Cerca nel blog

2018/12/29

La fisica di “Repubblica”: lo zero assoluto è un limite per mammolette, sulla Luna si scende a -280 °C. E c’è un “lato oscuro”

A quanto pare a Repubblica, nella rubrica Scienze, lasciano scrivere di scienza il primo che passa. O perlomeno non hanno l’abitudine di rileggere. Scrive infatti Sandro Iannaccone (link intenzionalmente modificato) che non solo esiste un lato oscuro della Luna, ma sulla Luna si possono raggiungere temperature inferiori allo zero assoluto.

SE GLI 85 GRADI sottozero dell’Antartide o i -280 del lato oscuro della Luna vi sembrano freddi, non avete ancora visto nulla. La Nasa ha approntato, a bordo della Stazione spaziale internazionale un esperimento che ha si è guadagnato il record di temperatura più fredda nell’intero Universo. Si chiama, poco sorprendentemente, Cold Atom Lab (Cal), ed è il primo tentativo di produrre, in orbita, nuvole di atomi ultrafreddi, appena poche frazioni di grado sopra lo zero assoluto, a circa -273 gradi centigradi.

Ho salvato una copia permanente su Archive.is e agevolo qui questo screenshot:


Primo: la Luna non ha un lato oscuro. Nel corso di ogni mese tutta la superficie lunare viene illuminata prima o poi, compresa la faccia che non è mai rivolta verso la Terra. Ci sono solo alcuni crateri polari il cui fondo non viene mai illuminato.

Secondo: lo zero assoluto è per definizione la temperatura più bassa teoricamente raggiungibile ed è pari a -273,15 °C. Corrisponde, in sintesi, alla totale immobilità degli atomi. Basterebbe un ripassino su Wikipedia per non scrivere baggianate.


2018/12/29 12:45


Ricevo questo tweet da Sandro Iannaccone:



Resta l’errore del “lato oscuro”.


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

2018/12/28

“Hackerare” il voto elettronico svizzero legalmente: un aggiornamento

Ricordate l’invito a testare la sicurezza del sistema di voto elettronico svizzero di metà novembre scorso? Con tanto di premio?

Mi sono iscritto, e stamattina mi è arrivato questo aggiornamento:

Dear Security Researcher

Thank you for pre-registering for the Public Intrusion Test (PIT). Swiss Post’s online voting system will be tested under the requirements of the Swiss Confederation and the Swiss Cantons.

In the next few weeks you will receive:

• detailed information about the PIT, such as dates, compensation system, scope of the test, code of conduct, etc.
• a link to the official registration platform for the PIT, where you’ll be able to definitely sign up

The source code will be published before the intrusion test. If you register on the official platform in the beginning of the year, you will receive a notification when the code has been published.

Kind regards
Swiss Post

In traduzione:

Caro Ricercatore di Sicurezza

Grazie per esserti preregistrato per il Test Pubblico di Intrusione (TPI). Il sistema di voto online della Posta Svizzera verrà testato secondo i requisiti della Confederazione Svizzera e dei Cantoni Svizzeri.

Nelle prossime settimane riceverai:

• informazioni dettagliate sul TPI, come per esempio le date, il sistema di ricompensa, l’ambito del test, il codice di condotta, eccetera
• un link alla piattaforma di registrazione ufficiale per il TPI, dove potrai iscriverti definitivamente

Il codice sorgente verrà pubblicato prima del test di intrusione. Se ti registri sulla piattaforma ufficiale all’inizio dell’anno, ricevera una notifica quando sarà stato pubblicato il codice.

2018/12/26

Appassionati tracciano volo segreto del presidente USA. Riflessioni per sciachimisti e ufologi

Nel tardo pomeriggio di oggi Wikileaks ha tweetato questa segnalazione: uno dei due aerei usati dal presidente degli Stati Uniti risultava tracciabile pubblicamente mentre era in volo dalla base militare di Andrews verso i paesi dell’Europa di sud-est:






Poco dopo è arrivata la spiegazione: il presidente e la consorte sono in visita alle truppe in Iraq.




Poi è arrivato addirittura un avvistamento diretto effettuato da un planespotter sopra lo Yorkshire, nel Regno Unito:




Insomma, abbiamo appassionati capaci di tracciare e identificare un volo segreto del presidente degli Stati Uniti, eppure gli sciachimisti, fra cui c’è a quanto pare un sindaco, credono che si possano far volare di nascosto stormi di aerei segreti per fare irrorazioni occulte senza che nessuno se ne accorga. E gli ufologi pensano che dei veicoli extraterrestri scorrazzino per i cieli senza che nessuno li veda. Va be'.


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Quiz festivo: il mistero del “numero di grucce” nei siti di e-commerce

Un amico, Luigi, mi segnala un mistero che vorrei proporvi come quiz. Premetto che non ne conosco la soluzione e sono curioso di vedere cosa riuscite a scoprire.

Provate a googlare “usb numero di grucce” (senza le virgolette): noterete che i risultati elencano un gran numero di siti di commercio online che vendono prodotti informatici che includono questa bizzarra specifica tecnica.



Questa stravagante terminologia compare per esempio su Amazon.it:



Dalle mie ricerche iniziali, non mi sembra che sia colpa di una traduzione automatica o dilettantesca dall’inglese e la versione inglese della stessa pagina di prodotto di solito usa USB Type-A connector nel punto in cui la versione italiana parla del numero di grucce.

C’è di mezzo una lingua diversa dall’inglese? Che cosa mai può portare a una “traduzione” così completamente sbagliata, e come mai lo stesso errore di traduzione è condiviso da così tanti siti?

Se scoprite qualcosa, i commenti sono a vostra disposizione.


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

2018/12/23

Centrostore.ch chiuso, gestore arrestato. Occhio ai prezzi troppo allettanti

Nelle scorse settimane ho ricevuto numerose segnalazioni riguardanti il sito svizzero Centrostore.ch, che offriva prodotti elettronici a prezzi insolitamente scontati, anche di marche come Apple che normalmente non concedono mai riduzioni di prezzo.

Venerdì scorso (21/12) è uscita la notizia (Tio.ch e altri) che le denunce per truffa sporte dai cittadini che avevano fatto acquisti sul sito senza mai ricevere la merce pattuita hanno fatto avviare indagini che hanno portato all’arresto di un ventinovenne italiano, residente in Italia.

“Le principali ipotesi di reato nei confronti del 29enne sono quelle di truffa per mestiere, abuso di un impianto per l'elaborazione di dati, amministrazione infedele, bancarotta fraudolenta e frode del pignoramento, nonché cattiva gestione. [...] Eventuali vittime sono invitate a scrivere all'indirizzo polizia@polca.ti.ch.“

Molti utenti si sono fidati del suffisso .ch, che dava l‘idea di un’azienda locale, e dell’indirizzo altrettanto locale (a Giubiasco). Ma c’erano molti indizi che vale la pena di segnalare per evitare di incappare in altri raggiri analoghi in futuro. Cominciamo dai più visibili:

  • i prezzi troppo belli per essere veri
  • il numero di telefono (044 586 04 73), che non era locale e poi è scomparso del tutto
  • l‘assenza delle condizioni generali di contratto (Allgemeine Geschäftsbedingungen o AGB), normalmente presenti in ogni sito commerciale svizzero
  • nessuna informazione sui titolari
  • nessuna intestazione formale della ditta
  • nessuna azienda di nome Centrostore o Centro store nei registri pubblici (Zefix.ch, Foglio Ufficiale)

Cercando leggermente più a fondo si notavano altri elementi sospetti, come le pagine che contenevano soltanto testo di prova, tipiche di un sito tirato su in fretta e furia:




E andando ancora più in profondità si poteva notare un certificato digitale di Let’s Encrypt, che non offre nessuna garanzia di serietà di un sito, visto che Let’s Encrypt offre certificati a chiunque:






Inoltre andando fisicamente o con Google Street View all’indirizzo di sede riportato (via Bellinzona, Giubiasco), non risultava né un ufficio né un magazzino.

