Ultimo aggiornamento: 2024/09/22 19:00.
Questo è il testo della puntata del 20 settembre 2024 del podcast Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto. Il testo include anche i link alle fonti di questa puntata.
Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, YouTube Music, Spotify e feed RSS.
Il podcast si prenderà una pausa la settimana prossima e tornerà il 4 ottobre.
[CLIP: audio di esplosione e di panico]
Migliaia di dispositivi elettronici sono esplosi improvvisamente nel corso di due giorni in Libano e in Siria, uccidendo decine di persone e ferendone almeno tremila. Inizialmente si è sparsa la voce che si trattasse di un “attacco hacker”, come hanno scritto anche alcune testate giornalistiche [Il Fatto Quotidiano], facendo pensare a un’azione puramente informatica in grado di colpire teoricamente qualunque dispositivo ovunque nel mondo facendone esplodere la batteria attraverso un particolare comando inviato via radio o via Internet.
Non è così, ma resta il dubbio legittimo: sarebbe possibile un attacco del genere?
Questa è la storia di una tecnica di aggressione chiamata supply chain attack, che in questi giorni si è manifestata in maniera terribilmente cruenta ma è usata da tempo da criminali e governi per mettere a segno sabotaggi, estorsioni e operazioni di sorveglianza.
Benvenuti alla puntata del 20 settembre 2024 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.
[SIGLA di apertura]
Il 17 settembre scorso il Libano e la Siria sono stati scossi dalle esplosioni quasi simultanee di migliaia di cercapersone, che hanno ucciso decine di persone e ne hanno ferite oltre duemila. Il giorno successivo sono esplosi centinaia di walkie-talkie, causando la morte di almeno altre venti persone e il ferimento di alcune centinaia.
Queste due raffiche di esplosioni hanno seminato il panico e la confusione nella popolazione locale, presa dal timore che qualunque dispositivo elettronico dotato di batteria, dal computer portatile alle fotocamere allo smartphone, potesse esplodere improvvisamente. Sui social network si è diffusa la diceria che stessero esplodendo anche gli impianti a pannelli solari, le normali radio e le batterie delle automobili a carburante, ma non c’è stata alcuna conferma [BBC]. All’aeroporto di Beirut è scattato il divieto di portare a bordo degli aerei qualunque walkie-talkie o cercapersone [BBC].
Nelle ore successive è emerso che non si è trattato di un “attacco hacker” in senso stretto: non è bastato che qualcuno mandasse un comando a un dispositivo per innescare l’esplosione della sua batteria. I cercapersone e i walkie-talkie esplosi erano stati sabotati fisicamente, introducendo al loro interno delle piccole ma micidiali cariche esplosive, successivamente fatte detonare inviando un comando via radio, con l’intento di colpire i membri di Hezbollah che usavano questi dispositivi.
In altre parole, non c’è nessun pericolo che qualcuno possa far esplodere un telefonino, un rasoio elettrico, una fotocamera, uno spazzolino da denti elettronico, un computer portatile, delle cuffie wireless, un tablet, un’automobile elettrica o qualunque altro dispositivo dotato di batteria semplicemente inviandogli un comando o un segnale particolare o infettandolo con un’app ostile di qualche tipo. Per questo genere di attacco, il dispositivo deve essere stato modificato fisicamente e appositamente.
È importante però non confondere esplosione con incendio. Le batterie dei dispositivi elettronici possono in effetti incendiarsi se vengono danneggiate o caricate in modo scorretto. Ma gli eventi tragici di questi giorni non hanno affatto le caratteristiche di una batteria che prende fuoco, perché le esplosioni sono state improvvise e violente, delle vere e proprie detonazioni tipiche di una reazione chimica estremamente rapida, mentre l’incendio di una batteria è un fenomeno veloce ma non istantaneo, che rilascia molta energia termica ma lo fa in modo graduale, non di colpo.
Cosa più importante, non esiste alcun modo per innescare l’incendio di una batteria di un normale dispositivo attraverso ipotetiche app o ipotetici comandi ostili. Anche immaginando un malware capace di alterare il funzionamento del caricabatterie o dei circuiti di gestione della carica e scarica della batteria, la batteria stessa normalmente ha delle protezioni fisiche contro la scarica improvvisa o la carica eccessiva. Chi si è preoccupato all’idea che degli hacker sarebbero capaci di trasformare i telefonini in bombe con un semplice comando può insomma tranquillizzarsi, soprattutto se si trova lontano dalle situazioni di conflitto.
