Cerca nel blog

2016/03/31

Nuovo aggiornamento dell’Almanacco dello Spazio

Ho appena messo online l’aggiornamento mensile del mio Almanacco dello Spazio, un e-book che racconta le ricorrenze spaziali e astronomiche di ciascun giorno del calendario, con chicche, immagini rare e curiosità di ciascun evento.

Il libro è in lavorazione (sono a buon punto cinque mesi su sette, con quasi 900 voci) ed è scaricabile liberamente sotto licenza Creative Commons, presso Almanaccodellospazio.it, grazie alle donazioni dei sostenitori del progetto. Buona lettura!

2016/03/29

Repubblica, Elena Dusi e gli aerei che voleranno “al quadruplo della velocità della luce”

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ringrazio Enrico B. per la segnalazione.

Far scrivere un articolo di aeronautica a qualcuno che sappia almeno la differenza fra velocità del suono e velocità della luce sembra essere un concetto estraneo alla redazione di Repubblica. E non mi si venga a dire “sì, ma è la redazione Web, il cui sito è gratuito, cosa pretendi?”, perché questa perla proviene da Repubblica su carta, a pagina 31.


Ma chi se ne frega, l’importante è che la gente veda il mega-giga-superspottone pubblicitario in mezzo alla pagina. Che qui ho oscurato.



E lo chiamano giornalismo.

L’FBI è entrata nell’iPhone del terrorista. Quello nel quale giurava di non poter entrare

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2016/03/29 11:35.

L’FBI ha depositato una dichiarazione legale (altra copia qui) nella quale afferma di essere riuscita ad entrare nell’iPhone del terrorista Syed Farook (vicenda discussa in questi articoli) e quindi rinuncia all’ordine del Dipartimento di Giustizia che imponeva ad Apple di assistere nello scardinamento delle sicurezze del telefonino (e, di conseguenza, di tutti gli iPhone dello stesso tipo al mondo).

Va notato che l’FBI aveva rilasciato una dichiarazione giurata nella quale asseriva invece ripetutamente che la collaborazione di Apple era l’unico modo possibile per accedere ai dati presenti nel telefonino (per esempio: “Apple has the exclusive technical means which would assist the government”, p. 3; “the FBI cannot do so without Apple’s assistance”, p. 5; “the assistance sought can only be provided by Apple”, p. 7; “there may be relevant, critical communications and data... that... cannot be accessed by any other means known to either the government or Apple”, p. 19).

Non possono essere vere entrambe le dichiarazioni, e questo pone un problemino di credibilità per le prossime volte che l’FBI o il governo statunitense farà affermazioni non supportate da prove.

Edward Snowden ha appunto un commento lapidario: “Giornalisti: per favore ricordate che il governo ha asserito per mesi che questo era impossibile, nonostante il consenso degli esperti.”

Non si sa ancora se il telefonino in questione contiene dati significativi per le indagini. Sarebbe assai ironico se, dopo tutto questo can can e dopo aver detto (in sostanza) che accedere a quel telefonino era così importante da giustificare la compromissione della sicurezza di tutti gli iPhone, l’FBI dovesse ammettere che nell’iPhone di Farook non c’è nulla di utile: cosa assai probabile, visto che Farook prese la precauzione di distruggere due altri suoi telefonini ma non questo.

Comunque sia, se l’FBI dispone di un metodo per entrare negli iPhone, conosce una loro vulnerabilità: la rivelerà ad Apple in modo che possa essere risolta, in modo che i criminali non la possano usare e in modo da proteggere i dati dei cittadini onesti e innocenti? In teoria dovrebbe farlo, visto che proprio gli esperti scelti dalla Casa Bianca hanno dichiarato che qualunque decisione di non rivelare una vulnerabilità per scopi di intelligence o di polizia espone gli utenti comuni al rischio che altri usino quella stessa falla e visto che esiste, almeno sulla carta, i Vulnerabilities Equity Process, un processo formale che consente (o impone) la rivelazione di falle di sicurezza informatica scoperte da enti governativi statunitensi. Staremo a vedere.

Molti utenti di iPhone avranno ora il timore di trovarsi con un telefonino vulnerabile, che ha una falla che potrebbe essere usata dai criminali per fare danni, ma occorre tenere presente che il modello di iPhone scardinato dall’FBI è un iPhone 5c, quindi non la versione più recente, che ha un hardware di sicurezza potenziato, e che nei mesi trascorsi dai fatti di sangue di San Bernardino causati da Farook Apple ha rilasciato parecchi aggiornamenti del proprio software rispetto all'iOS 9 dell’iPhone in oggetto.

Si vocifera che sia coinvolta la società di sicurezza Cellebrite, ma non ci sono prove, ed è possibile che si tratti semplicemente di una diceria (partita dalla stampa israeliana) autopromozionale. Non ci sono dettagli certi sulla tecnica hardware o software utilizzata.

Apple ne esce molto bene, schierandosi dalla parte dei propri clienti e dalla parte dei diritti dei cittadini, che una volta tanto coincidono con gli interessi commerciali. Cosa più importante, Apple (insieme ad altri grandi nomi dell’informatica, alleatisi con lei) è riuscita a evitare che si stabilisse un precedente legale pericolosissimo che l’avrebbe costretta fondamentalmente a scrivere malware per violare gli iPhone dei propri clienti.

Ma la vera questione di fondo è che questa vicenda dimostra che non era affatto necessario indebolire la sicurezza di tutti in nome dell’antiterrorismo, come invece affermavano le autorità statunitensi andando contro il parere unanime degli esperti, e che quindi siamo di fronte all’ennesima puntata del teatrino della sicurezza. Complimenti all’FBI per lo sfoggio d’incompetenza tecnica e per aver minato ulteriormente la fiducia nelle autorità.


Fonti: EFF, The Intercept, Ars Technica.

2016/03/28

Farsi selfie fa male alla pelle? No, ma scopiazzare dal Daily Mail fa male al giornalismo

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Il Giornale, a firma di Rachele Nenzi, pubblica un articolo (copia su Archive.is) intitolato I selfie fanno male alla pelle. Senza ma e senza se, e senza punti interrogativi a salvaguardia del legittimo dubbio. No, per Rachele Nenzi e per il Giornale è un dato di fatto incontestabile.

“Una ricerca di un dermatologo inglese ha svelato la pericolosità per la pelle dei famosi autoscatti” dice l’articolo, facendo il nome del dermatologo in questione, il londinese Simon Zokaie, e precisando che si tratta di una “ricerca scientifica”.

Ci si potrebbe aspettare che la Nenzi abbia attinto a qualche rivista scientifica, visto che parla di “ricerca scientifica”, ma una ricerca in Google per le parole “Simon Zokaie” selfie rivela invece soltanto un articolo del Daily Mail (copia su Archive.is). Che, vorrei ricordare ai lettori distratti e ai giornalisti pigri, non è una pubblicazione scientifica.

L’articolo del Mail parla della presunta pericolosità dermatologica della “HEV light”, ossia la luce blu, visibile ad alta energia emessa dagli schermi dei computer e del telefonini. Non dalle fotocamere (che non emettono luce, ma la raccolgono). Quindi la quantità di selfie non c’entra nulla: è il fatto di passare tanto tempo davanti agli schermi a causare, secondo il Mail, l’invecchiamento precoce della pelle.

In sintesi: l’articolo del Daily Mail è una stronzata e Rachele Nenzi ha copiaincollato una stronzata. E il Giornale l’ha pubblicata.

