Gli USA che si hackerano da soli, il portafoglio digitale e altre storie estive
Due storie apparentemente slegate, che però hanno a che fare col nostro rapporto con la tecnologia, forse ancora troppo arretrato per il mondo ipertecnologico che ci attende.
Tempo stimato per la lettura: 13 minuti
La parola di oggi: OTP, one time password: le password temporanee che vengono generate da applicazioni e dispositivi fisici.
IL MENÚ DI OGGI
L’editoriale “Siamo davvero pronti per tutta questa tecnologia?”;
La storia delle email indirizzate alla difesa americana che per errore arrivano nel Mali, paese alleato della Russia;
Il portafoglio digitale italiano vedrà la luce entro fine anno e ospiterà la nostra identità digitale.
» Siamo davvero pronti per tutta questa tecnologia?
Scrivo questa puntata di Insalata Mista da una località di mare dove sto trascorrendo una settimana di ferie. Una settimana in cui ho avuto tempo per leggere, ma anche per pensare a una ricetta per un’Insalata più leggera.
Ho scelto quindi di provarci con due temi più semplici rispetto agli ultimi trattati. Forse perché è estate per tutti, fa caldo e anche voi lettori vi meritate temi più leggeri, da leggere sotto l’ombrellone.
Allora ho deciso che in questa uscita tratterò due temi distinti, tenuti insieme da un filo conduttore, che è il nostro rapporto quotidiano con la tecnologia. Le grandi aziende ci inondano quotidianamente di novità e di notizie, non sentiamo parlare d’altro che dei progressi dell’intelligenza artificiale, ma poi sta a noi fare i conti quotidianamente con quello che l’evoluzione tecnologica ci impone.
Alla fine, dietro tutte le tecnologie, c’è sempre l’uomo. E se l’uomo sbaglia una lettera può anche capitare che una potenza militare come quella degli Stati Uniti riveli segreti militari importantissimi a un’altra nazione. E allora cosa potrà succedere quando verrà digitalizzata anche la nostra identità? Il portafogli digitale è in discussione proprio in questi giorni e entro fine mese ci si aspetta una decisione da parte del Dipartimento per la transizione digitale, che dovrebbe emanare una norma a cui seguiranno i decreti attuativi e una demo già entro la fine dell’anno.
La tecnologia entra sempre più prepotentemente nelle nostre vite e nel nostro quotidiano, ma che rapporto abbiamo sviluppato con la tecnologia in questi anni? Sembra stupido chiederlo a voi che leggete una newsletter che tratta proprio di tecnologia, eppure la domanda non è sciocca, perché anche al più scafato utilizzatore di internet può capitare un errore come quello che racconterò tra poco.
Insomma: la tecnologia fa si che le macchine lavorino per noi, che si facciano meno errori e che si produca di più, però è ancora sufficiente un piccolo errore di battitura, una lettera sbagliata nell’intestazione di una email, per sfiorare la crisi diplomatica. Che poi è un’altra versione delle mille storie che circolano tra gli esperti di sicurezza informatica, in cui si racconta sempre di reti sicurissime messe in pericolo o violate da una password scritta su un post-it o da un’altra leggerezza di questo tipo.
La domanda che vi pongo quindi è: siamo davvero pronti per tutta questa tecnologia?
Franco A.
» Una lettera in meno e documenti diplomatici importantissimi finiscono in mano a un cittadino qualsiasi (di un altro stato)
In sintesi:
Da 10 anni milioni di email indirizzate alla difesa statunitense finiscono per errore nelle caselle di posta del Mali, che tra l’altro è partner russo. Una storia assurda ma apparentemente reale;
La storia è incredibile anche per l’altissimo numero di cose che non tornano. La prima: le email indirizzate a una casella non esistente, non tornano indietro?
Entro fine anno vedremo la prima demo del portafoglio digitale italiano, che conterrà le nostre identità digitali.
