Stamattina andrà in onda una nuova puntata in diretta di Niente Panico, il programma che conduco insieme a Rosy Nervi sulla Rete Tre della Radiotelevisione Svizzera, con un nuovo orario: non più alle 11 ma alle 9.
L’account Instagram della settimana:@sand.tagious. Un account con 1,1 milioni di follower su Instagram e 7 milioni di iscritti su YouTube, che mostra video, accuratamente preparati, di forme fatte con la sabbia vivacemente colorata e poi rimescolata, affettata, trapassata, pigiata o modificata in qualche altra maniera, a volte dentro contenitori trasparenti. L’effetto visivo è stranamente appagante e piacevole. L’audio è ASMR, per cui può piacere o meno, ma è indubbio che c’è un grande lavoro di preparazione e ideazione.
La bufala della settimana: il ritorno del codice a barre satanico. Anni fa, nel 2007, avevo raccontato la bufala del codice a barre che veniva ritenuto un segno del demonio perché, si diceva, conteneva il numero 666, ritenuto “il numero della perdizione satanica”, per usare le parole di un consigliere comunale svizzero di allora. Il “666” si anniderebbe, secondo i sostenitori di questa teoria, nelle coppie di righe sottili all’estrema destra, all’estrema sinistra e al centro di ogni codice esistente. Nella codifica dei simboli a barre due righe sottili indicano la cifra 6: quindi, secondo questa tesi, in tutti i codici a barre sarebbe presente un “6-6-6”.
Ma in realtà queste righe estreme e centrali non rappresentano alcuna cifra all’interno del codice a barre: sono semplicemente le linee di riferimento che servono al dispositivo di lettura, allo scanner, per capire dove inizia e dove finisce il codice. Visivamente somigliano in effetti a quelle usate per indicare la cifra 6, ma in realtà la loro spaziatura è differente.
Questa bufala ritorna nel 2024, come segnalato da Bufale un tanto al chilo, a causa delle affermazioni di un conduttore di un canale televisivo italiano secondo il quale una canzone del 1985, Kathy don’t go to the supermarket, è una premonizione anti-satanica, perché mette in guardia contro il codice a barre e il suo uso sempre più comune nei supermercati americani. La tesi di complotto circola sui social network ma proviene da una setta religiosa che è contraria a ogni tecnologia ed è a dir poco impresentabile, con una lunga storia di abusi sessuali anche su minori di cui vi risparmio i dettagli.
L’intervista impossibile. Oggi, 14 ottobre, è l’anniversario della nascita dell’attore Roger Moore, celeberrimo per il suo ruolo di protagonista di ben sette film della serie di James Bond fra il 1973 e il 1985 e noto anche per le serie TV Il santo e Attenti a quei due, ma anche grande attivista in difesa degli animali. Moore era nato a Londra nel 1927 ed è scomparso nel 2017. Con l’aiuto dell’intelligenza artificiale ho preparato un’intervista che diventa uno spunto per ricordare il suo impegno e la sua carriera.
L’intervista reale a Massimo Polidoro sul CICAP e sul Triangolo delle Bermuda. L’ambiente era molto rumoroso e quindi ho dovuto ripulire l’audio usando l’intelligenza artificiale di Lalal.ai.
Questo è il testo della puntata dell’11 ottobre 2024 del podcast Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto. Il testo include anche i link alle fonti di questa puntata.
[CLIP: rumore di picchiettio sulla tastiera interrotto ripetutamente dal suono di errore di immissione]
Le password. Le usiamo tutti, ne abbiamo tantissime, e di solito le detestiamo. Non ce le ricordiamo, sono scomode da digitare soprattutto sulle minuscole tastiere touch dei telefonini, facciamo fatica a inventarcele e dopo tutta quella fatica ci viene imposto periodicamente di cambiarle, e ci viene detto che è “per motivi di sicurezza”.
Ma Microsoft dice da anni che questo cambio ricorrente è sbagliato, e adesso anche il NIST, uno delle più autorevoli enti di riferimento per la sicurezza informatica, ha annunciato che sta aggiornando le proprie linee guida per sconsigliare di cambiare periodicamente le password, dopo anni che ci è stato detto e stradetto esattamente il contrario. Come mai questo dietrofront? Perché gli esperti non si decidono una buona volta?
Proviamo a capire cosa sta succedendo in questa puntata delll’11 ottobre 2024 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo. Benvenuti.
[SIGLA di apertura]
Probabilmente la sigla NIST non vi dice nulla. Queste quattro lettere sono l’acronimo di National Institute of Standards and Technology, e rappresentano l’agenzia governativa statunitense che regolamenta le tecnologie sviluppando metodi e soprattutto standard di riferimento che vengono poi adottati a livello mondiale. Quando il NIST parla, il mondo ascolta.
Poche settimane fa il NIST ha appunto parlato. O meglio, come si addice a qualunque ente burocratico, ha pubblicato online ben quattro volumi di linee guida per le identità digitali, pieni di gergo tecnico, che definiscono i nuovi standard di sicurezza che dovranno essere adottati da tutti gli enti federali degli Stati Uniti. Il resto del pianeta, di solito, abbraccia questi standard, per cui quello che dice il NIST diventa rapidamente regola mondiale.
Le icone dei volumi delle linee guida del NIST per le identità digitali.
In questi quattro volumi è annidata una serie di cambiamenti molto profondi nelle regole di sicurezza per le password. Sono cambiamenti che vanno in senso diametralmente opposto alle norme che per anni ci sono state imposte dai siti e dai servizi presso i quali abbiamo aperto degli account.
Per esempio, le nuove regole vietano di chiedere agli utenti di cambiare periodicamente le proprie password, come invece si è fatto finora; proibiscono di imporre che le password contengano un misto di caratteri maiuscoli e minuscoli, numeri, simboli e segni di punteggiatura; e vietano di usare informazioni personali, come per esempio il nome del primo animale domestico o il cognome da nubile della madre, come domande di verifica dell’identità.
Se vi sentite beffati, è normale, ma gli informatici del NIST non sono impazziti improvvisamente: sono anni che gli addetti ai lavori dicono che le regole di sicurezza adottate fin qui sono sbagliate, vecchie e inutili o addirittura controproducenti, tanto che riducono la sicurezza informatica invece di aumentarla. Per esempio, già nel 2019 Microsoft aveva annunciato che avrebbe tolto dalle sue impostazioni di base raccomandate il requisito lungamente consigliato di cambiare periodicamente le password, definendolo addirittura “antico e obsoleto”. Ancora prima, nel 2016, Lorrie Cranor, professoressa alla Carnegie Mellon University e tecnologa capo della potente Federal Trade Commission, aveva criticato pubblicamente questa regola.
Lorrie Cranor racconta che chiese ai responsabili dei social media dell‘FTC come mai l‘agenzia raccomandava ufficialmente a tutti di cambiare spesso le proprie password. La risposta fu che siccome l‘FTC cambiava le proprie password ogni 60 giorni, doveva essere una raccomandazione valida.
Il requisito era sensato all’epoca, ma oggi non lo è più per una serie di ragioni pratiche. I criminali informatici hanno oggi a disposizione computer potentissimi, con i quali possono effettuare in pochissimo tempo un numero enorme di calcoli per tentare di trovare la password di un utente. Di solito violano un sistema informatico, ne rubano l’archivio delle password, che è protetto dalla crittografia, e poi tentano per forza bruta di decrittare sui loro computer il contenuto di questo archivio, facendo se necessario miliardi di tentativi.
Il numero dei tentativi diminuisce drasticamente se la password cercata è facile da ricordare, come per esempio un nome o una frase tratta da un film, da una canzone o da un libro. E con la potenza di calcolo attuale il vecchio trucco di alterare le parole di senso compiuto di una password aggiungendovi lettere o simboli o cambiando per esempio le O in zeri è diventato irrilevante, perché non aumenta granché, in proporzione, il numero di tentativi necessari. I software di decrittazione odierni includono dizionari, cataloghi di password popolari compilati sulla base delle password trovate nei furti precedenti, e istruzioni per tentare prima di tutto le alterazioni più frequenti delle parole. Se pensavate di essere al sicuro e anche magari molto cool perché scrivevate la cifra 3 al posto della lettera E nelle vostre password, non lo siete più, e da un pezzo.
