Tra i mesi di marzo ed aprile 2013, la Corea del Sud e’ stata colpita da un attacco cibernetico su larga scala, la cui origine (seppur camuffata, secondo gli esperti, per fingere un coinvolgimento cinese) e’ stata attribuita ad attori nord coreani. Seppur primitivo nelle modalita’, l’attacco, basato su un malware identificato come Mal/EncPk-ACE e prontamente ribattezzato DarkSeoul, ha causato danni ingenti. Tra i settori piu’ colpiti quello bancario, con i servizi ATM e di home banking di alcuni istituti fuori servizio per giorni. Circa 30,000 computer che hanno subito una brutale formattazione dei loro hard disk. Un po’ come successo con l’ormai celebre Stuxnet, anche in questo caso ci sono segnali che suggeriscono come il malware fosse stato predisposto per colpire un bersaglio specifico. I ricercatori di Sophos hanno infatti scoperto come il malware utilizzato includesse istruzioni specifiche per disattivare due prodotti antivirus diffusi soprattutto nella penisola coreana, quali AhnLab ed HAURI.

Questo attacco costituisce comunque solo l’ultimo episodio di una serie di azioni di cyber warfare di presunta origine nordcoreana e mirate al sud. Una campagna iniziata sul finire degli anni ’90 e poi cresciuta in intensita’ e sofisticazione con il passare del tempo, con due picchi raggiunti con gli attacchi DDOS del 2009 (quando ad essere colpiti furono anche interessi statunitensi) e del 2011. Oltre a descrivere a grandi linee gli eventi succitati, l’articolo si spinge poi oltre, riportando le voci di alcuni dissidenti nord coreani sul come il padroneggiare strumenti di cyber warfare venga perseguito a Pyongyang, parlando della Unit 121 (una presunta unita’ di cyber warfare, simile alla PLA 61398 cinese, gia’ descritta nel 2007 su DefenseTech.com e piu’ dettagliatamente, due anni piu’ tardi, in un paper di Steve Sin), dell’accesso alla rete in Corea del Nord e di Red Star OS, il sistema operativo di derivazione Linux sviluppato appositamente a Pyongyang.

I piu’ curiosi tra voi possono trovare su YouTube molti video dove le funzionalita’ offerte da Red Star OS vengono sviscerate. Tra questi segnalo le demo preparate da Arakmatzu e da Adam Safford. Sempre in tema Nord Corea, invece, chi dovesse avere un po’ di tempo a disposizione puo’ sicuramente trovare interessante un documentario di circa 45 minuti pubblicato alcuni anni fa da Alun Hill, che ha generato diverse controversie ma che puo’ sicuramente aiutare a formarsi una propria opinione sullo “strano” Paese asiatico.

Teatro dell’episodio un centro commerciale adiacente alla stazione de La Défense, alla periferia ovest della citta’ (sulla stessa linea che anche al sottoscritto e’ capitato di prendere, diverse volte, per raggiungere Port Maillot e da li’ la navetta che porta all’aeroporto semi-esclusivo RyanAir di Paris-Beauvais). Le prime indiscrezioni parlano di un attentatore dai tratti nordafricani, con la barba e sui 30 anni di eta’. A differenza di Woolwich, in questo caso l’aggressore non avrebbe rilasciato alcuna “dichiarazione” per spiegare il suo gesto, ma si sarebbe invece dato immediatamente alla macchia. Le ricerche sono tuttora in corso.

Se sia trattato di un fenomeno emulativo o di una mera coincidenza ce lo diranno le indagini della gendarmeria e dell’antiterrorismo francesi. Quel che e’ certo e’ che non possono non venire immediatamente alla mente le parole di Andrew Brown sul Guardian, riguardanti il diverso trattamento mediatico che Woolwich ha avuto al confronto delle violente riots che in queste ultime settimane stanno affliggendo Stoccolma. Si tratta dell’eterno dilemma su come i media dovrebbero affrontare certi argomenti. Censurare tutto o parlarne nella maniera piu’ obiettiva possibile? Ogni scelta ha i suoi pro ed i suoi contro. E non e’ assicurato che la virtu’ stia nel mezzo.

