2017/12/30

“Luna? Sì, ci siamo andati!” diventa un sito: edizione 2018 massicciamente aggiornata

Ultimo aggiornamento: 2018/02/04 23:50.

Dopo una lunga pausa ho rimesso mano al mio libro di risposte alle tesi di complotto intorno agli sbarchi sulla Luna e l'ho trasformato da testo cartaceo, EPUB e PDF in un sito (tinyurl.com/luna2018). I primi tre cinque sei capitoli sono già online in forma completa; gli altri seguiranno man mano.

So che a molti dispiacerà che non ci sia più un’edizione cartacea, ma mi sono dovuto arrendere al fatto che tenere aggiornato un testo cartaceo così ricco di illustrazioni e reimpaginarlo a ogni minima modifica era un incubo che mi paralizzava; per non parlare dei costi e della logistica di stampare e portare in giro chili di carta. Anche la versione EPUB stava diventando ingestibile per lentezza e dimensioni.

Con la versione attuale, invece:
  • posso includere immagini a colori e in altissima risoluzione;
  • posso incorporare anche video e animazioni;
  • posso aggiornare, linkare e correggere al volo qualunque parte del testo, ripubblicandola istantaneamente (infatti mi sto divertendo tantissimo ad aggiungere finalmente tutte le chicche che avevo accumulato negli appunti);
  • posso offrire un’edizione fruibile anche sugli schermi piccoli dei telefonini e facile da linkare per rispondere alle singole obiezioni dei lunacomplottisti;
  • posso includere un pratico motore di ricerca interno che consente di trovare le informazioni con molta facilità.

Se qualcuno vuole sviluppare un’app, generare un EPUB o un PDF partendo dal mio testo, è libero di farlo, purché rispetti le condizioni di licenza Creative Commons che trovate nel sito.

Se conoscete già le versioni precedenti di Luna?, troverete già ora molte foto in più, molti link aggiunti e un paio di sezioni aggiuntive. I prossimi capitoli saranno ancora più ricchi e rinnovati, pronti per affrontare l’inevitabile ondata di baggianate della stampa generalista e dei lunacomplottisti che arriverà nel 2019, intorno al cinquantesimo anniversario del primo sbarco sulla Luna.

Buona lettura!


2017/12/31 15:30. Ho completato anche il quarto capitolo.

2018/01/23 14:00. Ho completato il quinto capitolo.

2018/02/04 23:50. Ho completato il sesto capitolo.

2018/10/07: Ho terminato di aggiornare tutto il testo.


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

2017/12/29

Un anno di informatica in rassegna

Ultimo aggiornamento: 2017/12/29 16:05.

Sì, la questione informatica dell’anno che si sta chiudendo è sicuramente la fake news, ma il 2017 è stato caratterizzato da molti altri eventi digitali. la BBC ne riassume alcuni dei più significativi.

Per esempio, i televisori 3D, che dovevano essere una novità irresistibile, sono invece praticamente spariti dai cataloghi dei nuovi prodotti a inizio 2017. Chissà se gli schermi curvi, che sono la moda del momento, faranno la stessa fine.

C’è stato anche il ritorno del telefonino non-smart, quando Nokia ha presentato la versione aggiornata del suo classico 3310.

A marzo 2017 ha tenuto banco la storia che CIA ed MI5 avevano collaborato per violare le smart TV della Samsung in modo da registrare l’audio ambientale anche quando erano in apparenza spente e poi inviare le registrazioni ai server delle spie: il nome usato per l’operazione, Weeping Angel, ha fatto contenti i fan di Doctor Who.

Ad aprile è stato il turno di una frode da cento milioni di dollari ai danni di Facebook e Google, compiuta mandando alle contabilità di queste aziende delle mail che sembravano provenire da un fabbricante in Asia e fornivano invece le coordinate bancarie del truffatore, che si sospetta sia un lituano.

A maggio è arrivata la mazzata di WannaCry: un attacco di ransomware che ha toccato tutto il mondo, bloccando decine di migliaia di computer Windows e portando alla paralisi numerose aziende grandi e piccole e molti servizi pubblici, compresi alcuni ospedali, che non avevano aggiornato i propri sistemi informatici.

Il mese successivo un altro attacco informatico ha colpito l’Ucraìna e poi si è diffuso al resto del mondo attraverso un aggiornamento di un software fiscale. I danni ad aziende come Maersk, FedEx e altre sono stati enormi: si stima oltre un miliardo di dollari di danni.

A luglio i bitcoin sono stati sotto i riflettori per una scissione interna che aveva l’intento di risolvere i rallentamenti del sistema di gestione della criptovaluta, che all’epoca valeva 2400 dollari (oggi siamo oltre i 15.000). I rallentamenti non sono stati risolti: ora una transazione viene confermata in media in circa 24 ore.

Agosto, invece, ha visto un brutto caso giornalistico informatico: MalwareTech, l’utente anonimo che aveva sventato in gran parte l’attacco planetario di Wannacry, è stato identificato e smascherato dai giornali britannici ed è stato poi arrestato dall’FBI con l’accusa di aver sviluppato malware bancario vari anni fa. L’informatico è ora in attesa di giudizio e si dichiara innocente.

A settembre Apple ha visto trafugati i dati salienti del suo nuovo iPhone X prima del lancio ufficiale, nonostante l’azienda avesse assunto ex dipendenti FBI e NSA per impedire fughe di notizie.

Ottobre è stato un mese interessante per Amazon, che si è vista frodata per 1,2 milioni di dollari da un una coppia di truffatori che usava centinaia di identità false per ordinare merci e poi denunciava difetti inesistenti per avere un rimpiazzo intanto che rivendeva gli esemplari ricevuti inizialmente. La coppia è stata arrestata.

La guida autonoma ha vissuto un brutto momento mediatico a novembre, quando il servizio di autobus navetta senza conducente di Navya, a Las Vegas, ha avuto il primo (lieve) incidente meno di un’ora dopo il debutto. Per colpa di un altro conducente umano, ma fa niente.

Ed eccoci a dicembre: sta ancora tenendo banco il rallentamento intenzionale degli smartphone di Apple, con tanto di azioni legali dei consumatori, scuse di Apple, offerte di cambio batteria a prezzi ridotti e istruzioni per il fai da te. Staremo a vedere cosa ci riserverà il 2018. Buon anno.

Localizzare uno smartphone anche a GPS spento si può

Vi racconto una storia d’informatica un po’ inquietante per chiudere l’anno del Disinformatico radiofonico perché credo che sia un ottimo esempio di come dati di per sé apparentemente innocui possono essere aggregati per ottenere informazioni sensibili e di come dobbiamo essere quindi molto attenti a quali dati lasciamo in giro.

Sappiamo tutti che uno smartphone sul quale sono attivi i servizi di localizzazione (GPS, soprattutto) è localizzabile da qualunque società commerciale che gestisca una delle app alle quali avete dato i permessi di tracciamento. Sappiamo inoltre che anche a GPS spento gli operatori telefonici, le forze dell’ordine e i servizi di soccorso sono in grado di localizzare qualunque telefonino acceso. Molti utenti sono convinti che per evitare il tracciamento commerciale (o da parte di un partner ficcanaso) basti disattivare la localizzazione nelle impostazioni del dispositivo. Non è così.

Alcuni ricercatori della Princeton University hanno creato un’app dimostrativa, chiamata PinMe, che consente di tracciare un telefonino anche a GPS spento, usando soltanto i dati raccolti dai vari sensori presenti nello smartphone (iOS o Android). La loro ricerca, pubblicata presso il sito dell'IEEE (PinMe: Tracking a Smartphone User around the World, accessibile a pagamento ma riassunta da Naked Security) mostra come i dati del barometro, dell’altimetro, del giroscopio, dell’accelerometro, del magnetometro e dell’orologio presenti nello smartphone siano sufficienti a determinare dove si trova un utente se li si aggrega e confronta con i dati pubblicamente disponibili.

Per esempio, l’accelerometro consente di capire il tipo di movimento: se è lento e oscillante, l’utente sta camminando. Se è più veloce e fa svolte a 90 gradi, l’utente sta andando in auto, in moto o in bici. Velocità superiori e curve ampie indicano l’uso di un treno o di un aereo. Se il barometro indica una pressione ridotta è un aereo. Incrociando per un po' di tempo i dati di pressione atmosferica con il fuso orario rilevato dal telefonino, con i dati pubblici di altimetria e con l’orientamento della bussola è possibile circoscrivere rapidamente la zona in cui può trovarsi l’utente.

