Cerca nel blog

2016/09/30

Podcast del Disinformatico del 2016/09/30

È disponibile per lo scaricamento il podcast della puntata di oggi del Disinformatico della Radiotelevisione Svizzera. Buon ascolto!

Nuove frontiere degli attacchi informatici: oscurare un sito tramite le webcam

Ultimo aggiornamento: 2016/10/05 8:05.

Siamo ormai abituati agli attacchi informatici messi a segno tramite virus, siti falsi o documenti che rubano password. Ma pochi giorni fa KrebsOnSecurity, il sito del popolare esperto di sicurezza informatica Brian Krebs, è stato oscurato con una forma di attacco decisamente insolita: sono state utilizzate centinaia di migliaia di telecamere connesse a Internet.

Insieme a router, videoregistratori digitali e altri dispositivi connessi (la cosiddetta Internet delle cose), queste telecamere sono state infatti infettate in massa e comandate dagli aggressori in modo da generare un traffico enorme verso il sito di Krebs: l'equivalente informatico di migliaia di persone che tentano di telefonare contemporaneamente allo stesso numero. In gergo tecnico si chiama distributed denial of service o DDOS.

Si tratta di uno degli attacchi più grandi mai effettuati: le stime parlano di 620 gigabit al secondo. Per dare un senso a questa cifra, immaginate di trasmettere a qualcuno via Internet settanta film al secondo (stimando un gigabyte per film). Ed è stato probabilmente un assaggio di quello che vedremo nel prossimo futuro: pochi giorni dopo, un servizio di hosting francese, OVH, è stato attaccato ancora più massicciamente con 1100 gigabit al secondo. E Ars Technica segnala numerosi altri casi di oscuramenti effettuati tramite webcam.

L’oscuramento del sito di Brian Krebs, spina nel fianco di molti criminali online per via delle sue inchieste che fanno i loro nomi e cognomi, ha messo in ginocchio persino le risorse di una delle più grandi aziende per la distribuzione di contenuti via Internet, Akamai, che aveva difeso gratuitamente Krebs dagli attacchi subiti in passato ad opera di questi criminali. Al suo posto è subentrato Google, che ha sopportato l’attacco nell’ambito del proprio Project Shield per la difesa dei giornalisti dalla censura online. In effetti un DDOS è una forma di censura: se nessuno ti può leggere, è come se tu non avessi scritto nulla.

Il problema principale di questi attacchi è che la loro potenza di fuoco è difficile da mitigare e resta attiva a lungo perché gli oggetti connessi a Internet, a differenza dei computer, non vengono quasi mai aggiornati per correggerne le falle e per i loro proprietari è difficile rendersi conto di essere complici di un’aggressione online. Questi oggetti, inoltre, non hanno antivirus che permettano di fare una loro scansione alla ricerca, appunto, di virus o simili o di proteggerli da intrusioni. E con la crescente popolarità dell’Internet delle Cose (insicure), possiamo aspettarci altri attacchi spacca-Internet come questi.

Tutto quello che possiamo fare noi utenti per evitare di diventare complici inconsapevoli di questi assalti è cambiare le password predefinite dei dispositivi che colleghiamo a Internet: sarebbe già un grande miglioramento, visto che non lo fa nessuno, a giudicare dal numero di oggetti digitali accessibili tramite le loro password standard, e oltretutto metterebbe anche noi al riparo da eventuali atttacchi di ficcanaso. Alcuni dispositivi, però, sono realizzati in modo talmente insicuro da non consentire cambi di password: in questi casi l’unica soluzione è scollegarli o isolarli da Internet, se possono funzionare senza essere online. Benvenuti nell’Internet delle Cose.


Fonti aggiuntive: The Inquirer, Motherboard

Facebook, la Germania ferma la condivisione dei dati di WhatsApp; garante privacy italiano apre istruttoria

Molti utenti di WhatsApp hanno percepito come il tradimento di una promessa la recente decisione di Facebook di prendere dati da WhatsApp per vendere pubblicità mirata. Ma il commissario per la protezione dei dati della città di Amburgo, Johannes Caspar, ha fatto di più: pochi giorni fa ha ordinato a Facebook, attuale proprietario di WhatsApp, di smettere di raccogliere e conservare dati sugli utenti WhatsApp tedeschi e di cancellare quelli ricevuti fin qui da Facebook tramite WhatsApp.

Caspar ha dichiarato in un comunicato stampa che “Dopo l’acquizione di WhatsApp da parte di Facebook due anni fa, entrambe le parti avevano assicurato che i rispettivi dati non sarebbero stati condivisi fra loro. Il fatto che questo stia ora avvenendo è non solo un inganno degli utenti e del pubblico, ma anche una violazione delle leggi nazionali sulla protezione dei dati.... questo ordine amministrativo protegge i dati di circa 35 milioni di utent di WhatsApp in Germania. Deve spettare a loro la decisione se vogliono collegare il proprio account a Facebook. Pertanto Facebook deve chiedere in anticipo il loro permesso. Questo non è accaduto.”

Cosa peggiore, nota Caspar, “ci sono molti milioni di persone i cui dettagli di contatto sono stati caricati su WhatsApp attingendoli dalle rubriche dell’utente anche se non erano collegate a Facebook o WhatsApp. Secondo Facebook questa gigantesca quantità di dati non è ancora stata raccolta. La risposta di Facebook che questo semplicemente non è ancora stato fatto per il momento, è motivo di preoccupazione che la gravità della violazione della protezione dei dati possa avere un impatto molto più grave”.

La decisione tedesca è accompagnata da quella per il Garante per la protezione dei dati personali italiano, che, secondo quanto riporta ANSA, “ha avviato un'istruttoria a seguito della modifica della privacy policy effettuata da WhatsApp a fine agosto che prevede la messa a disposizione di Facebook di alcune informazioni riguardanti gli account dei singoli utenti di WhatsApp, anche per finalità di marketing” e ha “invitato WhatsApp e Facebook a fornire tutti gli elementi utili alla valutazione del caso” e a “chiarire se i dati riferiti agli utenti di WhatsApp, ma non di Facebook, siano anch'essi comunicati alla società di Menlo Park”.

Sono anni che gli addetti ai lavori dicono che le politiche aziendali di Facebook sono socialmente inaccettabili e pericolose ma gli utenti continuano a usarli con indifferenza, convinti che sia solo questione di profilazione pubblicitaria dalla quale non c’è nulla da temere (ma poi salta fuori che questa profilazione viene usata da regimi impresentabili e per manipolare opinioni ed elezioni). Chissà se questi tradimenti delle promesse e questi moniti dei garanti serviranno a far capire il concetto.

A quando risale la prima musica computerizzata? A 65 anni fa

Alan Turing (The Guardian).
Sembra incredibile, ma i primi suoni musicali generati da computer risalgono ai primi anni Cinquanta del secolo scorso. La registrazione più antica di questi tentativi di fare musica tramite calcolatori è infatti datata 1951 ed è stata recentemente restaurata per ripresentarla al pubblico.

Il calcolatore sul quale fu suonata era un colosso che copriva buona parte del piano terra del Computing Machine Laboratory a Manchester, nel Regno Unito, e ha un padre d’eccezione: Alan Turing. Quello che decifrò, insieme a tanti colleghi e colleghe, i codici segreti tedeschi durante la Seconda Guerra Mondiale, gettò le basi dell’intelligenza artificiale ed è considerato uno dei fondatori dell’informatica moderna. La sua storia è stata raccontata bene, sia pure con qualche inesattezza e omissione, nel film The Imitation Game.

La registrazione restaurata, realizzata all’epoca dalla BBC su un disco di acetato da 12 pollici e oggi corretta per eliminare disturbi, distorsioni e variazioni di frequenza, include tre melodie: God Save the King (Queen), Baa Baa Black Sheep e In the Mood di Glenn Miller.

Fu proprio Alan Turing a programmare le prime note musicali in un computer, ma non era molto interessato a combinarle per produrre melodie: di questo si occupò un insegnante, Christopher Strachey, che in seguito divenne un celebre informatico. Strachey ricorda che la reazione di Alan Turing, quando gli fece sentire che il suo gigantesco computer faceva musica, fu un laconico “Good show” (più o meno “Bene”). E il resto, come si dice in questi casi, è storia.



Fonte: The Guardian.

Alternative a WhatsApp: Signal, ora anche su computer

Signal (Signal.org) è considerata una delle app di messaggistica più attente alla sicurezza e alla riservatezza: da tempo è disponibile per Android e iOS, ma ora è possibile usarla anche su computer (Mac, Windows, Linux). Da pochi giorni la versione su computer funziona anche in abbinamento agli smartphone iOS (prima era limitata agli Android).

Installare Signal su computer è semplice: basta avere Google Chrome a andare a Signal.org/desktop per scaricare l’estensione Desktop di Signal per Chrome. Ovviamente bisogna tenere aperto Chrome.

Anche l’impostazione è banale: è sufficiente inquadrare un codice QR con la fotocamera del telefonino. I contatti vengono importati sul computer automaticamente.

