chrome e attendere qualche secondo che compaia l’invito “click here to launch the meeting”. Cliccandovi sopra, comparirà la dicitura “If you cannot download or run the application, join from your browser”: cliccate su “join from your browser” e autorizzate l’accesso alla telecamera e al microfono.
Si parla spesso con preoccupazione dell’aggiornabilità delle automobili via Internet: c’è chi teme che un aggiornamento possa portare virus, revocare funzioni o addirittura paralizzare l’auto mentre è in movimento, come succede con i computer.
In realtà le auto aggiornabili sono praticamente impossibili da infettare, perché scaricano gli aggiornamenti su una connessione diretta al sito del produttore e gli aggiornamenti scaricati sono firmati digitalmente, e soprattutto vengono installati esclusivamente quando l’auto è ferma e parcheggiata. La possibile revoca delle funzioni è l’unica critica sensata, ma avviene anche nelle auto tradizionali.
Non si parla molto, invece, del problema opposto: che cosa succede alle auto che non si possono aggiornare e nelle quali si scopre un difetto di sicurezza?
Un esempio arriva dai ricercatori delle università di Leuven, in Belgio, e di Birmingham, nel Regno Unito, che hanno pubblicato una ricerca sulle vulnerabilità delle chiavi di avviamento elettroniche di varie marche di auto. I sistemi di crittografia (DST80) usati per proteggere le auto contro gli avviamenti senza chiave sono infatti stati implementati maldestramente da Toyota, Hyundai, Kia e Tesla, per cui un ladro che riesca ad avvicinarsi alle chiavi di queste auto può copiarle usando un lettore e trasmettitore RFID della Proxmark e, con un po’ di destrezza, usare questa copia per avviare l’auto.
La lista delle auto vulnerabili a questo attacco è pubblicata nella ricerca e anche da Wired.com: si tratta di veicoli usciti fra il 2009 e il 2017. Secondo i costruttori, i modelli nuovi non hanno più questa falla, ma nel caso di Toyota, Kia e Hyundai chi ha un modello vecchio è costretto a tenersela.
Fa eccezione Tesla, che alcuni mesi fa ha risolto il problema distribuendo via Internet a tutte le sue Model S un aggiornamento software gratuito. Non tutti gli aggiornamenti, insomma, vengono per nuocere.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2016/06/02 10:50.
Mikko Hypponen, di F-Secure, ha raccontato di recente al Collision di New Orleans alcuni suoi casi di lavoro molto illuminanti: un informatico che si è dato al crimine perché nel suo paese non c’erano sbocchi legali per il suo talento; una vittima di ransomware, che conferma che pagare conviene, purtroppo; un tracciamento del giro di denaro enorme dei ransomware, reso possibile dai bitcoin; la visione del mondo che hanno i paesi dove prospera il crimine informatico semplicemente perché in quei paesi la polizia ha problemi ben più gravi; i pregiudizi sull’uso dei siti d’incontri, che causano danni a persone innocenti; e l’attacco informatico all’Ucraina, vero e proprio esempio di guerra informatica.
Ho preparato una rapida trascrizione che può aiutarvi a seguire l’ottimo inglese di Mikko; dopo la pubblicazione iniziale di questo articolo, ho ricevuto il permesso di Mikko di pubblicare anche una mia traduzione, che trovate più sotto (grazie a chi mi ha dato una mano). Se trovate errori, segnalateli nei commenti.
Dopo questi racconti non dormirete tranquilli, ma questa è la realtà informatica che ci circonda.
My name is Mikko and I hunt hackers. Well, actually, I hunt the evil kind of hackers, because there’s a lot of different hackers. Some are actually good. We like some hackers, but some we don’t. And in this line of work, when you hunt hackers, analyze malware and reverse engineer online attacks, you get to meet different kinds of people. We regularly infiltrate forums in the deep web to figure out what’s happening right now in the world of cybercrime organized gangs, and try to figure out what’s their next step. So let me tell you a couple of stories about the kind of people that I meet in this line of work.
I regularly meet the attackers themselves, because we work with law enforcement to do investigations, and there was this one guy that I met around two years ago. His name was Sorin; he’s from Romania, in Eastern Europe. He lives in a small village maybe a hundred kilometers east from Bucharest, the capital of Romania. And he was running botnets: he was making money online with cybercrime. And his botnets had these keylogger components to steal people’s credit card numbers. That’s what he was doing. He was stealing people’s credit card numbers as they were typing their credit card details on their infected computers while they were doing online shopping. So he was caught, he was charged, sentenced – he’s actually right now in jail. But when I met him and I spoke with him I asked him why: why did you choose this career? Why did you go into the life of crime?
Obviously he was smart, he was a programmer, he could have done other things. And he told me that, well, he didn’t really see other options. In this tiny village where he was living, you know, there weren’t any jobs, there weren’t any startups. The easiest way for him to turn his skills into income was to go into the life of crime. And the lesson here is that many of these problems that we’re fighting aren’t really technical: they are social problems. When you have people with the skills but without the opportunities you end up with problems like cybercrime. And that is a hard problem to fix. It’s easy to fix technical problems; it’s hard to fix social problems.
Now, I also meet a lot of victims when I work with computer security. And I met this one guy, actually a CEO for a startup in San Francisco, a couple of months ago. And I spoke with him because his company was in a big problem, because one of the employees had become infected with a ransom trojan and that employee’s computer, his laptop, had been encrypted by the ransom trojan. Not only that, it had also mounted all the shares that this user could see in their network and encrypted all those, including their Dropbox shares. And ransom trojans make money by locking you out of your data. You get hit by a ransom trojan like Reveton or Cryptowall or Petya and it will encrypt your files and then it will demand a payment in bitcoin from you in order to get your own files back.
And if you actually pay – if you actually pay – the ransom, like this guy did, you will get your files back. These cybercrime gangs that work with ransom trojans practically always deliver. If you pay, you will get your files back. So at least they are honest criminals. And the reason why these gangs are honest, why they deliver, is that these guys need a good reputation. Pretty much any victim for any ransom trojan will first try googling for a solution. Like let’s say you get hit with Teslacrypt or Hydracrypt; you will Google for “Teslacrypt help”. And when you do that, you will find earlier victims, people who had been infected with the same ransom trojan maybe last week, and they will tell their story: “I got infected, the encryption that they used was too strong, we couldn’t figure out any way to decrypt the files, I didn’t have backups, so I ended up paying two bitcoins to get my files back, and as soon as I paid they did provide me with a program which did decrypt all my files, I got everything back, they supported me – nice guys, you know, would recommend, five out of five”. So these guys need a good reputation, so that future victims will pay as well.