Obbligare a cambiare le proprie password periodicamente o a usare caratteri diversi dalle lettere, dicono i ricercatori sulla base di numerose osservazioni sperimentali, non aiuta affatto la sicurezza e anzi la riduce, per una serie di ragioni molto umane. Di fronte a questi obblighi, infatti, gli utenti tipicamente reagiscono scegliendo password più deboli. Tendono a usare schemi, per esempio cambiando password1 in password2 e così via, e i criminali questo lo sanno benissimo.
Se una password è difficile da ricordare perché deve contenere caratteri maiuscoli e minuscoli, cifre e simboli, e viene imposto di cambiarla comunque a scadenza fissa per cui la fatica di ricordarsela aumenta, gli utenti tipicamente reagiscono anche annotandola da qualche parte, dove verrà vista da altri.
Le password andrebbero cambiate solo in caso di furto accertato o perlomeno sospettato, non preventivamente e periodicamente. Come scrive Microsoft, “una scadenza periodica delle password difende solo contro la probabilità che una password […] sia stata rubata durante il suo periodo di validità e venga usata da un’entità non autorizzata.” In altre parole, avere una scadenza significa che l’intruso prima o poi perderà il proprio accesso, ma se la scadenza è ogni due o tre mesi, vuol dire che avrà comunque quell’accesso per un periodo più che sufficiente a far danni.
Le soluzioni tecniche che funzionano, per le password, sono la lunghezza, la casualità, l’autenticazione a due fattori (quella in cui oltre alla password bisogna digitare un codice ricevuto sul telefono o generato da un’app) e le liste di password vietate perché presenti nei cataloghi di password usati dai criminali.
Quanto deve essere lunga una password per essere sicura oggi? Gli esperti indicano che servono almeno undici caratteri, generati a caso, per imporre tempi di decrittazione lunghi che scoraggino gli aggressori. Ogni carattere in più aumenta enormemente il tempo e la fatica necessari. Le nuove linee guida del NIST indicano un minimo accettabile di otto caratteri, ma ne raccomandano almeno quindici e soprattutto consigliano di consentire lunghezze di almeno 64. Eppure capita spesso di imbattersi in siti o servizi che si lamentano che la password scelta è troppo lunga, nonostante il fatto che oggi gestire e immettere password lunghissime e quindi molto sicure sia facile grazie ai password manager, cioè le app o i sistemi operativi che memorizzano per noi le password e le immettono automaticamente quando servono.
La casualità, inoltre, non richiede di usare per forza caratteri maiuscoli e minuscoli o simboli: il NIST è molto chiaro in questo senso e specifica che questo uso non dovrebbe essere imposto. La ragione è molto semplice: una password sufficientemente lunga e generata in maniera realmente casuale, per esempio tramite i generatori di password ormai presenti in tutti i browser più diffusi, come Chrome o Firefox o Edge, non trae alcun beneficio significativo dall’inclusione obbligata di questi caratteri e anzi sapere che c‘è quest’obbligo può essere un indizio utile per gli aggressori.
E a proposito di indizi, un’altra nuova linea guida del NIST che va contro le abitudini comuni di sicurezza è il divieto di offire aiutini. Capita spesso di vedere che un sito o un dispositivo, dopo un certo numero di tentativi falliti di immettere una password, offra un promemoria o un suggerimento che aiuta a ricordare la password giusta. Purtroppo questo suggerimento può essere letto dall’aggressore e può aiutarlo moltissimo nel ridurre l’insieme delle password da tentare.
Ci sono anche altre due regole di sicurezza del NIST che cambiano perché la tecnologia è cambiata e i vecchi comportamenti non sono più sicuri. Una è la domanda di sicurezza, e l’altra è decisamente sorprendente.
La domanda di sicurezza è un metodo classico e diffusissimo di verificare l’identità di una persona: le si chiede qualcosa che solo quella persona può sapere e il gioco è fatto. Ma il NIST vieta, nelle sue nuove regole, l’uso di questa tecnica (knowledge-based authentication o autenticazione basata sulle conoscenze).
La ragione è che oggi per un aggressore o un impostore è molto più facile che in passato procurarsi i dati personali richiesti dalle tipiche domande di sicurezza, come il cognome da nubile della madre, il luogo di nascita o il nome del cane o gatto. È più facile perché le persone condividono tantissime informazioni sui social network, senza rendersi conto che appunto il loro cognome da nubili, che magari pubblicano per farsi trovare dagli amici e dalle amiche d’infanzia, è anche la chiave per sbloccare l’account del figlio, e che le foto del loro animale domestico di cui vanno fieri includono anche il nome di quell’animale e verranno viste anche dagli aggressori.
Inoltre il boom dei siti di genealogia, dove le persone ricostruiscono spesso pubblicamente i loro rapporti di parentela, ha come effetto collaterale non intenzionale una grande facilità nel reperire i dati personali da usare come risposte alle domande di sicurezza. Quindi prepariamoci a dire addio a queste domande. In attesa che i siti si adeguino alle nuove linee guida, conviene anche prendere una precauzione: se un sito vi chiede a tutti i costi di creare una risposta da usare in caso di password smarrita o dimenticata, non immettete una risposta autentica. Se il sito chiede dove siete nati, rispondete mentendo, però segnatevi la risposta falsa da qualche parte.
La regola di sicurezza sorprendente enunciata adesso dal NIST è questa: la verifica della password inviata dall’utente deve includere l’intera password immessa e non solo i suoi primi caratteri. Sì, avete capito bene: molti siti, dietro le quinte, in realtà non controllano affatto tutta la password che digitate, ma solo la sua parte iniziale, perché usano vecchissimi metodi di verifica che troncano le password oltre una certa lunghezza, e siccome questi metodi hanno sempre funzionato, nessuno va mai a modificarli o aggiornarli, anche perché se si sbaglia qualcosa nella modifica le conseguenze sono catastrofiche: non riesce a entrare più nessun utente. Tutto questo vuol dire che per questi siti una password lunga è inutile e in realtà non aumenta affatto la sicurezza, perché se l’intruso indovina le prime lettere della password e poi ne sbaglia anche le successive, entra lo stesso nell’account.
Passerà parecchio tempo prima che queste nuove linee guida vengano adottate diffusamente, ma la loro pubblicazione è un primo passo importante verso una maggiore sicurezza per tutti. Il fatto che finalmente un’autorità come il NIST dichiari pubblicamente che cambiare periodicamente le password è sbagliato e non va fatto offre ai responsabili della sicurezza informatica delle aziende e dei servizi online una giustificazione robusta per adottare misure al passo con i tempi e con le tecnologie di attacco. Misure che loro chiedono di applicare da tempo, ma che i dirigenti sono spesso riluttanti ad accogliere, perché per chi dirige è più importante essere conformi e superare i controlli dei revisori che essere realmente sicuri.
Nel frattempo, anche noi utenti dobbiamo fare la nostra parte, adottando i generatori e gestori di password e usando ovunque l’autenticazione a due fattori. E invece troppo spesso vedo utenti fermi alla password costituita dal nome e dall’anno di nascita o addirittura dall’intramontabile “12345678”, usata oltretutto dappertutto perché “tanto chi vuoi che venga a rubare proprio a me l’account e comunque è una password così ovvia che non penseranno mai di provarla”.
Sarà forse colpa delle serie TV, che per motivi di drammaticità mostrano sempre gli hacker che entrano nei sistemi informatici tentando manualmente le password, ma sarebbe ora di capire che non è così che lavorano i criminali informatici: non pensano alle password da provare, ma lasciano che i loro computer ultraveloci le tentino tutte fino a trovare quella giusta. L’unico modo efficace per fermarli è rendere difficili questi tentativi usando lunghezza e casualità sufficienti, insieme al paracadute dell’autenticazione tramite codice temporaneo. Diamoci da fare.