Il gesto e’ di una violenza inaudita. E, sicuramente, si tratta di qualcosa a cui in Occidente non siamo (fortunatamente) per niente abituati. Dando per buono che l’attacco abbia alle spalle una matrice di carattere politico/religioso, a questo punto, sebbene possa apparire cosa di ben poco conto, riuscire a capire se la vittima fosse un militare piuttosto che un civile e’ in realta’ di estrema importanza per riuscire ad inquadrare il gesto da un punto di vista “legale”. Quando al Qaeda dichiaro’ guerra agli Stati Uniti ed ai suoi alleati (ne avevo parlato in questo post, segnalando un articolo sul tema, molto interessante, pubblicato su Foreign Affairs), le due fatwa scritte/emanate da Bin Laden e colleghi (da segnalare che, secondo molti critici esperti di Islam, nessuno degli autori aveva in realta’ la benche’ minima autorita’ richiesta per poter emettere una fatwa) istruivano precisamente ogni fedele musulmano a colpire indiscriminatamente bersagli civili e militari. Ora c’e’ quindi da capire cosa avessero in mente i killer di Woolwich. Se colpire un militare, per quanto all’esterno di una zona di guerra, puo’ comunque rientrare in una logica di guerra (con gli ovvi legati al fatto che al Qaeda possa o meno, come organizzazione, godere dello stesso status normativo degli eserciti regolari), colpire un civile va a classificarsi immediatamente come atto terroristico. Ed apre scenari preoccupanti in materia di sicurezza, se questo attacco non fosse il gesto di un lonewolf (pur indottrinato), ma segnalasse invece un piu’ generale cambio di strategia dei jhadisti, pronti ad abbandonare gli attacchi piu’ eclatanti in favore di azioni su piu’ piccola scala.

Da un punto di vista politico e’ invece da segnalare la reazione di Cameron, il quale, in maniera ben diversa da quanto Obama e le varie autorita’ statunitensi preposte alla sicurezza fecero in occasione dell’attentato alla maratona di Boston, non ha esitato ad utilizzare, seppure al condizionale, la parola “terrorismo”.

Tra le caratteristiche anomale di questo attacco vi e’ poi il comportamento tenuto dagli attentatori a fatti compiuti. Essi sono infatti rimasti a lungo nella zona senza apparentemente nessuna intenzione di darsi alla macchia (pare, al momento, che siano stati feriti quando hanno provato ad aggredire gli agenti intervenuti sul luogo ad uccisione avvenuta) (particolare non di secondaria importanza, sono pochissime le unita’ della polizia inglese che girano armate) e, secondo diverse voci, hanno chiesto con insistenza di venire fotografati e ripresi con i telefonini dai passanti. Evidente la ricerca dell’effetto mediatico. Uno degli attentatori, con le mani insanguinate che ancora impugnavano un coltello, ha parlato in maniera apparentemente lucida con almeno uno dei passanti, scusandosi per il gesto (soprattutto per il fatto che le donne dovessero vedere tutto cio’) ma spiegando come questo fosse in qualche modo un atto dovuto. Situazione decisamente anomala, soprattutto per la calma esibita dall’uomo dopo aver compiuto un gesto cosi’ efferato. Al punto che mentre il presunto attentatore parla si vede addirittura un’altra passante farsi largo sul marciapiede con il suo trolley e passare accanto all’uomo, sicuramente inconsapevole di cio’ che stava facendo.

Nei pochi fotogrammi che potete vedere qui sotto, registrati in esclusiva dalla britannica ITV, si puo’ vedere cio’ di cui sto parlando.

Una versione piu’ estesa del video (purtroppo non embeddabile) e’ disponibile a questo indirizzo. Provo di seguito un veloce transcript di cio’ che dice l’uomo per chi dovesse avere problemi con l’inglese parlato.

“[...] We swear by the almighty Allah we’ll never stop fighting you until you leave us alone. We must fight them as they fight us. An eye for an eye, and a tooth for a tooth. I apologise that women had to witness this today, but in our land our women have to see the same. You people will never be safe. Remove your government, they don’t care about you. Defeat. David Cameron is going to get caught in the street. When we start busting our guns, you think politicians are going to die? No, it’s going be the average guy like you”

Per il momento e’ tutto. Domani ne sapremo sicuramente di piu’.

I cambiamenti hanno per ora riguardato l’home page (rimosso il riferimento alla Plymouth University), la sezione dedicata alle mie pubblicazioni, aggiornata, riveduta e corretta, nonche’ le barre laterali ed il footer del blog (alleggerite entrambe le componenti e risolti alcuni problemi di visualizzazione che si trascinavano da anni). Le prossime modifiche piu’ corpose andranno invece a toccare la pagina About Me, sulla quale ho iniziato a lavorare offline ma che ha ancora bisogno di un po’ di tempo per essere completata.

