#351 – Spiare i giornalisti

Questa è una di quelle puntate che non era prevista nel piano editoriale, ma che si è resa necessaria in quanto gli eventi accaduti in questi giorni sono di una gravità tale che vanno raccontati, spiegati e dovrebbero essere compresi da quante più persone possibili.
Lo so che non sono un podcast da un milione di ascolti, ma nel mio piccolo vorrei fare il mio, perché chi può, nel suo grande, perdonatemi il paragone poco azzeccato grammaticalmente, continua a non fare niente.
Oggi vi parlo di tecnologia, di sicurezza informatica, anche di politica e di una brutta piega che sta prendendo questo Paese.
No, niente Piracy Shield, qui le cose sono più gravi di qualche ordine di grandezza.

Questa puntata è stata realizzata grazie alle indispensabili donazioni di generosi ascoltatori
Gli abbonati
Andrea
E le donazioni spot
Giuseppe
Fabrizio
Andrea
Massimiliano
Francesco
Per sapere come far parte di questo elenco vi rimando al capitolo un po’ più in là nella puntata.

Prima di iniziare, vi ricordo che potete contattarmi in mille modi, su Bluesky sono francesco.iltucci.com, su Mastodon sono cesco_78 su mastodon.social o pillole dibit su hackyderm.io o via mail a [email protected], trovate tutti i link comodi comodi sull’app dalla quale state ascoltando la puntata o sul sito, rispondo sempre. Il metodo migliore però è il gruppo telegram attivo durante tutta la settimana, dove si parla delle puntate e di tecnologia in generale, siamo davvero tanti, lo trovate a pilloledib.it/telegram

