skip to main | skip to sidebar
22 commenti

Se anche l’ANSA pubblica le fake news: no, Weinstein non ha preso casa in Canton Ticino

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi per incoraggiarmi a scrivere ancora. Ultimo aggiornamento: 2017/10/23 18:30.

All’incontro sulle fake news del 21 aprile scorso a Montecitorio, nel quale ho moderato il tavolo di lavoro della stampa, il direttore di ANSA Luigi Contu disse che entro 8 minuti una notizia ANSA viene letta da 13 milioni di persone e che per questo ANSA non può sbagliare mai. Disse anche che bisogna fare il proprio mestiere con rigore. Belle parole, ma la realtà è un po’ diversa.

Stamattina ANSA ha pubblicato la notizia (falsa) che il produttore di Hollywood Harvey Weinstein (in disgrazia per le numerose accuse di molestie e violenze sessuali) avrebbe trovato residenza in Canton Ticino “in una villa sulle colline di Lugano” affittata per sei mesi al costo di 500.000 dollari.


Come faccio a sapere che è falsa? Semplice: ANSA stessa dichiara che la fonte è la Proto Group Ltd. Basta una ricerca di dieci secondi in Google con “Proto Group” bufala per capire il genere di attendibilità delle dichiarazioni della Proto Group:


Dieci secondi che ANSA, a quanto pare, non ha voluto spendere. Se volete sapere cosa c’è dietro le notizie false acchiappaclic smerciate da Proto Group, leggete Il Fatto Quotidiano di tre anni fa: non si tratta di un semplice fantasista. Proto Group in passato ha annunciato di aver comprato il Parma FC, di essere partner di Donald Trump, e di aver trovato casa al calciatore Ibrahimovic, a Mark Zuckerberg e a Maurizio Crozza.

Spendendo altri dieci secondi in ricerca online salta fuori l’origine della foto che illustra l’articolo-bufala dell’ANSA: basta immetterla in Tineye.com per scoprire (link su Archive.is) che si tratta di Villa Nesè a Bigorio (link su Archive.is). Non è chiaro se l’immagine è stata fornita da Proto Group o da ANSA e se l’agenzia immobiliare sia al corrente di questo uso della foto (l’ho contattata via mail mentre scrivevo queste righe ma non ho ancora avuto risposta).



Che un’agenzia come ANSA non sappia che qualunque notizia proveniente da Proto Group è semplice clickbait autopromozionale senza alcun contenuto di verità è semplicemente vergognoso. Se riesco io a saperlo in mezzo minuto, da casa mia, mentre bevo il caffé la domenica mattina, perché non ci riescono gli stipendiati di ANSA? Le parole di Contu sul non sbagliare mai e sul fare il proprio mestiere con rigore suonano molto stonate in momenti come questo.

Se i dati di Contu sono esatti, ANSA ha diffuso una fake news a milioni di persone. Eppure si insiste ancora a dire che le notizie false sono un problema causato da Internet e dai social network.


2017/10/23 8:15. Il tweet e l’articolo di ANSA sono stati rimossi (la copia dell’articolo che ho salvato su Archive.is resta). Non ho trovato alcuna traccia di rettifica. Interessante, inoltre, questa risposta pubblica di Massimo Sebastiani, che se non erro è responsabile principale del sito dell’ANSA:



Ho risposto così:









2017/10/23 18:30. I lettori mi segnalano nei commenti che l’articolo è ancora online qui (copia su Archive.is), con lo stesso testo ma un titolo differente. Per chi nota che il testo ha qualche forma dubitativa, sottolineo che il titolo è invece categorico: “Weinstein ha affittato Villa a Lugano” e “Weinstein, la nuova residenza è in una villa in Canton Ticino”. I titoli dicono “ha affittato”, “è in una villa”: non “avrebbe affittato”, “sarebbe in una villa”. E non dimentichiamo che il lettore, specialmente nei tweet, vede soltanto il titolo.
0 commenti

Podcast del Disinformatico del 2017/10/20

È disponibile per lo scaricamento il podcast della puntata di ieri del Disinformatico della Radiotelevisione Svizzera. Buon ascolto!
6 commenti

Antibufala: Melania Trump ha usato una sosia!

Ultimo aggiornamento: 2017/10/23 7:50.

Ha fatto il giro dei social network e dei media la diceria secondo la quale in una recente apparizione pubblica il presidente degli Stati Uniti Donald Trump sarebbe stato accompagnato non dalla moglie, Melania, ma da una sua sosia, che però sarebbe stata smascherata perché non somiglia affatto alla vera First Lady.

Già bisognerebbe riflettere sulla profonda stupidità dell’idea di usare una sosia per nulla somigliante sperando di farla franca (come già accadde per le analoghe teorie sui sosia assurdamente cicciottelli dello smilzo Osama bin Laden, secondo la nota Sindrome del Cospiratore Pasticcione), ma dietro questa storia ci sono due dettagli interessanti perché sono ricorrenti nelle bufale di questo genere.

Il primo dettaglio è che le immagini della presunta sosia non sono somiglianti all’originale perché sono state distorte fortemente dal fatto che sono state riprese con un telefonino da un televisore, che oltretutto è stato inquadrato di sbieco, e poi pubblicate sui social, che introducono ulteriori distorsioni dovute alla compressione digitale delle immagini.

Il sito antibufala Snopes.com ha recuperato la registrazione originale della scena incriminata e ha preparato un confronto che rivela l’inganno prodotto dalla deformazione e dalla compressione, come si può vedere qui sotto: a sinistra c’è la versione ripresa con il telefonino e diventata virale, mentre a destra c’è la versione ottenuta direttamente dalle registrazioni originali.


Il secondo dettaglio è che l’utente che sembra aver dato il via a tutto il putiferio mediatico ha un nome, Buy Legal Meds punto com, che corrisponde a quello di un sito di vendita di (presunti) farmaci via Internet. La faccenda, insomma, puzza molto di trovata per farsi pubblicità.

Trucchetti di marketing virale come questi sono molto frequenti in Rete: basta agganciarsi a un argomento di cui tutti parlano, creare uno scandalo inesistente su quell’argomento, e lasciare che gli utenti abbocchino.


2017/10/23 7:50. Purtroppo a quanto pare abbocca anche il Corriere del Ticino, in un articolo semiserio a firma di Paride Pelli (copia su Archive.is) che sembra dare credito alle tesi di sostituzione senza menzionare la spiegazione tecnica descritta qui sopra.
6 commenti

Epic fail: 30 milioni di dati personali riservati messi online

I fallimenti informatici degli altri hanno un’importante funzione consolatoria: se avete rovesciato il caffè nel laptop del capo, potete sempre dire “beh, perlomeno non ho distrutto il server della contabilità”. Oppure, se volete essere realistici, potete dire “beh, perlomeno non ho messo online a portata di tutti i dati personali di trenta milioni di persone”.

È quello che è successo in Sud Africa: i dati di una trentina di milioni di cittadini, con nomi, cognomi, indirizzi, reddito stimato, cronologia occupazionale e molto altro, compreso l’identificativo unico di 13 cifre usato dall’amministrazione pubblica sudafricana, è finito misteriosamente online, come segnala Troy Hunt di HaveIBeenPwned.com. Un archivio di circa 27 GB, perfetto per furti d’identità su vasta scala e già smerciato fra i truffatori della Rete.

