ALLERTA SPOILER: Questo è il testo di accompagnamento al podcast Il Disinformatico della Radiotelevisione Svizzera che uscirà questo venerdì presso www.rsi.ch/ildisinformatico.
Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, Google Podcasts, Spotify e feed RSS.
---
Le proposte dell’algoritmo di Youtube alla ricerca “flipper zero italiano".
[CLIP: Voci di YouTuber italiani (uno, due, tre) che parlano del Flipper Zero]
Se sfogliate YouTube noterete che moltissimi video parlano di questo strano oggetto tascabile chiamato Flipper Zero e lo presentano come uno strumento in grado di “hackerare tutto”, dalle auto ai semafori ai cancelli elettrici. Pochi giorni fa il governo canadese ha deciso di vietarne l’importazione, la vendita e l’uso per combattere “la piaga dei furti di auto”.
Beh, ho qui uno di questi Flipper Zero, l’ho provato e non è in alcun modo uno strumento per rubare auto. Di certo non manipola i semafori, e anche la sua capacità di scoprire password di Wi-Fi e aprire casseforti e porte di alberghi è stata raccontata in modo... decisamente fantasioso. La realtà è molto diversa e meno sensazionale. Ma allora perché non è più in vendita in molti negozi online e il governo canadese lo vuole bandire?
Questa è la storia del Flipper Zero, ma più in generale è la storia del conflitto fra chi difende il diritto di esplorare apertamente i limiti della tecnologia per diffondere cultura e conoscenza, migliorare la sicurezza e smascherare i venditori di soluzioni insicure, e chi vuole vietare tutto perché ha paura di ogni oggetto tecnologico.
Benvenuti alla puntata del 16 febbraio 2024 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.
[SIGLA di apertura]
Vado spesso nelle scuole a fare lezioni di sicurezza e privacy informatica, e in ogni classe c’è sempre qualche studente o studentessa che durante la lezione nota e osserva con particolare interesse e fascino il telecomando che tengo in mano e che uso per gestire la mia presentazione, e lo indica emozionato ai propri compagni.
Fascino, interesse e emozione non sono parole che normalmente si associano a un telecomando per computer, ma questo non è un telecomando qualsiasi: è un Flipper Zero, un piccolo dispositivo elettronico multifunzione tascabile che, perlomeno secondo quello che raccontano molti YouTuber, sarebbe una sorta di vietatissimo grimaldello universale in grado di “hackerare” praticamente qualunque cosa.
Vorrei subito rassicurare i genitori e i docenti che seguono questo podcast: non vi preoccupate, non uso il mio Flipper Zero per violare i telefonini dei vostri figli o studenti o per rubare la password del Wi-Fi. A scuola lo uso semplicemente come telecomando per il mio computer, perché nonostante sia un prodotto amatoriale è molto più stabile e affidabile dei normali telecomandi commerciali e perché so che catturerà l’attenzione, e quell’attenzione mi permetterà di comunicare meglio i concetti di sicurezza e privacy digitale che sono chiamato a insegnare.
Flipper Zero è molto di più di un telecomando: è in grado di leggere, duplicare e emulare i dispositivi RFID e NFC incorporati in molti oggetti elettronici, dalle carte di credito alle tessere delle camere d’albergo, è capace di leggere i microchip di identificazione degli animali e di ricevere e registrare segnali radio, e può duplicare anche molte chiavi elettroniche usate per aprire porte o gestire accessi. Ha un ricevitore e un emettitore a infrarossi che gli permette di fare da telecomando universale e un ricetrasmettitore Bluetooth per collegarsi senza fili ad altri dispositivi. Inoltre è espandibile grazie a schede elettroniche esterne.
In altre parole, è una specie di coltellino svizzero per informatici, inventato da Alex Kulagin e Pavel Zhovner nel 2019, finanziato tramite una campagna su Kickstarter e basato su software aperto, ossia open source, pubblicando anche i suoi schemi elettronici per massima trasparenza. Con tutti i suoi sensori, ricevitori e trasmettitori programmabili e la possibilità di collegare schede elettroniche esterne, è un gioiello di versatilità per chiunque sia interessato a studiare il funzionamento dei dispositivi informatici e le loro comunicazioni senza fili.