Scavando un pochino, nei limiti della legalità, con gli appositi strumenti informatici e con l’aiuto di colleghi che hanno chiesto l’anonimato e che ringrazio, è stato possibile:

  • risalire ai nomi e cognomi degli intestatari del nome di dominio Centrostore.ch nel corso della breve vita del sito, e altre informazioni ora a disposizione degli inquirenti
  • scoprire che i due amministratori del sito (fatto con Wordpress) si chiamavano Ricky e antonella (due nomi significativi per le indagini)
  • ottenere le coordinate bancarie di Centrostore.ch
  • determinare il numero di ordini fatti da clienti e quindi il probabile numero di truffati: circa 3630.

Morale della storia: se vedete un’offerta allettante, controllate bene prima di fare acquisti online, specialmente presso siti mai visti prima; non lasciatevi sedurre dall’emozione; e usate metodi di pagamento tracciabili e rimborsabili in caso di contestazione, come la carta di credito (meglio se prepagata).


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

2018/12/21

Puntata del Disinformatico RSI del 2018/12/21

È disponibile lo streaming audio e video della puntata del 21 dicembre del Disinformatico della Radiotelevisione Svizzera.

La versione podcast solo audio (senza canzoni, circa 20 minuti) è scaricabile da questa sezione del sito RSI (link diretto alla puntata) ed è disponibile qui su iTunes (per dispositivi compatibili) e tramite le app RSI (iOS/Android); la versione video (canzoni incluse, circa 60 minuti) è nella sezione La radio da guardare del sito della RSI ed è incorporata qui sotto. Buona visione e buon ascolto!

50 anni fa oggi, il primo volo umano verso la Luna

Alle 13.51 italiane di cinquant’anni fa decollava dalla Florida un volo spaziale senza precedenti: Apollo 8, la prima missione umana intorno alla Luna.

Apollo 8 fu il secondo volo con equipaggio del programma Apollo, dopo il debutto con grande successo di Apollo 7 in orbita intorno alla Terra. Portò il comandante Frank Borman, il pilota del modulo di comando James Lovell e il pilota del modulo lunare William Anders fino alla Luna, ma senza scendervi: rimase in orbita intorno al satellite della Terra, colmando per la prima volta l’abisso di 380.000 chilometri che separa il nostro pianeta dalla Luna. Nessun equipaggio umano si era mai allontanato così tanto.

La missione detiene un numero impressionante di primati:

  • La prima con equipaggio a bordo del vettore gigante Saturn V
  • La prima a portare un equipaggio oltre l’orbita bassa intorno alla Terra
  • La prima a permettere a degli astronauti di vedere la Terra da grande distanza
  • La prima a portare un equipaggio sotto il predominio della gravità di un altro corpo celeste
  • La prima a consentire a esseri umani di vedere con i propri occhi la faccia nascosta della Luna
  • La prima a esporre esseri umani alla luce solare continua, senza albe o tramonti
  • La prima a mettere degli astronauti in orbita intorno alla Luna
  • La prima a portare degli astronauti fuori dal contatto radio con la Terra (quando erano dietro la Luna)
  • La prima a esporre un equipaggio umano alle radiazioni solari al di fuori del campo magnetico terrestre
  • La prima a far vedere direttamente a occhi umani la Terra sorgere dalla Luna
  • La prima a effettuare un rientro sulla Terra dallo spazio profondo, alla velocità più elevata mai raggiunta da astronauti fino a quel momento.

Questa missione fu anche la prima con equipaggio a decollare dal Kennedy Space Center in Florida, situato vicino alla base militare di Cape Canaveral dalla quale erano partite le altre imprese spaziali.

La missione fu modificata profondamente rispetto ai piani originali, che prevedevano un semplice volo orbitale ellittico che non avrebbe raggiunto la Luna. Il sospetto che i rivali sovietici fossero quasi pronti a battere l’America anche nel primato del primo volo umano intorno alla Luna fece anticipare i tempi e spinse la NASA a tentare un’impresa senza precedenti in termini di distanza, complessità e rischio.

Apollo 8 raggiunse la Luna in poco meno di tre giorni, per poi orbitarvi intorno dieci volte nel corso di 20 ore. La diretta effettuata durante il volo intorno alla Luna, il giorno prima di Natale, dagli astronauti leggendo passi della Genesi fu la trasmissione più seguita della storia fino a quel momento.

Il successo della missione aprì la strada alla Luna e al tentativo di arrivare sulla Luna entro la fine del decennio come promesso dal defunto presidente Kennedy.

Apollo 8 tornò sulla Terra il 27 dicembre 1968, ammarando nell’Oceano Pacifico. Se volete seguirla in tempo reale, io e Gianluca Atti, appassionato collezionista di cose spaziali, stiamo creando Apollo 8 Timeline, un blog apposito, ricchissimo di immagini e di giornali italiani dell’epoca. Le prime pagine sono già online.


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

La lista dei disastri di privacy di Facebook. Questi sono solo quelli del 2018

Per Facebook non è stato un anno molto positivo, per dirla garbatamente. Stando alla compilation realizzata da Issie Lapowsky, il social network è stato al centro di almeno 21 scandali di primaria importanza nel corso del 2018.

Forse è il caso di rendersi conto, a questo punto, che Facebook non è in grado di offrire alcuna garanzia di riservatezza e che qualunque cosa venga caricata su questo social network debba essere considerata pubblica, visibile a tutti e oggetto di commercio estremamente disinvolto pur di consentire a Facebook di crescere.

Se questo vi spinge a voler eliminare il vostro account, fatene prima una copia da scaricare, e poi andate alla pagina di richiesta di cancellazione permanente (https://www.facebook.com/help/delete_account), cliccate su Elimina il mio account e seguite le istruzioni.

Smartwatch per bambini, colabrodo di dati e di insicurezza

Un anno fa, uno studio commissionato da un’organizzazione di difesa dei consumatori norvegese aveva rilevato che gli smartwatch per bambini erano pericolosamente disinvolti in fatto di sicurezza e avidi di dati personali, che venivano raccolti ma messi incautamente a disposizione di qualunque ficcanaso.

Ê passato appunto un anno e non è cambiato nulla, nonostante le promesse: un nuovo test svolto dalla Pen Test Partners ha scoperto che gli smartwatch della MiSafes (marchio già nei guai per le sue telecamerine IP vulnerabili) possono tuttora essere usati da malintenzionati per localizzare i bambini che li indossano, per ascoltare di nascosto le loro conversazioni e per chiamarli telefonicamente facendo sembrare che la chiamata arrivi dai genitori.

Usando gli appositi strumenti di Internet, è stato facilissimo trovare decine di migliaia di smartwatch MiSafes pubblicamente accessibili. MiSafes non è l’unico marchio coinvolto: ci sono almeno altre 53 marche che hanno problemi di sicurezza analoghi.

