2018/01/30

App di fitness rivela attività militari di tutto il mondo. E anche quelle dei civili

Ultimo aggiornamento: 2018/01/30 9:50.

Quando gli esperti di sicurezza parlano della necessità di tutelare la privacy digitale e di non lasciare che le aziende possano raccogliere disinvoltamente dati sulle nostre attività capita spesso di sentire l’obiezione “Ma tanto io non ho niente da nascondere, e poi cosa vuoi che se ne facciano dei miei dati?”.

Una dimostrazione eloquente e un po' inquietante di quello che si può fare con dati apparentemente innocui se li si aggrega e analizza è arrivata proprio pochi giorni fa: gli esperti si sono accorti che i dati combinati dei braccialetti digitali di fitness rivelano l’ubicazione delle basi militari in vari paesi del mondo, compresi molti luoghi estremamente sensibili o segreti.

Molti utenti di questi dispositivi riversano le proprie passeggiate, corse, pedalate, nuotate, sciate o vogate in app come Strava, che si definisce un “social network per atleti”. Lo fanno per tracciare i propri progressi o per competere via Internet con altri utenti. Questi dati includono la distanza percorsa, la velocità e le calorie consumate e anche la geolocalizzazione. Gli utenti possono scegliere di non condividere questi dati, ma molti li lasciano liberamente accessibili. Tanto che male c’è? Anzi, magari c’è da mostrare agli amici qualche risultato.

Ma a novembre scorso Strava ha deciso di rendere pubblica su Internet una dettagliatissima mappa mondiale interattiva dei percorsi seguiti dai suoi utenti [circa 27 milioni] nel corso del tempo: circa un miliardo di attività [tre trilioni di coordinate latitudine-longitudine, 10 terabyte di dati]. In questa mappa i percorsi più frequentati sono evidenziati da linee più luminose.

Bell’idea, però quando queste linee tracciano percorsi in zone desertiche o interessate da conflitti, rivelano la presenza di una categoria di persone che comprensibilmente svolgono molta attività fisica: i militari, che per esempio fanno jogging dentro e intorno alle proprie basi, facendole così spiccare luminose nelle zone altrimenti disabitate e disegnandone i contorni e le forme interne, perché non hanno disabilitato la geolocalizzazione e non hanno attivato le opzioni di protezione della privacy offerte da Strava.

























Nei paesi in guerra questi dati rischiano di essere sfruttabili per esempio per un’imboscata o un attacco. La mappa, infatti, è consultabile da chiunque, ed è facile anche estrarne i dati individuali e scoprire i nomi degli utenti e i rispettivi percorsi abituali: dati perfetti per pedinare o rapire qualcuno. Su Twitter fioccano così le segnalazioni di installazioni militari sensibili di vari paesi, per esempio in Siria e in Afganistan, messe a nudo dalla decisione di Strava di rendere pubblici i propri dati senza pensare alle conseguenze, ma anche dalla mancanza di consapevolezza da parte di chi usa questi dispositivi e queste app di fitness in zone a rischio.







Anche se non vivete in una zona di guerra e non siete militari, affidare informazioni sensibili come la vostra posizione e i vostri percorsi abituali ad aziende che poi le pubblicano e le offrono a chiunque vi espone al rischio di stalking e altre molestie. Ne vale la pena, per potersi vantare delle proprie prodezze sportive? Pensateci: se la risposta è no, trovate la maniera di spegnere la geolocalizzazione.




Questo articolo è il testo preparato per il mio servizio La Rete in 3 minuti per Radio Inblu del 30 gennaio 2018. Fonti: The Verge, Hacker News, Ars Technica, The Register, Washington Post, Electronic Frontier Foundation.


Aggiornamento: 2018/01/30 9:50


Strava ha pubblicato un post di chiarimento, dal quale cito e traduco: “ci siamo resi conto nel corso del fine settimana che i membri di Strava nelle forze armate, fra gli operatori umanitari e altri che vivono all’estero possono aver condiviso la propria localizzazione in zone prive di altra densità di attività e così facendo possono aver inavvertitamente aumentato la consapevolezza di luoghi sensibili”. Ma pensarci prima di pubblicare la mappa no? Il post ricorda anche le istruzioni di privacy di Strava.

Più in generale, questa vicenda sottolinea tre principi di fondo:

  • ogni dato personale è abusabile;
  • affidare i propri dati personali a un’azienda motivata dal guadagno su quei dati è irresponsabile;
  • sperare che quella società commerciale custodisca diligentemente i nostri dati invece di monetizzarli è una pia illusione.

Ora pensate a tutto quello che avete riversato in Facebook in questi anni. Non dite che non ve l’avevamo detto.

2018/01/28

Podcast del Disinformatico del 2018/01/26

È disponibile per lo scaricamento il podcast della puntata di venerdì del Disinformatico della Radiotelevisione Svizzera. Buon ascolto!

2018/01/27

No, Facebook non ferma le fake news

Thinkprogress.org segnala che la realtà di Facebook è ben lontana dalle promesse fatte dal social network di contenere o contrastare le notizie false dando maggiore priorità ai post di parenti e amici.

Per esempio, una fake news di una nota fabbrica di fandonie, Yournewswire.com, dice (link intenzionalmente rotto) che un medico del CDC statunitense ha affermato che il vaccino antinfluenzale causa l’influenza, è stata condivisa su Facebook circa 729.000 volte (immagine qui accanto). La notizia non è soltanto falsa: è pericolosa. Eppure Facebook non ha fatto nulla per segnalarla o ridurne la visibilità.

Come nota Thinkprogress, “Facebook ha il controllo completo sulle storie che i suoi utenti vedono nella loro timeline e usa questo potere per incoraggiare le persone a pagare per promuovere i post. Potrebbe usare altrettanto facilmente questo potere per smorzare le notizie false pericolose come questa, ma questo produrrebbe un minore coinvolgimento [engagement] degli utenti e quindi meno soldi per Facebook.”

2018/01/26

Le pubblicità inserite nei siti sono sempre più pericolose

Un numero crescente di attacchi informatici arriva attraverso un canale decisamente inaspettato per la maggior parte degli utenti: la pubblicità online. Secondo un rapporto appena pubblicato dalla società di sicurezza informatica Confiant, nel 2017 è stato osservato un aumento notevole delle pubblicità ingannevoli che hanno lo scopo di convincere gli utenti che le visualizzano a installare malware.

Uno dei motori di questo aumento è stato, secondo il rapporto, un consorzio di ben 28 false agenzie pubblicitarie, che è riuscito a generare nel 2017 circa un miliardo di impressions di pubblicità che promuovevano falsi antivirus, truffe di assistenza tecnica e altre frodi informatiche ridirigendo forzatamente gli utenti su siti truffaldini. Queste false agenzie sottoscrivevano rapporti commerciali regolari con le piattaforme pubblicitarie e in questo modo sono riuscite a raggiungere il 62% dei siti Web sostenuti dalla pubblicità.