Visto che ero in vena di smanettamenti ho anche approfittato per cambiare la configurazione del mio hosting Linux ed abbandonare l’ormai decrepito PHP 3 per passare ad una ben piu’ fiammante versione 5.3.22. La quale mi ha a sua volta permesso di aggiornare l’installazione di WordPress (rimasta miracolosamente indenne per oltre un anno di fronte ad una vagonata di vulnerabilita’ facilmente exploitabili), che ora mostra fieramente il numero 3.5.1 alla voce “versione”. Dopo aver aggiornato, insieme a WordPress, anche i suoi vari plugin, l’occhio mi e’ caduto sulla pagina di riepilogo di Akismet, il celebre plugin-antispam, dove la mia attenzione e’ stata catturata da un dato abbastanza curioso. L’immagine qui di seguito mostra infatti il numero di messaggi di spam destinati al mio blog ed intercettati, mese per mese, nel corso dell’ultimo anno. La media di circa 5,000 messaggi di spam mensili (calcolata sul periodo May 2012-Nov 2012 e Feb 2013-May 2013) e’ stata bruscamente oltrepassata tra il dicembre del 2012 ed il gennaio di quest’anno. Circa 50,000 messaggi di spam in due mesi. Piovuti cosi’, dal nulla. Sul web, tramite una ricerca invero piuttosto rapida, non sono riuscito a trovare informazioni particolari e capire cosi’ se il fenomeno fosse stato circoscritto al mio blog o se avesse invece attraversato piu’ trasversalmente la rete. Mi riprometto, tempo permettendo, di indagare un po’.

Tante, tantissime le sfide epiche di quei tempi. Impossibile non ricordarsi dei sentitissimi derby con il Sassuolo. Cosi’ come non ci si puo’ non ricordare di quando nel girone ci si ritrovo’ il Livorno, che ripartiva dai dilettanti a seguito di uno dei tanti fallimenti economici vissuti dalla societa’ labronica. Onde evitare problemi di ordine pubblico dovuti al massiccio afflusso previsto di tifosi toscani la partita si gioco’ a Castellarano, dove lo stadio permetteva di gestire un po’ piu’ agevolmente la situazione rispetto al catino di Roteglia.

Date queste premesse, penso sia piu’ che comprensibile il magone che avevo oggi, guardando in TV l’incontro tra Sassuolo e Livorno, ultima giornata del campionato di Serie B, che in palio, per uno strano gioco del destino, metteva la promozione nella massima serie. L’ha spuntata il Sassuolo, al termine di un incontro palpitante, dall’intensita’ incredibile, che ha fatto piu’ volte sobbalzare sulla sedia anche me, che tutto sono meno che un tifoso neroverde. Sassuolo in Serie A, quindi. A circa venti anni di distanza da quando se ne veniva a giocare al Vellani di Roteglia. Sembra una vita fa. Forse lo era. Non lo so. Comunque sia complimenti a loro.

La cosa piu’ interessante della mia nuova postazione riguarda comunque l’apparato grafico. Fiero possessore da qualche tempo di un triple-head setup (tre display LG W2753VC-PF da 27″, con risoluzione di 1,920×1,080 ciascuno, fino a ieri collegati ad una macchina Windows raramente utilizzata da quando ho chiuso la mia avventura con il poker on line), ho deciso di poter “riciclare” questi monitor per il nuovo Mac. Farlo e’ stato piu’ semplice del previsto. I tre monitor, che per fortuna abbondano in quanto a modalita’ di input, sono stati collegati al Mac in questo modo:

• Monitor 1: DVI – Thunderbolt
• Monitor 2: HDMI – HDMI
• Monitor 3: HDMI – USB

La conversione da DVI a Thunderbolt e’ effettuata per mezzo di un adattatore attivo prodotto dalla Startech (per la precisione questo modello, concepito per le mini DisplayPort in quanto all’epoca ancora non esistevano le Thunderbolt). La conversione HDMI->USB e’ invece affidata ad un piccolo (vedi foto sotto) aggeggio prodotto dalla Club-3D e che risponde al nome di SenseVision CSV-2000H.