I ricercatori hanno scoperto di poter:

  • attivare la funzione di ascolto remoto di uno smartwatch altrui: l’unico avvertimento all’utente è un breve messaggio di “occupato”;
  • tracciare la localizzazione attuale e passata;
  • modificare la funzione di “zona sicura” in modo che gli allarmi vengano attivati quando il bambino si avvicina invece di quando si allontana;
  • scavalcare una funzione che dovrebbe in teoria limitare chi può chiamare il bambino.

In generale, i dispositivi di tracciamento GPS commerciali non ci fanno una bella figura, come spiega in dettaglio la ricerca Trackmageddon di Michael Gruhn e Vangelis Stykas.


Fonti: BoingBoing, BBC.




Alexa, voci captate in casa e inviate a uno sconosciuto

Amazon Echo, l’assistente vocale che risponde al nome di Alexa, è sostanzialmente un microfono sempre aperto e connesso a Internet. Forse è il caso di pensarci prima di comperarlo. Perché a volte quello che viene detto in casa viene captato e trasmesso a uno sconosciuto.

È successo a un cittadino tedesco, che ha chiesto ad Amazon di ricevere i dati riguardanti la sua attività presso questo negozio online e ha ricevuto 1700 registrazioni audio di comandi impartiti ad Alexa. Un risultato sorprendente, visto che non possiede un Echo.

Amazon gli aveva infatti inviato le registrazioni di qualcun altro. Il cittadino ha avvisato Amazon, che non gli ha risposto, però ha reso inattivo il link dal quale erano scaricabili le registrazioni.

I giornalisti di Heise.de le hanno ascoltate e sono stati in grado di “ricostruire un quadro dettagliato del cliente in questione e delle sue abitudini personali. Era ovvio che il ‘Cliente X’ usava Alexa in più di un posto. Aveva almeno un Echo in casa e ha un dispositivo Fire, comandato a voce, collegato alla sua TV. Anche una voce femminile si rivolgeva ad Alexa, e quindi c’era evidentemente una donna almeno per parte del tempo.”

Prosegue Heise: “Alexa era chiaramente in grado di sentire il nostro ‘soggetto’ nella doccia e i comandi dati a termostati e simili ci hanno mostrato che usa Alexa per comandare vari apparecchi smart di casa. Usa Alexa a casa, sul suo smartphone, e quando è in giro [...] siamo stati in grado di esplorare la vita privata di uno sconosciuto senza che lui lo sapesse [...] gli allarmi, i comandi Spotify, le richieste di informazioni sui trasporti pubblici incluse nei dati hanno rivelato molto sulle abitudini personali, il lavoro e i gusti musicali delle vittime. Usando questi file, è stato piuttosto facile identificare la persona e la sua compagna.”

Vi lascio leggere il resto della storia presso Heise.de. È molto interessante il modo in cui Amazon ha minimizzato e ha gestito il problema, prendendosi il merito di averlo scoperto, dicendo che si è trattato di “errore umano” ed evitando di contattare la persona di cui aveva inviato ad altri le registrazioni fino al momento in cui ne ha parlato Heise.de.

Se avete Alexa e volete riesaminare quello che ha registrato, potete visitare amazon.de/alexaprivacy (o il link equivalente del vostro account Amazon).

Aggiornamento d’emergenza per Internet Explorer

Se usate Internet Explorer, aggiornatelo appena possibile: Microsoft ha rilasciato due giorni fa un aggiornamento d’emergenza per correggere una falla, la CVE-2018-8653, che consente di infettare il computer che usa IE non aggiornato semplicemente convincendo l’utente a visitare un sito infetto, per esempio mandandogli la classica mail “clicca qui per vincere un iPhone” o “ci devi dei soldi, clicca qui per vedere la fattura”.

Gli attacchi che sfruttano questa vulnerabilità sono già in corso, per cui non è il caso di aspettare ad aggiornare Internet Explorer con la vostra consueta procedura di aggiornamento, che di solito consiste nel lanciare Windows Update.

In alternativa, potete usare un altro browser, come Google Chrome, Firefox, Opera o Safari.


Fonte aggiuntiva: The Register.

La rivolta delle stampanti a sostegno di PewDiePie

Credit: BBC.
In tutto il mondo le stampanti stanno stampando strani messaggi che invitano ad iscriversi al canale Youtube di Pewdiepie e “sistemare le vostre stampanti”. È probabilmente l’incursione informatica più bizzarra dell’anno: ne trovate esempi qui e qui.

Un mese fa, qualcuno che si fa chiamare TheHackerGiraffe ha preso momentaneamente il controllo di circa 50.000 stampanti di varie marche in varie parti del mondo per creare dei volantini a favore dello Youtuber Pewdiepie.

L’incursore ha spiegato alla BBC, in forma anonima, che stava cercando di attirare l’attenzione su una vulnerabilità di alcune stampanti che permette di prenderne il controllo da remoto e può portare al loro danneggiamento permanente.




The Verge spiega che il firmware di queste stampanti è infatti scrivibile da remoto, ma supporta soltanto un numero limitato di cicli di scrittura. Questo vuol dire che un aggressore può rendere inservibile le stampanti in questione semplicemente mandando loro un numero elevato di comandi di scrittura del firmware, se queste stampanti sono accessibili via Internet tramite la porta 9100.

Secondo l’hacker contattato dalla BBC, esiste anche il rischio che qualcuno intercetti documenti sensibili o li modifichi mentre vengono stampati, sfruttando questa stessa vulnerabilità.




La soluzione alla falla è semplice: impostare la propria rete informatica in modo che le stampanti non siano accessibili direttamente da Internet.

Se vi state chiedendo chi mai possa essere così imprudente da rendere accessibile via Internet la propria stampante, basta una ricerca apposita su Shodan per trovarne almeno 308 in Svizzera e circa 1500 in Italia (i link richiedono un account su Shodan).

2018/12/19

L’articolo 13 spiegato da un racconto di Cory Doctorow

Ultimo aggiornamento: 2018/12/19 23:50.

Traduco qui False Flag, un racconto di Cory Doctorow scritto per illustrare qual è, a suo parere, la posta in gioco qualora andasse in porto la proposta di direttiva sul copyright dell’Unione Europea di cui si discute tanto e che è osteggiata da grandi esperti come Vint Cerf, uno dei padri di Internet, e Tim Berners-Lee, co-creatore del Web, oltre che da quattro milioni di cittadini europei. La traduzione è realizzata e pubblicata con il permesso di Doctorow e del Green European Journal.

Quella che leggete è una mia prima traduzione veloce: se snidate refusi o avete suggerimenti per migliorarla, fatelo nei commenti. Buona lettura.

Nota di copyright: diversamente dal resto di questo blog, questa traduzione è soggetta alle regole di copyright definite da Green European Journal per l’originale di Cory Doctorow.

----

Agata aveva sempre dato per scontato che la parte difficile sarebbe stata la cattura delle immagini. Ma per come andarono le cose, l’infiltrazione e l’estrazione segreta di un drone nel Mare del Nord furono la parte facile.