C’è però da capire come sia stato possibile un sabotaggio così sofisticato, e in questo senso l’informatica ci può dare una mano, perché non è la prima volta che si verifica quello che in gergo si chiama un supply chain attack, o attacco alla catena di approvvigionamento, anche se quella di questi giorni è una sua forma particolarmente cruenta.
Un supply chain attack è un attacco, fisico o informatico, a un elemento della catena di approvvigionamento di un avversario. Invece di attaccare i carri armati del nemico, per esempio, si colpiscono i loro depositi di carburante o le loro fabbriche di componenti. In campo informatico, invece di attaccare direttamente l’azienda bersaglio, che è troppo ben difesa, si prende di mira un suo fornitore meno attento alla sicurezza e lo si usa come cavallo di Troia per aggirare le difese entrando dall’accesso riservato ai fornitori, per così dire. Anzi, si potrebbe dire che proprio il celebre cavallo di Troia fu il primo caso, sia pure mitologico, di supply chain attack, visto che i troiani si fidarono decisamente troppo del loro fornitore.
Un esempio tipico, concreto e moderno di questa tecnica di attacco risale al 2008, quando le forze di polizia europee smascherarono un’organizzazione criminale dedita alle frodi tramite carte di credito che rubava i dati dei clienti usando dei dispositivi non tracciabili inseriti nei lettori delle carte di credito fabbricati in Cina. Questo aveva permesso ai criminali di effettuare prelievi e acquisti multipli per circa 100 milioni di dollari complessivi.
Nel 2013 la catena statunitense di grandi magazzini Target si vide sottrarre i dati delle carte di credito di circa 40 milioni di utenti, grazie a del malware installato nei sistemi di pagamento POS. Nonostante Target avesse investito cifre molto importanti nel monitoraggio continuo della propria rete informatica, l’attacco fu messo a segno tramite i codici di accesso rubati a un suo fornitore in apparenza slegato dagli acquisti: una ditta della Pennsylvania che faceva impianti di condizionamento.
Le modifiche apportate fisicamente di nascosto ai dispositivi forniti da terzi non sono un’esclusiva dei criminali. Grazie alle rivelazioni di Edward Snowden, per esempio, sappiamo che l’NSA statunitense [Ars Technica] ha intercettato server, router e altri apparati per reti informatiche mentre venivano spediti ai rispettivi acquirenti che voleva mettere sotto sorveglianza, li ha rimossi accuratamente dagli imballaggi, vi ha installato del software nascosto (più precisamente del firmware, ossia il software di base del dispositivo) e poi li ha reimballati, ripristinando tutti i sigilli di sicurezza, prima di reimmetterli nella filiera di spedizione.
Altri esempi di attacco alla catena di approvvigionamento sono Stuxnet, un malware che nel 2010 danneggiò seriamente il programma nucleare iraniano prendendo di mira il software degli apparati di controllo di una specifica azienda europea, usati nelle centrifughe di raffinazione del materiale nucleare in Iran, e NotPetya, un virus che nel 2017 fu inserito negli aggiornamenti di un programma di contabilità molto diffuso in Ucraina. I clienti scaricarono fiduciosamente gli aggiornamenti e si ritrovarono con i computer bloccati, i dati completamente cifrati e una richiesta di riscatto.
C’è anche un caso di supply chain attack che ci tocca molto da vicino, ed è quello della Crypto AG [sintesi su Disinformatico.info], l’azienda svizzera che per decenni ha venduto ai governi e alle forze armate di numerosi paesi del mondo degli apparati di crittografia molto sofisticati, che però a seconda del paese di destinazione venivano a volte alterati segretamente in modo da consentire ai servizi segreti statunitensi e tedeschi di decrittare facilmente le comunicazioni cifrate diplomatiche, governative e militari di quei paesi. In questo caso l’attacco proveniva direttamente dall’interno dell’azienda, ma il principio non cambia: il bersaglio veniva attaccato non frontalmente, ma attraverso uno dei fornitori di cui si fidava.
Difendersi da questo tipo di attacchi non è facile, perché spesso il committente non conosce bene il fornitore, e a sua volta quel fornitore deve conoscere bene i propri fornitori, perché non è la prima volta che un governo o un’organizzazione criminale costituiscono ditte fittizie e si piazzano sul mercato offrendo prodotti o servizi di cui il bersaglio ha bisogno.