In quanto a privacy e sicurezza, Signal usa lo stesso protocollo di crittografia end-to-end di WhatsApp ma a differenza di WhatsApp non condivide i dati degli utenti con Facebook, è open source (il codice delle sue app è liberamente ispezionabile), è consigliato da tutti i principali esperti di sicurezza informatica ed è gestito senza scopo di lucro da un gruppo di informatici che ha a cuore la protezione dei dati personali. Fra l’altro, Signal è gratuito e disponibile in italiano.

Le Storie di Instagram non sono come in SnapChat: sono visibili a tutti

La funzione Storie di Instagram, lanciata di recente, è una copia piuttosto spudorata delle Storie di SnapChat: una collezione di foto o un breve video che dura 24 ore e poi sparisce. Ma attenzione: a differenza di quelle di SnapChat, le Storie di Instagram sono completamente pubbliche. Le possono vedere tutti, amici e non amici. Attenzione a non commettere gaffe.

Ripassino veloce di come funziona un Storia di Instagram: per crearla, o per aggiungere una foto o un video alla Storia già esistente, si tocca la crocetta in alto a sinistra nella home page di Instagram. Si scatta la foto oppure si fa un video tenendo premuto il pulsante di scatto. Si può prendere un video o una foto già esistente, se risale alle ultime 24 ore. Si può scrivere sulla foto o filtrarla scorrendo un dito da destra a sinistra. Un tocco sulla freccia in basso e la foto viene aggiunta alla Storia del giorno. Maggiori dettagli sono in questo articolo di Wired in italiano.

Quello che è importante sapere è mentre le Storie di SnapChat vengono riservate automaticamente agli amici, quelle di Instagram sono visibili a chiunque conosca un semplice trucco: le persone che hanno pubblicato una Storia sono indicate da un cerchio colorato intorno alla loro immagine del profilo (quelle che seguiamo ci vengono proposte direttamente nella nostra home page): basta toccare la loro immagine per vedere la loro Storia.

È insomma sufficiente guardare il profilo di una persona per vedere la sua Storia: non occorre seguirla o farsi seguire da lei. Una pacchia per i ficcanaso e i curiosoni. Non c'è modo di disattivare questa visibilità predefinita: si può andare nelle Impostazioni (l’icona dell’omino in basso a destra), scegliere Account e Impostazioni della storia per nascondere una Storia a uno o più follower specifici, ma l’unico modo di rendere privata una Storia è impostare tutto il proprio account Instagram come privato.

In compenso è possibile sapere chi ha guardato la nostra Storia: dalla home page si tocca La tua storia e si fa scorrere un dito dal basso in alto per vedere l’elenco dei curiosi.


2016/09/29

“Hackeraggio” cinese di Tesla: arriva finalmente la firma digitale del software di bordo

Una Model X. Per gentile concessione di Tesla Motors,
Lugano, luglio 2016.

Questo articolo vi arriva gratuitamente grazie alle donazioni dei lettori. Se vi piace, potete farne una per incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2016/09/29 12:05.

Ci sono nuovi dettagli, e una soluzione, a proposito dell’hackeraggio delle auto elettriche Tesla dimostrato la settimana scorsa dagli esperti cinesi di Keen Security Labs e discusso in questo mio articolo.

Come spiegato in dettaglio da Wired in inglese, gli esperti di Keen hanno iniziato l’attacco all’auto creando una rete Wi-Fi, assegnandole lo stesso nome (SSID Tesla Guest) e la stessa password della rete Wi-Fi offerta agli ospiti dai concessionari e dai centri di assistenza Tesla (la password è reperibile facilmente in Rete).* In sostanza, hanno fatto credere all’auto di essere connessa a un Wi-Fi ufficiale di Tesla e l’hanno forzata a usare questa connessione.

*Stefano, di Teslaforum.it, precisa che Tesla Guest è il nome del Wi-Fi al quale Tesla offre connessione libera da parte di qualunque dispositivo dei clienti ospiti, mentre il Wi-Fi usato per la manutenzione e l’assistenza tecnica è Tesla Service. Sottolinea inoltre che le auto Tesla non si connettono automaticamente a questi Wi-Fi: è necessaria una scelta specifica dell’utente.


La rete Wi-Fi ostile è stata configurata in modo da presentare alle Tesla che si connettevano una pagina Web contenente codice che sfrutta una vulnerabilità nel browser installato nel pannello comandi principale (il “tablet” centrale; specificamente, la vulnerabilità stava nella vecchia versione di WebKit usata da Tesla). Da qui gli esperti di Keen hanno sfruttato una vulnerabilità del kernel di Linux usato dalle Tesla per prendere il controllo del pannello comandi. A questo punto potevano mandare al browser qualunque clic o comando digitabile dall’utente, e questo ha permesso la maggior parte degli effetti mostrati nel video di Keen. Non è chiaro se questa possibilità di inviare comandi persista o duri solo per il tempo della connessione al Wi-Fi ostile.

Prendere il controllo del pannello comandi, però, non consente di avere il controllo pieno dell’auto: le funzioni vitali (frenata, sterzo, guida assistita) sono infatti gestite separatamente. Nelle Tesla, infatti, il pannello comandi è isolato dal sistema di controllo primario (il CAN bus) da un gateway.

Gli esperti di Keen hanno quindi sostituito il software del gateway con una versione modificata da loro e hanno così preso il controllo pieno dell’auto. Non è chiaro se questa sostituzione sia avvenuta da remoto o tramite intervento fisico sull’auto: ovviamente se fosse necessario un intervento fisico la sfruttabilità di questa tecnica sarebbe molto minore di quella di un attacco via Wi-Fi.

Riassumendo, insomma, l’hackeraggio “da remoto” (così è stato presentato) richiede queste condizioni:

– l’auto-bersaglio deve essere a portata del Wi-Fi ostile almeno temporaneamente
– l’auto-bersaglio deve connettersi almeno una volta al Wi-Fi ostile (cosa che non avviene automaticamente ma solo su specifico comando del conducente o del tecnico di assistenza)
– l’auto-bersaglio deve usare almeno una volta il browser di bordo mentre è connessa al Wi-Fi ostile
– deve essere sostituito (non si sa se da remoto o no) il software del gateway dell’auto-bersaglio

Se sono soddisfatte le prime tre condizioni, è effettivamente possibile effettuare da remoto (anche via Internet, se l’auto resta connessa al Wi-Fi ostile) bruttissimi scherzi al conducente di una Tesla, come disattivare l’indicatore di velocità e tutte le indicazioni sul cruscotto, mettere al massimo il volume dell’impianto audio di bordo, chiudere gli specchietti durante la marcia, sbloccare le portiere, aprire il portellone posteriore e altro ancora. Se effettuati a sorpresa, questi comandi potrebbero facilmente spaventare o distrarre il conducente in modo da causare un incidente anche grave o mortale. Se viene soddisfatta anche la quarta, è finita: l’intruso può far frenare, accelerare o sterzare l’auto a proprio piacimento.

Certo, non si tratta di scenari molto plausibili e frequenti o di un attacco sfruttabile su vasta scala, ma la falla grave è senz’altro dimostrata.


La soluzione di Tesla


Tesla Motors ha aggiornato prontamente (in dieci giorni) il software di bordo su tutta la flotta circolante, inviando un aggiornamento OTA (over the air, ossia tramite la connessione cellulare di ciascuna auto Tesla) che ha corretto la vulnerabilità del browser di bordo e del kernel di Linux, chiudendo quindi questo canale d’attacco via Wi-Fi.

Cosa molto più importante, Tesla Motors ha finalmente attivato su tutta la flotta la firma crittografica del software di bordo (code signing), in modo che non sia possibile installare sulle sue auto software non convalidato dalla chiave crittografica che possiede soltanto Tesla Motors, un po’ come succede con gli iPhone e gli iPad di Apple e, in misura minore, sui dispositivi che usano Windows e MacOS.

Come mai una soluzione tecnicamente ovvia come il code signing non era già in uso sulle Tesla? E come mai, fra l’altro, a quanto risulta non la usa nessun’altra casa automobilistica per le proprie auto ricche di elettronica? Wired spiega che vincolare il software in questo modo causerebbe problemi alla vasta ed eterogenea rete di fornitori, distributori, concessionari e riparatori d’auto. Tesla, centralizzando il controllo e la gestione dei ricambi, dei fornitori e dei concessionari, sarebbe maggiormente in grado di gestire questo vincolo senza problemi.


Il ruolo degli “hacker”


Non va dimenticato, infine, che la scoperta di queste gravi vulnerabilità è stata possibile grazie alla libertà di ricerca, che invece molte leggi in discussione vorrebbero vietare o imbavagliare, e grazie al fatto che gli scopritori sono stati incentivati a pubblicare e a condividere con Tesla Motors le proprie scoperte per farsi un’ottima pubblicità e ricevere una ricompensa in denaro dalla casa automobilistica di Elon Musk, che prevede premi per chi trova difetti nel suo software e li segnala responsabilmente. Senza questi incentivi, vulnerabilità come queste resterebbero aperte e sfruttabili dai malintenzionati.

