Cercherò di riassumere il più possibile ciò che mi è capitato, ma sarà inevitabilmente un wall of text. Cercherò di mettere un tl:dr alla fine.
E' una storia al limite del surreale, me ne rendo conto, ma è ciò che mi è successo in questo mese. Ho bisogno dei vostri consigli perché la situazione è veramente grave.
Premessa: mi divido tra il programmatore plc cnc ed il giocatore di poker online (dove muovo/muovevo anche ingenti cifre), ma sono assolutamente ignorante per tutto ciò che non è strettamente il mio campo "pratico", ivi compresa la sicurezza informatica. Uso il computer fin da quando ero un ragazzino, ma un uso che puo' essere quello della persona media. Medesima storia per mio padre, con il quale abito, anche lui programmatore plc cnc. Per farvi capire quanto poco ci capissimo e quanto ignorassimo anche le più basilari norme di sicurezza : fino ad un paio di mesi fa usavamo tranquillamente i nostri computer, attaccati alla rete, sempre in interfaccia da amministratore.
Vengo alla storia: esattamente un mese fa, il mio portatilino "domestico", che usavo semplicemente per navigare nel web/mail da svaccato/in cucina, non carica più windows, o meglio lo carica ma taskbar e cartelle rimangono "freezate".
Spoiler
Ora: col senno di poi, posso dire con certezza che dava molti sintomi di controllo remoto fin da circa inizio 2015, per quel che mi ricordi: mouse che si muoveva leggermente da solo (raramente), alcune volte l'ho trovato acceso dopo averlo lasciato in ibernazione o spento (dando colpa alla mia sbadataggine), qualche programma che non ricordavo di aver installato, file temporanei di chrome incancellabili nella cartella download, nell'ultimo mese addirittura si divertivano ogni tanto a switcharmi lo schermo in orizzontale 
. E qui faccio un altro appunto: da circa metà 2015 la mia "attività" nel poker online viene interrotta dai problemi di linea: da maggio 2015, continue disconnessioni (molto brevi ma molto frequenti) mi tormentano, specialmente negli orari serali. Ora posso dire che secondo me erano attacchi ddos (che nella mia testa neanche avrei preso in considerazione: chi diavolo dovrebbe ddosare me, per quale motivo?). Poco male: ormai i guadagni col poker non sono più quelli di un tempo e mi concentro sul lavoro.
Provo a risolvere, nella mia ignoranza, andando subito al pc fisso (tralaltro nuovo di pacca, perchè il vecchio mi era morto di colpo proprio a gennaio, fino ad ora pensavo fosse semplicemente schioppato l'ssd, che aveva i suoi 3 anni, con quel che ho scoperto in seguito capisco che forse mi han proprio cryptato l'ssd) e cerco soluzioni: non so bene come, ma vengo reindirizzato a certe discussioni (ora cancellate o rese private) di alcuni subreddit nei quali sta gente mi irride per come sto provando a risolvere il problema (scaricando quelli che pensavo fossero antivirus, ma che probabilmente era altra feccia), elenca password mie e di mio padre, dati bancari, le scansioni di documenti, fatture etc. che in questi mesi han potuto fregare. Elencano anche i componenti hardware dei nostri pc. Qui capisco subito che tutta la rete è infetta e che probabilmente lo è da chissà quanto. Controllando noto che sia il mio account gmail che quello di mio padre presentano intrusioni, idem il suo account facebook: tutti da Moncalieri, un ip privato fastweb.
Il primo pensiero è ovviamente allo scam finanziario: chiamo subito il numero verde della mia prepagata Intesa, dove avevo 1.2k, e della quale sicuramente hanno i dati perché
proprio pochi giorni prima avevo effettuato un acquisto online senza creare una carta virtuale: non manca niente, ovviamente la blocco comunque.
Passo in banca ed anche il c/c, dove ho una grossa cifra, è intonso.
Mio padre aveva da poco chiuso una carta di credito Aura: mi rassicura che in passato ha sempre controllato i conti e che non ha notato niente di strano.
Continuando a cercare "soluzioni" e di farmi un minimo di cultura a riguardo questo tipo di infezioni, vengo "indirizzato" (probabilmente con dns spoofing / Man in the middle, come detto non me ne intendo) su altri subreddit, tra cui /4chan, /cadenmorandiary, /circleboard, ed altri, tutti comunque collegati a queste imageboards. Infine finisco nel subreddit /gondola: e qui capisco che qualcuno per chissà che motivo se l'è proprio presa con me. In pratica è una sorta di meme che sta gente ha costruito sulla mia persona, o meglio sull'immagine volutamente storpiata della mia persona, unita a questi "trend" ed inside jokes che, a quanto ho potuto capire, pullulano su queste boards. Giusto per fare qualche esempio tra lavoro e cazzeggio passo molto tempo al pc, ebbene mi han dipinto come il più terminale dei nerd (quando son tutt'altro
). Una volta ho visto per caso, ammorbato dalla noia, un video di Dario Moccia? Mi dipingono come il più tipico dei "giappominchia", quando non sono mai stato affascinato da questo genere di cose, ho letto i vari thread sul femminismo su agorà di qualche mese fa (sì, credo proprio sia dovuto a questo perchè altrimenti non so da cosa possano averlo dedotto )? Sono decisamente un turbo-femminista. Mentre lavoro tengo una conferenza di Biglino in sottofondo perché m'incuriosisce l'argomento? Un complottista tout-court che crede che il 9/11 siano stati degli ologrammi e che l'uomo non sia mai andato sulla luna... E così via. Ma la cosa si fa anche più pesante: noto tra le varie cose anche riferimenti precisi a cose dette a "voce" in famiglia in casa, a cose dette ai quei 2-3 amici fidati su skype e così via. Il tutto espresso senza fornire informazioni precise sulla mia persona, ma sfruttando questo "meme".