Gli esperti raccomandano di ridurre al minimo indispensabile il numero dei fornitori, di visitarli spesso per verificare che siano autentici e non delle semplici scatole cinesi di copertura, di instillare in ogni fornitore, anche nel più secondario, una cultura della sicurezza che invece spesso manca completamente, e di adottare hardware e software che incorporino direttamente delle funzioni di verifica e di sicurezza contro le manomissioni. Ma per la maggior parte delle organizzazioni tutto questo ha costi insostenibili, e così gli attacchi alla catena di approvvigionamento prosperano e, secondo i dati delle società di sicurezza informatica, sono in costante aumento.
Lo schema di questi attacchi ha tre caratteristiche particolari che lo distinguono da altri tipi di attacco: la prima caratteristica è la necessità di disporre di risorse tecniche e logistiche enormi. Nel caso di cui si parla in questi giorni, per esempio, chi lo ha eseguito ha dovuto identificare marche e modelli usati dai membri di Hezbollah, infiltrarsi tra i fornitori fidati o intercettarne le spedizioni in modo invisibile, e progettare, testare e costruire le versioni modificate di migliaia di esemplari dei dispositivi, appoggiandosi a sua volta a fornitori di competenze tecnologiche ed esplosivistiche e di componenti elettronici che fossero capaci di mantenere il segreto.
La seconda caratteristica è invece più sottile. In aggiunta al tremendo bilancio di vite umane, impossibile da trascurare, questi attacchi hanno il risultato di creare angoscia e sfiducia diffusa in tutta l’opinione pubblica verso ogni sorta di tecnologia, creando falsi miti e diffidenze inutili e devastando la reputazione delle marche coinvolte.
Ma la terza caratteristica è quella più pericolosa e in questo caso potenzialmente letale. Chi si inserisce di nascosto in una catena di approvvigionamento raramente ne ha il pieno controllo, per cui non può essere certo che qualcuno dei prodotti che ha sabotato non finisca in mani innocenti invece che in quelle dei bersagli designati, e agisca colpendo chi non c’entra nulla, o rimanga in circolazione dopo l’attacco.
Finché si tratta di malware che causa perdite di dati, il danno potenziale a terzi coinvolti per errore è solitamente sopportabile; ma in questo caso che insanguina la cronaca è difficile, per chi ha lanciato questo attacco, essere certo che tutti quei dispositivi modificati siano esplosi, e così in Libano e in Siria probabilmente circolano ancora, e continueranno a lungo a circolare, dei cercapersone e dei walkie-talkie che sono imbottiti di esplosivo a insaputa dei loro utenti.
Chissà se chi ha concepito questi attacchi dorme sonni tranquilli.
2024/09/22 19:00: La teoria alternativa di Umberto Rapetto
Su La Regione Ticino è stato pubblicato un articolo nel quale il generale della Guardia di Finanza Umberto Rapetto, “già comandante del Gruppo Anticrimine Tecnologico, per anni docente di Open Source Intelligence alla Nato School di Oberammergau (D)”, afferma che l’esplosivo sarebbe stato inserito nei dispositivi non da un aggressore esterno, ma da Hezbollah, ossia dall’utente stesso.
A suo dire, la fornitura di cercapersone sarebbe stata
“commissionata pretendendo che all’interno del normale involucro del prodotto di serie sia ospitata una piccolissima carica esplosiva e che il software includa le istruzioni per attivare la deflagrazione”
in modo da costituire una sorta di meccanismo di autodistruzione da usare qualora un dispositivo fosse caduto in mani nemiche. Non solo: secondo Rapetto, la carica sarebbe stata installata addirittura a insaputa degli stessi affiliati di Hezbollah che usavano i walkie-talkie e i cercapersone modificati, allo scopo di eliminare anche loro qualora fossero stati rapiti:
“Non solo il minuscolo aggeggio non deve spianare la strada all’intelligence, ma deve anche evitare che il suo possessore eventualmente catturato possa raccontare cose riservate e compromettere la sorte dell’organizzazione […] il dispositivo non è più in grado di offrire spunti agli 007 avversari e anche il proprio agente – ucciso o gravemente ferito – perde la possibilità di confessare”.