Agata e la sua cellula avevano trascorso mesi a pianificare l’operazione nel Mare del Nord, lavorando con una fredda alacrità che bilanciava la possibilità che arrivassero troppo tardi contro la possibilità che sarebbero stati scoperti ed esposti. Ma quella mattina, mentre saltava le creste delle onde sul piccolo gommone capitanato da Oxana, che nel suo passamontagna pareva una Pussy Riot, Agata sapeva che sarebbe andata bene. Tirò fuori il suo Toughbook, attivò i droni, ciascuno grande come una lucciola, e li spedì ad effettuare una ricognizione del peschereccio usando radar e telecamere per catturare le reti sottomarine e seguirle in tutti i loro venticinque chilometri di estensione. Era incredibile da vedere, ed era terribile: una vasta malignità che avrebbe reso sterile il mare mentre veniva trascinata dietro il peschereccio, che batteva bandiera panamense.

I droni avevano energia appena sufficiente a fare una visita veloce alla nave, acquisendone i dati di registro navale e le bandiere e scattando immagini zoomate automaticamente dei volti dei marinai prima che si esaurissero le batterie. Agata aveva valutato l’idea di far cadere i droni in mare, ma l’ironia di gettare in mare dei rifiuti elettronici in un progetto concepito per lanciare l’allerta sulla pesca eccessiva illegale era davvero troppa. Aveva invece limato via accuratamente tutti i numeri di serie dei droni, in modo che potessero essere abbandonati anonimamente a bordo del peschereccio.

Incapparono in venti contrari sulla via del ritorno alla loro nave appoggio, che doveva riportarle a Thyborøn. Il gommone quasi si rovesciò due volte; alla seconda, Agata riuscì per un pelo ad agguantare il Toughbook che rimbalzava e saltellava verso i bordi dell’imbarcazione, rimanendo con una mano a tenerlo stretto e l’altra mano ad aggrapparsi alla barca, intanto che una foschia ghiacciata e pungente la martellava senza tregua. Erano fradicie ed esauste quando raggiunsero la nave appoggio. Le gambe di Agata tremavano mentre saliva a bordo, con le nocche bianche da quanto stringeva forte il Toughbook. Riuscì a collegare il telefono satellitare e a iniziare l’upload delle sue riprese prima di vomitare.

#

Ma ottenere le immagini fu la parte facile.

Agata e la sua crew [si chiamano così in gergo i gruppi di hacker, N.d.T.] fecero l’upload sia delle riprese grezze, sia di un bel montaggio con voce narrante che spiegava in dettaglio le tante leggi violate dal peschereccio, usava fonti pubbliche e dati trafugati per decifrare una piccola parte della struttura dell’azienda che formalmente era proprietaria del peschereccio, scopriva quali grossisti compravano il pescato; un pacchetto completo. Era il loro mestiere: inquinatori, pescatori illegali, scaricatori abusivi di rifiuti, condizioni di lavoro insicure. Lavoravano senza un nome o un marchio, perché le organizzazioni che hanno un nome sono vulnerabili alle ritorsioni. La gente che era disposta a trascinare reti da pesca di venticinque chilometri o di mandare lavoratori migranti a togliere isolamenti d’amianto da un futuro loft industriale indossando solo una mascherina da verniciatore era, a volte, anche disposta a fare cose davvero deplorevoli e dolorose agli attivisti che li intralciavano. Agata e la crew preferivano restare invisibili a tutti: erano i video e gli archivi che li accompagnavano a raccontare la storia, loro erano soltanto le persone che facevano quella storia. Non facevano parte della storia.

Usarono dei bot per caricare le immagini ovunque e contemporaneamente, applicandovi hashtag esistenti (#fishpocalypse, #NorthSeaDieOff) e nuovi che avevano creato per quest’operazione: #NorthSeaKiller. Nessuno dei membri della crew avrebbe dato un like o un upvote a questa roba, ovviamente: essere i primi a mettere un like a qualcosa era praticamente come dire “Questo l’ho fatto io!”. Invece aspettarono che gli attivisti che seguivano i tag esistenti si accorgessero degli upload e iniziassero a spargere la voce. Seguirono i tag man mano che diventavano virali, guardarono i ministeri della pesca danesi e scozzesi mentre venivano bombardati di domande, videro gli inviti a boicottare il grossista del peschereccio che emergevano spontaneamente, e sorrisero all’idea di qualcuno, in una pescheria, che cercava affannosamente di capire che diavolo stesse succedendo, se doveva semplicemente smettere di comprare dal #NorthSeaKiller. Tutto stava andando bene — fino al momento in cui non andò più.

I grafici delle analytics per le mention e i like e le condivisioni e i download non avevano fatto altro che aumentare, e la curva era diventata sempre più ripida, quasi verticale, nelle ore da quando avevano iniziato la disseminazione. Ora era caduta di colpo a quasi zero.

Nella chat di gruppo, Agata vide la crew postare catture delle schermate dei loro sinottici delle analytics, poi passò ad altre schede del browser, entrando in una serie di social network e cercò di caricare i post iniziali per ricontrollarne le statistiche.

> POST NON DISPONIBILE

> QUESTO CONTENUTO È STATO RIMOSSO PER VIOLAZIONI DEL COPYRIGHT AI SENSI DELL’ARTICOLO 13 DELLA DIRETTIVA SUL COPYRIGHT NEL MERCATO UNICO (2019)

La crew ne aveva sentito parlare. Non erano l’unica crew, dopotutto, e avevano amici che avevano amici nelle altre crew, e circolavano mormorii su contromisure inarrestabili messe in campo da società di “gestione della reputazione” e di “comunicazione di crisi” che vendevano una suite di servizi molto esclusiva e molto costosa a clienti veramente disperati tipo, per esempio, una società di pesca illegale che stava per finire malissimo.

Funzionava così: in base all’Articolo 13, le piattaforme erano responsabili se consentivano, anche brevemente, la disponibilità senza permesso di qualunque opera protetta dal copyright. Ma naturalmente le piattaforme non erano in grado di sapere cosa era o non era un’opera vincolata dal copyright, e così, in un compromesso che solo un eurocrate avrebbe potuto amare, l’UE disse che i detentori dei diritti erano obbligati a registrare i propri copyright presso le piattaforme, caricandoli su questi database spalancati, prodotti in crowdsourcing, di contenuti banditi. Una volta che un video, una foto, un blocco di testo o una clip audio erano nel database di una piattaforma, nessuno poteva postare su quella piattaforma nulla che corrispondesse in tutto o in parte a quel file.

Cosa anche peggiore, l’Articolo 13 non prevedeva un modo per punire le persone che rivendicavano per errore il copyright su opere che non erano loro, e men che meno i ripulitori di reputazione ostili e occulti che usavano l’Articolo 13 per censurare i video che minacciavano i bilanci contabili dei loro clienti. In teoria una piattaforma poteva scegliere di ignorare questa gente, escluderli dai database di blacklist, ma i truffatori avrebbero sempre avuto la rivincita, perché a quel punto avrebbero avuto il diritto di far causa e lasciare in mutande la piattaforma qualora un’opera sotto il loro copyright fosse comparsa online, anche solo per un giorno.

#

La viralità arrivò e se ne andò. Con i video ora offline, cominciò a serpeggiare online una nuova storia: “fonti vicine alla questione” giuravano che loschi figuri (forse dei troll russi che cercavano di seminare disinformazione?) avevano messo online dei fake astuti che facevano sembrare che un peschereccio perfettamente innocente avesse calato delle reti a strascico illegale nelle fragili riserve di pesca del merluzzo del Mare del Nord. I video sembravano veri a prima vista, ma chiunque li esaminasse con attenzione notava immediatamente le falsificazioni.

