È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate qui sul sito della RSI (si apre in una finestra/scheda separata) e lo potete scaricare qui.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, Google Podcasts, Spotify e feed RSS.

---

[CLIP: Rumore di spazzolino elettronico in uso]

Tre milioni di spazzolini da denti elettronici hackerati e usati per sferrare un attacco informatico a un’azienda svizzera: lo hanno scritto molte testate giornalistiche, anche specializzate, ma è una bufala. Come mai ci sono cascati in tanti? Ed è plausibile un attacco del genere?

Circola anche la notizia di un altro attacco informatico in odor di bufala: l’ufficio di Hong Kong di una multinazionale avrebbe ricevuto una videochiamata in cui numerosi dipendenti e il direttore finanziario erano in realtà impostori digitali realizzati in diretta, che hanno dato istruzioni ai colleghi reali di fare dei bonifici urgenti un po’ speciali. Ed è così che hanno preso il volo circa 25 milioni di dollari. Mancano i riscontri, ma questo tipo di attacco è tecnicamente plausibile e potrebbe colpire qualunque azienda, per cui è meglio sapere che perlomeno esiste.

E infine una novità tutta in italiano per la difesa contro i bullismi, i ricatti e le estorsioni di chi minaccia di diffondere foto intime di qualcuno, specialmente se minore: esiste un modo facile e gratuito per segnalare alle piattaforme online una foto o un video intimi senza dovergliene mandare una copia.

Benvenuti alla puntata del 9 febbraio 2024 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.

[SIGLA di apertura]

Antibufala: attacco informatico con gli spazzolini da denti

Nei giorni scorsi moltissime testate giornalistiche nazionali e internazionali hanno diffuso ampiamente la notizia di un attacco informatico effettuato tramite tre milioni di spazzolini da denti elettronici ai danni di un’impresa elvetica, dichiarando per esempio che “Quello che sembra uno scenario da film hollywoodiano è realmente accaduto” e che il sito dell’impresa è crollato sotto l’attacco ed è rimasto “paralizzato per quattro ore”; i danni ammonterebbero a “milioni di franchi” (Swissinfo). Gli spazzolini in questione sarebbero stati infettati con del malware Java installato da criminali e sarebbero stati indotti a visitare in massa e ripetutamente il sito dell’azienda presa di mira, creando un DDOS o distributed denial of service. Ma la storia è una bufala, e nessun attacco del genere è mai avvenuto.

La notizia falsa è stata pubblicata dalla Aargauer Zeitung e dai giornali ad essa associati (Luzerner Zeitung, copia d’archivio) in una intervista a un dirigente della filiale svizzera di Fortinet, una società statunitense specializzata in sicurezza informatica, molto nota nel settore. In realtà l’attacco informatico tramite spazzolini da denti è uno scenario ipotetico, come ha chiarito successivamente Fortinet, dichiarando che è stata fatta confusione fra scenari reali e scenari immaginati.

La bufala si è diffusa ed è diventata virale perché la storia aveva tutti gli ingredienti giusti per essere giornalisticamente accattivante: riguardava un oggetto familiare usato in maniera insolita, evocava una paura molto diffusa, quella degli attacchi informatici, e citava un numero sensazionale e facile da ricordare e da mettere in un titolo. Era così intrigante che anche molte testate semispecialistiche del settore informatico l’hanno pubblicata dandola per buona e fidandosi della fonte apparente, che sembrava essere Fortinet, mentre gli esperti esprimevano pubblicamente forti dubbi sulla credibilità tecnica dello scenario raccontato ma venivano puntualmente ignorati.

Allarme rientrato, insomma: non buttate via il vostro spazzolino da denti elettronico per paura che sia stato “hackerato” da malviventi. Nessuna azienda svizzera è stata paralizzata da un’orda di spazzolini e la notizia è, ripeto, una bufala.

Ma potrebbe accadere davvero una cosa del genere? Quasi sicuramente no. Gli spazzolini da denti elettronici non si connettono direttamente a Internet* ma si collegano solo agli smartphone, tramite Bluetooth, per cui uno spazzolino in sé, anche se “hackerato” installandogli del software malevolo, non potrebbe visitare un sito Web e quindi non sarebbe possibile paralizzare un sito facendolo visitare a ripetizione da milioni di spazzolini da denti.