A ogni svolta, per esempio, si riduce il numero di strade corrispondenti al percorso coperto. Durante una dimostrazione, i ricercatori hanno notato che bastano dodici svolte per sapere esattamente dove si trova l’auto nella quale l’utente si sta spostando.

I rimedi sono pochi. A parte la scelta drastica di smettere di usare uno smartphone e tornare a un telefonino classico, si può provare a togliere ogni app che non si usa più e a non installare app di dubbia provenienza. I ricercatori consigliano ai produttori di imporre ai sensori dei limiti alla frequenza con la quale raccolgono dati quando sono inattivi e di aggiungere degli interruttori fisici ai dispositivi, in modo da consentire di spegnere con certezza i sensori non utilizzati.

Le password peggiori dell’anno

We Live Security ha pubblicato una classifica delle password più comuni, basata sulle password saccheggiate nel corso del 2017, che è stato un anno spettacolare da questo punto di vista.

Le presento senza commento perché sono desolanti. Anni di raccomandazioni buttati al vento.

1. 123456
2. password
3. 12345678
4. qwerty
5. 12345
6. 123456789
7. letmein
8. 1234567
9. football
10. iloveyou
11. admin
12. welcome
13. monkey
14. login
15. abc123
16. starwars
17. 123123
18. dragon
19. passw0rd
20. master
21. hello
22. freedom
23. whatever
24. qazwsx
25. trustno1
26. 654321
27. jordan23
28. harley
29. password1
30. 1234

Tenete presente che queste password sono nel repertorio di qualunque criminale o aspirante criminale informatico. Non usatele e assicuratevi che non le usi nessuno. E già che ci siete, attivate l’autenticazione a due fattori, se potete.

Giornalismo digitale: come recuperare un sito oscurato dalla magistratura

Ultimo aggiornamento: 2017/12/29 16:25. 

Ieri la Radiotelevisione Svizzera ha dedicato articoli e servizi TV a un caso di pirateria audiovisiva piuttosto particolare, quello del sito Abbotv.ch, che in Svizzera offriva abusivamente accesso ai canali TV a pagamento italiani. La vicenda ha portato alla denuncia di tre persone “per infrazione alla Legge federale sui diritti di autore nonché per titolo di Fabbricazione e immissione in commercio di dispositivi per l'illecita decodificazione di offerte in codice”.

Sembra un caso informaticamente interessante, ma il comunicato stampa della Polizia cantonale è molto stringato e non fornisce dettagli. Come si fa a procurarsi questi dettagli e scoprire per esempio quali canali TV erano offerti, a che prezzo e da quanto tempo, in modo da poter imbastire un servizio giornalistico che sia più di una semplice ripetizione del comunicato stampa? Il sito attualmente mostra solo la schermata di oscuramento:


Eppure nel servizio del Quotidiano, al quale ho contribuito, si vedono le schermate del sito com’era prima dell’oscuramento.


Preveggenza? Ero uno degli abbonati al servizio, che ora saranno comprensibilmente preoccupati perché sono coinvolti con nome, cognome e account PayPal in una vicenda illecita? Ho ricevuto un’indiscrezione dalle autorità?

No, semplicemente un pizzico di tecnica di giornalismo digitale. Per prima cosa ho cercato la copia cache del sito, acquisita da Google il 26 dicembre, ma mostrava il sito già oscurato; così sono andato su Archive.org, che è un sito che registra copie cronologiche delle pagine Web, e vi ho cercato le copie d’archivio di Abbotv.ch, che vanno dal 6 agosto 2015 (sito in costruzione) al 6 ottobre 2017, e questo mi ha permesso di definire grosso modo il periodo di operatività del sito (era online al 17 settembre 2015):


Sfogliando Archive.org ho recuperato l’aspetto del sito al 6 ottobre scorso e tutti i dettagli: Abbotv.ch offriva “Un piccolo Decoder con un mondo di canali, Champions League, Serie A, Serie B, Formula 1, film in prima TV, documentari, serie TV, cartoni animati e molto altro ad un prezzo fenomenale!”. Il sito proponeva un “abbonamento” che comprendeva “una vastissima scelta di canali che trasmettono film in prima visione assoluta, Champions League, serie TV in prima visione, canali per bambini e adulti, sport e molto altro. Inoltre, è disponibile una libreria On demand aggiornata periodicamente con i film del momento!”.


Con lo stesso sistema ho recuperato la modalità di pagamento (solo PayPal) e i prezzi (da 204 CHF per un mese, decoder incluso, a 497 CHF per un anno, sempre con decoder incluso), decisamente convenienti rispetto all’offerta ufficiale per chi voleva guardare le partite di calcio, i film di prima visione o gli altri contenuti a pagamento, magari offrendo il tutto agli avventori del proprio locale e incrementando così il proprio flusso di clientela con relativi incassi.

Sono emerse così anche le condizioni generali del servizio, le FAQ e la pagina dei contatti (con tanto di numero di telefonino e indirizzo di mail).

Procurarsi la lista esatta dei canali piratati ha richiesto un po’ più di impegno: le pagine archiviate da Archive.org includevano il link al documento PDF che le elencava ma non il documento stesso. Ma avendo il link è stato sufficiente cercare in Google il nome del documento e recuperarne la copia cache:



Domaintools, invece, mi ha dato i dati d’intestazione e di hosting del dominio Abbotv.ch, registrato presso GoDaddy il 3 agosto 2015, gestito da Domains by Proxy e ospitato presso una società di hosting di Ginevra.

La ricognizione permessa da Archive.org e da Google mi ha consentito di vedere che il sito era costruito in modo a prima vista professionale e credibile, ma che il visitatore si sarebbe dovuto comunque insospettire perché gli unici dati di contatto erano un numero di telefonino e un indirizzo di mail (nessun indirizzo di sede legale, nessun nome di ditta, nessun nome di referente) e perché l’offerta era decisamente troppo bella per essere vera.

Tutte le informazioni necessarie per costruire un servizio giornalistico dettagliato, insomma, sono risultate reperibili rapidamente, pubblicamente e gratuitamente via Internet. Questo è il potere del giornalismo digitale.

2017/12/28

Podcast del Disinformatico del 2017/12/22

È disponibile per lo scaricamento il podcast della puntata di venerdì scorso del Disinformatico della Radiotelevisione Svizzera. Buon ascolto!

Come creare una postazione di monitoraggio della ISS

Ultimo aggiornamento: 2017/12/30 22:20.

Poco fa ho postato questo tweet e mi sono arrivate alcune richieste di sapere i nomi dei siti che ho usato per ricevere gli streaming in diretta della Stazione Spaziale Internazionale:



I siti sono questi:


Ho attivato la scomparsa del Dock (il computer è un Mac), messo uno sfondo completamente nero e attivato il tema Dark di Firefox (sotto Add-ons). Il gatto è optional.


2017/12/30 22:20. Dai commenti segnalo una pagina HTML che fornisce in un sol colpo tutti e tre i siti citati: www.mad-design.net/iss_monitor.html. Grazie a Il Lupo della Luna per averla creata e segnalata.


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Bufale, orsi e scimmiette: fare fake news con le buone intenzioni

Può sembrare strano, ma si può creare una fake news, nel senso di una notizia volutamente falsa, senza mentire e usando soltanto materiale autentico. In questi giorni circolano nei social network due storie parallele di questo genere, accomunate da un altro elemento condiviso: usano entrambe immagini di animali.

La prima storia si basa sul video, in sé autentico, di un orso polare magrissimo e visibilmente stremato che vaga in una landa brulla e completamente priva di ghiaccio. Il video è stato presentato anche da varie testate giornalistiche di tutto il mondo come una dimostrazione potente e palese dei cambiamenti climatici che stanno avvenendo.

Ma i giornalisti che si sono presi la briga di risalire all’origine del video hanno scoperto che è stato ripreso ad agosto in una zona dell’isola di Baffin, nel Canada nord-orientale, che in estate è regolarmente priva di ghiaccio. Anche i cambiamenti climatici, come il video, sono autentici, ma in questo caso non c’entrano. Insomma, due fatti reali sono stati uniti per creare una notizia falsa, generata da una coppia di attivisti ambientali per promuovere la propria causa.

La seconda storia riguarda un’immagine scioccante di una scimmietta brutalmente immobilizzata in un laboratorio e soggetta a esperimenti cruenti di cui vi risparmio la descrizione: è stata pubblicata su Facebook da un deputato come denuncia esplicita e visiva delle crudeltà atroci di quella che nel post sul social network viene chiamata “la falsa scienza della sperimentazione animale”.