A supporto di questa teoria non vengono portate prove, e finora non ho trovato nessun’altra persona esperta che abbia proposto questa ricostruzione degli eventi.
Oh, vedo che hai sposato la piattaforma WordPress! 🙂
Capisco il perché, è molto versatile e rapida da usare.
Spero che, una volta fininita, questa pagina assumerà un aspetto analogo a quella di Blogger, perché ormai mi ero abituato all’aspetto grafico degli articoli, che è tuttora gradevolissimo! 🙂
Un piccolo appunto: hai scritto “Ditta” con TRE “t”. “dittta”. 🙂
Secondo questo articolo: https://www.ilpost.it/2024/09/19/cercapersone-walkie-talkie-da-dove-arrivano/ sembra che i cercapersone siano stati prodotti da una ditta di proprietà dei servizi segreti israeliani
Secondo tre agenti di intelligence che hanno parlato col New York Times, BAC era in realtà una società di facciata creata dai servizi segreti israeliani proprio per produrre cercapersone per Hezbollah. L’identità degli agenti israeliani che l’hanno creata sarebbe stata tutelata da almeno altre due società fittizie. Secondo gli agenti che hanno parlato col giornale, rimasti anonimi, l’azienda avrebbe anche prodotto dispositivi normali per altri clienti, ma il suo vero obiettivo erano quelli da mandare a Hezbollah, che sarebbero stati prodotti separatamente e riempiti del composto esplosivo PETN.
Ma sicuramente chi ha compiuto queste azioni dorme tra quattro guanciali. Chi arriva anche solo a pensarle certe cose ha perso da tempo la sensibilità per provare qualche emozione che non sia frustrazione e sete di vendetta.
Interessante invece la consultazione del sito della Icom, notissima azienda Giapponese produttrice dei walkie talkie incriminati. Da tempo si lamentano della quantità di prodotti contraffatti e hanno una pagina dedicata ai clienti per aiutarli a capire se un prodotto arriva effettivamente da loro oppure no. Nel caso specifico, quasi sicuramente no. Il prodotto è fuori produzione da 10 anni e notoriamente scopiazzato da aziende cinesi, spesso si trovano sul mercato con la scritta made in china, quando Icom sottolinea che non hanno siti produttivi in quel paese. Esistono addirittura dei prodotti a marchio Icom che non hanno MAI fatto parte del loro catalogo. Probabilmente i signori hezbolla avevano una catena di procurement piuttosto sciatta.
Bello il sito nuovo, essenziale e veloce nella navigazione! Complimenti anche per il titolo e per il logo ^_^
Mi sembra che tu sia esaustivo come al solito.
I commenti si potranno lasciare qui e su blogger?
Quando avevo un blog avevo trovato il metodo per sincronizzarli automaticamente.
Avevo postato questo commento su Blogger in riferimento ai feed di cui si parlava nei commenti. Ma a quanto pare di là il mio account è bloccato. Lo riporto qui, se ritieni sia utile ovviamente 🙂
Ciao,
il feed generale è questo: https://attivissimo.me/feed/
Il feed dei commenti è questo: https://attivissimo.me/comments/feed/
Il feed dei commenti al singolo articolo si raggiunge aggiungendo /feed/ all’URL.
I feed di ogni tag o categoria si raggiunge aggiunge /feed/ all’URL relativo (ad esempio: https://attivissimo.me/tag/radio/feed/ )
In bocca al lupo per il nuovo sito. Io commento poco ma ti leggo sempre, soprattutto via feed 🙂
Questa è una prova per vedere se adesso mi prende i commenti. Fino a stamattina, come a molti, mi appariva la finestra di login, ma senza nessun link di registrazione.
Così vedo anche se hai già portato di qui l’approvazione automatica dei commenti.
Ciao
Ecco il mio primo commento, vediamo se ora è possibile commentare.
Noto subito una cosa spiacevole, la pagina è impostata di default per l’inglese, scrivendo in italiano il correttore ortografico impazzisce.
Ciao Ciao, Moreno
Ciao
Direi che ora è tutto OK.
Come sempre GRAZIE
Ciao Ciao, Moreno
Adesso l’inserimento dei commenti funziona bene.
A me il correttore ortografico mi ha mantenuto l’italiano e l’inglese che avevo impostato nella mia ultima visita di qualche ora fa. Adesso l’ho messo solo in italiano e funziona correttamente. Se aggiungo anche l’inglese, tutto continua a funzionare correttamente. Funziona pure con lo svizzerano 🙂
Ah, Firefox 130.0.1 (64 bit) su Linux.
