(AGG 2023/08/03 22:00) Ci vediamo oggi a Torano Nuovo per un TEDx, nonostante Tess danneggiata dalla grandine?
3 de Agosto de 2023, 17:00
Il viaggio di 620 chilometri in auto elettrica da Lugano a Torano Nuovo ha avuto un grosso contrattempo di natura non elettrica: ieri siamo rimasti bloccati in coda in autostrada intorno a Milano e, come tanti altri automobilisti, siamo stati travolti da una violentissima grandinata.
La Dama e io stiamo bene, anche se un po’ scossi, ma Tess, la nostra auto, ne è uscita parecchio malconcia: parabrezza incrinato in più punti e carrozzeria piena di ammaccature ovunque.
Ci siamo fermati al Service Center Tesla di Peschiera Borromeo per verificare che fosse ancora in grado di affrontare il viaggio. Sarà un’impresa ripararla (è completamente assicurata), ma è marciante.
A parte questo e il traffico molto intenso, il viaggio è andato bene: abbiamo fatto tappa per un pranzo leggero al Supercharger di Modena, caricando più che a sufficienza per arrivare al Supercharger di Fano un paio d’ore più tardi. Dopo una pausa per caffè e bombolino e un giretto per i negozi, siamo ripartiti per Torano, anche qui con molta più carica del necessario. A destinazione c’è una colonnina di ricarica. Non abbiamo speso nulla di “carburante”: le ricariche sulla rete Tesla per noi sono gratuite grazie ai referral. Spero di vedervi oggi!
---
2023/07/25 9:30. Siamo alle prese con le conseguenze del danno a Tess e della nuova grandinata che ha colpito la zona del Maniero stanotte, per cui faccio solo un breve aggiornamento per dire che il TEDx è andato benissimo, con interventi molto interessanti e spesso poetici e con una cena fra relatori e pubblico che è stata insolitamente ricca di occasioni di scambi di conoscenze personali e professionali (spero un giorno di potervi raccontare un episodio che ci ha fatti restare... di sasso). Ora le riprese devono essere vagliate e preparate da TED; vi aggiornerò non appena verranno pubblicate.
Ieri, dopo una giornata di riposo e recupero con gli amici di Torano, siamo rientrati al Maniero senza particolari problemi (626 km, 122,6 kWh, 196 Wh/km andando quasi sempre a 130 km/h ove possibile), con due tappe di ricarica gratuita (Fano e Modena), una delle quali ha coinciso, come consueto, con il pranzo ed è stata un’occasione per incontrare un amico. Tess adesso dorme, malconcia, al coperto e sto coordinando le riparazioni.
---
Il mio TEDx Talk è stato appena pubblicato. Intanto TESS sta iniziando le riparazioni a partire dal parabrezza.
Il mio primo TEDx Talk, appena pubblicato
3 de Agosto de 2023, 16:59Condensare a sedici minuti e trenta secondi una vita di indagini che di solito racconto in due ore non è stato facile, ma spero di esserci riuscito. Eccomi a parlare di fake news e tecniche di difesa al TEDx di Torano Nuovo.
Antibufala: nave in fiamme con 3000 auto a bordo, la Guardia Costiera non ha detto che è colpa di un’auto elettrica
2 de Agosto de 2023, 12:42
Il Corriere della Sera, in un articolo firmato da Maurizio Bertera, titola “Nave in fiamme con 3 mila auto a bordo: un morto. L’incendio forse è partito da un’elettrica”, con il sottotitolo “La Guardia Costiera olandese ritiene probabile che l’enorme rogo sia partito da una delle 25 vetture elettriche a bordo” (link intenzionalmente alterato; copia permanente). È falso.
Nel corpo dell’articolo, Bertera scrive che “Un portavoce della Guardia Costiera ha rivelato all’agenzia di stampa Reuters che l’origine del fuoco può essere ricondotta a un’auto elettrica a bordo della nave”. È falso anche questo.
Non c’è nessuna conferma che l’incendio sia partito da un’auto elettrica e la Guardia Costiera olandese non ha affatto rilasciato la dichiarazione riportata dal Corriere. Il liveblog della Guardia Costiera olandese dice esplicitamente che “la causa dell’incendio non è ancora nota” (“De oorzaak van de brand is nog onbekend”). Inoltre il sito Electrek ha chiamato la Guardia Costiera olandese, che ha dichiarato di non aver affatto attribuito l’incendio a un’auto elettrica.
Reuters, citata dal Corriere, conferma che la causa dell’incendio è ancora ignota e aggiunge che “un portavoce della Guardia Costiera aveva detto a Reuters che l’incendio era iniziato vicino a un’auto elettrica” (“The coastguard said on its website the cause of the fire was unknown, but a coastguard spokesperson had earlier told Reuters it began near an electric car”).
