Cerca nel blog

2021/10/27

Perché questi codici QR sembrano “green pass” validi di Adolf Hitler, Topolino e Spongebob?

Pubblicazione iniziale: 2021/10/27 00:00. Ultimo aggiornamento: 2021/10/28 13:40.

Sto ricevendo numerose segnalazioni di codici QR come quello qui accanto, che alcune applicazioni di verifica dei “green pass” considerano validi ma che sono intestati ad Adolf Hitler. Successivamente si sono aggiunti altri codici QR intestati a Topolino, a Spongebob e ad altri.

Provate a scansionare i primi tre codici QR di questo articolo con l’app italiana VerificaC19 o con l’app svizzera equivalente, CovidCheck: restituiscono HITLER come cognome, ADOLF come nome e 01.01.1900 (oppure 01.01.1930) come data di nascita. Cosa più importante, queste app di verifica li accettano come validi.

A prima vista sembrerebbe essere una gravissima violazione dell’affidabilità del sistema dei green pass o certificati Covid digitali, che minerebbe alla base la fiducia nel sistema di verifica. In teoria, infatti, soltanto gli enti o operatori sanitari autorizzati hanno le chiavi crittografiche private che consentono di generare green pass validi e rendono impossibile alterare un green pass esistente immettendovi per esempio un nome differente (questa è la procedura di richiesta di autorizzazione in Svizzera, per esempio). Ma affermazioni straordinarie richiedono prove straordinarie, che per ora scarseggiano. 

Questo è un altro codice QR (segnalato da @reversebrain) che fornisce lo stesso risultato, anche qui con il nome e cognome interamente in maiuscolo:

Questo, invece, risulta valido ma intestato a Adolf Hitler (in minuscolo tranne le iniziali), con data di nascita 01.01.1930:

Secondo le prime analisi (grazie @fuomag9 e alla sua app Green Pass Decoder), l’ente emittente indicato nei primi due codici QR sarebbe la CNAM francese (Caisse Nationale d’Assurance Maladie), ma secondo queste fonti e i commenti qui sotto il dato potrebbe essere stato immesso da chiunque abbia una chiave privata valida per l’emissione dei certificati Covid. La chiave privata, infatti, consente di firmare un certificato inserendovi qualunque valore o testo a piacere.

Il primo codice viene interpretato da Green Pass Decoder così:


{
			1:"CNAM",
			4:1697234400,
			6:1635199742,
			-260:{
				1:{
					"v":[
						{
							"ci":"URN:UVCI:01:FR:T5DWTJYS4ZR8#4",
							"co":"FR",
							"dn":2,
							"dt":"2021-10-01",
							"is":"CNAM",
							"ma":"ORG-100030215",
							"mp":"EU/1/20/1528",
							"sd":2,
							"tg":"840539006",
							"vp":"J07BX03"
						}
					],
					"dob":"1900-01-01",
					"nam":{
						"fn":"HITLER",
						"gn":"ADOLF",
						"fnt":"HITLER",
						"gnt":"ADOLF"
					},
					"ver":"1.3.0"
				}
			}
		}

Il secondo codice viene letto da Green Pass Decoder come se fosse identico al primo, mentre il terzo viene decifrato come segue:


{
			4:1685101990,
			6:1635098906,
			1:"PL",
			-260:{
				1:{
					"v":[
						{
							"dn":1,
							"ma":"ORG-100001417",
							"vp":"J07BX03",
							"dt":"2021-07-11",
							"co":"PL",
							"ci":"URN:UVCI:01:PL:1/AF2AA5873FAF45DFA826B8A01237BDC4",
							"mp":"EU/1/20/1525",
							"is":"Centrum e-Zdrowia",
							"sd":1,
							"tg":"840539006"
						}
					],
					"nam":{
						"fnt":"HITLER",
						"fn":"Hitler",
						"gnt":"ADOLF",
						"gn":"Adolf"
					},
					"ver":"1.0.0",
					"dob":"1930-01-01"
				}
			}
		}
 

Secondo queste info, dob è la data di nascita, fn è il cognome, gn è il nome, co è il paese di vaccinazione, dn è il numero di dosi ricevute, dt è la data di vaccinazione, is è l’ente che ha emesso il green pass, ma è il produttore del vaccino, mp è l’identificativo di prodotto del vaccino, sd è il numero totale di dosi, tg è la malattia coperta dal vaccino, vp indica vaccino o profilassi, ver è la versione dello schema, 4 indica la scadenza del codice e 6 indica la data di generazione del codice.

Su Raidforums c’è una discussione molto lunga e tecnica secondo la quale sembrerebbe che siano state trovate le chiavi private (o che siano state generate per forza bruta). Open ha indagato e dice che sembra che un utente polacco di Raidforums abbia creato un codice QR a nome di Hitler per dimostrare di essere in grado di farlo e offre il servizio a pagamento.

Se così fosse, chiunque potrebbe ottenere un green pass fraudolento e l’intero sistema sarebbe da buttare e rifare da capo (o almeno sarebbe necessario revocare tutte le chiavi private attuali e cambiarle) e in ogni caso il green pass avrebbe perso gran parte della sua credibilità presso l’opinione pubblica non esperta.

Stefano Zanero, docente di computer security e informatica forense al Politecnico di Milano, ha commentato pubblicamente in questo modo: “che si sia trattato di un leak o quantomeno di un abuso di chiavi di firma non è che sia discutibile, è abbastanza evidente.”

--- 

2021/10/27 1:25. VerificaC19 non riconosce più come validi i codici QR mostrati qui sopra, o perlomeno questo è quello che dice l’app sul mio telefono Android, mentre altre persone mi dicono che la loro app continua a ritenerli validi:

L’app svizzera CovidCheck, invece, li riconosce ancora validi. 

---

2021/10.27 9:20. Oggi alle 9 circa ho registrato questi due video che documentano la situazione a quel momento (il rumore che sentite nei video è prodotto dalla mia gatta MiniCalzini, che è sorda e quindi non sa quanto è rumorosa quando fa le fusa):

 

---

2021/10/27 12:10. Ansa parla di chiavi sottratte e dice che “le chiavi che sono state sottratte sono state annullate e, di conseguenza, sono stati invalidati tutti i green pass generati con quei codici.”

---

2021/10/27 13:00. Ne parla anche Il Post. Sembra ormai piuttosto chiaro, anche da alcune verifiche tecniche che mi sono arrivate confidenzialmente, che almeno la chiave privata francese e quella polacca usate per firmare questi codici QR sono state rubate o ottenute in qualche altro modo.