Per chi volesse sapere come stanno le cose, un paio di articoli un po’ più documentati: All About Vision, PreventBlindness, che ricordano che la fonte di luce HEV di gran lunga più importante è il Sole. Specificamente, “trascorrere un’ora all’aperto in una normale giornata di cielo coperto espone i nostri occhi a 30 volte più luce blu che trascorrere un’ora al chiuso davanti a uno schermo” (Zeiss.com) e che finora gli effetti sugli occhi (non sulla pelle, come scrive il Mail) di questa luce sono stati rilevati soltanto su cavie esposte a dosi equivalenti a fissare una lampada da 100 watt per ore di seguito. Meglio tenerlo presente prima che parta l’ennesima orgia di articoli seminapanico che denunciano il nuovo pericolo tecnologico e vendono cremine, gingilli e altri rimedi truffaldini.

2016/03/27

Per tutti quelli che dicono che il debunking è inutile: De Niro fa dietrofront sull’antivaccinismo

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Da quando è uscita una ricerca che sembra indicare che contrastare le false credenze e i complottismi è inutile perché tanto nessuno cambia mai idea, me l’hanno chiesto in tanti: fare debunking è davvero fatica sprecata?

La risposta è no, non è fatica sprecata, e se qualcuno avesse bisogno di un promemoria in questo senso oggi posso fare un nome ben preciso di uno che ha cambiato idea. E non uno qualunque: Robert De Niro.

Il Tribeca Film Festival, appuntamento di spicco del mondo cinematografico di cui De Niro è cofondatore, aveva messo in programma Vaxxed: un “documentario” sui vaccini realizzato da Andrew Wakefield. Sì, quel Wakefield: il medico britannico radiato dall’ordine perché aveva fabbricato i risultati che sembravano legare i vaccini all'autismo allo scopo di lucrare su un vaccino alternativo. Per questo si è intascato circa mezzo milione di euro. È da lui, dalla sua avidità incosciente, che è nato l’attuale antivaccinismo, con tutti i danni e i morti che sta provocando.

Vaxxed insinua che ci sia stato un complotto per boicottare la scoperta di questo presunto legame vaccini-autismo: è una balla spudorata che non ha uno straccio di prova a supporto. Moltissimi altri studi scientifici l’hanno cercato e non l’hanno trovato. In compenso sono state trovate le prove della frode perpetrata da Wakefield. Un personaggio che, fra l’altro, di recente è andato in giro a partecipare a una crociera per complottisti d’ogni sorta (denominata Conspira Sea).

Vaxxed è insomma complottismo puro, e della peggior specie, perché se volete credere che le Torri Gemelle sono state demolite dai raggi laser della CIA o che non siamo andati sulla Luna o Hitler è ancora vivo sono affari vostri e non cambiate la vita a nessuno, ma se credete che le vaccinazioni contro morbillo o difterite siano inutili e non le fate, allora rischiate di ammazzare qualcuno.

Robert De Niro ha un figlio autistico e inizialmente ha dichiarato che è “importante che tutte le questioni riguardanti le cause dell’autismo vengano discusse ed esaminate apertamente... questa è una questione molto personale per me e per la mia famiglia e voglio che ci sia una discussione e per questo proietteremo Vaxxed. Non sto promuovendo personalmente il film e non sono un antivaccinista; sto soltanto fornendo l’occasione di una conversazione sul tema”.

Solo che introdurre nella discussione un documentario che disinforma non aiuta affatto a fare chiarezza. Fa solo confusione e intralcia la ricerca nelle vere cause dell’autismo. E la presenza del documentario al festival, con il supporto di un nome celeberrimo come quello di De Niro, inevitabilmente gli conferirebbe prestigio e autorevolezza.

Molti giornalisti e critici hanno chiesto a De Niro di informarsi meglio su Vaxxed e di dare ascolto a chi aveva smontato con i fatti, anche in tribunale, le tesi infondate di Wakefield, e De Niro l’ha fatto: il giorno dopo la dichiarazione che avete letto qui sopra ha cambiato idea radicalmente.

“...dopo averlo riesaminato nei giorni scorsi insieme al team del Tribeca Film Festival e altri appartenenti alla comunità scientifica non riteniamo che contribuisca o promuova la discussione nella quale speravo. Il Festival non cerca di schivare le controversie. Ma abbiamo delle preoccupazioni a proposito di alcune cose in questo film che secondo noi ci impediscono di presentarlo nel programma del Festival. Abbiamo deciso di rimoverlo dal nostro programma.”

In altre parole, Robert De Niro non toglie Vaxxed dal programma per fare censura: lo toglie perché racconta balle.

Siete ancora convinti che non cambia idea mai nessuno e che fare debunking non serva a niente?


Fonti: Forbes, Jezebel, Jezebel, Jezebel.

2016/03/26

Samantha Cristoforetti a “L’erba dei vicini” (Rai)

Ultimo aggiornamento: 2016/03/29.

L’intervento è disponibile in streaming e in versione scaricabile: Sam arriva a 41:00 e termina a 50:10.

Inizialmente avevo embeddato lo streaming in questo articoletto, ma poi ho ricevuto parecchie lamentele per la partenza automatica dell’audio che dava fastidio a molti, per cui ho riscritto il tutto. Starò più attento in futuro. Grazie ai commentatori per l’indicazione del link alla versione scaricabile.


2016/03/25

Podcast del Disinformatico del 2016/03/25

È disponibile per lo scaricamento il podcast della puntata di oggi del Disinformatico della Radiotelevisione Svizzera. Buon ascolto!

La bizzarra storia di Sergei Krikalev, cosmonauta abbandonato nello spazio

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2016/03/31 21:45.

Sergei Krikalev all’epoca della sua insolita missione:
si nota uno scorcio della bandiera sovietica
sul braccio della tuta. Credit: Claude Lafleur.
Il 25 marzo 1992, ventiquattro anni fa, rientrava sulla terra il cosmonauta Sergei Krikalev, reduce da ben 311 giorni trascorsi suo malgrado nello spazio a bordo della stazione spaziale Mir. Era rimasto intrappolato a bordo della stazione per diversi mesi in più del previsto per una ragione molto particolare: il paese che l’aveva lanciato in orbita non esisteva più. Questa è la sua storia, tratta dal mio libro digitale gratuito Almanacco dello Spazio.


18 maggio 1991: l’Unione Sovietica è già scricchiolante quando il cosmonauta trentaquattrenne Krikalev (foto qui accanto) parte dal cosmodromo di Baikonur con la Soyuz TM-12 per raggiungere la stazione spaziale sovietica Mir, insieme al collega russo Anatoly Artsebarsky e alla britannica Helen Sharman (vincitrice di un concorso commerciale), ma nei mesi successivi avviene il crollo completo.

Mentre Krikalev è a bordo della Mir per una missione che secondo i piani dovrebbe durare circa sei mesi, in Unione Sovietica succede di tutto sotto gli occhi attoniti del mondo: un colpo di stato ad opera di membri conservatori del Partito Comunista, del KGB e delle forze armate culmina con l’arresto del presidente Gorbaciov e con l’attacco militare alla sede del parlamento, ma poi fallisce (19-21 agosto 1991); il Partito Comunista che imperava nel paese viene sciolto per decreto (24 agosto 1991); dieci delle repubbliche che componevano l’Unione Sovietica dichiarano la propria indipendenza (agosto-dicembre 1991); Russia, Ucraina e Bielorussia costituiscono la Comunità degli Stati Indipendenti (12 dicembre 1991), alla quale aderiscono poi altre otto repubbliche ex sovietiche (21 dicembre 1991); e in un solo giorno Gorbaciov si dimette e viene rimpiazzato da Boris Yeltsin, l’Unione Sovietica cessa di esistere, la Repubblica Socialista Sovietica Russa viene rinominata Federazione Russa e la bandiera rossa con falce e martello dell’Unione Sovietica viene tolta dal Cremlino e sostituita con il tricolore russo (25 dicembre 1991). Persino la città dove Krikalev è cresciuto cambia nome: non si chiama più Leningrado ma San Pietroburgo.