I dettagli della fuga di dati, paragonabile per gravità a quella recente di Equifax che ha interessato circa 140 milioni di americani e molti cittadini europei, sono su Iafrikan.com e indicano che i dati sono stati sottratti a una delle grandi aziende che doveva custodirli. Se volete dare un’occhiata senza pericolo, gli header descrittivi dell’archivio sono qui su Pastebin.com.

Ancora una volta, insomma, le aziende che dovrebbero proteggere i nostri dati sensibili, sfruttabili per truffe e crimini di ogni genere, si sono dimostrate incapaci di farlo. Non c’è insomma da stupirsi se poi il cittadino perde fiducia nell’informatizzazione delle amministrazioni pubbliche e dei servizi.
10 commenti

Mr. Robot, finalmente realismo nell’hacking televisivo

Ultimo aggiornamento: 2017/10/23 8:00.

È iniziata da poco la terza stagione della serie televisiva Mr. Robot, che è oggetto di culto fra gli informatici non solo per la trama, tutta incentrata sull’hacking e sulle sue conseguenze negative e positive, ma anche per una caratteristica che la differenzia completamente da quasi tutte le altre serie TV che parlano d’informatica: il realismo estremo delle tecniche di hacking utilizzate nel racconto.

Senza fare spoiler, nella prima puntata di questa terza stagione viene mostrata la ricerca di un bersaglio informatico usando un motore di ricerca apposito, Shodan, che non è un’invenzione della serie TV ma esiste realmente (presso Shodan.io) e consente davvero di effettuare questo genere di scansione di tutta Internet. Basta creare un account gratuito e si ha accesso, per esempio, alle telecamere di sorveglianza incautamente connesse a Internet senza protezioni. Shodan non fa altro che collezionare i loro annunci pubblici di presenza in Rete.



Ma si può fare anche di più: digitando title:"hacked by" nella casella di ricerca di Shodan si possono elencare i server web che sono stati violati negli ultimi giorni (Shodan indica lo stato di un sito com’era al momento della sua scansione; nel frattempo il sito può essere stato ripristinato) se l’intruso vi ha lasciato la propria “firma”, che di solito è appunto "hacked by" seguito dal nome di battaglia.

Questi elenchi possono anche essere filtrati per nazione aggiungendo country: seguito dalla sigla della nazione che interessa, messa fra virgolette e senza spazi dopo il due punti (per esempio  country:"IT", come mostrato qui sotto).



In Mr. Robot, Shodan viene usato per esempio per cercare i server della malefica multinazionale di fantasia che sta al centro della trama della serie, la E-Corp, che gli hacker protagonisti chiamano Evil Corp. Il bello è che non solo il comando usato dal protagonista (org:"Evil Corp" product:"Apache Tomcat") usa una sintassi reale e consente di trovare davvero i server di una qualsiasi organizzazione, ma funziona davvero e porta realmente ai siti web della E-Corp.



I produttori della serie, infatti, hanno creato dei siti web funzionanti che fingono di essere la E-Corp. Se non volete tribolare con Shodan, potete trovarne uno (con tanto di schermata di login per “dipendenti” presso www.e-corp-usa.com.

Se volete scoprire le mille altre chicche informatiche della prima puntata della terza stagione, leggete questo articolo di Geekwire. Buon divertimento.
9 commenti

La curiosa lista delle pubblicità vietate di Google, paese per paese

Ultimo aggiornamento: 2017/10/23 10:40. 

Google è uno dei più grandi gestori di pubblicità digitale del pianeta, e a giudicare dal numero di inserzioni che offrono i prodotti più disparati e ridicoli che vediamo online sembrerebbe che non ci sia alcun limite a quello che si può pubblicizzare. Ma in realtà esiste una lista pubblica di prodotti di cui Google non consente la pubblicità, ed è differente da un paese all’altro, ed è intrigante da esplorare: un modo insolito di esplorare le differenze sociali e culturali fra i paesi.

Potete recuperare questa lista anche in italiano cercando in Google la sequenza di parole “Guida di Norme pubblicitarie di AdWords” (Advertising Policies Help in inglese).

Va detto che la lista non è completa: è soltanto un’elencazione parziale e Google precisa che l’inserzionista rimane responsabile del rispetto delle leggi locali.

Sapevate che in Italia Google respinge la pubblicità di kit per il test per l’HIV e per la “pillola del giorno dopo”? O che in Bangladesh e Pakistan sono vietati gli spot per i cibi per neonati, mentre a Taiwan sono vietati i servizi che procurano spose internazionali?

In Brasile, per esempio, ci sono restrizioni sugli strumenti di misurazione (quali non si sa) e sono vietate le pubblicità per candidati o partiti politici e quelle per creatina, carnitina e altre sostanze simili. In Francia e Germania, invece, sono vietate le inserzioni per i test di paternità e per Scientology. Nel Regno Unito ci sono restrizioni sugli sbiancanti per denti che contengano più dello 0,1% di perossido di idrogeno (o acqua ossigenata).

In Giappone spiccano i divieti di pubblicizzare forme di finanziamento da mercato nero e il voyeurismo fotografico.

In Russia, invece, sono vietati gli spot per gli accendini, per l’alcol etilico, per i dispositivi medici, per le valute virtuali e per la “saponina derivata dalle corna e dalla ghiandola endocrina del cervo settentrionale” (che non sapevo neanche esistesse).

In Svizzera, Francia, Germania e Belgio è vietata la pubblicità di prodotti per il rilevamento di radar (presumibilmente quelli per i rilevatori stradali di velocità).

Se trovate altri esempi curiosi, segnalateli nei commenti qui sotto.
7 commenti

Panico per Wi-Fi insicuro? Da ridimensionare

Se ne parla ovunque da qualche giorno: come ho già segnalato, è stato scoperto che il WPA2, il protocollo di sicurezza che protegge abitualmente le connessioni Wi-Fi contro le intercettazioni, ha una serie di falle gravi che sono state denominate KRACK. Queste falle consentono di intercettare dati sensibili, come per esempio le password usate per collegarsi ai siti, e riguardano praticamente tutti i dispositivi digitali di ogni marca dotati di Wi-Fi: televisori “smart”, router Wi-Fi, smartphone, computer. Ma non è il caso di farsi prendere dal panico.

I fabbricanti di dispositivi, infatti, sono stati avvisati a luglio scorso dai ricercatori che hanno scoperto le falle e quindi quelli diligenti hanno già distribuito gli appositi aggiornamenti di sicurezza. Trovate qui una chilometrica lista di produttori di software vulnerabili e aggiornati: Apple, Microsoft, Linux, iOS e Android sono tutti coinvolti, ma hanno già distribuito gli aggiornamenti o li stanno per distribuire (eccetto quelli per i vecchi dispositivi Android, che è comunque il caso di cambiare per molte altre ragioni).

Un attacco basato su KRACK, inoltre, funziona soltanto se la vittima si collega a un sito usando HTTP (connessione non cifrata); se usa HTTPS, come avviene ormai in molti siti e soprattutto quando si digita la password di accesso, questo attacco non è possibile. Lo stesso vale se usate una buona VPN.

Ma il limite più importante di KRACK è che è sfruttabile soltanto se l’aggressore è nel raggio di azione della rete Wi-Fi usata dalla vittima. Questo rende impraticabili gli attacchi a distanza fatti a casaccio e in massa, che sono il metodo preferito dai criminali informatici. In altre parole, l’aggressore dovrebbe avercela proprio con voi: questo non capita molto spesso, e comunque si risolve usando le già citate connessioni cifrate (HTTPS e VPN).