Intanto c’è anche un altro codice QR, stavolta intestato a Rokotepassieu (cognome) Ota Yhteyttä Wickr (nome) con data di nascita 06.12.1917. Dai commenti mi dicono che Rokote in finlandese vuol dire “vaccino”, quindi Rokotepassieu starebbe per “Passi Vaccino EU”, e Ota Yhteyttä Wickr dovrebbe voler dire “contattami su Wickr”). Viene tuttora riconosciuto come valido da CovidCheck ma non da VerificaC19 (perlomeno sul mio telefono Android):

---

2021/10/27 14:15. VerificaC19 ora non riconosce più come valido il mio green pass svizzero. La faccenda si fa personale.

---

2021/10/27 16:40. La vicenda è approdata anche in Svizzera (LaRegione; RSI.ch). Intanto  Insicurezzadigitale.com segnala un sito nel Dark Web (la parte di Internet accessibile via Tor) che venderebbe green pass falsi a partire da 250 euro.

 

Per chiunque fosse tentato di acquistarne uno sentendosi particolarmente furbo, ho due spunti di riflessione:

  • Il primo è che se sei disposto a violare la legge e a pagare 250 euro per qualcosa che potresti avere gratis semplicemente vaccinandoti, sei il bersaglio perfetto per gli spennapolli che popolano il Dark Web.
  • Il secondo è che se lo comperi, non illuderti che duri più di qualche ora: basta che un singolo agente di polizia o addetto alla sicurezza ne compri uno per sapere quale chiave privata è stata usata per generare i green pass falsi e revocare quella chiave e con essa tutti i green pass truffaldini. Ma i soldi che hai mandato ai truffatori non saranno altrettanto revocabili.

---

2021/10/27 20:40. Mi è stata segnalata da fonte confidenziale l’esistenza di un codice QR che viene riconosciuto come green pass valido, sia da VerificaC19 sia da Covid-Check, ed è intestato a Mickey Mouse, data di nascita 31 dicembre 2001. Eccolo.


---

2021/10/28 00:25. Mi è arrivata la segnalazione di un altro codice QR falso ma validato dall’app di verifica svizzera, stavolta a nome di Spongebob Squarepants, nato l’1/10/1900, vaccinato il 27 settembre 2021 nel Regno Unito, con Ministry of Health come emittente del certificato, tecnicamente valevole fino al 27 settembre 2022.

Sulla base di tutto questo, di questa analisi di Denys Vitali, di quest’altra analisi, del fatto che i green pass falsi sono apparentemente firmati dalle chiavi di numerosi paesi differenti e anche di alcune informazioni ricevute da fonti confidenziali, sembra che la spiegazione più plausibile (per ora, sottolineo, ipotetica) sia questa:

  • alcuni membri di piccole organizzazioni sanitarie autorizzate a emettere i certificati Covid avrebbero deciso di abusare della fiducia concessa loro e della scarsità di controlli interni (logici e fisici) e quindi avrebbero creato questi codici QR falsi per burla o per soldi.
  • Altri truffatori, nei forum online di criminali, avrebbero deciso di dire di poter generare green pass a pagamento e avrebbero usato questi green pass farlocchi come “dimostrazione” delle loro capacità. Gli allocchi pagherebbero e poi i truffatori scapperebbero coi soldi, senza consegnare il green pass promesso.

In tal caso, i  green pass corrispondenti sarebbero formalmente “veri”, nel senso che sarebbero stati emessi da persone autorizzate, e non ci sarebbe stata alcuna sottrazione massiccia di chiavi crittografiche private di paesi multipli o sfruttamento di qualche falla tecnica del sistema o (ancora più improbabile) bruteforcing per trovare queste chiavi. 

Quello degli addetti disonesti è insomma uno scenario che rispetta il Rasoio di Occam.

---

2021/10/28 11:25. Matteo Flora ha pubblicato un video nel quale mostra una tecnica che consentirebbe a quasi chiunque di generare un’anteprima del green pass, senza salvarla, potendo quindi creare codici QR validi ma falsi senza lasciarne traccia nel sistema. Questa sarebbe una falla procedurale davvero grossa, che ha parecchi indizi a supporto. Ecco il video:

---

2021/10/28 13:40. Sono stati trovati almeno sei punti di accesso al sistema di generazione delle anteprime dei green pass, lasciati stupidamente accessibili a chiunque. A questo punto è estremamente improbabile che siano state rubate chiavi crittografiche: i truffatori hanno semplicemente usato quello che gli addetti ai lavori hanno stupidamente lasciato in giro. Non c’è alcun bisogno di rubare chiavi, se la porta è aperta.

---

 Se scoprite altri dettagli, segnalatemeli nei commenti; aggiornerò questo articolo man mano che avrò informazioni più dettagliate e sicure.

 

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

2021/10/26

Gabinetti spaziali: le capsule di SpaceX hanno avuto problemi di corrosione fuori dall’orinario

In alto a destra, la toilette estraibile della Crew Dragon nel suo alloggiamento.

Il volo dei “turisti spaziali” di Inspiration 4 è stato presentato mediaticamente come un successo pieno, e in effetti tutto è andato molto bene se si considerano le complessità e difficoltà dell’impresa, ma dietro le quinte ci sono stati alcuni problemi un po’ particolari.

Secondo il resoconto pubblicato su Twitter dal giornalista specializzato Joey Roulette e dalla Associated Press, William Gerstenmaier (noto anche come Bill Gerst), ex direttore dei voli spaziali umani alla NASA e ora vicepresidente di SpaceX, ha dichiarato che il gabinetto della Crew Dragon, la capsula riutilizzabile dell’azienda, è stato riprogettato dopo i problemi che l’hanno colpito durante la missione Inspiration 4.

Un tubo che trasporta urina verso un contenitore si è rotto e staccato durante la missione e ha avuto delle perdite, dirette verso una ventola che ha spruzzato urina in un’area al di sotto del pavimento della capsula. Gerst dice che l’equipaggio non ha notato nulla durante il volo: il malfunzionamento ha interessato soltanto la sezione interna sotto il pavimento. 

Schema dell’impianto di gestione dei rifiuti biologici liquidi e solidi della capsula Crew Dragon.

La riprogettazione include un sistema completamente saldato, senza giunti che possano “scollarsi” come è avvenuto in questo caso.