La crew era inerme, furibonda. Si ricordavano di quando c’erano piattaforme più piccole, basate in Europa, che potevano usare per ospitare i video. Quelle piccole aziende erano scomparse da tempo: già per loro era dura competere con la Big Tech americana, ma dopo che la Direttiva sul Copyright decretò che avrebbero dovuto trovare mezzo miliardo di euro per comprare tecnologie di filtraggio nel momento in cui si trasformavano da “microimprese” in potenziali concorrenti di Google e Facebook, chiusero tutte i battenti.

La crew non poteva neanche fornire i propri video a dei giornalisti amici per smentire le asserzioni dei grandi giornali di proprietà delle società. Anche solo linkare un giornale importante richiedeva una licenza a pagamento, e mentre i giornali si concedevano licenze a vicenda in modo da poter citare articoli nelle pubblicazioni concorrenti, le testate dissidenti e indipendenti che un tempo commentavano e analizzavano quello che faceva notizia e quello che non lo faceva erano tutte svanite quando le grandi società di news avevano rifiutato di concedere loro la licenza di linkarle.

Agata parlò con un avvocato di sua conoscenza, usando cauti giri di parole e forme ipotetiche. L’avvocato le confermò quello che aveva già intuito.

“La tua amica immaginaria non ha speranze. Dovrebbero identificarsi per inoltrare un’opposizione, dire a tutti la loro vera identità e rivelare che sono loro gli artefici del video. Anche così, ci vorrebbero sei mesi per far sì che le piattaforme esaminassero l’opposizione, e a quel punto tutta la notizia sarebbe svanita dall’opinione pubblica. E se miracolosamente riuscissero a destare di nuovo l’attenzione dellla gente? Beh, i falsificatori farebbero semplicemente rimuovere di nuovo il video. Basta un istante a un bot per inoltrare una rivendicazione di copyright fasulla.Ci vogliono mesi prima che degli umani riescano ad annullare la rivendicazione. È una guerra asimmetrica e voi sarete sempre fra quelli che la perdono.”

#

La crew aveva una dozzina di altre operazioni che erano arrivate a vari livelli di pianificazione, ma #NorthSeaKiller uccise le loro speranze. Vedevano quanto sarebbe stato facile ripetere il trucchetto, e senza Internet la crew era inerme.

Cosa sarebbe successo se qualcuno avesse organizzato un raduno d’indignazione virale e non si fosse presentato nessuno?

Agata non era più una ragazza. Si ricordava, a malapena, di quando Internet non era composta da quattro megasocietà nelle quali la gente postava screenshot tratti dagli altri tre. Ma anche l’Internet accentrata e commerciale aveva la sua utilità, come luogo nel quale i potenti potevano essere chiamati a rendere conto e ad essere esaminati. Era rischioso, ma il rischio aveva le proprie ricompense.

Non più.

Aveva tanti messaggi in attesa dai membri della crew, ma non riuscì a trovare la forza di rispondere neanche a uno di essi. Andò a letto.

2018/12/18

Soddisfazioni spaziali: vincere una patch della missione di Luca Parmitano con un tweet

Qualche giorno fa l’ESA ha tweetato una caption competition: un invito a comporre la didascalia migliore o più divertente per questa foto di Luca Parmitano:




Così per ridere, mentre ero fra un appuntamento di lavoro e un altro, ho provato a rispondere:



Traduzione: "Luca Parmitano, membro dell'equipaggio di riserva, spiega il funzionamento del nuovo sistema di salvataggio per emergenze durante il lancio, mirato a ridurre i costi, noto anche come SGCTP, ossia ‘Salta Giù Che Ti Prendo’”.

Ho ricevuto un tweet privato di preavviso dall’ESA, che mi ha avvisato che la mia battuta improvvisata era piaciuta a Luca, e stamattina mi è arrivata questa:






Ho fatto sorridere un astronauta.

Nuova mail di estorsione di massa: stavolta minaccia bombe. Fallisce miseramente

Questo è il testo (leggermente ampliato) del mio podcast La Rete in tre minuti per Radio Inblu di questa settimana, che potete ascoltare qui.

Vi ricordate la recente mail di ricatto, mandata a tantissime persone, che diceva che un criminale informatico era entrato nel vostro computer mentre guardavate siti per adulti, vi aveva videoregistrato attraverso la telecamerina del computer, e voleva denaro per non diffondere il video?

Era un bluff totale, perché i criminali che la mandavano non avevano registrato nulla e contavano semplicemente sulle abitudini e sui sensi di colpa delle persone, ma ha funzionato lo stesso: un numero non trascurabile di utenti ha pagato, secondo quanto risulta dal monitoraggio dei conti Bitcoin sui quali finivano i soldi incassati dai truffatori.

Ora qualcuno ha avuto la pensata di usare lo stesso modello di estorsione basato sul bluff ma di cambiare la ragione del ricatto: nei giorni scorsi scuole, aziende, ospedali e tribunali negli Stati Uniti, in Australia, in Canada e in Nuova Zelanda hanno ricevuto una mail che avvisava che all’interno dell’edificio era stata nascosta una bomba che sarebbe esplosa se non fosse stato pagato entro sera un riscatto di circa 20.000 euro.

Questo è un campione della mail, che circola in varie versioni:

There is the bomb (tronitrotoluene) in the building where your business is located. My recruited person constructed an explosive device under my direction. It has small dimensions and it is hidden very well, it is impossible to damage the supporting building structure by my bomb, but there will be many wounded people if it detonates.

My man is controlling the situation around the building. If any unnatural behavior, panic or emergency is noticed he will power the device.

I want to suggest you a deal. You send me $20’000 in Bitcoin and the bomb will not detonate, but do not try to fool me -I warrant you that I have to call off my man solely after 3 confirmations in blockchain network.

My payment details (Bitcoin address)- 149oyt2DL52Jgykhg5vh7Jm10pdpfuyVqd

You must pay me by the end of the workday. If the working day is over and people start leaving the building explosive will explode.

This is just a business, if I do not see the money and the bomb detonates, next time other commercial enterprises will send me a lot more, because this is not a single incident. I wont enter this email. I check my Bitcoin wallet every 40 min and after seeing the payment I will order my mercenary to leave your district. If an explosion occurred and the authorities see this letter:
we arent a terrorist society and do not assume responsibility for explosions in other places.

Stavolta, però, le cose sono andate ben diversamente: a quanto risulta finora, nessuno ha pagato e tutti gli enti coinvolti hanno avvisato le autorità, che poi hanno evacuato e setacciato gli edifici, senza trovare nulla. L’ultimatum è scaduto e non è successo nulla, a conferma del fatto che si trattava di una finta.

Il consiglio delle forze dell’ordine, per chi dovesse ricevere questa mail di estorsione, è non rispondere, non tentare di contattare il mittente, non pagare e invece contattare appunto la polizia, senza cancellare la mail di ricatto, perché al suo interno ci sono dati tecnici che consentiranno probabilmente agli investigatori di risalire all’incosciente autore di questa estorsione internazionale.

Incosciente perché se le autorità tendono, per mancanza di risorse, a dover chiudere un occhio su estorsioni private, come quella della mail riguardante le visite ai siti a luci rosse, di certo non lo fanno per chi si rende colpevole di falsi allarmi bomba che sconvolgono l’ordine pubblico. Questo nuovo aspirante ricattatore avrà ora alle calcagna le polizie di mezzo mondo.