Now the megatrend that has made ransom trojans one of the biggest headaches, one of biggest problems we have right now, is bitcoin: the fact that now, for the first time, online criminals have a way of getting the payday without us being able to follow the money and catch them. This is the problem. Now that doesn’t mean that bitcoin is bad, because bitcoin isn’t bad, or any blockchain-based currency, they aren’t bad. They’re just tools: just like cash is neutral. I mean, we all carry cash in our pockets, but especially criminals love cash, because for example real-world drug trade is done with cash. It’s kind of hard to buy cocaine with a credit card – or so I’ve been told. And exactly for the same purpose online criminals use the online equivalent of cash: bitcoin.
But the most important difference between real-world cash and online cash is that bitcoin can be tracked to an extent. Bitcoin is based on blockchain. Blockchain is a public ledger. And when I say public, I really mean public. So public that anybody – I mean, any of you – can go online today and download the whole bitcoin blockchain, which will include every single transaction that has ever been done with bitcoin. Now you don’t see who sent money to who, but you do see the transactions – like how much money, when, and from which wallet to which wallet. And this means that we can actually track the amount of money online criminals are moving: not who they are, but we can see how much they’re moving. And it turns out that some of these ransom trojan gangs are making a lot of money.
For example, the Cryptowall gangs bitcoin wallets have had traffic worth more than $300 million over the last two years. Three hundred million dollars. Now if that would be a company instead of a cybercrime gang, that would probably be a unicorn. If you make 300 million in revenue and are very profitable, you probably would be a unicorn company. Cybercrime unicorns: we have cybercrime unicorns. Lesson here is that the money moving in these online cybercrime gangs is surprisingly large. Online organized crime is surprisingly large.
We also regularly work with the cops, and I remember this one meeting I had with law enforcement officers in Brazil, in São Paulo; this small unit of cops working for the central criminal police of São Paulo trying to solve cybercrime cases in Brazil. And São Paulo as a city is one of the hotspots in the world. São Paulo for years, for example, was the capital for banking trojans: they were creating more banking trojans in São Paulo than anywhere else in the world.
So when I met these guys I suppose I was sort of the ignorant European who comes over to tell these people what problems they have, and they really taught me a lesson, because after we chatted for a while and I told them what we see about the kind of crime coming out of their country, one of these cops told me that well, yeah, they get that. They understand that they have a problem. They know that there’s lots of cybercrime in there: they understand it. But what I should understand is that São Paulo is also one of the murder capitals of the world. So where exactly should the law enforcement there be putting their limited resources? To fight online crime, which is certainly a problem, or to fight crimes where people actually die? And when you look at it from that point of view it’s quite clear where you put your limited resources. And the lesson here is that problems seem different, they seem much smaller when you look at them from far away. But when you get closer the problems look different.
Then last year I met this lady in Australia. She wasn’t really a victim of a hack. Not directly. She wasn’t hacked herself: she was a victim of a data leak. It turns out that she had an account at Ashley Madison. She had an account at AshleyMadison.com, the cheating website. And as the Ashley Madison database was leaked, publicly published, late last year, her identity, the fact that she was there, became public as well. And of course the word got around: people at the office heard about it, the neighbors heard about it. Very embarrassing, of course. However, the reason why she was on Ashley Madison was not that she was trying to cheat on her husband. Quite the contrary.
A couple of years earlier she had suspected her husband of infidelity. She suspected that he was cheating on her. And she was convinced that he had an account at Ashley Madison, so she actually went to Ashley Madison trying to find him. She registered an account trying to find him, but she never did. Then she forgot all about it, until the neighbors started chatting about how she’s a user of Ashley Madison. Now the lesson here is that we really shouldn’t be jumping to conclusions.
Now everything around us is more and more running on computers and software. It’s not just the computers that we are protecting anymore: it’s pretty much the whole infrastructure. And this was very clear when I met this guy who works for a company called Prykarpattya Oblenergo; that’s a company in Ukraine, headquartered in Kiev. It’s a company which handles the electrical grid for most of Ukraine. And this company was hit with a cyberattack last Christmas Eve’s eve, on December 23 [2015].
What actually happened on December 23 was that one of the operators realized that his mouse doesn’t work. His mouse doesn’t work: that’s how it started. Maybe it’s broken, maybe it’s a bad battery, but then the operator realizes that although his mouse didn’t work, the cursor was moving on the screen anyway. And this is a bad sign. You can take this to heart: if your mouse doesn’t work but it’s still moving, you have a problem. And they did have a problem. It turns out that he was locked out from his own workstation: a Windows workstation which was used to operate the actual electrical grid – to actually operate the relays that control the flow of electricity in Ukraine. And he wasn’t alone: all the operators in the same room were locked out of their own systems. So they were just bystanding and watching as someone else was using their computers to turn off backup power and then switch off relays, which directly translated into power being cut off in different parts of Ukraine.
It only took the shadow operator half a minute to switch off power for 200,000 people, eventually clicking the relay which controlled the power for the building where the operators were in themselves, so they were left in the darkness.
Now this power outage didn’t last forever. Power was recovered within a couple of hours. Not through computers, because the unknown attacker had actually overwritten the firmware on the control equipment. So there was no way to recover: they actually had to physically go and switch the relays on by hand. But that’s what they did, and they recovered the power to most of the country within the day. Which was very good, because this was in December, and temperatures can get really freezing in December: you can easily see how this could have turned into something more serious if the power had been out for maybe a week, well, people start dying as temperature start dropping. And at the very same time when this attack was underway, the company was hit with a denial of service attack which overflowed their phone central. Phones were ringing off the hook. Whoever was behind the attack launched a phone denial of service attack at the same time, maybe to disrupt the operations or maybe just to prevent real victims of the power outage from being able to call the power company and report the outage. And all those phone calls which were coming into this company in Ukraine were coming from Russia; they were coming from the area code of Moscow.
Now this is important, because Ukraine and Russia are at war. Russians don’t call it a war, but Russia has annexed part of Ukraine and joined it to its own country. With force. I call that a war. So when you have something like this happening between two countries who are at war, well, I think we really should be calling that cyberwar.
Cyberwar is a term that I’ve never liked, because almost always when it’s being used it’s being used incorrectly. You know, there’s some random denial of service attack somewhere or there’s some spying attack somewhere else, maybe done by a nation-state, maybe not; but the headlines will always speak about cyberwar. But most of those cases are not about war: most of those cases are about espionage and spying. And espionage isn’t war, and spying isn’t war. But what happened on Christmas Eve’s eve in Ukraine was something different.