SpaceX, preoccupata che lo stesso problema potesse manifestarsi nelle sue altre capsule, ha chiesto agli astronauti di usare un boroscopio (una telecamera di ispezione montata su un sottile cavo flessibile) per controllare la situazione della Crew Dragon attualmente attraccata alla Stazione Spaziale Internazionale. Gli astronauti hanno trovato la stessa contaminazione sotto il pavimento della capsula. La quantità è però minore perché gli astronauti attualmente in orbita sono rimasti nella capsula soltanto per un giorno, mentre l’equipaggio di Inspiration 4 si è trattenuto a bordo per tre giorni.

L’urina degli astronauti si mescola con un composto denominato Oxone (perossimonosolfato di potassio), usato per rimuovere l’ammoniaca dall’urina, e SpaceX temeva che questo potesse corrodere i componenti della capsula in caso di accumulo stagnante per mesi. Pertanto l’azienda ha svolto test molto estesi sulla Terra, comprese delle immersioni di pezzi in alluminio in una miscela di Oxone e urina, ponendo i pezzi per un periodo prolungato in una camera che imita le condizioni di umidità della Stazione.

SpaceX ha scoperto che la “crescita di corrosione” causata dall’Oxone “si autolimita nell’ambiente a bassa umidità a bordo della Stazione”. Per fortuna o intenzionalmente, prosegue Gerst, SpaceX aveva scelto una lega di alluminio molto insensibile alla corrosione. Gli studi proseguono con ulteriori esemplari ancora in camera di test.

La vicenda è un esempio perfetto di quanto è difficile viaggiare nello spazio, specialmente quando si trasporta un equipaggio umano, che è fragile, ha bisogno costante di alimentazione e sostentamento ed è intrinsecamente “sporco” perché la sua biologia è quella che è. Basta un niente, magari appunto una perdita in un tubo della toilette, per rovinare una missione. E se sei in rotta verso Marte non puoi tornare indietro a sistemare il guasto.

Gli ingegneri delle aziende aerospaziali sono bravi a far sembrare tutto facile, ma ogni tanto emergono storie come questa, che ci ricordano che mettere delle persone in cima ad alcune centinaia di tonnellate di propellente altamente infiammabile, scagliarle verso il vuoto pneumatico dello spazio a ventottomila chilometri l’ora, tenerle vive e farle tornare intere sulla Terra richiede dosi enormi di talento, metodo, disciplina e coraggio.

Questi sono i tweet originali di Joey Roulette:

SpaceX’s Bill Gerst says Crew Dragon’s toilet mechanics were redesigned after the toilet issues on the Inspiration4 mission. A tube that sends urine into a container broke off during the mission and leaked into a fan which sprayed the urine in an area beneath the capsule floor.

Gerst says the crew didn’t notice anything during flight; it only affected the internal section under the floor. Redesign involves a fully welded system with no joints that could come “unglued” like the faulty Inspiration4 system did.

SpaceX, concerned that the same toilet issues are plaguing its other vehicles, had astronauts use a borescope to investigate the Crew Dragon currently docked to the ISS. They confirmed SpaceX’s suspicions and indeed found similar contamination under the floor, Gerst said

Astronaut pee is mixed with a compound called Oxon, and SpaceX worried that might corrode hardware on Crew Dragon if pools around the system unchecked for months. So SpaceX did "extensive tests" on the ground that involved soaking aluminum parts in an Oxon-pee mixture

For "an extended period of time," the Oxon-pee-soaked aluminum parts were placed in a chamber that mimicked the humidity conditions on the ISS. SpaceX found "that corrosion growth" caused by Oxon pee "limits itself in the low-humidity environment onboard station."

typo correction - I’ve been told that the correct spelling of the ammonia-removing compound in the astronaut pee is oxone, not “oxon”

So anyway, Crew Dragon appears to be resilient to piss. Gerst: "Luckily, or, on purpose, we chose an aluminum alloy that is very insensitive to corrosion." The study is ongoing — "We got a couple more samples we'll pull out of the chamber"

This was a really good example of how a engineering problem was detected, studied and fixed. Gotta commend Gerst’s transparency here.

 

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

2021/10/25

Il Fatto Quotidiano, ANSA e Il Sole 24 Ore pubblicano tutti la stessa notizia falsa

Qualcuno ha una spiegazione plausibile per quest'improvvisa tripletta di fake news su Sole 24 Ore, Ansa e Fatto Quotidiano a proposito dell'atterraggio di Perseverance "oggi" (in realtà avvenuto a febbraio scorso)? 

A parte il rincitrullimento collettivo, intendo?

In realtà la sonda Perseverance è atterrata il 18 febbraio 2021. Qui non c’è ma e non c’è se, non è questione di opinioni: la notizia è falsa. Questo dimostra che i controlli sulle notizie pubblicate sono inesistenti. Ma ricordiamoci che le fake news sono colpa di Internet, mi raccomando :-)

Ho chiesto lumi alle rispettive redazioni: Sole 24 Ore, ANSA, Fatto Quotidiano.




Copia permanente della tripla perla: ANSA, Fatto Quotidiano, Sole24 Ore.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

2021/10/24

Due chiacchiere sull’incertezza dell’esplorazione spaziale al CICAPFest

Il 3 settembre scorso ho fatto una chiacchierata pubblica a ruota libera, nell’ambito del CICAPFest tenutosi a Padova, sul tema dell’esplorazione spaziale e delle sue incertezze. Se vi interessa, c’è un video della chiacchierata: lo trovate qui sotto.

Purtroppo la qualità audio non è un granché, perché il sonoro non è stato preso dal mixer.

2021/10/22

La bufala della Tesla schiantatasi in Texas e "nessuno era al volante"

Ricordate la vicenda della Tesla Model S che ad aprile 2021 si era schiantata vicino a Houston mentre "nessuno era al volante", secondo la polizia e come scriveva Repubblica? Le due persone a bordo erano morte.

Ora la perizia tecnica del National Transportation Safety Board dimostra, sulla base dei dati recuperati dalla “scatola nera” di bordo, che c’era eccome una persona al posto di guida e che l’acceleratore era premuto praticamente a fondo (al 98,8%) e che la velocità massima registrata nei cinque secondi precedenti l’impatto è stata di 108 km/h.

Data from the module indicate that both the driver and the passenger seats were occupied, and that the seat belts were buckled when the EDR recorded the crash. The data also indicate that the driver was applying the accelerator in the time leading up to the crash; application of the accelerator pedal was found to be as high as 98.8 percent. The highest speed recorded by the EDR in the 5 seconds leading up to the crash was 67 mph.

