Cambiamo argomento

Ormai è chiaro che siamo nella condizione di pandemia e che i provvedimenti governativi servono solo a rallentare la diffusione del virus con l’idea di diluire le conseguenze sulla economia e sulla assistenza sanitaria.

Detto questo, torniamo su un altro argomento, gli scemofoni, quelli aggeggi che la gente spippola tutto il santo giorno. Come forse saprete, è stato ratificato l’uso dei famosi “trojan” per consentire alle autorità giudiziarie di accedere agli scemofoni e trasformarli in dispositivi di ascolto, oltre ovviamente accedere ai contenuti e, volendo, aggiungere contenuti all’insaputa dell’utente, mettendo le prove dove non ci sono. Cosa è un “trojan”? Un programma che viene collocato dentro lo scemofono, di solito tramite una “app” e consente l’accesso a terzi senza che il proprietario se ne accorga e/o possa impedirlo.

Ci sono due ovvie conseguenze che la gente sembra ignorare. La prima è che se questi “trojan” esistono, significa che gli scemofoni consentono l’accesso a terzi con relativa facilità. La prima falla è la stessa di Windows, cioè che il primo utente che attiva lo scemofono è sempre “amministratore”, quindi ha i permessi per fare qualsiasi cambiamento allo scemofono. A nessuno viene detto che bisogna usare lo scemofono con un diverso utente, che non sia “amministratore”. Per introdurre il “trojan” la entità terza deve solo indurre l’utente “amministratore” a compiere un gesto apparentemente innocuo che in realtà nasconde le modifiche necessarie a collocare ed attivare il “trojan”. Si può fare in vari modi e, come dicevo, significa che lo scemofono è intrinsecamente vulnerabile, insicuro. Oltre la faccenda dei permessi dell’utente, dipende dalla modalità con cui si installano le “app” e dalle cose che queste “app” possono fare, per esempio cosa succede se l’utente “clicca” su un link contenuto in un messaggio, magari scarica un software ed esegue uno script. Ironicamente, tutti insistono ad usare lo scemofono per cose che richiederebbero la massima riservatezza e quindi sicurezza rispetto alle intromissioni, per esempio la gestione dei servizi bancari o di quelli sanitari. La seconda conseguenza è che i “trojan” non sono di esclusiva pertinenza delle autorità giudiziarie perché non sono sviluppati ad hoc, in realtà queste autorità li acquistano da aziende private che forniscono questo servizio a chiunque, in teoria solo previa garanzia dell’uso legittimo. Mi sembra palese che se il “trojan” è un prodotto/servizio che si acquista sul “mercato”, non solo non esiste la garanzia ma significa che è una tecnologia accessibile a molti, chiunque sia sufficientemente motivato e/o dotato di sufficienti mezzi economici. In altre parole, possiamo assumere con ragionevole certezza che, come questi “trojan” saranno nella disponibilità della autorità, saranno disponibili anche ai criminali. Senza contare, ovviamente, i servizi segreti, che probabilmente dispongono di strumenti parecchio più sofisticati radicati nel firmware (fabbricanti) o nel sistema operativo dello scemofono (rivenditori, provider).

Mi direte, “d’accordo, qual è la differenza tra lo scemofono e un PC?”. Ci sono due differenze, una tecnica e una relativa alla percezione.

La differenza tecnica è che il PC, posto di volerlo fare, è nel pieno controllo del proprietario, che puoi decidere quale sistema operativo e quali programmi metterci sopra. In teoria, il PC si può aprire, si possono esaminare i vari componenti elettronici e si possono sostituire con altri. Purtroppo per il “firmware” è parecchio più difficile, però questo riduce la falla ai soli fabbricanti dell’hardware. Gli scemofoni invece sono completamente sigillati e vengono venduti con tutto pre-installato, si possono solo aggiungere o togliere le “app”. Praticamente niente dello scemofono è lasciato alla decisione del proprietario, perché lo scemofono è stato concepito come uno strumento dato in uso a chi sottoscrive l’abbonamento a servizi predefiniti, non come uno strumento di cui disporre a piacimento e configurare per poi inventare qualsiasi cosa. Quindi, lo scemofono è alla mercé di chiunque, non solo del fabbricante dell’elettronica ma di tutte le entità che contribuiscono i suoi vari elementi. L’unico che alla fine non ci può mettere il becco è proprio chi lo adopera.