Non è un oggetto a buon mercato, visto che oggi costa intorno ai 160 franchi, e soprattutto non è facile da trovare, anche perché molti grandi negozi online si rifiutano di tenerlo in catalogo. Ad aprile 2023 Amazon ha vietato le vendite di Flipper Zero perché secondo l’azienda si tratterebbe di un dispositivo in grado di clonare carte di credito e altre tessere. L’anno scorso in Brasile le spedizioni di Flipper Zero sono state bloccate e sequestrate dall’agenzia nazionale per le telecomunicazioni, e ora in Canada le autorità vogliono bandire questo dispositivo perché verrebbe “usato per commettere reati”.
La versione francese del post su Twitter/X del governo canadese che parla del divieto riguardante i Flipper Zero.
In Svizzera non sembrano esserci problemi o restrizioni, almeno per ora, visto che ho acquistato il mio esemplare tramite importazione standard.
Questo oggetto, insomma, viene considerato pericoloso da alcune autorità e molti YouTuber mostrano come usarlo per aprire porte e addirittura comandare semafori. Ma dal punto di vista tecnico tutta questa fama è in realtà una bufala.
Le prodezze che vengono mostrate da tanti video su YouTube sono in realtà frutto di montaggi o messinscene: Flipper Zero è stato progettato appositamente in modo da non poter fare cose particolarmente pericolose. Per esempio, non è fisicamente in grado di leggere i dati crittografici delle carte di credito e quindi non può clonarle: può solo acquisirne per contatto il numero e la data di scadenza, cosa che può fare qualunque persona semplicemente guardando una carta di credito o appoggiandola contro molti smartphone recenti. Lo stesso vale per i biglietti dei mezzi di trasporto: può copiarli, ma non può generarli.
Flipper Zero non è in grado di comandare i semafori e la sua sezione a infrarossi è semplicemente un telecomando universale per televisori e altri apparecchi, come quelli acquistabili in qualunque negozio di elettronica. Questo vuol dire che questo dispositivo tascabile può effettivamente accendere e spegnere televisori, condizionatori, videoproiettori e altri dispositivi elettronici e può cambiarne il canale o regolarne il volume, per esempio, ma queste non sono certo dimostrazioni di chissà quale potere informatico: sono cose che appunto chiunque può fare con un normale telecomando universale, che nessuno considera pericoloso.
Le cose cambiano per la sua parte radio: questo dispositivo è in effetti in grado di registrare i segnali degli apricancelli standard e ripeterli, e questo significa che in teoria potrebbe essere usato per aprire un cancello senza autorizzazione. Ma in pratica, oltre a tutti i problemi di legalità di un atto del genere, usare un Flipper Zero in questo modo richiederebbe l'accesso a uno dei telecomandi originali oppure una lunga sessione di tentativi alla cieca fino a trovare il codice dello specifico apricancello. Inoltre il suo asserito potere di trovare le password dei Wi-Fi funziona soltanto se la password è una parola del dizionario, e se un malintenzionato ha queste mire può semplicemente usare un normale personal computer sul quale ha installato Wireshark o altri programmi analoghi. In altre parole, non ne vale la pena.
Probabilmente la cosa peggiore che un Flipper Zero può realmente fare è paralizzare gli iPhone tramite un sovraccarico (o denial of service) del segnale Bluetooth, ma solo nel caso degli iPhone che non sono stati aggiornati dai loro proprietari, visto che Apple ha rilasciato un aggiornamento correttivo a dicembre 2023.