Il rapporto elenca tutti i nomi delle false agenzie (mostrati nell’immagine qui sopra), ma non cita le sedici piattaforme pubblicitarie che hanno inconsapevolmente fatto affari con queste agenzie.

È importante ricordare che i siti legittimi che ospitano queste pubblicità truffaldine lo fanno quasi sempre senza saperlo e quindi sono vittime e non complici.


Fonte aggiuntiva: Ars Technica.

Meno del 10% degli utenti Gmail usa l’“antifurto” gratuito offerto da Google

Gmail è usato da un miliardo di utenti, ma meno del 10% di questi usa la verifica in due passaggi per proteggersi contro i furti di password, secondo i dati resi pubblici recentemente da Google, nonostante siano ormai sette anni che questa funzione è disponibile su base volontaria.

Come mai sono così pochi, e perché Google non la rende obbligatoria? La spiegazione, a quanto pare, è che per molti utenti le varie opzioni di verifica in due passaggi sono troppo numerose e complicate: se gli utenti fossero obbligati, dice Google, finirebbero per non usare Gmail.

Il metodo più semplice per attivare questa verifica in due passaggi è andare a myaccount.google.com e scegliere Controllo sicurezza e poi Verifica in due passaggi: lì troverete le istruzioni dettagliate. Fatelo: è un antifurto molto efficace e non oneroso.

Metti in muto quello spot!

Se siete stufi dei siti che vi bombardano di pubblicità che partono automaticamente ad alto volume, ho una buona notizia: la versione 64 di Google Chrome ha introdotto un’opzione che consente di impedire a un sito specifico di comportarsi in questo modo così irritante: per usarla, visitate il sito in questione e cliccate sull’icona delle informazioni accanto alla casella dell’indirizzo del sito stesso.

Questo fa comparire un menu, dal quale potete scegliere le impostazioni per il sito e poi cliccare per disattivare l’audio. L’impostazione è persistente, nel senso che viene mantenuta anche se chiudete Chrome e lo riaprite, e naturalmente è revocabile.

Tenete presente, inoltre, che potete bloccare le pubblicità ripetute (reminder ads) seguendo queste istruzioni (disponibili solo in inglese) e anche quelle di inserzionisti specifici nella ricerca di Google, in Google Maps, su YouTube e in Gmail seguendo queste altre istruzioni.


Fonti: Chromium.org, Google, The Register.

Intelligenza artificiale sostituisce volti nei video, inganno quasi perfetto


La GIF animata un po’ troppo rivelatrice dell’attrice di Star Wars Daisy Ridley che vedete qui sopra è un falso: il volto della Ridley è stato applicato al corpo di un’altra persona e segue tutti i movimenti dell’originale. Niente di nuovo in sé, ma la differenza è che questo effetto non è stato prodotto da una squadra di artisti digitali in uno studio cinematografico specializzato: è stato prodotto amatorialmente da FakeApp, un programma di intelligenza artificiale su un computer domestico di media potenza.

Tutto quello che serve, oltre al video originale in cui sostituire il volto, è un numero molto elevato di immagini del volto da inserire, una scheda grafica Nvidia, e un po’ di pazienza: l’elaborazione richiede molte ore e spesso produce risultati disastrosi, per cui va ripetuta effettuando correzioni e regolazioni manuali. Ma i successi sono impressionanti.

Ovviamente esistono usi innocui (tipo inserire il proprio volto al posto di quello di un attore in un film celebre), ma c’è soprattutto la possibilità di creare video falsi imbarazzanti a scopo di ricatto, molestia o di produzione di notizie false estremamente credibili (immaginate il video di un discorso di un politico), o di creare video pornografici raffiguranti celebrità o qualunque altra persona di qualunque età.

È già nata su Reddit una sezione (attenzione: contiene materiale non adatto agli animi sensibili) di, come dire, appassionati, dedicata principalmente alla creazione di filmati di questo genere, spesso con risultati praticamente perfetti.

Un esempio della potenza di questa tecnologia alla portata di tutti è dato da questo rifacimento di una celebre scena di Rogue One, nella quale il volto della giovane Carrie Fisher è stato ricreato digitalmente con mezzi iperprofessionali ma con risultati discutibili. La versione generata dall’intelligenza artificiale su un computer domestico (sotto) è a bassa risoluzione, ma è a mio avviso meno innaturale e più fedele di quella generata dai megacomputer di Hollywood (sopra).

Aggiornamento: Il confronto di cui parlo qui sopra è stato rimosso.



Chi non ha un occhio particolarmente allenato a riconoscere le piccole imperfezioni caratteristiche di questi video e non sa che esiste questa tecnologia potrebbe credere che siano reali, con tutte le conseguenze del caso. Prepariamoci a un futuro nel quale letteralmente non potremo credere ai nostri occhi.


Fonti: BoingBoing, Motherboard, The Register.

2018/01/25

Il Mattino di Napoli e i due ani

La lascio qui, ringrazio Scott Brando per la segnalazione, e non dico nient’altro perché non ho più parole.




2018/01/25 15:25. Il titolo è stato finalmente corretto poco fa.


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Repubblica e le foto sbagliate dell’incidente ferroviario a Milano

Ultimo aggiornamento: 2018/01/25 13:30.

Nel raccontare per immagini il grave incidente ferroviario di stamattina fra Pioltello e Segrate (Milano), Repubblica ha pubblicato inizialmente almeno due fotografie che non c’entravano nulla. Un lettore, Paolo Forneris, me ne ha segnalata una:



Ho chiesto lumi pubblicamente a Repubblica:



Ho fatto un commento amaro, riferito al recentissimo annuncio dell’avvio di un progetto che assegna alla Polizia Postale il compito di gestire le fake news:



Luca Sofri ha segnalato che la foto pubblicata da Repubblica oggi si riferisce a un incidente avvenuto a Bordighera nel 2010 e Massimiliano Vincenzi ha confermato:



Poi Luca Sofri mi ha segnalato che nella rassegna di foto di Repubblica c’era anche una seconda foto che non c’entrava nulla. La foto è stata rimossa e cambiata al volo mentre lui la stava tweetando, per cui ha fatto un ulteriore tweet di chiarimento:



Ha risposto Alessio Balbi:





Non credo servano commenti.


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

No, la Polizia di Stato italiana non oscurerà le fake news. Però...

Ultimo aggiornamento: 2018/01/25 11:35.

Davvero la Polizia di Stato italiana intende bloccare le fake news e decidere quali notizie sono vere e quali no, creando una sorta di “Ministero della Verità”, come hanno annunciato alcuni articoli su Internet e nei giornali? La risposta breve è no: la notizia della polizia antibufale è una bufala.

