Passa ai contenuti principali

Shadowplay. Un racconto di Giovanni Bigazzi


«Si potrebbe alzare un po’ l’aria condizionata? Qui si muore di caldo».
chiese la ragazza alzando gli occhi verso il soffitto per osservare il lento movimento delle pale del ventilatore. Davanti a lei, dall’altro lato della scrivania posta in una saletta nel seminterrato del grigio blocco della sezione IV, l’ispettore stava sfogliando il suo fascicolo fumando un sigaro. Ogni boccata rendeva l’aria del piccolo ambiente meno respirabile.

«Cortesemente, guarda in basso e tieni le mani sotto le cosce. Ne avremo ancora per molto, parlami della tua famiglia, dove abitavate?» chiese l’ispettore.
«Non capisco il senso di tutte queste domande, le inventa lei oppure gliele scrivono? Che c’entra adesso la mia famiglia?»
«Tranquilla, sono solo domande e in risposta al tuo quesito, c’è chi le scrive per me, ma ho un ampio margine di manovra. Va bene, se non mi vuoi parlare della tua famiglia, allora parlami di Shadowplay».
«Adesso ho sete e quel sigaro mi sta facendo venire il voltastomaco».
«Va bene, ti vado a prendere un bicchiere d’acqua o preferisci un succo di frutta?»
«L’acqua va bene, grazie».
«Torno subito, tu non fare scherzi».
«E dove vuole che vada?»

Poco dopo, lui tornò nella sala interrogatori numero 76 con un bicchiere di carta colmo d’acqua che la ragazza bevve tutto d’un sorso.

«Allora, dove eravamo rimasti? Dal tuo fascicolo vedo che all’inizio eravate soltanto uno dei tanti gruppi di attivisti per la privacy e i diritti digitali che combatteva contro quello che voi chiamate il capitalismo della sorveglianza e in particolare contro l’uso pervasivo dei sistemi di videosorveglianza nei centri urbani. Quindi avete cominciato con flash mob, nei quali indossavate magliette con impresso un QR code a simboleggiare la perdita dell’anonimato in una società caratterizzata da un controllo sempre più pervasivo. Dopo siete passati all’organizzazione di workshop e camminate negli spazi pubblici allo scopo di mettere alla prova i sistemi di riconoscimento facciale, improvvisando sistemi di camuffamento fai da te attraverso speciali make-up asimmetrici e geometrici in modo da rompere la simmetria del volto, sciarpe di un particolare tessuto anti-IA e perfino occhiali ad infrarossi in grado di accecare le telecamere. Ecco: qui c’è un tuo primo piano, la tua faccia sembra un quadro di Picasso» disse lui porgendo la fotografia alla ragazza.

La ragazza allungò la testa verso il centro della scrivania per esaminare la foto senza dire nulla.
«Poi è arrivata la svolta. Siete passati ad attività più radicali attraverso l’hackeraggio dei sistemi di videosorveglianza, prima piccoli test, poi il grande attacco del mese scorso nel quale avete messo fuori uso tutte le telecamere del centro della città. In parte sappiamo cosa avete fatto attraverso le nostre analisi forensi sull’incidente informatico ma tu adesso spiegami come lo avete fatto, nei log di sistema non era presente alcun accesso anomalo».

La ragazza girò la testa verso il muro, mordendosi il labbro.
«Guarda che ti conviene collaborare, sappiamo di tuo fratello … non vorrai mica che andiamo a prendere pure lui?»
«Mio fratello non c’entra niente con questa storia, lasciatelo fuori per favore!» 
sbottò lei, con gli occhi all’improvviso gonfi di lacrime.

«Ok, ok, tranquilla, come vuoi, ma adesso tu comincia a parlare, che non ho voglia di restare qui tutto il giorno, che stasera c’è la partita di coppa in tv».
«Che vuole che le dica?» disse sbuffando la ragazza «Shadowplay è solo ciò che resta al mattino dopo un brutto sogno, una zona d’ombra della realtà sempre in bilico tra l’essere e il non essere. Shadowplay è il lato oscuro della luna».
«Adesso non ti mettere a fare filosofia, vai avanti…»
«Orazio, ci sono più cose in cielo e in terra che nella tua filosofia».
«Sai, sto cominciando a perdere la pazienza con le tue sciocchezze!» urlò lui battendo un pugno secco sulla scrivania facendo sobbalzare la ragazza sulla sedia, come se si fosse svegliata all’improvviso da uno stato di trance.