Da nessuna parte viene detto quello che scrive il Corriere, ossia che l’origine del fuoco possa essere ricondotta a un’auto elettrica.
La nave in questione, la Fremantle Highway, ha preso fuoco nel Mare del Nord. Trasporta 2832 auto a carburante e 25 auto elettriche dalla Germania all’Egitto. Una persona dell’equipaggio è morta.
---
2023/08/02 17:40. Un articolo di NOS news, segnalato nei commenti qui sotto da CheshireCat, precisa che le auto elettriche o ibride a bordo sono 498, non 25, su un totale di 3783 veicoli, non 2832 come annunciato inizialmente.
Stamattina alle 11 sarò a ReteUno (radio) RSI per parlare delle audizioni ufologiche al Congresso USA
2 de Agosto de 2023, 9:21
Nell’attesa vi anticipo alcuni dati sull’argomento raccolti da Statista: secondo il National UFO Reporting Center, che negli Stati Uniti documenta gli avvistamenti di fenomeni aerei non spiegati in tutto il mondo, gli avvistamenti sono in aumento dopo i cali del 2018 e del 2021: nel 2022 ci sono stati oltre 5000 presunti avvistamenti. Siamo comunque ben al di sotto dei picchi del 2014 (8800) e del 2020 (7400).
La credenza negli alieni, intanto, è in aumento negli Stati Uniti. Secondo i sondaggi di Yougov America citati sempre da Statista, nel 1996 gli americani che credevano che gli UFO fossero veicoli alieni o forme di vita extraterrestri erano il 20%; nel 2022 questa percentuale è salita al 34%. Sull’esistenza di forme di vita extraterrestri (questione ben diversa dalle visite extraterrestri), il 57% degli interpellati risponde affermativamente.
Segnalo anche un aspetto forse poco considerato della recente audizione: Sean Kirkpatrick, che guida l’All-Domain Anomaly Resolution Office (AARO), la sezione del Pentagono costituita per centralizzare le indagini sugli avvistamenti di fenomeni aerei non identificati che potrebbero essere una minaccia per la sicurezza nazionale, ha pubblicato una lettera aperta nella quale dice che le asserzioni di Grusch sono “offensive” nei confronti di chi lavora alle indagini sugli avvistamenti e rimprovera Grusch e gli altri testimoni che hanno parlato nelle recenti audizioni per non aver collaborato alle indagini governative sull’argomento “contrariamente alle dichiarazioni fatte durante le testimonianze e nei media”.
La critica di Kirkpatrick, fatta a titolo personale, prende le difese dei membri “del Dipartimento della Difesa e della Comunità di Intelligence che hanno scelto di partecipare all’AARO, molti con ansie non irragionevoli a proposito dei rischi di carriera che questo avrebbe comportato.”
In altre parole, al Pentagono c’è gente che sta cercando di lavorare seriamente per capire se questi avvistamenti possono essere un pericolo per la sicurezza delle forze armate e del paese (per esempio se sono indicatori di attività di sorveglianza da parte di altri paesi), lottando contro la tendenza diffusa a ridicolizzare chi si occupa di questi fenomeni e mettendo a repentaglio la propria carriera. Dichiarazioni prive di qualunque prova, come quelle di Grusch, riammantano di ridicolo e sensazionalismo questo lavoro.
C’è anche un altro aspetto burocratico interessante: gli esperti fanno notare che sembra che Grusch abbia seguito i protocolli del Pentagono nel rendere pubbliche le proprie informazioni. Questo vuol dire che il Dipartimento della Difesa (DoD) ha approvato la divulgazione di quelle informazioni, e il DoD approva queste divulgazioni solo se le informazioni non sono classificate. Se Grusch dicesse il vero, le informazioni nelle sue dichiarazioni sarebbero classificate e il DoD non gli avrebbe permesso di renderle pubbliche.
La pagina di Wikipedia in inglese sulla vicenda riassume bene tutta la questione.
----
Qui sotto trovate la registrazione della puntata.
Podcast RSI - Story: TETRA:BURST, la falla segreta e voluta delle radio di polizia e militari
28 de Julho de 2023, 3:56
È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto) e qui sotto.
Le puntate del Disinformatico sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.
Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle fonti di questa puntata, sono qui sotto.
---
[CLIP: Suoni radio]
Da quasi trent’anni uno dei sistemi di radiocomunicazione più usati al mondo, adottato dalle forze di polizia, dalle grandi aziende, dai gestori di infrastrutture critiche e dai servizi di sicurezza e protezione civile, ha una falla informatica che consente ascolti e intercettazioni delle comunicazioni, teoricamente criptate, e interferenze nei comandi di gestione degli impianti.