La risposta meno breve è che il recente comunicato stampa della Polizia di Stato che annuncia un “Protocollo Operativo per il contrasto alla diffusione delle Fake News attraverso il web” non parla di bloccare le notizie, ma di dare ai cittadini uno strumento online per segnalare le notizie sospette, la cui eventuale smentita verrà pubblicata sul sito della Polizia Postale e delle Comunicazioni, www.commissariatodips.it.

Questo protocollo fornirà anche ai cittadini un aiuto nel rivolgersi ai social network in modo autorevole in caso di notizie che li diffamano o danneggiano.

Saranno i social network, non la Polizia, a decidere se eventualmente rimuovere dai propri siti una notizia segnalata.

L’intento, insomma, è dare al cittadino diffamato un supporto, una voce che venga ascoltata più attentamente di quanto purtroppo avviene oggi con le segnalazioni individuali dei contenuti diffamatori, che spessissimo vengono semplicemente ignorate dai social network.

Ma questo intento è stato annacquato da una comunicazione confusa. La prima versione del comunicato stampa della Polizia di Stato [salvata su Archive.org], infatti, parlava effettivamente di “oscuramento dei contenuti inappropriati” in una frase che si prestava al malinteso, dando l’impressione che la Polizia di Stato si sarebbe occupata in prima persona di rimuovere le fake news da Internet [un compito che non le spetta per mille ragioni, non solo giudiriche] quando in realtà questo oscuramento sarebbe stato affidato ai “gestori delle piattaforme virtuali”.

Il comunicato è stato poi riscritto togliendo la frase che menzionava l’oscuramento, e questo ha creato ancora più apprensione, perché questa rettifica fondamentale non è stata dichiarata esplicitamente.

A sinistra, la versione del 18/1/2018; a destra, la versione del 20/1.

Soltanto consultando una versione estesa del comunicato, pubblicata su Commissariatodips.it, emerge che si tratta di “richieste di rimozione” rivolte ai social network e ai siti Web e non di ordini di oscuramento emanati e imposti dalle autorità. Nel frattempo, però, il danno mediatico c’è stato.

Restano comunque degli aspetti da chiarire in quest’iniziativa: per esempio, chi saranno gli “esperti” citati dal comunicato, che effettueranno “approfondite analisi” delle notizie? Come saranno qualificati, e con quali metodi e criteri effettueranno queste analisi? E come mai il protocollo parla soltanto di contrasto alle fake news diffuse “attraverso il Web”, trascurando il fatto che le notizie false o fabbricate vengono talvolta disseminate anche attraverso i media tradizionali?

Certamente l’attività della Polizia Postale contro le truffe, le bufale grossolane e le catene di Sant’Antonio, condotta attraverso pagine Facebook come Una vita da Social, si è dimostrata efficace e autorevole. Ma quando si passa dalla truffa alla notizia diventa indispensabile fornire la massima trasparenza e appoggiarsi agli esperti di notizie che esistono già: si chiamano bravi giornalisti.


Questo articolo è il testo preparato per il mio servizio La Rete in 3 minuti per Radio Inblu del 25 gennaio 2018. Fonti e approfondimenti: Arianna Ciccone, Butac, David Puente, Guido Scorza, The Guardian, EuroNews.it.

2018/01/23

Truffa dei falsi buoni Ikea su WhatsApp

“Pensavo che era la solita fregatura e invece l’ho appena preso! [...] Partecipa al nostro sondaggio per vincere... Ricevi subito un Buono Ikea del valore di £250”. Questo è il testo di un messaggio che sta girando da qualche giorno su WhatsApp.

È una truffa. Non cliccate sul link e non inoltrate quel messaggio a nessuno. Non ci sono buoni e non si vince nulla, ma si rischia di essere fregati.

Lo scopo dell’annuncio, infatti, sembra essere quello di abbonarvi con l’inganno a un servizio SMS Premium: a me, su computer, è comparsa l’offerta di abbonarmi al costo di 10 franchi la settimana a Ilovemobi.com, con rinnovo automatico. Il link completo (reso volutamente inservibile) è questo.



Gli indizi di truffa sono parecchi:

  • Perché Ikea dovrebbe ospitare una distribuzione di propri buoni su Chebuoni.win invece che su Ikea.com?
  • Chebuoni.win è stato registrato il 16 gennaio scorso e i suoi veri intestatari sono protetti tramite Whoisguard: Ikea non avrebbe motivo di nascondersi.
  • Il buono è in sterline (£).
  • I commenti positivi sul sito sembrano commenti di Facebook ma non lo sono: le immagini degli utenti sono uguali in tutte le lingue. 
Le versioni in inglese e in italiano dei “commenti” su Chebuoni.win.

  • Compilando il “sondaggio” viene chiesto di segnalare la “promozione” su WhatsApp a 15 gruppi o amici: trucco tipico per fa diffondere il messaggio e aumentare il numero di vittime.
  • Tentando di inviare la “promozione” agli amici compare un messaggio precompilato (“Pensavo che era la solita fregatura...”) che include un link a ikea[punto]com-premium.pro che riporta a Chebuoni.win.
  • Il dominio Com-premium.pro è intestato a tale Cheney Pichette (con indirizzo postale svizzero). Probabilmente sono dati di fantasia. È stato creato il 22 gennaio scorso.
  • Non è la prima volta che Ikea viene presa di mira da campagne truffaldine come questa (Italia, novembre 2017 e gennaio 2018), tanto che l’azienda ha pubblicato da tempo (dal 2013) una smentita generale.
Se ricevete questo spam, cestinatelo e avvisate chi ve l’ha mandato.


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

2018/01/20

Podcast del Disinformatico del 2018/01/19

È disponibile per lo scaricamento il podcast della puntata di oggi del Disinformatico della Radiotelevisione Svizzera. Buon ascolto!

2018/01/19

Quanto si sono spaventati gli hawaiiani durante l’allarme missilistico? Lo rivela una fonte inattesa

Il 13 gennaio scorso, alle 8:07 del mattino (ora locale) le autorità hawaiiane hanno diramato per errore a tutta la popolazione un falso allarme che annunciava l’arrivo imminente di un missile balistico. L’allarme è arrivato a tutti i telefonini dello stato ed è stato diffuso automaticamente su tutti i canali televisivi alle Hawaii, interrompendo le trasmissioni. Come se non bastasse, il testo dell’allarme precisava “this is not a drill”, ossia “questa non è un’esercitazione”, ma in realtà lo era. Ci sono voluti 38 lunghissimi minuti prima che venisse diramata la smentita ufficiale.

Molti hawaiiani si sono precipitati su Twitter e sugli altri social network per annunciare con perplessità di aver ricevuto questo allarme, diffondendolo in tutto il mondo. Ma quanti hawaiiani si sono realmente allarmati? C’è un modo molto originale per saperlo, e risponde a una delle regole fondamentali del giornalismo digitale: la Regola dell’informazione laterale. In altre parole: se vuoi sapere come sono andati realmente i fatti, non ti fidare delle parti in causa, ma cerca una fonte che non ha interesse nella questione ma che ha dati che la riguardano.