Ogni persona ha un suo punto di rottura e, dopo tutte quelle ore di interrogatorio, la ragazza sfinita cominciò a parlare.
«Ecco, siamo riusciti ad ottenere la chiave privata di firma di un distributore, di quelle che i produttori degli apparati utilizzano per proteggere il firmware da aggiornamenti illeciti. Con quella chiave abbiamo droppato nel sistema di gestione delle telecamere un payload dormiente programmato per fare alla stessa ora l’aggiornamento del firmware contenente il nostro malware su centinaia di telecamere, semplice e pulito, nessun accesso dall’esterno, solo ombre cinesi proiettate su una parete».
«Quindi il trojan ha attivato l’attacco DDoS interno spegnendo il flusso streaming su tutte le telecamere».
«Esatto, in pratica i tecnici si sono accorti solo che i flussi streaming, pur essendo ancora attivi, non trasmettevano più nulla. Proprio come se qualcuno avesse premuto stop da remoto. Inoltre, questa tipologia di attacco è persistente rispetto ad un normale attacco DDoS dall’esterno, che crea soltanto un’interruzione passeggera del servizio, il nostro attacco è stato molto più letale, le telecamere restano fuori uso finché qualcuno non va a fare un ripristino manuale su ogni apparato, ma serve tanto tempo».
«Come siete entrati in possesso della chiave privata?»
«Hackerare i sistemi è una roba da dilettanti, i veri professionisti hackerano le persone».

«Quindi, l’avete rubata a qualcuno?»
«Più o meno. Abbiamo cominciato a pedinare un programmatore che lavora presso un distributore che si occupa della customizzazione del firmware della telecamera per brandizzarlo. In pratica il distributore acquista le telecamere già progettate e fabbricate dal produttore, di solito un’azienda in Cina, per poi andare a commercializzarle in Europa con il proprio marchio, adattandole al proprio mercato di riferimento, così deve modificare il firmware anche solo per aggiungere il proprio logo alla schermata. Per fare questa operazione ha bisogno della chiave privata».
«Ma così la sicurezza del firmware resta quella del produttore originale».
«Esatto! I distributori fanno soltanto un’opera di maquillage, la sicurezza può presentare delle criticità, vulnerabilità che sono comuni a brand diversi ma in realtà identici nella sostanza».
«C’è una cosa però che non capisco. Come mai dobbiamo andare proprio in Asia ad acquistare questi prodotti?»
«Riduzione dei costi di produzione e sviluppo di nuovi prodotti in un mercato in forte espansione, ma spesso mi chiedo se con la globalizzazione le sapremmo ancora fabbricare».
«Quindi avete cominciato a seguire questo tizio…»
«Sì, ci siamo assegnati dei turni, e così abbiamo ottenuto una serie di informazioni che ci hanno permesso di creare un’esca perfetta, una mail di phishing confezionata così bene che, quando è arrivata sul suo smartphone, al tizio non è venuto il minimo sospetto e ha cliccato subito sul link malevolo, da lì siamo potuti accedere al repository riservato della sua azienda e trovare la chiave privata per fare l’aggiornamento del firmware, oltre a tutta una serie di altre cosette, tipo audit di verifica sulle vulnerabilità dei software in dotazione alle telecamere».
«Come mai è stato così sprovveduto?»
«Era un abitudinario, andava sempre allo stesso bar dove spesso si intratteneva a chiacchierare con la barista, una bella ragazza. Si vedeva che gli piaceva. Così abbiamo creato un falso profilo social della barista e da lì gli abbiamo mandato un meme allusivo che stimolasse il suo ego di conquistatore».
«Phishing sentimentale, alcune persone sono così prevedibili».
«Beh, ognuno ha il suo punto debole: per un uomo sulla cinquantina, l’interesse di una giovane ragazza era un buon mezzo per hackerare il suo firewall mentale, forse per qualcun altro sarebbe bastato un meme di un gattino che fa le fusa. In realtà il vero problema di sicurezza non sono i malware ma la mancanza di spirito critico delle persone».

«Ho capito. Ma dimmi perché sabotate i sistemi di videosorveglianza? Non pensate che siano utili per la prevenzione dei reati e per le indagini?»
«No, i sistemi di videosorveglianza ingenerano nei cittadini soltanto un falso senso di sicurezza, Londra è la città più videosorvegliata del mondo, non direi che è la più sicura. Gli scopi sono altri: viviamo in un’epoca di incertezza e il sistema ha la necessità di controllare i cittadini, la sicurezza è un pretesto, non siamo mica in Cina che queste cose le fanno alla luce del sole, siamo pur sempre, almeno formalmente, una democrazia e dobbiamo fare le cose a modino».
«Ma in realtà sono proprio i cittadini stessi che chiedono ai loro amministratori di installare sistemi di videosorveglianza, ormai non c’è programma elettorale che non contenga al suo interno un progetto di videosorveglianza pubblica».
«È vero, è l’effetto gregge della teoria del controllo delle masse: le persone tendono a seguire ciò che fa la maggioranza, il consenso sociale è uno dei princìpi della scienza della persuasione. Si tratta di un metodo ormai collaudato con pandemie e guerre. Prima si crea un’emergenza, come ad esempio quella dell’immigrazione che antropologicamente crea nei cittadini un senso di insicurezza. Poi si propone una soluzione che in realtà era il vero scopo perseguito: la sorveglianza di massa per controllare le persone in modo da mantenere lo status quo. Soltanto un bisogno indotto, uno dei tanti».
«Va bene, direi che per oggi abbiamo finito, proseguiremo l’interrogatorio domani» disse l’ispettore fissando il tatuaggio in stile minimalista della scritta “sudo rm -rf /” posto sul petto della ragazza, proprio sopra il seno sinistro.
 «Che cosa significa la scritta che hai tatuata?»
«Roba da nerd. È il comando che effettua il reset completo di un sistema basato su Linux, cancellando ricorsivamente tutti i file senza eccezioni, è il comando più distruttivo che si possa dare ad un sistema informatico».