Lo sa bene George Duke-Cohan, un diciannovenne britannico che è stato condannato a tre anni di carcere per aver inviato allarmi bomba via mail a centinaia di scuole nel Regno Unito e negli Stati Uniti e persino a un aereo di linea in volo. Pensava di far parte di un potentissimo gruppo di hacker sovversivi, che si faceva chiamare la Squadra di Apophis, e invece è stato identificato e arrestato nel giro di pochi giorni.

Questo diciannovenne faceva queste cose perché desiderava ossessivamente l’attenzione dei suoi seguaci nei social network, senza pensare agli effetti dei suoi gesti. Dalle nostre parti, senza arrivare alle estorsioni e agli allarmi bomba di massa, altri irresponsabili mandano via Internet insulti, minacce e provocazioni per ottenere il plauso dei propri follower, come si chiamano ora i seguaci. Ma è opportuno ricordare che anche su Internet le azioni hanno conseguenze. Forse sarebbe ora di insegnarlo. E di impararlo una volta per tutte.

2018/12/17

“Report” e le auto elettriche

Ultimo aggiornamento: 2018/12/24 12:35.

La puntata di Report su Raitre stasera si è occupata dell’infiammabilità delle batterie al litio con un trailer che è quasi interamente dedicato alle batterie presenti nelle auto elettriche.




Non ho visto la puntata, ma per i tanti che (come me) si fermeranno al trailer vorrei ricordare, per completezza, che le batterie al litio non esistono solo nelle auto elettriche: sono presenti in tutti i telefonini, tablet e laptop, oltre che negli aspirapolvere a batteria, nei Roomba, nei monopattini elettrici, nelle bici elettriche, nei trapani cordless e in tanti attrezzi elettrici senza cavo d’alimentazione. Quindi se dobbiamo fare panico intorno alle batterie al litio, allora forse dovremmo impanicarci per il dispositivo incendiabile che abbiamo nella borsetta o che abbiamo stivato in aereo o per quello che scorrazza per casa mentre noi siamo fuori o sta sotto i piedi del nostro bambino.

Oppure dovremmo semplicemente imparare a valutare il rischio in base a criteri meno cavernicoli della maggiore o minore familiarità. Dovremmo piantarla di pensare che quello che non conosciamo è pericoloso perché non lo conosciamo, mentre quello che conosciamo da tempo è sicuro.

Questo errore di valutazione ci fa dimenticare il fatto che circoliamo costantemente a bordo di auto a pistoni che sono piene di carburante istantaneamente infiammabile. Ci fa sembrare normale tenere in casa delle bombole di gas. Ci fa sembrare normale che lungo le nostre strade e le nostre ferrovie circolino enormi serbatoi su ruote strapieni di liquidi o gas infiammabilissimi.



E ci fa invece preoccupare degli incendi delle auto elettriche, dimenticando di considerare che bruciano sì a lungo e sono impegnativi da spegnere, ma si innescano e si sviluppano più lentamente e quindi danno più tempo agli occupanti di mettersi in salvo rispetto a un’auto a benzina.

Detto questo, guardate pure Report. Forse lo farete con occhi diversi.


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Mi è arrivata la targa da nerd

Ultimo aggiornamento: 2018/12/18 14:00.

Ho finalmente trovato il tempo di andare a ritirare e installare la targa personalizzata per ELSA, la mia piccola auto elettrica, e per Petula, la mia auto a benzina (hanno la stessa targa trasferibile). Ne avevo parlato in un articolo precedente: le sue prime quattro cifre sono un omaggio alla Serie Classica di Star Trek (l’astronave Enterprise è la NCC-1701).

È stato sufficiente andare alla Sezione della Circolazione, togliere le vecchie targhe (sono rimovibili a incastro), presentare allo sportello un documento d’identità, le targhe vecchie e le carte grigie (carte di circolazione) delle due auto da reimmatricolare, e mi sono state date subito le targhe nuove: tempo necessario, dieci minuti in tutto. La variazione dell’assicurazione, fatta via mail, è arrivata direttamente allo sportello via Internet e non è stato necessario presentare le ricevute di pagamento delle targhe.





Costo totale dell’operazione: 150 franchi per acquistare la targa all’asta online, e 50 franchi per ciascuna delle carte grigie rifatte. Nessuna marca da bollo, ma solo una bolletta da pagare (dopo, sulla fiducia). Sempre via Internet.

Ora non mi resta che aggiornare i dati di targa in Parkingpay.ch (il servizio di pagamento online dei parcheggi in Svizzera), Telepass.it e nell‘Area C di Milano.


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

2018/12/16

Ci ha lasciato Giuseppe Lippi, colonna portante della fantascienza italiana



Giuseppe Lippi, storico curatore di Urania, saggista, autore e traduttore di fantascienza, è morto ieri.

Come tanti della mia generazione, ho un debito enorme di cultura con lui: per Urania, per Robot, per tutti i saggi e le traduzioni letterarie che ha scritto e realizzato nel corso della sua carriera (documentate nel Catalogo Vegetti), e per tutto il suo impegno nella divulgazione delle opere migliori di un genere che in Italia è stato per decenni una nicchia snobbata ma che tocca temi che sono diventati più che mai di attualità, come il cambiamento climatico e l’intelligenza artificiale.

Lo incontravo spesso ai convegni di fantascienza, come la Deepcon, e al Festival del cinema di fantascienza di Trieste. Mi sembra ieri che chiacchieravamo insieme in treno di Moon, di Duncan Jones. È tempo di riprendere in mano il suo grande saggio su 2001 Odissea nello spazio, che ho nella mia libreria, e rileggere i suoi pensieri riascoltandone la voce.

Il funerale si terrà a Pavia alle 15 presso la Sala del Commiato del Cimitero Maggiore.

Lo ricordano in tanti attraverso le pagine di Fantascienza.com e Il Messaggero.

2018/12/15

Finalmente in italiano l’autobiografia di Gene Cernan, ultimo uomo a camminare sulla Luna

Dopo tante settimane di lavoro in segreto, posso finalmente annunciare pubblicamente che è disponibile da oggi in italiano L’ultimo uomo sulla Luna, traduzione di The Last Man on the Moon: l’emozionante autobiografia di Gene Cernan, l’astronauta che per ultimo camminò sul suolo lunare a dicembre del 1972.

Sono pochissime le biografie in italiano degli esploratori lunari: l’editore Cartabianca ha creduto con passione in questo progetto e ho avuto così il piacere di fare da revisore tecnico della traduzione realizzata da Diego Meozzi.

La prosa di Gene Cernan non è facile da rendere; le sue narrazioni delle tre missioni spaziali alle quali ha partecipato, andando fino alla Luna due volte (Apollo 10 e Apollo 17) dopo aver rischiato la vita con una passeggiata spaziale in condizioni terribili durante la missione Gemini 9, sono avvincenti tanto quanto lo è il racconto delle sue vicende personali e del suo percorso di vita, presentato anche nel magnifico documentario omonimo.