Come vi ho raccontato più di una volta, tutti i dispositivi tecnologici che usiamo quotidianamente sono molto complessi ed escono costantemente aggiornamenti che risolvono falle di sicurezza e bug. Alcuni bug sono di lieve entità, altri sono più gravi.
I produttori rilasciano gli aggiornamenti dei problemi di cui vengono a conoscenza, per loro studi interni o perché qualche ricercatore di sicurezza li scopre, contatta i produttori, spiega loro cosa ha trovato, riceve in cambio un premio in denaro e i produttori tappano la falla.
Capita, più spesso di quanto si possa pensare, che questo tipo di bug vengano scoperti e, invece di comunicare la scoperta al produttore, magari per cifre molto più alte, vengano date le informazioni ad altre entità. Esiste un mercato dove si comprano e si vendono queste vulnerabilità. Ed è un mercato legale.
Girano un sacco di soldi, ovviamente.
Queste vulnerabilità sono solitamente molto complicate da utilizzare e anche molto potenti, passatemi il termine.
Questo tipo di falla viene chiamata 0day, perché il produttore non ha tempo, zero giorni, per preparare una patch ed è già sfruttata per fare attacchi.
In generale, se si sviluppa un malware intorno a queste vulnerabilità, lo si può installare sul dispositivo target con poco impegno o persino nullo, magari basta che l’utente faccia un click su un link malevolo camuffato o banalmente che gli arrivi un messaggio formato in un certo modo. Ed ecco che il dispositivo è compromesso.
Il tipo di attacco dipende dal tipo di vulnerabilità che è stata scoperta.
Per dispositivo intendo PC o telefono.
Per compromesso intendo che si installa un software in grado di spiare tutto quello che viene fatto su quel dispositivo senza che l’utente se ne accorga.
Per tutto intendo proprio tutto, leggere il contenuto delle app, i messaggi che invia e riceve, sapere dove va, vedere le foto, registrare le telefonate, abilitare microfono e telecamera a insaputa dell’utente.
Sì, mette un po’ di paura questa cosa.
A volte l’installazione può essere più complessa, magari si deve convincere la persona a installare una finta app o si deve avere accesso fisico al dispositivo, bloccato o sbloccato.
Ovviamente gli attacchi più sofisticati e che hanno maggior successo sono quelli che non prevedono interazione dell’utente.
Nel mondo ci sono aziende che sviluppano questo tipo di software e attacchi e solitamente li vendono, a prezzi non proprio popolari, a Governi, in modo che possano essere usati in casi di sorveglianza particolari.
In Paesi democratici, dopo l’autorizzazione di un Giudice, e se il governo ha accesso a questo tipo di applicazioni o, meglio, malware, viene fatto in modo di installarla sul dispositivo della persona da controllare.
Che tipo di persone?
Non chiunque, siamo sempre un Paese democratico, come dicevo, questi sistemi si usano per indagini di alto livello, quelle davvero per la sicurezza nazionale, magari antiterrorismo o antimafia.
La cosa si tiene nascosta, perché se esce e diventa di dominio pubblico, si scopre anche la vulnerabilità, che viene tappata e il giochino diventa inutilizzabile, se ne dovrà cercare un altro, con costi, come dicevo, molto elevati.
Adesso avete le basi per comprendere cosa è successo in questi giorni in Italia, paese democratico, forse.
Un’azienda produce un software per fare questo tipo di attacchi, visto che il software in questione è pericoloso e, immagino, anche molto caro, viene venduto solo a Governi selezionati, hanno detto sui giornali, solo Governi democratici amici degli Stati Uniti, che, ormai, di democratico, hanno più poco, ma è un altro discorso.
L’Italia è uno di questi.
È notizia di questi giorni che è stato scoperto da Meta, società che detiene Facebook, Instagram e Whatsapp che il software Graphite di questa azienda israeliana Paragon, ha attaccato 90 persone nel mondo, usando whatsapp come veicolo di infezione.
In Italia ha avvisato 3 persone, dicendo loro di cambiare telefono, in quanto un reset del dispositivo probabilmente non sarebbe bastato a sbarazzarsi del malware.
Il problema è che in Italia il messaggio non è stato ricevuto da ricercati per terrorismo, ma da giornalisti e attivisti, soprattutto che hanno fatto attività di indagine diretta contro i partiti attualmente al Governo o a sostegno dei migranti, come ad esempio un armatore di una nave per il soccorso in mare.