Ci sono anche altre limitazioni che rendono KRACK difficile da sfruttare, ma quello che conta è che se aggiornate il software dei vostri principali dispositivi siete sostanzialmente al sicuro da KRACK. Il vero problema è fare l’inventario di tutti i dispositivi che usano il Wi-Fi: rimboccatevi le maniche e preparatevi a dedicare un po’ di tempo a questa magagna.


Fonti: Graham Cluley, Ars Technica, F-Secure, The Register.
9 commenti

MacOS X High Sierra, cambio utente troppo lento? Riparate i permessi


Da quando ho aggiornato il mio laptop Apple a macOS High Sierra, passare da un utente a un altro è diventato un processo lentissimo (ho due account utente sul laptop, uno per il lavoro generale e un altro che uso solo per fare presentazioni e conferenze, come ho raccontato qui).

Ho chiesto ieri sera su Twitter se altri avevano lo stesso problema, e in men che non si dica è arrivata la soluzione, grazie a @marcoluciano81: riparare i permessi.

Un rimedio classico, solo che in High Sierra la riparazione dei permessi non è più nel solito posto, ossia in Disk Utility/First Aid: bisogna aprire una finestra di terminale e digitare esattamente questo incantesimo.

diskutil resetUserPermissions / `id -u`

Compare un’animazione fatta con i caratteri che pare presa di peso dagli anni Ottanta e poi la riparazione finisce. La questione è spiegata in questa pagina di supporto Apple.

Ta-da! Ora la commutazione da un utente all’altro è rapidissima come lo era prima. Condivido qui queste brevi istruzioni, nel caso servano a qualcun altro. Grazie, siete sempre una risorsa preziosa.
16 commenti

Cerco info su Mitsubishi i-Miev / Citroen C-zero / Peugeot iOn

Credit: Wikipedia.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi per incoraggiarmi a scrivere ancora.

Se avete informazioni o esperienze d’uso riguardanti le city-car elettriche Mitsubishi i-Miev, Citroen C-zero o Peugeot iOn (tre versioni dello stesso veicolo), in particolare sul mantenimento della capacità di carica dopo alcuni anni d’uso, mi interessano molto: segnalatemele nei commenti qui sotto.

Se avete info che non volete pubblicare, mandatemele via mail oppure in un commento, indicando chiaramente che il commento non va pubblicato.

Per ora non posso raccontarvi perché mi servono, ma lo farò non appena sarà conclusa l’indagine che sto svolgendo. Grazie!
59 commenti

Tesla licenzia, frenesia mediatica

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi per incoraggiarmi a scrivere ancora. Ultimo aggiornamento: 2017/10/17 15:20.











A me sembrava una classica non-notizia, ma siccome da qualche giorno mi scrivete e tweetate in tanti (quello qui sopra è solo un piccolo campionario) chiedendomi un parere sul licenziamento di circa 400 dipendenti Tesla e sulle voci di difficoltà nella produzione della Model 3, con riluttanza riassumo qui quello che in parte ho già scritto via Twitter.

  1. Mettiamo subito in chiaro una cosa: non rappresento Tesla e non sono un fanboy di Tesla (anche se le sue auto mi piacciono e ne ho prenotata una, sto comunque valutando anche le concorrenti, Opel Ampera-e in testa). Sono un sostenitore delle auto pulite di qualsiasi marca. Per quel che mi riguarda, Tesla può anche fallire domani: l’importante è che qualcuno ci dia auto che non appestano l’aria, non fanno baccano incessante e non rovinano la salute e l’ambiente. Ne abbiamo urgente bisogno.
  2. Non dite che Elon Musk, boss di Tesla, non aveva avvisato. Ha detto chiaro e tondo a luglio che mettere in produzione un’auto nuova avrebbe comportato vari mesi di “production hell” (parole sue), come avviene spesso durante l’avvio di qualunque processo produttivo. E passare da una produzione a tiratura limitata di auto di lusso alla produzione di massa è una sfida enorme oltre che un punto di svolta e ne avevo messo in guardia pubblicamente a marzo 2016, prima ancora che venisse presentata la Model 3.
  3. I licenziamenti li fanno anche gli altri costruttori, ma non fanno altrettanto notizia. Vauxhall (la Opel britannica) ne ha appena annunciati 400 su 4500: letteralmente una decimazione (e passa da due turni a uno solo). Ma avete visto la stessa frenesia mediatica? Appunto. Tesla ha 33.000 dipendenti: fate voi le proporzioni.
  4. I problemi che impongono il richiamo delle auto càpitano a tutti, non solo a Tesla. Però quando càpitano a Tesla fanno clamore. Daimler deve richiamare un milione di Mercedes, ma non ho visto altrettanto interesse mediatico.
  5. Per chi dice che Tesla è spacciata perché ha i conti in rosso da anni: quante case automobilistiche sapete elencare che non sono mai fallite e hanno i conti in attivo? Vogliamo parlare di quel piccolo problemino chiamato Dieselgate? Quello che costerà 25 miliardi di euro a Volkswagen? Quello che contribuisce ad avvelenare l’aria e a dare all’Italia il primato per le morti da inquinamento atmosferico?
  6. Tesla è seduta su quattrocentomila prenotazioni della sua Model 3. Ditemi quanti altri costruttori possono vantare una clientela pronta e disponibile come questa. Di solito sono disperatamente in cerca di clienti.
  7. Che palle. Non possiamo semplicemente aspettare qualche mese e vedere come va a finire?

Magari nel frattempo possiamo fare qualcosa di più produttivo. Oppure chiederci se questo accanimento mediatico è dovuto alla tendenza di Tesla e Musk di usare i media per farsi pubblicità (il budget pubblicitario dell’azienda è sostanzialmente zero, e per questo non vedete spot delle Tesla), all’effetto “volpe e uva” (le Tesla sono belle e costose, roba da élite con tanti soldi, e fanno rosicare chi non se la può permettere, ha un’auto puzzona e sente magari il rimorso del Dieselgate, per cui vedere l’azienda di auto di lusso in difficoltà è consolatorio), oppure alla campagna mediatica di chi vuole mantenere lo status quo e proteggere i propri guadagni (tipo i fratelli Koch o Marchionne) diffondendo notizie false sulle auto elettriche. O a tutte e tre insieme.

Personalmente intendo dedicarmi ad altro, ma fate voi :-)
27 commenti

Mega-falle Wi-Fi WPA2, sicurezza a rischio per quasi tutti, ma niente panico

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi (Paypal/ricarica Vodafone/wishlist Amazon) per incoraggiarmi a scrivere ancora. Ultimo aggiornamento: 2017/10/16 11:40.

Sono in viaggio e di corsa, ma provo a fare rapidamente il punto sulle falle nella sicurezza del protocollo WPA2 che normalmente protegge i collegamenti Wi-Fi.

Le falle, denominate collettivamente KRACK, sono reali e consentono di intercettare il traffico di dati Wi-Fi nonostante la protezione WPA2. Quello che non si sa ancora è quanto sia facile o difficile sfruttarle: questi dettagli verrano resi noti nel primo pomeriggio di oggi da un annuncio tecnico formale coordinato presso la pagina Krackattacks.com. Gli organismi di gestione della sicurezza informatica, come i CERT, sono stati allertati da tempo e hanno predisposto le soluzioni. Per ora si sa che sono stati assegnati questi codici CVE: CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087 e CVE-2017-13088.