Come se tutto questo non bastasse, uno dei voli spaziali che doveva contribuire al ricambio dell’equipaggio della stazione viene annullato (Helen Sharman è tornata sulla Terra da tempo, il 26 maggio 1991, con la Soyuz TM-11 insieme a Viktor Afanasyev e Musa Manarov, che erano già a bordo della Mir). Inoltre il cosmodromo sovietico di Baikonur dal quale dovrebbero partire i voli di ricambio è ora di colpo nel territorio di uno stato indipendente (la Repubblica del Kazakistan, ex Repubblica Socialista Sovietica Kazaka), che pretende di essere pagato lautamente per l’uso della base spaziale.

La Federazione Russa, disperatamente a corto di finanziamenti, rinuncia a far tornare Krikalev e sceglie invece di farsi pagare 7 milioni di dollari per portare nello spazio l’austriaco Franz Viehböck sulla Soyuz TM-13; inoltre ottiene uno sconto dal governo kazako mettendo sullo stesso volo di Viehböck il primo cosmonauta-ospite kazako (Toktar Aubakirov). Ma così facendo su quella Soyuz non c'è più posto per Alexander Kaleri, l’ingegnere di volo che avrebbe dovuto sostituire Krikalev, e quindi Krikalev non può tornare.

Aubakirov e Viehböck arrivano sulla Mir con la Soyuz TM-13 il 4 ottobre 1991, insieme al comandante russo Aleksander Volkov, e rientrano a terra otto giorni dopo, insieme ad Artsebarsky, usando la Soyuz TM-12 che sarebbe spettata a Krikalev; Volkov rimane a bordo della Mir con Krikalev.

Il tanto atteso ricambio di Krikalev, Aleksander Kaleri, arriva alla Mir con la Soyuz TM-14 il 19 marzo 1992, insieme ad Aleksander Viktorenko e al tedesco Klaus-Dietrich Flade; sei giorni dopo, il 25 marzo 1992, Volkov, Flade e (finalmente) Krikalev tornano a terra con la Soyuz TM-13.

Sergei Krikalev non si farà intimorire dalla propria disavventura, che lo porta all’attenzione dei media di tutto il mondo e ispirerà una popolarissima campagna pubblicitaria televisiva italiana della DeAgostini che mostra proprio un astronauta sovietico che trova tutto cambiato al proprio rientro: anzi, tornerà ancora nello spazio con lo Shuttle statunitense nel 1994, diventando il primo russo a bordo di un veicolo spaziale americano, e poi ancora nel 1998, quando sarà il primo russo a entrare nella Stazione Spaziale Internazionale. Non pago, volerà di nuovo su una Soyuz nel 2000 per visitare una seconda volta la Stazione, tornando con uno Shuttle, e poi ancora su una Soyuz nel 2005, con una terza visita alla Stazione, restandovi sei mesi. Tornerà sulla Terra definitivamente il 10 ottobre 2005.


Fonti: The Story of Space Station Mir, David Harland, 2005, p. 209-210 e p. 289; Flight International, 1991; Astronautix; Spacefacts; Astronautix; NASA.

Che ci fa un cervo immortale in GTA?

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2016/03/26 03:00.

Quando i videogiochi sono sofisticati e complessi offrono opportunità spesso inimmaginabili persino per i loro creatori. Quelli della serie GTA (Grand Theft Auto) sono noti a molti per le loro scene molto violente (comprese torture) e sessualmente esplicite e degradanti per le donne, ma c’è chi li usa per fare arte, o perlomeno per fare qualcosa che molti considerano arte ed è sicuramente ipnotico e surreale.

Un artista, Brent Watanabe, ha infatti creato nella propria versione di GTA un cervo virtuale e lo ha reso invulnerabile e capace di teletrasportarsi da un luogo all’altro della città immaginaria, San Andreas, nella quale è ambientato il gioco, e poi ha lasciato il gioco libero di svilupparsi da solo tramite l’intelligenza artificiale che comanda i vari personaggi e mettendo online in tempo reale i risultati in streaming video su Twitch.tv. Risultato: oltre 200.000 spettatori. Questa è Internet.

Piccola demo di ordinaria insicurezza: la telecamera del supermercato di Praga

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2016/03/25 17:45.

Siamo abituati, ormai, all’idea che quando andiamo in un centro commerciale siamo ripresi dalle telecamere dei gestori per motivi di sicurezza e ci viene spontaneo presumere che queste misure di sicurezza siano gestite responsabilmente, tutelando il diritto alla riservatezza degli utenti, per cui le riprese effettuate restano private. Siamo un po’ meno abituati all’idea che le immagini di queste telecamere siano invece visibili a chiunque a causa della superficialità delle misure di protezione adottate da questi gestori.

Un esempio molto concreto ci arriva da Shodan, il motore di ricerca per l’Internet delle cose (delle cose insicure, soprattutto), che ha scovato a Praga, presso il centro commerciale di Flora, all’omonima stazione della metropolitana, una telecamera completamente priva di protezione e accessibile a chiunque, con tanto di audio.

Non solo le immagini della telecamera sono visibili a chiunque usi semplicemente il programma gratuito VLC per visitare il link rtsp://89.xxx.xxx.xxx:554/live/ch00_0 (URL fornito automaticamente da Shodan; ometto alcune cifre dell’indirizzo IP per ovvie ragioni) senza dover digitare alcuna password, ma la telecamera è comandabile via browser da chiunque ne conosca il nome utente e la password, che sono ridicolmente ovvie (sono quelle classiche di default).



Non è una bella situazione, così ho chiesto all’Agente M di recarsi sul posto e spiegare tutto al personale del supermercato, dimostrando in tempo reale che le immagini della telecamera erano visibili a chiunque e che la telecamera stessa era facilmente comandabile.



L’Agente M mi ha comunicato che l’addetta “l’ha presa bene e ha ringraziato”. Inoltre ha parlato col capo della sicurezza del centro commerciale, che gli è sembrato molto preoccupato, specialmente quando gli sono state spiegate le implicazioni per la privacy dei clienti. Gli ho scritto una mail per spiegare l’accaduto e fornirgli dettagli tecnici che qui, per ora, non posso pubblicare. Tra qualche giorno controllerò se i tecnici avranno provveduto a turare la falla.

Aggiornamenti massicci per Apple, ma con qualche problema su iOS

Ultimo aggiornamento: 2016/03/25 16:55.

Apple ha rilasciato degli aggiornamenti molto importanti per Mac, iPhone e iPad che risolvono una falla di sicurezza che consentiva di decifrare i messaggi di iMessage e le immagini e i video custoditi in iCloud; una falla analoga era presente anche in OS X, per cui anche i computer Apple vanno aggiornati.

Gli aggiornamenti portano iOS alla versione 9.3 e OS X alla versione 10.11.4; quelli per iOS aggiungono anche funzioni riposavista, variando la regolazione dei colori dello schermo verso tinte più calde la sera allo scopo di facilitare il sonno, introducono una modalità multitente per gli iPad (molto utile per le scuole) e proteggono le Note con una password o un’impronta digitale.

Ci sono anche novità per le app di gestione della salute, e anche gli Apple TV e gli Apple Watch hanno degli aggiornamenti, rispettivamente con tvOS 9.2 e WatchOS 2.2.