So we are entering a new era. We just got rid of the last arms race, the nuclear arms race, and now it seems we’re entering the next arms race, the cyber arms race; and I believe that we’ve seen only the very beginning of this arms race. It will most likely go on for decades. And that attack was possible because everything around us is being controlled by computers. Every single factory is being run by computers. Every single power plant, every single food processing plant. And we all know that this is extending into our homes with the IOT revolution. You can’t imagine a device so small or insignificant that it wouldn’t be online. Eventually, everything will be online – your toasters will be online, whether you like it or not, whether it makes any sense or not: your goddamn toasters will be online. Which means they will be a vector for attackers.
Attackers aren’t really interested in hacking toasters, but if the toaster will leak your Wi-Fi password they will certainly use that as a way of getting into your home network or into your enterprise network. They are becoming vectors for attackers, and that’s why we have to secure them, and that is hard.
The lesson here is that whenever you hear the word “smart” what you should be thinking about is “exploitable”. You know: a smart factory, exploitable factory; smart grid, exploitable grid; smart car, smartwatch, smartphone. That’s what it means: it’s programmable, which means it’s exploitable.
But don’t get me wrong. I do believe that the Internet is the greatest thing that has happened to mankind during our generations. When there will be history books written about this time, a hundred years from now, the thing that they will highlight as the most important thing is that we were the people that first got online. The Internet was born, and yes – the Internet was born, and when it was born it created problems for us. We no longer have to worry about just criminals who are close to us; we have to worry about criminals who can be anywhere on the planet, but clearly it has brought us more good than bad. So much connectivity, so much business, so much entertainment: clearly more good than bad. And I wish – I hope – that eventually we can say the same thing about the Internet of things as well. I hope it will eventually bring us more good than bad, just like the Internet has brought us more good than bad. Thank you very much.
Traduzione (grazie ancora ai commentatori che hanno contribuito):
Mi chiamo Mikko e sono un cacciatore di hacker. Be’, in realtà vado a caccia degli hacker cattivi, perché ci sono molti tipi diversi di hacker. Alcuni sono buoni. Alcuni ci piacciono, altri no. Nel mio lavoro, quando vai a caccia di hacker, analizzi il malware e fai reverse engineering degli attacchi online, incontri persone di vario genere. Noi ci infiltriamo abitualmente nei forum nel deep web per capire cosa sta succedendo in questo momento nel mondo delle bande di criminali informatici organizzati e per cercare di capire quale sarà il loro prossimo passo. Per cui lasciate che vi racconti qualche storia sul genere di gente che incontro nel mio lavoro.
Mi capita spesso di incontrare gli aggressori stessi, perché collaboriamo con le forze dell’ordine per le indagini, e un paio di anni fa ho incontrato una persona, Sorin, che viene dalla Romania, in Europa orientale. Vive in un piccolo villaggio a un centinaio di chilometri a est di Bucarest, la capitale della Romania. Gestiva delle botnet: faceva soldi online con il crimine informatico. Le sue botnet avevano dei componenti keylogger per rubare i numeri delle carte di credito delle persone. Rubava i numeri delle carte di credito della gente mentre questa gente li digitava sui propri computer infetti durante gli acquisti online. Lo hanno beccato, incriminato e condannato: in questo momento è in carcere. Ma quando l’ho incontrato e gli ho parlato gli ho chiesto il perché. Perché hai scelto questa carriera? Perché ti sei dato al crimine?
Era chiaramente un tipo sveglio, era un programmatore, avrebbe potuto fare altro. Mi ha detto che, be’, non vedeva altre possibilità. Nel paesino dove viveva non c’era lavoro, non c’erano delle startup. Per lui il modo più facile di trasformare il suo talento in un reddito era darsi al crimine. La lezione, qui, è che molti di questi problemi con i quali stiamo lottando non sono in realtà tecnici, ma sociali. Se hai gente con talento ma senza opportunità, finisci per avere problemi come il crimine informatico. E questo è un problema difficile da sistemare. È facile risolvere i problemi tecnici; è difficile risolvere quelli sociali.
Quando mi occupo di sicurezza informatica incontro anche tante vittime. Un paio di mesi fa ho incontrato questo tizio, un CEO di una startup a San Francisco. Gli ho parlato perché la sua azienda aveva un grosso problema: uno dei suoi dipendenti si era infettato con un trojan che chiede un riscatto e il computer di quel dipendente, il suo laptop, era stato cifrato dal trojan. Non solo: aveva montato tutte le condivisioni che quell’utente poteva vedere nella propria rete e aveva cifrato anche quelle, comprese le condivisioni su Dropbox. Questi trojan fanno soldi impedendoti di accedere ai tuoi dati. Ti prendi un trojan come Reveton o Cryptowall o Petya, che ti cifra i file e poi ti chiede un pagamento in bitcoin per farteli riavere.
E se paghi il riscatto – se lo fai davvero – come ha fatto questa persona, riavrai i tuoi file. Queste bande di criminali informatici che lavorano con i trojan con riscatto [ransomware, n.d.t.] mantengono praticamente sempre l’impegno preso. Se paghi, riavrai i tuoi file. Per cui perlomeno sono criminali onesti. La ragione per cui lo sono è che hanno bisogno di una buona reputazione. Quasi tutte le vittime di un trojan con riscatto per prima cosa cercano una soluzione su Google. Per esempio, ti prendi Teslacrypt o Hydracrypt e vai su Google a cercare “Teslacrypt aiuto”. Quando lo fai, trovi le vittime precedenti, persone infettate dallo stesso trojan magari una settimana fa, che ti raccontano la propria storia: “Mi sono infettato, la cifratura che usavano era troppo robusta, non riuscivamo a trovare un modo per decifrare i file, non avevo un backup, per cui ho pagato due bitcoin per riavere i miei file, e non appena ho pagato mi hanno dato un programma che ha davvero decifrato tutti i miei file; ho riavuto tutto, mi hanno fatto assistenza – gente simpatica, la raccomanderei, cinque su cinque”. Per cui a questa gente serve una buona reputazione in modo che anche le vittime future paghino.
Ora la mega-tendenza che ha reso i trojan con riscatto uno dei più grandi mal di testa, uno dei più grandi problemi che abbiamo in questo momento, è il bitcoin: il fatto che ora, per la prima volta, i criminali online hanno un modo di ricevere la paga senza che noi possiamo seguire il denaro e quindi catturarli. Questo è il problema. Ora questo non significa che il bitcoin sia un male, perché il bitcoin non è male, o qualsiasi altra valuta basata sulla blockchain, non sono un male. Sono solo strumenti: proprio come è neutrale il denaro contante. Voglio dire, tutti portiamo contanti in tasca, ma soprattutto i criminali amano i contanti, perché per esempio il traffico di droga nel mondo reale è fatto con denaro contante. È un po’ difficile comprare cocaina con una carta di credito – o almeno così mi è stato detto. Ed esattamente per lo stesso scopo i criminali online utilizzano l’equivalente online del denaro contante: il bitcoin.