La falla non è il risultato di un errore: è stata inserita intenzionalmente, e i venditori di questa tecnologia lo sapevano ma hanno taciuto.
Questa è la storia di come un gruppo di ricercatori è riuscito a scoprire l’esistenza di questa falla, superando la barriera di segretezza che la circondava, e a convincere i centri nazionali di cibersicurezza ad agire in segreto per correggerla. Ed è anche la storia del perché chi sapeva è stato zitto.
Benvenuti alla puntata del 28 luglio 2023 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.
[SIGLA di apertura]
Si tratta di uno standard sviluppato negli anni Novanta del secolo scorso
dall’ente di normazione europeo ETSI [European Telecommunications Standards
Institute], che include quattro diversi algoritmi di crittografia. Il primo,
denominato TEA1, è destinato alle applicazioni commerciali, per esempio per
gli impianti radio usati nelle infrastrutture critiche europee, ma viene usato
anche da alcune forze di polizia.
Il secondo algoritmo, TEA2, è riservato per l’uso in Europa da parte della polizia, dei servizi di emergenza, dei militari e delle agenzie di intelligence (la Svizzera usa uno standard differente, che però ha un nome molto simile: TETRAPOL).
Il terzo, che come avrete probabilmente intuito si chiama TEA3, è riservato invece per le forze di polizia e i servizi di emergenza al di fuori dell’Europa, nei paesi considerati “amici” dell’Unione Europea. Il quarto algoritmo, TEA4, è praticamente inutilizzato.
Lo standard TETRA è pubblico, ma gli algoritmi no: vengono forniti solo sotto accordo di riservatezza, e chi vende apparati di questo tipo è tenuto a usare misure di protezione che rendano difficile estrarre e analizzare questi algoritmi.
Nella crittografia, però, la presenza di questo tipo di protezione è considerata spesso un sintomo di debolezza. Una delle regole di base della crittografia, infatti, è il cosiddetto Principio di Kerckhoffs, enunciato dall’omonimo crittografo olandese addirittura alla fine del 1880, che dice in sostanza che la sicurezza di un sistema di crittografia non deve dipendere dal tenere segreto il modo in cui funziona, ossia il suo algoritmo. Il sistema in sé deve poter cadere in mano nemica senza causare problemi; solo le sue chiavi crittografiche devono restare segrete.
Ma molto spesso, nella sicurezza non solo informatica, si pensa che tenere segreto il funzionamento delle misure di protezione sia un ingrediente fondamentale della sicurezza, e che a volte basti solo questo. Questo modo di pensare oggi viene chiamato comunemente security through obscurity, o “sicurezza tramite segretezza”, e purtroppo si è visto che in molte occasioni la segretezza e il divieto di analizzare un sistema sono in realtà delle scuse per non rivelare le malefatte o i difetti del prodotto. È successo, per esempio, per il GSM e per il GPRS.
È quindi comprensibile che i ricercatori di Midnight Blue siano stati attratti da un sistema crittografico così diffusamente utilizzato, oltretutto in contesti molto delicati, e tenuto segreto per quasi tre decenni. E così i ricercatori si sono procurati una radio della Motorola che usa lo standard TETRA ed è commercialmente disponibile. Trascorrono quattro mesi nel tentativo di localizzare ed estrarre gli algoritmi dall’area protetta del dispositivo, la sua cosiddetta secure enclave, nel firmware dell’apparato. E alla fine ci riescono.
La rivincita di Kerckhoffs
I ricercatori comunicano a Motorola le tecniche che hanno usato per scavalcare le protezioni messe dall’azienda, affinché Motorola possa rimediare, e poi iniziano ad analizzare gli algoritmi che erano rimasti segreti per così tanto tempo.
E qui arriva la prima, grossa sorpresa: nell’algoritmo TEA1, quello per uso commerciale, c’è un difetto intenzionale, una cosiddetta backdoor, che riduce la lunghezza della sua chiave dagli 80 bit ufficiali a soli 32 bit. Una chiave così corta è l’equivalente di usare una password di tre cifre, e infatti gli esperti di Midnight Blue riescono a scavalcarla in meno di un minuto usando un normale laptop. Questo consentirebbe di decifrare le trasmissioni di dati e di ascoltare le conversazioni fatte dalle forze di polizia o dagli altri utenti di questa versione del sistema TETRA.