2016/09/28

“Vaxxed”: il documentario antivaccinista va in Senato. A vendere t-shirt, cappellini e borsette

Il medico radiato Andrew Wakefield
ha incassato 650.000 euro per il suo antivaccinismo
(immagine tratta da Vaxxed)
Pubblicazione iniziale: 2016/09/28. Ultimo aggiornamento: 2016/10/03 10:30.

Il senatore Bartolomeo Pepe (@bartolomeopepe) ha annunciato che presenterà il 4 ottobre prossimo al Senato italiano il documentario antivaccinista Vaxxed, quello respinto da Robert De Niro al suo festival del cinema. Ma mentre scrivo queste righe mi giunge la segnalazione che la proiezione in Senato è stata annullata in seguito alle proteste e obiezioni giunte dal mondo medico e scientifico in generale.

Che cos’è Vaxxed? È un documentario diretto da Andrew Wakefield, l'ex medico britannico radiato dall’albo per aver fabbricato le prove dell’inesistente legame fra vaccino trivalente (morbillo - parotite - rosolia) e autismo, presentate in una sua comunicazione alla rivista medica Lancet nel 1998, successivamente ritirata dagli editori.

Per ammissione dello stesso Wakefield, le sue prove si basavano su un campione di soltanto dodici bambini. Come se non bastasse, si scoprì poi che i bambini erano stati preselezionati ad arte e le diagnosi di autismo effettuate prima della vaccinazione erano state postdatate a dopo la vaccinazione. Ma di tutto questo, in Vaxxed, non viene detto nulla. Vaxxed non dice che Wakefield è stato radiato dall’albo britannico per questa vicenda.

La tesi del documentario è dunque, per dirla come va detta, una bufala diretta da un bugiardo. Nonostante anni di ricerche, anche da parte degli antivaccinisti, non è mai stato trovato un nesso reale e oggettivo fra vaccinazioni e autismo. Se ne parla solo per colpa di Wakefield: prima di lui e dopo di lui non c’è stato nessun indizio, sospetto o dato statistico.

In compenso, la paura generata dalla bufala ha causato un calo delle vaccinazioni che ha portato a numerose morti per malattie perfettamente prevenibili, come appunto il morbillo.

Insomma, questa non è la solita bufala per la quale in concreto non cambia granché se uno ci crede o meno: questa è una panzana che uccide. Ripeto: dopo quasi vent'anni di ricerche, ci sono zero prove reali che i vaccini causino autismo.

Se volete un’analisi dettagliata delle manipolazioni e bugie di Vaxxed e sapete l’inglese, potete leggere questi articoli: The Guardian, Houston Press, The Guardian, SkepticalRaptor, Science Based Medicine, Washington Post.

Il Senato ha chiarito che la proiezione di Vaxxed non ha il suo patrocinio:

“tale iniziativa non ha il patrocinio del Senato e la Sala convegni di piazza Capranica è a disposizione dei Senatori i quali si assumono la responsabilità personale esclusiva e diretta delle iniziative che intendono svolgervi.

Gli uffici non possono esercitare controlli di merito o di opportunità sui contenuti dei dibattiti o sulle opinioni degli oratori, salvo motivi di ordine pubblico o di violazione della legge penale.

Peraltro, anche su direttiva della Presidenza del Senato, gli uffici raccomandano che i convegni si svolgano con le garanzie del libero dibattito dove non debba prevalere una sola tesi ma tutte le opinioni possano essere ospitate. È una raccomandazione rimessa alla sensibilità degli organizzatori.

Diversa è la questione dei patrocini delle iniziative, che invece sono sottoposti a un'istruttoria rigorosa di merito, che implica anche criteri di opportunità, in quanto coinvolge l'Istituzione. Si sottolinea pertanto che l'iniziativa del senatore Pepe, compresa la proiezione di parti del film documentario VAXXED, non ha in alcun modo il patrocino del Senato.”


Il senatore Pepe dice di essere "a favore di una riflessione scevra dagli interessi economici":



Ma a quanto pare non considera che Andrew Wakefield ha incassato circa 650.000 euro per costruire il suo castello di accuse contro il vaccino trivalente (The Times, dietro paywall, citato in ScienceBlogs). Non è un’accusa: è un dato pubblico, reso noto nel 2007. Questo sarebbe un uomo “scevro dagli interessi economici”?

E che dire del sito dedicato al documentario, Vaxxedthemovie.com, che vende DVD, borse, cappellini, T-shirt e paccottiglia varia? Anche loro “scevri da interessi economici”? Allora come mai non mettono a disposizione di tutti gratuitamente il loro documentario?







Qualcuno ha fiutato l’affare anche in Italia: la casa di distribuzione “Wanted Cinema” ha deciso di costruire “un "tour" che dal 17 ottobre toccherà dieci città italiane” per presentare Vaxxed (Repubblica). Chi se ne frega delle conseguenze: i soldi non puzzano.

Che ironia: questi signori che si atteggiano a santi, casti e puri, difensori senza macchia della libertà e della verità, sono in realtà imbroglioni e mercanti del nulla, affamati di soldi. I complottisti lo dicono sempre: “segui i soldi e saprai chi è responsabile”. Bene, cari antivaccinisti: fate quello che avete sempre predicato e accettatene le conseguenze.


Da parte mia, non intendo stare con le mani in mano ad assistere a questa squallida speculazione sulle paure dei genitori. Chiaramente i creatori di Vaxxed e i loro promotori vogliono fare soldi vendendo cappellini e magliette e proiettando il documentario. Be’, se proprio ci tenete a sapere cosa dice Vaxxed, tenete presente che è disponibile gratis su The Pirate Bay (link alternativo). Io ne ho già una copia e la posso condividere per studio e critica, come previsto dalla legge svizzera sul diritto d’autore (19.1 a, b, c): se qualcuno vuole farne un debunking rigoroso, mi contatti. Tocchiamo questi ciarlatani nell’unico punto realmente sensibile: il portafogli.


2016/10/03 10:30. Il 29 settembre il Codacons ha annunciato di aver presentato “un esposto ai Questori del Senato per violazione dell’art. 21 della Costituzione, secondo cui “Tutti hanno diritto di manifestare liberamente il proprio pensiero con la parola, lo scritto e ogni altro mezzo di diffusione”. Non solo. Il Codacons si propone per consentire la proiezione di “Vaxxed: From Cover-Up to Catastrophe”, e a tal fine sta cercando una sala vicino al Senato dove trasmettere il film.” Purtroppo il Codacons non solo si trova a difendere un atto di terrorismo medico e una speculazione economica, ma sbaglia le basi: infatti la proiezione al Senato non è stata bloccata dal presidente Grasso, ma è stata ritirata dagli organizzatori.



Fonti aggiuntive: Il Messaggero, Repubblica.

Elon Musk: tecnologie fattibili e costi accettabili per colonizzare Marte

Questo articolo vi arriva gratuitamente grazie alle donazioni dei lettori. Se vi piace, potete farne una per incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2016/09/29 12:40.

La prima cosa che si chiedono tutti non è come andare su Marte, ma perché mai vorremmo andarci, ammesso di poterlo fare. Già: chi mai vorrebbe andare a vivere in un mondo incontaminato, tutto da esplorare, insieme alle menti migliori dell’umanità, in una colonia autosufficiente, in un ambiente impegnativo e ricco di sfide, lontano e al riparo dalle diarree mentali dei politici, dei complottisti, degli sciachimisti, degli antivaccinisti, di Roberto Giacobbo e dal rischio di autodistruzione per epidemie, riscaldamento globale, guerra nucleare o semplice, inesorabile coglionaggine collettiva?

Elon Musk ha le idee molto chiare in proposito: a costo di essere scambiato per pazzo, dice spesso che l’unico modo per garantire la sopravvivenza a lungo termine della specie umana è colonizzare anche altri pianeti oltre alla Terra, in modo da non avere tutte le uova nello stesso paniere. Un concetto di pura, istintiva sopravvivenza, semplice e comprensibile da chiunque. Meno semplice è come realizzare questa colonizzazione.

Ieri Musk, nel corso di un’ora abbondante di conferenza pubblica all’International Astronautical Congress (IAC) a Guadalajara, in Messico, ha presentato la sua proposta: non si tratta solo di un video accattivante (che trovate qui sotto), ma di un piano tecnicamente dettagliato, al quale Musk e SpaceX hanno chiaramente dedicato molta attenzione e per il quale sono già stati costruiti i primi componenti sperimentali. Un piano che non solo è tecnicamente fattibile, dato che non richiede alcuna nuova scoperta scientifica, ma che è anche economicamente sostenibile. Musk, nella sua presentazione, ha dedicato molto tempo alla questione dei costi: un aspetto che mancava completamente nei piani di esplorazione marziana di Wernher Von Braun di cinquant’anni fa, spinti solo dalla politica. Qui, invece, lo sguardo è verso le stelle ma la mano è sul portafogli.

Il video presentato da Musk è puro space porn: il razzo più grande mai costruito, capace di portare cento astronauti per volta fino a Marte e di essere riutilizzato interamente più volte; un veicolo spaziale di rifornimento in volo; e un impianto di produzione di propellente su Marte che utilizza le risorse locali. Musk dice che il video è basato su progetti tecnici concreti (i modelli ingegneristici CAD creati da SpaceX) e non è una semplice rappresentazione artistica (anche se personalmente ho qualche riserva sulla plausibilità di quel colossale finestrone anteriore, della torre di lancio snellissima e del secondo veicolo parcheggiato accanto alla rampa).