Ma la differenza più importante tra i contanti del mondo reale ed il contante virtuale è che i bitcoin possono essere tracciati fino ad un certo punto. I bitcoin sono basati su una blockchain. La blockchain è un registro pubblico. E quando dico pubblico, intendo veramente pubblico. Talmente pubblico che chiunque – intendo ognuno di voi – può andare online oggi e scaricare tutta la blockchain dei bitcoin, che includerà ogni singola transazione che sia mai stata fatta con i bitcoin. Non potreste vedere chi ha mandato soldi a chi, ma vedreste le transazioni – tipo quanti soldi, quando e da quale portafogli verso quale altro portafogli. Questo significa che possiamo davvero tracciare l’ammontare di denaro che i criminali informatici stanno muovendo: non chi sono, ma quanti soldi muovono. E ne risulta che alcune di queste gang del trojan con riscatto stanno facendo soldi a palate.
Per esempio, i portafogli di bitcoin delle bande che usano Cryptowall hanno avuto un traffico del valore di più di 300 milioni di dollari negli ultimi due anni. Trecento milioni di dollari. Se fosse un’azienda invece che una banda di criminali, sarebbe probabilmente un “unicorno” [una start-up valutata oltre un miliardo di dollari, n.d.t.]. Se fai 300 milioni di ricavi e hai profitti elevati, probabilmente sei un unicorno. Unicorni di cybercrimine: abbiamo gli unicorni di cybercrimine. La lezione da imparare è che l’ammontare di denaro che muovono queste bande del crimine informatico online è sorprendentemente grande. Il cybercrimine organizzato è sorprendentemente grande.
Lavoriamo anche regolarmente con la polizia e ricordo un incontro che ho avuto con i funzionari delle forze dell’ordine in Brasile a São Paulo; una piccola unità di poliziotti che lavoravano per la Polizia Criminale Centrale di São Paulo e cercavano di risolvere i casi di cybercrimine in Brasile. São Paulo, come città, è un punto caldo planetario. Per esempio, per anni São Paulo è stata la capitale per i trojan bancari: venivano creati più trojan bancari a São Paulo che in qualsiasi altro luogo nel mondo.
Così quando li ho incontrati immagino di essere stato un po’ l’europeo ignorante che arriva e dice alla gente quali problemi ha, ma mi hanno davvero insegnato una lezione, in quanto dopo aver chiacchierato per un po’ e dopo aver detto loro che tipo di crimini vedevamo partire dal loro Paese, uno di loro mi ha detto che, beh, sì, capiscono. Sanno di avere un problema. Sanno di avere molto crimine informatico: lo capiscono. Ma quello che dovevo capire io era che São Paulo è anche una delle capitali degli omicidi nel mondo. Quindi a cosa dovrebbero dedicare le proprie esigue risorse le forze dell’ordine? A combattere il crimine online, che è sicuramente un problema, o a combattere i crimini nei quali le persone muoiono davvero? Quando si guarda la situazione da questo punto di vista è abbastanza ovvio decidere dove indirizzare le proprie risicate risorse. La lezione qui è che i problemi sembrano differenti, diventano molto più piccoli quando li guardi da molto lontano. Ma quando ti avvicini i problemi cambiano aspetto.
L’anno scorso ho incontrato una donna in Australia che non era una vittima di un’intrusione informatica. Perlomeno non direttamente. Non era lei ad aver subito una violazione informatica, però era la vittima di una fuga di dati. Aveva un account presso Ashley Madison. Aveva un account presso AshleyMadison.com, il sito web per le infedeltà coniugali. E quando il database di Ashley Madison è stato trafugato e pubblicato, alla fine dell’anno scorso, è stata resa pubblica anche l’identità di questa donna. Il fatto che c’era anche lei è diventato pubblico. E naturalmente la voce s’è sparsa: l’hanno saputo in ufficio, l’hanno saputo i vicini di casa. Molto imbarazzante, ovviamente. Ma la ragione per la quale la donna era su Ashley Madison non era l’adulterio. Anzi.
Un paio d’anni prima aveva avuto sospetti d’infedeltà sul marito. Sospettava che lui la tradisse. Lei si era convinta che lui avesse un account presso Ashley Madison e così era andata su Ashley Madison per cercarlo. Aveva registrato un account nel tentativo di trovarlo ma non c’era riuscita. Poi aveva dimenticato tutta la faccenda, fino a quando i vicini hanno cominciato a spettegolare sul fatto che lei era una utente di Ashley Madison. La lezione, in questo caso, è che non dovremmo saltare alle conclusioni.
Tutto quello che ci circonda è sempre più basato su computer e software. Ora non proteggiamo più soltanto i computer: proteggiamo praticamente l’intera infrastruttura. E questo è risultato molto chiaro quando ho incontrato questa persona che lavora per un’azienda che si chiama Prykarpattya Oblenergo; un’azienda in Ucraina, con sede a Kiev. Gestisce la rete elettrica per la maggior parte dell’Ucraina. E quest’azienda è stata colpita da un attacco informatico il giorno prima della vigilia di Natale dell’anno scorso, il 23 dicembre [2015].
Il 23 dicembre [2015] uno degli operatori si è accorto che il mouse non gli funzionava. È cominciata così. Forse il mouse era rotto, magari la batteria era difettosa. Ma poi l’operatore si è reso conto che anche se il suo mouse non funzionava, il cursore si stava spostando lo stesso sullo schermo. E questo è un cattivo segno. Tenetevelo bene in mente: se il vostro mouse non funziona ma il cursore si sta ancora muovendo, avete un problema. E loro avevano un problema: lui era stato disconnesso dalla propria postazione di lavoro Windows, usata per controllare la rete elettrica e azionare i relè che controllano il flusso di elettricità in Ucraina. E non era il solo: tutti gli operatori nella stessa sala erano stati disconnessi dai propri sistemi. Per cui hanno assistito inermi mentre qualcun altro usava i loro computer per spegnere le fonti d’energia di riserva e poi spegnere i relè, col risultato diretto di togliere la corrente in varie parti dell’Ucraina.
All’operatore fantasma è bastato mezzo minuto per spegnere la corrente a 200.000 persone. A un certo punto ha disattivato anche il relè che controllava l’energia elettrica dell’edificio nel quale si trovavano gli operatori, lasciandoli così al buio.