«Venite a prendere la detenuta nella sala interrogatori 76». 
disse lui in tono formale premendo il pulsante dell’interfono sulla scrivania. Poco dopo, un sottoposto entrò nella stanza per prelevare la ragazza, quando furono usciti, l’ispettore si alzò e smontò il sedile della sedia sulla quale stava la ragazza, ne tolse il rivestimento di tessuto, lo piegò accuratamente in quattro parti e lo inserì in un contenitore di vetro sul quale appose un’etichetta adesiva con impresso un codice alfanumerico. 

«Questo servirà per far riconoscere il tuo odore ai cani, così quando proverai a scappare ti beccheremo di nuovo».

© Giovanni Bigazzi, 2025. Alcuni diritti riservati.
Questo contenuto è pubblicato con licenza Creative Commons BY-NC-ND 4.0.
È consentita la condivisione con attribuzione, ma non l’uso commerciale o la modifica.

#gentesicura è una raccolta di racconti brevi che affrontano le tematiche dei diritti digitali e della sorveglianza di massa. I racconti saranno pubblicati periodicamente sul mio blog, i titoli sono ispirati ad alcuni dei brani più famosi e iconici dei Joy Division.
Etichette:

Commenti

Posta un commento

Post popolari in questo blog

CISO e DPO: interazione e compatibilità tra due figure strategiche nella difesa dei dati

Col recepimento della NIS2 in attuazione della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di sicurezza informatica nell'Unione, sentiremo sempre più spesso parlare della figura professionale del CISO che è l'acronimo inglese di Chief Information Security Officer. In questo articolo esaminiamo il rapporto tra questa figura attinente alla sicurezza informatica e quella del Responsabile della protezione dei dati RPD conosciuto anche con l'acronimo di DPO (Data Protection Officer) come disciplinato dal Regolamento europeo sulla protezione dei dati personali (UE) 2016/679. Diciamo subito che entrambe sono figure che operano nell'ambito della sicurezza dei dati, con ruoli distinti ma complementari. Ecco una panoramica di ciascun ruolo e delle loro possibili interazioni. Ruolo del CISO: Il CISO è responsabile della sicurezza delle informazioni e dei sistemi aziendali. Si occupa della gestione dei rischi legati alla sicurezza informatica, della...
Posta un commento
Continua a leggere »

La natura del dato genetico, cosa sappiamo del data breach di 23andMe

Ormai non passa giorno che non si abbia notizia dalla stampa di settore e perfino dalle cronache cittadine di nuovi data breach, notizia recente quella della vendita nel dark web di dati di un noto istituto di analisi fiorentino e fa certo scalpore che in queste violazioni siano coinvolte organizzazioni anche ben strutturate, ma certo il data breach di 23andMe , azienda leader del settore dei test genetici fai da te, lascia davvero stupefatti soprattutto per la facilità con la quale è stato perpetrato: l'attaccante non ha dovuto scrivere neanche una riga di codice! Cosa sappiamo? In una recente comunicazione agli iscritti è l'azienda stessa a fare luce sui fatti e a dare le prime indicazioni agli utenti, leggiamo insieme la traduzione in italiano del comunicato di 23andMe: Di recente abbiamo appreso che alcune informazioni del profilo, che un cliente crea e sceglie di condividere con i propri parenti genetici nella funzione DNA Relatives, sono state accessibili da singoli acco...
Posta un commento
Continua a leggere »

Chiamate vocali a prova di intercettazione con Signal

Di tanto in tanto mi capita di scorrere la lista di coloro tra  miei contatti che sono iscritti a Signal, l'applicazione voip gratuita e open source basata sulla crittografia end-to-end lanciata nel 2014 dall'organizzazione no profit Open Whisper Systems, e mi dolgo davvero di quanto pochi essi siano soprattutto se paragonati con quelli iscritti alla più popolare app di messagistica di Meta, ovvero la maggior parte di loro. Anarchico, hacker, crittografo, maestro d'ascia, skipper, Moxie Marlinspike, il fondatore del servizio Signal, è convinto che il progresso tecnologico debba andare di pari passo con la sicurezza degli utenti. Così intorno alla sua "creatura" è nata una community di persone che mettono la privacy al primo posto. Tra questi anche Edward Snowden il whistleblower ex consulente dell'NSA, l'agenzia per la sicurezza nazionale degli Stati Uniti, che nella primavera del 2013 divulgò una serie di informazioni classificate sui piani di sorveglian...
Posta un commento
Continua a leggere »