Anche in questa seconda storia, l’immagine della scimmietta è di per sé reale e lo è anche il problema etico della sperimentazione sugli animali, ma manca un dettaglio importante: l’immagine è tratta da una scena simulata, creata per un film usando una scimmietta finta, e non mostra affatto le condizioni reali della sperimentazione animale, come ha scoperto il debunker David Puente.

In entrambe le storie, insomma, immagini non ritoccate ma usate fuori contesto sono state sfruttate per produrre un forte impatto emotivo che crea un inganno e rende difficile qualunque discussione razionale. Chi condivide queste immagini e gli slogan che le accompagnano crederà che siano una descrizione fedele della realtà, ma non lo sono. Cosa peggiore, se viene a sapere che le immagini sono ingannevoli, spesso ribatterà che non ha importanza, perché comunque sono state usate in buona fede, con le migliori intenzioni, per attirare l’attenzione su problemi seri e reali, e che se questi video e queste foto esagerano e drammatizzano un po’ i termini dei problemi non c’è niente di male.

Ma in realtà, a parte l’ovvia questione di correttezza, rimane il fatto che usare informazioni false o esagerate rischia di essere un autogol per le cause, magari perfettamente legittime, che si vogliono promuovere, perché quando poi la falsificazione viene scoperta getta discredito non solo sul singolo messaggio, ma sull’intero argomento, e probabilmente anche sul messaggero che la condivide sui social network, che potreste essere voi. Siate prudenti.


Questo articolo è il testo preparato per il mio servizio La Rete in 3 minuti per Radio Inblu del 28 dicembre 2017.

2017/12/26

Antibufala: incassa 1 milione di dollari vendendo Bitcoin contraffatti col pennarello!

Spesso le fake news non hanno un’origine precisa e vengono diffuse con un passaparola digitale che fa perdere le tracce della fonte iniziale. Ma c'è un caso recente di fake news di cui si sa con precisione l’origine, e questo consente di vedere come nasce e come si diffonde una notizia falsa.

Il caso è quello di un certo Marlon Jensen, un americano di 36 anni che sarebbe stato arrestato a New York per aver incassato fraudolentemente oltre un milione di dollari vendendo per strada degli esemplari falsi di Bitcoin, la valuta digitale che in questi giorni è sulla bocca di tutti per via del suo spettacolare aumento di valore.

Gli esemplari, secondo la notizia, erano in realtà dei gettoni di una nota catena di ristorazione, sui quali l’intraprendente Jensen aveva semplicemente rimosso il marchio della catena e poi disegnato con il pennarello il simbolo dei Bitcoin per gabbare gli ingenui acquirenti.

Sui social network e nei blog è partito subito il coro planetario dei commenti ironici e delle condivisioni di questa notizia, che (ripeto) è falsa, anzi è fake, ossia fabbricata intenzionalmente. Questa fake news, infatti, è stata creata dal sito satirico statunitense Huzlers.com per parodiare la recente febbre di scambi e speculazioni intorno ai Bitcoin, che ha in effetti attirato davvero molti investitori inesperti in cerca di facili guadagni.

Molti internauti l’hanno condivisa dandola per vera perché Huzlers è un sito specializzato nel fabbricare notizie false in modo da attirare visitatori e quindi ottenere incassi pubblicitari e di conseguenza ha confezionato una storia che tocca tutti i tasti emotivi giusti: è divertente e sensazionale; stimola il luogo comune dell’ingenuità e dell’incompetenza tecnologica della gente (visto che i Bitcoin sono una valuta digitale virtuale, che non esiste in forma di monete o banconote); suscita il compiacimento di sentirsi più intelligenti degli altri che abboccano alla truffa.

Nei social network, così, molte persone hanno indicato Marlon Jensen come un “genio” e dichiarato che la vicenda conferma che gli americani in particolare sono ingenui e ignoranti, senza rendersi conto che in realtà gli ingenui erano proprio loro, quelli che condividevano una storia falsa senza neanche porsi il dubbio che potesse essere inventata.

Il successo di fake news come questa ci aiuta a ricordare che è proprio quando una storia fa leva sui pregiudizi, sui luoghi comuni e sul sensazionalismo che dobbiamo dubitarne maggiormente, anche se la storia ci arriva da persone che consideriamo attendibili, perché a loro volta possono averla ricevuta da persone che loro ritengono attendibili.

Per scoprire la vera natura di questa notizia falsa e delle altre dello stesso genere c'è un trucco molto semplice: visitare News.google.com e digitare, fra virgolette, il nome del presunto protagonista della vicenda seguito dalla parola fake: se la notizia è falsa, questo di solito fa comparire un articolo di smentita pubblicato da qualche sito antibufala che ha già indagato sul tema. Ma c'è anche un trucco ancora più semplice: quando c’è il minimo dubbio, non condividere è sempre una scelta prudente.


Questo articolo è il testo preparato per il mio servizio La Rete in 3 minuti per Radio Inblu del 21 dicembre 2017.

2017/12/24

Coincidenze elettriche

Capita spesso, quando si parla di complotti e di fenomeni misteriosi, di sentir dire “non può essere una coincidenza, è troppo improbabile!”. Ma le coincidenze càpitano e possono essere davvero bizzarre. Ve ne racconto una che mi è successa personalmente.

Pochi giorni fa stavo andando a Roma per una missione segreta (che verrà rivelata a gennaio) e mi sono permesso di fare un piccolo scherzo postando questo tweet senza immagini:



Formalmente era tutto vero: stavo davvero andando a Roma, ci stavo davvero andando con la mia prima Tesla, che era davvero arrivata prima del previsto ed era esattamente il modello descritto nel tweet. Ma c’era un, uhm, piccolo particolare che avevo omesso e che ho rivelato qualche minuto dopo, quando si era accumulato già qualche commento di sorpresa dei lettori:





I lettori hanno commentato lo scherzo, ci siamo divertiti con una sciocchezzuola, e la cosa doveva finire lì.

Ma all’arrivo a Roma ho dovuto fare un breve tratto a piedi, e lungo quel tratto ho trovato una Tesla vera, parcheggiata davanti a un albergo: non solo era una delle poche Tesla in giro per Roma, ma era oltretutto proprio blu come il mio modellino. Non ho resistito, e così ho postato questo tweet per seminare stupore e confusione (e ci sono riuscito, visto che alcuni m’hanno sgridato per aver parcheggiato sulle strisce pedonali):



Anche il testo di quest’ultimo tweet era letteralmente vero: ero davvero arrivato a Roma (dove faceva un freddo cane, da cui sciarpa e cappottone), ma col Frecciarossa. Avevo insomma usato un mezzo di trasporto elettrico, ma non quello che mostravo nella foto.

Ora lasciate da parte il mio discutibile momento di trolleggio e provate a chiedervi quali sono le probabilità di percorrere una singola via di Roma e di incontrare, in quel preciso momento, una Tesla (auto già di per sé rara), in una città dove ce ne sono pochissime, e di incontrare un esemplare dello stesso tipo e dello stesso colore del mio modellino. La prossima volta che qualcuno vi parla di coincidenze impossibili, provate a citargli questa.

Auguri di buone feste.


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

2017/12/22

Mirai, avevano infettato 500.000 dispositivi online: ora sono rei confessi

I responsabili di Mirai, uno degli attacchi informatici più vasti del 2016 sono stati identificati e arrestati e ora sono rei confessi.  Rischiano vari anni di carcere negli Stati Uniti.

A ottobre dell’anno scorso un enorme attacco DDOS nei confronti di Dyn, una società di servizi DNS, ha reso inaccessibili per moltissimi utenti alcuni dei siti più frequentati di Internet, come Amazon, Reddit, Netflix, Twitter, Soundcloud, Spotify, Etsy e Github. L’attacco era stato sferrato usando circa 500.000 dispositivi connessi a Internet: non computer o telefonini, ma telecamere di sorveglianza, videoregistratori digitali e router di utenti comuni, di cui gli aggressori avevano preso il controllo.

I rei confessi, secondo i documenti delle autorità statunitensi, sono il ventunenne Paras Jha, del New Jersey, e i suoi complici Josiah White (20 anni), della Pennsylvania, e Dalton Norman (21 anni) della Louisiana.