Per chi fosse interessato ad una soluzione di questo genere e’ bene sottolineare come le differenze in termini di performance tra il monitor collegato via USB e quelli con connessioni piu’ “tradizionali” sia abbastanza evidente, specie nel momento in cui si trascinano finestre. Con un po’ di accortezza (nel mio caso, per esempio, ho connesso in questo modo il monitor di sinistra, sul quale per abitudine tengo aperti i soli client email e Skype e che non vengono mai mossi) il problema puo’ essere tranquillamente ignorato. Non cosi’, ovviamente, per chi cerca dal proprio setup performance grafiche spinte. Chiudo con una foto (bruttina, ma dovrebbe rendere l’idea) della nuova postazione.

Si’, un giorno daro’ anche una sistemata ai cavi.

In realta’ neppure devo compilarlo io in prima persona il modello. Di questo se ne occupa infatti il mio commercialista. Il quale mi ha pero’ girato un po’ di modulistica da compilare per reperire le informazioni necessarie. Quindi, gira e rigira, queste tocca scovarle a me. Con le ovvie conseguenze del caso (presumo la galera) nell’ipotesi di dati errati/incompleti. Ad ogni modo, tra tutte quelle cui mi sono dedicato oggi, l’unica attivita’ che penso di aver compreso e portato a termine con la ragionevole sicurezza di non aver commesso errori e’ stata quella relativa alla scelta della destinazione del 5 per mille IRPEF. Certo non e’ stato banale decidere. Gli enti degni di essere presi in considerazione sono tanti. Davvero tanti. Come tanti davvero sono le associazioni di vario genere che sono state sinora autorizzate quali legittimi possibili destinatari del 5 per mille. L’elenco completo, diviso in quattro categorie (enti del volontariato, enti della ricerca scientifica e dell’Universita’, enti della ricerca sanitaria ed associazioni sportive dilettantistiche) e’ pubblicato sul sito della Agenzia delle Entrate. Per comodita’ allego tutto quanto anche a questo post.

Gli elenchi riportati qui sopra sono aggiornati alla data di ieri, vale a dire al 14 maggio 2013. Va da se’ che il sottoscritto declina ogni responsabilita’ riguardo ai contenuti dei file qui sopra. Prima di compilare l’apposita sezione del vostro Unico controllate con attenzione i dati sulle pagine Internet della Agenzia delle Entrate.

A Fogle, prima di essere rispedito in ambasciata con l’etichetta di persona non grata e dunque il chiaro invito ad abbandonare il Paese, sarebbe stato sequestrato un armamentario piuttosto fantasioso, composto tra l’altro da due parrucche (una bionda ed una scura), due paia di occhiali da sole, alcune mazzette di banconote da 500 euro, un coltello, una bussola ed una mappa di Mosca. Insieme a tutto questo materiale vi era una lettera, scritta in russo e contenente le istruzioni che l’agente dell’FSB eventualmente reclutato avrebbe dovuto seguire per entrare in contatto con la CIA e poter avviare la collaborazione. Non solo l’attrezzatura, ma anche questa lettera appare un po’ ingenua ad occhi un minimo smaliziati. L’agente russo veniva infatti invitato ad aprire un banale account su Gmail da un coffee shop o analogo ed utilizzare questo per scrivere ad un altro indirizzo Gmail controllato da alcuni ufficiali della CIA. Data per buona la veridicita’ del materiale mostrato orgogliosamente dai russi in televisione, normale che ci sia chi si e’ spinto (vedi ad esempio Suzanne Choney sul sito dell’emittente NBC) a chiedersi se qualcuno, nelle alte sfere degli apparati di sicurezza statunitensi, non stia un pochino prendendo sottogamba il fatto di affidarsi a strumenti cloud, free e molto diffusi quali ad esempio Gmail. Uno strumento che ha gia’ tradito, tanto per dire, David Petraeus, il quale utilizzava, cosi’ come diversi gruppi terroristi, un account condiviso su Gmail per comunicare con la “sua” Paula Broadwell. Come ebbe a dire a suo tempo Olga Khazan sul Washington Post (punto poi approfondito da John Reed su ForeignPolicy.com): the fact that the head of the nation’s most secretive agency was using a cloud-based e-mail account that can be accessed with a password raises obvious security questions. La lezione, pero’, pare non sia stata ancora imparata a dovere.

In chiusura di post vi lascio con un breve resoconto della vicenda Fogle a cura della CNN, con tanto di footage dell’arresto e commenti dell’ottimo Raymond (Ray) McGovern, ex ufficiale della CIA oggi in pensione.