Interstellar, mangia la mia polvere.

Musk presenta il suo progetto (PDF) senza slanci retorici, quasi sottotono, con la sua caratteristica cadenza esitante, come se stesse presentando un nuovo modello di telefonino che ha le icone disposte così invece che cosà invece che una flotta di astronavi per la colonizzazione di un pianeta. E man mano le obiezioni di pancia, che vengono spontanee di fronte all’idea di astronavi da cento passeggeri e di un milione di abitanti su Marte entro cent’anni, vengono smontate.

La diretta della presentazione di Elon Musk è archiviata qui su Youtube; una versione ripulita, senza i venti minuti di musichetta d’attesa iniziale e la sessione di domande e risposte, è qui sotto.



Costi, costi, costi


Esplorare lo spazio con i costi di missioni come quelle lunari degli anni Sessanta (circa 10 miliardi di dollari di oggi per persona portata sulla Luna) è insostenibile. Per far scendere i costi bisogna puntare sulla riusabilità completa dei veicoli, sul rifornimento in orbita, sulla produzione di propellente in loco, e sul tipo di propellente adatto.

La riusabilità è in via di sviluppo (il primo stadio dei Falcon 9 di SpaceX l’ha dimostrata); il rifornimento in orbita è in fase sperimentale su piccoli satelliti; la produzione in loco di propellente è fattibile se si sceglie una materia prima disponibile su Marte. E su Marte c’è la possibilità di produrre ossigeno e metano. Ovviamente serve un propulsore a metano: c’è, si chiama Raptor e ha completato con successo il primo test di accensione pochi giorni fa. A parità di dimensioni, ha il triplo della spinta dei motori attuali di SpaceX. E SpaceX ha già dimostrato di saper fabbricare un gran numero di motori per i suoi razzi Falcon 9, che ne usano nove per volta.


Profilo di missione


Nella visione di Elon Musk, il razzo gigante, alto 122 metri e largo 12, pesante 10.500 tonnellate al decollo, più grande dell’immenso Saturn V che portò i primi astronauti sulla Luna, decolla da Cape Canaveral, proprio dalla Rampa 39A dalla quale partirono le missioni lunari. Una rampa che SpaceX sta già adattando alle proprie esigenze di lancio.

Il primo stadio ha ben 42 motori (un numero che piacerà molto ai fan della Guida Galattica per Autostoppisti), di cui i sette centrali sono orientabili, e torna a Terra atterrando verticalmente, come fa oggi il primo stadio del Falcon 9, ma con precisione ancora maggiore: si posa direttamente sulla rampa dalla quale è partito.

Questo primo stadio è un mostro: è capace di portare in orbita terrestre circa 550 tonnellate in un solo volo (se si rinuncia al rientro controllato, altrimenti scendono a 330). Per intenderci, un Saturn V ne portava 135. Se volete un altro paragone, un solo razzo come quello proposto da SpaceX sarebbe in grado di mettere in orbita l’intera Stazione Spaziale Internazionale in un colpo solo.

L’astronave vera e propria costituisce il secondo stadio del razzo gigante e viene parcheggiata in orbita intorno alla Terra con i serbatoi quasi vuoti perché ha consumato quasi tutto il propellente per raggiungere l’orbita. Viene raggiunta da veicoli di rifornimento, sempre lanciati con l’aiuto del primo stadio e basati sullo stesso progetto dell’astronave, per contenere i costi di sviluppo.

Quando ha fatto il pieno, l’astronave (il cui primo esemplare Musk vorrebbe battezzare Cuore d'Oro o Heart of Gold, sempre citando la Guida Galattica) viene caricata di astronauti con un altro volo e poi parte verso Marte, dove arriva dopo circa tre mesi di viaggio (può viaggiare velocemente perché ha molto propellente che le consente di accelerare e poi frenare), sfruttando pannelli fotovoltaici a ventaglio per generare circa 200 kW di energia elettrica per i sistemi di bordo.

Arrivata a Marte, scende sulla superficie utilizzando inizialmente uno scudo termico per frenare sfruttando la tenue atmosfera del pianeta e poi i motori di discesa per rallentare e infine effettuare un atterraggio verticale: tecnica già dimostrata da SpaceX sulla Terra, dove la gravità maggiore di quella marziana è una sfida molto più impegnativa.

Su Marte, trasportato da una missione precedente, c’è un impianto di estrazione e produzione di metano e ossigeno che consente di rifornire l’astronave. Terminato il rifornimento, l’astronave riparte verso la Terra (per decollare da Marte non ha bisogno del primo stadio gigante che serve sulla Terra), dove rientra usando prima lo scudo termico multiuso per la frenata iniziale e poi i motori per rallentare ulteriormente e atterrare in verticale.

I viaggi partirebbero ogni due anni, quando Marte è alla distanza minima dalla Terra, a una sessantina di milioni di chilometri, e le astronavi formerebbero periodicamente una flotta, anche di mille unità, distribuite su varie fasi e in vari punti del sistema solare; la produzione in massa ridurrebbe i costi unitari.


Costi, costi, costi (ancora)


Se il primo stadio viene usato 1000 volte, il veicolo di rifornimento 100 volte e l’astronave una dozzina di volte, Musk stima che i costi di un viaggio possano scendere a circa 200.000 dollari a persona (o per tonnellata di carico). A queste cifre, e solo a queste cifre, diventa realistico parlare di colonizzazione di Marte e non di semplici missioni mordi e fuggi.

Musk è consapevole del fatto che non ha un piano finanziario che gli consenta di trovare i dieci miliardi di dollari che servono per arrivare al primo veicolo (se tutto va bene) e non c’è una speranza di ritorno economico da una flotta di navi coloniali che, dice esplicitamente durante la conferenza, richiama quella di Battlestar Galactica. Non è l’unica citazione nerd della serata: oltre alla già menzionata Guida Galattica, Musk sdrammatizza la mancanza di un piano finanziario con un’immagine che dice letteralmente che le tappe sono “rubare mutande, lanciare satelliti, mandare cargo e astronauti alla ISS, Kickstater, guadagnare.” La questione del furto di biancheria intima deriva da una puntata di South Park, dove gli gnomi avevano un piano finanziario altrettanto irrealistico basato proprio sul furto di mutande.


Semplificazione ed efficienza


I costi del veicolo si riducono usando una struttura in fibra di carbonio invece di quella metallica attuale e semplificandone il funzionamento: invece di pressurizzare il propellente liquido usando serbatoi supplementari di elio (come avviene oggi sui Falcon 9, per esempio), si usa direttamente il propellente stesso, una cui frazione viene convertita in gas. Elegante.

L’astronave, fra l’altro, è in grado (secondo Musk, perlomeno) di raggiungere l’orbita terrestre da sola, anche senza primo stadio, se si riduce drasticamente il carico a bordo (lo dice a 54 minuti dall’inizio). Se è vero, sarebbe il coronamento del sogno astronautico di un veicolo SSTO (Single Stage To Orbit), già tentato in tante occasioni passate.


Tempi di marcia


Musk pensa di avere pronto il primo stadio entro quattro anni da oggi (per i primi voli di collaudo suborbitali) e l’intero sistema entro una decina. Una capsula Dragon verrà lanciata per atterrare su Marte fra due anni, nel 2018 usando il Falcon Heavy. Tutto questo, s’intende, se non ci sono intoppi e sorprese: ma nel settore aerospaziale ci sono sempre (il Falcon Heavy, tanto per fare un esempio, non ha ancora volato ed è in ritardo sulle date previste). Ma Musk ragiona su una scala di quaranta e più anni, per cui c’è margine per qualche slittamento. Comunque il primo pezzo del grande veicolo, un enorme serbatoio sperimentale per l’ossigeno liquido, è già stato costruito.




Non solo Marte


Una delle più grandi sorprese della presentazione di Elon Musk è che non propone un veicolo fatto su misura per Marte, ma un’astronave concepita per essere usabile anche in molti altri posti del Sistema Solare, perché non usa ali o paracadute che dipendono dalla presenza di un’atmosfera. Se ci sono punti di rifornimento intermedi, può viaggiare fino a Giove o Europa e anche oltre, fino ai pianeti esterni, incluso Plutone, atterrando sui loro satelliti e ripartendo senza bisogno di un primo stadio. Musk, tuttavia, umoristicamente la sconsiglia per i viaggi interstellari.

Per la protezione contro le radiazioni, specialmente in caso di attività solare intensa e viaggi lunghi, è previsto un campo magnetico deflettore, combinato con il puntamento dei motori verso il Sole in modo da usarli come schermatura per le radiazioni provenienti dal Sole e con una grande massa d’acqua a bordo. Non si sa quanto possa essere efficace tutto questo per campi elettromagnetici intensissimi come quelli che circondano Giove e i suoi satelliti.

Fra l'altro, l’astronave, da sola, sarebbe anche usabile come trasporto terrestre iperveloce: da un capo all’altro del mondo in 45 minuti. Da New York a Tokyo in 25 minuti. Un volo transatlantico in dieci. Il problema principale sarebbe il rumore, per cui sarebbero necessarie basi di atterraggio al largo della costa.