Ho avuto il piacere e l’onore di incontrare Gene Cernan più volte, di ringraziarlo personalmente per le sue magnifiche parole al funerale di Neil Armstrong e di intervistarlo, scoprendo un uomo che sapeva ispirare con il proprio entusiasmo e la propria umiltà. Una delle sue frasi preferite era “Io sono riuscito a camminare sulla Luna. Cos’è che non puoi fare tu? Se lui, cresciuto in una fattoria senza corrente elettrica e senza neppure un trattore, era riuscito a fare così tanta strada da arrivare ad essere scelto per andare sulla Luna, quali altre cose straordinarie possiamo fare se ci impegniamo? Con che coraggio diciamo “Non si può fare”? Forse è una retorica d’altri tempi, ma Cernan la sapeva porgere con rara potenza. È morto a gennaio 2017 a 82 anni: ritroverete quell’energia in questa autobiografia.

A proposito di questo libro, mi disse: “Sai, il mio obiettivo, in quel libro, era condividere con te le risposte a tutte le domande che so che hai, e sai tu quali sono. Volevo essere io che parlavo con te, e volevo che tu fossi là fuori con me durante la mia passeggiata spaziale di Gemini 9, a sentire quello che ho sentito io. Volevo che fossimo tu ed io sulla Luna, con lo sguardo rivolto alla Terra, in modo che tu potessi rispondere alla domanda ‘Che cosa si prova? Cos'hai pensato? Credi in Dio? Ti sei sentito più vicino a Lui?’ Questo era il mio scopo. Non so quanto mi ci sono avvicinato...”

Scopritelo anche voi. Trovate L’ultimo uomo sulla Luna qui su Cartabianca.com, sia su carta che come e-book; potete anche leggere gratuitamente un capitolo di anteprima.

L’e-book è disponibile ovunque, mentre la versione cartacea è acquistabile direttamente solo dallo store online di Cartabianca. Il libro digitale costa 9,99 euro; la versione cartacea costa 17,90 euro più le spese di spedizione tramite corriere.

Se questa autobiografia tradotta avrà successo, ne potranno seguire altre di altri protagonisti di un’avventura straordinaria. Ad astra.


2018/12/22: Su La Stampa è uscita una bella recensione da parte di Piero Bianucci.

2019/01/13: Un’altra buona recensione è su Cosmobserver.com a firma di Emmanuele Macaluso.

2019/01/18: È uscita una recensione del libro sul sito dell’INAF (Istituto Nazionale di Astrofisica).

Puntata del Disinformatico RSI del 2018/12/14

È disponibile lo streaming audio e video della puntata del 14 dicembre del Disinformatico della Radiotelevisione Svizzera.

La versione podcast solo audio (senza canzoni, circa 20 minuti) è scaricabile da questa sezione del sito RSI (link diretto alla puntata) ed è disponibile qui su iTunes (per dispositivi compatibili) e tramite le app RSI (iOS/Android); la versione video (canzoni incluse, circa 60 minuti) è nella sezione La radio da guardare del sito della RSI ed è incorporata qui sotto. Buona visione e buon ascolto!

2018/12/14

Facebook, mail interne descrivono trucchi per raccogliere dati su SMS e chiamate di nascosto

Nella scorsa puntata del Disinformatico radiofonico ho segnalato il caso di una lettrice, Maria Elena, che segnalava che Facebook le aveva proposto, fra le persone che poteva conoscere, dei genitori di compagni di scuola di uno dei suoi figli, con i quali non aveva assolutamente scambiato coordinate personali.

Erano già emersi altri casi, come quello di un utente che aveva scaricato i propri dati da Facebook e aveva scoperto che contenevano la cronologia di tutte le sue telefonate. La scoperta aveva spinto Facebook ad ammettere che le app Facebook Lite e Messenger raccoglievano anche la cronologia degli SMS oltre che delle telefonate.

Delle mail interne di Facebook, rese pubbliche di recente da un’inchiesta del Parlamento britannico, hanno rivelato ulteriori dettagli sul modo in cui la società di Mark Zuckerberg tratta e considera la trasparenza e la privacy dei suoi utenti.

Come racconta Gizmodo, nel 2015 i dipendenti di Facebook discutevano internamente se aggiungere o meno la cronologia delle telefonate e degli SMS alla versione Android dell’app. Questo avrebbe consentito di migliorare la funzione “Persone che potresti conoscere” acquisendo molti più dati da correlare, ma per farlo sarebbe stato necessario chiedere esplicitamente il permesso degli utenti, come previsto dalle funzioni di sicurezza e privacy di Android, facendo comparire una grande schermata di avviso.

Uno dei manager di Facebook scrisse che sarebbe stata “una cosa parecchio rischiosa da fare dal punto di vista delle relazioni pubbliche” ma che il “team di crescita” l’avrebbe fatta comunque.



Yul Kwon, all’epoca principale responsabile per la privacy di Facebook, scrisse inoltre che era in corso di test un aggiornamento delle app del social network che avrebbe eluso i controlli di sicurezza di Android e non avrebbe fatto comparire la schermata standard di avviso di Android:

The Growth team is now exploring a path where we only request Read Call Log permission, and hold off on requesting any other permission for now.

Based on their initial testing, it seems this would allow us to upgrade users without subjecting them to an Android permissions dialog at all.

It would still be a breaking change, so users would have to click to upgrade, but no permissions dialog screen.

Il fatto che sia stata anche solo pensata un’elusione del genere, e che il responsabile della privacy dell’azienda non abbia obiettato, la dice molto lunga.

La versione finale delle app di Facebook (Lite e Messenger) presentò solo la schermata che vedete qui sotto, e così per anni milioni di utenti non si accorsero di regalare la cronologia delle telefonate e dei messaggini a Facebook.


Classifica delle password più usate dell’anno: non usatele anche voi

Ogni anno Splashdata pubblica un elenco delle peggiori password trovate nel corso delle varie violazioni di siti avvenute negli ultimi dodici mesi. Per il 2018 ha esaminato oltre 5 milioni di password trafugate e messe su Internet.

Cosa si intende per “peggiori”? Per esempio, si tratta di password usatissime o terribilmente ovvie, che quindi sono facilissime da indovinare e saranno fra le prime tentate da chiunque voglia rubare un account.

Sono ormai cinque anni che ai primi due posti dell’elenco rimangono incontrastate due password storiche: 123456 e password. Al terzo, in salita, c’è 123456789. Al quarto non va meglio: ci troviamo 12345678.

Il resto della classifica è un campionario deprimente di ingenuità, con poche new entry, fra le quali spicca donald (al 23° posto), ispirata presumibilmente dall’attuale presidente degli Stati Uniti.

Va detto che il campione di password usato non è mondiale, ma principalmente basato su account nordamericani ed europei e non include le password usate per i siti pornografici, per cui non rappresenta l’intero spettro dell’umana inettitudine nel generare password decenti, ma una cosa è certa: se usate una delle password presenti in questa classifica, piantatela. Tanto vale prendere la chiave della porta di casa e lasciarla fuori nella serratura.

I consigli di Splashdata, che non a caso si occupa di prodotti per la gestione delle password, sono questi:

  1. Non usate una password, ma una passphrase, ossia una sequenza di parole, lunga almeno dodici caratteri di vario genere. Esempio: GiraffaForbici17.
  2. Usate password differenti per ogni sito, così se vi rubano una password i ladri non potranno usarla per entrare in tutti i vostri account.
  3. Proteggete le vostre password usando un password manager: un programma che generi delle password complesse e robuste, le ricordi per voi e le immetta automaticamente nei siti.

Da parte mia, aggiungo di fare attenzione alle password che sono solo apparentemente complesse: per esempio, se vi state chiedendo come mai in classifica c’è una password complicata e ricca di simboli insoliti come !@#$%^&*, provate a guardare una tastiera inglese. In particolare la sua prima fila di tasti, quella con le cifre.