Per il momento è il caso di prepararsi ad aggiornare il firmware dei propri access point e dei propri dispositivi Wi-Fi (un grattacapo non banale per chi amministra reti complesse o per utenti non esperti; alcune marche hanno già pronta la patch) e usare connessioni Wi-Fi che oltre al WPA2 sono cifrate da HTTPS e/o dall’uso di una VPN (di un fornitore affidabile).

In estrema sintesi: se vi collegate a un sito usando HTTPS tramite Wi-Fi, siete comunque protetti contro le intercettazioni. Se usate una VPN, siete comunque protetti. Al di fuori di questi casi, avete un grosso problema, specialmente se avete una rete Wi-Fi domestica, aziendale o alberghiera.

Se volete saperne di più, consiglio di leggere questo articolo in inglese di Ars Technica e questa sintesi su The Register. C’è anche uno spiegone leggero della BBC. Aggiornerò man mano questo articoletto.


11:40. L'articolo tecnico che spiega le falle è stato pubblicato (o reso pubblico da terzi) prima del previsto:




12:25. DoublePulsar riassume così la situazione:

  • Le falle sono rimediabili: non è vero che non si può fare nulla
  • Gli aggiornamenti correttivi per Linux sono già disponibili
  • Le falle non sono realisticamente sfruttabili contro dispositivi Windows o iOS
  • Il rischio principale riguarda i dispositivi Android che non vengono aggiornati o non possono essere aggiornati
  • Non esiste, al momento, un kit di sfruttamento di queste falle: il livello di competenza necessario per sfruttarle è molto elevato.
  • Niente panico, ma cercate e installate gli aggiornamenti di sicurezza per i vostri dispositivi.
13 commenti

È difficile fare previsioni, specialmente per il futuro: ne parlo stasera a Settimo Torinese

Stasera alle 21 sarò al Festival dell’Innovazione e della Scienza, presso la Biblioteca Civica Multimediale in Piazza Campidoglio 50 a Settimo Torinese, per una conferenza intitolata “È difficile fare previsioni, specialmente per il futuro”: una carrellata semiseria sulle previsioni meno azzeccate degli “esperti” del passato e una riflessione sulle ragioni dei loro errori e su come evitarli per decidere meglio il nostro futuro.

L’ingresso è libero; dovrebbe essere disponibile a breve il video della serata.


2017/10/16. Il video è ora disponibile: saltate pure i primi tre minuti di schermo fisso.

0 commenti

Podcast del Disinformatico del 2017/10/13

È disponibile per lo scaricamento il podcast della puntata di oggi del Disinformatico della Radiotelevisione Svizzera. Buon ascolto!
16 commenti

Promemoria: se lavori per la sicurezza nazionale, non usare “admin:admin” come login e password

Credit: Twitter/@stilgherrian.
La foto dell’aggressore
è puramente simbolica.
Se pensate di aver combinato un disastro informatico, consolatevi: è difficile che possa essere peggiore di quello combinato da un’azienda che collabora con il Dipartimento della Difesa australiano.

Stando a quanto pubblicato dal Sydney Morning Herald, l’azienda, di cui non viene fatto il nome ma è descritta come una società del settore aerospaziale con una cinquantina di dipendenti, si è fatta sottrarre circa 30 gigabyte di dati tecnici delicatissimi e dettagliati riguardanti i costosissimi nuovi caccia F-35, gli aerei di sorveglianza P-8 Poseidon, varie navi militari e munizioni di precisione.

Fra i tanti dati sottratti dagli sconosciuti incursori c’è, secondo le testimonianze raccolte, persino uno schema delle nuove navi della marina australiana così dettagliato da mostrare la disposizione delle postazioni in plancia.

L’azienda aveva una sola persona responsabile per la sicurezza informatica, non c’erano le normali misure di protezione (niente DMZ), non venivano installati gli aggiornamenti di sicurezza e la password di amministratore su tutti i server era la stessa. I servizi dell’azienda affacciati a Internet avevano ancora le password predefinite, ossia admin:admin e guest:guest. Gli intrusi sono entrati sfruttando una falla per la quale l’aggiornamento correttivo era disponibile da dodici mesi e sono rimasti nei sistemi informatici per tre mesi, saccheggiandoli, fino a quando le autorità australiane sono state allertate e sono intervenute.

Nonostante queste lacune evidenti, l’azienda era stata comunque certificata per trattare documenti governativi riservati a livello ITAR. Se vi siete mai chiesti come fanno le spie a rubare informazioni nel mondo reale, ora lo sapete: non servono tecniche da Mission: Impossible. Siamo in buone mani.


Fonti aggiuntive: ZDnet, Tripwire, ABC.


15 commenti

Video: se la telecamera di sorveglianza di casa comincia a parlarti, hai un problema

Ho parlato spesso del rischio che un dispositivo collegato alla rete informatica domestica possa essere sfruttato dagli aggressori. Ma un conto è la teoria, un altro è vedere le cose la pratica.

Una donna olandese, Rilana Hamer, ha pubblicato su Facebook un video (attenzione: contiene turpiloquio in inglese) nel quale mostra che la sua telecamerina di sorveglianza via Internet, che aveva comprato per tenere d’occhio il suo cagnolino mentre lei è fuori casa, ha cominciato a muoversi da sola e a parlarle.

Rilana racconta di essere tornata a casa e di aver sentito una voce proveniente dalla telecamera, che si rivolgeva a lei in francese, dicendole “Bonjour madame”. Si è spaventata così tanto che ha scollegato la telecamera dall’alimentazione e l’ha chiusa in una scatola.

La donna pensava di essere impazzita, ma ha raccontato l’episodio a un amico e ha deciso di ricollegare la telecamera per documentare in video il fenomeno. Puntualmente sono ritornate le voci.

Questo genere di attacco avviene perché molte di queste telecamerine di sorveglianza contengono software difettoso e non aggiornato e vengono spesso installate senza cambiarne le password di accesso predefinite. Molti utenti non sanno che una telecamera connessa a Internet è rilevabile da chiunque con gli appositi motori di ricerca (come Shodan.io) e quindi è un bersaglio facile per ficcanaso e burloni.

La donna, giustamente, si chiede “Che cosa ha visto di me questa persona? La mia casa, le mie cose personali...la mia privacy”. Prima di installare in casa dispositivi come questi, insomma, pensiamoci bene e dedichiamo qualche minuto a leggere il manuale d’istruzioni per cambiare le password predefinite e scaricare gli aggiornamenti del software di controllo.
1 commento

Microsoft, aggiornamenti di sicurezza importanti risolvono attacco già in corso

Il più recente aggiornamento di sicurezza per chi usa software Microsoft è piuttosto massiccio: risolve una sessantina di falle che riguardano Internet Explorer, Edge, Windows, Office, Skype e altro ancora. È consigliabile installare questo aggiornamento appena possibile, anche perché una delle falle corrette viene già sfruttata attivamente per attacchi informatici.

La falla in questione, la CVE-2017-11826, riguarda quasi tutte le versioni di Microsoft Office e permette a un aggressore di prendere il controllo del computer della vittima semplicemente mandando alla vittima un file Office appositamente confezionato e convincendola ad aprirlo.

Per esempio, potreste trovarvi con il computer infettato semplicemente perché avete ricevuto una mail con un allegato Word che sembrava provenire da un amico o da un cliente e avete aperto l’allegato con Word non aggiornato: una tecnica classica, che in questo caso non è ipotetica ma molto concreta, dato che sono già stati segnalati attacchi che la sfruttano e campioni di documenti infettanti.