Ma è credibile tutto questo?


Musk non ha perso l’occasione per sottolineare che SpaceX, nel 2002, era solo “moquette e una banda di mariachi”. Oggi rifornisce la Stazione Spaziale Internazionale (dal 2012), mette in orbita satelliti per telecomunicazioni e fa atterrare verticalmente i primi stadi dei suoi vettori per riutilizzarli, cosa che nessuno ha mai fatto prima (il primo lancio di un vettore che ha già volato è previsto a breve). Se tanto ci dà tanto, se i fondi ci sono e se c’è l’interesse, non c’è motivo di pensare che questo piano colossale di colonizzazione marziana, per quanto ambizioso, non sia tecnicamente fattibile, a patto di accettare delle perdite umane (come ha sottolineato Musk).

Personalmente credo che l’ostacolo più grande sia la questione etica dell’interferenza con eventuali forme di vita marziane. Se ci andiamo in massa e decidiamo di trasformarne l’atmosfera per renderlo abitabile, bisognerà decidere che non c’è speranza di trovare vita su Marte e che il pianeta è sterile, per cui possiamo sfruttarlo. Questa questione non è stata toccata da Elon Musk durante la presentazione (ma, mi dicono nei commenti qui sotto, ne ha parlato nella conferenza stampa post-evento).

Musk ha invece detto molto chiaramente che ha più soldi di quanti ne possa mai spendere in una vita e che quindi l’unica motivazione che ha per lavorare e guadagnarne altri è l’esplorazione dello spazio. Si è messo a nudo, molto schiettamente, parlando di morti da mettere in preventivo e presentando oggi la mappa dettagliata della sua ambizione ultima, l’obiettivo finale al quale tende tutta la sua vita. E con motivazioni del genere, molto meno variabili dell’umore e delle convenienze elettorali di un governo, c’è poco da scherzare.

Con cauto entusiasmo staremo a vedere: di certo il boss di SpaceX e Tesla ci ha già regalato una visione e una speranza che non si vedevano dai tempi delle missioni Apollo, quando sembrava che l’Universo fosse a portata di mano di chiunque avesse determinazione, risorse, intelligenza e coraggio. Chissà se questa è la volta buona.


Fonti aggiuntive: Ars Technica.

2016/09/27

Ricevere e archiviare tweet via mail con If This Then That

Questo articolo vi arriva gratuitamente grazie alle donazioni dei lettori. Se vi piace, potete farne una per incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Conoscete un account Twitter di cui non volete perdere nemmeno un tweet e di cui volete collezionare ogni cinguettio? Io sì, e magari ne avete anche voi, per cui vi mostro qui come faccio io: uso If This Then That per farmi mandare sotto forma di mail i tweet di uno specifico account Twitter.

Vado su IFTTT.com, presso il quale ho un account, e scelgo questa Recipe (ricetta, letteralmente): se nomeutente pubblica un nuovo tweet, mandami una mail. La Recipe permette di specificare il nome utente (da scrivere includendo la chiocciolina iniziale) e il formato del titolo e del corpo della mail. Clicco su Add, vado su My Recipes e trovo la Recipe che ho appena aggiunto: lì la posso personalizzare.

Fatto questo, non mi resta che aspettare che l’account monitorato pubblichi un tweet: ne riceverò il testo come titolo di una mail. La conversione in mail non è istantanea, ma è comunque piuttosto celere. Se l’account pubblica un tweet e lo cancella subito, potrebbe sfuggire a IFTTT, ma se lo cancella dopo qualche tempo io ne mantengo comunque una copia nella mia casella di mail.

La stessa Recipe può essere usata più volte per ricevere via mail tweet di vari account: io la sto usando per collezionare i tweet della NASA e di altri account che segnalano ricorrenze spaziali, che poi riporterò nell’Almanacco dello Spazio.

2016/09/26

Il Delirio del Giorno: le Torri Gemelle non erano biscotti

Questo articolo vi arriva gratuitamente grazie alle donazioni dei lettori. Se vi piace, potete farne una per incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Commento inviato oggi a un mio articolo antibufala a proposito di una microchippatura di massa prevista per il 23 marzo 2013 (e ovviamente non avveratasi) da “VDG Entertainment”: gli “imbecilli menagramo” citati sono coloro che hanno annunciato la microchippatura in questione.

Categoria di imbecilli menagramo quali consideri i sostenitori di teorie fatte su interpretazioni a capocchia possono tranquillamente dire che la verità la si conosce.
Puoi avere un effetto sulle persone che per ignoranza non osano contraddire sua maestà Paolo (pagato per alimentare la disinformazione) ma alla fine sappiamo tutti che il tuo modo di guadagnarti la pagnotta non è molto diverso da quello degli scribi e dei farisei.
Sei il vero cancro di te stesso Paolo, un giorno ti pentirai di aver lucrato su bugie e bugie, non ci dimenticheremo mai della tua teoria sul crollo delle torri gemelle. Forse ti sei dimenticato che non erano biscotti.
Un saluto al moderatore che non pubblicherà mai questo commento.
Ora continua a fare i tuoi articoli a capocchia


Ho pubblicato il commento.

2016/09/25

Podcast del Disinformatico del 2016/09/23

È disponibile per lo scaricamento il podcast della puntata di venerdì del Disinformatico della Radiotelevisione Svizzera. Buon ascolto!

2016/09/24

Per quelli che dicono che il debunking è fatica sprecata

Vorrei fare un doveroso ringraziamento a tutti i creatori di questo blog. All'inizio anch'io ero un complottista. Vidi per la prima volta un video su YouTube intitolato "Inganno Globale". Dopo averlo visto ero già un complottista accanito. Come è semplice diventarlo, mi è bastato vedere 2 o 3 immagini ingannevoli con un po' di musica inquietante di sottofondo per convertirmi al cospirazionismo undicisettembrino. Poi ho conosciuto questo blog, e li ho davvero aperto gli occhi. Questa frase viene solitamente usata dai complottisti per far capire alla gente comune che è tutta una macchinazione americana, ma quando trovai le vere risposte ai dubbi sollevati da Inganno Globale, capii che aprire gli occhi significava informarsi da se e credere alle cose giuste, con fonti attendibili. Questo è un grande blog. Grazie a esso da allora mi resi conto che il cospirazionismo era un totale inganno. Quindi, da un ex complottista, grazie. Grazie di cuore per tutto quello che fate. Un saluto.

Commento di Sebastiano, inviato al blog Undicisettembre il 17 settembre 2016.

2016/09/23

Avete tempo fino al 25 settembre per limitare la condivisione dei vostri dati WhatsApp con Facebook

Fonte: WhatsApp
Ultimo aggiornamento: 2016/09/24 8:10.

Piccolo promemoria: scade dopodomani, 25 settembre, la possibilità di rifiutare almeno in parte la condivisione dei dati personali fra WhatsApp e Facebook (che ha comprato WhatsApp nel 2014) seguendo le istruzioni apposite: quando compare nell’app la proposta di accettare le nuove condizioni d’uso, toccate Leggi per leggere il loro testo completo e poi toccate la casella accanto alle parole Condividi le informazioni del mio account per toglierne il segno di spunta e quindi limitare la condivisione dei dati con Facebook. 

Questa proposta non compare immediatamente: può volerci un po’, ma alla fine arriva più o meno a caso, come ho notato sui miei account WhatsApp di test e su quelli di amici e colleghi. Provate a consultare anche le apposite istruzioni di WhatsApp. Niente panico: è solo questione di tempo, ma prima o poi la proposta compare.

Chi ha già accettato ha fino a dopodomani per cambiare idea andando in Impostazioni - Account e disattivare la voce Condividi info account. Dalle mie prove, fra l’altro, questa voce non compare più dopo che è stata disattivata una prima volta, per cui è difficile per un utente sapere se ha già scelto o no di consentire questa condivisione.

Va notato, infine, che questo rifiuto di condividere non implica affatto la separazione totale dei dati: le FAQ di WhatsApp, infatti, dicono che “puoi scegliere di non condividere le informazioni del tuo account con Facebook per migliorare le tue esperienze con le inserzioni e i prodotti di Facebook.”  ma proseguono dicendo che “Facebook e il gruppo di aziende di Facebook continuerà a ricevere e utilizzare queste informazioni per altri scopi, come il miglioramento dei sistemi infrastrutturali e di consegna, comprendere come i nostri o i loro servizi vengono utilizzati, assicurare i sistemi, la lotta contro le attività di spam, abusi, o violazioni.”


Mai provocare un informatico: truffatore smascherato via Facebook


I truffatori su Internet sono sempre in agguato, ma ogni tanto le loro vittime si vendicano in modo epico e divertente. È successo per esempio a Christian Haschek, un informatico austriaco che per quattro anni ha provato a mettere in vendita su Internet delle carte regalo Apple americane che aveva vinto e che non poteva usare in Austria. Le carte valevano in tutto 500 dollari e Christian le offriva fortemente scontate.