Questo modo originale è guardare l’andamento del traffico dei siti pornografici alle Hawaii durante l’allarme, visto che è probabile che chi prende sul serio la notizia ufficiale che sta arrivando un missile lasci perdere questo tipo di passatempo. Uno dei siti più popolari del settore ha pubblicato i propri dati (link a copia su Archive.is per non causarvi problemi nella cronologia o con filtri di navigazione), e la traccia dell’allarme è più che evidente:


Rispetto alla media, il traffico del sito è crollato al momento della diffusione dell’allerta, diventando il 77% in meno nel giro di un quarto d’ora. Per contro, dalle 8.45, quando sono arrivate le smentite, le visite al sito sono state il 48% in più della media.

Va detto che al momento non c’è modo di verificare questi dati (in attesa che altri fornitori pubblichino i propri) e che la loro pubblicazione potrebbe anche essere un’astuta trovata promozionale.


Instagram diventa più pettegolo e dice agli amici quando l’avete usato

A volte gli aggiornamenti delle app aggiungono funzioni che hanno ottime intenzioni ma finiscono per avere effetti collaterali indesiderati. Prendete Instagram, per esempio, che ha aggiunto da poco l’indicazione di quanto tempo è passato dall’ultima volta che un vostro contatto è stato attivo su questo social network.

Sembra un’idea carina, ma permette per esempio di sapere se una persona è online su Instagram invece di dormire, lavorare o stare attenta a scuola. E ovviamente permette agli altri di sapere quando siete stati attivi su Instagram voi.

Infatti se andate nella sezione Direct (la freccina in alto a destra nella schermata principale dell’app) compare l’elenco dei contatti e il tempo passato dalla loro ultima attività in Instagram (oppure la dicitura Attivo/a ora se sono attivi in quel preciso momento).

L’elenco include soltanto i contatti con i quali avete avuto interazioni (una chat) o che vi hanno menzionato, per cui per “pedinare” una persona non basta diventare sua follower, ma basta comunque poco.

Se vi infastidisce questo tipo di sorveglianza, potete disattivarla andando nelle impostazioni (icona in basso a destra nella schermata principale di Instagram), e andando in fondo alle opzioni, dove trovate la voce Mostra lo stato di attività: disattivatela (è attiva per impostazione predefinita).

Tenete presente, però, che quest’opzione è reciproca: disattivandola non potrete più vedere lo stato di attività degli altri.

L’antivirus silenzioso dei Mac si aggiorna in segreto

Contrariamente a un mito molto diffuso, i “virus” (più propriamente malware) per Mac esistono: ne abbiamo visto un esempio la settimana scorsa con il caso del malware che spiava gli utenti attraverso le telecamere dei loro Mac. Ma sono in pochi a sapere che Apple include nei propri Mac un “antivirus” per proteggerli contro alcuni malware particolarmente insidiosi. Questo antivirus esiste dal 2009, si chiama XProtect e si aggiorna senza avvisare l’utente. Apple non pubblica annunci o documentazione in proposito.

Funziona come i comuni antivirus: gestisce un elenco di minacce informatiche conosciute e confronta le loro caratteristiche con quelle di qualunque file scaricato. Se trova una corrispondenza, visualizza un avviso di pericolo. L’elenco di minacce si trova presso System/Library/Core Services/CoreTypes.bundle/Contents/Resources/XProtect.plist.

L’unico controllo che ha a disposizione l’utente è nelle Preferenze di Sistema, dove la voce App Store include un’opzione di installazione degli aggiornamenti di sistema e di sicurezza, che consente di attivare o disattivare gli aggiornamenti di XProtect. Volendo li si può disattivare, ma normalmente non ce n’è motivo ed è altamente sconsigliabile.

Questo “antivirus” di Apple è molto semplice e limitato, e non sostituisce quelli di altre marche ma li complementa: ora che sapete che c’è, non cambia il fatto che vi serve comunque installare un antivirus nel vostro Mac.

Se volete sapere cosa fa e contro cosa vi protegge questo antimalware silenzioso, la società di sicurezza informatica Digita Security ha attivato un servizio online che elenca la cronologia degli aggiornamenti e delle minacce gestite da XProtect: lo trovate presso Digitasecurity.com/xplorer. Lì scoprirete che Apple ha aggiornato XProtect senza dire niente a nessuno molto di recente: il 17 gennaio scorso. L’aggiornamento precedente risale al 30 novembre 2017.

Allo stesso indirizzo trovate anche la possibilità di ricevere una notifica via mail ogni volta che Apple effettua uno di questi aggiornamenti segreti e un’app per approfondire la conoscenza di XProtect.

Usare Musical.ly in sicurezza

Ho ricominciato da poco ad andare nelle scuole per presentare degli incontri di sensibilizzazione alla sicurezza e alla privacy informatica e una delle domande più frequenti riguarda Musical.ly, un‘app cinese per iOS e Android che permette di creare e mettere su Internet brevi video musicali in cui l’utente mima canzoni molto in voga e applica vari effetti speciali, come accelerazioni, rallentatori e filtri. Musical.ly ha oltre 200 milioni di utenti nel mondo.

I dettagli del funzionamento di Musical.ly per la creazione di questi video sono spiegati dagli innumerevoli tutorial che trovate su Youtube, per cui non mi dilungo su questo aspetto e mi concentro sulle questioni di privacy e sicurezza.

Quando create il vostro profilo Musical.ly:
  • tenetelo separato da quelli che avete su Instagram e Facebook. Musically consente di iscriversi usando i dati di questi social network, ma questo vuol dire che se qualcuno vi ruba la password di Facebook o Instagram vi ruba automaticamente anche il profilo Musical.ly; registratevi invece usando un indirizzo di mail sacrificabile;
  • ricordatevi di usare una password differente da quella che usate negli altri siti;
  • usate un nome di fantasia invece del vostro nome e cognome e una foto non personale per il profilo: così evitate di dare appigli ai molestatori e ai bulli, che magari vi prendono in giro stupidamente per i vostri esperimenti video;
  • impostate il vostro profilo in modo che sia privato (Impostazioni - Account Privato) e attivate Solo contatti amici con direct.ly: questo vi permette di far vedere i vostri video soltanto a chi volete voi e blocca i messaggi degli sconosciuti;
  • disattivate la geolocalizzazione (la procedura dipende dal telefonino che usate, iOS o Android).
 Nell’uso, invece, è meglio usare questi trucchi:
  • tenete presente che un video di un profilo privato non è necessariamente segreto: se lo condividete con qualcuno, quella persona può mandarlo ad altri;
  • nelle chat di Musical.ly, non date a nessuno informazioni personali, come nome, cognome o indirizzo;
  • occhio agli acquisti in-app: se usate le monete virtuali di Musical.ly per mandare doni ai vostri muser (creatori di video) preferiti, state spendendo soldi reali e un singolo dono può costare anche 100 franchi (100 euro) veri. Conviene quindi attivare il blocco degli acquisti in-app per evitare tentazioni.