La storia che sto per raccontarvi è davvero incredibile e in qualche modo conservo ancora la speranza che si riveli falsa. Purtroppo però, dopo la dichiarazione di un portavoce dell’Ufficio del Segretario della Difesa americana a The Verge, le speranze cominciano a essere davvero poche.
Per circa dieci anni, una quantitativo elevatissimo di email di carattere militare (milioni, forse centinaia di milioni) sono state recapitate all’indirizzo sbagliato. All’origine del fatto c’è un banalissimo errore di battitura. Invece che scrivere a un indirizzo email con estensione “.mil” - una particolare estensione di domini della difesa americana gestita dalla Defense Information Systems Agency -, diverse persone hanno scritto per anni a un indirizzo che terminava per “.ml”, che invece è l’estensione del Mali, paese Africano che tra l’altro, guarda il caso, è particolarmente vicino alla Russia.
Ora, visto che i dubbi sulla questione sono parecchi, mettiamo prima in ordine i fatti. La prima domanda che viene spontanea è: se invio una email a un indirizzo che non esiste, non mi torna indietro? Si, infatti. Tenete questo fatto in mente per dopo.
Rimane comunque il fatto che, se come scritto da Financial Times e da The Verge, diverse email venivano inviate a caselle appartenenti a domini come @army.ml o @navy.ml, non esistendo le caselle relative, queste email non dovevano essere recapitate, ma semplicemente respinte.
A questo punto entra però in gioco Johannes Zuurbier, un imprenditore olandese che gestisce il dominio del Mali (perché una società olandese gestisce il dominio ufficiale di un paese? Un’altra domanda che rimarrà senza risposta).
Questo signore, quando si accorge che cominciano a verificarsi una serie di tentativi di consegna verso caselle non esistenti del dominio da lui gestito, cosa fa? Le crea. Segnala il fatto alle autorità statunitensi e poi pensa bene di fare in modo di intercettare queste email, che sono talmente tante che in poco tempo gli intasano pure il server di posta.
Secondo quanto affermato da Zuurbier, solo da Gennaio a oggi sarebbero 117.000 le email intercettate da questo sistema. Un bel problema, soprattutto se il contenuto di queste comunicazioni spesso è molto delicato, quando non riservato. All’interno ci sono infatti cartelle cliniche, informazioni sui documenti di identità, elenchi del personale delle basi militari, foto delle basi militari, rapporti di ispezione navale, elenchi dell'equipaggio delle navi, registri fiscali e molto altro.
Non solo: alcune di queste email sono state inviate da persone esterne all’ambiente militare, per esempio agenti di viaggio che lavorano abitualmente con l’esercito americano. Infatti una di queste email conteneteva, giusto per fare un esempio, l’itinerario di viaggio del capo di stato maggiore dell’esercito americano per una visita all’estero, con tanto di elenco completo dei numeri di camere prenotate.
Ma c’è ancora di più. Il contratto di Zuurbier con il governo del Mali scadrà il giorno in cui state leggendo questa Insalata e dunque il governo stesso del Mali sarà in grado di leggere queste email (sempre che non vengano presi provvedimenti nel frattempo). La ciliegina sulla torta sono ovviamente gli ottimi rapporti tra le autorità malesi e la Russia, che tra le altre cose ha una forte presenza militare in Mali grazie al gruppo Wagner. Non serve che aggiunga altro.
In tutto questo, gli USA che fanno?
Tim Gorman, un portavoce dell’ufficio del Segretario della Difesa americano, ha dichiarato a The Verge che “Il Dipartimento della Difesa (DoD) è a conoscenza di questo problema e prende sul serio tutte le divulgazioni non autorizzate di informazioni di sicurezza nazionale controllate o informazioni non classificate controllate". Gorman aggiunge che le e-mail inviate da un dominio .mil in Mali sono "bloccate" e che il "mittente viene notificato che deve convalidare gli indirizzi e-mail dei destinatari previsti”. Non mi è chiarissimo cosa intenda, ma in ogni caso meglio tardi che mai.