Anche la sua capacità di consentire i furti d’auto, come affermato dalle autorità canadesi, è in realtà stata gonfiata dalle spettacolarizzazioni pubblicate dai TikToker e dagli YouTuber per ottenere più ascolti. È vero che un Flipper Zero può essere usato per memorizzare il segnale inviato dal telecomando della chiave all’auto e quindi aprirne le portiere, ma questo segnale cambia ogni volta, secondo il principio dei cosiddetti rolling code. Di conseguenza, bisognerebbe procurarsi la chiave originale dell’auto, azionarne il telecomando mentre la chiave è fuori dalla portata radio dell’auto, registrare il segnale e il relativo codice usa e getta con il Flipper Zero e poi usare questo dispositivo per trasmettere all’auto il segnale registrato, e comunque non sarebbe possibile avviare l’automobile.
Divertente e educativa, come dimostrazione, ma assolutamente inutile come strumento per i ladri professionisti di auto, che infatti non usano affatto apparecchi limitati come questo ma sfruttano dei ben più sofisticati ripetitori radio: uno viene messo all’esterno della casa della vittima, ad alcuni metri da dove si trovano presumibilmente le chiavi, ossia solitamente nell’ingresso, vicino alla porta di casa; l’altro ripetitore radio viene appoggiato all’auto, facendo quindi credere al veicolo che la chiave sia vicina e quindi debbano aprirsi le portiere, come ho raccontato già sette anni fa in una puntata di questo podcast [e in versione aggiornata anche nel 2022 qui]. Se volete ridurre il rischio di questo tipo di furto, non lasciate le chiavi dell’auto nelle vicinanze della porta di casa.
L’accanimento canadese contro il Flipper Zero, insomma, è tecnicamente infondato, frutto della poca conoscenza dell’argomento da parte dei governanti e delle esagerazioni fatte da chi pubblica video sensazionali per fare soldi: questo dispositivo è troppo limitato per fare danni reali. Ma allora, se è troppo limitato, a cosa serve esattamente?
Il Flipper Zero è nato con lo scopo specifico di dare agli hobbisti e agli appassionati uno strumento semplice e ragionevolmente economico per studiare il modo in cui funzionano i sistemi di trasmissione di dati, sempre più presenti nelle nostre vite, dagli RFID agli NFC al Bluetooth al Wi-Fi, e per capire se i prodotti che acquistiamo sono realmente sicuri e ben progettati.
Se una tessera elettronica o una chiave di un’auto o una serratura elettronica sono attaccabili con un dispositivo di base come un Flipper Zero, il problema non è il Flipper Zero: è il fabbricante della tessera, auto o serratura, che sta usando tecnologie obsolete e insicure, vecchie di venti e più anni nel caso delle auto, e continua a farlo perché nessuno ha modo di accorgersene.
Smascherare questo approccio incosciente alla sicurezza è un gesto socialmente utile, e impedire agli appassionati e agli studenti di imparare la vera sicurezza rendendo difficile l’accesso a dispositivi come Flipper Zero non fa altro che frenare i ricercatori di sicurezza informatica e le persone ben intenzionate che vorrebbero diventare ricercatori di sicurezza, mentre i malviventi continuano ad agire indisturbati usando tutt’altre apparecchiature.
Siamo insomma ancora una volta di fronte a un caso di quello che gli esperti chiamano security theater o “teatrino della sicurezza”: un problema preoccupa l’opinione pubblica, che quindi chiede che la politica faccia qualcosa, e la politica risponde facendo qualcosa, preferibilmente qualcosa di costoso e vistoso, che in realtà non risolve affatto il problema ma dà l’impressione che qualcosa sia stato fatto. Tutti sono soddisfatti, ma il problema rimane.
Se state pensando che questo modo di fare non si applica solo all’informatica, avete perfettamente ragione. Il termine security theater fu infatti coniato dall’esperto di sicurezza Bruce Schneier nel 2003, per il suo libro Beyond Fear, non per questioni informatiche, ma per descrivere alcune misure di sicurezza aeroportuale introdotte dopo gli attentati dell’11 settembre 2001. Ma questa è decisamente un’altra storia.