Jha e White avevano creato una società, la Protraf Solutions, che forniva servizi anti-DDOS. I due hanno stimolato le vendite dei propri servizi sferrando attacchi DDOS contro vari siti e poi contattandoli per chiedere denaro per interrompere gli attacchi o per vendere servizi di protezione che (ovviamente) solo loro potevano fornire. Norman invece usava una rete di dispositivi violati per commettere altri reati, come clic fraudolenti sulle pubblicità per generare incassi illeciti.

I tre sono stati assicurati alla giustizia, ma il codice del loro malware è in circolazione a disposizione di chiunque voglia usarlo per ripetere imprese criminose come queste.

L’uso dei dispositivi dell’Internet delle Cose per compiere reati informatici è sempre più frequente grazie al fatto che non è ancora diffusa l’abitudine di metterli in sicurezza o di considerarli vulnerabili. Mentre gli utenti si sono a malincuore rassegnati a usare antivirus e tenere aggiornati telefonini e computer, raramente pensano di dover applicare aggiornamenti di sicurezza ad altri dispositivi connessi alla Rete o a impostarli in modo meno insicuro. Queste sono le principali raccomandazioni del Department of Homeland Security statunitense sul tema:

  • le password predefinite di qualunque dispositivo connesso devono essere cambiate, perché sono facilmente reperibili online;
  • vanno installati gli aggiornamenti di sicurezza appena possibile;
  • lo Universal Plug and Play va disabilitato nei router se non è strettamente necessario;
  • i dispositivi vanno acquistati da aziende che hanno una buona reputazione di sicurezza.

Fonti aggiuntive: Cnet, Tripwire.

Riconoscimento facciale: Windows 10 beffato da una foto

È ancora decisamente troppo facile ingannare i sistemi di riconoscimento facciale, anche se vengono proposti sempre più spesso come alternative alle password o ai rilevatori di impronte digitali.

Una dimostrazione molto efficace di questa facilità arriva da Windows 10, che ha un’opzione, denominata Hello, che consente di sostituire la password di login con un riconoscimento del volto dell’utente.

Un gruppo di ricercatori tedeschi, SySS, ha scoperto che è possibile sbloccare un computer Windows 10 protetto da Hello mostrando alla sua telecamera una foto dell’utente autorizzato. Il trucco consiste nell’usare una foto scattata con una telecamera all’infrarosso (una webcam con funzione di visione notturna va benissimo) e stamparla dopo averla tinta leggermente. Hello usa infatti una telecamera all’infrarosso, proprio per evitare che basti una foto a colori per ingannare il sistema, ma la stampa di una foto all’infrarosso somiglia a quello che la telecamera di Hello si aspetta di vedere e quindi la inganna.

È sufficiente una foto a bassa risoluzione (480 x 480 pixel) per beffare anche la versione enhanced anti-spoofing di Windows Hello (non disponibile su tutti i sistemi).



Morale della storia: non siate pigri e usate una buona password alla maniera tradizionale.


Fonte aggiuntiva: Ars Technica.

Come evitare le app false e truffaldine

Credit: Leonardoverona.it.
Per lavoro mi capita di esaminare gli smartphone di tante persone, e uno degli errori più frequenti che vedo in questi dispositivi è l’installazione di app false, ingannevoli o addirittura truffaldine che somigliano a quelle vere nel nome e nelle icone ma hanno scopi ben differenti.

Queste app possono spiare l’utente, attivandogli di nascosto la localizzazione e la fotocamera, rubare password, bombardarlo di pubblicità spesso imbarazzanti, causare addebiti in bolletta oppure addirittura provocare danni fisici al telefonino, per cui è meglio imparare presto a riconoscerle.

  • Attenzione ai cloni: uno dei trucchi usati più frequentemente dai truffatori è creare un’app che somiglia, per nome e icona, a un’altra app molto popolare, come è successo di recente con una finta app di WhatsApp.
  • Guardate il nome dello sviluppatore: se non lo riconoscete o è diverso da quello che vi aspettate, è probabilmente falso.
  • Controllate le recensioni e la popolarità: le app autentiche ne hanno tantissime e hanno decine di milioni di scaricamenti.
  • Non cercate un’app digitandone il nome in App Store o Google Play, ma andate al sito del suo produttore: lì troverete il link all’app autentica.

Perché Apple rallenta i suoi smartphone “vecchi” senza dirlo?

Credit: Maurizio Martinoli.
Ultimo aggiornamento: 2017/12/26 19:50.

Lo scandalo informatico-tecnologico del momento è l’ammissione, da parte di Apple, di rallentare intenzionalmente i suoi iPhone meno recenti: un sospetto che molti utenti hanno da tempo. Le motivazioni di questo rallentamento, però, non sono necessariamente quelle immaginate dai sospettosi che ipotizzano una sorta di obsolescenza programmata per indurre gli utenti a comprare un nuovo iPhone.

Partiamo dall’inizio. C’è un problema di fondo, comune a tutti i telefonini di qualunque marca, secondo quanto spiega Techcrunch: le batterie, col passare del tempo e con l’uso, invecchiano e la loro capacità di erogare energia diminuisce sia come durata, sia come picco (Apple dice che le sue batterie mantengono l’80% di capacità dopo circa 500 cicli di carica).

Se lo smartphone ha un picco di consumo di energia, per esempio perché il proprietario usa intensamente un gioco con grafica 3D o un’app per social network avida di energia, la batteria invecchiata non riesce a soddisfare questo picco di richiesta e il telefonino si spegne. Questo succedeva per esempio a fine 2016 con gli iPhone 6, 6s, 6 Plus e 6s Plus e Apple aveva ridotto il problema con l’aggiornamento 10.2.1 di iOS.

Il guaio è che la soluzione scelta da Apple con questo aggiornamento consiste (semplificando) nel rallentare momentaneamente i suoi iPhone quando si verifica un picco di richiesta di energia che una batteria invecchiata non può più gestire, ma soprattutto consiste nel farlo senza avvisare l’utente.

La scoperta di questo rallentamento è infatti merito di alcuni ricercatori esterni: l’ammissione di Apple è arrivata soltanto dopo la pubblicazione dei loro test su iPhone con batterie non recenti. Facendolo senza informare gli utenti (sarebbe bastato un semplice avviso su schermo), ora Apple rischia di fare la figura di aver ordito un complotto per vendere più iPhone e gli utenti che rifiutano di installare gli aggiornamenti di iOS, perché secondo loro rallentano le prestazioni, si sentiranno giustificati e così si esporranno a rischi di sicurezza maggiori.

Per sapere se il vostro iPhone è afflitto da rallentamento dovuto alla batteria, potete controllare la frequenza della CPU (semplificando, la velocità alla quale corre il processore principale dello smartphone). Per farlo vi serve un’app che visualizzi questo dato, come per esempio CPU DasherX o Geekbench 4, entrambi disponibili nell’App Store. Confrontate questa frequenza con quella indicata sul sito della Apple per il vostro specifico modello di smartphone: se la vostra è molto inferiore a quella riportata sul sito, vuol dire che state subendo il rallentamento imposto da Apple.

Se avete un iPhone che sta invecchiando e rilevate questi rallentamenti, potete fare varie cose invece di inveire contro il complotto o di comprare un iPhone nuovo:

  • cambiare la batteria (cosa che richiede solitamente un intervento di un esperto);
  • smettere di usare le app che creano questi picchi di consumo (giochi 3D, app social pesanti, eccetera), rilevabili per esempio dal calore generato  e andando in Impostazioni - Batteria - Utilizzo batteria per chiedere i dettagli dei consumi (dopo aver usato l’iPhone per alcuni minuti);
  • evitare di tenere il telefonino in ambienti molto caldi (per esempio al sole, sul cruscotto dell’auto, in una borsa mentre è collegato a un powerpack esterno), che causano un invecchiamento precoce della batteria;
  • cambiare marca di telefonino in favore di una che permetta di sostituire la batteria con facilità.

Fonti aggiuntive: Engadget, Cnet, Gizmodo, BBC, Techradar, Wired.

App Android sfruttano telefonini per generare criptovalute

La settimana scorsa ho segnalato l’esistenza di siti che usano la potenza di calcolo dei dispositivi dei visitatori per generare criptovalute. È uno degli effetti della “febbre da bitcoin” (termine efficace ma improprio, visto che i bitcoin non c’entrano nulla ma sono coinvolte altre criptovalute). Questa stessa febbre ha generato un’altra forma di sfruttamento dei dispositivi altrui talmente grave da poterli distruggere.

I ricercatori di Kaspersky hanno infatti trovato un trojan per dispositivi Android, denominato Loapi, che è capace di obbligare un telefonino o un tablet Android a fare calcoli complessi per generare la criptovaluta Monero. Lo sfruttamento è così estremo che dopo alcuni giorni le batterie degli smartphone-cavia dei ricercatori si sono gonfiate deformando la custodia del telefonino.