Ora però, a mente fredda, ci sono un bel po’ di cose che non tornano. Provo a metterle in fila:
Se invii una mail a un indirizzo di posta che non esiste, la mail torna indietro. Significa che per 10 anni qualcuno (tutti i mittenti direi) ha deliberatamente ignorato queste segnalazioni. Male;
Nei miei sogni fanta-militari a base di film hollywoodiani, mi sarei aspettato che almeno le email da e verso il dipartimento della difesa avessero qualche sistema di sicurezza in più. Chessò, una banale crittografia se non proprio la verifica del destinatario come poi hanno implementato;
Il signor Zuurbier dice di aver segnalato il fatto più volte agli USA, ma poi che fa? Fa in modo di intercettare le email. Non sarebbe un reato?
Per risolvere il possibile problema, non basterebbe comprare tutti i domini incriminati? Tipo Navy.ml, per fare un esempio. Se tanto mi da tanto, questi domini sono attualmente registrati da Zuurbier (ovviamente ho controllato, ma i dati del registrante sono oscurati)
Da tutta questa storia l’unica riflessione che mi viene da fare è che siamo ancora terribilmente inadeguati a utilizzare questi strumenti tecnologici, anche se ormai sono entrati nell’uso quotidiano. Anzi, più che quotidiano, le email esistono da più di 40 anni e oggigiorno non c’è un ufficio capace di muovere un foglio di carta senza bisogno di usarle. Eppure, basta saltare una lettera nell’indirizzo e si rischia di far trapelare informazioni militari critiche verso un paese non proprio amico. Siamo sicuri di usare la tecnologia nel modo corretto?
» Arriva l’IT Wallet, il portafoglio che conterrà il nostro io digitale
La seconda storia che vi racconterà in questa Insalata riguarda quello che è stato discusso il 6 luglio scorso. Un comitato interministeriale ha infatti esaminato un documento dove vengono poste le basi per l’IT Wallet, ovvero il portafoglio digitale italiano che andrà a far parte del più ampio progetto europeo European digital identity Wallet.
Lo scopo di questo progetto è quello di istituire un protocollo unico per rendere identificabili le persone sul suolo europeo, tramite un’app per smartphone. Un qualcosa che ricorda vagamente quanto già fatto con il greenpass in epoca Covid.
Questo portafoglio, parlando dell’Italia, conterrà inizialmente soltanto la tessera sanitaria e la carta delle disabilità. Poi però, in una seconda fase, arriveranno la patente di guida, la tessera elettorale e altre funzioni di enti privati, come la possibilità di disporre pagamenti bancari e altro ancora.
Il tutto dovrebbe trovare casa nell’app IO, che già abbiamo conosciuto per il greenpass, ma anche per diversi tipi di voucher e per la lotteria degli scontrini. IO è un’app dello Stato che fa da contenitore per tutto ciò che mette in correlazione il cittadino con le istituzioni statali e le PA, pertanto è la casa giusta per ospitare anche dei documenti di identità personali.
Che fine farà lo SPID?
Qualche mese fa, in occasione della scadenza del progetto SPID, si vociferava della possibilità che venisse abbandonato. Ora invece torna d’attualità con il portafoglio digitale, anche se non sarà del tutto sufficiente.
Proprio su questo fronte ho letto tante cose, tutte molto poco chiare. In realtà è piuttosto semplice da spiegare: per alcuni documenti basterà l’autenticazione di secondo livello, per altre, le più sensibili e delicate, servirà invece un’autenticazione di terzo livello.
Per capirci: l’autenticazione di secondo livello è quella che si ha quando a un nome utente e una password accoppiamo un sistema di verifica aggiuntivo, la classica autenticazione a due fattori (2FA, two factor authentication). Parliamo dei classici token che generano un codice casuale (in gergo OTP, One Time Password), oppure delle app che fanno la stessa cosa sul telefono (ce ne sono ormai decine, da Google Authenticator ad Aruba OTP).