* Nei commenti a questo articolo, però, un lettore segnala che esiste almeno una marca di spazzolino elettronico la cui base si collega al Wi-Fi locale, per cui in teoria si potrebbe infettare la base (non lo spazzolino, che comunica via Bluetooth con la base) per indurla a contattare un sito diverso da quello predefinito dal software standard installato dal produttore.

Infettare informaticamente uno spazzolino elettronico, invece, è plausibile. Proprio Fortinet, già quasi dieci anni fa, ha dimostrato come era possibile “hackerare” uno di questi oggetti tramite la sua app di controllo, ma gli effetti dell’attacco si limitavano a spegnere e accendere lo spazzolino, farlo andare più velocemente o disattivarlo. Si tratta insomma di esperimenti puramente dimostrativi, che mettono in luce un principio tecnico generale che purtroppo non è una bufala: molti dei dispositivi che colleghiamo a Internet non hanno protezioni adeguate contro gli attacchi informatici, oppure le hanno ma gli utenti non le attivano, e quindi è davvero possibile infettarli in massa e usarli per attaccare un sito.

Non è teoria: è già successo, per esempio nel 2019, quando il malware denominato Mirai è riuscito a infettare milioni di dispositivi connessi a Internet, dalle stampanti alle telecamere di sicurezza ai dispositivi di monitoraggio per neonati, sfruttando il fatto che moltissimi utenti lasciavano attive le loro password predefinite, che sono pubblicate nei manuali, e questo malware ha ordinato a questi dispositivi di visitare tutti contemporaneamente uno specifico sito Internet, paralizzandolo. Ma si trattava di dispositivi connessi direttamente a Internet, non di spazzolini, i cui dati passano attraverso uno smartphone, e comunque i criminali informatici oggi hanno a disposizione metodi di attacco ben più efficaci ed efficienti di un’infezione di massa di spazzolini smart.

Questa vicenda degli spazzolini, insomma, è fasulla ed è un caso da manuale di passaparola giornalistico in cui tutti citano tutti e nessuno controlla perché la storia è troppo accattivante, ma è comunque un buon pretesto per fare l’inventario dei nostri oggetti digitali e controllare che siano aggiornati e che la loro password per collegarsi a Internet non sia ancora quella predefinita dal costruttore, magari una simpatica e attaccabilissima sequenza “1234”.

Deepfake in diretta usati per rubare 25 milioni di dollari? Forse

In questi giorni sta circolando anche un’altra notizia sensazionale a proposito di un attacco informatico, e anche qui ci sono dubbi su come siano andate le cose realmente. La testata giornalistica South China Morning Post ha segnalato che l’ufficio di Hong Kong di un’azienda multinazionale, di cui non viene fatto il nome, sarebbe stato raggirato per circa 25 milioni di dollari con un inganno molto sofisticato.

Gli aggressori, secondo la testata, hanno creato una copia digitale, animata in tempo reale, delle sembianze e della voce del direttore finanziario dell’azienda e di altri dipendenti e l’hanno usata durante una videoconferenza di gruppo, nella quale questi impostori digitali hanno dato istruzioni di pagamento speciali a uno o più dipendenti.

I truffatori sono riusciti a creare queste copie fedeli e realistiche di queste persone usando come fonte i video e le registrazioni audio pubblicamente disponibili che le ritraggono e usando appositi software per fare in modo che ogni gesto e parola dei truffatori venisse convertito istantaneamente in un gesto o in una parola di questi cloni digitali.

Sempre secondo la testata giornalistica, la polizia di Hong Kong sta indagando sul caso e per questo il nome dell’azienda non è stato reso pubblico. Uno dei dipendenti che ha effettuato i pagamenti, ben 15 bonifici su cinque conti bancari differenti a Hong Kong, ha avuto qualche dubbio sulla richiesta di provvedere a questi versamenti, ma la presenza in video e in voce di quelli che sembravano essere il direttore finanziario e altri dipendenti lo ha indotto a fidarsi.

A differenza dell’attacco informatico tramite spazzolini da denti, questa notizia non ha nulla di tecnicamente implausibile. Esistono da tempo software pubblicamente disponibili, come SwapFace, DeepFaceLive e Swapstream, che sono in grado di sostituire in tempo reale il volto di una persona con quello di un altro con una qualità sufficiente a ingannare la maggior parte delle persone, specialmente durante le videochiamate, quando la risoluzione del video è spesso molto limitata. Inoltre una ricerca recente indica che gli attacchi di questo genere sono aumentati di oltre sette volte nella seconda metà del 2023 rispetto al semestre precedente e vengono usati per ingannare i sistemi di verifica online dell’identità usati da molti servizi di pagamento e di commercio.