Continuando a leggere questi subreddits e cercare di carpire informazioni, capisco che sono tutti collegati agli ambienti delle imageboards: 4chan, il suo equivalente finnico ylilauta, circleboard, il tedesco krautchan, e l'italiano diochan. Inizio a leggere anche questi e trovo un sacco di riferimenti a me. Cerco di capire di che tipo di ambiente si tratta: a quanto capisco, delle boards semi underground per ragazzini smanettoni informatici di varia natura, scopro anche che tal pratica di "doxxing" (ovvero rilasciare informazioni personali, recapiti, dati sensibili di una certa persona al solo fine di farlo molestare da tutta l'utenza) è abbastanza diffusa. Scopro che nelle varie acque di queste board naviga anche gente PARECCHIO in gamba in ambito informatico, e attacchi informatici a gente che fondamentalmente gli sta sulle scatole sono molto diffusi. E noto un assoluto odio verso ciò che chiamano SJW (social justice warriors), femministe, "coccolanegri", ebrei, etc.
Ora: fino ad un mese fa neanche sapevo dell'esistenza di queste boards, eccezion fatta per 4chan che comunque avrò visitato casualmente un paio di volte in anni di internet. Non sono esposto politicamente, non ho "nemici" nella vita reale (ma neanche virtuale, credevo) che possano volermi male, la mia attività online si riassume in mail,youtube,lurking di 2/3 forum di allenamento/pugilato, un forum pokeristico, finanzaonline, chattate/chiamate su skype con 2-3 persone fidate (e sconosciuti non li accetto). Non uso social network.
L'unico motivo per il quale sta gente mi possa voler male è che mia madre ha origini russo/kazake, a quanto pare il "race-mixing" è l'incubo che attualmente non lascia dormir sogni tranquilli a questi sveglioni. Ma, mi chiedo: potrà mai esser un motivo valido per ciò che mi sta succedendo? Dopo un mese a legger ste board, credo fortemente che qualcuno mi abbia spinto come papabile obiettivo di tali pratiche, magari inventandosi cazzate sul mio conto, o, in alternativa, dopo avermi infettato, si sia divertito a postare/provocare su ste board tramite la mia linea, facendo poi ricadere le conseguenze su di me. Anche perché, a quanto vedo, farsi ste guerrette online è proprio il loro hobby preferito e fine ultimo di vita.
A questo punto faccio un giro di chiamate tra i tecnici informatici della zona e fisso un appuntamento. Il giorno seguente i tecnici effettivamente mi confermano che un po' tutti i pc (un portatile di mio padre, due fissi ed il mio portatilino) presentano molti processi strani, compatibili con il fine di controllo remoto. Fanno un hard reset del modem (TG1100 di fastweb), impostando un Wi-fi nascosto, formattano tutti i pc (a parte il portatile di mio padre, che purtroppo ha molti software di lavoro necessari e che difficilmente riuscirebbe a recuperare... poco male: lo si userà sempre offline ed esclusivamente per lavorare, senza attaccarci nient'altro), senza pero' fare prima passate di DBAN et similia. Idem le varie chiavette che abbiamo in casa.
Nel frattempo passo anche in polizia postale: probabilmente complice la difficoltà a spiegare una situaione surreale del genere, mi dice che prima di poter esporre denuncia ad ignoti ho bisogno del referto di tecnici che testimoni la presenza di questi spyware/rootkit, ecc. Chiamo i tecnici e per farlo mi chiedono sui 700€. Decido (anche perché, da quanto ho capito cercando in rete, se sti tizi "fan le cose fatte bene", ovvero si proteggono dietro mille vpn a pagamento che non loggano, prenderli è tipo semi-impossiile) quindi di lasciar perdere ed accontentarmi di risolvere la situazione.