Purtroppo, però, molti utenti segnalano problemi nell’aggiornamento di iPhone 4S, 5, 5C e 5S e di iPad 2, iPad Retina di terza e quarta generazione e iPad Air, che si paralizzano a metà dell’opera e non si sbloccano se l’utente non ricorda correttamente la password del proprio Apple ID. Apple ha quindi ritirato l’aggiornamento per questi dispositivi e ha pubblicato delle istruzioni in italiano per aiutare chi si trova con il tablet o smartphone inservibile.

Prima di avviare gli aggiornamenti, insomma, segnatevi bene la password e fate, come sempre, una copia di scorta dei vostri dati.


Fonti: ZDNet, Ars Technica, The Register.

Antibufala: giocoliere risolve tre cubi di Rubik al volo

Guardate questo video:


Bello, vero? Probabilmente vi sarà venuto qualche sospetto sulla credibilità del video, anche se molti ci hanno creduto, e infatti è un bel falso: è stato pubblicato il video che spiega le tecniche molto sofisticate che sono state usate per crearlo.


Il video è divertente e creativo, ma è anche un bell’esempio di quanto lavoro viene speso oggi per confezionare video falsi allo scopo di raggranellare visualizzazioni (oltre 600.000 per questo video) che portano soldi. Le telecamere e il software necessari per effetti che prima sarebbero stati un’esclusiva delle grandi produzioni cinematografiche o televisive oggi sono alla portata di tutti: basta avere talento e creatività, e ora con Youtube e affini c’è un’ottima motivazione economica. Ricordiamocelo la prossima volta che vediamo una prova video “inconfutabile”: senza una fonte attendibile, un video non dimostra nulla.

DJ mette online senza protezioni il suo mixer su PC: indovinate che succede

Ci sono ancora tanti, troppi tecnici informatici che non hanno capito che mettere online un computer per poterlo comandare a distanza è una gran comodità, ma che non proteggerlo con una password e confidare invece nel fatto che nessuno al di fuori di lui (o lei) ne conosce l’indirizzo IP è una pessima idea. È una pessima idea perché esistono servizi automatici di ricerca, come Shodan, che esplorano sistematicamente tutti gli indirizzi IP di Internet e quando trovano un computer o un altro dispositivo accessibile lo segnalano pubblicamente. A quel punto il dispositivo è alla mercé del primo che passa.

Qualche sera fa ho trovato su Shodan un PC Windows che faceva girare Virtual DJ (un programma che fa da mixer per DJ da discoteca). Incuriosito, l’ho tenuto sotto osservazione per un po’ in un angolo del mio monitor e mi sono accorto che non solo era visibile via Internet da chiunque senza dover digitare alcuna password, ma era comandabile. Era sufficiente immettere il suo indirizzo IP in una normale applicazione per la manutenzione remota, come VNC, per vedere cosa faceva il DJ e soprattutto per interferire con il suo lavoro, spegnendogli l’applicazione, cambiandogli a casaccio i brani o andando a sfogliare le cartelle contenenti immagini e altri dati personali. Che è quello che stavano facendo in tanti, con conseguente disperazione del DJ che vedeva che il computer sembrava posseduto e pazientemente cercava di rimettere a posto le cose dopo ogni incursione.

Così ho provato ad aiutarlo: non potendo rintracciare le sue coordinate di mail o telefono senza frugare nei suoi dati personali, ho lanciato Blocco Note sul suo PC e gli ho lasciato un messaggio sullo schermo.

“Ehilà, questo è un consiglio amichevole da parte di tutti su Internet. Non dovresti lasciare un PC accessibile a chiunque tramite VNC senza una password. Chiunque può trovare l’indirizzo IP del tuo PC e pasticciarci. Buona giornata.”

Sono passate alcune ore e il computer è rimasto accessibile. Per fortuna gli altri visitatori, vedendo il mio messaggio, hanno lasciato in pace il computer: un raro momento di galateo in Rete. Ma c’era il rischio che qualcuno meno rispettoso facesse devastazioni, per cui ho insistito.

“FAI QUALCOSA”, gli ho scritto. A quel punto il DJ si è reso conto che il computer non era posseduto dal demonio (o da un driver bislacco di Windows) ma che un altro essere umano stava cercando di comunicare con lui scrivendo dentro Blocco Note e ha capito che poteva usare quest’applicazione come sistema di chat improvvisato. Ha digitato qualche lettera e l'ho incoraggiato: “Sì, possiamo chattare se vuoi”. La sua risposta: “Sistemerò domani. Al momento non posso. Per favore smetti.”

Gli scritto che io lo avrei lasciato in pace, ma che altri avrebbero potuto continuare a far danni se non decideva di mettere una password di protezione. Mi ha risposto che il computer non era il suo, era della ditta, e che queste cose doveva farle il tecnico informatico. Che, mi è venuto da pensare, sta decisamente rubando lo stipendio se è così stupido da impostare un PC per la manutenzione remota senza mettergli almeno uno straccio di password.



Abbiamo chattato ancora un po'. Mi sono presentato e lui mi ha raccontato che è un DJ in California e che le incursioni degli internauti che trovavano il suo PC incustodito gli avevano “completamente mandato a p****e la serata”. Gli ho spiegato che non ero stato io.


Pochi minuti dopo ho visto che è stata finalmente impostata una password sulla sessione di controllo remoto del PC e da quel momento il computer non è più stato accessibile. Un utente salvato, anche se in maniera un po’ brutale, ma quanti altri computer ben più delicati sono in queste stesse condizioni? A giudicare dai risultati pubblicati su Twitter, tantissimi. Ecco due esempi fra i tanti che chiunque può trovare con Shodan o altri mezzi:





Se avete computer in gestione remota via Internet, imparate dalle disavventure del DJ californiano e proteggeteli almeno con una password e con una sessione cifrata, come descritto nel manuale di VNC. Non fate l’errore di pensare che un indirizzo IP sia un segreto.

2016/03/24

La bufala di Mason Wells, ragazzo “scampato a tre attentati”

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

L’agenzia di stampa AGI titola “Mason Wells, il mormone scampato a tre attentati”. Il ragazzo, dice AGI, è rimasto ferito nell’attentato di Buxelles del 22 marzo, “era presente all’attentato del 2013 alla maratona di Boston” ed “era anche a Parigi il 13 novembre” (del 2015, data degli attentati parigini).

Tantissime testate giornalistiche italiane ripetono la notizia a pappagallo: Il Mattino, Huffington Post (“Mason Wells, ferito durante l'attentato di Bruxelles, è scampato ad altri 2 attacchi terroristici a Parigi e Boston”), TGCom24, QuotidianoNet, eccetera. Ma è una bufala.

Qual è infatti la straordinaria tecnica usata da Mason Wells per sopravvivere a ben tre attentati? Semplice: basta non esserci. Wells è sì rimasto ferito seriamente nell’attentato di Bruxelles, ma al momento dell’attentato a Boston era a un isolato di distanza e in occasione di quelli di Parigi era a due ore di distanza dalla città. È scritto chiaramente nell’articolo della ABC che è la fonte originale della notizia.

Chad Wells says he and his son were only a block from the Boston marathon bombing in 2013. They went to watch his wife run the race. None of them was injured, but they felt the ground shake.

The younger Wells also was two hours away from Paris during a series of attacks in the city last November.

Non c’è, insomma, alcuna incredibile coincidenza, perché due dei tre eventi descritti non sono successi. A questa stregua è davvero facile essere “scampati” a degli attentati, come nota Butac.it. Se i giornalisti controllassero le fonti prima di scrivere, eviterebbero di pubblicare cretinate come questa, che sono un insulto a chi è davvero rimasto coinvolto negli attentati. Ma la storia di Mason Wells è la classica notizia emotivamente consolatoria che si tira fuori regolarmente quando c’è un attentato e allora si abbassa la guardia. Tanto l’importante è che la gente clicchi sul link o compri il giornale. Informarla veramente? Un optional.