L’Autopilot, insomma, avrà anche un nome discutibile, ma in questo caso proprio non c’entra nulla. Vediamo se i giornali che hanno pubblicato la notizia iniziale pubblicheranno la rettifica. Per ora l’articolo di Repubblica è ancora al suo posto, com’era sei mesi fa, senza alcuna menzione dei nuovi risultati della perizia. Ne salvo una copia permanente, non si sa mai che qualcuno scopra il ravvedimento operoso.

La mia indagine iniziale, con tutti i dettagli e la cronologia della vicenda, è qui.


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

Podcast del Disinformatico RSI 2021/10/22: Virus replicanti, oggi e 20 anni fa. Da Iloveyou a FluBot


È disponibile subito il podcast di oggi de Il Disinformatico della Rete Tre della Radiotelevisione Svizzera, condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto). Questa puntata (la numero 700 da quando ho iniziato, nel 2006) è in versione Story, quella sperimentata quest’estate e dedicata all’approfondimento di un singolo argomento, che sarà il format standard dal 5 novembre prossimo.

Come consueto, i podcast del Disinformatico di Rete Tre sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano il testo e i link alle fonti della storia di oggi, sono qui sotto!

Nota: la parola CLIP nel testo che segue non è un segnaposto in attesa che io inserisca dei contenuti. Indica semplicemente che in quel punto del podcast c’è uno spezzone audio. Se volete sentirlo, ascoltate il podcast oppure guardate il video (se disponibile) che ho incluso nella trascrizione.

---

Credit: Naked Security.

[CLIP: (in sottofondo) Rumore di tastiera di computer degli anni 90]

È il 4 maggio 2000, un giovedì come tanti a Manila, nelle Filippine. Uno studente d’informatica, il ventiquattrenne Onel de Guzman, vuole collegarsi a Internet, come tante altre persone in tutto il mondo quel giorno.

Ma Onel non sa ancora che tra poche ore scatenerà il caos informatico planetario, causando danni per oltre dieci miliardi di dollari, travolgendo il Pentagono, la CIA, il Parlamento britannico e moltissime aziende multinazionali. Farà tutto questo usando un singolo computer e un messaggio d’amore ingannevole, che si propagherà via mail in decine di milioni di esemplari perché gli utenti non sapranno resistere alla curiosità di sapere cosa c’è dietro le tre parole di quel semplice messaggio scritto da Onel: I Love You.

Mentre preparo questo podcast, la Svizzera e molti paesi europei sono invasi da messaggi digitali che stuzzicano gli utenti allo stesso modo: sono SMS che dicono che c’è un messaggio vocale importante per loro. Chi non resiste alla tentazione, li apre e ne segue ciecamente le istruzioni finisce per farsi infettare lo smartphone e per farsi rubare il contenuto del proprio conto bancario.

Questa è la storia di quell’attacco informatico mondiale di oltre vent’anni fa e dei suoi paralleli con quello in corso attualmente. Gli anni passano, la tecnologia cambia, ma la leva più potente per scardinare le difese tecnologiche rimane sempre la stessa: la curiosità umana.

[SIGLA]

Torniamo a Manila e a quello studente d’informatica, Onel de Guzman. È squattrinato e le connessioni a Internet costano. Così ha un’idea: scrivere un worm, ossia un programma autoreplicante che rubi le password di accesso a Internet di altri utenti, così lui potrà collegarsi senza pagare.

Per creare questo worm, de Guzman sfrutta una delle scelte più fallimentari della storia dell’informatica: quella di nascondere automaticamente le cosiddette estensioni dei nomi dei file. Ogni file, infatti, ha un nome che è composto da una parte principale e da un’estensione: se scrivete un documento con Microsoft Word e lo chiamate Fattura, il suo nome completo sarà Fattura.docx. Docx è l’estensione. Il punto separa la parte principale del nome dalla sua estensione.

Questa estensione viene usata spesso dai dispositivi digitali per sapere come gestire un file: per esempio, se l’estensione è xls o xlsx, allora si tratta di un foglio di calcolo, che va aperto con Excel; se l’estensione è odt, è un documento di testo che va aperto con LibreOffice o OpenOffice; se l’estensione è mp3, è un brano musicale o un file audio, e così via.

Ma normalmente Windows nasconde le estensioni, appunto, e Onel lo sa bene. Così crea un worm che manda una mail che contiene un allegato il cui nome termina con .txt.vbs. In questo modo chi riceve l’allegato vede un file che ha apparentemente l’estensione txt, che identifica i file di testo normale, assolutamente innocui, ma in realtà il file è uno script, ossia un programma scritto in Visual Basic.

In altre parole, l’allegato sembra un documento perfettamente sicuro agli occhi della vittima, ma il computer della vittima lo interpreta come una serie di comandi da eseguire.

Non solo: Onel de Guzman approfitta anche di un altro errore monumentale presente in Microsoft Outlook a quell’epoca: Outlook esegue automaticamente gli script in Visual Basic che riceve in allegato se l’utente vi clicca sopra.

Queste due falle, concatenate, permettono a de Guzman di confezionare un attacco potentissimo: le vittime ricevono via mail quello che sembra essere un documento non pericoloso ma è in realtà un programma, lo aprono per sapere di cosa si tratta, e il loro computer esegue ciecamente quel programma. Il programma a quel punto si legge tutta la rubrica degli indirizzi di mail della vittima e la usa per mandare una copia di se stesso a tutti i contatti del malcapitato utente intanto che ruba le password di accesso a Internet.

L’effetto valanga che ne consegue è rafforzato dall’ingrediente finale scelto da Onel de Guzman: il nome dell’allegato l’oggetto della mail è I Love You, “ti amo” o “ti voglio bene” in inglese, scritto senza spazi.

Mettetevi nei panni delle vittime di questo attacco: ricevete una mail che vi invita a leggere una lettera d’amore. Questa lettera, oltretutto, proviene da qualcuno che conoscete. Riuscireste a resistere alla tentazione di aprirla?

Il risultato di questa tempesta perfetta di difetti informatici e di astuzia psicologica è un’ondata virale di messaggi che nel giro di poche ore intasa i computer di mezzo mondo, causando confusioni e congestioni a non finire, anche perché il virus informatico non si limita ad autoreplicarsi massicciamente, ma rinomina e cancella anche molti dei file presenti sui dischi rigidi delle vittime.

Vengono colpiti il settore finanziario di Hong Kong, il parlamento danese, quello britannico, la CIA, il Pentagono, la Ford e Microsoft stessa, paralizzate dall’enorme traffico di mail; lo stesso accade a quasi tutte le principali basi militari degli Stati Uniti. Le infezioni segnalate nel giro di dieci giorni sono oltre cinquanta milioni: circa il 10% del computer di tutto il mondo connessi a Internet. I danni e i costi di ripristino ammontano a decine di miliardi di dollari.