Il malware Loapi si annida nei siti che offrono contenuti pornografici o falsi antivirus. Fra le altre cose, è anche capace di bombardare la vittima con pubblicità assillanti e tenta di rimuovere eventuali antivirus presenti.

Difendersi è principalmente questione di buon senso: non scaricate app da siti di dubbia reputazione, specialmente se promettono accesso a, uhm, servizi speciali, e installate un vero antivirus sul vostro dispositivo Android.

2017/12/20

Consigli di sicurezza per gli acquisti natalizi online

Se state andando online a caccia di regali natalizi, siate prudenti, perché anche i truffatori digitali sono in Rete a caccia di vittime in questa stagione. Ecco alcuni consigli di sicurezza per ridurre il rischio di incappare in spiacevoli sorprese.

  • Se potete, usate un computer o un tablet, invece del telefonino, per fare acquisti: lo schermo più grande permette di mostrare più chiaramente le informazioni di sicurezza, come per esempio il nome completo del sito e la presenza del lucchetto chiuso accanto a questo nome. È importante ricordare che il lucchetto chiuso non va preso come garanzia assoluta di identità ma solo come indicatore negativo, nel senso che se non c’è si tratta sicuramente di un sito truffaldino, mentre se c’è potrebbe comunque esserci un inganno, anche se è improbabile.
  • Per evitare i siti trappola conviene restare sui siti commerciali familiari, ben conosciuti, evitando quelli mai visti prima, e digitare manualmente i nomi di questi siti invece di cliccare su link ricevuti nella mail o nelle pubblicità dei social network. I truffatori, infatti, usano spesso mail, messaggi social e pubblicità online per fare offerte troppo belle per essere vere: meglio diffidare di promesse mirabolanti ricevute attraverso questi canali.
  • Occhio anche alle app di shopping: una delle particolarità di questo periodo, infatti, è che i criminali informatici stanno offrendo su App Store e in Google Play delle app ingannevoli, che promettono di facilitare gli acquisti o di attivare supersconti ma in realtà rubano password e carte di credito.
  • Già che ci siete, cogliete l’occasione per aggiornare il vostro antivirus e il software del vostro dispositivo (iOS, Android, MacOS o Windows), per evitare che sia infetto con qualche virus che spia i vostri acquisti e ruba dati finanziari personali.
  • Usare una carta di credito prepagata è preferibile rispetto alla carta di credito tradizionale, perché in caso di furto il truffatore può sottrarre soltanto l’ammontare caricato sulla prepagata, che di solito è molto più modesto rispetto al limite di spesa mensile di una carta di credito ordinaria. È ancora più preferibile, però, evitare del tutto le carte di credito dove possibile e usare i sistemi di pagamento digitali, come PayPal o ApplePay, in modo da non far circolare troppo i dati della propria carta.
  • E a proposito di sistemi di pagamento, è molto importante rifiutare qualunque invito a usare sistemi alternativi a quelli raccomandati dallo specifico sito dove si fanno acquisti. Alcuni venditori, infatti, propongono sconti se si usano altre forme di trasferimento di denaro, ma così facendo si perde ogni garanzia offerta dal sito che ospita la vendita.

Fate buona spesa in Rete, insomma, tenendo sempre gli occhi aperti, e segnatevi fra i buoni propositi per l’anno prossimo quello di controllare gli estratti conto e contestare eventuali addebiti inattesi: siete ben garantiti in questo senso. Nonostante le dicerie e le paure diffuse, se seguite questi semplici consigli tecnici e di buon senso, fare acquisti online è sicuro e fa risparmiare tempo e stress.


Questo articolo è il testo preparato per il mio servizio La Rete in 3 minuti per Radio Inblu del 19/12/2017. Fonte: Watchguard.com/Secplicity.org.

2017/12/19

Scie chimiche: Rosario Marcianò condannato per diffamazione

Ultimo aggiornamento: 2017/12/20 23:35.

Ho poco tempo in questo momento, ma vorrei segnalare almeno brevemente che uno dei più rumorosi sostenitori della tesi complottista delle “scie chimiche”, Rosario Marcianò, è stato condannato per diffamazione nei confronti di due persone da lui accusate pubblicamente online di far parte della cospirazione sciachimista. Marcianò ha anche affermato che Valeria Solesin, una vittima dell’attentato al Bataclan del 13 novembre 2015, non è mai esistita. Se volete un assaggio delle cose fatte in passato da Marcianò, non perdetevi la vicenda del telemetro o quella dei gigabyte di watt. Internet non dimentica.

Oltre a una sanzione di 4.500 euro, Marcianò dovrà pagare le spese processuali e legali ed una provvisionale da circa 15.000 euro con il riconoscimento del danno in separata sede. Ne danno notizia, fra gli altri, Il Secolo XIX, Giornalettismo, Riviera Press e SanremoNews.

I dettagli processuali, per molti versi deprimenti e sconfortanti, sono raccontati qui.

E questo è solo l'inizio.

2017/12/17

Podcast del Disinformatico del 2017/12/15

È disponibile per lo scaricamento il podcast della puntata di venerdì del Disinformatico della Radiotelevisione Svizzera. Buon ascolto!

2017/12/15

Siti sfruttano i computer dei visitatori per generare denaro digitale

Credit: AdGuard.
Ultimo aggiornamento: 2017/12/18 23:30. 

Se visitate un sito e vi accorgete che la ventola del vostro computer inizia a girare follemente e il computer si scalda parecchio, non è detto che sia colpa del sito progettato maldestramente: potrebbe essere assolutamente intenzionale. Alcuni siti, anche molto famosi, hanno infatti cominciato a sfruttare i computer dei visitatori per generare criptovalute (non bitcoin ma altre criptovalute analoghe).

Le criptovalute, infatti, si basano sul mining, ossia sulla generazione di unità di valuta tramite la risoluzione di complesse equazioni; chi le risolve si tiene le unità di valuta corrispondenti. Il problema è che questi calcoli consumano molta energia e quindi hanno un costo elevato, che i disonesti tentano di far pagare a qualcun altro. Così qualcuno ha pensato di far fare i calcoli ai computer dei visitatori dei siti Web.

Il vertiginoso aumento del tasso di cambio dei bitcoin rispetto alle valute tradizionali ha creato una febbre intorno alle criptovalute e ha incoraggiato questa nuova forma di abuso informatico, prontamente battezzato cryptojacking o stealth mining. In pratica, le pagine di un sito contengono del codice che viene eseguito dai computer dei visitatori ed effettua le complesse operazioni matematiche necessarie per generare una criptovaluta a favore del titolare del sito. In pratica, questi siti si arricchiscono facendo lavorare i computer dei loro frequentatori.

Lo ha fatto, per esempio, il popolare sito di download The Pirate Bay, che a settembre ha aggiunto sperimentalmente alle proprie pagine uno script che usava la potenza di calcolo dei dispositivi dei visitatori per generare la criptovaluta Monero e intascarsela. L’intento era trovare un modo per pagare le spese di gestione del sito senza ricorrere alla pubblicità.

Il sistema usato da The Pirate Bay si chiama Coinhive e dopo questo uso sperimentale è iniziato l’abuso: invece di avvisare gli utenti della situazione, come sarebbe corretto fare, un numero crescente di siti molto popolari ha inserito il codice di Coinhive nelle proprie pagine di nascosto. Lo hanno fatto per esempio alcuni siti di streaming video, come Openload, Streamango, Rapidvideo e OnlineVideoConverter, e una filiale di Starbucks è stata colta a usare Coinhive per sfruttare i computer dei clienti che si collegavano al suo Wi-Fi.

I siti di streaming in questione hanno totalizzato quasi un miliardo di visitatori in un mese, per cui si stima che abbiano incassato circa 326.000 dollari in Monero.

In teoria il sistema Coinhive dovrebbe smettere di sfruttare i computer dei visitatori quando lasciano il sito, ma ovviamente c’è chi ha pensato bene di abusare di questo sistema usando un JavaScript che crea nel browser dell’utente una piccola finestra nascosta, nella quale lo sfruttamento continua anche dopo che l’utente crede di aver lasciato il sito.

Starbucks è intervenuta bloccando l’abuso, ma resta il problema degli altri siti, circa 2500 secondo una stima, che continuano lo sfruttamento dei visitatori. Ci sono anche app che sfruttano i dispositivi degli utenti per generare criptovalute che finiscono nelle tasche dei creatori delle app stesse: alcune di queste app sono state offerte in Google Play e scaricate in tutto circa 15 milioni di volte prima di essere scoperte.