Fonti aggiuntive: Snopes.com.

2016/03/23

Attentati di Bruxelles, immagini-bufala e complottisti sciacalli

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2016/03/24 13:45.

Come al solito, anche per gli attentati di Bruxelles di ieri è esplosa la mania di pubblicare qualunque immagine senza verificarne la fonte. Non è soltanto superficialità: è molto chiaramente voglia di guadagnare clic e quindi far soldi su un tragedia.

Per fortuna ci sono dei debunker che cercano di contrastare il fenomeno, come in questo caso: una manciata di minuti dopo gli attentati PressTV ne pubblica già un video, dichiarando che si tratta di una ripresa tratta da una telecamera di sorveglianza dell’aeroporto di Bruxelles nel momento dell’esplosione, ma ben presto arriva @FinnJulle a sbugiardarlo: è infatti un video che risale al 2013. Notate la data aggiunta in sovrimpressione, a conferma che si tratta di una falsificazione intenzionale e non di un equivoco.


Questo video falso è stato pubblicato anche da varie testate giornalistiche italiane, che l’hanno poi rimosso (solitamente senza alcuna rettifica). Una delle ultime a rimuoverlo è stato Il Giornale, che lo proponeva (a firma di Claudio Torre) ancora la sera del 23 marzo come se fosse stato autentico, e lo faceva nonostante Marcello Foa, sul proprio blog ospitato dal Giornale, lo avesse già sbugiardato alle dieci del mattino dello stesso giorno.

Lo screenshot della cache di Google documenta che
l'articolo di Claudio Torre era ancora online alle 20:31 GMT.

Un altro esempio di false immagini e riprese video riguardanti gli attentati di Bruxelles e spacciate per vere anche da testate giornalistiche estere è su Snopes.com. Il vizietto di pubblicare qualunque cosa purché faccia scoop, insomma, è assai diffuso.

Il debunking richiede tempo e bravura e non tutti possono fermarsi a fare ricerche su ogni immagine, ma tutti noi possiamo contribuire a contrastare questo sciacallaggio evitando di cliccare, inoltrare e retweetare qualunque immagine non autenticata; nel dubbio, meglio non inoltrarne nessuna, neanche quelle pubblicate dalle testate giornalistiche, anche per non incoraggiare il voyeurismo macabro che riemerge sempre in queste occasioni.

Naturalmente anche i complottisti non hanno colto una buona occasione per starsene dignitosamente zitti e hanno rigurgitato in Rete i propri deliri. Di solito non perdo tempo a segnalarli, ma faccio un’eccezione per un caso particolarmente patetico che dimostra eloquentemente come ragionano i complottisti: David Puente segnala che sul profilo Facebook di Rosario Marcianò (sostenitore del complotto delle “scie chimiche”) è stata infatti annunciata (copia su Archive.is) la clamorosa “scoperta” che Wikipedia sapeva già tutto degli attentati prima che avvenissero (“Questi alle 08:20 gia [sic] sapevano tutto”).


Marcianò incalza, frugando nella cronologia di Wikipedia, e sottolinea una potente rivelazione:


Marcianò, a quanto pare, non si rende conto che c'è una spiegazione banalissima: Wikipedia usa come orario il GMT, che attualmente è un’ora indietro rispetto all’ora italiana o di Bruxelles, e quindi non ha anticipato un bel niente.

Chissà se adesso i giornalisti che hanno invitato Marcianò in televisione e le amministrazioni comunali che hanno dato il patrocinio o il sostegno alle sue conferenze capiranno a chi hanno regalato un pulpito e un megafono.

2016/03/18

Podcast del Disinformatico del 2016/03/18

È disponibile per lo scaricamento il podcast della puntata di oggi del Disinformatico della Radiotelevisione Svizzera. Buon ascolto!

Finte multe portano a... Rick Astley?

Da Asheville, in North Carolina, arriva una storia bizzarra: numerosi cittadini hanno ricevuto delle multe per divieto di sosta da 100 dollari. Già questo è insolito, perché le multe di questo tipo da quelle parti costano una decina di dollari e non cento, ma c’è un altro fattore strano e molto informatico: le multe contengono un codice QR, assente nelle multe standard.

Chi ha provato a usare il codice QR, visualizzandolo con il proprio telefonino, ha scoperto che porta a un video di Rick Astley che canta Never Gonna Give You Up, il suo grande successo del 1987. Che c’entra Rick Astley con i divieti di sosta?

La faccenda pare sempre più assurda e incomprensibile fino al momento in cui i cittadini di Asheville che hanno dimestichezza con la cultura di Internet si rendono conto di essere stati rickrollati: le finte multe sono ispirate a una burla classica degli internauti, che consiste nel proporre in un forum o su un social network quello che sembra essere un link a qualcosa di altamente desiderabile (una foto introvabile, un’anteprima di un gioco o di un film attesissimo) ed è in realtà un link al video di Rick Astley.

La tradizione è nata quasi nove anni fa, a maggio del 2007, nei controversi forum di 4chan, e nel corso degli anni ha visto numerose varianti: quella che usa il codice QR al posto del link normale è soltanto una delle tante, che complessivamente hanno generato oltre 70 milioni di visualizzazioni del video di Rick Astley. Il cantante, fra l’altro, non ha incassato nulla a parte una dozzina di dollari da tutte queste visualizzazioni perché come semplice esecutore e non autore incassa una percentuale molto piccola dei diritti musicali.

L’episodio di Asheville è una burla innocente, ma è una buona occasione per parlare di un problema di sicurezza piuttosto diffuso: molti servizi pubblici (per esempio i parcheggi) usano i codici QR per consentire ai clienti di accedere facilmente a un sito con lo smartphone senza dover digitare un link complicato. Il problema è che ci sono truffatori che applicano codici QR falsi sopra quelli veri e dirottano i clienti verso siti che somigliano a quelli reali ma sono in realtà gestiti dai truffatori, per cui qualunque pagamento effettuato viene dirottato verso i criminali. Meglio quindi ricordarsi di Rick Astley e stare attenti ai codici QR che troviamo in giro: se sono applic ati e non stampati direttamente sui cartelli informativi è opportuno diffidare o almeno controllare con attenzione l’indirizzo al quale portano.


Fonte: Naked Security.

Storia di un recupero dati eccezionale: i dischetti del creatore di Star Trek

Credit: DriveSavers.
Vi siete mai scontrati con il problema di avere dei vecchi supporti informatici che contengono dati importanti e che non potete leggere perché non ci sono più i lettori o non c'è più l’applicazione che li ha scritti? Capita a tutti, e per questo esistono ditte specializzate nella lettura e conversione dei dati vintage.

A una di queste, DriveSavers, è toccata una sfida di recupero molto speciale: estrarre il contenuto dei dischetti personali di Gene Roddenberry, il creatore di Star Trek, celeberrima saga di fantascienza che quest’anno compie cinquant’anni (andò in onda negli Stati Uniti per la prima volta nel 1966).

I duecento dischetti furono ritrovati anni dopo la scomparsa di Roddenberry nel 1991: si tratta di floppy da cinque pollici e un quarto, con una capienza di 160 kilobyte (ridicola per gli standard odierni), sui quali il creatore di Star Trek registrava il proprio lavoro e annotava “idee per storie e scriveva copioni e appunti”. Materiale interessantissimo per i cultori della serie e della fantascienza in generale, ma inaccessibile.

I documenti, infatti, furono scritti negli anni Ottanta usando due computer costruiti su misura per lui, dotati di un sistema operativo personalizzato. Non c’erano, nemmeno all’epoca, altri computer al mondo in grado di leggere quei dati, e oggi uno di questi due dispositivi è guasto e l’altro è stato venduto.