A questo punto dovrebbe suonarvi un campanello di allarme in testa, abbastanza grande da farvi preoccupare.
Ma non è finita, perché in effetti, se i clienti di Paragon sono molti nel mondo, l’attacco potrebbe essere stato lanciato anche da altri paesi.
La notizia successiva è che Paragon ha cessato, subito dopo, tutti i rapporti commerciali con l’Italia per violazione della licenza del software.
Da quello che ho letto, pare che abbia chiesto spiegazioni e, dalle risposte avute, siano convinti che il governo menta, costa alquanto strana, per questo governo, direi.
Non ho letto questa licenza, sarà sotto strettissimo segreto, ma immagino ci sarà una clausola del tipo “è un software che ti dà un potere esagerato, lo devi usare solo in caso di reale pericolo nel tuo Paese”.
Il campanello che vi suonava in testa adesso dovrebbe essersi trasformato in una sirena bitonale, quella dei vigili del fuoco per intenderci, compresi i lampeggianti blu.
Ve la ripeto facile.
Da quanto emerso pare che il Governo Italiano, cliente di un’azienda che vende software per spiare tutto quello che passa dai telefoni delle persone, sfruttando vulnerabilità non note del sistema operativo, senza che questi se ne accorgano, lo ha usato per spiare giornalisti e attivisti, nello specifico persone che lavorano per far emergere cose contro i partiti del governo stesso.
Se non è chiaro riavvolgete un attimo e riascoltate, anche più volte.
Queste cose succedono nelle dittature e nei regimi, dove l’informazione è controllata e gestita dal regime.
Non in un paese democratico dove l’informazione è libera e gli attivisti e i giornalisti hanno tutti i diritti di fare il loro mestiere senza alcun rischio per la loro incolumità, in quanto, per fortuna, al momento, non ci sono leggi che lo vietano.
È una violazione dei diritti civili di base.
Le intercettazioni sono regolate da leggi molto precise, sono autorizzate per casi molto particolari, per determinati periodi, se ci sono delle indagini in corso.
Sicuramente Stefano Nazzi lo sa dire meglio di me.
Non si fanno se una persona sta antipatica a chi siede a Palazzo Chigi o in Parlamento.
Non in un Paese che si fregia di essere democratico.
Da qui, mi viene da pensare al progetto europeo di Chatcontrol, dove, per la nostra sicurezza, è sempre fatto tutto per la nostra sicurezza e per quella dei nostri bambini, si vuole craccare tutta la crittogrsafia delle nostre conversazioni, dando la possibilità alle forze dell’ordine di leggere tutto, ma solo in caso di necessità.
Quando poi la necessità è “quello parla male di me, allora spialo”, diventa tutto un po’ più terrificante.
Ancora peggio se, prese tutte le comunicazioni, si danno in pasto ad una AI e le si chiede di fare un bel riassunto.
Noi però abbiamo la soluzione, scriviamo in Inglese e al Governo non capiscono più niente.
Ovviamente, come al solito, quando sono stati chiamati in causa, i signori al Governo, unici a poter usare il software, dopo che il contratto con Paragon è stato chiuso per violazione della licenza, hanno detto che loro non c’entrano niente, come detto poco prima.
Sono dei campioni a dire che non hanno preso la cioccolata, mentre stanno mangiando la cioccolata.
Se voi del Governo non avete fatto niente, di grazia, a chi avete ceduto quest’arma pericolosissima che consente di avere un potere illimitato su persone inermi?
A un attacco simile siamo tutti esposti e il “non ho niente da nascondere” non vale più, anche se questa cosa la dice qualche giornalista, come ho letto.
Abbiamo tutti detto qualcosa di compromettente nei confronti di qualcun altro al telefono o lo abbiamo scritto in qualche chat o abbiamo una foto che ci potrebbe mettere in difficoltà.
Non davanti alla legge, ma con il capo, con il partner, con un amico, nel caso in cui volessimo cercare un altro lavoro.
Potrebbero essere illazioni queste, ovviamente, forse verranno fatte delle indagini, forse si arriverà alla verità, ma quello che temo è che, come al solito, anche se l’evento è gravissimo, nessuno ne parlerà più nel giro di qualche settimana.
Intanto abbiamo un ente specifico per la cybersicurezza, come la chiamano loro, che fa presentazioni di natale con musichetta e consigli imbarazzanti, che arriva sempre a cose finite e che non menziona l’evento sul sito, neanche in un riquadro piccolo piccolo, almeno mentre scrivevo la puntata.
Oggi ce n’è per tutti.
Non è successo niente. Siamo assuefatti a mangiare anche il letame, ormai.