Uno di questi, rilevato a fine settembre, mostra bene cone funzionano in concreto questi attacchi: l’aggressore ha preso di mira un numero limitato di bersagli, in modo da limitare il rischio di essere scoperto dai sistemi sentinella degli antivirus; ha creato un documento in formato RTF che a sua volta conteneva un file docx di Word. Il testo del documento era costruito su misura per essere allettante per le vittime, inducendole ad aprirlo. Una volta aperto, il documento installava un trojan con controllo remoto per rubare dati sensibili alle vittime, andando a caccia di tutti i file nei formati più diffusi usati per documenti, presentazioni e immagini (doc, docx, pdf, ppt, xls, eml, jpg, png e altri ancora) per poi inviarli via Internet al centro di comando e controllo dell’aggressore. Un sistema perfetto per procurarsi informazioni da sfruttare in seguito per attacchi mirati ai dipendenti, per esempio per convincerli a effettuare trasferimenti di denaro verso conti che sembrano quelli dei fornitori ma appartengono in realtà ai truffatori.

Conviene quindi aggiornare i prodotti Microsoft, se li usate, avere un antivirus aggiornato e comunque usare prudenza (per esempio un prodotto alternativo come Libreoffice) nell’aprire gli allegati di qualunque provenienza.
4 commenti

Antibufala: la colletta di WhatsApp per la neonata cieca

Mi sono arrivate parecchie segnalazioni di un appello che sta girando su Whatsapp sotto forma di una foto di una neonata (mostrata qui accanto) accompagnata da un messaggio vocale in italiano, che trascrivo:

Ragazzi, buonasera a tutti. Allora, questa bimba è cieca, e il proprietario di Whatsapp, non so come [perdindirindina] si chiama, l’ha presa in carico per fare l’operazione a spese sue. Costa sui 200.000 euro. Non chiede i soldi a nessuno, chiede solo che si gira questo messaggio, perché su ogni messaggio mandato lui sborsa 50 centesimi. Non dovete dare né soldi né niente, solo mandarlo a amici e conoscenti, ecco. Va bene? Grazie.

L’appello è falso: se fosse vero, sarebbe presente anche sul sito di Whatsapp, ma non lo è. E non si capisce perché il “proprietario di WhatsApp”, che presumibilmente sarebbe Mark Zuckerberg (visto che WhatsApp è di proprietà di Facebook), che è miliardario, dovrebbe giocare con la vita e la salute di una neonata: se il messaggio non girasse a sufficienza, la lascerebbe cieca?

L’appello è insomma una totale perdita di tempo: una variante moderna degli appelli in stile George Arlington che circolano da almeno quindici anni su Internet. L’unica differenza rispetto alle catene di Sant’Antonio diffuse via mail è che questa, viaggiando su WhatsApp e quindi all’interno di un sistema gestito in blocco da una singola azienda, sarebbe in effetti tracciabile, a differenza delle catene via mail. Un altro sintomo della differenza fra l’Internet aperta, senza proprietari unici, e i giardinetti cintati privati che vanno di moda adesso.

Bufale un tanto al chilo segnala che l’appello esiste anche in versione inglese, ma accompagnato dalla foto di un’altra bambina, e che la neonata mostrata nella foto attuale è prelevata da una notizia di cronaca avvenuta in Marocco. La vicenda, insomma, è stata costruita a tavolino per far leva sui buoni sentimenti delle persone.
9 commenti

Antibufala: torna l’allarme (falso) per i rossetti al piombo

Credit/fonte: PXhere (CC)
Se avete condiviso sui social network o su WhatsApp un messaggio che parla di rossetti cancerogeni al piombo, che è un falso allarme che sta girando moltissimo in questi giorni, fate molta attenzione: potreste essere denunciati per diffamazione.

Questo falsa notizia elenca alcune marche specifiche di rossetto, accusandole di contenere piombo (cosa non vera), e può sembrare credibile perché presenta la testimonianza di un medico o di un ospedale (che però in realtà non esiste o non ha mai dichiarato quello che gli viene attribuito). I nomi citati sono per esempio quelli della “dott. ssa Claudia Pirisi, oncologa”, della “dottoressa Elizabeth Ayoub, medico biomolecolare”, come segnalato da Bufale un tanto al chilo e David Puente.

A volte viene citato anche un esperimento da fare per sapere se il rossetto che usate è a rischio: mettere del rossetto sulla propria mano e strofinarvi sopra un anello d'oro. Se il rossetto diventa nero, dice l’allarme, è pericoloso. In effetti se ci provate noterete che spesso compaiono davvero segni scuri sul rossetto, e questo sembra confermare l’autenticità dell’appello. Ma in realtà molti metalli (per esempio oro, argento e rame), lasciano segni scuri se li si strofina contro qualunque superficie, un po' come fa una matita, e quindi questo esperimento non dimostra affatto che un rossetto contiene piombo.

L’allarme si conclude di solito citando il nome di una singola marca di rossetto che non conterrebbe piombo. Ma anche questo è falso e ingannevole: nessun rossetto in commercio contiene piombo, che è vietato per l’uso nei cosmetici.

Per essere pignoli, un’analisi di laboratorio potrebbe rilevare tracce di piombo in un rossetto, ma questo avviene perché le analisi sono sensibilissime e riescono a rilevare quantità incredibilmente piccole delle sostanze cercate, ossia parti per milione, che equivalgono a grammi per tonnellata: quantità minuscole, considerate non pericolose, che è impossibile eliminare dai processi di produzione, tant’è vero che le troveremmo in qualunque alimento o prodotto, insieme a tracce di tanti altri elementi chimici. A questi livelli infinitesimali, insomma, il mondo intero è decisamente impuro.

Se volete saperne di più sulla regolamentazione dei rossetti, Keyforweb.it segnala la Direttiva Cosmetici dell'UE e le norme sui cosmetici dell'FDA statunitense.

Citare una specifica marca di rossetto dicendo che è senza piombo e accusare le altre di contenerne è pura disinformazione che ha un forte effetto réclame, e quindi questa è una fake news pubblicitaria che siamo noi a diffondere, se non stiamo attenti e inoltriamo senza riflettere.

Fra l’altro è una fake news che ha avuto un successo enorme: circola infatti indisturbata almeno da quattordici anni (ne avevo parlato nel 2008, segnalando che i primi avvistamenti risalivano al 2003) nonostante tutte le smentite. Questo dimostra l’importanza di non condividere allarmi se non si ha il tempo di verificarli, anche se ci arrivano da amici o da persone di cui ci fidiamo.

E in questo caso, dato che il falso allarme accusa alcune marche ben precise di rossetto di avvelenare i clienti e ne scagiona una altrettanto ben identificata, chi diffonde questa notizia falsa si espone appunto al rischio di denuncia per pubblicità sleale o diffamazione, oltre a seminare paura inutilmente. Pensateci.
95 commenti

Su Le Scienze parlo del più grande avvelenatore di tutti i tempi

Nel numero 590 di Le Scienze attualmente in edicola trovate un mio articolo che racconta la storia incredibile dell’introduzione del piombo tetraetile nella benzina: uno dei casi di avvelenamento di massa più sconcertanti che io abbia mai studiato. Il colpevole principale è un uomo dal nome apparentemente innocuo, Thomas Midgley, che ha letteralmente avvelenato il pianeta intero non una, ma due volte.