Gli specialisti di DriveSavers hanno quindi speso circa tre mesi non solo per recuperare un lettore di dischi da 5,25" e collegarlo a un computer di oggi ma anche per scrivere un software che leggesse i dati, scritti sui dischetti in un formato per il quale non c’era alcuna documentazione. Il contenuto estratto non è ancora stato reso pubblico, ma è possibile che verrà rilasciato per celebrare il cinquantenario, come sta avvenendo per molti altri documenti riguardanti Star Trek e gli altri progetti di Roddenberry.

Non è noto quanto sia costato questo recupero molto speciale, ma tre mesi di lavoro non saranno certo a buon mercato. Visto che il problema ci tocca tutti è opportuno fare prevenzione, prendendo l’abitudine di usare formati standard documentati e trasferendo i dati man mano su supporti aggiornati. Insomma, è ora di prendere quella vecchia scatola di floppy sui quali avete immortalato i vostri primi passi informatici e trasferirli a qualcosa di meno arcaico prima che diventi impossibile trovare lettori di dischetti.

C’era un modo per vedere tutti i dati privati di tutti gli utenti di Facebook

Un ricercatore di sicurezza indiano, Anand Prakash, ha scoperto che esisteva un modo per entrare in qualunque account Facebook. Ma niente panico: Anand è uno dei buoni e il difetto è stato risolto.

Il ricercatore ha pubblicato la spiegazione del metodo e ne ha anche creato un video: in sintesi, si sfruttava la funzione “Ho dimenticato la password” di Facebook che manda all’utente un SMS o una mail che contiene un codice di sei cifre da immettere in Facebook per reimpostare la password e accedere al proprio profilo.

Un aspirante intruso potrebbe in teoria attivare “Ho dimenticato la password” sull’account della vittima e poi tentare tutte le combinazioni possibili delle sei cifre del codice fino a trovarlo, ma Facebook limita il numero di tentativi. Anand Prakash si è accorto, però, che questo limite non c'era nei siti di test (come beta.facebook.com) e quindi era possibile tentare infinite volte fino a trovare il codice per prendere il controllo dell’account e ottenere accesso ai messaggi, ai dati delle carte di credito memorizzate, alle foto personali, eccetera.

Il ricercatore ha segnalato la falla a Facebook, che l’ha chiusa nel giro di un giorno il 23 febbraio scorso e ha  ricompensato Prakash con 15.000 dollari.


Fonte: The Hacker News

L’importanza dell’ortografia: ladri di banca fregati da un refuso

L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2016/05/01 11:55.

Il mese scorso dei criminali informatici non identificati sono riusciti a penetrare nei computer della banca centrale del Bangladesh e a sottrarre le credenziali necessarie per effettuare bonifici. Con queste credenziali hanno poi inviato una quarantina di ordini alla Federal Reserve Bank di New York il 5 febbraio scorso, ottenendo inizialmente il trasferimento di somme ingenti a dei conti di complici nelle Filippine e nello Sri Lanka, per un totale di ben 81 milioni di dollari. Ma poteva andare molto peggio: i ladri avrebbero potuto sottrarre molto di più se non avessero commesso un banale errore di ortografia.

Quando hanno trasmesso il quinto ordine, per un bonifico da 20 milioni di dollari che aveva come beneficiario un’organizzazione non governativa dello Sri Lanka denominata Shalika Foundation, hanno sbagliato a scriverne il nome: hanno infatti scritto Fandation.

Un intermediario presso la Deutsche Bank ha notato l’errore e ha chiesto chiarimenti alla banca del Bangladesh, che ha prontamente bloccato i bonifici rimanenti. Anche la Federal Reserve Bank di New York si è allertata quando ha notato il numero cospicuo di ingenti bonifici simultanei verso conti privati. L’ammontare complessivo dei bonifici tentati era di circa 950 milioni di dollari.

Nonostante il refuso, comunque, un’ottantina di milioni di dollari ha preso il volo e non ci sono tracce dei ladri; parte della refurtiva è stata recuperata. La banca centrale del Bangladesh ha dichiarato di voler fare causa alla Federal Reserve per recuperare un’altra parte dei fondi sottratti.


2016/05/01. C’è un aggiornamento tecnico qui.


Fonti: Reuters/The Hacker News.

Perché usiamo la chiocciolina per l’e-mail? Merito di Ray Tomlinson

Credit: Wikipedia.
Il 6 marzo scorso è stata annunciata la morte di Ray Tomlinson all’età di 74 anni. Il suo nome probabilmente non dice nulla alla maggior parte degli utenti di Internet, ma è merito suo se abbiamo la mail e se abbiamo adottato la chiocciolina (@) come simbolo della mail.

A ottobre del 1971, infatti, Ray Tomlinson inviò il primo vero e-mail. Lo fece sul predecessore di Internet, denominato ARPANET. Nell’ambito del proprio lavoro, Tomlinson stava modificando SNDMSG, un programma che consentiva lo scambio di messaggi fra utenti dello stesso computer condiviso, e creò un metodo per scambiare messaggi anche fra computer distinti su reti differenti: in altre parole, creò l’e-mail.

Tomlinson non ricordava il contenuto del fatidico primo messaggio, perché non riteneva che si trattasse di un evento particolarmente importante. Disse nel 2009 che si trattò probabilmente di una serie di caratteri a caso. Non ricordava i dettagli anche perché la creazione dell’e-mail non faceva parte del suo incarico di lavoro ma gli sembrava semplicemente “un’idea carina”.

Tomlinson si trovò a dover scegliere un carattere che, nell'indirizzo di un utente, separasse il nome dell'utente dal nome del computer presso il quale risiedeva. Notò la chiocciolina sulla tastiera della propria telescrivente e gli sovvenne che questo simbolo in inglese si legge “at”, che significa appunto “al valore unitario di” ma anche “presso”. Gli venne spontaneo pensare che sarebbe stato carino se gli indirizzi di e-mail avessero avuto il formato “utente presso computer”, che in inglese è appunto “user AT computer”. Ed è per questo che gli indirizzi di e-mail usano la chiocciolina. Grazie, Ray!

Ci vediamo oggi a Perugia?

Oggi pomeriggio alle 17 sarò a Perugia, alla Facoltà di Ingegneria, in via G. Duranti 93, per tenere una conferenza intitolata Tracce di futuro - Nuovi scenari di lavoro digitale, dedicata agli studenti della facoltà sul tema delle idee e sfide per il futuro post laurea, nell’ambito della Festa dell’Ingegno.

Stasera alle 21, invece, sarò al POST (Via del Melo 34) per una conferenza intitolata Dov’è finita la mia automobile volante?: una carrellata semiseria ma suggestiva e ricca di immagini e chicche fra le visioni del futuro proposte dal cinema, con successi inquietanti e insuccessi esilaranti, per riflettere sul domani che vorremmo attraverso gli esempi del grande schermo.

2016/03/11

Podcast del Disinformatico del 2016/03/11

È disponibile per lo scaricamento il podcast della puntata di oggi del Disinformatico della Radiotelevisione Svizzera. Buon ascolto!

Promemoria: i vostri libri digitali non sono vostri

Credit: Wikipedia.
Gli e-book sono molto comodi: pratici da portare in giro, facili da consultare per cercare un brano o un riferimento. Ma è importante ricordare che un e-book non è un libro: quando lo comprate, in realtà un e-book non è vostro.

Nella maggior parte dei casi, infatti, quella che si compra è soltanto una licenza di lettura, che è revocabile in qualunque momento e non è quasi mai trasferibile. Regalare un libro a un’amica o lasciarlo ai propri figli è un gesto semplice e naturale: farlo con un e-book commerciale è spesso addirittura vietato dalla legge.