[CLIP: reporter di CTV che riferisce dei danni causati da Iloveyou (da 0:09 a 0:23)]

Eppure Onel de Guzman, con il suo worm Iloveyou, voleva soltanto procurarsi qualche password per connettersi a Internet senza pagare.

[CLIP: Suono di modem che si collega in dialup]

Quando si rende conto del disastro che ha involontariamente combinato, cerca di coprire le proprie tracce, ma è troppo tardi: nel giro di pochi giorni viene rintracciato dalle autorità.

Ma le leggi delle Filippine nel 2000 non includono i reati informatici e quindi de Guzman non è punibile, perché non ha commesso alcun reato.

Negli anni successivi il creatore accidentale di uno dei virus informatici più distruttivi della storia scomparirà dalla scena pubblica. A maggio del 2020 viene rintracciato da un giornalista, Geoff White, che scopre che Onel de Guzman lavora presso un negozietto di riparazione di telefonini a Manila. Ogni tanto qualcuno lo riconosce, ma lui mantiene un profilo basso ed evita ogni attenzione mediatica. Chissà se sa che nel 2002 i Pet Shop Boys hanno scritto una canzone, E-mail, che a giudicare dal testo, con quella richiesta di mandare una mail che dice "I love you", sembra proprio dedicata a lui.

---

Da quell’attacco informatico sferrato per povertà da uno studente oltre vent’anni fa sono cambiate molte cose. Le Filippine, come moltissimi altri stati, ora hanno leggi che puniscono severamente il furto di password e il danneggiamento dei sistemi informatici. Microsoft ha chiuso le falle tecniche che avevano permesso a Onel de Guzman e a molti altri suoi emuli di creare programmi ostili autoreplicanti.

Ma dopo molti anni senza ondate di virus informatici diffusi automaticamente via mail, in questi giorni è ricomparso un worm che usa esattamente le stesse tecniche sfruttate da Onel de Guzman e si sta diffondendo a moltissimi utenti di smartphone in un elevato numero di copie. Si chiama FluBot, e invece di usare la mail adopera gli SMS, ma a parte questo segue il medesimo copione.

La vittima di FluBot riceve un SMS il cui mittente è qualcuno che conosce e di cui quindi tende a fidarsi, proprio come capitava con Iloveyou. L’SMS contiene un invito a cliccare su un link per ascoltare un messaggio vocale, e siccome proviene da un suo contatto scatta la molla emotiva della curiosità, oggi come vent’anni fa. 

Credit: Le Temps.

Il messaggio vocale, però, in realtà non esiste e il link porta invece a un avviso che dice che per ascoltare il messaggio la vittima deve installare un’app apposita non ufficiale che non si trova nei normali archivi di app. Questa app è il virus vero e proprio.

Se la vittima abbocca all’esca emotiva e la installa, FluBot prende il controllo dello smartphone e si mette in attesa. Quando la vittima usa il telefonino per una transazione bancaria, FluBot se ne accorge, ruba il nome utente e la password e intercetta l’SMS che contiene la password aggiuntiva temporanea necessaria per validare la transazione. Fatto questo, ha tutto il necessario per prendere il controllo del conto corrente della vittima e consegnarne il contenuto ai criminali informatici che gestiscono il virus.

Già che c’è, FluBot usa la rubrica telefonica della vittima per trovare nuovi bersagli, esattamente come faceva Iloveyou, e questo gli consente di propagarsi in modo esplosivo.

Rimuovere FluBot dal telefonino, inoltre, non è facile: non basta togliere l’app ma è necessario un riavvio in Safe Mode, una procedura che è meglio affidare a mani esperte.

C’è anche un altro parallelo con quell’attacco di due decenni fa: FluBot può colpire soltanto se l’utente clicca sul link presente nel messaggio, proprio come avveniva con lloveyou. Senza questo primo gesto, l’attacco fallisce.

FluBot e Iloveyou sono accomunati anche da un’altra peculiarità: funzionano soltanto su alcuni tipi specifici di dispositivi molto diffusi. Iloveyou poteva agire soltanto sui popolarissimi sistemi Windows 95 che usavano Outlook; non aveva alcun effetto sui computer MacOS o Linux. Allo stesso modo, oggi FluBot colpisce soltanto gli smartphone, e specificamente gli smartphone Android; non ha effetto sui telefonini non smart e sugli iPhone.

L’attacco di FluBot, quindi, ha effetto soltanto se si verifica una catena ben precisa di errori dell’utente:

  1. la vittima si fida del messaggio di invito, pensando che provenga da un suo conoscente fidato;
  2. clicca sul link presente nel messaggio; 
  3. scarica e installa un’app non ufficiale senza chiedersi come mai non è presente negli App Store normali; 
  4. e usa uno smartphone Android senza proteggerlo con un antivirus aggiornato. 

Se manca uno solo di questi anelli della catena, l’attacco fallisce.

Oggi come allora, insomma, difendersi dagli attacchi informatici più diffusi è soprattutto questione di emozioni, di psicologia più che di tecnologia. E siccome la psicologia umana non cambia e non si aggiorna, certe trappole funzionano sempre e continueranno a funzionare.

La differenza è che adesso le trappole psicologiche vengono usate dal crimine organizzato, mentre vent’anni fa Onel de Guzman era semplicemente uno smanettone che voleva usare Internet a scrocco. E la sua esca psicologica era altrettanto semplice: il bisogno universale umano di sentirsi amati da qualcuno. 

---

Informazioni su FluBot e istruzioni per riconoscerlo e rimuoverlo

Guida dell’operatore telefonico svizzero Salt (in italiano).

Descrizione tecnica dettagliata di FluBot (Switch.ch, in inglese).

Articolo di Le Temps.ch (in francese).

Avvertenza del Centro Nazionale per la Cibersicurezza svizzero (in italiano, giugno 2021).

Fonti aggiuntive: CNN, Sophos, AP Archive, Graham Cluley.

2021/10/18

Avventurette in auto elettrica: Lugano-Mestre-Lugano (723 km, 9,70 €)

È un po’ che non racconto dei miei viaggi in auto elettrica, soprattutto perché c’è poco da raccontare: i viaggi sono diventati normali. Man mano che aumenta l’esperienza con l’auto elettrica diminuisce la necessità di pianificare. 