A un certo punto, dopo lunga attesa, si è fatto avanti un acquirente che si è autenticato (almeno in apparenza) scrivendo a Christian da un account eBay che aveva un’ottima reputazione. L’informatico ha avuto il sospetto di dialogare con un truffatore, ma non aveva nulla da perdere ed era stufo di avere queste carte regalo in sospeso, per cui gli ha dato corda.

Christian ha mandato al truffatore i PIN delle carte via mail e ha spedito per posta le carte stesse (a un indirizzo che risulterà falso). Via mail ha inviato anche un link a delle foto delle carte che aveva messo sul proprio server.

Come era prevedibile, il pagamento in bitcoin non è mai arrivato. Ha contattato via mail l’acquirente, che ha finto di non saper nulla della transazione e si è rifiutato di pagare qualunque cosa. Così Christian ha deciso di indagare. Si è accorto che il truffatore usava lo stesso nome utente su Reddit, eBay e Steam e su un sito di ricerca di lavoro. Così Christian ha messo insieme tutti i dati e ha trovato il nome del truffatore, la prima lettera del cognome e la città in cui abitava. Su Facebook ha trovato un account che aveva scritto un solo post che aveva un solo “Mi piace”. Quel “Mi piace” era stato dato da un amico del truffatore, che invece scriveva tanto su Facebook e soprattutto scriveva post pubblici.

Christian ha esplorato pazientemente i post dell’amico del truffatore e a un certo punto ha trovato una schermata di un gioco, con Facebook aperto sullo sfondo, che elencava tutti gli amici, compreso il truffatore, di cui a questo punto Christian aveva anche il cognome. Altri dieci minuti e Christian ha trovato i profili Facebook dei suoi parenti.

Così Christian ha contattato il fratello maggiore e la madre del truffatore e li ha avvisati di quello che stava succedendo, dicendo che non voleva rovinare la vita al truffatore, che aveva solo 22 anni.

Dieci minuti dopo il truffatore ha contattato Christian direttamente con una supplica: “Scusami per quello che ho fatto, sono giovane e stupido e sono messo male. Sono uno studente e non ho un lavoro.” Il truffatore ha contattato Apple e si è fatto ridare il valore delle carte regalo, offrendolo a Christian. “Per favore lasciami in pace, non lo farò mai più.”

Ciliegina sulla torta, il truffatore ha chiesto a Christian di cancellare il messaggio che aveva mandato a sua madre o di inventare una scusa per evitargli guai con la madre.

Bella storia a lieto fine, ma attenzione: non tutti i truffatori sono così ingenui.


Fonte: Naked Security.

Smontato il mito che i giovani non tengono alla privacy digitale

Sento spesso dire che i giovani non danno più valore alla privacy: di solito lo sento dire da persone non giovani, con un tono di rimprovero nostalgico, accompagnato da un “Ah, i giovani d’oggi... noi non eravamo così”. Poi magari sono gli stessi che condividono su WhatsApp o Facebook o tengono sul telefonino le proprie foto intime.

Un sondaggio pubblicato due giorni fa da Pew Research Center smentisce questo mito e dimostra che l’attenzione alla privacy digitale diminuisce man mano che aumenta l’età:

– il 74% dei giovani americani (18-29 anni) ha cancellato i cookie e la cronologia del browser; dai 50 ai 64 anni lo ha fatto solo il 56%;

– il 71% dei giovani ha cancellato o modificato qualcosa che aveva pubblicato in passato, contro il 24% degli ultracinquantenni;

– il 49% dei giovani ha impostato il browser per disabilitare o disattivare i cookie, contro il 37% della fascia da 50 a 64 anni;

– la stessa tendenza si nota per il rifiuto di usare un sito che chiede il proprio vero nome (42% contro 33%) e per l’uso di un nome utente o di un indirizzo di mail temporanei (41% contro 18%).

Il sondaggio nota che i giovani adulti hanno una maggiore tendenza a limitare le informazioni personali disponibili in Rete, a cambiare le proprie impostazioni di privacy, a cancellare i commenti indesiderati nei social network, a togliere il proprio nome dalle foto nelle quali sono taggati, e ad attivarsi per nascondere la propria identità online.

Al tempo stesso, però, va detto che i giovani sono il gruppo che ha la maggiore probabilità di avere in Rete informazioni personali: non necessariamente perché ce le hanno messe loro. Magari le hanno pubblicate i loro genitori, come nel recente caso austriaco.

Ragazza austriaca fa causa ai genitori: postano sue foto imbarazzanti su Facebook

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2016/09/24 8:55.

Secondo The Local in Austria e Deutsche Welle, una ragazza austriaca di diciott’anni ha avviato una causa legale contro i propri genitori perché pubblicano su Facebook le sue foto intime e imbarazzanti di quando era bambina e rifiutano di rimuoverle. Si tratta di oltre 500 foto, condivise con i 700 amici dei genitori a partire dal 2009, quando la ragazza aveva undici anni.

“Non conoscono né limiti né pudore. A loro non importava se ero seduta sul gabinetto o nuda nel lettino: ogni momento veniva fotografato e reso pubblico”, dice la ragazza, che ha fatto ricorso alla legge perché è “stanca di non essere presa sul serio” dai propri genitori, che hanno ignorato sia le sue richieste verbali sia quelle fatte tramite il social network. Secondo quanto riportato da The Local, le foto includono cambi di pannolino e sedute sul vasino.

I genitori si difendono dicendo che “la figlia è nostra, e per [noi] è un bell’album di famiglia che è stato accolto bene dai nostri amici su Facebook.”

Se il tribunale accoglie le richieste della ragazza, i genitori potrebbero trovarsi obbligati a un risarcimento e a sostenere le sue spese legali. L’udienza è prevista per novembre. Graham Cluley di Naked Security nota che anche altri paesi, come la Francia, hanno norme estremamente severe sul diritto alla privacy dei minori, che molti genitori ignorano disinvoltamente.

A parte il rischio che vengano usate da pedofili, le foto d’infanzia, specialmente se intime e imbarazzanti come quelle descritte dalla ragazza austriaca, possono essere sfruttate per molestie e bullismo online da parte dei compagni di scuola. Sarà forse il caso, per molti genitori, di farsi un esame di coscienza e chiedersi se è davvero necessario condividere questi momenti personali proprio con tutti e se è accettabile trattare i minori come se fossero oggetti da esibire.


2016/09/24 8:55. The Local segnala che sono emersi alcuni dubbi sull’autenticità della notizia, che al momento è impossibile da verificare o smentire a causa dello stretto riserbo che protegge le persone coinvolte e le procedure legali.

– Si sa che la fonte originale è il settimanale austriaco Die Ganze Woche, che ha pubblicato la notizia usando un nome di fantasia, Anna Maier, per la ragazza, come consueto in questi casi.

– Il legale citato nell’articolo originale, Michael Rami, esiste realmente ma ha negato di essere il rappresentate legale diretto della ragazza, dichiarando invece di essere semplicemente un consulente.

– Se la ragazza vive in Carinzia, come affermato dall’articolo originale, il foro competente sarebbe Klagenfurt, dove però non risulta pubblicamente alcuna causa legale di questo genere in calendario per novembre. Questo però non vuol dire che la causa non esiste.

– Burkhard Trummer, caporedattore di Die Ganze Woche, ha dichiarato alla Frankfurter Allgemeine Zeitung che “la storia è autentica” ma non ha fornito prove, e la redazione non risponde alle richieste telefoniche.

L’autenticità della vicenda è insomma incerta, ma le considerazioni sollevate dal caso restano valide. Per chi volesse indagare ulteriormente, segnalo alcune fonti aggiuntive in tedesco: Die Ganze Welt del 20/9/2016, Morgenpost, FAZ, Der Standard.

Yahoo, oltre 500 milioni di password rubate. Due anni fa, lo ammettono adesso

È probabilmente il più grande furto di dati mai rivelato: Yahoo ha annunciato ieri di aver subito la sottrazione di dati riguardanti “almeno 500 milioni di account”: i dati rubati potrebbero includere “nomi, indirizzi di mail, numeri di telefono, date di nascita, password in formato hash [...] domande e risposte di sicurezza non cifrate”.

Come se non bastasse, il furto è avvenuto due anni fa, verso la fine del 2014, e viene annunciato soltanto adesso, proprio nel momento in cui Yahoo sta cercando di farsi acquistare dall’operatore di telecomunicazioni statunitense Verizon.

Per Yahoo è un’umiliazione totale, e vale poco il tentativo di giustificarsi agli occhi del pubblico generico incolpando del furto “entità sostenute da governi”, fra l’altro senza presentare alcuna prova di quest’accusa, Invocare potenti nemici di stato è un modo per insinuare che non è colpa di Yahoo perché contro certi attacchi non si può fare nulla. Ma qui non è solo questione di essere stati attaccati: c'è anche il fatto di non aver scoperto e annunciato il furto per due anni, nonostante circolassero da qualche tempo voci in proposito. Una dimostrazione di incompetenza piuttosto ineludibile.

Cosa fare se avete un account Yahoo?