Difendersi da questi abusi non è facile, ma si possono usare alcuni adblocker o plug-in per Google Chrome, per esempio seguendo queste istruzioni.

Carte d’identità liberamente scaricabili online: una storia di ordinaria insicurezza

Pubblicazione iniziale: 2017/12/15. Ultimo aggiornamento: 2017/12/20 8:40. 

Quando raccomando di non inviare via Internet scansioni dei propri documenti d’identità, spesso mi capita di essere accusato di eccessiva paranoia. Ma dai, mi dicono, cosa vuoi che succeda? I siti che chiedono questi documenti li custodiscono bene, no?

No.

Qualche giorno fa mi è arrivata una segnalazione: un sito italiano, Noisigroup.com, che si autodefinisce “il più grande gruppo di incontro Etico e Solidale”, custodiva (si fa per dire) le carte d’identità e altri documenti personali dei propri utenti in chiaro e lo faceva in una cartella pubblicamente accessibile via Internet.

La cartella era https://noisigroup.com/uploadtmp. Ho salvato una copia della cartella (non dei documenti) su Archive.is.

Chiunque, insomma, poteva trovare quei documenti (per esempio con Google) e scaricarli per poi usarli per autenticarsi altrove e commettere truffe e altri reati dando la colpa al titolare dei documenti.

Piuttosto ironicamente, la “Informativa sulla privacy e trattamento dei dati personali” del sito dichiara che “I sistemi sono dotati delle opportune e necessarie misure di sicurezza per prevenire la perdita dei dati, usi illeciti o non corretti ed accessi non autorizzati.” Come no.

Come se questo non bastasse, ho tentato invano di avvisare i responsabili del sito. Ho inviato mail all’indirizzo indicato nella suddetta informativa, che sono tornate respinte (450 4.1.1 [info@noisigroup.it]: Recipient address rejected: User unknown in virtual mailbox table, seguito stamattina da un bel 450 4.1.1 [info@noisigroup.it]: Recipient address rejected: User unknown in virtual mailbox table).

Ho provato a immettere una segnalazione nel modulo Contatti del sito. Ho dato il mio nome e cognome, mi sono qualificato come giornalista informatico e anche dato un numero di telefono.


Nessuna risposta. I documenti sono rimasti online, alla mercé di chiunque. Documenti come questo, che qui mostro in versione anonimizzata.


Alla fine ho provato a segnalare la situazione alla Polizia Postale italiana, scoprendo però che il modulo online (accessibile soltanto dopo essersi registrati con nome e password) non prevede un’opzione per i documenti trovati online. Comunque i numeri di telefono e gli indirizzi di mail della Polizia Postale sono qui su Facebook.

Grazie anche alle dritte arrivatemi nel frattempo dai lettori, ho segnalato la questione al Garante per la Protezione dei Dati Personali, gratuitamente e con una semplice mail. Il Garante ha avviato un provvedimento di blocco e i documenti ora non sono più online nel sito, ma restano a spasso su Internet, nelle mani di chiunque voglia abusarne.

Purtroppo so, da quello che mi scrivete, che molti siti hanno la stessa irresponsabile sciatteria nel custodire i nostri dati. Conviene quindi imparare a darli il meno possibile oppure prendere alcune precauzioni, come quella segnalata nei commenti dopo la pubblicazione iniziale di questo articolo, ossia includere nella scansione, in maniera difficilmente rimovibile, una dicitura che specifichi lo scopo della scansione e il suo unico destinatario legittimo, in modo da evitarne il riuso da parte di terzi.


2017/12/20


Stamattina ho visto che il sito Noisigroup.com è completamente inaccessibile. La cache di Google, che risale al 17 dicembre, mostra la dicitura “Sito off-line per manutenzione - Il sito tornerà ad essere operativo a brevissimo!”. Lo stesso vale per una copia salvata su Archive.is il 18 dicembre.


Ecco perché si raccomanda di usare password differenti

Uno degli errori più comuni nella sicurezza informatica è usare la stessa password dappertutto, nella convinzione che se è sufficientemente complicata non verrà indovinata da nessuno.

Il difetto fatale di questo approccio è che se viene violato uno qualsiasi dei siti nei quali abbiamo usato quella password, i criminali informatici hanno in mano le chiavi di tutti i siti e servizi che usiamo: social network, mail, negozi online, account nelle reti di gioco, eccetera.

Usare la stessa password dappertutto, insomma, è come dare una copia delle proprie chiavi di casa a tutti i negozianti che incontriamo e sperare che tutti, dal primo all’ultimo, le custodiscano con cura perfetta e nessuno se le faccia rubare da un malintenzionato.

Purtroppo non tutti i negozianti custodiscono in modo assolutamente sicuro le password dei clienti. Un caso concreto viene segnalato dalla Centrale d’annuncio e d‘analisi per la sicurezza dell’informazione svizzera (MELANI), che pochi giorni fa ha annunciato che sono stati trafugati i dati d’accesso di circa 70.000 utenti di un noto sito svizzero di vendita di DVD. Secondo HaveIbeenPwned, le password erano custodite in chiaro: l’equivalente informatico di lasciare le chiavi di casa sotto lo zerbino.

Chiunque abbia usato altrove la password che ha usato su quel sito deve presumere che la sua password non sia più un segreto e farebbe quindi bene a cambiarla dappertutto. MELANI ha messo a disposizione un minisito, Checktool.ch, nel quale si può immettere il proprio indirizzo di mail (non la password!) per sapere se si è coinvolti in questo furto di massa.

È importante ricordare che i ladri di password rubano i dati di chiunque e che quindi non bisogna pensare “io non sono nessuno, a chi vuoi che interessi la mia password?”, come purtroppo sento spesso obiettare.

E già che siete in ballo a cambiare le password, attivate la verifica in due passaggi o l’autenticazione a due fattori presente in quasi tutti i siti importanti: fa da ulteriore protezione contro i furti.

Come far sembrare autentico un sito falso: aprire una ditta di nome “Identity Verified”

Ultimo aggiornamento: 2017/12/15 10:35. 

Una delle consuetudini errate ma molto diffuse tra gli internauti è che se un sito mostra accanto al nome un lucchetto chiuso si tratta di un sito autentico e quindi vi si può immettere tranquillamente la propria password (non si tratta, insomma, di un sito-fotocopia di phishing). Questo era abbastanza vero fino a qualche anno fa, ma in realtà oggi il lucchetto indica soltanto che la comunicazione con il sito è criptata e non è più una forma di autenticazione, perché adesso chiunque può procurarsi un certificato digitale di sicurezza (che attiva la visualizzazione del lucchetto) anche gratuitamente, come scrivevo pochi giorni fa.

Il ricercatore di sicurezza informatica James Burton ha trovato un modo ingegnoso per rendere ancora più credibile un sito falso, ed è meglio conoscerlo per non farsi ingannare.

Burton ha aperto una ditta nel Regno Unito (un’operazione molto semplice e poco costosa) e l‘ha chiamata Identity Verified. Poi si è rivolto a Symantec e si è fatto dare un certificato digitale di sicurezza per aziende intestato alla Identity Verified e associato al proprio sito personale Nothing.org.uk, con un periodo di prova gratuito di trenta giorni (il certificato è stato revocato dopo la pubblicazione dell’articolo del ricercatore). Infine ha creato sul proprio sito una copia delle pagine di login di Google e Paypal.

Risultato: una vittima che visita il sito con il proprio iPhone e Safari (per esempio perché ha cliccato su un link in una mail che finge di essere un allarme di Google o Paypal) si trova davanti quello che si aspetta, ossia la schermata di immissione password di Google o Paypal, e vede in alto, al posto del nome del sito (che potrebbe rivelare l’inganno), le parole rassicuranti Identity Verified. Parole che sembrano autenticare il sito, ma sono semplicemente il nome della ditta.

Il browser Safari di Apple, infatti, quando incontra un sito criptato da un certificato digitale di sicurezza, mostra al posto del nome del sito il nome riportato nel certificato.

Va un pochino meglio, ma non molto, con altri browser, come Google Chrome, che visualizzano il nome del sito ma gli affiancano un rassicurante lucchetto verde con la dicitura Identity Verified.