Sono appena tornato con la Dama del Maniero e un’amica da un viaggio privato a Mestre e Venezia. Stavolta l’unica pianificazione è consistita nel prenotare un albergo dotato di colonnina di ricarica; non abbiamo deciso in anticipo dove fermarci a caricare durante il viaggio e abbiamo lasciato che i tempi di sosta dipendessero dai tempi naturali delle pause pranzo.

Se vi interessa, su Fuori di Tesla News trovate i miei rapidi appunti di viaggio con tutti i dati su costi, consumi, tempi e velocità. Vi anticipo soltanto che a differenza di un certo programma televisivo non ci abbiamo messo 52 ore.

Se un senatore fa fake news: la foto falsa delle dimostrazioni a Trieste

Il 18 ottobre il senatore italiano Lucio Malan ha pubblicato su Twitter la foto qui accanto, che secondo lui mostrerebbe il porto italiano di Trieste durante una manifestazione contro il cosiddetto “green pass”. La stessa foto gira da alcuni giorni con la medesima descrizione.

Il tweet del senatore cita un tweet di Nick Griffin, ex membro del Parlamento Europeo ed ex presidente del partito di estrema destra britannico British National Party, che l’ha successivamente espulso. Griffin scrive che la foto rappresenta appunto il porto di Trieste e chiede retoricamente se si è contenti che i media mainstream “vi nascondano eventi del genere”.

La vicenda è particolarmente comica per me, perché la foto in realtà mostra una località svizzera, specificamente Zurigo, non Trieste, e la mostra durante un famosissimo raduno musicale, la Street Parade. L’immagine risale a prima della pandemia di Covid, specificamente al 2018, secondo l’indagine di Open e di AP.

In seguito alle segnalazioni, il senatore Malan ha cancellato il proprio tweet senza una parola di scuse o una rettifica. Il tweet di Malan è però salvato qui

Nick Griffin, invece, continua a pubblicare il proprio tweet, nonostante la marea di segnalazioni ironiche che ha ricevuto. Gli ho chiesto pubblicamente se intende rettificare; finora non ho ricevuto risposta. 

Il sito della Street Parade ospita la foto in questione, datata 2018.

Vicende come questa sono un buon promemoria di due princìpi antibufala fondamentali:

  • non ci si può fidare ciecamente di quello che scrive qualcuno, neppure quando si tratta di una persona in posizione autorevole come un senatore; essere senatori non rende infallibili.
  • le persone tendono a credere a quello che vorrebbero che fosse vero (le posizioni politiche di Malan sono anti-green pass) e quando vedono qualcosa che rinforza la loro visione del mondo riducono i controlli o non li fanno del tutto.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

2021/10/16

Ci vediamo online al CICAP Fest EDU, dal 25 al 31 ottobre?

Il CICAP sta organizzando il CICAP Fest EDU, una settimana di incontri gratuiti e aperti in streaming, dedicati a scuole e docenti, per promuovere la diffusione di una cultura critica, razionale e scientifica, da lunedì 25 a domenica 31 ottobre, con relatori come Daniela Ovadia, Luca Perri, Massimo Polidoro e tanti altri, compreso il sottoscritto.

Se volete saperne di più e/o partecipare oppure segnalare gli incontri in programma, date un’occhiata a www.cicapfest.it/edu e leggete questa introduzione.

Qui sotto trovate un video in cui Massimo Polidoro ed io chiacchieriamo del Cicap Fest EDU e dei contenuti dei miei due incontri, che si terranno su Zoom il 26/10 alle 11 (per gli studenti) e il 30/10 alle 14 (per i docenti).

2021/10/15

Podcast del Disinformatico RSI 2021/10/15: Uscire dai social senza perdite, sito Bittorrent ficcanaso, sondaggio sulle password, computer antibatterici


Il podcast del Disinformatico della Rete Tre della Radiotelevisione Svizzera ha un paio di novità: da oggi esce in leggero anticipo rispetto al passato, alle 9 del mattino del venerdì, e prossimamente (dal 5 novembre) sarà regolarmente in versione Story, ossia dedicata a un singolo argomento approfondito, come già fatto sperimentalmente quest’estate con ottimi risultati di ascolto. Se avete un argomento da proporre o una storia informatica che vorreste sentirmi raccontare, i commenti sono a vostra disposizione.

La puntata di oggi, condotta da me insieme ad Alessio Arigoni, copre i seguenti argomenti, con i link ai rispettivi articoli di approfondimento:

Il podcast di oggi, insieme a quelli delle puntate precedenti, è a vostra disposizione presso www.rsi.ch/ildisinformatico (link diretto) ed è ascoltabile anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto!

Il personal computer antibatterico?

In un mercato di computer superficialmente tutti uguali è difficile distinguersi, soprattutto agli occhi del consumatore medio. Acer ci prova con una trovata decisamente insolita: il PC antibatterico o antimicrobico.

L’annuncio del completamento di un’intera gamma di computer fissi, monitor laptop, tablet e ibridi laptop/tablet dotati di un trattamento antimicrobico a base di ioni d’argento è ovviamente molto accattivante in epoca di mascherine, gel disinfettante e pandemia, e Acer cita documentazioni e riferimenti ISO molto seri, ma The Register ha notato la precisazione in caratteri minuscoli in fondo alla pagina descrittiva della gamma antimicrobica Acer:

All antimicrobial solutions including Antimicrobial Corning® Gorilla® Glass and silver ion antimicrobial technology do not claim to protect users or provide any direct or implied health-benefit.

In altre parole, Acer stessa dice che le sue soluzioni antibatteriche “non affermano di proteggere gli utenti o di fornire alcun beneficio di salute diretto o implicito”.

Come sempre, insomma, bisogna leggere con attenzione le clausole scritte in piccolo. Anche perché in molti casi la tastiera è un ricettacolo di cose che richiedono ben più di qualche ione d’argento.

 

Sondaggio Bitdefender: un utente su due usa la stessa password ovunque

Bitdefender ha effettuato un sondaggio sulle pratiche di base di sicurezza informatica in 11 paesi, e i risultati sono piuttosto deludenti: c’è ancora tanta strada da fare. Per esempio, il 50% degli intervistati ha ammesso disinvoltamente di usare la stessa password per tutti gli account. Un altro 32% ha detto di usare solo poche password, che adopera più volte su vari account.

Il sondaggio (PDF scaricabile, in inglese; comunicato stampa riassuntivo in italiano) si basa su un campione di 10.124 intervistati in Australia, Stati Uniti, Regno Unito, Francia, Germania, Italia, Spagna, Paesi Bassi, Romania, Svezia e Danimarca, di età fra 18 e 65 anni.