Avrei potuto scriverne per decine di pagine, perché è una storia piena di colpi di scena e di assurdità che lasciano davvero l’amaro in bocca ma che dovrebbero essere raccontate per spiegare quali e quanti crimini sono stati commessi dall’industria petrolifera in nome del profitto e poi insabbiati. È da vicende oscene come questa che viene la mia grande voglia di fare a meno, il più presto possibile, di avere un’auto che rigurgita veleni. E sono questi i complotti reali di cui i complottisti dovrebbero occuparsi se avessero un minimo di capacità e coscienza.

Se volete saperne di più, oltre a leggere il mio articolo su Le Scienze, vi consiglio il rapporto dell’Agenzia Europea per l’Ambiente intitolato Late lessons from early warnings II, la cui sezione Lessons from Health Hazards racconta (da pagina 46 a pagina 72) tutta la vicenda in inglese.
13 commenti

“Le Iene” torna a parlare di Blue Whale

Persone che affrontano seriamente
il tema del suicidio giovanile.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi per incoraggiarmi a scrivere ancora. Pubblicazione iniziale: 2017/10/09 5:06. Ultimo aggiornamento: 2017/10/09 11:50.

Se non leggi altro, leggi almeno questo: non è vero che se non finisci il Blue Whale Challenge uccideranno i tuoi genitori; quelli che si spacciano per “curatori” sono solo dei bulli malati che vogliono fregarti. Puoi batterli con un clic: bloccali. Le Iene vogliono spaventarti con il Blue Whale per fare soldi con la pubblicità. Non farti fregare: spegni la TV. Se sei finito nel Blue Whale o in qualche “sfida” simile, o conosci qualcuno che ci è finito, parlane con gli amici, con i genitori, con un docente. Troverai aiuto. 

---

Nella puntata andata in onda domenica sera su Italia 1, il programma Le Iene è tornato a parlare del cosiddetto Blue Whale Challenge (BWC): una sfida online che spingerebbe tantissimi giovani al suicidio tramite le istruzioni fornite via Internet da un cosiddetto “curatore”.

Riassumo le puntate precedenti della vicenda:

  •  Le Iene aveva già parlato del BWC il 14 maggio scorso, suggerendo che questa sfida avesse già fatto vittime in Italia e creando così un panico mediatico enorme nel paese ma generando anche molte proteste e critiche (per esempio Valigia Blu) per la carenza di prove e il sensazionalismo esasperato.
  • Andrea Rossi di Alici Come Prima aveva poi dimostrato (video) che i video di suicidi mostrati in maniera così drammatica da Le Iene erano falsi: non si riferivano affatto al Blue Whale Challenge.
  • Il 7 giugno, Matteo Viviani (de Le Iene) aveva poi ammesso sul Fatto Quotidiano che non aveva verificato la provenienza di quei video: una leggerezza assolutamente imperdonabile, specialmente su un tema delicatissimo come il suicidio giovanile.
  • Dopo qualche giorno di clamore, tutti i media italiani hanno smesso di parlare di Blue Whale, come ha notato Wired.it (“Che fine ha fatto Blue Whale?”, 29 settembre).
  • La paventata ondata di suicidi che sarebbero stati istigati in Italia da questa sfida non c’è stata.

Il ritorno de Le Iene sull’argomento domenica sera è stato molto meno sensazionalista rispetto alla prima puntata: ha presentato documentazioni e interviste ad autorità in mezzo mondo, dando l’impressione di dimostrare di aver avuto ragione. Ma guardando il nuovo servizio con attenzione emerge che in realtà la redazione del programma ha tentato furbescamente di spostare i paletti della discussione per scagionarsi, attribuendo ai suoi critici cose che non hanno mai detto o scritto.

---

Primo paletto spostato: Matteo Viviani sostiene ripetutamente che chi ha criticato il primo servizio de Le Iene sul BWC avrebbe detto che questa sfida non esiste ed è una bufala. È falso.

I critici (me compreso) in realtà hanno detto che il concetto di BWC esiste, che i suicidi giovanili esistono e in particolare in Russia sono molto numerosi, ma mancano prove ufficiali che colleghino BWC e suicidi, specialmente in Italia (BBC; The Globe and Mail; Il Post). In particolare, i 130 casi di suicidio giovanile in Russia citati da molti giornali di tutto il mondo non sono affatto collegati specificamente al BWC.

Infatti Blue Whale Challenge è semplicemente una delle tante sigle usate nei gruppi online dedicati al suicidio; è quella, fra le tante, che i giornalisti hanno preso e pompato. Concentrarsi su una sola sigla invece di occuparsi del problema dei suicidi e degli adescatori e istigatori online è solo sciacallaggio ingannevole; è come parlare di incidenti stradali raccontando solo quelli causati dalle Peugeot arancioni. Mi verrebbe da dire che è pigrizia giornalistica, ma Le Iene non è un programma giornalistico, è un varietà.

Insomma, i principali critici non hanno detto che il BWC è una bufala: hanno invece detto che parlarne in maniera sensazionalista e irresponsabile come aveva fatto Le Iene avrebbe ispirato emulatori e avrebbe reso reale un fenomeno che forse inizialmente era solo un meme e un mito di paura inventato, come Slenderman.

Chi, come me, va spesso nelle scuole italiane a parlare di informatica e sicurezza agli studenti e ha figli in età scolare sa benissimo che si mormorava di BWC ben prima del primo intervento de Le Iene e degli articoli sui giornali italiani: ma abbiamo preferito parlarne responsabilmente, caso per caso, invece di ingigantire il problema, di concentrarci ingannevolmente su una sola sigla, di creare falsi allarmi e di seminare il panico. 

L’arresto in Russia di Ilya Sidorov con l’accusa di essere un “curatore” del BWC, segnalato in questo video da Viviani l’11 giugno scorso e citato anche nella puntata di ieri sera de Le Iene, viene presentato dal programma come una dimostrazione dell’esistenza del fenomeno BWC. Ma in Russia i media parlano di BWC dal 2016, per cui viene il dubbio che Sidorov sia un emulatore, creato involontariamente dal clamore mediatico. Questo arresto (con tanto di videoconfessione estorta in condizioni agghiaccianti) dimostra soltanto che adesso in Russia c’è chi adesca usando la sigla Blue Whale Challenge resa famosa dai media.

---

Secondo paletto spostato: nel nuovo servizio, Viviani chiede ripetutamente agli esperti e inquirenti intervistati se sia giusto o no parlare pubblicamente del Blue Whale Challenge e tutti gli rispondono che se ne deve assolutamente parlare. Questo sembra dare ragione a Le Iene per averne parlato.

Ma è falso che i critici abbiano detto che non se ne deve parlare: hanno detto invece che è importantissimo come se ne parla. Non si parla di suicidio giovanile fra un frizzo e un lazzo e una pubblicità in un programma di varietà come Le Iene. Non si mostrano video di suicidi (oltretutto falsi). Non si mette la musica struggente. Non si spaccia un dramma di famiglia per un caso italiano di Blue Whale intervistando e imbeccando un bambino. Se ne parla al telegiornale e nei programmi di approfondimento giornalistico serio; se ne parla nelle scuole con i docenti e con gli esperti della polizia; si rispettano le linee guida sviluppate dall’OMS per non peggiorare il problema. Si mette in guarda in generale contro ogni adescatore, invece di fissarsi su una singola sigla pittoresca.