Fonti: USA Today, SheKnows, Commonsensemedia, Protect Young Eyes, Aranzulla.it, Variety, CNN, Influencer Marketing Hub.

2018/01/18

Ricerca avanzata di immagini in Rete: strumenti contro bufale e fake news

Uno degli elementi ricorrenti delle fake news è l’uso (e spesso l’abuso) di immagini alterate, prese fuori contesto o ripescate dal passato ma presentate come attuali, come è successo nella recente polemica sulle immagini dei rifiuti a Roma. Difendersi da questo genere di manipolazione non è facile, ma Internet ci offre strumenti preziosi che aiutano a indagare sulla vera origine di una fotografia.

In altre puntate di questa rubrica ho già segnalato strumenti come Tineye.com, Karmadecay.com e la ricerca per immagini di Google: servizi che consentono di trovare un’immagine o le sue varianti, ordinarle cronologicamente e arrivare spesso alla fonte originale di una fotografia e da lì capire se è vera o falsa. Ma Internet è grande e di solito una ricerca generale fatta in questo modo, specialmente con la ricerca per immagini di Google, produce una valanga incontenibile di risultati, molti dei quali non c’entrano nulla con l’argomento desiderato.

Per fortuna ci sono alcuni trucchi che consentono di addomesticare questo servizio di Google, che è reperibile presso Images.google.com oppure cliccando sul link Immagini nella schermata principale di Google.

Il primo trucco è aggiungere parole chiave all’immagine da cercare: per esempio, se mandate a Google Immagini una foto, il servizio risponde mostrandovi tutto quello che ha trovato, compresi molti risultati non pertinenti e le parole che secondo lui sono associate a quella foto. È molto abile: quando gli ho mandato una foto di David Bowie su un set cinematografico, ha riconosciuto il cantante e ha anche identificato il film dal quale era tratta l’immagine, ma ha anche incluso molte foto che non c’entravano affatto.


Per affinare questa ricerca basta andare nella casella che contiene le parole che Google Immagini associa alla foto e cambiarle o aggiungerle: con poche digitazioni si arriva al risultato preciso desiderato.

Il secondo trucco è immettere in questa casella non solo delle parole, ma dei comandi specifici. Per esempio, scrivendo la parola inglese site seguita senza spazi dai due punti e dal nome di un sito si restringe la ricerca a quello specifico sito (tipo site:davidbowie.com).

La ricerca per immagini di Google offre anche altre tecniche di affinamento dei risultati: per esempio, potete andare alla pagina standard di Google, presso Google.com, digitare delle parole chiave pertinenti all’argomento che vi interessa, e premere Invio. Questo farà comparire i risultati e un menu dal quale potrete scegliere Immagini e poi Strumenti: troverete sullo schermo una serie di opzioni (Dimensioni, Colore, Tipo e Ora). Quella che vi interesserà di più nella caccia alle foto di fake news sarà l’opzione Ora, perché permette di specificare un intervallo di date. In parole povere, permette di scoprire se una foto è nuova come dice la notizia che state verificando oppure no.

Un ultimo consiglio: quando usate Google Immagini in pubblico, ricordatevi di attivare l’opzione SafeSearch, che sta in alto a destra, e filtra i risultati espliciti. Questo ridurrà il rischio di imbarazzi a tutto schermo se cercate immagini o parole ambigue, come è capitato a me proprio con David Bowie. Buona caccia.


Questo articolo è il testo preparato per il mio servizio La Rete in 3 minuti per Radio Inblu del 18 gennaio 2018.

2018/01/16

Un impianto idrico comandabile via Internet, senza password e senza crittografia

Ultimo aggiornamento: 2018/07/02 21:35.

Quando si parla di “attacchi hacker” ci si immagina facilmente un gruppo di agguerritissimi incursori informatici che scavalcano abilmente un labirinto di difese digitali. Ma la realtà è spesso molto meno spettacolare e decisamente più imbarazzante. Ancora oggi tante, troppe aziende non prendono le misure minime di difesa informatica.

Vi racconto un caso pratico, senza fare nomi per ovvie ragioni. Molte aziende hanno impianti gestiti tramite telecontrollo: macchinari, dighe, depuratori e altro ancora. È quella che si chiama in gergo l’Internet delle Cose. È un sistema molto comodo, che fa risparmiare tempo, denaro e trasferte, ma bisogna usarlo in modo responsabile. Il problema, infatti, è che questo telecontrollo in molti casi viene svolto via Internet usando connessioni non protette da password e crittografia.

Questo significa che chiunque può sorvegliare abusivamente questi impianti e spesso prenderne anche il controllo. Tutto quello che serve è saperne le coordinate Internet, ossia l’indirizzo IP, e poi immetterlo in un programma liberamente scaricabile, come per esempio VNC. Fatto questo, l’aggressore può cliccare sui pulsanti dell’impianto come se ce l’avesse davanti.



Purtroppo molti installatori, gestori e utenti di questi impianti pensano che questo indirizzo IP non sia facilmente reperibile e quindi credono di essere al sicuro e che proteggere la connessione con una password non serva e sia anzi solo una scocciatura che intralcia il loro lavoro: tanto, se nessuno sa qual è l’indirizzo IP, non c’è pericolo. Ma è un errore gravissimo, perché esistono motori di ricerca per gli indirizzi IP dei dispositivi connessi a Internet: una sorta di Google per macchinari online.

Di conseguenza, un aggressore non deve fare altro che usare questi motori di ricerca pubblicamente accessibili, come Shodan.io, per scoprire tutti i dispositivi connessi in modo insicuro, presentati su una pratica cartina geografica. Il talento informatico che gli serve è praticamente zero. A quel punto è pronto per un attacco all’impianto aziendale, per esempio a scopo di sabotaggio o estorsione.


Ieri ho trovato su Internet uno di questi apparati, accessibile senza alcuna password o protezione: era un sistema per la gestione di una cosiddetta “opera di presa”, una di quelle che preleva acqua da un fiume o un torrente.

Ho avvisato telefonicamente e via mail i responsabili dell’impianto e la Polizia Postale del luogo, ma sono passate molte ore prima che qualcuno rimediasse alla falla di sicurezza aperta da chissà quanto tempo [correzione: il rimedio che sembrava essere imminente quando ho preparato questo testo non c’è ancora stato].

Nel frattempo chiunque avrebbe potuto manovrare l’impianto e causare danni. E come questo impianto ce ne sono molti altri, in Italia e nel mondo.

Screenshot del 15/1/2018. Sì, la data visualizzata è sbagliata in avanti di un giorno.