La differenza nella percezione è che la persona “media” è intimorita dal PC, proprio perché il PC ti pone davanti a delle decisioni, ti chiede cosa vuoi fare e come lo vuoi fare. Dato che se sbagli poi c’è una punizione, la persona “media” si aspetta che nel PC ci sia il “virus” o che si scassi qualcosa, si aspetta ogni sorta di problema esoterico. Viceversa, dato che lo scemofono non ti chiede niente, anzi, ti propone lui i servizi che puoi usare e anche il modo in cui li devi usare, la persona “media” si trova a suo agio, viene indotta ad un falso senso di familiarità e quindi di sicurezza. Che ci vuole, tu installi la “app”, poi quando vai in metropolitana avvicini lo scemofono alla colonnina e i due dispositivi si parlano, cosi tu paghi il biglietto senza nessun fastidio. Quello che succede veramente nessuno lo sa e non ha nemmeno nessun modo di saperlo. Assumiamo per fede che la colonnina della Metro non abbia nessun modo per intromettersi la prima volta che accedi al tuo conto corrente col medesimo scemofono e un’altra “app”, oppure che una terza “app” che serve per la dieta del gatto non abbia modo di intromettersi nel pagamento del biglietto della Metro e nell’accesso al conto corrente. Senza contare la domanda di cosa succede quando “clicchi” su un link che hai ricevuto dentro un messaggio tramite “uazap” o simile.

Infine, una cosa che trovo surreale è che come praticamente qualsiasi luogo comune della contemporaneità, la gente è convinta che non si può vivere senza scemofono. Io non ce l’ho e vivo benissimo. Per il momento l’unica cosa che mi è necessaria è la ricezione degli SMS che la banca usa come doppia chiave per autenticare ogni singola operazione del servizio di “homebanking”. Che, per inciso, è molto meglio che usare la “app” della banca con lo scemofono, introdotta, dovreste ridere, per aumentare la “sicurezza”. Non so come sia fatta questa “app”, magari è perfetta, però “gira” sul dispositivo più insicuro del mondo, progettato apposta per nascondere tutto a chi lo usa e facilmente utilizzabile come strumento di sorveglianza, quindi vedete voi.

Per chiudere il cerchio, è come l’idea che non si vive senza i viaggi all’estero e senza il ristorante “etnico”, con le conseguenze che stiamo toccando con mano, non a caso vendute come evento accidentale e imprevedibile, che il vero problema sono il “razzismo” e il “sovranismo”.

Join the Conversation

  1. Nemmeno io possiedo uno scemofono, non ne sento la minima necessità (e tutti a dirmi: ma perché non ce l’hai, ci puoi fare tante cose, anzi te ne regaliamo uno – e io imperterrito: no, non lo voglio, non mi serve). Pensa che non ho mai posseduto nemmeno un cellulare che invece può a volte servire, persino salvarti la vita. Ma se non ce l’ho si vede che non ne ho bisogno. Il fisso mi basta e avanza per quelle due o tre telefonate che faccio e ricevo. Però per un acquisto online ho dovuto indicare obbligatoriamente il numero del cellulare e ho dovuto comprarmene uno (un Nokia da 30 franchi). Mi hanno poi mandato un SMS di conferma. Ma non ho mai mandato un SMS, non so nemmeno come si fa (riceverlo e leggerlo è stato invece facile). Eppure sono ancora vivo. Quando ho detto all’impiegato della Swisscom che non avevo un cellulare, che non l’ho mai avuto, quell’impertinente mi ha detto: ma in che mondo vive, dov’è stato negli ultimi vent’anni?).
    A me gli Italiani coi loro stupidi telefonini in spiaggia, in treno, ovunque sembravano infantili, ridicoli. Mi sembra che il cellulare abbia fatto la sua apparizione negli anni Settanta. Ma in Svizzera l’hanno scoperto venti o trent’anni dopo, qui quasi nessuno ce l’aveva. Poi è stato un fuoco di fila, anche gli Svizzeri si sono messi al passo coi tempi e adesso ce l’hanno tutti, il cellulare o lo scemofono (ci saranno nove milioni di questi aggeggi su una popolazione di otto milioni).