L’autenticazione di terzo livello invece prevede anche il possesso di qualcosa di fisico, ovvero la lettura di una tessera che nel nostro caso sarà la carta d’identità elettronica (CIE). Questa carta andrà letta con un apposito lettore per computer (un lettore di smarcard) oppure avvicinandola a uno smartphone che sia dotato di chip NFC, che è un chip capace di leggere dei dati sfiorando un dispositivo contenente a sua volta un altro chip NFC.
Attenzione all’NFC, perché non tutti gli smartphone ce l’hanno. iPhone ce l’ha dalla versione 7 in avanti e da qualche anno è in grado di leggere anche la CIE (prima del 2020 funzionava solo per i pagamenti con ApplePay e poco altro). Quindi, se state per sostituire lo smartphone, fate attenzione che abbia anche l’NFC.
Detto tutto questo, è evidente che lo SPID sarà ancora utilizzabile. Ho letto da parecchie parti che non sarà utilizzabile con i servizi che necessitano dell’autenticazione di terzo livello, ma non è così (o quantomeno non può esserlo, a rigor di logica). Esiste infatti anche lo SPID di terzo livello, la cui autenticazione avviene appunto tramite la lettura della CIE (o firma digitale). Certo, probabilmente perderà un po’ di senso, ma non è ancora detto.
Quando arriverà il portafoglio digitale italiano?
Prima di tutto un appunto sulla sicurezza di questa soluzione. Potremmo vivere tranquilli sapendo che la nostra identità digitale è all’interno di un’app sullo smartphone? Vi rispondo io: si. E sapete perché lo so? Perché ci sta lavorando il Dipartimento per la transizione digitale con il supporto di PagoPa, Istituto poligrafico dello Stato ma soprattutto Sogei, che è un’eccellenza italiana. Quindi potete dormire sogni tranquilli.
Il dipartimento dovrebbe emanare una norma chiave già entro la fine di luglio, dunque in questi giorni, per poi approvare i primi decreti attuativi entro il 31 ottobre. Una prima versione dimostrativa del portafoglio digitale dovrebbe vedere la luce già entro dicembre di quest’anno, per poi arrivare al rilascio pubblico entro il 30 giugno 2024. Tempi estremamente brevi, c’è da dirlo.
Siamo davvero pronti per diventare 100% digitali?
Non potevo che chiudere con una domanda a cui ovviamente non darò risposta. Siamo pronti per questa ennesima rivoluzione digitale? In mezzo ai soliti complottisti che gridano alla “schedatura totale” e all’ennesimo tentativo per “controllarci” da parte di un Grande Fratello qualsiasi, ci sono anche i dubbi legittimi.
Poter trasferire i nostri documenti più importanti all’interno di un’app è qualcosa che istantaneamente ci pone dei dilemmi sulla sicurezza. Non che oggi non sia possibile rubare o falsificare un documento di identità cartaceo, sia chiaro.
Oltre tutto questo però c’è il quesito di fondo che ponevo all’inizio: siamo davvero pronti per tutta questa tecnologia? Se dopo decenni di utilizzo delle email rischiamo di far saltare delle coperture militari soltanto omettendo una lettera, cosa potrà succedere con l’uso dei documenti d’identità digitali?
E poi bisogna anche rispondere alla classica obiezione:”Come farà mia nonna che ha 80 anni?”. Anche questa è una domanda legittima, seppure ampiamente già risolta dalla diffusione di smartphone e social tra i più anziani. Tuttavia sarà capitato a ognuno di noi di aiutare una persona anziana nella registrazione dello SPID (era diventato persino un meme).
Ecco, forse sul fronte delle interfacce e delle procedure, dobbiamo fare davvero uno sforzo in più, perché alla fine le cose sono banali, ma se su una guida scriviamo che “per registrare lo SPID con autenticazione di secondo livello basta usare una 2FA tramite SMS o app di generazione di codici OTP” qualcuno lo lasceremo fuori, di sicuro.