Un forte promemoria di questo stato di cose spesso dimenticato arriva da una marca specifica di lettore di e-book, la Nook, di proprietà della grande catena libraria statunitense Barnes and Noble. Nook ha annunciato che a partire dal prossimo 15 marzo i suoi e-book non saranno più in vendita nel Regno Unito e le sue attività verranno cedute a una catena di supermercati britannica (Sainsbury’s).

Lo store britannico di Nook non esisterà più, né sul sito, né sul dispositivo omonimo né come app per Android. Game over. E come se non bastasse, l’annuncio di Nook dice che con la cessione delle attività i clienti potranno continuare ad accedere “alla maggior parte” dei titoli digitali acquistati. In altre parole, alcuni dei libri che hanno comprato non saranno più a loro disposizione, ma stranamente non si parla di rimborsare gli acquisti fatti.

Antibufala: auto elettrica multata a Singapore perché inquina più di un’auto a benzina

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2016/03/11 11:05.

Varie fonti d’informazione, come per esempio l’agenzia ANSA, hanno segnalato la bizzarra notizia di una multa di 15.000 dollari ricevuta da Joe Nguyen, un proprietario di un’auto elettrica a Singapore per inquinamento eccessivo. Addirittura, titola l’ANSA, l’auto elettrica in questione (una Tesla Model S) inquina più di un’auto a benzina di pari dimensioni.

La notizia parrebbe una bufala, ma va chiarita: sotto accusa, infatti, non sono le emissioni inquinanti dell’auto elettrica in sé (che sono sostanzalmente nulle), ma quelle della filiera di produzione dell’energia elettrica usata per caricare le sue batterie.

I calcoli della Land Transport Authority di Singapore hanno tenuto conto di questa filiera e hanno portato a un valore di emissioni di CO2 di ben 222 grammi per chilometro, di gran lunga superiore a quello di un’auto a benzina recente, e quindi non solo è saltato lo sconto sulla carissima tassa locale d’importazione delle auto, ottenuto inizialmente dal proprietario perché l’auto è elettrica, ma è anche scattata la sanzione.

Chi si ferma al titolo della notizia ne conclude che le auto elettriche non sono affatto ecologiche come si dice, ma attenzione: nei calcoli della LTA il consumo di energia elettrica dell’auto è stato valutato a 444 Wh/km, mentre il costruttore dichiara che l’auto consuma meno della metà (181 Wh/km) secondo le stesse norme UNECE adottate a Singapore. Con questo valore dichiarato l’emissione di CO2 della filiera di generazione dell’energia ammonta a 90 g/km, ben al di sotto di quella di una berlina a benzina e tale da meritarsi un incentivo e non una multa, come ha confermato anche la stessa LTA.

Il motivo di questa valutazione raddoppiata, che falsa tutti i conti, è ignoto: il costruttore Tesla sta verificando eventuali errori di metodo, e c’è chi nota che basta un errore di conversione fra miglia e chilometri per avere risultati completamente sballati.

Elon Musk, boss di Tesla, ne ha parlato direttamente con il primo ministro di Singapore, Lee Hsieng Loong, che ha promesso di approfondire la questione, e nel frattempo l’azienda ha colto l’occasione per far notare che in ogni caso le emissioni indirette di CO2 di qualunque proprietario di auto elettrica calano ogni anno man mano che la rete elettrica diventa più pulita (all’aumentare della percentuale di energia di origine solare ed eolica, per esempio) mentre le emissioni delle auto a benzina rimangono invariate.

Aiuto, la mia casa smart è stata posseduta via radio

Qualcuno, probabilmente un autore di fantascienza, una volta ha detto che nelle case “smart” del futuro sarà impossibile distinguere un attacco informatico da una possessione demoniaca.

Ma non c’è bisogno di aspettare il futuro, secondo quanto riferisce la catena di emittenti radiofoniche pubbliche statunitensi NPR. Chi ha comprato l’assistente di domotica Echo di Amazon ha già questo bizzarro problema.

Echo è un dispositivo che riceve comandi vocali dal padrone di casa e manda comandi digitali ai vari dispositivi interconnessi dell’abitazione: antifurto, luci, cucina elettrica, riscaldamento. Basta dire “Alexa, spegni l’antifurto”, eccetera (“Alexa” è la parola chiave e anche il nome della assistente virtuale integrata in Echo).

 Tutto molto bello, molto cool, molto futuribile. Fino al momento in cui nella casa “smart” c’è la radio accesa su un programma come quello presentato un paio di settimane fa dalla NPR, che parlava proprio di Amazon Echo citando fra l’altro alcuni esempi di comandi. Avete indovinato: i microfoni sensibili di Echo hanno captato i comandi annunciati alla radio e li hanno eseguiti. Gli ascoltatori si sono trovati con il riscaldamento reimpostato, l’impianto audio impazzito, e altro ancora.

Un altro esempio di come l’Internet delle Cose ci viene proposta senza alcuna riflessione sulle conseguenze e senza includere una minima sicurezza predefinita, come per esempio una parola chiave di autorizzazione personalizzata o un riconoscimento della voce delle persone abilitate a dare comandi.

Aggiornamento rituale di Adobe Flash, Microsoft, Android (per chi può)

È disponibile un nuovo aggiornamento del player di Adobe Flash, che porta Flash alla versione 21.0.0.182 sotto Windows e OS X e alla 11.2.202.577 sotto Linux.

Molti computer sono configurati per aggiornarsi automaticamente, ma se necessario il player aggiornato è scaricabile manualmente qui o qui. Google Chrome e Microsoft Edge aggiornano separatamente e automaticamente il proprio player Flash.

Questo aggiornamento risolve ben 23 falle di sicurezza, indicate nel bollettino 16-08 di Adobe. Molte di queste falle sono etichettate come “critiche” (permettono di prendere il controllo del computer della vittima).

Come consueto, potete verificare quale versione di Flash avete visitando questa pagina di Adobe con ciascuno dei browser che avete installato. Potete anche impostare Flash in modo che vi chieda il consenso per attivarsi sito per sito. Se invece preferite rimuovere Flash del tutto, le istruzioni in italiano sono qui per Windows e qui per Mac.

Microsoft, invece, ha rilasciato tredici aggiornamenti che coprono falle di sicurezza in Internet Explorer, Edge, Office e varie versioni di Windows. Sono particolarmente interessanti le correzioni che risolvono difetti che consentono di prendere il controllo del computer semplicemente convincendo la vittima a visitare una pagina contenente un video oppure inserendo una chiavetta USB appositamente alterata.

Anche Android ha degli aggiornamenti: diciannove in tutto, di cui sette a coprire falle critiche che consentono di prendere il controllo del dispositivo via mail, via Web o via MMS. Nessuna delle falle è sfruttata da criminali, al momento, ma probabilmente è solo questione di tempo.

Aggiornarsi prontamente è infatti importante, come sempre, perché dopo l’uscita di un aggiornamento i criminali informatici creano e rilasciano rapidamente nuove versioni dei propri malware che sfruttano le vulnerabilità descritte dai bollettini di aggiornamento e hanno effetto su chi non si è aggiornato. Purtroppo nel caso di Android molti produttori di telefonini non rilasceranno mai l’aggiornamento, specialmente per i modelli non recenti, per cui gli utenti resteranno vulnerabili salvo acrobazie al di fuori della portata del consumatore medio. Se potete, insomma, aggiornatevi. Buon lavoro.


Fonti aggiuntive: The Register.