    Un’altra cosa. Se ho ben capito ti possono infilare questi trojan nello scemofono e anche nel computer, ma quest’ultimo puoi metterlo al riparo da un’intrusione. Possono infilarti anche materiale compromettente che può essere usato contro di te, mi sembra. Una volta lessi che potevano entrarti nel computer anche spento, possibile?
    Come mai per attivare i virus devi cliccare su link o allegati? La sola ricezione non basta. Anche i trojan devono essere attivati?

    1. Lo scemofono è un computer, tecnicamente sono la stessa cosa. Cambia solo che lo scemofono include un aggeggio che consente di collegarsi alla rete della telefonia mobile, via radio. In teoria si potrebbe aggiungere un aggeggio analogo al PC, cosi come si può aggiungere un display “touch screen”. Lo stato intermedio tra i due dispositivi è la tavoletta o “tablet”.

      Dato che tecnicamente sono la stessa cosa, ci puoi mettere sopra lo stesso software. Puoi installare Android, che è il sistema operativo degli scemofoni, anche sopra un PC. Android a sua volta è messo insieme con software che pre-esisteva gli scemofoni, non sono uno esperto ma credo si tratti di un kernel Linux con sopra un runtime Java per le “app”.

      Alla fine questo si riassume dicendo che gli scemofoni sono “sicuri” tanto quanto un PC, con le due differenze che ho detto. Nessuno mette le mani dentro lo scemofono, lo compra e lo adopera cosi come lo trova. Non gli viene il dubbio, che invece gli verrebbe con un PC, che lo scemofono possa essere vulnerabile.

      No, col computer spento non puoi fare niente a parte smontare fisicamente qualche pezzo o montarne un altro. Lo stesso varrebbe per lo scemofono ma questo non lo puoi veramente spegnere perché non puoi scollegare la batteria senza aprirlo e non puoi aprirlo perché è incollato, quindi in realtà è sempre acceso.

      Non esiste la assoluta sicurezza contro una intrusione a meno che il PC sia scollegato da qualsiasi rete e in particolare da Internet. A quel punto l’unico modo per introdurre qualcosa è inserire un supporto di memoria come un CDROM o una chiavetta USB (e accendere il PC). Ancora, dato che non puoi spegnere lo scemofono, questo è sempre collegato a qualche rete, non necessariamente Internet. Infatti si collega alla rete della telefonia, a qualsiasi dispositivo esterno via WiFi o Bluetooth, sempre via radio con protocolli diversi.

      Non esiste la assoluta sicurezza, anche perché non sappiamo quante “backdoor” sono state piantate di proposito da chi realizza l’hardware tramite il software di controllo (firmware) e da chi realizza il sistema operativo e da chi realizza tutti i programmi ulteriori. Non sappiamo nemmeno quanti difetti sono stati aggiunti involontariamente. Puoi rendere la cosa più o meno facile con una determinata configurazione.

      Attenzione, il termine “virus” oggi viene usato in una accezione generica che significa tutto e niente. Un “trojan” per definizione consiste in un programma “maligno” che viene introdotto tramite una attività apparentemente legittima che lo nasconde all’interno, come appunto il Cavallo di Troia. Il trucco consiste nell’indurre le persone a compiere questa attività, per esempio installare una certa “app” sullo scemofono, oppure cliccare su un link contenuto dentro un messaggio. Dato che, come dicevo, la gente non si rende conto che sta usando il dispositivo come “amministratore”, tutte le azioni compiute dall’utente possono andare a modificare il sistema senza ulteriore richiesta di autorizzazione (cioè in maniera silenziosa).

      La “sola ricezione” presuppone che la modifica che lo “intruso” vuole fare al tuo dispositivo sfrutti una qualche funzione del PC o dello scemofono che è esposta verso una rete a cui è collegato anche lui. Per esempio, una funzione del sistema che consente di condividere dei file o le stampanti. Qui rientriamo nel caso delle “backdoor” inserite di proposito oppure dei difetti inseriti involontariamente. L’attaccante deve conoscere la “backdoor” oppure il difetto e infatti c’è un mercato nero per questo genere di informazioni.