Auguri per il nuovo sito!
Una nota: vedo che il visualizzatore non considera gli “a capo” (i newline) che inserisco nell’editor, nel mio commento precedente.
Provo a metterne uno con SHIFT-ENTER, anziché con ENTER, e vediamo ceh succede.
Un altro SHIFT-ENTER.
Complimenti per il nuovo sito e per il logo!
Complimenti. Del nuovo sito apprezzo soprattutto la possibilità di poter commentare senza dover accedere ad alcun account.
Immagino che anche qui valgano le stesse regole e moderazione del vecchio sito anche se non le ho viste esposte.
Come impaginazione sullo schermo del portatile la trovo un po’ stretta nel senso che si sono due colonne vuote a dx e sx del testo per cui bisogna scrollare molto sopratutto i commenti.
Però va anche bene così. Immagino che ripartire da zero non sia uno scherzo e certe questioni estetiche possono aspettare.
Avanti così.
Riguardo ai pager esplosi vedo che nessuno ha spiegato chi tiene attiva la rete di broadcast dei segnali. Nel mondo occidentale le reti dei pager ( in Italia mi sembra si chiamasse Teledrin) sono state chiuse da anni ma esistono ancora piccole reti locali gestite da organizzazioni private come negli ospedali.
In libano come funzionava? Era una telecom locale a tenere su la rete o Hetzbollah si era fatta la sua? Potrebbe anche essere che gli israeliani abbiano diffuso il segnale radio direttamente da loro territorio senza hackerare alcun sito.
Il nuovo sito è sicuramente più veloce!
Del sito nuovo apprezzo la mancanza del bug discus che ne nasconde i commenti su Firefox. Bug facilmente aggirabile si PC, non sono riuscito ad evitarlo sul cellulare.
A me fa strano commentare senza dover fare nessun login.
Icom la conosco benissimo perché ho e ho avuto diversi loro apparati.
Come Yaesu o Kenwood, sono apparati costosi (sia in assoluto sia ovviamente rispetto alle cinesate).
Quelli nelle foto sono apparati molto vecchi, fuori produzione da anni, o sono usati o non sono originali, questo con sicurezza.
Il logo (l’avevo già visto) è eccezionale!!! 🙂
In teoria sarebbe possibile inserire un gps autonono (tipo tracker) in uno spazio minimo dei pager o altri dispositivi?
P.S. O.T. Mi viene chiesto di inserire il mio sito; L’ho fatto, ma non capisco l’utilità 😉
Ho capito.
Quindi su una mossa autonoma intelligente di Hezbollah (ma credo che senza un’infiltrazione nella catena di comando non sarebbe stata presa questa decisione), l’intelligence israeliana è riuscita a creare una vera e propria logistica fittizia alternativa per raggiungere il proprio scopo.
P.S. O.T. Come la prima volta, ho risalvato l’anagrafica e spero che la prossima volta il browser se ne ricordi …
Bene il nuovo sito ma sul PC il testo mi compare in una colonna al centro larga circa 1/3 della pagina.
Da guerre di rete
In quanto ai cercapersone, uno dei pochi elementi filtrati in questi giorni lo ha riferito CNN. Le autorità libanesi hanno utilizzato alcuni dei dispositivi rimasti spenti al momento dell’attacco, e quindi ancora intatti, per indagare su quanto avvenuto, facendoli esplodere.
“I cercapersone utilizzati nelle esplosioni controllate erano spenti al momento dell’attacco del 17 settembre, il che significa che non hanno ricevuto il messaggio che ha fatto esplodere i dispositivi compromessi”, scrive CNN. “Il modo in cui il materiale esplosivo è stato nascosto all’interno delle batterie dei cercapersone era così sofisticato da non poter essere individuato”, ha riferito una fonte dei servizi di sicurezza libanesi. “Il materiale esplosivo era incorporato nella batteria al litio del dispositivo ed era praticamente inosservabile”. La fonte aggiunge di non aver ‘mai visto nulla di simile’.
https://guerredirete.substack.com/p/guerre-di-rete-i-cercapersone-erano
Forse quindi l’innesco è stato realizzato facendo surriscaldare in qualche modo la batteria.