Episodi come questo sono un forte monito a chi si occupa di sicurezza degli impianti da cui noi tutti dipendiamo: è ora di smettere di pensare che se non si pubblica l’indirizzo IP di un dispositivo, di una telecamera, di una paratoia di una diga, di un impianto antincendio o di un altoforno, nessuno lo troverà mai. Pensare in questo modo è l’equivalente di lasciare la chiave di casa sotto lo zerbino perché tanto nessuno sa che è lì. Lo sanno tutti. Se potete, adeguatevi.


Questo articolo è il testo preparato il 15 gennaio 2018 per il mio servizio La Rete in 3 minuti per Radio Inblu del 16 gennaio 2018 e ampliato per la puntata del Disinformatico della Radiotelevisione Svizzera del 19 gennaio 2018. Alcuni dettagli sono stati omessi, mascherati o alterati per esigenze di riservatezza e sicurezza. Ultimo aggiornamento: 2018/01/19 8:00.


Cronologia degli eventi


2018/01/15 13:15. Ho telefonato all’azienda per avvisarla del problema.

13:22. Ho inviato una mail informativa all’azienda, come richiesto dalla persona raggiunta telefonicamente.

13.25. Ho fatto il mio primo tweet pubblico sulla vicenda, anonimizzandola rigorosamente. Non ho pubblicato l’indirizzo IP, il nome dell’azienda o il nome della località, come potete leggere qui sotto:



16:00. Ho telefonato alla Polizia Postale di zona per informarla della situazione.

16:06. Ho inviato alla Polizia Postale di zona una mail con i dettagli, come richiesto.

2018/01/16 10:05. L'impianto è risultato ancora accessibile come prima, senza password e senza crittografia. Ho inviato una seconda mail di avviso all’azienda.

14:10. Ancora nessuna risposta o reazione da parte dell’azienda.

16:40. Tutto come prima. Sembra proprio che non gliene freghi niente a nessuno.

18:00. Per tutti quelli che me l’hanno chiesto:

  • sì, lo so che data e ora visualizzate sullo schermo dell’impianto sono sbagliate (la data è avanti di un giorno, l’ora di qualche minuto);
  • no, non credo che sia un honeypot, vista la reazione telefonica dei titolari e della Polizia Postale;
  • sì, c’è il rischio che qualcuno clicchi sui pulsanti e poi venga accusato io di averlo fatto; ma l’indirizzo IP dal quale proverrebbero le cliccate abusive non sarebbe il mio;
  • no, non intendo divulgare l’indirizzo IP dell’impianto prima che la vulnerabilità sia stata risolta;
  • no, non intendo cliccare su qualche pulsante per dimostrare che l’impianto è controllabile a distanza. Il fatto stesso che sia accessibile senza password è una lacuna di sicurezza più che sufficiente.


20:00. Rispondo a un’altra domanda ricorrente: ma il fatto di guardare tramite VNC un impianto come questo non è reato? Non sono un legale, ma direi che questa citazione dal sito della Polizia Postale è importante: “La norma [Art.615-ter, accesso abusivo ad un sistema informatico e telematico] esplicitamente prevede che il sistema informatico o telematico (sistema che integra informatica e telecomunicazioni), perché si configuri il reato in argomento, sia protetto da misure di sicurezza.... in assenza di misure di sicurezza, l´introduzione in sistemi informatici non costituisca reato". E per chi contesta che sto entrando in un sistema informatico altrui e quindi è come se stessi entrando in casa di qualcuno senza permesso: no, non sto entrando, sto guardando quello che si vede da fuori, dalla porta lasciata stupidamente spalancata, e sto avvisando che da quella porta spalancata rischiano di passare ladri e vandali.

22:00. Ho mandato un’ultima mail sconsolata all’azienda. Intanto ho saputo che l’impianto è in queste condizioni da febbraio 2017. A questo punto ci rinuncio: se all‘azienda sta bene che chiunque possa giocherellare con i loro apparati, buon pro le faccia.

2018/01/17 9:30. Nessuna risposta neanche all’ultima mail. L’impianto è ancora accessibile a chiunque.

10:25. L’azienda ha risposto ringraziando e dicendo laconicamente “ce ne stiamo occupando.”

16:20. L’accesso è ancora aperto senza password.

2018/01/18 23:40. Tutto è ancora come prima.

2018/01/19 11:30. Situazione invariata.

2018/01/21 22:15. L’impianto è ancora raggiungibile con un qualunque VNC, senza crittografia e senza password.


2018/07/02 21:35


Ho controllato poco fa e l’impianto, a distanza di mesi, è ancora visibile tramite VNC, senza crittografia e senza password. Non ho provato ad azionare i comandi.

A questo punto è evidente che all’azienda va bene così, per cui non insisto ulteriormente a tutelarla per scrupolo: si tratta della Lumiei Impianti e l’impianto è l’opera di presa di Auempoch, in provincia di Udine, reperibile su Shodan qui.

Schermata catturata da me poco fa con VNC.

Schermata tratta oggi da Shodan.

2018/01/12

Podcast del Disinformatico del 2018/01/12

È disponibile per lo scaricamento il podcast della puntata di oggi del Disinformatico della Radiotelevisione Svizzera. Buon ascolto!

Perché Windows rifiuta di aggiornarsi? Colpa dell’antivirus

Se state cercando di seguire le normali raccomandazioni di sicurezza informatica e quindi volete installare gli aggiornamenti di sicurezza di Windows ma non ci state riuscendo, la colpa potrebbe essere dell‘antivirus. Sì, siamo arrivati all’assurdo che un antivirus, concepito per migliorare la sicurezza, finisce per impedirla.

Il problema nasce dalle due gravi falle Spectre e Meltdown, già descritte in un articolo precedente. Microsoft ha già rilasciato gli aggiornamenti che le correggono (almeno in parte), ma non permette di installarli a chi usa alcuni tipi di antivirus.

Questo, spiega Microsoft, è necessario perché alcuni antivirus usano metodi che sono incompatibili con i più recenti aggiornamenti di Windows e mandano il sistema operativo in crash, con un classico Schermo Blu della Morte.

Spetta ai produttori di antivirus modificare i propri prodotti per tenere conto delle novità di sicurezza generate da Spectre e Meltdown: nel frattempo Microsoft si trova costretta a scegliere fra lasciare i propri utenti con un computer vulnerabile ma funzionante e bloccarli del tutto.

Il ricercatore di sicurezza Kevin Beaumont ha pubblicato un documento, progressivamente aggiornato, che elenca gli antivirus che non intralciano gli aggiornamenti di sicurezza di Microsoft. Consultatelo per sapere se il vostro antivirus è diventato un ostacolo o si è aggiornato.

Chicca finale: Microsoft ha imposto ai produttori di antivirus di autocertificare la propria compatibilità aggiungendo un’apposita chiave al Registro di Windows ogni volta che si avviano. Quanto tempo ci vorrà, si chiede l’esperto di sicurezza Graham Cluley, prima che i criminali informatici imparino a modificare questa chiave del Registro per impedire ai PC di aggiornarsi e così mantenerli vulnerabili?