      Qualsiasi software maligno deve essere caricato in memoria ed eseguito dal dispositivo che usi. Il modo più semplice è aggiungere una routine all’elenco delle routine che il dispositivo esegue ogni volta che lo accendi, oppure modificare una routine esistente perché chiami una sotto-routine. Tieni conto che se lo scopo è spiare le tue attività, il software maligno cerca in tutti i modi di nascondersi. Se invece lo scopo è fare dei danni, può farli alla prima esecuzione oppure aspettare che scatti una certa condizione. Un caso tipico sono gli aggeggi che criptano i tuoi file e poi ti chiedono un riscatto in cambio della chiave per decrittarli (randsomware).

      Chiarisco questo punto: usare il dispositivo con un utente che non è amministratore significa che quando qualcosa cerca di modificare il sistema, ti viene chiesta la password di amministratore e di confermare che autorizzi quella modifica. Non serve a niente se tu sei convinto di installare una “app” regolare, serve invece per le modifiche che vengono apportate per vie traverse, per esempio cliccando su un link o aprendo un allegato. Per quanto riguarda installare una “app”, l’unica difesa possibile, a parte non installare niente, è non installare “app” che vengono distribuite da fonti eterogenee. Questo costringe l’attaccante o a tornare al caso del link e quindi la richiesta di conferma, oppure a inserire il suo codice maligno in un “repository ufficiale”, cioè nel caso degli scemofoni nello “app store” di Google o di Apple.

      1. Grazie delle spiegazioni. Io temo però che prima o poi lo scemofono ce lo metteranno in mano come a tua nipote e non potremo rifiutarlo perché sarà diventato indispensabile, al più tardi quando sarà definitivamente scomparso il contante (ciò che io penso avverrà entro il 2025). Qualsiasi cosa la pagheremo, saremo costretti a pagarla con quell’accidente (il biglietto ferroviario, del cinema, il caffè, il giornale, la escort ecc.). Svezia e Danimarca stanno già facendo da battistrada, ma l’esempio massimo è ovviamente la Cina dove lo scemofono è strumento di controllo ufficiale per tutta la popolazione. Da noi ci sarà un’imposizione strisciante. Banconote e monete sono ancora l’unico mezzo di pagamento legale, ma lo Stato lascerà fare all’economia. In Svezia i negozianti rifiutano il contante e pure le banche fanno le schizzinose nell’accettare o consegnare denaro in contanti. Dopo lo scemofono si passerà al chip obbligatorio. Alcuni se lo fanno già impiantare oggi e sono entusiasti della sua praticità: non dà alcun fastidio tanto è minuscolo e puoi aprire e chiudere la porta di casa, penso anche dell’autobile, e farci probabilmente tante altre cose utili.
        Lo Stato ha sempre avuto bisogno di spioni per la propria sicurezza. Grazie alla tecnologia moderna il controllo sarà totale. “Ce lo chiede l’Europa, l’ONU, i cittadini stessi per la loro sicurezza.”

        1. Oggi guardavo vari modelli di automobile elettrica, tutti vendono, come se fosse un “plus”, l’integrazione dello scemofono nella elettronica dell’automobile. Lo stesso vale per il ventilatore/purificatore che c’era nel negozio di elettrodomestici, anche quello si comanda tramite lo scemofono. Quindi hai ragione, sarà una imposizione che la gente non percepisce come tale perché non capisce che lo scemofono è pensato come un dispositivo di sorveglianza, anche senza il “trojan” e per costringerti a sottoscrivere abbonamenti per qualsiasi cosa, perché sono tanti anni che i geni del “management” hanno avuto la pensata di spostare il tutto dalla “proprietà” al “servizio”.

          Cosa posso fare? Posso solo fare il profeta, che non svela il futuro ma semplicemente dice le cose che tutti sanno ma che non vogliono dire.

          Ti faccio una domanda, Sergio: tu quanti conosci come me?

Comment

Il tuo indirizzo email non sarà pubblicato.

Vivaldi