Stamattina andrà in onda una nuova puntata in diretta di Niente Panico, il programma che conduco insieme a Rosy Nervi sulla Rete Tre della Radiotelevisione Svizzera, con un nuovo orario: non più alle 11 ma alle 9.
L’account Instagram della settimana:@whatif.now, un esempio non popolarissimo (8500 follower) ma notevole di come l’intelligenza artificiale, nelle mani di persone di talento, possa essere usata per creare quella che perlomeno a me sembra definibile come arte.
La bufala della settimana: Oltre 600.000 persone, fra le quali l’attore James McAvoy, hanno creduto alla bufala del messaggio “Goodbye Meta AI” che, se postato pubblicamente, negherebbe a Meta il diritto di usare le loro immagini per l’addestramento delle intelligenze artificiali dell’azienda. Non è così: per negare questo utilizzo non basta un messaggio pubblicato ma è necessario attivare un’opzione apposita, che ho descritto nel podcast del Disinformatico del 7 giugno 2024 (BBC).
L’intervista impossibile:Bette Davis. Testo generato da ChatGPT (al quale è stato chiesto di leggersi prima la pagina di Wikipedia dedicata all’attrice) e voce generata da ElevenLabs. Chicca: la canzone Bette Davis Eyes, diventata popolarissima (nove settimane in cima alla classifica della Hot 100 di Billboard, Grammy come canzone dell’anno nel 1981) grazie a Kim Carnes, è ovviamente ispirata a quest’attrice, ma quella di Kim Carnes non è la versione originale, che è invece questa interpretata da Jackie DeShannon e scritta insieme a Donna Weiss nel 1974 (Wikipedia).
Abbiamo anche presentato due brani creati con Suno per ricordare semiseriamente il cambio di orario.
Questo è il testo della puntata del 4 ottobre 2024 del podcast Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto. Il testo include anche i link alle fonti di questa puntata.
[CLIP: audio dello sblocco di una Kia parcheggiata]
I rumori che state ascoltando in sottofondo sono quelli di un hacker che si avvicina a un’auto parcheggiata, che non è la sua, ne immette il numero di targa in una speciale app sul suo smartphone, e ne sblocca le portiere.
L’auto è un modello recentissimo, della Kia, e l’hacker può ripetere questa dimostrazione con qualunque esemplare recente di questa marca semplicemente leggendo il numero di targa del veicolo scelto come bersaglio. Non gli serve altro.
Questa è la storia di come si fa a “hackerare” un’automobile oggi, grazie alla tendenza sempre più diffusa di interconnettere i veicoli e consentirne il monitoraggio e il comando remoto via Internet. In questo caso l’“hackeraggio” è opera di un gruppo di informatici che agisce a fin di bene, e questa specifica vulnerabilità è stata risolta, ma conoscere la tecnica adoperata per ottenere questo risultato imbarazzante e preoccupante è utile sia per chi deve proteggere la propria auto da questa nuova frontiera dei furti sia per chi deve pensare alla sicurezza informatica in generale, perché mostra come scovare vulnerabilità inaspettate in qualunque contesto e rivela in modo intrigante come agisce un intruso informatico.
Benvenuti alla puntata del 4 ottobre 2024 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.
[SIGLA di apertura]
Questa storia inizia due anni fa, ad autunno del 2022, quando un gruppo di hacker statunitensi, durante un viaggio per partecipare a una conferenza di sicurezza informatica a Washington, si imbatte per caso in una falla di sicurezza degli onnipresenti monopattini elettrici a noleggio e con relativa facilità riesce a farne suonare in massa i clacson e lampeggiare i fanali semplicemente agendo in modo particolare sulla normale app usata per gestire questi veicoli.
[CLIP: audio dei monopattini]
Incuriositi dal loro successo inaspettatamente facile, i membri del gruppo provano a vedere se la stessa tecnica funziona anche sulle automobili, ed è un bagno di sangue: Kia, Honda, Infiniti, Nissan, Acura, Mercedes-Benz, Hyundai, Genesis, BMW, Rolls-Royce, Ferrari, Ford, Porsche, Toyota, Jaguar, Land Rover risultano tutte attaccabili nello stesso modo. Un aggressore può farne suonare ripetutamente il clacson, avviarle e spegnerle, aprirne e chiuderne le serrature, e tracciarne gli spostamenti, tutto da remoto, senza dover essere fisicamente vicino al veicolo.
Questo gruppo di informatici* è guidato da Sam Curry, che di professione fa appunto l’hacker e il bug bounty hunter, ossia va a caccia di vulnerabilità in ogni sorta di dispositivo, software o prodotto informatico per il quale il costruttore o lo sviluppatore offre una ricompensa monetaria a chi la scopre e la comunica in modo eticamente corretto.
*Il gruppo è composto da Sam Curry, Neiko Rivera, Brett Buerhaus, Maik Robert, Ian Carroll, Justin Rhinehart e Shubham Shah.
In un suo articolo di gennaio 2023 Curry spiega pubblicamente la tecnica usata per prendere il controllo delle auto e per ottenere dati particolarmente preziosi e sensibili come l’elenco di tutti i clienti della Ferrari.
In sostanza, invece di tentare di attaccare frontalmente il singolo veicolo, gli informatici prendono di mira il sistema centrale di gestione remota, il portale Web attraverso il quale i dipendenti e i concessionari delle singole case automobilistiche amministrano i veicoli. Nel caso di BMW e Rolls Royce, per esempio, si accorgono che è sufficiente una singola riga di comandi inviata via Internet per ottenere un codice di recupero che consente di prendere il controllo di un account amministrativo e da lì acquisire i dati personali dei clienti e comandare le loro automobili.
A questo punto gli hacker contattano le case costruttrici e le informano dei loro problemi, che vengono risolti, chiudendo queste falle. In totale, i veicoli a rischio sono circa 15 milioni, includono anche i mezzi di soccorso, e le scoperte del gruppo di informatici vengono anche segnalate al Congresso degli Stati Uniti.
Un imbarazzo collettivo del genere dovrebbe essere un campanello d’allarme per queste industrie, che dovrebbero in teoria avviare un ampio riesame interno delle proprie procedure per individuare altre eventuali falle prima che vengano scoperte, non da informatici di buon cuore come in questo caso, ma da criminali, ai quali potrebbe interessare moltissimo ricattarle, minacciando per esempio di rivelare i nomi e i dati personali dei loro clienti di alto profilo oppure paralizzando la loro rete di gestione delle auto. Ma la realtà racconta una storia molto differente.
Passano due anni, e Sam Curry e il suo gruppo* rivisitano i servizi online delle case automobilistiche per vedere come stanno le cose dopo la raffica di falle scoperte e risolte.
*Specificamente Curry insieme a Neiko Rivera, Justin Rhinehart e Ian Carroll.
L’11 giugno 2024 scoprono delle nuove vulnerabilità nei veicoli Kia che permettono di prendere il controllo delle funzioni di gestione remota semplicemente partendo dal numero di targa. L’attacco richiede mezzo minuto, funziona su tutti i modelli Kia dotati di connettività, e soprattutto funziona anche se il proprietario del veicolo non ha un abbonamento ai servizi di controllo remoto, che Kia chiama Kia Connect.
Gli hacker trovano inoltre che è possibile procurarsi informazioni personali del proprietario dell’auto, compreso il suo nome, il suo numero di telefono, il suo indirizzo di mail e il suo indirizzo di casa, diventando così, come spiega Curry, “un secondo utente invisibile del veicolo della vittima senza che quella vittima ne sappia nulla”.
Così Sam Curry e i suoi colleghi costruiscono un’app dimostrativa, grazie alla quale possono semplicemente immettere il numero di targa di un veicolo Kia e nient’altro e trovarsi, nel giro di una trentina di secondi, in grado di comandare da remoto quel veicolo.