Spaventati per il malware che ricatta gli utenti Mac? Ma anche no


Pochi giorni fa è stato messo in circolazione il primo ransomware per computer Apple: ignoti sono entrati nei server del sito che ospita Transmission, una popolare app per scaricare file con il protocollo Bittorrent, e vi hanno collocato una versione infetta dell’app. Chi la scaricava e installava sul proprio Mac rischiava di trovarsi tre giorni dopo con tutti i dati bloccati da una password che veniva concessa soltanto dietro pagamento di un riscatto pari a un bitcoin (circa 400 dollari).

La vicenda è interessante perché si tratta del primo ransomware che colpisce gli utenti Mac, molti dei quali si sono improvvisamente resi conto di non essere invulnerabili come proclama una diffusa mitologia, e perché i criminali hanno preso il controllo di un sito normalmente affidabile e l’hanno usato per diffondere la loro app infettante, che è stata battezzata KeRanger. Hanno inoltre firmato digitalmente l’app con un certificato di sviluppo valido, cosa insolita che ha consentito all’app di superare le normali protezioni dei Mac (che solitamente accettano di installare soltanto app che hanno questa certificazione di autenticità).

Un attacco sofisticato, insomma. Ma quanti danni ha fatto? Secondo le prime analisi degli esperti, pochi. L’app infetta è stata rimossa dal sito quasi subito e sostituita con una versione pulita. Si stima che la versione infetta sia stata scaricata circa 6500 volte, per cui non siamo di fronte a un’infezione su vasta scala. Chi non ha scaricato Transmission il 4 o 5 marzo scorso non corre alcun rischio da KeRanger.

Inoltre Apple ha revocato prontamente il certificato di sviluppo usato per firmare l’app infetta e ha aggiornato automaticamente il sistema antimalware dei Mac affinché rilevi KeRanger. Di conseguenza, oggi un utente per infettarsi dovrebbe:

– andare a cercare in qualche sito di software pirata una copia di Transmission (cosa priva di senso, visto che Trasmission è liberamente scaricabile dal sito originale)
– scaricare una copia di Transmission che è infetta
– disattivare tutte le principali protezioni del Mac per installarla.

Questo non vuol dire che il pericolo è passato definitivamente, perché la stessa tecnica potrebbe essere usata in futuro su scala più vasta e con effetti molto più estesi. Stavolta è andata bene, ma è meglio cogliere l’occasione per imparare che l’invulnerabilità in informatica è soltanto un mito diffuso dal marketing. Anche per gli utenti Mac.


Fonti: Kaspersky, Ars Technica, TechCrunch, Palo Alto Networks

2016/03/09

SpaceX, stavolta il Falcon ha fatto il buco. Non nell’acqua

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).


È stata pubblicata poche ore fa questa foto della chiatta di SpaceX, battezzata Of Course I Still Love You, che reca i segni eloquenti di quello che Elon Musk ha definito “atterraggio duro” del primo stadio del vettore Falcon 9. In alto a sinistra si nota lo sfondamento del ponte; sul resto del ponte sono sparsi detriti del razzo.

SpaceX aveva messo le mani avanti, dicendo chiaramente che questo tentativo di atterraggio aveva pochissime probabilità di successo ma sarebbe stato effettuato lo stesso per fare esperienza con profili di lancio e rientro al limite delle possibilità (che sono quelli dai quali di solito s’impara di più). Va sottolineato che la missione vera e propria del Falcon 9, ossia recapitare in orbita un satellite per le telecomunicazioni, è stata completata con pieno successo: il tentativo di atterraggio era solo un obiettivo secondario.

2016/03/08

Facebook, il Ritorno dello Sgomberonte

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Ci risiamo. Oggi sono entrato in Facebook con il mio account, che tengo solo come segnaposto, e ho trovato questo:


Ho reimmesso Paolo Attivissimo, ma Facebook mi ha detto che non va bene.


Ho riprovato e Facebook ha minacciato di bloccarmi l’accesso all’account se non avessi immesso il mio “vero” nome. Notare che il mio account ha l’autenticazione a due fattori, per cui Facebook ha anche il mio numero di telefonino. E presumo che a Facebook abbiano un accessino a Internet col quale possano controllare su Google o Wikipedia o su Local.ch chi sono e cosa faccio. Macché.


Soluzione: ho immesso Paolo Sgomberonte e sono stato approvato.

Mi era già successo nel 2011 e avevo risolto nella stessa, identica maniera: in cinque anni non è cambiato nulla e Facebook non è neanche in grado di accorgersi che l’ho presa in giro due volte con lo stesso cognome-parodia.

Con buona pace di chi pensa che l’obbligo imposto da Facebook di registrarsi con il vero nome e cognome sia una misura pensata per garantire le identità e per offrire sicurezza agli utenti.

2016/03/07

11/9, tre TERABYTE di dati tecnici, foto, filmati, rapporti scaricabili

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Avevo detto che non mi sarei più occupato delle tesi di complotto intorno agli attentati dell’11 settembre 2001 salvo novità significative: ormai queste tesi sono sostanzialmente scomparse dai media di massa e sono sostenute soltanto da un pugno di bertucce rumorose, incapaci di portare uno straccio di prova in quasi quindici anni, e da chi in buona fede incappa nei berciamenti dei complottisti e ne rimane sedotto per pigrizia o mancanza di conoscenza della materia. Per i primi non c'è speranza: per i secondi c'è Undicisettembre.info.

Ma le novità significative sono arrivate, sotto forma di oltre tre terabyte di dati, foto, video, schemi tecnici, rapporti, documenti, analisi tecniche provenienti dall’immenso lavoro d’indagine degli inquirenti e degli esperti di settore. No, non tre gigabyte: tre terabyte.

Questa massa colossale di dati ha iniziato ad accumularsi a partire dal 2011 presso il 9/11 Dataset Project, un progetto imparziale mirato a “garantire la disponibilità delle informazioni raccolte dalla Comunità di Ricerca sull’11/9”. Ho terminato di scaricare tutti i file con Bittorrent pochi giorni fa e sto iniziando a catalogarli: sono una miniera immensa di dati, resoconti di prima mano e di spiegazioni tecniche altrimenti difficili da reperire.

Chi pensa ancora che le indagini degli inquirenti sull’11/9 siano costituite soltanto dal rapporto della Commissione 11/9, ed è ancora convinto che la cosiddetta “versione ufficiale” si basi esclusivamente sulle pagine di quel rapporto, ha preso insomma un granchio colossale. Lo si sapeva già, ma quando ci sono tre tera di dati aggiuntivi il concetto diventa un po’ più chiaro anche per gli ottusi e i superficiali. Perché a questo punto chi sostiene che le indagini ufficiali mentono dovrebbe chiedersi come sarebbe stato possibile falsificare così tante informazioni e farlo in modo perfettamente coerente e senza lasciarsi sfuggire nulla.

Complottismi a parte, il 9/11 Dataset Project è uno sforzo straordinario e assolutamente encomiabile di condivisione e di trasparenza.Comunque la si pensi sullo svolgimento degli eventi, questa raccolta di dati è un punto di partenza essenziale per chiunque si voglia occupare seriamente dell’argomento e voglia capire l’11 settembre.

Per chi volesse scaricare i file, va notato che il sito 911datasets.org che ospita il progetto non è sempre disponibile, per cui a volte è necessario ricorrere alla copia cache di Google o alla copia archiviata su Archive.org. La copia scaricata da Undicisettembre è comunque a disposizione di chiunque voglia duplicarla fornendo un proprio disco rigido: per conoscere le modalità di duplicazione basta scrivere a undicisettembre@gmail.com.

Tutti i dettagli e la catalogazione preliminare sono a vostra disposizione qui su Undicisettembre.info. Forza, complottisti, mettetevi a studiare.