Questo blackout non è durato per sempre: la corrente è stata ripristinata nel giro di un paio d’ore. Non tramite i computer, perché l’aggressore ignoto aveva sovrascritto il firmware sui dispositivi di controllo e quindi non c’era modo di ripristinare: sono dovuti andare fisicamente a commutare a mano i relè. Ma l’hanno fatto e sono riusciti a ridare elettricità alla maggior parte del paese in giornata. Che è una buona cosa, perché era dicembre e le temperature possono diventare davvero gelide a dicembre: è chiaro che la cosa sarebbe potuta diventare ben più seria se l’energia fosse stata interrotta per una settimana e la gente avesse iniziato a morire man mano che calavano le temperature. E mentre era in corso questo attacco l’azienda è stata colpita da un attacco di denial of service che ha sovraccaricato il centralino telefonico. Squillavano tutti i telefoni in continuazione. Chi aveva lanciato l’attacco aveva contemporaneamente avviato un attacco di blocco del servizio telefonico, forse per sabotare il lavoro o semplicemente per impedire alle persone effettivamente colpite dal blackout di chiamare l’azienda e segnalarlo. E tutte quelle chiamate che arrivavano all’azienda in Ucraina arrivavano dalla Russia. Provenivano dal prefisso telefonico di Mosca.
Tutto questo è importante, perché l’Ucraina e la Russia sono in guerra fra loro. I russi non la chiamano guerra, ma la Russia si è annessa una parte dell’Ucraina e l’ha unita al proprio paese. Con la forza. Io questa la chiamo guerra. Quindi quando hai una cosa di questo genere che avviene fra due paesi che sono in guerra fra loro, be’, credo che dovremmo veramente chiamarla cyberguerra.
“Cyberguerra” è un termine che non mi è mai piaciuti, perché quasi sempre viene usato a sproposito. Per esempio, c’è un attacco di denial of service a caso da qualche parte, oppure c’è un attacco di spionaggio da qualche altra parte, magari ad opera di uno stato oppure no; ma i titoli dei giornali parlano sempre di cyberguerra. Eppure la maggior parte di questi casi non riguarda una guerra: riguarda lo spionaggio e la sorveglianza. E lo spionaggio e la sorveglianza non sono guerra. Ma quello che è successo alla vigilia della vigilia di Natale è stato qualcosa di diverso.
Stiamo quindi entrando in una nuova era. Ci siamo appena sbarazzati dell’ultima corsa agli armamenti, quella nucleare, e ora sembra che stiamo iniziando la prossima corsa, quella alle armi informatiche, e credo che ne abbiamo visto soltanto l’inizio. Probabilmente andrà avanti per decenni. Quell’attacco è stato possibile perché tutto intorno a noi è controllato dai computer. Ogni fabbrica è gestita da computer. Ogni singola centrale elettrica, ogni impianto di trattamento degli alimenti. E sappiamo tutti che questa tendenza sta entrando nelle nostre case con la rivoluzione dell’Internet delle Cose. Non c’è dispositivo troppo piccolo o troppo insignificante per non metterlo online. Prima o poi tutto sarà online: saranno online i vostri tostapane, che vi piaccia o no, che abbia senso o no. I vostri stramaledetti tostapane saranno online. E questo vuol dire che saranno un vettore per gli aggressori.
Gli aggressori in realtà non sono interessati a violare i tostapane, ma se il tostapane si fa sfuggire la vostra password del Wi-Fi lo useranno certamente come modo per entrare nella vostra rete domestica o aziendale. Stanno diventando vettori per gli aggressori, ed è per questo che dobbiamo metterli in sicurezza, e questo è difficile.
La lezione in questo caso è che tutte le volte che sentite la parola “smart” dovreste pensare “vulnerabile”. Nel senso di “fabbrica smart”, “fabbrica vulnerabile”; “rete elettrica smart”, “rete elettrica vulnerabile”; smart car, smartwatch, smartphone. Questo è il significato: è programmabile, quindi è vulnerabile.
Ma non fraintendetemi. Credo fermamente che Internet sia la cosa più grande capitata all’umanità nel corso delle nostre generazioni. Quando verranno scritti i libri di storia a proposito del nostro tempo, fra cent’anni, quello che metteranno in evidenza è che noi siamo stati quelli che per primi sono andati online. È nata Internet, e quando è nata ci ha causato dei problemi. Non dobbiamo più preoccuparci soltanto dei criminali che ci stanno vicino; dobbiamo preoccuparci anche per criminali che possono essere ovunque nel mondo. Ma è chiaro che ci ha portato più benefici che danni. Così tanta connettività, così tanti affari, così tanto intrattenimento: chiaramente più bene che male. E desidero – spero – che prima o poi potremo dire la stessa cosa a proposito dell’Internet delle cose. Spero che ci porterà più bene che male, proprio come Internet ci ha dato più bene che male. Grazie.
Per evitare ulteriori confusioni, l’articolo è stato riscritto alla luce delle nuove dichiarazioni della ministra e del Ministero per l’Innovazione italiani. La versione originale è in fondo. Ultimo aggiornamento: 2020/01/11 14:10.
Nei primi minuti della puntata di Eta Beta di Radio Rai di stamattina (riascoltabile qui), la ministra italiana per l’Innovazione Paola Pisano ha fatto una dichiarazione che ha creato un certo sconcerto in Rete, ripreso per esempio da Repubblica. La dichiarazione testuale è questa (quella di ANSA è sbagliata):
Con l’identità digitale noi avremo un’unica e sola user e password per accedere a tutti i servizi digitali, ma questa user e password potrebbe anche essere utilizzata per accedere non solo ai servizi digitali della pubblica amministrazione ma ai servizi digitali anche del privato. Per esempio il nostro conto in banca, per esempio prenotare un’auto in sharing, andare al cinema, per esempio comprare su Amazon. Ogni volta che noi abbiamo una user e una password, questa user e password dovrebbe essere data dallo Stato, perché è lo Stato l’unico soggetto che ha davvero certezza che quello è quel cittadino. E lei lo sa quante truffe ci sono sull’identità su Internet.
La ministra ha successivamente chiarito che si riferiva a SPID, il sistema pubblico di identità digitale, non a “user e password”. Però ha parlato di “user e password”, non di SPID. Che sono due cose drasticamente differenti: è come dire “volevo parlare di burro, ma mi è uscito di bocca ‘locomotiva’”.
Da qui è nata la polemica, successivamente chiarita in parte da una rettifica della ministra e del Ministero.