Sempre a proposito di password, più di una persona su quattro usa password banali (tipo 1234) come PIN di blocco del cellulare, e più di una persona su dieci non usa nessun PIN. Gli uomini tendono a usare password semplici più delle donne (31% contro 23%). Poi chiediamoci come mai i furti di account sono così frequenti.

Per quanto riguarda gli antivirus, più di uno su tre (35%) non ne usa sul proprio smartphone e il 30% ritiene che i telefonini non ne abbiano bisogno. Eppure il 66% dice di aver avuto almeno una minaccia informatica su quello stesso cellulare negli ultimi 12 mesi.

Il sondaggio copre anche l’uso degli smartphone e degli altri dispositivi digitali connessi da parte dei bambini (36% è senza supervisione) e molti altri aspetti della vita digitale.

Nel comunicato stampa sono disponibili anche i dati riferiti all’Italia. Qualche esempio: le piattaforme maggiormente utilizzate sono WhatsApp e Facebook (nessuna sorpresa); fra i 18 e 24 anni spadroneggiano Instagram e TikTok, nella fascia 25-34 si usano maggiormente Instagram e Netflix, e dai 45 ai 65 anni prevalgono Gmail e Facebook. Gli smartphone più diffusi sono gli Android. Un quarto degli utenti non usa un antivirus sul proprio dispositivo mobile; un quinto abbondante (23%) usa una password semplice per gli account online mentre il 22% usa una password semplice o non ha affatto una password.

Il sito che sa che cosa hai scaricato

C’è un sito, I Know What You Download (letteralmente “so cosa scarichi”), che dice di essere in grado di rivelare che cosa è stato scaricato tramite Bittorrent da chi lo visita.

La cosa è piuttosto inquietante, ma i suoi risultati basati sugli indirizzi IP non vanno presi per oro colato: infatti se da un lato è vero che uno scaricamento fatto con il protocollo Bittorrent è facilmente monitorabile e quindi non va considerato privato, va ricordato che gli indirizzi IP vengono assegnati agli utenti quasi sempre in modo temporaneo, per cui l’indirizzo IP che avete adesso può essere stato assegnato a qualcun altro ieri e I Know What You Download vi potrebbe mostrare cosa ha scaricato quel qualcun altro anziché voi.

La schermata qui sopra, per esempio, è tratta da un mio computer e mi dice che io avrei scaricato The Matrix Reloaded e The Matrix Revolutions il 4 ottobre scorso. Decisamente non l’ho fatto, visto che uso rarissimamente il protocollo Torrent e quei due film li ho già.

Il sito offre un altro servizio interessante: la creazione di un link breve che permette di scoprire cosa ha scaricato qualcun altro (perlomeno secondo quanto risulta al sito). Per provarlo, scegliete un sito innocuo (un post sui social network, una pagina di Wikipedia) e immettete il suo link nella sezione apposita di I Know What You Download:otterrete in risposta un link breve da mandare all’utente che volete sorvegliare. Il link è del tipo https://ikwyd.com/r/4Do1.  

Quando l’utente-bersaglio cliccherà sul link che gli avete inviato, vedrà il sito innocuo che gli avete scelto, ma IKWYD saprà qual è il suo indirizzo IP ed elencherà a voi eventuali scaricamenti Torrent effettuati da quell’indirizzo IP. Anche qui i risultati vanno letti con un pizzico di cautela.

Come uscire dai social network e salvare i propri dati

Ultimo aggiornamento: 2021/10/18 17:30.

Si parla molto, ultimamente, di lasciare i social network: troppo ficcanaso e troppo tossici nel loro favorire l’odio, la lite e l’aggressività. Se per caso state meditando di chiudere un account social ma non volete perdere tutte le foto e i contatti che vi avete accumulato, Intego ha pubblicato un articolo molto dettagliato che spiega come fare per Facebook, Instagram, Twitter, YouTube, WhatsApp, TikTok e molti altri. Questa è una sua sintesi con i link essenziali.

Facebook. Si può disattivare temporaneamente l’account oppure eliminarlo definitivamente e si può scaricare una copia di tutti i propri dati. Per riattivare un account disattivato basta rientrare nell’account. Se si elimina un account, ci sono 30 giorni di tempo per ripristinarlo.

YouTube. YouTube fa parte di Google, per cui l’account YouTube è legato all’account Google. Per eliminare il proprio account YouTube occorre quindi eliminare il proprio account Google, ma attenzione, perché eliminare un account Google significa perdere anche Gmail, Google Drive e molti altri servizi. Però si può eliminare un canale YouTube lasciando intatto tutto il resto. Non c’è modo di fare una disattivazione temporanea; si può scaricare una copia dei propri dati andando a takeout.google.com.

WhatsApp. Si può eliminare l’account ma non è prevista la disattivazione temporanea. I dati possono essere scaricati tramite un backup.

Instagram. Qui è permessa la disattivazione temporanea e si può scaricare una copia dei propri dati prima di eliminare l’account (cosa che non si può fare nei menu dell’app). 

TikTok. La disattivazione temporanea non è prevista; si può eliminare l’account scegliendo la gestione account dal menu che compare cliccando sulle tre barrette orizzontali in alto a destra. Per scaricare i propri dati può essere necessario aspettare fino a 30 giorni.

SnapChat. Eliminare definitivamente un account SnapChat è facile; per disattivarlo temporaneamente (per 30 giorni) basta chiederne l’eliminazione e poi rientrare nell’account prima che siano trascorsi 30 giorni. Non sembra esserci un modo per scaricare i propri dati.

Twitter. Si può chiedere la disattivazione per un periodo di 30 giorni; se non si accede all’account per tutto questo periodo, l’account viene eliminato. Si può scaricare una copia dei propri dati.

LinkedIn. Scaricare una copia dei dati è semplice; disattivare temporaneamente non è previsto, ma si può eliminare il proprio account, con 14 giorni di tempo per eventuali ripensamenti. 

Tumblr. È possibile scaricare una copia dei propri dati seguendo queste istruzioni; l’eliminazione di un account è spiegata qui ed è definitiva (nessun periodo di ripensamento) ed eseguibile solo tramite browser (non dall’app).

2021/10/13

Ci vediamo stasera a Locarno per parlare di home working e sicurezza informatica?

Ultimo aggiornamento: 2021/10/13 14:25.