Chiaramente, a prescindere dall’autenticità o meno di questa notizia, non ci si può più fidare di un video o di una voce, neppure in diretta, per autenticare la persona che si ha davanti sullo schermo. Servono altri metodi, come per esempio frasi di sicurezza concordate, oppure domande alle quali solo la persona vera è in grado di rispondere, oppure ancora chiavi crittografiche personali, da scambiare durante un incontro faccia a faccia per potersi poi autenticare in seguito nelle videochiamate. E ovviamente serve personale addestrato, che sia stato informato che esiste il rischio che le persone che vede muoversi e parlare sullo schermo potrebbero essere sintetiche.

Fonti aggiuntive: Tripwire, Ars Technica.

Meta, nuovi strumenti contro la sextortion

Una foto intima che finisce in mani ostili è sempre un dramma, specialmente nel caso di minori. Ci si trova ricattati o minacciati da criminali sconosciuti o da ex partner sentimentali e non si sa a chi rivolgersi per risolvere il problema. Adesso c’è un aiuto in più contro questo reato, ossia contro la cosiddetta sextortion: esiste un modo semplice, discreto e gratuito, ora anche in lingua italiana, per segnalare ai principali social network una propria foto intima che si teme possa essere messa in circolazione da qualcuno.

Questo aiuto è offerto da Meta, la società che coordina Facebook, Instagram, Threads e WhatsApp [comunicato stampa]; lo avevo preannunciato in una puntata precedente di questo podcast, circa un anno fa, e da pochi giorni è finalmente disponibile appunto anche in italiano oltre che in una ventina di altre lingue. Il sito al quale rivolgersi si chiama Take It Down, ossia “rimuovila o rimuovilo", ed è raggiungibile presso takeitdown.ncmec.org.

Il servizio funziona in maniera molto pratica, risolvendo una delle preoccupazioni principali di chi si trova in questa situazione: di solito ci si aspetta che il primo passo per ottenere la rimozione da Internet di una foto o di un video di natura intima sia inviare una copia di quella foto o di quel video alle autorità, e questo causa comprensibilmente disagio e imbarazzo.

Ma Take It Down lavora in un altro modo: le immagini e i video non lasciano mai il dispositivo della vittima e non vengono mai trasmessi a nessuno. Il servizio, infatti, assegna una sorta di impronta digitale unica, chiamata valore hash, a ciascuna immagine e ciascun video selezionato dalla vittima, e le piattaforme online possono utilizzare e disseminare questo valore hash per riconoscere quell’immagine o video se circola sui loro servizi, quindi Threads, Facebook e Instagram, e anche sui siti partecipanti, che al momento sono Onlyfans, Pornhub, TikTok, Yubo, Snap, Clips4sale e Redgifs.

Questa assegnazione viene fatta eseguendo un programma apposito sul dispositivo della vittima, ossia di solito sul suo telefonino, quindi senza che nessuno veda o riceva le immagini. L’unica informazione che lascia il telefonino è un codice numerico (il valore hash, appunto) dal quale non è possibile ricostruire l’immagine o il video. Massima discrezione, insomma.

In pratica il servizio di aiuto funziona così: la vittima visita il sito takeitdown.ncmec.org usando un dispositivo sul quale ci sono le immagini che vuole far rimuovere. Lì trova la parola cliccabile Inizia; cliccandoci sopra viene chiesto se la richiesta riguarda immagini di minorenni o di maggiorenni, visto che per i maggiorenni c’è un servizio separato, chiamato StopNCII.org, che funziona allo stesso modo. Fatto questo si può cliccare su Selezionate le foto/i video.

Meta ha inoltre attivato anche in italiano una pagina apposita con le istruzioni su come segnalare minacce e condivisioni di immagini intime senza autorizzazione e con informazioni sulle misure prese da Meta per avvisare i minori quando un account potenzialmente sospetto tenta di seguirli o di interagire con loro.

Si spera sempre che questi servizi non siano necessari, ma se ci si trova nei guai è bello sapere che c’è una soluzione.

Fonte aggiuntiva: TechCrunch.