La ministra Pisano ha infatti postato questo tweet di precisazione: “Vediamo di sgombrare il campo da ogni equivoco: l’identità digitale sarà rilasciata dallo Stato e servirà a identificare il cittadino in modo univoco verso lo Stato stesso. In futuro, per aziende e cittadini che lo vorranno, POTREBBE essere ulteriore sistema di autenticazione”.
Il Ministero per l’Innovazione ha poi pubblicato un tweet di ulteriore chiarimento: “Nessuna nuova proposta, né nuova password di Stato. @PaolaPisano_Min a @EtaBetaRadio1 si riferiva a #SPID già usata da 5 mln di italiani. L’intenzione da discutere con tutti gli interlocutori istituzionali competenti è solo quella di affidarne la gestione direttamente allo Stato”.
Quindi no, la ministra non voleva dire che dovremmo avere una sola password, e pure di Stato, ma si è espressa in modo talmente confuso da aver dato quest’impressione.
La dichiarazione della ministra, nonostante le successive correzioni, è comunque molto problematica: usare l’identità digitale fornita dallo Stato (SPID) anche per gli acquisti e i servizi nel settore privato significa collegare le attività private (che in una democrazia non devono interessare a uno Stato) a quelle che riguardano lo Stato (tasse, certificati, atti pubblici), e questa è sempre una pessima idea. Vostra figlia ha il diritto di acquistare un sextoy o leggere Mein Kampf o una guida all’Islam o un sito sull’aborto o la contraccezione senza che lo Stato ci possa mettere il becco o schedarla per le sue abitudini.
Per chi obietta che con SPID lo Stato non sa cosa ha comprato o letto vostra figlia perché non vede cosa fa nel sito nel quale si è loggata usando SPID, va detto che a volte basta che lo Stato (o l’Identity Provider privato che offre il servizio SPID per conto dello Stato) sappia il nome del sito per capire cosa ha comprato, letto o guardato la visitatrice.
È il solito problema dei metadati. Se vostra figlia si logga su Sextoys-per-ragazze punto com, Meinkampf-aveva-ragione punto com, Gravidanza-inattesa punto com, Rovesciare-il-governo punto it o Islam-per-tutti punto info, non ci vuole un grande studio per dedurre i suoi interessi, orientamenti e problemi.
E per “lo Stato” non intendo solo lo Stato attuale, ma tutti gli Stati possibili futuri: ammesso che vi fidiate dello Stato che esiste ora, non potete sapere se salirà al potere un governo che prenderà di mira qualche condizione o pratica che prima era legittima (consumo di droghe, aborto, vasectomia, omosessualità, orientamento religioso o politico, tanto per fare qualche esempio). Anche dichiararsi ebrei nel censimento meccanizzato dall’IBM non sembrava un problema in Germania o in Francia, fino a che è salito al potere il nazismo e ha usato quei dati per uno sterminio di massa.
Per quelli che pensano “ma da noi queste cose non potrebbero mai succedere”, vorrei ricordare che nel 1938 l’Italia introdusse le leggi razziali. E c’è ancora oggi gente che rimpiange quelle leggi e le vorrebbe ripresentare.
—
C’è però un’altra parte della dichiarazione della ministra Pisano che è ancora più problematica: sostenere che “Ogni volta che noi abbiamo una user e una password, questa user e password dovrebbe essere data dallo Stato“ significa accentrare nello Stato l’erogazione della sicurezza informatica.
È l’equivalente digitale di dare allo Stato il monopolio sulle serrature delle porte di casa. Cosa succede se salta fuori che il modello di serratura imposto dallo Stato è arcaico e scassinabile? Diventano scassinabili tutte le serrature di tutte le case.
C’è poi il problema dell’accentramento delle credenziali: se un malintenzionato riesce a fare phishing del mio SPID, si sostituisce a me in tutto e per tutto non solo nei miei rapporti con lo Stato, ma anche in tutti gli altri miei rapporti online, perché ho messo tutte le mie uova nello stesso paniere. È l’equivalente di avere una chiave universale per tutte le serrature di casa e farsela rubare.
Aggiungo un altro problema: se si usa lo SPID per accedere ad altri siti non statali (per esempio per fare acquisti o per comunicare tramite i social network), cosa succede se i server SPID vanno in crash o sovraccarico? Non solo non ci si può collegare ai servizi digitali dello Stato, ma non ci si può più collegare neanche ai social network, alla mail, ad Amazon, alla banca, eccetera eccetera. È come avere quell’unica chiave universale e scoprire che si è rotta.
La ministra, di fronte alle obiezioni che le sono subito arrivate, ha corretto quel “dovrebbe” in “potrebbe”.
Infine, giustificarsi dicendo “perché è lo Stato l’unico soggetto che ha davvero certezza che quello è quel cittadino” è una sciocchezza, perché per comprare un maglione o un biglietto al cinema non c’è bisogno di sapere chi lo compra: è sufficiente sapere che chiunque lo compri abbia soldi per pagarlo. Anzi, se voglio comperare un test di gravidanza, dire il mio nome e cognome potrebbe essere l’ultima cosa che sento il bisogno di fare.
—
Prevengo le inevitabili considerazioni del tipo “beh, però se tutti fossero identificati online dallo Stato, non ci sarebbero le minacce e gli insulti nei social network”. È un mito fasullo, già sviscerato tempo addietro qui. Non funziona così.
La versione originale di questo articolo (2020/01/04)
Per correttezza e traccia cronologica, riporto qui sotto la versione originale del mio articolo, scritta quando la ministra non aveva ancora chiarito che con “user e password” intendeva in realtà SPID. Le considerazioni che seguono valgono per la dichiarazione iniziale della ministra (“un’unica e sola user e password”) e non si applicano necessariamente a SPID.
Nei primi minuti della puntata di Eta Beta di Radio Rai di stamattina (riascoltabile qui), la ministra italiana per l’Innovazione Paola Pisano ha fatto una dichiarazione che ha creato un certo sconcerto in Rete:
Con l’identità digitale noi avremo un’unica e sola user e password per accedere a tutti i servizi digitali, ma questa user e password potrebbe anche essere utilizzata per accedere non solo ai servizi digitali della pubblica amministrazione ma ai servizi digitali anche del privato. Per esempio il nostro conto in banca, per esempio prenotare un’auto in sharing, andare al cinema, per esempio comprare su Amazon. Ogni volta che noi abbiamo una user e una password, questa user e password dovrebbe essere data dallo Stato, perché è lo Stato l’unico soggetto che ha davvero certezza che quello è quel cittadino. E lei lo sa quante truffe ci sono sull’identità su Internet.