Oggi alle 18.45 a Locarno sarò relatore a un incontro divulgativo dedicato alla sicurezza informatica per le piccole e medie imprese e i professionisti, con un taglio specifico per i cambiamenti prodotti dal lavoro a distanza in tempi di pandemia.

L’appuntamento, presso la Corte della Sopracenerina, è aperto al pubblico, che dovrà presentare un certificato Covid (il cosiddetto green pass).

Che io sappia, non è prevista la possibilità di uno streaming o di una registrazione diffusa in differita.

Le prenotazioni sono già chiuse, ma se siete da quelle parti appena prima dell’orario di inizio o dopo il termine (20.15), possiamo salutarci fuori!

Farò un volo in mongolfiera: che esperimenti posso fare?

Come avrete intuito dal mio silenzio, il mio tentativo di aggiudicarmi un volo intorno alla Luna è terminato dopo aver passato la prima selezione ma non le successive (i selezionati, che io sappia, non sono ancora stati annunciati). 

In compenso mi accingo a una forma di volo suborbitale che non ho mai avuto il piacere di assaporare: un’ascensione in mongolfiera, che dovrebbe svolgersi (meteo permettendo) il 13 novembre prossimo.

Il volo è un regalo della Dama del Maniero insieme ad amici, familiari e parenti, per il mio compleanno. Durerà un’ora e mezza, superando la frontiera fra l’Italia e la Svizzera, e avrò occasione di partecipare alle operazioni di gonfiaggio pre-volo e piegatura post-volo. Non so quale quota raggiungeremo.

Ho intenzione di godermi appieno la vista e il silenzio di questo mezzo di trasporto così antico e magico, ma se vi viene in mente qualche esperimento semplice che posso fare durante l’escursione, segnalatemelo nei commenti! Per ora mi sono venuti in mente questi, che sto integrando con i vostri suggerimenti:

  • Geolocalizzazione in tempo reale tramite Glympse o simili (a proposito, conoscete qualche app che salva le localizzazioni anche in altitudine, in 3D?)
  • Lancio di aeroplanino di carta o coriandoli (se permesso)
  • Foto del Maniero Digitale e di altri luoghi interessanti
  • Foto stereoscopiche a base molto larga
  • Suono: verificare l’assenza di echi e i rumori che provengono dalle attività umane
  • Qualcosa con segnali radio o cellulari? Fino a che quota "prende" il telefonino?
  • Qualche esperimento di fisiologia, visto il cambio di quota abbastanza repentino e significativo? 
  • Variazione di pressione documentata tramite un palloncino inizialmente semisgonfio
  • Rilevamento della qualità dell’aria

Tenete presente che sono esclusi droni e dispositivi pesanti, ingombranti o che richiedano gestione continua. Avrò con me una GoPro e forse un piccolo selfie-stick e posso coordinarmi con qualcuno a terra.

2021/10/12

Il Capitano Kirk (William Shatner) va nello spazio. Stavolta per davvero

Ultimo aggiornamento: 2021/10/14 8:20. L’articolo è stato ampiamente riscritto dopo la conclusione del volo.

L’attore William Shatner, noto ai Trekker come il Capitano Kirk di Star Trek e a molti altri fan come T.J. Hooker dell’omonimo telefilm e come Danny Crane di Boston Legal, ha effettuato un volo spaziale suborbitale a bordo di un razzo New Shepard di Blue Origin il 13 ottobre, diventando la persona più anziana ad andare nello spazio: ha novant’anni (è nato il 22 marzo 1931), ma decisamente non li dimostra.

 

L’equipaggio di questo volo. Da sinistra: Chris Boshuizen (ex ingegnere NASA e cofondatore di Planet Labs), William Shatner, Audrey Powers (vicepresidente delle operazioni di missione e di volo di Blue Origin, che viaggia come rappresentante dell’azienda) e Glen de Vries (vicepresidente della sezione Life Sciences & Healthcare della Dassault Systèmes e cofondatore di Medidata).

Per l’occasione Shatner ha registrato questo bel video:

È stato un volo piuttosto breve, una decina di minuti in tutto: la capsula RSS First Step è salita fino a 341.859 piedi (104,19 km), raggiungendo quindi lo spazio perché ha superato la linea di Karman che definisce arbitrariamente il confine fra atmosfera terrestre e spazio, ma è ridiscesa subito dopo, perché non ha la velocità orizzontale (28.000 km/h) necessaria per entrare in orbita. Questa traiettoria offre comunque qualche minuto di assenza di peso.

La diretta streaming è stata disponibile su Blueorigin.com ed è embeddata qui sotto:

Chicca: formalmente Shatner non è il primo attore di Star Trek ad andare nello spazio, perché altre persone che hanno recitato nella saga ci sono già andate. Mi vengono in mente almeno tre nomi: Mae Jemison, Terry Virts e Michael Fincke. Sono infatti astronauti che hanno fatto piccole parti da attore in varie puntate della saga. Per cui Shatner è il primo attore di Star Trek che diventa astronauta, mentre gli altri sono astronauti che poi sono diventati attori di Star Trek.

Altra chicca: Shatner non ha pagato per questo volo, che gli è stato offerto da Blue Origin. Lo stesso vale per Audrey Powers. Solo Boshuizen e de Vries sono clienti paganti a tutti gli effetti.

---

Questi sono i momenti salienti del video qui sopra:

1h31m Salita lungo la scala fino alla capsula

1h36m Entrata nella capsula

2h23m Decollo

2h26m Separazione della capsula dal vettore

2h30m Atterraggio del vettore

2h31m Apertura dei paracadute della capsula

2h33m Atterraggio della capsula

2h43m30s Apertura del portello (eseguita da Jeff Bezos) e uscita degli astronauti, con commenti profondamente commossi di Shatner.

2h55m Bezos consegna la spilla da astronauta all’equipaggio.

È stata pubblicata una breve ripresa delle reazioni a bordo durante il periodo di assenza di peso. Notate lo sbigottimento totale di Shatner, rapito dalla bellezza di quello che sta vedendo:

Su YouTube ce n’è una versione più nitida:

Blue Origin ha pubblicato anche un’altra versione nella quale l’audio delle parole di Shatner e la sua commozione sono più chiare:

Come al solito, i giornali italiani si dimostrano ancora una volta incapaci di capire la differenza enorme fra volo suborbitale e volo orbitale, disinformando i propri lettori. Stavolta è il turno di Repubblica, che titola “Dalla fiction alla realtà Bezos manda in orbita l’anziano capitano Kirk”.

Fonti aggiuntive: Blue Origin, Blue Origin. Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.