Morale della storia: non fidatevi di quello che vedete nel browser dopo aver cliccato su un link ricevuto in un messaggio di allerta. Meglio ancora, non cliccate su questo genere di link ma visitate manualmente il sito citato nel link, scrivendone il nome oppure usando i Preferiti se l’avete già salvato tra i Preferiti.

2017/12/14

Video monetizzabili, motore di fake news

Ultimo aggiornamento: 2017/12/14 20:55.

In questi giorni hanno iniziato a circolare due notizie apparentemente slegate ma in realtà parallele.

La prima riguarda un video che mostra un uomo che cammina in un grande giardino tenendo in mano un telo trasparente: quando lo dispiega davanti a sé, l’uomo diventa invisibile. Sembra quasi che il mantello dell’invisibilità di Harry Potter sia diventato realtà grazie alla scienza, se si dà retta alla descrizione che accompagna il video e che parla di “materiali quantici.. usabili dai militari”, ma in realtà si tratta di un effetto speciale video ottenuto con la tecnica cinematografica nota come chroma key oppure blue screen o green screen: il telo è di un particolare colore (di solito blu o verde) che viene sostituito digitalmente con un’immagine preregistrata di quello che sta dietro il telo, che così sembra creare l’invisibilità.

La seconda ha a che fare con un ventiduenne inglese, Jay Swingler, che ha deciso volontariamente di mettere la propria testa dentro un forno a microonde riempito di schiuma espandente, allo scopo di riprendersi in un video da pubblicare su Youtube insieme ad altri dello stesso genere demenziale. La schiuma si è solidificata e il ragazzo ha rischiato di morire soffocato, ma è stato salvato dall’intervento di ben cinque vigili del fuoco, come riferiscono la BBC e i pompieri delle West Midlands.

Cos’hanno in comune queste due storie? Lo stesso movente: fabbricare video che diventano popolari e generano soldi. Se un video riceve tante visualizzazioni, i social network e i siti come Youtube pagano i suoi creatori in cambio del diritto di inserirvi pubblicità. Questo meccanismo di monetizzazione dei video ha creato una vera e propria industria amatoriale di video falsi, con contenuti spesso scioccanti o demenziali, costruiti a tavolino per far parlare di sé ed essere condivisi, che non esisterebbero se non ci fosse l’incentivo del guadagno. E ci sono anche sciacalli che rubano i video virali altrui per monetizzarli.

Il video del mantello dell’invisibilità, per esempio, proviene dal social network cinese Weibo, ma è stato visto 32 milioni di volte da quando è stato condiviso su Facebook ed è stato citato da numerose testate giornalistiche (specificando chiaramente che si trattava di una finzione). Il video del gesto d’incoscienza del ragazzo britannico ha accumulato oltre tre milioni di visualizzazioni in pochi giorni. Questo significa che chi li ha pubblicati riceverà qualche migliaio di euro di compenso.

La monetizzazione su Internet di video falsi o fabbricati è una delle ragioni del boom delle notizie false basate su questi video: costano poco e rendono molto, anche per le testate giornalistiche che le ripubblicano senza verificarle. I social network stanno correndo ai ripari togliendo le pubblicità, e quindi l’incentivo economico, ai video che incoraggiano o promuovono comportamenti dannosi o pericolosi, ma questa rimozione avviene soltanto se un video viene segnalato dagli utenti (è successo per il video della testa nel microonde). Spetta quindi a noi utenti, insomma, agire per disincentivare questa forma di fake news.


Fonti aggiuntive: Bufale.net; Gizmodo; Snopes.com. Questo articolo è il testo preparato per il mio servizio La Rete in 3 minuti per Radio Inblu del 14 dicembre 2017.

2017/12/12

Lucchetto chiuso, icona sempre più usata dai truffatori online

Rispondete al volo: che cosa significa l’icona del lucchetto chiuso che si vede ogni tanto accanto al nome di un sito Internet? Per molti utenti significa sicurezza e autenticità. Si consiglia spesso di controllare che quest’icona sia presente prima di digitare una password o immettere dati personali in un sito, e alcune app di navigazione, come per esempio Google Chrome, visualizzano la parola “Sicuro” accanto a questo lucchetto.

Ma in realtà la parola “sicuro” è un po’ ingannevole e può creare un falso senso di fiducia che apre le porte ad alcune truffe informatiche. Questo lucchetto, infatti, non garantisce affatto che il sito sia autentico: indica soltanto che i dati che immettiamo vengono trasmessi via Internet in maniera criptata e quindi difficilissima da intercettare. Non dice nulla sull’identità e sull’affidabilità del sito.

Questo vuol dire che i truffatori possono costruire un sito che imita visivamente l’aspetto grafico di un sito famoso (per esempio quello di Facebook, di Google, di una banca o di un negozio) e poi possono inviare alla vittima una mail o un messaggio Facebook o WhatsApp per invitarla a visitare il sito fraudolento e poi digitarvi la propria password per rubargliela, con l’impressione rassicurante di trovarsi nel sito autentico perché viene visualizzato il lucchetto chiuso insieme alla parola “Sicuro.”

La vittima si salverà da questa trappola (chiamata in gergo phishing) soltanto se noterà che il nome del sito non è quello giusto. Ma sono in pochi a controllare anche il nome di ogni sito che visitano: di solito ci si ferma a controllare l’aspetto visivo del sito e la presenza del lucchetto, specialmente sugli schermi piccoli dei telefonini, e nulla più.

Secondo dati pubblicati pochi giorni fa dalla società di sicurezza PhishLabs, oggi un quarto dei siti-trappola creati dai truffatori per rubare password mostra il lucchetto chiuso. Un aumento straordinario, visto che soltanto un anno fa i siti truffaldini con questa capacità erano meno del tre per cento.

Questo boom significa che i ladri di password si sono resi conto che gli utenti abbassano le proprie difese quando vedono il lucchetto chiuso e quindi si sono attrezzati in massa per mostrarlo. Cade così una delle raccomandazioni di sicurezza più diffuse e longeve: oggi non basta più cercare il lucchetto chiuso ma bisogna anche controllare che il nome del sito sia quello giusto, ed è facile confondersi. Per esempio, il sito della vostra banca, o quello di quel negozio online che usate spesso, si scrive con o senza il trattino in mezzo?

Per evitare tutti questi rischi per fortuna c’è una soluzione: ignorare qualunque messaggio che ci inviti a cliccare su un link per visitare un sito e usare invece l’app corrispondente al sito. Per esempio, invece di seguire un link che sembra portarci ad Amazon, su smartphone e tablet ci conviene usare l’app di Amazon, che ci porta sicuramente al sito autentico. Sui computer, invece, saremo più sicuri se cliccheremo sui Preferiti, dove abbiamo registrato il nome esatto del sito in questione. Tutto qui.


Fonte aggiuntiva: Naked Security. Questo articolo è il testo preparato per il mio servizio La Rete in 3 minuti per Radio Inblu del 12 dicembre 2017.

2017/12/11

Gli appuntamenti pubblici della settimana: Garbagnate Milanese, Mendrisio e radio

Martedì 12 alle 11.10 sarò in diretta sulla Rete Uno della RSI (streaming), ospite di Nicola Colotti, per parlare di come Facebook sia diventato talmente pervasivo e complesso da produrre effetti deleteri inattesi (come ha ammesso di recente Sheryl Sandberg, COO di Facebook, sul New York Times) e di come i governi tentano di usare i social network per zittire i dissensi.

Sempre martedì 12, ma alle 21, sarò a Garbagnate Milanese, alla Sala della Biblioteca Comunale (corte Valenti, via Monza 12), per la conferenza Una giornata spaziale! che racconta, attraverso le parole dei protagonisti, come si vive sulla Stazione Spaziale Internazionale. La serata è dedicata agli studenti.

Giovedì 14 alle 14:30 sarò a Mendrisio, alla Sala del Consiglio Comunale, per la seconda parte della conferenza Gli inganni della mente nell’ambito dei Corsi UNI3.

Come consueto, inoltre, sarò ospite di Radio InBlu il martedì e il giovedì alle 9.03 e alle 17.03 per la rubrica La Rete in 3 minuti e venerdì condurrò una puntata del Disinformatico sulla Rete Tre della RSI (streaming).


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

2017/12/08

Podcast del Disinformatico del 2017/12/08

È disponibile per lo scaricamento il podcast della puntata di oggi del Disinformatico della Radiotelevisione Svizzera.
Attenzione: l'inizio del podcast è troncato a causa di problemi tecnici.