Prima che i proprietari di Kia all’ascolto si facciano prendere dal panico, sottolineo e ripeto che il problema è già stato risolto: anche questa vulnerabilità è stata corretta, l’app di attacco non è mai stata rilasciata al pubblico, e Kia ha verificato che la falla che sto per descrivere non è mai stata usata in modo ostile.
La tecnica usata a fin di bene dagli hacker è diversa da quella adoperata in passato: mentre prima avevano agito al livello del singolo veicolo, ora hanno provato a un livello più alto. Scrive Curry: “e se ci fosse un modo per farsi registrare come concessionario, generare un codice di accesso, e poi usarlo?”. E infatti c’è.
Curry e i suoi colleghi mandano una semplice riga di comandi accuratamente confezionati a kiaconnect.kdealer.com, dando il proprio nome, cognome, indirizzo di mail e specificando una password, e vengono accettati senza battere ciglio. Per il sistema informatico di Kia, loro sono a questo punto un concessionario come tanti altri.
Questo permette a loro di immettere un VIN, ossia il numero identificativo unico di un veicolo, e ottenere in risposta i dati personali del proprietario di quel veicolo, compreso il suo indirizzo di mail, che è la chiave per l’eventuale attivazione dei servizi di comando remoto.
Avendo questo indirizzo e potendosi presentare al sistema informatico di Kia come concessionario, possono dire al sistema di aggiungere il loro indirizzo di mail a quelli abilitati a mandare comandi remoti all’auto, e a questo punto diventano pienamente padroni di telecomandare il veicolo del malcapitato utente.
Resta solo da scoprire il VIN del veicolo scelto come bersaglio, ma questo è relativamente facile. Molti veicoli riportano questo identificativo in maniera ben visibile, per esempio su una targhetta dietro il parabrezza, ma anche se il VIN non è in bella mostra e non c’è modo di avvicinarsi al veicolo per leggerlo è possibile iscriversi a uno dei tanti servizi che forniscono il VIN di un veicolo partendo dal suo numero di targa.
Visto che hanno trovato questo ultimo tassello del mosaico, Sam Curry e colleghi sono pronti per dimostrare il loro attacco. Avvisano immediatamente Kia, che risponde tre giorni dopo, e creano un’app che esegue automaticamente l’intero processo di intrusione: parte appunto dal numero di targa dell’auto presa di mira, che per ovvie ragioni è ben visibile, e poi interroga un servizio commerciale per ottenere il VIN corrispondente a quella targa.
Poi l’app si annuncia al sito di Kia come se fosse un concessionario, e si procura così l’indirizzo di mail associato al veicolo, aggiunge l’indirizzo di mail degli hacker a quello dell’utente legittimo, e infine promuove quell’indirizzo a utente principale.
A quel punto gli hacker, per restare nei limiti della dimostrazione non pericolosa e legale, noleggiano una Kia e registrano un video nel quale si vede che l’auto inizialmente chiusa a chiave diventa apribile, telecomandabile e localizzabile semplicemente immettendo nella loro app il suo numero di targa. Il 20 giugno mandano a Kia lo screenshot della loro app dimostrativa.
Passano varie settimane, e finalmente il 14 agosto Kia risponde dicendo che la vulnerabilità è stata corretta e che sta verificando che la correzione funzioni. Gli hacker, da parte loro, verificano che effettivamente la falla è stata turata e il 26 settembre scorso, pochi giorni fa, insomma, annunciano la loro scoperta pubblicandone i dettagli tecnici presso Samcurry.net.
Tutto è bene quel che finisce bene, si potrebbe pensare. La casa costruttrice ha preso sul serio la segnalazione di allarme degli hacker benevoli, cosa che non sempre succede, ha agito e ha risolto il problema. Ma tutto questo è stato possibile perché anche stavolta la falla, piuttosto grossolana, è stata scoperta da informatici ben intenzionati che hanno condiviso con l’azienda quello che avevano trovato. La prossima volta potrebbe non andare così bene e una nuova falla potrebbe finire nelle mani del crimine informatico organizzato.
Questa scoperta di una nuova grave vulnerabilità nella sicurezza delle automobili connesse, così di moda oggi, mette in evidenza i rischi e i vantaggi della crescente digitalizzazione nel settore automobilistico, che non sembra essere accompagnata da una corrispondente crescita dell’attenzione alla sicurezza informatica da parte dei costruttori. E noi consumatori, in questo caso, non possiamo fare praticamente nulla per rimediare.
Certo, questi veicoli connessi offrono grandi vantaggi in termini di comodità, con funzioni avanzate come il monitoraggio remoto, gli aggiornamenti del software senza recarsi in officina e i servizi di navigazione migliorati. Ma il loro collegamento a Internet, se non è protetto bene, li rende vulnerabili a possibili attacchi informatici, diventa un pericolo per la sicurezza del conducente e dei passeggeri, per esempio attraverso accessi non autorizzati ai sistemi critici del veicolo come i freni o l’acceleratore, e mette a rischio la privacy dei dati personali. Se è così facile accreditarsi come concessionari in un sistema informatico di un costruttore di auto, come abbiamo visto grazie a Sam Curry e ai suoi colleghi, vuol dire che la lezione di sicurezza non è stata ancora imparata a sufficienza.
Il caso di Kia, insomma, è un esempio da manuale di come agisce un aggressore informatico, e può essere esteso a qualunque attività che dipenda da Internet e dai computer. L’aspirante intruso è fantasioso e non attacca frontalmente ma cerca qualunque varco secondario lasciato aperto e lo usa come cuneo per penetrare gradualmente nei sistemi, andando sempre più in profondità. È quasi sempre molto più motivato e ossessivo di un difensore, che ha il problema di essere spesso poco apprezzato dal datore di lavoro, perché il suo lavoro è invisibile per definizione: quando opera bene non succede nulla e non ci si accorge di nulla.
Provate a guardare la vostra attività e chiedetevi se avete per caso blindato tanto bene la vostra porta principale ma avete dimenticato che per esempio l’ingresso dedicato ai fornitori è protetto “per comodità” da un PIN di accesso, che tutti quei fornitori puntualmente si annotano su un foglietto di carta appiccicato in bella vista sul cruscotto del loro furgone. Far esaminare le proprie difese dagli occhi di una persona esperta esterna può essere molto illuminante e può salvare da figuracce e disastri.
Stamattina è andata in onda una nuova puntata in diretta di Niente Panico, il programma che conduco insieme a Rosy Nervi sulla Rete Tre della Radiotelevisione Svizzera. La trasmissione è riascoltabile qui oppure nell’embed qui sotto. Le puntate vengono pubblicate a questo link:
L’account Instagram della settimana: Jan Hakon Erichsen (@janerichsen), 797.000 follower, è un artista norvegese che si è fatto notare per le sue esibizioni surreali e virali, che pubblica su Instagram dal 2017. Usa oggetti quotidiani come cibo, palloncini e strumenti meccanici per creare scene di distruzione comica e assurda o situazioni totalmente bizzarre come il Banana Tapper (The Guardian).
La donna dimenticata (e ora ricordata) dalla scienza:Rosalind Franklin, chimica britannica (1920-1958) ed esperta di cristallografia, che ebbe un ruolo chiave, non riconosciuto all’epoca, nella realizzazione dell’immagine (diffrattogramma a raggi X) che permise di identificare la forma del DNA, scoperta che valse il Nobel per la medicina a Watson, Crick e Wilkins nel 1962 (ma non a lei, anche perché le regole del premio all’epoca non consentivano i riconoscimenti postumi e lei era morta a soli 37 anni nel 1958). Oggi il suo nome verrà ricordato usandolo per la sonda mobile robotica (rover) Exomars che dovrebbe partire per Marte nel 2028.