Spiava le persone attraverso le webcam dei Mac: bloccato e incriminato

Credit: Patrick Wardle.
Phillip Durachinsky, un ventottenne residente in Ohio, è stato incriminato come autore di un malware per Mac che ha usato per oltre un decennio per spiare migliaia di vittime. Ha iniziato a farlo quando aveva quattordici anni.

Il malware, denominato Fruitfly, gli consentiva di prendere il controllo dei computer Apple che infettava, registrando dalla webcam e dal microfono, guardando cosa c’era sullo schermo, comandando mouse e tastiera e scaricando file. Ne avevo parlato a luglio del 2017, quando i dettagli del caso erano ancora riservati.

Durachinsky, secondo l’atto di incriminazione, ha usato questo suo malware per infettare e spiare migliaia di computer, rubando dati personali, informazioni bancarie, password e informazioni intime delle vittime, compresi moltissimi bambini: gli atti parlano di “milioni di immagini”. Per questo è accusato anche di produzione di pedopornografia.

Fra l’altro, Durachinsky aveva programmato Fruitfly in modo da mandargli un avviso se una delle vittime infettate digitava parole associate alla pornografia. Il suo intento, insomma, era molto chiaro.

Le intrusioni di Durachinsky sono andate avanti indisturbate per più di dieci anni: Fruitfly è stato scoperto soltanto l’anno scorso dalla società di sicurezza Malwarebytes. All’epoca Apple aveva rilasciato un aggiornamento di sicurezza per bloccare Fruitfly, ma nessuno sapeva chi fosse il suo mandante o creatore. Gli utenti che avevano aggiornato i propri Mac erano al sicuro, ma chi non si era aggiornato ed era infetto con Fruitfly continuava ad essere spiato.

Nei mesi successivi Patrick Wardle, ex dipendente NSA che oggi lavora per la Digita Security e offre strumenti di sicurezza gratuiti per Mac, ha analizzato il malware e ha scoperto come prenderne il controllo (ha trovato i nomi di dominio di riserva usati da Fruitly per comunicare con il suo padrone in caso di emergenza e li ha registrati a proprio nome, ricevendo così i dati inviati dal malware).

Wardle è riuscito a intercettare le comunicazioni fra i Mac infettati e il gestore del malware, scoprendo chi erano le vittime, e ha avvisato l’FBI, mostrando agli agenti i dettagli tecnici delle proprie scoperte. Le indagini hanno poi portato all’identificazione e all’incriminazione di Durachinsky.

Il problema è ora risolto: Fruitfly è stato disattivato e il suo autore non è più in grado di nuocere. Ma il ricercatore di sicurezza che ha snidato Durachinsky non ha parole tenere per Apple, che a suo dire era “concentrata anche sulla prospettiva di un’attenzione mediatica negativa”, rivelando “un esempio sorprendente di quali siano le priorità di Apple... Non è colpa di Apple se questo malware è entrato in tutti questi Mac... è imperativo che gli utenti Mac comuni siano consapevoli che esistono questi hacker malati e perversi che prendono di mira le loro famiglie, ma abbiamo Apple che spinge continuamente questa propaganda di marketing che dice che i Mac sono incredibilmente sicuri. Ma l’effetto collaterale è che gli utenti Mac diventano ingenui o eccessivamente fiduciosi”.

Morale della storia: i “virus” per Mac esistono e chiunque può esserne bersaglio. Meglio non credere troppo alle parole del marketing e attrezzarsi con un po’ di sana diffidenza e con un buon antivirus. Anche su Mac.

Ancora su Spectre: iOS e macOS vanno aggiornati di nuovo

La coppia di vulnerabilità gravi denominata Spectre e Meltdown ha imposto a quasi tutti i produttori di sistemi operativi delle modifiche drastiche ai propri prodotti per contenere il danno, che è causato da un difetto presente in quasi tutti i processori recenti ed è solo in parte rimediabile attraverso soluzioni software.

Apple ha rilasciato degli ulteriori aggiornamenti per iOS, che arriva così alla versione 11.2.2, e per macOS High Sierra, che arriva alla versione 10.13.2.

Questi aggiornamenti si aggiungono a quelli già rilasciati nei giorni scorsi, che avevano mitigato Meltdown, e servono a ridurre gli effetti di Spectre.

iOS 11.2.2 è disponibile per gli iPhone dal 5s in poi, per gli iPad dall’Air in poi e per gli iPod touch dalla sesta generazione in poi. La procedura è la solita: Impostazioni - Generali - Aggiornamento software.

Anche Safari, il browser di Apple, va aggiornato alla versione 11.0.2. Se siete utenti Mac e non siete ancora passati a High Sierra, installate almeno l’aggiornamento di Safari, che è disponibile sia per El Capitan (10.11.6), sia per Sierra (10.12.6). Anche qui la procedura è quella consueta: Mela - Informazioni su questo Mac - Aggiornamento software.

Buone notizie, invece, per i proprietari di Apple Watch: per questo dispositivo non sono necessari aggiornamenti di sicurezza.


Fonte aggiuntiva: Ars Technica.

Scavalcare la password di un Mac è un po’ troppo facile

In macOS High Sierra (10.13.2) c’è una falla che consente a un intruso locale di scavalcare in parte le protezioni del sistema operativo. Se il Mac è attivo con un account da amministratore (cosa normale) ed è momentaneamente incustodito (una classica situazione in famiglia o in ufficio, per esempio), un aggressore non ha bisogno di sapere la password di amministratore per cambiarne le impostazioni in alcune delle Preferenze di Sistema: il Mac accetta qualunque cosa scriviate come password.

Per esempio, se andate nelle Preferenze di Sistema e cliccate sull’icona dell’App Store e poi sul lucchetto per avere il permesso di effettuare modifiche, compare sullo schermo una richiesta di password, ma macOS accetta qualunque digitazione, sbloccando anche altre Preferenze di Sistema che normalmente sono protette da password. Questo consente a un aggressore, per esempio, di sbloccare gli acquisti nell’App Store (scenario classico: figlio o figlia che vuole comprare un gioco ma i genitori hanno bloccato gli acquisti). Le sezioni Utenti e Gruppi e Sicurezza e Privacy non hanno questa magagna.

Ho realizzato un video spiccio per dimostrare la falla su uno dei miei Mac:


Apple sta già correggendo questo difetto decisamente imbarazzante e rilascerà prossimamente un aggiornamento di macOS che la chiude. Nel frattempo, se avete amici che si vantano un po’ troppo della sicurezza del loro Mac, ora sapete come ridimensionarli.

2018/01/11

Come nasce una notizia falsa: il tunnel “troppo stretto” della metropolitana di Napoli

Come nasce una fake news? Si parla spesso di disinformazione pianificata a tavolino, ma esistono anche le notizie false che nascono per caso. O meglio, per una tempesta perfetta di fattori.