La cosa più assurda è che Matteo Viviani si contraddice e si sbufala da solo quando tenta di dimostrare che l’allerta Blue Whale è un problema serio mostrando come è stato gestito negli altri paesi: tramite le autorità, i telegiornali, i programmi TV giornalistici, le forze di polizia, gli psicologi e i docenti, andando anche nelle scuole a fare prevenzione e informazione competente, responsabile e sensibile. Appunto: se è un problema serio, e il suicidio giovanile lo è, non lo si tratta mandando in TV uno vestito di nero col cravattino e la barba di tre giorni a mostrare video farlocchi fra una battutina e l’altra.

---

Visto che questa nuova sparata de Le Iene probabilmente risolleverà la questione Blue Whale, segnalo alcuni link con le informazioni di base sulla vicenda, utili per discuterne per esempio in famiglia o in classe:

– I consigli della Polizia Postale per gestire questo allarme, che la Polizia non conferma (usa parole come “eventuale”, “sembrerebbe“). La pagina risale al 22 maggio 2017; ho linkato la versione su Archive.org perché il sito della Polizia Postale in questo momento sembra sovraccarico, e aggiungo una copia su Archive.is.

– L’indagine di Davide Bennato, docente di Sociologia dei media digitali all’Università di Catania, maggio 2017: “delle oltre 40 segnalazioni su cui sta indagando la Polizia Postale, al momento nessuna sembra essere connessa al fenomeno del Blue Whale...Attraverso il processo di cassa di risonanza dei social media – alimentato pesantemente dai mass media – un fenomeno controverso si sta trasformando in una realtà fattuale giocando sulla paura delle persone.

– L’indagine del celebre sito antibufala Snopes, che classifica il Blue Whale Challenge come “non dimostrato“ e ne ricostruisce le origini in Russia.

– L’indagine di Know Your Meme, che definisce il BWC “leggenda metropolitana” notando che “nonostante si asserisca che oltre 100 suicidi di adolescenti siano collegati” a questa sfida “non sono state trovate prove dirette”.

– La ricerca di Sofia Lincos Blue Whale: storia di una psicosi.

– La ricerca di David Puente.

– La ricerca di Bufale un tanto al chilo.

– Le raccomandazioni dello UK Safer Internet Centre, che definisce il BWC “una falsa notizia sensazionalizzata”.

– Il mio articolo di maggio 2017, che contiene molti rimandi a fonti, indagini e linee guida per parlare correttamente di un dramma che è molto reale e non va assolutamente ridotto a una sigla. Da questo articolo riprendo queste raccomandazioni per giornalisti e comunicatori:

Come parlare correttamente del suicidio giovanile

Prima di parlare di Blue Whale e di qualunque forma di istigazione al suicidio, consultate i vostri esperti locali (come 147.ch, disponibile anche in italiano). Le raccomandazioni degli esperti concordano su alcuni punti (informativa ISTAT; linee guida generali OMS; risorse della International Association for Suicide Prevention), che valgono specialmente per i giornalisti (linee guida OMS specifiche) ma riguardano chiunque:
  • È importante evitare di indugiare sulle descrizioni dei dettagli di un suicidio o indicarne i luoghi: questo tende ad aumentare il rischio di imitazione.
  • Bisogna invece concentrarsi sui sentimenti evocati dalla notizia.
  • Bisogna essere sinceri, chiari e concisi, senza usare giri di parole o eufemismi che possono creare equivoci.
  • Bisogna spiegare che è normale provare sentimenti come rabbia, colpa, paura, insensibilità apparente di fronte a un dramma come questo.
  • Non bisogna indugiare sulle ipotetiche colpe o responsabilità, ma ispirare e manifestare offerte di ascolto, sicurezza, protezione e amore.
Da parte mia aggiungo: giornalisti, non chiamatelo “gioco”.
3 commenti

Ci vediamo oggi a Pisa all’Internet Festival?

Stamattina dalle 11 e oggi pomeriggio dalle 15 Pisa, al Teatro Verdi, l’Internet Festival presenterà una sessione dedicata a “Bufale, post verità e democrazia”, condotta da Martina Pennisi, alla quale parteciperanno Alessandro Dal Lago, Massimiliano Panarari, Vesselin Popov, Dino Amenduni, Annamaria Testa, Graham Brookie, Mattia Pappalardo, Davide Bennato, Andrea Michielotto e il sottoscritto. Ciascuno di noi avrà mezz’ora per presentare la propria relazione. Se vi va, venite a trovarci.
0 commenti

Podcast del Disinformatico del 2017/10/06

È disponibile per lo scaricamento il podcast della puntata di oggi del Disinformatico della Radiotelevisione Svizzera. Buon ascolto!
20 commenti

Kaspersky accusata (senza prove) di rubare dati all’NSA. Che se li è fatti fregare come una dilettante

Ultimo aggiornamento: 2017/10/06 19:40.

Facciamo un quiz informatico? Premessa: sei un collaboratore esterno o un dipendente dell’NSA. Ti porti a casa documenti e malware segretissimi, usati dall’NSA per penetrare le reti informatiche degli altri paesi e per difendere quelle americane (primo errore). Metti il tutto su un computer non sicuro (secondo errore). Il computer è connesso a Internet (terzo errore). Sul computer c’è un antivirus (quarto errore), che come tutti gli antivirus fa il proprio dovere e quindi rileva la presenza del malware e la segnala via Internet alla casa produttrice.

A questo punto delle spie informatiche legate alla Russia usano l’accesso fornito dall’antivirus per procurarsi una copia del malware dell’NSA prelevandola dal tuo computer e se la studiano, rendendola così inutilizzabile e compiendo l’ennesimo furto di dati ai danni della superagenzia americana. Epic fail.

Domanda: quanto devi essere cretino per fare una sequenza di errori del genere?

Domanda di riserva: quanto sono incompetenti quelli dell’NSA, che non riescono a impedire ai collaboratori di portarsi a casa malware top secret e scelgono ripetutamente gente che fa queste cose?

Questa, a mio avviso, è la vera storia dietro un articolo del Wall Street Journal che invece di sottolineare l’inettitudine dell’NSA tenta di dare la colpa di tutto a Kaspersky Lab, l’azienda russa che produce l’antivirus usato dallo sciagurato collaboratore esterno dell’agenzia (o dipendente, secondo il New York Times), insinuando che Kaspersky collabori con il governo russo senza però presentare prove e usando soltanto fonti anonime (che comunque non dichiarano che Kaspersky abbia attivamente aiutato la Russia a scoprire o rubare questi dati). Per quel che ne sappiamo finora, è molto plausibile che i criminali informatici che hanno sottratto i dati dell’NSA abbiano sfruttato qualche falla del software di Kaspersky senza il consenso dell’azienda.

In effetti, se ci pensiamo, un antivirus è il bersaglio ideale per una campagna di spionaggio: è un prodotto conosciuto e fidato, estremamente diffuso, aggiornato frequentemente, al quale gli utenti concedono per forza di cose un accesso totale ai propri dati. Riuscire a infettare un antivirus o prendere il controllo dei server dove gli utenti dell’antivirus caricano i campioni di malware rilevati sarebbe un colpo gobbo. Quello che è (a quanto pare) successo a Kaspersky, insomma, potrebbe succedere a qualunque produttore di antivirus, e non è detto che gli altri produttori siano immuni alle intrusioni o alle persuasioni delle proprie agenzie di sicurezza nazionale (o di quelle straniere).

Sottolineo che la vicenda è ancora nebulosa, anche se ben riassunta da Ars Technica, e non è chiaro se sia la ragione del recente divieto statunitense di usare prodotti di Kaspersky, su qualunque computer delle agenzie governative, visto che il furto risale al 2015. L’azienda ha negato con forza di aver collaborato con i servizi di spionaggio russi e Eugene Kaspersky in persona ha dichiarato che il suo antivirus ha semplicemente fatto quello che fanno tutti gli antivirus.