Origine del termine robotrix: dovrebbe essere una pubblicazione del 1933, Science Fiction Digest di Forrest Ackerman, in riferimento al film Metropolis di Fritz Lang, secondo SFdictionary.
L’intervista impossibile:Victoria Braithwaite (1967-2019), nota per aver dimostrato scientificamente che i pesci provano dolore, cambiando radicalmente il modo in cui consideriamo questi esseri viventi; la ricordiamo nell’anniversario della sua scomparsa.
Cosa fare in caso di hacking o furto di un account Instagram: prima di tutto si deve fare prevenzione, con l’autenticazione a due fattori e l’attivazione di un account a pagamento, che ha diritto all’assistenza tecnica. Se il disastro è già successo, si può tentare il negoziato con il ladro dell’account.
Auto connesse “hackerabili” via Internet: problema risolto, ma i dettagli sono preoccupanti in termini di fragilità dei sistemi di gestione (Samcurry.net). Ne parlerò nel prossimo podcast de Il Disinformatico.
Stamattina sono stato ospite di Millevoci sulla Rete Uno (radio) della Radiotelevisione Svizzera per parlare della situazione di X (l’ex Twitter) e del suo potere mediatico alla vigilia delle elezioni presidenziali statunitensi, partendo dalla mia decisione di smettere definitivamente di usare X. Ho partecipato al programma insieme a Isabella Visetti, Nicola Colotti e Neva Petralli.
La registrazione è disponibile online qui e nell’embed qui sotto.
Il calo degli utenti di X che ho citato durante la trasmissione è tratto da questo articolo di NBC News di marzo 2024. A febbraio di quest’anno, secondo i rilevamenti di Sensor Tower, X aveva negli Stati Uniti 27 milioni di utenti giornalieri della sua app per dispositivi mobili. L’andamento è piatto o in calo da novembre 2022, quando Musk ha acquisito Twitter, e il calo complessivo in USA ammonta al 23%.
A livello mondiale, gli utenti sono calati del 15% rispetto a febbraio 2023, scendendo a 174 milioni. X dichiara invece di avere 250 milioni di utenti giornalieri nel mondo; anche così, sono in leggero calo rispetto ai 258 milioni al momento dell’acquisto da parte di Musk.
Per quel che riguarda la mia vicenda personale su X, l’articolo in cui annuncio la mia uscita da X che viene citato nella trasmissione è questo, del 14 settembre scorso.
Sto lentamente defollowando a mano gli oltre 700 account Twitter che seguivo (se vi seguivo e avete notato il mio defollow, non ce l’ho con voi, sto smettendo di seguire tutti su X).
I miei follower su X (a questo punto inutili) sono fermi a 411.002. Quelli su Threads sono 4325; quelli su Instagram sono 5871; quelli su Mastodon sono circa 11.000.
Stamattina è andata in onda una nuova puntata in diretta di Niente Panico, il programma che conduco insieme a Rosy Nervi sulla Rete Tre della Radiotelevisione Svizzera.
La puntata è riascoltabile qui oppure nell’embed qui sotto. Le puntate vengono pubblicate a questo link:
Intelligenza artificiale e musica: Suno lancia la funzione Covers per ricreare le canzoni usando vari stili “un po’ come applicare un filtro a una foto” e usabile anche partendo da “un canto amatoriale sotto la doccia […] Per i musicisti e i produttori, Covers offre un’opportunità unica di sperimentare diversi arrangiamenti e stili senza perdere tempo” (Punto Informatico).
Prova pratica di Suno: ho creato un account gratuito, ho immesso il prompt “una canzone pop dedicata a due conduttori radiofonici, Rosy e Paolo, che portano informazione e allegria”, in italiano, e Suno mi ha generato questo brano, che è quello che abbiamo anche trasmesso in diretta, e anche questa versione alternativa un po’ meno brillante.
Sottolineo che tutto quello che sentite è stato generato pari pari dall’intelligenza artificiale di Suno, senza alcun mio intervento di rifinitura: il testo (in italiano e in rima), la voce del cantante, la melodia e gli strumenti.
L’intervista impossibile: Abbiamo ricordato l’anniversario della nascita di Ray Charles (23 settembre 1930). A titolo dimostrativo, anche qui tutto è stato creato pari pari dall’IA.
Per prima cosa ho chiesto a ChatGPT “leggi questa biografia di Ray Charles https://it.wikipedia.org/wiki/Ray_Charles e prepara quattro domande vivaci e intelligenti per un’intervista a Ray Charles come se fosse ancora vivo”.
La risposta di ChatGPT:
Ecco quattro domande vivaci e intelligenti per un’intervista a Ray Charles:
Ray, sei stato un pioniere nel fondere gospel, jazz e blues, creando il soul. Come hai trovato il coraggio di rompere le regole musicali e inventare un suono così unico?
Dopo la perdita della vista, la musica è diventata la tua vera visione. In che modo questa esperienza ha cambiato il tuo modo di sentire e interpretare la musica?
“Georgia on My Mind” è uno dei tuoi brani più amati. Cosa rappresenta per te questo pezzo e perché pensi abbia toccato così tante persone?
Hai affrontato momenti difficili, inclusa la dipendenza. Qual è stato il momento in cui hai sentito di poter riprendere il controllo della tua vita e della tua carriera?
Solitamente per queste “interviste” usiamo Character.ai, che però non ha un profilo già pronto dedicato a Ray Charles, per cui ho chiesto a ChatGPT di generare anche le presunte risposte, dandogli l’istruzione “Usando le informazioni che hai su Ray Charles, crea le risposte a queste domande”.
ChatGPT ha risposto così:
Ecco delle risposte immaginate da Ray Charles alle tue domande:
Ray, sei stato un pioniere nel fondere gospel, jazz e blues. Come hai trovato il coraggio di rompere le regole musicali e creare un suono così unico? “Ho sempre seguito il mio cuore. La musica è una cosa viva, non puoi rinchiuderla in scatole. Venivo da una tradizione di gospel, ma il blues e il jazz mi parlavano, così ho combinato tutto. Non era pianificato, era solo quello che sentivo.”
Dopo la perdita della vista, la musica è diventata la tua vera visione. In che modo questa esperienza ha cambiato il tuo modo di sentire e interpretare la musica? “Perdere la vista mi ha fatto ascoltare il mondo in un modo completamente nuovo. Ogni nota, ogni ritmo aveva un significato più profondo. La musica è diventata il mio modo di vedere, di comunicare e di esprimere le emozioni che non potevo vedere ma che sentivo dentro di me.”
“Georgia on My Mind” è uno dei tuoi brani più amati. Cosa rappresenta per te questo pezzo e perché pensi abbia toccato così tante persone? “Georgia è più di una canzone per me, è come tornare a casa, dove ho iniziato tutto. Credo che tocchi le persone perché parla di nostalgia, di affetto per le proprie radici. Chiunque può connettersi con quel sentimento.”
Hai affrontato momenti difficili, inclusa la dipendenza. Qual è stato il momento in cui hai sentito di poter riprendere il controllo della tua vita e della tua carriera? “Il momento più difficile è stato rendermi conto che la dipendenza mi stava portando via tutto, ma la musica mi ha sempre dato una ragione per lottare. Quando ho capito che avevo ancora tanto da dare, è stato lì che ho deciso di riprendere il controllo, per me stesso e per la mia musica.”
Ho poi preso questi testi e li ho fatti leggere a une delle voci di ElevenLabs.io. La cosa che mi inquieta è che le domande sono dannatamente pertinenti e probabilmente migliori di quelle che sarebbero venute in mente a me.
Un frammento di uno dei cercapersone esplosi. Fonte: Al Jazeera.
Ultimo aggiornamento: 2024/09/22 19:00.
Questo è il testo della puntata del 20 settembre 2024 del podcast Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto. Il testo include anche i link alle fonti di questa puntata.
Il podcast si prenderà una pausa la settimana prossima e tornerà il 4 ottobre.