La dichiarazione della ministra è molto problematica: pensare che si debba usare un’unica coppia username/password dappertutto (non solo verso lo Stato, ma anche verso i privati) significa andare contro uno dei principi di base della sicurezza informatica, ossia mai usare la stessa password e lo stesso username dappertutto. La ragione è semplice: se uso la stessa password ovunque, per esempio, e avviene un furto di password presso uno qualsiasi dei siti che ho usato, il ladro ha accesso a tutti i miei servizi.
Non solo: se gli utenti usano nei siti generici le stesse credenziali che hanno per i rapporti con lo Stato o con la sanità, questo vuol dire che il livello di protezione di quelle credenziali statali diventa quello del più scalcinato dei siti generici che le usano. Per saccheggiare gli account di Stato non c’è bisogno di attaccare i server della pubblica amministrazione: basta attaccare quelli del negozietto online gestito dal cugino del proprietario che è bravo con i videogame e quindi sa tutto di informatica.
Ma c’è anche un problema molto serio di privacy: usare l’identità digitale fornita dallo Stato anche per gli acquisti e i servizi nel settore privato significa collegare le attività private (che non devono interessare a uno Stato) a quelle che riguardano lo Stato (tasse, certificati, atti pubblici), e questa è sempre una pessima idea. Vostra figlia ha il diritto di acquistare un sextoy o Mein Kampf o una guida all’Islam senza che lo Stato ci possa mettere il becco o schedarla per le sue abitudini.
E per “lo Stato” non intendo solo lo Stato attuale, ma tutti gli Stati possibili futuri: ammesso che vi fidiate dello Stato che esiste ora, non potete sapere se salirà al potere una dittatura o semplicemente un governo che prenderà di mira qualche comportamento o condizione che prima era legittima (consumo di droghe, aborto, vasectomia, omosessualità, orientamento religioso o politico, tanto per fare qualche esempio). Anche dichiararsi ebrei nel censimento meccanizzato dall’IBM non sembrava un problema in Germania, fino a che è salito al potere il nazismo e ha usato quei dati per uno sterminio di massa.
La terza parte della dichiarazione è però ancora più problematica: sostenere che “Ogni volta che noi abbiamo una user e una password, questa user e password dovrebbe essere data dallo Stato“ significa accentrare nello Stato l’erogazione della sicurezza informatica. È l’equivalente digitale di dare allo Stato il monopolio sulle serrature delle porte di casa. Cosa succede se salta fuori che il modello di serratura imposto dallo Stato è arcaico e scassinabile? Diventano scassinabili tutte le serrature di tutte le case.
Infine, giustificarsi dicendo “perché è lo Stato l’unico soggetto che ha davvero certezza che quello è quel cittadino” è una sciocchezza, perché per comprare un maglione o un biglietto al cinema non c’è bisogno di sapere chi lo compra: è sufficiente sapere che chiunque lo compri abbia soldi per pagarlo.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.
Martedì scorso (10 dicembre) ho finalmente incontrato di persona Mikko Hypponen, chief research officer di F-Secure. Se seguite questo blog da qualche tempo, avrete notato che lo cito spesso e che ho tradotto alcuni dei suoi interventi pubblici sul tema della sicurezza informatica e della protezione dei dati personali. Ero stato ospite di F-Secure in Finlandia alcuni anni fa e in quell’occasione non ero riuscito a incontrarlo: stavolta ho rimediato.
Grazie alla cortesia e organizzazione sapiente di Samanta Fumagalli e delle sue colleghe Carmen e Marzia, abbiamo potuto chiacchierare di mille cose per quasi due ore, scambiandoci storie, chicche e aneddoti da informatici.
Non essendo un’intervista, quello che ci siamo detti non è pubblicabile, ma abbiamo spaziato su mille argomenti: dalla security delle aziende ai deepfake alla riservatezza dei dati raccolti dalle Tesla, passando per la storia dell’informatica e della telefonia, per le affascinanti regole sociali della vita in Finlandia e per la sofferenza di scrivere libri e preparare TED Talk.
A maggio 2020 ci sarà un altro evento in nord Italia al quale parteciperà Mikko, per cui avrete anche voi un’occasione per incontrarlo. Non lasciatevela sfuggire.
Naked Security segnala un caso davvero insolito di vulnerabilità informatica con rischi di privacy: un rosario “smart”.
Su Vatican News è stato presentato un rosario che si attiva quando l’utente sfiora la sua croce sensibile al tocco. Costa 110 dollari e si sincronizza con un’app, denominata Click to Pray (da non confondere con Plug and Play), che traccia le tappe dell’utente nella serie di preghiere e tiene conto anche dei passi fatti nel mondo fisico.
Purtroppo è emerso che l’app aveva una falla di autenticazione piuttosto grave: l’accesso tramite PIN di quattro cifre è facile da scardinare in vari modi, compreso il fatto che non c’è limite al numero di tentativi effettuabili tramite la API, per cui è semplicissimo tentare tutti i PIN con uno script fino a trovare quello giusto.
Entrando nell’account era possibile acquisire avatar, numeri di telefono, date di nascita e altri dati personali. Il ricercatore di sicurezza Baptiste Robert ha segnalato la cosa con discrezione ai responsabili, che hanno corretto la falla e ringraziato per la segnalazione.
Questo articolo vi arriva grazie alla gentile donazione di “msalmi86” ed è stato aggiornato dopo la pubblicazione iniziale.
Stordito dalla tecnologia.
Se siete fra coloro che credono che la democrazia diretta realizzata tramite Internet sia la soluzione a tutti i problemi del mondo, porto dal Festival del Giornalismo una dose di realtà che vi consiglio di assumere, perché la democrazia diretta digitale rischia invece di essere lo strumento perfetto per la dittatura e la manipolazione.
Questa è, a mio avviso, una delle idee più interessanti emerse dal panel“Hacktivismo e sorveglianza digitale: le rivoluzioni combattute in rete” di Fabio Chiusi (blog ilNichilista), Arturo Filastò (Centro Hermes), Giovanna Loccatelli (giornalista e scrittrice) e Dlshad Othman (attivista siriano), il cui video è su Youtube. Guardatevelo tutto per i dettagli, ma il concetto di fondo è questo (eventuali errori nella sintesi sono miei): in vari paesi ci sono movimenti politici che vedono nell’uso di Internet la chiave per sovvertire il sistema e istituire una democrazia diretta, snella ed efficiente, priva delle storture e corruzioni della democrazia rappresentativa.
L’idea è nobile, ma come tante idee nobili è lontana dalla realtà pratica, perché gli attuali strumenti informatici sono troppo vulnerabili e gli utenti sono troppo incompetenti per usarli in modo sicuro. Per cui chi volesse sabotare queste iniziative avrebbe il gioco tremendamente facile, non solo per bloccarle ma addirittura per usarle a proprio favore.