Su Le Scienze smonto la bufala del “manuale USAF delle scie chimiche”

Nel numero 592 de Le Scienze affronto una storia che sta a metà fra il debunking delle “scie chimiche” e la cronopareidolia: gli sciachimisti hanno scoperto con grande clamore che esiste un manuale delle forze armate statunitensi che si chiama Chemtrails. Sì, proprio così, nero su bianco, senza segreti. Il manuale è pubblicamente in vendita ed è addirittura lettura consigliata per chi frequenta le accademie militari.

Come è possibile? Non voglio fare spoiler: trovate tutti i dettagli nella rivista. La cosa importante è che se qualche sciachimista o simpatizzante vi propina questa tesi, sapete già che è una bufala e sapete dove trovarne la spiegazione.

Strumenti digitali per sorvegliare i figli: attenzione a leggi e limiti

Ultimo aggiornamento: 2017/12/12 9:20.

Siete genitori preoccupati per i vostri figli e le loro attività online e vorreste usare la tecnologia per tenerli d’occhio? Non siete i soli: è un sentimento molto diffuso ma purtroppo a volte mal riposto.

Provo a mettere un po’ d’ordine negli aspetti legali, tecnici e pratici dei vari dispositivi tecnologici che oggi consentono a un genitore di creare una sorta di salvagente elettronico (o, per alcuni, guinzaglio) per i propri figli.


Che cosa si può fare tecnicamente?


Il bouquet di possibilità tecniche è decisamente ricco. È possibile tracciare la localizzazione, per sapere in ogni momento dove si trova il figlio, usando apposite app per smartphone o per smartwatch oppure dispositivi di tracciamento incorporati permanentemente negli indumenti o nella cartella, che utilizzano la rete cellulare. Lasciate perdere i vari chip sottopelle raccontati ogni tanto dai giornali: sono, per ora, solo storielle acchiappaclic a causa della loro portata limitatissima (qualche metro nelle condizioni migliori).

Questi dispositivi di localizzazione possono informare costantemente sulla posizione del minore oppure inviare un segnale soltanto se il minore si trova al di fuori di una zona o di un percorso prestabilito (per esempio non segue il normale tragitto casa-scuola), e in questo caso si parla di geofencing: in pratica si crea una sorta di “recinto” elettronico. Un’altra modalità è la localizzazione soltanto su richiesta del genitore: il figlio è libero di andare dove vuole e non viene sorvegliato costantemente, ma se il genitore ha bisogno può sapere dove si trova.

Esistono inoltre app, da installare su smartphone e computer usati dai figli, che consentono di monitorare a distanza qualunque loro attività online: telefonate, messaggi SMS, social network (compresi i messaggi criptati di WhatsApp), foto, mail e ogni cosa digitata sulla tastiera. In alternativa al monitoraggio, si possono imporre dei filtri o impostare degli allarmi: per esempio, si possono bloccare gli acquisti online, limitare gli orari e i tempi di utilizzo, si può impedire l’accesso a siti indesiderati o inadatti, si possono scegliere le persone con le quali il minore può chattare, oppure si può essere semplicemente avvisati in modo silenzioso quando il figlio fa una di queste cose.


Ma è legale?


Avrete notato che la tecnologia consente un livello di sorveglianza mai visto prima, degno di uno stato di polizia o di un Grande Fratello orwelliano. Se foste nei panni dei vostri figli, probabilmente non gradireste l’idea di essere pedinati e osservati costantemente.

La questione della legalità di questi sistemi di sorveglianza è complessa e non voglio sostituirmi agli esperti, ma ci sono alcuni criteri di fondo da considerare, come la Convenzione sui Diritti dell’Infanzia dell’ONU: in molti ordinamenti giuridici nazionali, i genitori hanno il diritto di correzione e controllo e l’obbligo di vigilanza ed educazione verso i minorenni, e in alcuni casi questo diritto e quest’obbligo possono prevalere sul diritto del figlio (anche minorenne) di avere una sfera privata. Per esempio un genitore solitamente può sorvegliare elettronicamente un minorenne se questo serve realisticamente a proteggerlo da un pericolo concreto (o a impedirgli comportamenti che possono danneggiare altri) ma non se la sorveglianza diventa morbosa o è spinta da semplice curiosità.

Va considerato, inoltre, che i genitori sono legalmente responsabili di quello che fanno i loro figli minorenni e che di solito gli abbonamenti alla rete telefonica cellulare o ai giochi online sono intestati ai genitori, per cui queste responsabilità normalmente giustificano una ragionevole sorveglianza.

Un altro criterio è la trasparenza: un conto è sorvegliare l’attività digitale dei figli di nascosto e un altro è farlo con il loro consenso o perlomeno avvisandoli che sono sorvegliati. Legalismi a parte, si tratta anche di decidere che tipo di rapporto si vuole avere con i propri figli.

Tutto cambia se il figlio non è minorenne: in tal caso qualunque sorveglianza occulta non consensuale è quasi sicuramente illegale, salvo casi molti particolari legati per esempio a condizioni mediche o psicologiche.

Il consiglio pratico è quindi di limitare la sorveglianza allo stretto indispensabile per la protezione dei figli, distinguere bene fra minorenni e maggiorenni, e scegliere se possibile la via del consenso.


Sorveglianza soft


Se si tratta semplicemente di sapere dove si trova un figlio in momenti specifici della giornata (e se un figlio vuole rassicurare i genitori ansiosi), esistono vari sistemi semplici e gratuiti di localizzazione volontaria, basati sugli smartphone, come Life360.

Per esempio, il figlio può condividere la propria localizzazione con i genitori usando WhatsApp: apre una chat (anche di gruppo), tocca l’icona degli allegati, sceglie Posizione e poi Condividi posizione attuale e decide un limite di tempo per il quale segnalare la propria posizione. Le istruzioni di WhatsApp sono qui.

La stessa condivisione temporanea della localizzazione è possibile in Google Maps: al figlio basta toccare il pallino blu che indica la propria posizione, scegliere Condividi la tua posizione, scegliere una durata e un destinatario. Le istruzioni di Google sono qui.

Se figlio e genitore usano Facebook Messenger, possono condividere la posizione aprendo una conversazione, toccando il simbolo “+” e poi toccando Luogo. Le istruzioni di Facebook sono qui.


Sorveglianza approfondita e non consensuale


Credit: Gadgetblog.
Ci sono, purtroppo, casi in cui il consenso non c’è o non basta: un figlio ribelle, che ha cattive compagnie, che ha sviluppato una dipendenza da videogiochi o da social network, che è preso di mira da un bullo a scuola o da un molestatore che gli spegne lo smartphone, che ha problemi di attenzione, memoria o orientamento, o più semplicemente un figlio molto piccolo che non sa come usare uno smartphone o uno più grande che si sta divertendo troppo e si dimentica che doveva attivare la localizzazione per non impensierire i genitori.

In casi come questi ci sono dispositivi di localizzazione automatici e autonomi da integrare negli indumenti (per esempio nelle scarpe) o cucire dentro una cartella o zainetto. Ci sono anche braccialetti, smartwatch e ciondoli, che hanno a volte anche una funzione di allarme. Hanno una propria batteria e una propria SIM, per cui funzionano senza dipendere da un telefonino, e in molti casi la loro batteria si carica senza doverli rimuovere dal loro alloggiamento.

Per sorvegliare completamente le attività online servono invece applicazioni apposite, alcune delle quali sono completamente invisibili se l’utente non è particolarmente esperto. Ne trovate un buon elenco qui su Laleggepertutti.it.


L’altra faccia della sorveglianza


Le possibilità sono tante, insomma, ma ci sono anche alcuni rischi che è meglio considerare attentamente. Per esempio, questi gadget digitali possono creare l’illusione del controllo, perché il figlio usa il telefonino o la connessione Internet di qualcun altro e non lascia tracce sul proprio, oppure affida il telefonino a un compagno che resta a scuola e quindi elude la geolocalizzazione.

Non bisogna trascurare, inoltre, il costo di alcuni di questi sistemi e l’onere di sfogliare grandi quantità di dati, schermate e spostamenti ogni giorno, e c’è anche il rischio che altri possano mettere le mani su tutte queste informazioni sensibili accumulate. Ma le infinite opzioni di localizzazione e di sorveglianza sono anche una buona occasione per educare i figli a non dare a terzi con leggerezza le proprie informazioni, anche se non sembrano particolarmente private. Il battito del cuore e i movimenti del polso registrati da uno smartwatch, per esempio, possono sembrare irrilevanti in termini di privacy, ma in realtà possono essere usati anche per monitorare l’attività sessuale.

Pagine per dispositivi mobili