[CLIP: audio di esplosione e di panico]
Migliaia di dispositivi elettronici sono esplosi improvvisamente nel corso di due giorni in Libano e in Siria, uccidendo decine di persone e ferendone almeno tremila. Inizialmente si è sparsa la voce che si trattasse di un “attacco hacker”, come hanno scritto anche alcune testate giornalistiche [Il Fatto Quotidiano], facendo pensare a un’azione puramente informatica in grado di colpire teoricamente qualunque dispositivo ovunque nel mondo facendone esplodere la batteria attraverso un particolare comando inviato via radio o via Internet.
Non è così, ma resta il dubbio legittimo: sarebbe possibile un attacco del genere?
Questa è la storia di una tecnica di aggressione chiamata supply chain attack, che in questi giorni si è manifestata in maniera terribilmente cruenta ma è usata da tempo da criminali e governi per mettere a segno sabotaggi, estorsioni e operazioni di sorveglianza.
Benvenuti alla puntata del 20 settembre 2024 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.
[SIGLA di apertura]
Il 17 settembre scorso il Libano e la Siria sono stati scossi dalle esplosioni quasi simultanee di migliaia di cercapersone, che hanno ucciso decine di persone e ne hanno ferite oltre duemila. Il giorno successivo sono esplosi centinaia di walkie-talkie, causando la morte di almeno altre venti persone e il ferimento di alcune centinaia.
Queste due raffiche di esplosioni hanno seminato il panico e la confusione nella popolazione locale, presa dal timore che qualunque dispositivo elettronico dotato di batteria, dal computer portatile alle fotocamere allo smartphone, potesse esplodere improvvisamente. Sui social network si è diffusa la diceria che stessero esplodendo anche gli impianti a pannelli solari, le normali radio e le batterie delle automobili a carburante, ma non c’è stata alcuna conferma [BBC]. All’aeroporto di Beirut è scattato il divieto di portare a bordo degli aerei qualunque walkie-talkie o cercapersone [BBC].
Nelle ore successive è emerso che non si è trattato di un “attacco hacker” in senso stretto: non è bastato che qualcuno mandasse un comando a un dispositivo per innescare l’esplosione della sua batteria. I cercapersone e i walkie-talkie esplosi erano stati sabotati fisicamente, introducendo al loro interno delle piccole ma micidiali cariche esplosive, successivamente fatte detonare inviando un comando via radio, con l’intento di colpire i membri di Hezbollah che usavano questi dispositivi.
In altre parole, non c’è nessun pericolo che qualcuno possa far esplodere un telefonino, un rasoio elettrico, una fotocamera, uno spazzolino da denti elettronico, un computer portatile, delle cuffie wireless, un tablet, un’automobile elettrica o qualunque altro dispositivo dotato di batteria semplicemente inviandogli un comando o un segnale particolare o infettandolo con un’app ostile di qualche tipo. Per questo genere di attacco, il dispositivo deve essere stato modificato fisicamente e appositamente.
È importante però non confondere esplosione con incendio. Le batterie dei dispositivi elettronici possono in effetti incendiarsi se vengono danneggiate o caricate in modo scorretto. Ma gli eventi tragici di questi giorni non hanno affatto le caratteristiche di una batteria che prende fuoco, perché le esplosioni sono state improvvise e violente, delle vere e proprie detonazioni tipiche di una reazione chimica estremamente rapida, mentre l’incendio di una batteria è un fenomeno veloce ma non istantaneo, che rilascia molta energia termica ma lo fa in modo graduale, non di colpo.
Cosa più importante, non esiste alcun modo per innescare l’incendio di una batteria di un normale dispositivo attraverso ipotetiche app o ipotetici comandi ostili. Anche immaginando un malware capace di alterare il funzionamento del caricabatterie o dei circuiti di gestione della carica e scarica della batteria, la batteria stessa normalmente ha delle protezioni fisiche contro la scarica improvvisa o la carica eccessiva. Chi si è preoccupato all’idea che degli hacker sarebbero capaci di trasformare i telefonini in bombe con un semplice comando può insomma tranquillizzarsi, soprattutto se si trova lontano dalle situazioni di conflitto.
C’è però da capire come sia stato possibile un sabotaggio così sofisticato, e in questo senso l’informatica ci può dare una mano, perché non è la prima volta che si verifica quello che in gergo si chiama un supply chain attack, o attacco alla catena di approvvigionamento, anche se quella di questi giorni è una sua forma particolarmente cruenta.
Un supply chain attack è un attacco, fisico o informatico, a un elemento della catena di approvvigionamento di un avversario. Invece di attaccare i carri armati del nemico, per esempio, si colpiscono i loro depositi di carburante o le loro fabbriche di componenti. In campo informatico, invece di attaccare direttamente l’azienda bersaglio, che è troppo ben difesa, si prende di mira un suo fornitore meno attento alla sicurezza e lo si usa come cavallo di Troia per aggirare le difese entrando dall’accesso riservato ai fornitori, per così dire. Anzi, si potrebbe dire che proprio il celebre cavallo di Troia fu il primo caso, sia pure mitologico, di supply chain attack, visto che i troiani si fidarono decisamente troppo del loro fornitore.
Un esempio tipico, concreto e moderno di questa tecnica di attacco risale al 2008, quando le forze di polizia europee smascherarono un’organizzazione criminale dedita alle frodi tramite carte di credito che rubava i dati dei clienti usando dei dispositivi non tracciabili inseriti nei lettori delle carte di credito fabbricati in Cina. Questo aveva permesso ai criminali di effettuare prelievi e acquisti multipli per circa 100 milioni di dollari complessivi.
Nel 2013 la catena statunitense di grandi magazzini Target si vide sottrarre i dati delle carte di credito di circa 40 milioni di utenti, grazie a del malware installato nei sistemi di pagamento POS. Nonostante Target avesse investito cifre molto importanti nel monitoraggio continuo della propria rete informatica, l’attacco fu messo a segno tramite i codici di accesso rubati a un suo fornitore in apparenza slegato dagli acquisti: una ditta della Pennsylvania che faceva impianti di condizionamento.
Le modifiche apportate fisicamente di nascosto ai dispositivi forniti da terzi non sono un’esclusiva dei criminali. Grazie alle rivelazioni di Edward Snowden, per esempio, sappiamo che l’NSA statunitense [Ars Technica] ha intercettato server, router e altri apparati per reti informatiche mentre venivano spediti ai rispettivi acquirenti che voleva mettere sotto sorveglianza, li ha rimossi accuratamente dagli imballaggi, vi ha installato del software nascosto (più precisamente del firmware, ossia il software di base del dispositivo) e poi li ha reimballati, ripristinando tutti i sigilli di sicurezza, prima di reimmetterli nella filiera di spedizione.
Altri esempi di attacco alla catena di approvvigionamento sono Stuxnet, un malware che nel 2010 danneggiò seriamente il programma nucleare iraniano prendendo di mira il software degli apparati di controllo di una specifica azienda europea, usati nelle centrifughe di raffinazione del materiale nucleare in Iran, e NotPetya, un virus che nel 2017 fu inserito negli aggiornamenti di un programma di contabilità molto diffuso in Ucraina. I clienti scaricarono fiduciosamente gli aggiornamenti e si ritrovarono con i computer bloccati, i dati completamente cifrati e una richiesta di riscatto.
C’è anche un caso di supply chain attack che ci tocca molto da vicino, ed è quello della Crypto AG [sintesi su Disinformatico.info], l’azienda svizzera che per decenni ha venduto ai governi e alle forze armate di numerosi paesi del mondo degli apparati di crittografia molto sofisticati, che però a seconda del paese di destinazione venivano a volte alterati segretamente in modo da consentire ai servizi segreti statunitensi e tedeschi di decrittare facilmente le comunicazioni cifrate diplomatiche, governative e militari di quei paesi. In questo caso l’attacco proveniva direttamente dall’interno dell’azienda, ma il principio non cambia: il bersaglio veniva attaccato non frontalmente, ma attraverso uno dei fornitori di cui si fidava.