Supponiamo che un governo voglia introdurre la DDD (democrazia diretta digitale). Si può pensare seriamente che un voto elettronico, implementato sui PC appestati di virus e vulnerabilità degli utenti, sia sicuro più di un voto cartaceo al seggio? Si può pensare che chi ha ancora difficoltà a capire come si compila una scheda elettorale, fa fatica a non farsi fregare la password di Facebook e chi, peggio ancora, non ha alcuna dimestichezza con i computer possa seriamente destreggiarsi fra software di autenticazione del voto, sicurezza fisica del dispositivo informatico e sistemi di garanzia dell’identità delle sue opinioni postate nelle discussioni? No, vero?
Supponiamo, per contro, che un governo (o un aspirante dittatore) voglia sabotare un tentativo di adozione della DDD. Diffondere un trojan che infetti i PC dei partecipanti al movimento per la DDD sarebbe una passeggiata: basterebbe mascherarlo, che so, da serie di foto della presidente del consiglio in tenuta da nudista (lo so, lo so, l’idea non è originale). A quel punto rubare l’identità di un utente, magari non di un semplice elettore qualunque, ma di un esponente importante di un movimento politico, e postare a nome suo nei forum idee sballate ma credibili che lo screditino sarebbe quasi automatico.
Paradossalmente, il sistema di autenticazione pensato per garantire l’identità online sarebbe quello che autenticherebbe (apparentemente) le parole di suicidio politico del leader. Tutti i membri del movimento si fidano della DDD perché l’ha proposta il Caro Leader. Ergo, se il Caro Leader dice qualunque cretinata usando la DDD, dev’essere davvero lui che la dice.
Sovvertire il risultato di un voto effettuato con gli attuali strumenti di DDD sarebbe altrettanto banale: lo stesso trojan potrebbe votare al posto dell’elettore o trasmettere al “seggio” digitale un voto falsificato (man in the middle). Faccio fatica a vedere un sistema di voto elettronico affidabile se implementato su macchine trojanizzabili, con sicurezza fisica nulla e adoperate promiscuamente per scaricare pornazzi e giochini pirata. Basta guardare il disastro del voto elettronico negli Stati Uniti, che pure usava macchine dedicate (ma non per questo meno trojanizzabili dal fabbricante).
Al tempo stesso, sono ragionevolmente sicuro che esista la possibilità tecnica di creare un sistema di DDD matematicamente inespugnabile, open source e quindi ispezionabile, con autenticazione e integrità garantita anche su hardware e sistemi operativi insicuri. Ma chiunque pensi che un netbook con su Windows Vista possa magicamente trasformarsi nell’urna della democrazia del terzo millennio con una spruzzatina di software è vittima di una faciloneria paragonabile a quella di chi crede che basti una pallina di plastica magica per fare a meno dei detersivi.
Il vero problema della fuga in avanti rappresentata dal sogno della DDD è che queste tecnologie, quand’anche venissero realizzate, avrebbero milioni di talloni d’Achille: gli utenti, che si farebbero fregare in mille modi e appiccicherebbero su un Post-It la password del documento Word nel quale hanno salvato la propria chiave crittografica privata (e la password sarebbe, ovviamente, password o 12345678).
La DDD è fattibile, a mio avviso, solo se oltre al software perfetto si riesce a costruire un elettorato informaticamente sofisticato e culturalmente preparato a concetti come identità digitale, autenticazione e sicurezza. Ma a quel punto, se tutti gli elettori fossero così illuminati, usare la DDD, l’alzata di mano, la scheda elettorale di carta o un dado a venti facce sarebbe probabilmente irrilevante, perché sarebbero dei semidei. E i semidei non hanno bisogno di votare su cosa fare. Sanno già cosa fare e lo fanno.
Mi rendo conto che di questi tempi alcuni potrebbero considerare questo articolo come una mia rarissima e perigliosa scorribanda nella palude della politica, ma a me interessa solo l’aspetto informatico della questione. Ho sentito parole che hanno messo in chiaro che la democrazia diretta digitale è attualmente, per ragioni prevalentemente informatiche, un’utopia per sempliciotti idealisti, e questa mi sembra una lezione importante a prescindere dai singoli balletti maldestri degli aspiranti salvatori megalomani di un qualunque paese. E ho pensato che fossero parole interessanti da condividere, così come metto in guardia contro la faciloneria di affidare tutti i propri dati personali a Facebook. Tutto qui.
Aggiornamenti
Sulla base dei commenti vorrei aggiungere un paio di considerazioni.
Vorrei chiarire che il panel del Festival del Giornalismo ha ispirato questo post. Qualunque estensione dei concetti tecnici espressi dal panel che trovate in questo articolo è opera mia e quindi colpa mia. Non è detto che i membri del panel la condividano.
Per chi cita l’e-banking come esempio d’implementazione di transazione sicura: a parte che ha comunque vulnerabilità che vengono frequentemente sfruttate con successo dal crimine informatico, nell’e-banking ho una possibilità diretta di riscontro di eventuali alterazioni della transazione: ho un estratto conto che posso controllare e la banca può segnalare transazioni anomale. In un sistema di e-voto, è matematicamente possibile avere un riscontro che sia sicuro, eseguibile solo da me e anonimo al tempo stesso (ma questo complica l’implementabilità), ma non posso avere un sistema di rilevamento del voto anomalo. Anzi, se con l’e-banking mi fa piacere se la banca mi chiama e mi dice “scusi, è regolare questo suo pagamento di 10.000 euro alla Bassotti Banda snc?”; mi fa meno piacere se mi chiama l’ufficio elettorale e mi chiede “Scusi, è regolare questo suo voto per il Partito dell’Unicorno Petomane?”.
Per chi interpreta questo articolo come un rifiuto del futuro, vorrei chiarire che non sono contrario al voto digitale. Sono contrario al voto digitale fatto male. Non sto dicendo che il sistema attuale è perfetto; dico solo che pensare alla DDD come la soluzione di tutti i problemi è utopia e c’è il rischio di passare dalla padella alla brace se non si implementa bene.
Sui rischi della democrazia digitale segnalo anche l’ottimo lavoro di Giovanni Ziccardi e Claudio Agosti, sempre al Festival del Giornalismo.
Insomma, come in tanti altri casi mi preoccupano coloro che vendono soluzioni facili ai problemi difficili senza conoscere realmente né i problemi né le soluzioni. Suonano sempre troppo come soluzioni finali in stile Das Byte macht frei.