Questo podcast vive perché io lo produco, lo registro e lo pubblico settimana dopo settimana o quasi. Ma continua ad andare avanti perché la soddisfazione di vedere le notifiche delle donazioni mi spinge a fare sempre nuove puntate, come ringraziamento e impegno nei vostri confronti. Se esce ogni settimana è grazie a voi.
E se donate, compilate il form, vi spedisco anche i gadget, così siamo tutti contenti.
Potete farlo con Satispay, SumUp o Paypal.
Potete partecipare anche usando i link sponsorizzati di Amazon o acquistare la connettività o uno degli altri servizi di Ehiweb, che sponsorizzo con molto piacere da tempo, un gestore di connettività come loro non lo trovate in giro.
Oltre alla connettività per casa FTTH o FTTC, hanno le SIM, posano fibra dedicata per le aziende, fanno servizio VoIP, hanno un supporto spaziale e tutti i loro dipendenti sono assunti a tempo indeterminato.
Provateli, non tornerete più indietro.
E se avete bisogno di un servizio di Hosting, andate da ThridEye, che ospita da anni il sito del podcast, ho fatto la mia scelta e anche qui il livello è altissimo, i contatti sono sul sito.

VIsto che questa puntata è partita con il tema grave di attualità, rimaniamo in attualità anche sul tip, che è più un consiglio sullo stare attenti che altro.
Vi ho detto che oggi ce n’è per tutti, no?
Anche qui c’è una notizia piuttosto disarmante, qualcuno ha fatto una voce deepfake di un ministro e con questa ha chiamato alcuni imprenditori di altissimo livello chiedendo loro di fare dei bonifici cospicui su conti esteri, con la promessa poi che i soldi sarebbero stati restituiti a stretto giro con un bonifico di pari imposto dalla Banca di Italia.
Ebbene, alcuni sono caduti nella truffa.
Tralascio i commenti dei livorosi nei confronti dei ricchi, non è che se siete invidiosi e siete felici che hanno perso dei soldi, voi diventate più ricchi, eh!
Fa comunque molto pensare con quanta libertà certa gente abbia queste disponibilità e possa fare bonifica a 8 o 9 zeri in un click. Un altro mondo.
Con questo tipo di truffa, usando la tecnologia, possono arrivare a tutti.
Arrivano via whatsapp, anche qui, arrivano via telefono, facendo spoofing del numero, vuol dire che falsificano il numero o il nome di chi sta chiamando, arrivano anche via mail.
Siamo tutti esposti a questo tipo di attacco, mettono pressione per una cosa urgente, magari perché sanno parlare bene, riescono a estorcere qualche dato familiare e lo usano contro di noi, oppure hanno studiato le nostre attività social e utilizzano le informazioni per far finta che sappiano alcune cose che noi crediamo riservate.
In questo modo chiedono un bonifico urgente, adesso con quello istantaneo è facile farlo e perdere subito i soldi, o una ricarica a una postepay, il male di questo secolo.
Non siamo ricchi imprenditori, ma quando caschiamo in una truffa di 500-1000€ ecco che la contabilità familiare va a ramengo.
E non essendo noi persone di rilievo, nessuno cerca di bloccare le transazioni bancarie internazionali.
Se vi capita in ufficio e ci cascate, cosa già vista più di una volta, magari rischiate anche di perdere il posto.
Cosa si fa in questo caso?
Se una persona sconosciuta vi chiede dei soldi urgenti per conto di un conoscente o parente stretto, mettete tutto in pausa, vi fermate e, se possibile, da un altro telefono, chiamate la persona coinvolta. Chiunque essa sia. Figlio, zio, cugino, capo, Amministratore Delegato.
Lo chiamate componendo il suo numero, cifra per cifra.
Chiedete conferma. Nel 99% dei casi è una truffa, non pagate e denunciate il fatto alle forze dell’ordine.
Se invece la persona che vi chiede i soldi urgenti è direttamente l’interessato, mettete giù, aspettate un attimo e lo richiamate, sempre, se possibile, da un altro telefono. Magari fate ponte con un altro parente.
Se non risponde, non pagate.
Se il telefono è spento, non pagate.
Se vi dicono che è in arresto, non pagate, al massimo contattate sempre le FFO e chiedete informazioni.
Non pensate “tanto a me non capita”, poi capita e i soldi non si recuperano più.
Per le persone importanti cercano di bloccare i pagamenti, per voi, vi dicono che, eh, ormai sono andati, ci spiace.
Sempre attenzione alta, mi raccomando.

Questa puntata di Pillole di Bit è giunta al termine, vi ricordo che se ne può discutere nel gruppo telegram e che tutti i link e i riferimenti li trovate sull’app di ascolto podcast o sul sito, non serve prendere appunti.
Io sono Francesco e vi do appuntamento a lunedì prossimo per una nuova puntata del podcast che, se siete iscritti al feed o con una qualunque app di ascolto vi arriva automagicamente.
Se volete partecipare alla realizzazione della puntata speciale di Pillole di Bit Stories, andate su pilloledib.it/sostienimi e fate la vostra parte, se a fine mese il cerchio delle donazioni di riempie, realizzerò la puntata speciale.

Grazie per avermi ascoltato

Ciao!