– prima di tutto, cambiate password e usatene una lunga e complessa, che sia diversa da quelle usate altrove;
– se avete usato la stessa password per altri siti, cambiatela anche in questi altri siti;
attivate la verifica in due passaggi, che vi manda sullo smartphone un codice di sicurezza supplementare se qualcuno tenta di entrare nel vostro account da un dispositivo non vostro;
fate attenzione a eventuali mail, messaggi o telefonate di soggetti che cercano di autenticarsi dicendo di sapere il vostro nome, cognome, data di nascita e numero di telefono: potrebbero essere truffatori.

Per chi si chiede se i dati di un account possono essere utili a governi ostili o a criminali se non sono accompagnati da password: sì, perché consentono tentativi di phishing mirato molto credibili. E considerato che Yahoo è usato prevalentemente da persone meno giovani, il bottino potrebbe essere particolarmente ricco di profili di persone abbienti e di dipendenti governativi.


Fonti aggiuntive: Motherboard, Graham Cluley.

2016/09/21

Sono a un simposio internazionale di sicurezza informatica. Vi racconto cosa si dice

Questo articolo vi arriva gratuitamente grazie alle donazioni dei lettori. Se vi piace, potete farne una per incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2016/09/21 15:50.

Sono stato cortesemente invitato ad assistere al simposio Cybersecurity and Managerial Challenges “A continuing challenge for a modern society” che si tiene oggi e domani al Franklin College di Lugano (www.cmcsymposium.org). I relatori sono di tutto rispetto e promettono di toccare argomenti estremamente interessanti per la sicurezza informatica aziendale, nazionale e internazionale. Proverò a raccontarvi più o meno in tempo reale gli eventi salienti della giornata. Intanto date un’occhiata al programma e all’elenco dei relatori.

Jacob Keidar, ambasciatore d’Israele a Berna, parla dell’approccio israeliano alla sicurezza informatica. Quasi il 5% del PIL israeliano viene investito in ricerca e sviluppo, e le forze armate fanno sinergia massiccia con le università per formare le nuove leve della sicurezza informatica nazionale, che spesso vanno poi a occupare posti chiave nelle aziende private o le fondano. Il 25% degli informatici israeliani ha così una formazione di origine militare (per cui non c’è da stupirsi, aggiungo io, se quando si parla di aziende informatiche israeliane salta quasi sempre fuori un legame militare).

Morris Mottale, professore della Franklin University, parla dell’evoluzione della teoria cibernetica con una bella citazione dell’informatica di Star Trek (riferita alla Serie Classica che compie cinquant’anni). Prevede un inesorabile aumento della sorveglianza informatica governativa e considera che uno dei pericoli principali sia l’insider ai livelli intermedi di un’organizzazione di sicurezza nazionale.

Siim Alatalu, Head of International Relations che collabora con il CCD COE (Cooperative Cyber Defence Centre of Excellence) della NATO in Estonia, parla della cooperazione internazionale per la sicurezza informatica nazionale. Sottolinea che da luglio di quest’anno oltre la metà della popolazione mondiale è online; Internet non è più territorio esclusivo dei paesi occidentali, e questo cambia tutti gli equilibri. Dice che ci sono 17 paesi con “capacità offensive dichiarate” in campo informatico (cita Russia, Cina e Corea del Nord “e altri paesi”). Cita gli attacchi a livello nazionale in Estonia (2007), Georgia (2008) e Ucraina (2014) e il Manuale di Tallinn (il libro di testo principale sulle leggi internazionali applicabili alla guerra informatica), di cui uscirà prossimamente un’edizione aggiornata. Anche per lui la minaccia chiave è il fattore umano: l'utente innocente che non si rende conto di fare qualcosa di pericoloso (97% degli incidenti informatici). In Estonia è stato reso obbligatorio un corso preliminare di addestramento alla sicurezza informatica per tutti i dipendenti, dall’utente di base fino al manager e allo specialista, e altri paesi europei stanno imitando questo approccio.

Daniele Mensi, vicepresidente di Ubiquity, parla di crimine informatico finanziario su piattaforme mobili. Conferma attraverso due casi vissuti personalmente una teoria molto interessante: gli errori vistosi e le palesi sgrammaticature nelle mail di phishing sono intenzionali, perché permettono di valutare la vulnerabilità e l’ingenuità della vittima potenziale. In altre parole, gli errori selezionano i bersagli migliori. Ci sono oggi tre miliardi di persone connesse a servizi mobili e altre due si aggiungeranno entro il 2020: quasi un raddoppio in quattro anni. Nell’UE, nel 2013 (ultimo anno per il quale sono disponibili dati), l’ammontare delle transazioni fraudolente tramite carte di credito e debito è stato di 1,44 miliardi di euro (lo 0,039% del valore totale delle transazioni). Le frodi con carta non presente sono passate dal 46% al 66%. Uno dei problemi principali nel migliorare la sicurezza, nota Mensi, è che non c’è armonizzazione nelle forme di sicurezza fornite dalle banche.

Matthias Bossardt, Head of Cyber Security and Data Protection di KPMG, affronta i dati sugli attacchi informatici in Svizzera: il 54% delle aziende ha subito attacchi informatici negli ultimi 12 mesi. Dal 14 aprile in UE ci saranno multe fino a 20 milioni di euro o il 4% del fatturato annuale per chi non rispetta le norme sulla protezione dei dati; qualcosa di analogo ci sarà prossimamente anche in Svizzera. Meno della metà delle aziende svizzere ha un piano di risposta agli incidenti di sicurezza informatica e svolge esercitazioni di sicurezza (dati 2016). Sottolinea che in questo momento uno dei canali preferiti per gli attacchi informatici è costituito dai fornitori dell’azienda bersaglio.

Francesco Arruzzoli di STE Spa fa sul palco una dimostrazione in tempo reale (con parecchi intoppi, ma il messaggio è abbastanza chiaro) di penetrazione in un sistema informatico di un’azienda immaginaria: attaccano una periferica di un amministratore di sistema (un vivavoce USB). La periferica originale viene sostituita fisicamente (grazie a una persona che finge di essere un addetto alle pulizie che ha un tesserino falso, ottenuto fotografando da lontano quello originale) con una copia il cui microcontroller viene simulato con un Arduino e quindi ha molte funzioni aggiuntive utili agli aggressori: in particolare ha la capacità di iniettare malware nel PC al quale è collegato, emulando una tastiera. Usando una sequenza di digitazioni preregistrate, viene aperta una sessione di terminale senza conoscere la password dell’amministratore, viene creato un nuovo account amministratore e viene fatto reboot. Il malware si nasconde all’occhio dell’utente usando l'omografia Unicode per assumere un nome apparentemente legittimo (svchost.exe). Non viene spiegato come sfugge all’antivirus. Fatto questo, viene usato Metasploit per trovare una vulnerabilità nel PC. Una volta trovata, viene sfruttata per prendere il controllo dell’intero datacenter aziendale. Morale della storia: qualunque cosa possa andare storta in una demo lo farà. Perla finale: viene presentato come reale un video di hacking di segnali stradali che in realtà era un falso realizzato per marketing virale, come descrivevo nel 2008.

Neil Hindocha della danese Fortconsult parla di Internet delle Cose: usando Shodan.io e Massscan trovano oltre 60.000 dispositivi (sensori di domotica, antifurto, serrature, sensori sismici, porte di carceri, 15.000 Bancomat, automobili, robot industriali, sensori di monitoraggio della pressione di oleodotti, impianti nucleari e molto altro) che comunicavano in chiaro. E i dati sono anche scrivibili. Quando ha presentato questo problema a DEF CON, venti minuti dopo qualcuno ha iniettato nei sensori sismici in Giappone un terremoto di grado Richter 9.1. Questa falla è ancora aperta. Bello l’accenno a Stuxnet (guardate il documentario Zero Days per i dettagli); magnifici gli scenari di attacco informatico, basati su questa falla, in grado di paralizzare una città o una nazione. Maggiori informazioni sono qui. La mia domanda a Hindocha è stata come mai non c’è crittografia o autenticazione su queste comunicazioni: la risposta è che il protocollo MQTT era stato concepito per le comunicazioni satellitari con sensori in ambienti remoti e impossibili da aggiornare, e poi è stato usato per altri scopi e ci si è dimenticati della sicurezza. Un classico.

William Long, della Sidley Austin LPP londinese, parla delle novità normative dell’UE in materia di responsabilità e protezione dei dati. In particolare ha presentato la NIS Directive, una direttiva europea sulla sicurezza informatica che cerca di mettere ordine nel caos legislativo dei vari paesi ed entrerà in vigore nel 2018, dando nuovi diritti ai cittadini (cancellabilità, rifiuto di profilazione, portabilità dei dati) e obblighi di annuncio alle autorità europee delle violazioni di sicurezza entro 72 ore. Divertentissime le acrobazie linguistiche alle quali Long (essendo britannico) è costretto a causa della Brexit. Interessante la portata di questa normativa, che varrà anche per le grandi aziende extra-UE che detengono dati sui cittadini UE (Facebook, Google, Apple e Microsoft, per esempio). Viene citato anche il caso dirompente di Max Schrems contro Facebook davanti alla Corte di Giustizia Europea, che ha avuto impatto su oltre 5000 aziende che adottavano le norme sul safe harbor per la gestione dei dati personali.