Una spy-story in piena regola, con risvolti geopolitici enormi, insomma: ma noi utenti comuni, che magari abbiamo scelto proprio Kaspersky come antivirus, cosa dobbiamo fare? Sicuramente ci conviene continuare a usare un buon antivirus, perché il rischio di essere attaccati da criminali informatici comuni è immensamente superiore (con poche eccezioni altolocate) a quello di essere presi di mira dalle spie informatiche russe. Mettiamola così: se per il governo russo (o per qualsiasi governo) siete un bersaglio informatico allettante, la scelta della marca di antivirus è l’ultimo dei vostri problemi.
9 commenti

Le Storie di Instagram vanno anche su Facebook

Credit: Techcrunch
Ultimo aggiornamento: 2017/10/06 16:10.

Techcrunch segnala che Facebook sta attivando man mano a tutti gli utenti la possibilità di condividere automaticamente su Facebook le Storie di Instagram. Il servizio funziona solo da Instagram verso Facebook e non in senso contrario.

La novità nasce forse dallo scarso successo delle Storie di Facebook, e siccome Instagram è di proprietà di Facebook è stato abbastanza logico prendere le Storie di Instagram, che sono diventate molto popolari (250 milioni di utenti), e trasferirle al social network in blu.

La convergenza fra le proprietà di Facebook, insomma, prosegue: dopo i dati di WhatsApp condivisi con Facebook, ora anche Instagram si integra maggiormente e quindi permette a Zuckerberg e soci di avere ancora più dati su di noi. Teniamolo presente quando li usiamo.
11 commenti

Facebook sperimenta le info su schermo contro le fake news

I social network hanno un ruolo fondamentale nella diffusione delle notizie false fabbricate intenzionalmente, le cosiddette fake news, dandoci il potere di disseminarle con estrema facilità (forse troppa). Bloccare le notizie false senza scivolare nella censura non è facile, ma adesso Facebook ha annunciato di aver avviato la sperimentazione di un nuovo servizio che potrebbe aiutarci a capire se una notizia è attendibile o no.

Il metodo è semplice: quando vediamo nel nostro News Feed di Facebook un link a un articolo, troveremo sul nostro schermo un piccolo pulsante che contiene una I minuscola per indicarci che toccandolo potremo avere informazioni su chi ha pubblicato l'articolo e quindi capire se è credibile. Queste informazioni verranno tratte da Wikipedia e accompagnate da un grafico che dice dove e come viene condiviso su Facebook quell'articolo. Se Facebook non ha informazioni su chi ha pubblicato l'articolo, ce lo dirà, mettendoci una pulce nell'orecchio sulla credibilità della fonte dell'articolo.

Questo dovrebbe rendere più facile distinguere fra siti attendibili e siti inventati da burloni e clickbaiter per fare soldi sui nostri clic. Naturalmente spetta a noi spendere qualche secondo in più per controllare la fonte prima di condividere una notizia, ma perlomeno questo compito sarà più facile rispetto al passato.
17 commenti

MacOS, pasticci e gaffe negli aggiornamenti a High Sierra e iOS 11

Ultimo aggiornamento: 2017/10/06 16:20.

Se avete aspettato ad aggiornare il vostro macOS alla versione 10.13, denominata High Sierra, e ad aggiornare il vostro iPhone, iPad o iPod touch alla versione 11 di iOS, avete fatto bene: ci sono stati parecchi problemi, oltre a quelli segnalati la settimana scorsa, tanto che Apple ha pubblicato degli aggiornamenti agli aggiornamenti.

Per macOS è uscito il Supplemental Update, che oltre a risolvere alcuni problemi di stabilità del programma d'installazione, di Adobe InDesign e della mail di Yahoo aveva un difetto decisamente imbarazzante: le password di protezione dei dischi cifrati in formato APFS erano visualizzate sullo schermo quando si usavano le applicazioni di gestione dei dischi, come racconta Apple. I problemi con Unity, la suite di sviluppo di giochi multipiattaforma molto popolare fra gli utenti Mac e iOS, invece continuano e vale ancora la raccomandazione di non aggiornare macOS a High Sierra se usate Unity.


Per il mondo iOS, invece, sono stati distribuiti due aggiornamenti dopo il rilascio di iOS 11: il più recente, iOS 11.0.2, risolve i problemi di audio nelle telefonate fatte con l'iPhone 8, di sparizione di alcune foto (in realtà semplicemente nascoste ma non cancellate) e nella posta cifrata. Le magagne con chi usa Microsoft Exchange per la posta su iOS sono già state risolte con l'aggiornamento precedente (11.0.1).

Passati questi problemi di dentizione, per così dire, ora è probabilmente il momento giusto per aggiornare macOS e iOS se i vostri dispositivi lo consentono.
8 commenti

L’origine del mito degli Illuminati

Ultimo aggiornamento: 2017/10/06 19:30. 

Gli Illuminati, la presunta società segretissimissima che governerebbe di nascosto i destini del mondo, sono un caposaldo del cospirazionismo su Internet e fuori dalla Rete. Ma mi chiedo quanti di quelli che ci credono (o hanno qualche dubbio) sanno realmente com'è nata questa storia.

Lo spiega la BBC in un bell'articolo che ricostruisce la genesi degli Illuminati così come vengono raccontati oggi dai complottisti: l'omonima società segreta bavarese del Settecento non c'entra nulla. Tutto nacque invece negli anni Sessanta del secolo scorso, quando fu pubblicato in tiratura molto modesta un libro autoprodotto, Principia Discordia, che era stato pensato come una parodia delle religioni e dei culti. Il libro presentava con finta serietà il culto di Eris, dea appunto della discordia, e si proponeva come manifesto di un gruppo di anarchici buontemponi che voleva ispirare forme di disubbidienza civile, scherzi e finte notizie satiriche.

I suoi autori, Greg Hill e Kerry Wendell Thornley, decisero che uno degli strumenti di creazione del caos che faceva parte di questo manifesto sarebbe stata appunto l'invenzione di false notizie sugli Illuminati. Un loro compare, Robert Anton Wilson, lavorava per la rivista Playboy: lui e Thornley iniziarono a inviare alla rivista lettere inventate, attribuendole a lettori inesistenti, che parlavano di questa élite segreta degli Illuminati. Alcune lettere smentivano le altre, con l'intento di creare maggiore scetticismo nei confronti delle notizie pubblicate. Ma le cose andarono ben diversamente: Wilson e Robert Shea scrissero una trilogia dedicata agli Illuminati (The Illuminatus! Trilogy), ai quali attribuirono ogni cospirazione e dramma dell'epoca, come l'assassinio del presidente Kennedy, in un vortice parodistico che somiglia a una versione cartacea di Lercio.it. L'intento era umoristico, ma la trilogia fu presa sul serio dal sottobosco dei cospirazionisti e divenne un successo inatteso, che persiste da decenni.

Oggi anche celebrità come Jay-Z e Beyoncé usano i simboli degli Illuminati creati da Thornley, Hill, Shea e Wilson e durante i concerti alzano le mani per formare il triangolo che sarebbe il segno di riconoscimento della setta inesistente. Chissà quante di queste celebrità, dei loro fan e degli appassionati di teorie di complotto sanno di essere cascati in una burla inventata a tavolino.