La seconda sorpresa è che questo difetto intenzionale è in realtà noto alle industrie del settore e ad alcuni governi. Lo testimonia una comunicazione confidenziale del governo statunitense, risalente al 2006 e resa pubblica da Wikileaks, nella quale si nota che l’azienda italiana Finmeccanica voleva vendere dei sistemi TETRA a due forze di polizia municipali iraniane e che il governo degli Stati Uniti aveva espresso la propria opposizione al trasferimento di tecnologie così sofisticate, ricevendo però rassicurazioni sul fatto che gli apparati avrebbero avuto una chiave crittografica lunga “meno di 40 bit”. Non è chiaro se il cliente della commessa, che valeva sei milioni e mezzo di euro, fosse al corrente del fatto che gli veniva venduta una tecnologia menomata e soprattutto facilmente intercettabile. Anche le informazioni segrete rivelate da Edward Snowden indicano che i servizi segreti britannici intercettavano le comunicazioni TETRA in Argentina nel 2010.
La terza sorpresa è che esiste un difetto tecnico che tocca tutti e quattro gli algoritmi nella fase di sincronizzazione e che consente di intercettare le comunicazioni e i messaggi e anche di trasmettere messaggi falsi, usando una trasmittente appositamente modificata che costa poche migliaia di euro o franchi.
Tutti questi difetti sono rimasti nello standard per più di due decenni perché gli esperti indipendenti non potevano ispezionarne liberamente gli algoritmi. Questo conferma il principio che la sicurezza basata sulla segretezza non è affidabile, rende difficile le verifiche indipendenti e rende invece facile tenere nascosti eventuali difetti o sabotaggi intenzionali. Kerckhoffs aveva ragione.
Verso la fine del 2021 i ricercatori di Midnight Blue si trovano così in una posizione molto delicata. Sono riusciti a scoprire falle molto importanti in un sistema di radiocomunicazione usato in moltissimi paesi, nelle situazioni più critiche, da imprese, polizie e soccorritori. A questo punto hanno un problema: come riuscire ad avvisare tutti senza far trapelare queste falle e senza farle cadere nelle mani di chi potrebbe sfruttarle per sabotare infrastrutture, intercettare comunicazioni sensibili o seminare il caos?
Rivelazioni d’agosto
Il 14 dicembre 2021 gli esperti di Midnight Blue contattano per la prima volta il centro nazionale per la cybersicurezza del loro paese e lo informano delle loro scoperte. A gennaio 2022 iniziano gli incontri con i rappresentanti delle forze di polizia, dei servizi di sicurezza, dell’ETSI e dei fabbricanti degli apparati TETRA, e a febbraio il centro nazionale per la cybersicurezza olandese distribuisce un avviso tecnico solo agli addetti ai lavori. L’ETSI, intanto, corregge il difetto di sincronizzazione pubblicando uno standard aggiornato a ottobre 2022 e crea tre nuovi algoritmi sostitutivi, anche questi segreti.
I fabbricanti creano degli aggiornamenti del firmware, ma la falla nell’algoritmo TEA1 non è rimediabile con uno di questi aggiornamenti: bisogna proprio cambiare algoritmo in ogni singolo dispositivo e bisogna sospendere l’erogazione del servizio durante questo cambiamento, cosa spesso impraticabile nel caso di infrastrutture essenziali.
Il 24 luglio scorso, infine, il problema viene reso pubblico, sperando che nel frattempo gli utenti di questi sistemi li abbiano aggiornati. Il 9 agosto prossimo i dettagli tecnici delle ricerche svolte da Midnight Blue verranno pubblicati presso Tetraburst.com, dove per ora c’è solo una sintesi della situazione insieme ad alcuni video dimostrativi e ai link delle numerose conferenze di sicurezza internazionali nelle quali i ricercatori presenteranno i risultati delle loro indagini e renderanno pubblici gli algoritmi finora segreti.
Chiunque usi sistemi TETRA, insomma, dovrà verificare che siano stati applicati tutti gli aggiornamenti di sicurezza, altrimenti le comunicazioni che crede siano protette saranno in realtà facilmente intercettabili. E intanto, ancora una volta, la mancanza di trasparenza ha ostacolato la sicurezza invece di rinforzarla e ha creato un’illusione di sicurezza che è stata sfruttata da alcuni governi per spiare gli altri per decenni (come nel caso dello scandalo della Crypto AG, risalente al 2020).
Conviene ricordarsi tutto questo la prossima volta che qualcuno ci propone un prodotto di sicurezza, anche al di fuori del campo informatico, e ci racconta che non può discutere i dettagli di come funziona perché quei dettagli sono e devono restare segreti, altrimenti addio sicurezza: è una foglia di fico che il buon Auguste Kerckhoffs aveva già tolto più di un secolo fa.
Fonte (con molti dettagli tecnici in più): Wired.com.