Passano i giorni, e lurkando su questi vari siti (diochan, ylilauta, circleboard, 4chan) continuano i riferimenti alla mia attività online, e capisco di essere ancora infetto. Il colmo lo raggiungo una decina di giorni fa, quando aspettando la mail da un tecnico informatico amico di famiglia a cui avevo chiesto consiglio, vengo informato di aver ricevuto la mail proprio leggendo su circleboard /int/, giusto una decina di minuti dopo averla ricevuta, e nonostante abbia il doppio passaggio attivo per il login e stessi
in quel momento usando il portatilino dal quale, almeno per ora, non mi loggo mai. Altri sintomi: infinite ore nel cercare i windows update, altre infinite ore nell'installarli, consumi di CPU e RAM troppo alti anche in idle, in gestione dispositivi tutti i pc hanno "dispositivi sconosciuti" di cui non si riesce ad aggiornare il driver. Chi una scheda video, chi un PCI controller, chi gli USB 3.0. Raramente pagine bianche di Chrome che si aprono da sole.
Torno in polizia postale per rispiegare la situazione, e mi sento rispondere che "se gli antivirus non rilevano niente allora non si puo' far un processo alle intenzioni!", "eh ma essere indirizzati nelle ricerche è una cosa normale, sono i file temporanei!" e così via... già son assolutamente un inetto in questo ambito informatico, ma a quanto pare spiegare che un kernel rootkit, un bootkit, bios-rootkit ecc.. dagli antivirus non verrebbe rilevato neanche con l'aiuto dei cieli, diventa impossibile.
Ora sono fondamentalmente 10-5 giorni che non faccio altro che cercare online informazioni riguardo questo tipo di infezioni, lurkare quei 3-4 siti che ho nominato per trovarci ogni volta riferimenti precisi. Sono anche sicuro che in qualche modo siano riusciti ad infettare i nostri cellulari (o quantomeno uno), nonostante siano android vecchiotti (un C3590 ed un altro ancora più vecchio) e non usiamo mai internet/abbiamo bluetooth disattivato: ho trovato riferimenti precisi a cose dette in prossimità di essi anche fuori casa.
La cosa veramente assurda è che sono sicuro riescano ad avere controllo remoto su questo pc fisso senza bluetooth, nonostante io stia scrivendo questo papiro a cavo ethernet staccato (ci ho messo 2-3 giorni, nei buchi di tempo che ho potuto ritagliare) sul notepad, per postare poi tutto in modo veloce: ho trovato riferimenti/prese per il culo molto precise. Non ho idea di come facciano.
In questi ultimissimi giorni son andati anche oltre: un paio di citofonate a cui poi segue il silenzio, telefonate dove stan zitti 5-6 secondi per poi, in una voce metallica sintetica, dire "goodbye" e buttar giù. Ridicolezza dei loro metodi intimidatori a parte: mi girano i coglioni a palla. Sto subendo tutto ciò senza sapere il perché. E lo sta subendo anche mio padre, uno che a 70 anni ancora lavora gran parte della giornata e gira per cantieri.
Ad Agorà chiedo: c'è qui qualcuno del Torinese che, dietro il giusto compenso, possa venire a cercare di risolvere questo tipo di problemi (o che, in alternativa, possa suggerirmi qualcuno di veramente in grado)? Potrebbe essere veramente di tutto, da un mbr rootkit ad un rootkit nella GPU, nel BIOS ecc.. se non addirittura una roba stile BadUsb (se sto dicendo cagate ditemelo) dove han riscritto parte del firmware delle varie periferiche. Il problema è che credo sia un problema talmente grave che sia fuori dalla portata del tecnico informatico medio.
Anche qualora decidessi di comprare un paio di nuovi pc, chiedere a fastweb un nuovo IP, farmi sostituire il modem (nel dubbio), installare un firewall hardware come suggeritomi dai tecnici e conoscenti, non rischierei comunque di rivenire infettato dopo poco visto che sta gente sa tutte le email, i contatti skype, facebook, ecc.. miei e di mio padre (che un errore nell'aprire certe mail fake alla sua età puo' sempre farlo)?
Mi rendo conto la situazione sia veramente surreale, ma è ciò che mi è capitato. Spero in consigli e contatti utili.
tl;dr:
- scopro di avere tutta la linea domestica e relativi pc infetti. Intrusioni nelle mail e negli account facebook, da un ip privato fastweb del torinese. Apparentemente, nonostante potessero, non han rubato da conti e/o carte.
- vengo reindirizzato nelle ricerche fino a scoprire di essere vittima di un attacco di gruppo da utenti di varie imageboards, senza apparente motivo.
- passo in pol. postale un paio di volte: la prima mi si risponde che per esporre denuncia ad ignoti ho bisogno di una certificazione ufficiale rilasciata dai tecnici che
riscontri l'infezione ed il problema (cosa per la quale i tecnici mi chiedono 700€), la seconda mi si risponde che "se gli antivirus non rilevano niente, non si puo' far
niente!".
- i tecnici formattano ogni pc, senza far passate di DBAN et similia. Nonostante ciò, scopro di essere ancora infetto. Capisco anche che i nostri cellulari (dei vecchi
samsung, un C3590 ed un altro ancora più vecchio) sono in qualche modo infetti.
- la cosa si fa più pesante e ricevo pure strane chiamate e citofonate a vuoto.
la nuova frontiera del testimone di geova 2.0 ? 