UPDATE: con una mossa un po’ a sorpresa l’FSB sovietico ha deciso di alzare il tiro. Evidentemente non contenta dell’arresto pubblico di Fogle e dell’umiliazione inflitta non tanto a lui quanto all’intero apparato spionistico americano, ha deciso di rendere pubblico il nome di quello che e’ ritenuto essere il capo-stazione della CIA a Mosca. I dettagli in questo articolo del Guardian.

Di Inspire, dopo lo scalpore iniziale e le tante discussioni che su di essa si sono concentrate (a quanto si dice, diversi siti di estremisti sono a tutt’oggi scettici sul fatto che il magazine sia veramente prodotto da AQAP; analisti statunitensi, come ad esempio Thomas Hegghammer ritengono che la pubblicazione non sia in sostanza niente di che), specie quando il presunto editor Samir Khan e’ stato ucciso da un Predator USA, si e’ tornato a parlare le scorse settimane in seguito all’attentato alla maratona di Boston. I due ordigni fatti esplodere dai fratelli Tsarnaev erano infatti altrettante pressure cooker bombs, dispositivi artigianali basati su pentole a pressione. E costruiti, secondo quanto riportato dagli investigatori seguendo alla lettera le istruzioni pubblicate in un famigerato articolo intitolato Make a Bomb in the Kitchen of Your Mom e pubblicato all’interno del primo numero di Inspire.

Fatto sta che, secondo chi di dovere (e nonostante i fatti sembrino dimostrare il contrario), i contenuti pubblicati su Inspire non sono da ritenersi particolarmente pericolosi. Prova ne e’ il fatto che e’ relativamente semplice procurarsi una copia delle varie issues. Una semplice ricerca su Google permette ad esempio di trovare agevolmente la versione integrale del numero 8 della rivista (autunno 2011). Varie agenzie di intelligence e siti che si occupano della materia provvedono poi in prima persona a ridistribuire Inspire. E’ il caso per esempio di MSA Security e di Public Intelligence, quest’ultimo che propone pero’ una versione censurata dell’edizione numero 1, quella contenente il succitato l’articolo sul come costruire una bomba nella cucina di casa propria.

Va da se che, il poter accedere a tale documentazione e’, per chi si occupa di intelligence o e’ comunque interessato alle principali tematiche della politica internazionale e del terrorismo islamico moderno, una straordinaria miniera di informazioni. La quale permette di capire piu’ da vicino il modo di pensare delle organizzazioni di ispirazione qaedista (o perlomeno dei suoi vertici) e puo’ (deve) essere sfruttata al meglio in chiave di prevenzione.

Gia’ lo scorso 11 marzo, in seguito alla pubblicazione da parte del Mandiant Intelligence Center di un report sull’ormai famigerata Unit 61398 dell’esercito cinese, Tom Donilon, US National Security Adviser, aveva rilasciato dichiarazioni pesanti. Ben riassunto dal Time, Donilon aveva accusato il governo cinese di essere impegnato in una cyber-campagna su larga scala, mirata a rubare segreti commerciali e proprieta’ intellettuali dalle mani (o, meglio, dai computer) delle imprese statunitensi.

Ora, fedeli al principio secondo cui verba volant scripta manent (e ben consapevoli delle conseguenze, sul piano politico, della decisione), gli americani affidano le loro accuse ad un documento scritto. E’ in particolare a pagina 44 del documento, in un paragrafo intitolato Cyber Activities Directed Against the Department of Defense che gli analisti USA ci vanno giu’ pesanti senza lasciare spazio a dubbi o adito a possibili interpretazioni errate:

In 2012, numerous computer systems around the world, including those owned by the U.S. government, continued to be targeted for intrusions, some of which appear to be attributable directly to the Chinese government and military. These intrusions were focused on exfiltrating information. China is using its computer network exploitation (CNE) capability to support intelligence collection against the U.S. diplomatic, economic, and defense industrial base sectors that support U.S. national defense programs. The information targeted could potentially be used to benefit China’s defense industry, high technology industries, policymaker interest in US leadership thinking on key China issues, and military planners building a picture of U.S. network defense networks, logistics, and related military capabilities that could be exploited during a crisis. Although this alone is a serious concern, the accesses and skills required for these intrusions are similar to those necessary to conduct computer network attacks. China’s 2010 Defense White Paper notes China’s own concern over foreign cyberwarfare efforts and highlighted the importance of cyber-security in China’s national defense.

Chi fosse curioso di dare un’occhiata in prima persona all’intero documento, puo’ trovarlo sul sito del DoD americano (per la precisione a questo indirizzo), oppure scaricarlo direttamente dal link qui sotto.