Difendersi da questo tipo di attacchi non è facile, perché spesso il committente non conosce bene il fornitore, e a sua volta quel fornitore deve conoscere bene i propri fornitori, perché non è la prima volta che un governo o un’organizzazione criminale costituiscono ditte fittizie e si piazzano sul mercato offrendo prodotti o servizi di cui il bersaglio ha bisogno.
Gli esperti raccomandano di ridurre al minimo indispensabile il numero dei fornitori, di visitarli spesso per verificare che siano autentici e non delle semplici scatole cinesi di copertura, di instillare in ogni fornitore, anche nel più secondario, una cultura della sicurezza che invece spesso manca completamente, e di adottare hardware e software che incorporino direttamente delle funzioni di verifica e di sicurezza contro le manomissioni. Ma per la maggior parte delle organizzazioni tutto questo ha costi insostenibili, e così gli attacchi alla catena di approvvigionamento prosperano e, secondo i dati delle società di sicurezza informatica, sono in costante aumento.
Lo schema di questi attacchi ha tre caratteristiche particolari che lo distinguono da altri tipi di attacco: la prima caratteristica è la necessità di disporre di risorse tecniche e logistiche enormi. Nel caso di cui si parla in questi giorni, per esempio, chi lo ha eseguito ha dovuto identificare marche e modelli usati dai membri di Hezbollah, infiltrarsi tra i fornitori fidati o intercettarne le spedizioni in modo invisibile, e progettare, testare e costruire le versioni modificate di migliaia di esemplari dei dispositivi, appoggiandosi a sua volta a fornitori di competenze tecnologiche ed esplosivistiche e di componenti elettronici che fossero capaci di mantenere il segreto.
La seconda caratteristica è invece più sottile. In aggiunta al tremendo bilancio di vite umane, impossibile da trascurare, questi attacchi hanno il risultato di creare angoscia e sfiducia diffusa in tutta l’opinione pubblica verso ogni sorta di tecnologia, creando falsi miti e diffidenze inutili e devastando la reputazione delle marche coinvolte.
Ma la terza caratteristica è quella più pericolosa e in questo caso potenzialmente letale. Chi si inserisce di nascosto in una catena di approvvigionamento raramente ne ha il pieno controllo, per cui non può essere certo che qualcuno dei prodotti che ha sabotato non finisca in mani innocenti invece che in quelle dei bersagli designati, e agisca colpendo chi non c’entra nulla, o rimanga in circolazione dopo l’attacco.
Finché si tratta di malware che causa perdite di dati, il danno potenziale a terzi coinvolti per errore è solitamente sopportabile; ma in questo caso che insanguina la cronaca è difficile, per chi ha lanciato questo attacco, essere certo che tutti quei dispositivi modificati siano esplosi, e così in Libano e in Siria probabilmente circolano ancora, e continueranno a lungo a circolare, dei cercapersone e dei walkie-talkie che sono imbottiti di esplosivo a insaputa dei loro utenti.
Chissà se chi ha concepito questi attacchi dorme sonni tranquilli.
2024/09/22 19:00: La teoria alternativa di Umberto Rapetto
Su La Regione Ticino è stato pubblicato un articolo nel quale il generale della Guardia di Finanza Umberto Rapetto, “già comandante del Gruppo Anticrimine Tecnologico, per anni docente di Open Source Intelligence alla Nato School di Oberammergau (D)”, afferma che l’esplosivo sarebbe stato inserito nei dispositivi non da un aggressore esterno, ma da Hezbollah, ossia dall’utente stesso.
A suo dire, la fornitura di cercapersone sarebbe stata
“commissionata pretendendo che all’interno del normale involucro del prodotto di serie sia ospitata una piccolissima carica esplosiva e che il software includa le istruzioni per attivare la deflagrazione”
in modo da costituire una sorta di meccanismo di autodistruzione da usare qualora un dispositivo fosse caduto in mani nemiche. Non solo: secondo Rapetto, la carica sarebbe stata installata addirittura a insaputa degli stessi affiliati di Hezbollah che usavano i walkie-talkie e i cercapersone modificati, allo scopo di eliminare anche loro qualora fossero stati rapiti:
“Non solo il minuscolo aggeggio non deve spianare la strada all’intelligence, ma deve anche evitare che il suo possessore eventualmente catturato possa raccontare cose riservate e compromettere la sorte dell’organizzazione […] il dispositivo non è più in grado di offrire spunti agli 007 avversari e anche il proprio agente – ucciso o gravemente ferito – perde la possibilità di confessare”.
A supporto di questa teoria non vengono portate prove, e finora non ho trovato nessun’altra persona esperta che abbia proposto questa ricostruzione degli eventi.
È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate qui sul sito della RSI (si apre in una finestra/scheda separata) e lo potete scaricare qui.
[CLIP: Rumore di auto elettrica che parte da ferma e accelera]
Le automobili di oggi sono dei computer su ruote, hanno un numero sempre maggiore di funzioni e servizi, e si pone il problema di come permettere al conducente di gestire tutta questa complessità. Per usare il gergo informatico, è necessario adeguare la cosiddetta interfaccia utente.
La soluzione sempre più diffusa è uno schermo tattile, che sostituisce le levette e i pulsanti fisici, ma ci sono anche i comandi capacitivi, ossia finti pulsanti che si azionano semplicemente sfiorandoli e non si muovono fisicamente.
Eppure la sensazione di molte persone che guidano questi veicoli è che le interfacce touch, una volta passato l’effetto wow e superato l’impatto estetico seducente, siano scomode e in alcuni casi addirittura pericolose. Cominciano a essere pubblicate anche delle ricerche tecniche che sembrano confermare questa sensazione. Ma allora perché quasi tutti i costruttori di automobili insistono a usare questo tipo di interfaccia?
Questa è la storia delle interfacce touch nelle automobili. Una storia che comincia, sorprendentemente, nel 1986, quasi quarant’anni fa, e che rivela il lungo flirt dell’industria automobilistica con una tecnologia in apparenza avveniristica ma in realtà perlomeno controversa. Un flirt nel quale la persona più importante, cioè il conducente, finisce spesso per trovarsi nel ruolo del terzo incomodo che deve fare buon viso a cattivo gioco.
Benvenuti alla puntata del 2 agosto 2024 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.
[SIGLA di apertura]
Se qualcuno nomina il concetto di interfaccia touch per le auto, o in altre parole parla di automobili che si comandano in gran parte non con dei pulsanti, delle manopole o delle levette fisiche ma usando uno schermo interattivo e sensibile al tocco, il pensiero corre facilmente a una marca ben precisa: Tesla. Le sue auto, esclusivamente elettriche, sono famose per i loro schermi giganti incastonati nel cruscotto, da usare per comandarne le mille funzioni offerte dal software di bordo.
Ma in realtà la prima interfaccia touch, ossia il primo schermo sensibile al tocco presente in un’automobile risale a molto prima della nascita del marchio Tesla: risale addirittura al 1986. In quell’anno la casa automobilistica statunitense Buick presentò il Graphic Control Center, uno schermo tattile da nove pollici, incastonato nel cruscotto della sua coupé Riviera di settima generazione. Era un monitor a tubo catodico, monocromatico, con caratteri verdi su sfondo nero, e a detta della casa costruttrice riuniva in un unico elemento ben 91 funzioni che altrimenti avrebbero richiesto pulsanti, selettori, interruttori e manopole sul cruscotto.Da questo schermo sensibile al tatto si comandavano per esempio l’aria condizionata, l’autoradio, i sistemi diagnostici e si monitoravano i consumi di carburante.
Lo schermo touch di una Buick Riviera, versione del 1989. Immagine tratta da questo video.
Fu un fiasco, perché i conducenti si lamentarono che usare lo schermo tattile era scomodo e li distraeva troppo dalla guida, obbligandoli a togliere gli occhi dalla strada molto di più di quanto facessero quei comandi fisici che il monitor tattile aveva sostituito. Buick non installò più questo sistema touch, e l’idea delle interfacce tattili rimase parcheggiata con le quattro frecce per circa vent’anni.