» SFAMA LA FOMO!
Cos’è la F.O.M.O.?1
Space invaders in realtà aumentata, gratis su iOS e Android
Google e Taito tentano di replicare il successo di Pokemon Go con un altro gioco in realtà aumentata che riprende un classico del passato: Space Invaders. Certo che non vi serva una spiegazione su che tipo di gioco è, veniamo al gioco disponibile sia per iOS che Android: si esce per strada e si spara alle navicelle nemiche che riprendono lo stile che titolo arcade, immerse nel contesto reale che abbiamo attorno, grazie appunto alla realtà aumentata. Riuscirà a bissare il successo di Niantic, autrice del titolo a base di Pokemon che tanto successo ha fatto a partire dal 2016? Non lo so, ma l’ho subito installata.Copia e incolla tra Android e PC Windows
Sui sistemi operativi Apple esiste da tempo una funzione comodissima, che permette di copiare e incollare testi, link e immagini da un dispositivo all’altro, sia esso un computer o uno smartphone. Ora questa funzionalità sarà disponibile anche tra smartphone Android e PC Windows, grazie a Nearby Share (che tradotto sta per “Condivisione nelle vicinanze”), un’applicazione sviluppata da Google che permetterà di condividere file, testi, documenti e immagini tra smartphone e PC. Un piccolo passo per Google, un grande passo per l’umanità.Gmail introdurrà la funzione per gli appuntamenti
Una funzione comodissima di alcune applicazioni che gestiscono il calendario, è quella di poter inviare a un’altra persona un elenco di spazi settimanali in cui si è disponibili per prendere un appuntamento. Vi faccio un esempio, ma sono sicuro che a ognuno di voi sarà capitato di usare qualcosa di simile: faccio ripetizioni di matematica e devo mettermi d’accordo con un nuovo studente su giorno e orario in cui vederci. Anziché scambiarci un sacco di email o messaggi, invio allo studente un elenco di giorni e orari disponibili e lascio scegliere lui. Ecco, questa funzione, fino ad oggi appannaggio di servizi terzi (spesso a pagamento) arriverà in Gmail, permettendo di inserire in una email un elenco di spazi (o slot, per usare il termine corretto) in cui saremo disponibili. La scelta di chi riceverà l’email, ci occuperà automaticamente lo slot sul nostro calendario, semplificando enormemente il processo. La vera buona notizia? Sarà disponibile anche per Gmail gratuita, almeno per ora.
TI SEI PERSO LE PRECEDENTI PUNTATE?
N.23 Miliardari nerd come gladiatori: la sfida di Musk e Zuckerberg al Colosseo
N.22 Raccoglieremo carne dagli alberi? Forse si, ma non in Italia
N.21 Un bambino è morto (forse) per colpa di una sfida. Vietiamo i social?
N.18 È vero che Elon Musk ha ricevuto l'ok per impiantarci un chip nel cervello?
Se sei arrivato fino a qui, innanzitutto ti ringrazio.
Non ci siamo presentati: mi chiamo Franco Aquini e da anni scrivo di tecnologia e lavoro nel marketing e nella comunicazione.
Se hai apprezzato la newsletter Insalata Mista ti chiedo un favore: lascia un commento, una recensione, condividi la newsletter e più in generale parlane. Per me sarà la più grande ricompensa, oltre al fatto di sapere che hai gradito quello che ho scritto.
Franco Aquini
La F.O.M.O., un acronimo che sta per Fear Of Missing Out, è la deriva moderna del tam tam dei social network unita all’enorme disponibilità di strumenti di informazione e di intrattenimento. In pratica, è la paura di perdersi qualcosa e di non essere sempre al passo con i tempi. Con questa rubrica rispondiamo a queste paure, riassumendo in breve le notizie più significative della settimana, pescate dal mondo della tecnologia, dell’entertainment e del lifestyle.