Carolina Reggiani, criminologa, esplora brevemente la psicologia dell’hacker (nell’accezione popolare del termine, ossia “criminale informatico”), smontando miti e luoghi comuni. Citati, in particolare, Mitnick e McKinnon.

Federico Luperi, di ADNKronos, parla del danno alla reputazione dopo un attacco informatico, visto oggi come uno dei rischi più importanti per un’azienda. Cita i casi di Ashley Madison, Mossack Fonseca, e spiega alcune delle tecniche di gestione di questo danno.

Con questo si conclude la giornata. Il simposio prosegue domani, ma non ci potrò essere per via di una conferenza che devo tenere a Milano. Spero che  questo resoconto sia stato interessante e utile quanto lo è stato per me partecipare.

2016/09/20

Giornalismo 2.0: le foto private “hackerate” di Diletta Leotta sono sul sito de La Voce di Napoli

Questo articolo vi arriva gratuitamente grazie alle donazioni dei lettori. Se vi piace, potete farne una per incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2020/06/30 12:55.

ANSA ha annunciato oggi, citando una nota dell’ufficio stampa della giornalista di Sky Sport Diletta Leotta, che il “telefono portatile [sic] di Diletta è stato hackerato e alcune sue foto privatissime di alcuni anni fa, in realtà insieme ad evidenti fotomontaggi, in queste ore sono distribuite in rete da moltissime persone”. La giornalista “ha subito sporto denuncia alla Polizia di Stato (Compartimento Polizia Postale e delle Comunicazioni di Milano) chiedendo che si dia inizio all'azione penale contro chiunque risulti concorrente di tutti i reati perseguibili e cioè della pubblicazione e distribuzione delle foto.”

Diletta Leotta sembra insomma intenzionata seriamente ad agire penalmente contro chiunque pubblichi e distribuisca le foto in questione, come è suo sacrosanto diritto. Come prevedibile, è partito il coretto dei giornalisti casti e puri, indignati per questa nuova violazione della privacy di una donna, che puntano il dito giudicatore contro gli utenti comuni che stanno distribuendo le foto personali della Leotta su WhatsApp, Dropbox, Imgur e su tanti altri siti e servizi. Ma la cosa interessante è che fra questi disseminatori c’è anche una testata giornalistica italiana: La Voce di Napoli.

Almeno due delle foto in questione, infatti, sono pubblicate sul server web de La Voce di Napoli. Hanno un indirizzo accessibile a chiunque, facilissimo da trovare con una banale ricerca in Google. Per ora non pubblico qui i link diretti, caso mai Sky Sport, la Polizia Postale o Diletta Leotta volessero sporgere denuncia. Su La Voce di Napoli le foto sono parzialmente mascherate con i quadrettoni in alcuni punti, ma non nel volto.

Ho salvato una copia delle foto su Archive.is e su Archive.org, in modo da avere una prova indipendente di quello che affermo. Visto che la Leotta parla di “gravissima violazione della privacy” e di “azione penale” nei confronti di chi pubblica le sue foto personali, sarà interessante vedere come procederà con i colleghi giornalisti che le mettono sui propri siti di testata.


2016/09/21 21:45. Questo articolo è già diventato, in meno di ventiquattr’ore, il mio pezzo più letto di sempre: oltre 172.000 visualizzazioni, secondo le statistiche di Blogger.com. Altri miei articoli, per arrivare a questi livelli, ci hanno messo anni. Mi sento profondamente demotivato :-)


2016/09/21 23:55. Ho appena guardato le statistiche sulle parole chiave di ricerca che hanno portato lettori a questo blog in questa settimana. Sono sconfortanti. Datemi una birra.



2020/06/30 12:55. A distanza di anni, questo articolo rimane il più letto in assoluto, con oltre 267.000 visualizzazioni. Ho sbagliato mestiere.



Podcast del Disinformatico del 2016/09/16

È disponibile per lo scaricamento il podcast della puntata di venerdì del Disinformatico della Radiotelevisione Svizzera. Buon ascolto!

Tesla “hackerate da remoto”? Non proprio

Questo articolo vi arriva gratuitamente grazie alle donazioni dei lettori ed è stato aggiornato estesamente dopo la pubblicazione iniziale del 2016/09/20. Se vi piace, potete farne una per incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2016/09/21 21:55.


In breve


Sono a corto di tempo, per cui scrivo giusto due righe per evitare che si diffondano bufale: sì, gli esperti di Keen Security Lab hanno pubblicato un video nel quale sembrano mostrare un attacco informatico nel quale prendono il controllo da remoto di una Tesla Model S, per esempio aprendone le portiere e il bagagliaio, comandandone gli schermi del cruscotto e riuscendo addirittura a far frenare l’auto di colpo mentre è in movimento.

Spettacolare, certo, ma non è un vero e proprio “hackeraggio da remoto”: serve infatti comunque la collaborazione attiva del conducente, che deve connettere l’auto a una specifica rete Wi-Fi (cosa che non succede mentre si è in giro), per cui non si tratta di una tecnica che consente di prendere facilmente il controllo a distanza di un’auto Tesla qualsiasi.

Molte testate giornalistiche che stanno raccontando la scoperta omettono di precisare questo particolare, forse per incompetenza o forse per pompare la notizia: fra quelle che ho visto fin qui fa felice eccezione The Verge.

Tecnicamente è un risultato notevole, comunque, rispetto agli attacchi precedenti che richiedevano lo smontaggio del cruscotto, e sottolinea il problema di fondo di tutte le auto interconnesse: il rischio che la connessione sia sfruttabile per sabotarle. Questa vulnerabilità è già stata risolta con un aggiornamento software (versione 7.1 release 2.36.31) diffuso automaticamente a tutte le Tesla.

Spero di potervi raccontare tutti i dettagli nelle prossime ore.



In dettaglio


L’articolo originale di Keen Security Lab (che fa parte del colosso cinese Tencent) è decisamente reticente: la cosa più interessante che dice è che l’attacco compromette il CAN bus, il sistema che controlla molti dei componenti essenziali dell’auto.

Altri articoli, per esempio su Ars Technica e il già citato The Verge, spiegano qualche dettaglio in più: l’attacco realizzato da Keen sfrutta un bug nel browser della Tesla. Questo bug richiede che l’auto sia connessa a un hotspot Wi-Fi ostile e che contemporaneamente il conducente effettui la ricerca della stazione di ricarica più vicina tramite il pannello di comando centrale dell’auto.

The Verge pubblica una conferma inviata da Tesla, che dice appunto che “Il problema dimostrato viene innescato soltanto quando viene usato il browser web e inoltre richiede che l’auto sia fisicamente vicina a un hotspot Wi-Fi ostile e sia connessa ad esso” e aggiunge che i ricercatori di Keen, avendo agito responsabilmente (contattando Tesla senza pubblicare i dettagli della vulnerabilità), riceveranno una ricompensa secondo i parametri del programma bug bounty (ricompensa per i bug scovati) introdotto da Tesla per incoraggiare questo tipo di ricerca.

Stefano, di Teslaforum.it, mi spiega che nell’uso normale una Tesla si collega a una rete Wi-Fi soltanto in due situazioni: quando è a casa del proprietario (l’auto ha il GPS e quindi “sa” sempre dove si trova e si collega al Wi-Fi del proprietario) e quando si trova presso un centro di assistenza Tesla (nel qual caso si collega al Wi-Fi del centro di assistenza). A parte queste due occasioni, mi dice Stefano, l’auto di norma resta collegata tramite la connessione cellulare 3/4G integrata (e inclusa nel prezzo) e l’unica operazione che si può fare solo via Wi-Fi è l'aggiornamento delle mappe.

In pratica, quindi, l’attacco descritto da Keen è realizzabile soltanto in condizioni decisamente insolite e richiede la collaborazione coordinata di una persona a bordo dell’auto, per cui non si può definire remoto in senso stretto e non è certo automatico o sfruttabile su vasta scala. Si tratta comunque di una vulnerabilità importante, per cui è bene che sia stata scoperta e risolta.

La parte più interessante (e preoccupante) è la compromissione del controllo dei freni: la tecnica effettivamente usata è tutta da confermare, ma un altro utente di Teslaforum.it, Div@h, sottolinea che tutti gli effetti mostrati nel video sono ottenibili comandando appositamente il pannello comandi (la MCU o Media Control Unit, in pratica l’“iPaddone” centrale), e che esiste una funzione di frenata d’emergenza attivabile tramite questa MCU, per cui non è da escludere che l’attacco non abbia realmente preso il controllo del cuore informatico dell’auto (il CAN bus, appunto) ma abbia raggiunto soltanto (si fa per dire) il pannello comandi, che in realtà è indipendente e fortemente isolato dalle funzioni centrali. Se così fosse, l’attacco sarebbe molto meno grave di quel che sembra a prima vista.

Paradossalmente, la risoluzione rapida del difetto mostra che il punto debole delle auto connesse (la connessione dati, appunto) è anche il punto di forza che consente di rimediare alle falle diffondendo immediatamente a tutte le auto un aggiornamento correttivo.


Fonti aggiuntive: The Hacker News, Electrek.