Nel 2001 arrivò infatti BMW, che introdusse iDrive, un’interfaccia di gestione incentrata su uno schermo da quasi 9 pollici di diagonale, finalmente piatto e non a tubo catodico ma a LCD, che sostituiva tutta la pulsantiera del sistema di intrattenimento di bordo. Non era comandabile toccandolo: la persona alla guida vi interagiva tramite una manopola fisica che permetteva di esplorare i suoi vari menu e sottomenu.
Gli schermi nei cruscotti cominciarono man mano a diffondersi, ma solo come coprotagonisti di un pannello comandi che restava affollato di bottoni. Tesla arrivò con la sua interfaccia touch soltanto nel 2012, ma lo fece col botto, piazzando al centro del cruscotto della sua prima berlina, la Model S, un monumentale schermo tattile da ben 17 pollici, ed eliminando quasi completamente i pulsanti fisici. Praticamente tutte le funzioni dell’auto, comprese quelle importanti per la sicurezza di guida come l’accensione dei fendinebbia, passavano da quello schermo, con un effetto avveniristico che fece immediatamente presa nell’opinione pubblica. E la tendenza di questa marca al minimalismo dei pulsanti è proseguita con i modelli successivi. Nelle Tesla più recenti, anche la direzione delle bocchette di ventilazione si comanda dallo schermo touch, è scomparso il quadrante degli strumenti, quello che stava dietro il volante, e sono sparite anche le levette per azionare le frecce, sostituite da tasti capacitivi, ossia delle superfici a sfioramento integrate nelle razze del volante. Anche le marce si selezionano toccando lo schermo oppure dei tasti capacitivi inseriti in modo quasi invisible nella plafoniera.
Ora moltissimi costruttori di automobili mettono un grande schermo tattile al centro dei loro cruscotti: è la moda di design del momento, perché fa colpo sul cliente, elimina tantissimi anfratti che attirano antiestetica polvere, ma soprattutto fa risparmiare tanti soldi al costruttore, che si trova ad avere meno componenti e sottocomponenti da montare durante la fabbricazione, quindi meno costi di manodopera, e non deve gestire una selva di pulsanti, cavi, levette e relativi ricambi da tenere a magazzino per anni. Inoltre consente di aggiungere nuove funzioni con un semplice aggiornamento software, senza dover installare pulsanti extra o dover rifare gli stampi e le procedure di assemblaggio per offrire un cruscotto modificato.
Il caso forse più estremo è quello di Mercedes, che nella sua EQS offre in opzione il cosiddetto Hyperscreen, uno schermo largo 56 pollici, circa un metro e mezzo, composto da tre pannelli da 12 pollici e da uno da quasi 18 pollici.
Ma non è un po’ troppo tutto questo?
Euro NCAP, una delle più prestigiose organizzazioni europee per la sicurezza automobilistica, sostenuta dall’Unione Europea e da numerosi ministeri nazionali dei trasporti, ha annunciato a marzo del 2024 che i suoi nuovi test di sicurezza, previsti per il 2026, incoraggeranno le case automobilistiche a usare “comandi fisici e separati per le funzioni di base in maniera intuitiva per limitare il tempo trascorso con gli occhi distolti dalla strada e quindi promuovere una guida più sicura”. Inoltre ha dichiarato che “l’uso eccessivo degli schermi tattili è un problema che tocca l’intero settore” perché “obbliga i conducenti a spostare lo sguardo dalla strada e aumenta il rischio di incidenti dovuti alla distrazione” [Interesting Engineering].
Già nel 2022 una rivista di settore svedese aveva dimostrato che i pulsanti fisici sono solitamente più sicuri degli schermi tattili. Lo aveva fatto misurando il tempo di spostamento dello sguardo necessario per compiere quattro compiti relativamente semplici. Su una Volvo V70 del 2005, dotata solo di pulsanti, il tempo complessivo era stato di dieci secondi. Sulla BMW iX, basata su uno schermo touch, le stesse operazioni avevano richiesto il triplo del tempo, trenta secondi, e su una MG Marvel R erano serviti addirittura 45 secondi di distrazione.
Anche senza arrivare al rigore di un test come questo, è abbastanza intuitivo che se ci si trova improvvisamente in un banco di nebbia è molto più sicuro avere un pulsante per accendere i fendinebbia, un pulsante che si può trovare e premere senza togliere lo sguardo dalla strada in un momento critico del genere, che avere una zona specifica dello schermo che bisogna toccare per attivare un menu dal quale bisogna poi scegliere l’icona giusta e centrarla con il dito, senza nessun riscontro fisico di averla toccata correttamente.
Va detto che pulsanti e interfacce fisiche non sono automaticamente una garanzia di sicurezza. Come gli informatici e i piloti collaudatori ben sanno, qualunque interfaccia può causare confusione, distrazione e disastri anche fatali se non è pensata bene. Un caso tristemente noto in campo automobilistico è quello della leva del cambio della Fiat Chrysler Grand Cherokee del 2015. Una leva tangibile, impugnabile, che però era stata concepita in modo da non mantenere fisicamente una posizione differente a seconda della marcia inserita. Tornava sempre alla posizione centrale, lasciando come unica indicazione del suo stato una piccola spia luminosa.
Molti conducenti erano scesi dall’auto pensando di averla messa in Park quando in realtà era ancora in Drive o in folle o addirittura in retromarcia, col risultato che l’auto si muoveva da sola. Alla fine, dopo almeno 41 casi di ferimento legati a questa interfaccia, Fiat Chrysler era stata costretta a richiamarne oltre un milione di esemplari. Questo errore di progettazione dell’interfaccia è fra le probabili cause della morte nel 2016 dell’attore di Star TrekAnton Yelchin, schiacciato contro un cancello di sicurezza dalla propria Grand Cherokee lasciata inavvertitamente in folle in pendenza.
Non è solo una questione di schermi tattili al posto dei pulsanti: anche la recente moda di adottare comandi capacitivi a sfioramento ha i suoi problemi di interfaccia. Alcuni proprietari di auto Volkswagen affermano infatti che questi pseudo-pulsanti, presenti sul volante, causano incidenti.
Siccome si tratta di superfici estremamente sensibili al tocco, basta sfiorarle inavvertitamente, magari durante una manovra di parcheggio, per dare i comandi corrispondenti. Finché si alza per errore il volume dell’autoradio non è un problema grave, ma se si riattiva involontariamente il cruise control o tempomat, i cui comandi sono sulle razze del volante, l’auto accelera di colpo e a sorpresa. Le segnalazioni di incidenti di questo genere si stanno accumulando nei forum online [Ars Technica], ma per ora manca un’inchiesta formale, per cui sono dati da prendere con un pizzico di cautela. In ogni caso Volkswagen ha deciso di non attendere test formali e ha annunciato sin da ottobre 2022 che ripristinerà i pulsanti fisici veri e propri sul volante, scrivendo che “è quello che ci chiedono i clienti”.
Insomma, se vi lamentate che le interfacce touch di oggi non vi vanno a genio, non siete soli e non siete diventati brontoloni che non sanno stare al passo con i tempi. Il problema è molto concreto e diffuso, tanto che esistono aziende che vendono pulsantiere Bluetooth per ridare agli utenti dei bottoni da pigiare almeno per le funzioni più frequenti che sarebbero invece accessibili soltanto toccando uno schermo.
Il minimalismo è una scelta di design valida nell’informatica di consumo, dove l’estetica può essere privilegiata tranquillamente rispetto alla velocità e alla intuitività d’uso, ma i dati indicano che non è affatto una scelta altrettanto valida nella sicurezza stradale, anche se per molti costruttori di automobili il ritorno alle interfacce utente fisiche, con i relativi costi e le associate complessità di fabbricazione, è letteralmente un tasto che non vogliono toccare.