Prendiamo il caso recentissimo della notizia secondo la quale i treni destinati alla Linea 6 della metropolitana di Napoli non sarebbero utilizzabili perché, dice un titolo di giornale, “il tunnel è troppo stretto e i treni nuovi non passano”.

La notizia è falsa, perché i treni ci passano eccome, ma ormai ha assunto una visibilità enorme. Le ragioni di questa visibilità sono varie: la storia fa leva sui luoghi comuni della burocrazia cieca, incompetente e sprecona, nella quale un ufficio non sa cosa fa l'altro, e gioca probabilmente anche su alcuni pregiudizi regionali. È per questo che si consiglia sempre di fare attenzione alle storie che soddisfano e rinforzano i preconcetti e sfruttano le emozioni. Ma è anche una vicenda accattivante, gustosa da raccontare e da condividere sui social network; per chi la segnala ha poca importanza se sia vera o no. Come si dice nel giornalismo, mai lasciare che i fatti intralcino una buona storia.

Gli ingredienti giusti per ottenere una diffusione a tappeto, insomma, ci sono tutti. Ma non servirebbero a nulla se non ci fosse stato, a monte, un errore giornalistico molto frequente: l’articolo di giornale originale dal quale è scaturita la bufala in realtà è corretto, ma è il titolo che è sbagliato, e i giornalisti che hanno ripreso la notizia si sono fermati al titolo invece di leggere l’articolo [Leggo, Il Fatto Quotidiano, Il Giornale].

L'articolo, infatti, spiega che il problema non riguarda affatto i tunnel della metropolitana di Napoli ma soltanto le dimensioni del pozzo usato per inserire i treni la prima volta nei tunnel. Il pozzo non consente di calare un treno intero di quelli nuovi, più lunghi dei precedenti, ma questa limitazione si risolve calando il treno una cassa per volta.

Il titolo dell’articolo, però, parla erroneamente di tunnel troppo stretto, e per chi si è fermato a quel titolo l’equivoco è stato quindi inevitabile e le successive smentite ufficiali non otterranno mai la stessa diffusione della notizia falsa, perché sono meno interessanti.

Come spesso accade, insomma, la bufala nasce da una catena di errori e di automatismi:

  • il titolista fraintende l’articolo, in sé corretto, scritto dal giornalista;
  • gli altri giornalisti e gli utenti dei social network leggono soltanto il titolo dell’articolo e diffondono l’errore;
  • l’errore attecchisce, prospera e si propaga perché la storia è accattivante e soddisfa i pregiudizi e perché ci si fida della fonte originale, che è tutto sommato una testata giornalistica, alla quale viene spontaneo dare attendibilità.

Sono insomma gli stessi meccanismi che stanno da sempre alla base delle bufale e della propaganda, ma che oggi operano a velocità elevatissime grazie ai mezzi di comunicazione informatici.

Possiamo imparare molto da incidenti come questo:

  • mai fermarsi al titolo, spesso creato da una persona diversa dal giornalista che ha scritto l’articolo;
  • aumentare i controlli quando una storia fa leva sui pregiudizi;
  • e mai fidarsi ciecamente delle fonti apparentemente autorevoli.

Così, forse, raggiungeremo la luce alla fine del tunnel. Sempre che non sia troppo stretto.


Questo articolo è il testo preparato per il mio servizio La Rete in 3 minuti per Radio Inblu dell’11 gennaio 2018. Fonti: Bufale un tanto al chilo, Repubblica.

2018/01/09

Youtube accusa un utente di violazione del copyright: ha pubblicato un fruscio

Se vi capita di pubblicare video su Youtube, magari con un brano musicale in sottofondo di cui non vi eravate accorti, probabilmente vi siete imbattuti nella temutissima notifica di violazione del diritto d’autore. Succede quando il sistema antipirateria automatico di Youtube, denominato ContentID, rileva all’interno di un video un contenuto visivo o sonoro che secondo lui appartiene a qualcun altro.

Purtroppo questo sistema automatico ha, come dire, qualche problema di eccesso di zelo. Ne sa qualcosa il professor Sebastian Tomczak, tecnologo musicale, che è stato accusato da Youtube di aver violato il copyright ben cinque volte nella colonna sonora di un singolo video.




Il bello è che il video contestato è semplicemente un fruscio, quello che in gergo tecnico si chiama rumore bianco, simile a quello che facevano una volta i televisori quando non erano sintonizzati su un canale; un video che Tomczak ha pubblicato per un esperimento scientifico.


Non è finita: i presunti autori che rivendicano diritti non hanno chiesto di rimuovere il video di Tomczak, ma ne hanno chiesto la rimonetizzazione, ossia hanno ottenuto da Youtube che i guadagni sulle visualizzazioni finissero nelle loro tasche invece che in quelle del creatore del video. Anche se può sembrare strano che ci sia un mercato per quelli che in sostanza sono video di fruscio, esistono su Youtube milioni di video di questo genere, alcuni dei quali hanno milioni di visualizzazioni. Tomczak dice che c’è chi li usa per esempio per addormentarsi meglio o per distrarsi da un rumore fastidioso.

Naturalmente Youtube offre una procedura di opposizione, ma è piuttosto tediosa, specialmente se occorre farla ripetutamente, e comporta che un video possa restare in sospeso fino a un mese. Cosa più importante, a differenza del rilevamento delle presunte violazioni, che è automatico, l’opposizione va effettuata a mano ogni volta. Questo squilibrio è così marcato che è nata una vera e propria industria delle contestazioni di copyright fasulle su Youtube, che monetizzano il lavoro altrui.

Insomma, se voi (o magari i vostri figli) siete Youtuber assidui e quindi pubblicate molti video, l’unico modo per evitare queste scocciature al limite della vessazione è fare molta attenzione a non includere nei vostri video qualcosa che possa portare a una contestazione: per esempio canzoni o spezzoni di programmi televisivi provenienti da una TV accesa nel luogo in cui avete girato il video, anche se il televisore non è inquadrato. Se vi capita di includerli, cercate di fare in modo che siano spezzoni molto brevi, di un decina di secondi o poco più, perché sembra essere questa la soglia di durata oltre la quale il sistema ContentID entra in azione e fa partire la contestazione automatica.

Naturalmente c’è sempre l’alternativa drastica, che è quella di pubblicare video su altri siti, come Vimeo o Dailymotion, che non usano automatismi antipirateria così imprecisi e manipolabili come quello di Youtube. Ma questo significherebbe abbandonare uno dei siti di video più frequentati del mondo e dire addio ai sogni di fama che albergano in ogni Youtuber. Buona fortuna.


Questo articolo è il testo preparato per il mio servizio La Rete in 3 minuti per Radio Inblu del 9 gennaio 2018. Fonti: Gizmodo, Torrentfreak.

Pagine per dispositivi mobili