Il video di Youtube che piace di meno quest’anno è un video celebrativo di Youtube

Le bizzarrie dei meccanismi commerciali della Rete non finiscono mai. Youtube Rewind 2018, il video creato da Youtube per celebrare la musica, i memi e le tendenze del 2018 è appena uscito ed è già uno dei video meno piaciuti di sempre.

Al momento in cui scrivo ha accumulato oltre 11 milioni di “non mi piace” contro 2,2 milioni di “mi piace”.

Questo video batte così il detentore storico del primato per il video più detestato su Youtube, Baby di Justin Bieber, che risale al 2010 e ci ha messo otto anni ad accumulare circa 9,7 milioni di “non mi piace”, contrastati però da altrettanti “mi piace”. Youtube Rewind 2018, invece, ci ha messo appena una settimana.

Ma i boss di Youtube sono comunque contenti: il video ha totalizzato finora 127 milioni di visualizzazioni e 1,6 milioni di commenti, per cui ha ottenuto comunque il risultato che interessa a Youtube: far passare il maggior tempo possibile agli utenti sul sito, in modo che siano maggiormente esposti alle pubblicità pagate dagli inserzionisti.

Google+ anticipa la data di chiusura. Se lo usate, affrettatevi

A ottobre scorso Google ha annunciato che avrebbe chiuso la versione consumer di Google+ ad agosto 2019. Ma pochi giorni fa ha cambiato idea: la chiusura verrà anticipata ad aprile 2019.

La ragione della chiusura anticipata è la scoperta di un’altra falla, dopo quella che aveva ispirato la decisione di chiudere Google+.

Quest’altra falla permetteva agli intrusi di carpire nomi, età, genere, stato delle relazioni, indirizzi di mail, indirizzi di abitazione, professioni e/o scuole frequentate e in generale le informazioni del profilo anche quando l’utente le aveva impostate come private.

Sono state risparmiate, per fortuna, le password, anche se i dati personali resi pubblici sarebbero stati sufficienti in molti casi per operazioni di sorveglianza, stalking o molestia. Il danno riguardava circa 52 milioni di utenti.

Se avete immesso in Google+ dati che volete conservare, sbrigatevi a farlo: avete poco più di tre mesi di tempo. Potete farlo anche subito, con questa procedura:


  1. Andate a Google Takeout (takeout.google.com)
  2. Nell’elenco di tipi di dati, cliccate su Deseleziona tutto
  3. Attivate solo la selezione di G+1
  4. Andate in fondo all’elenco e cliccate su Avanti 
  5. Scegliete il formato del file e il metodo di consegna
  6. Cliccate su Crea archivio. 

Buon lavoro.

2018/12/13

Trailer di Star Trek Discovery: torna il 17 gennaio. Con i vulcaniani che sorridono

Va be'. Vado a vedermi The Orville.

Quanto è realmente privata la navigazione privata? Fate il test

La navigazione privata o navigazione anonima o in incognito è una di quelle funzioni di smartphone, tablet e computer il cui nome sembra spiegarne perfettamente lo scopo: navigare su Internet in modo privato e anonimo. Ma non è proprio così, e quindi è meglio sapere quali sono i suoi limiti in modo da usarla correttamente.

Si accede a questa navigazione privata in vari modi, che dipendono dal dispositivo e dall’app usata per navigare: per esempio, nei computer che usano Google Chrome si clicca su Altro e si sceglie Nuova finestra di navigazione in incognito. Sugli iPhone, iPad e iPod touch, si apre Safari e si tocca l'icona a forma di due quadratini sovrapposti e si sceglie Privata. Sugli smartphone Android, invece, si tocca l'icona con tre trattini o puntini disposti verticalmente e si sceglie Nuova scheda anonima.

Questo tipo di navigazione è effettivamente privato, ma soltanto nel senso che non lascia tracce sul vostro dispositivo: ne lascia invece eccome presso il vostro fornitore di accesso a Internet e nei siti che visitate.

Per esempio, se usate la navigazione privata sul Wi-Fi del luogo dove lavorate, della scuola dove studiate o dell’albergo dove alloggiate, chi vi fornisce il servizio Wi-Fi può sapere quali siti avete visitato e può identificarvi benissimo, per esempio tramite i dati tecnici che la vostra app di navigazione passa a qualunque sito glieli chieda, anche se avete attivato la navigazione anonima.

Questi dati tecnici includono il tipo esatto di app di navigazione, il tipo di dispositivo usato, la lingua utilizzata, le dimensioni dello schermo, il tipo di processore, la scheda grafica, i font installati e altro ancora.

Ogni dispositivo ha una combinazione unica di queste caratteristiche: di conseguenza, se usate lo stesso tablet, smartphone o computer per navigare anche in modo non anonimo, è facile per un fornitore di accesso a Internet o anche per un sito Web riconoscere la particolare combinazione di questi dati tecnici del vostro dispositivo e quindi capire che la persona che prima navigava in incognito eravate voi: è una tecnica chiamata fingerprinting, ossia “riconoscimento dell’impronta digitale”, con un doppio senso informatico molto calzante.

Potete verificare quante informazioni tecniche vengono raccolte usando per esempio Panopticlick.eff.org, Siamogeek.com/jsinfo/ e Uniquemachine.org (cliccate ripetutamente su Get my fingerprint).

Ma allora la navigazione anonima è inutile? No, anzi: è efficacissima per non lasciare tracce delle ricerche effettuate in Google e negli altri motori di ricerca, per non memorizzare visite a siti web e per non trovarsi bombardati da pubblicità mirata, per esempio di viaggi dopo aver acquistato un biglietto aereo. Secondo un recente sondaggio pubblicato dal sito Duckduckgo.com, che offre ricerche anonimizzate, la ragione principale per la quale gli utenti usano la navigazione in incognito è far sparire quelle ricerche che il sondaggio definisce, con raro garbo, “potenzialmente imbarazzanti”.

Ma non è solo questione di imbarazzi. Soprattutto in questa stagione, molti usano Google per cercare regali. Vedersi rovinare la sorpresa perché il nome o il sito del regalo cercato compare non appena si digita qualche lettera sarebbe un peccato. In casi come questi, la navigazione privata è impagabile. Usatela e, specialmente se avete un computer condiviso con altri, fatela usare.


Fonte aggiuntiva: Naked Security.

Tentativo di rubare password alla SUPSI (Scuola universitaria professionale della Svizzera italiana)


D3LabIT mi segnala questo tentativo di phishing ai danni degli utenti della SUPSI, la Scuola universitaria professionale della Svizzera italiana. La falsa pagina di login, mostrata qui sopra, si trova in realtà presso https://fusioncya punto com/sup/. Gli altri link nella pagina portano alle pagine corrispondenti del vero sito SUPSI.

I truffatori probabilmente portano le vittime su questa pagina mandando loro dei messaggi (mail o altri canali di messaggistica) contenenti un link che apparentemente porta al sito della SUPSI ma in realtà porta al sito dei truffatori. È sempre pericoloso cliccare su link contenuti in messaggi; diffidate di quelli che vi portano a pagine di login.

Notate il lucchetto, che può dare un falso senso di sicurezza: indica soltanto che la comunicazione è cifrata, ma non autentica il sito che lo presenta. Il certificato digitale che fa mostrare al browser questo lucchetto è fornito in questo caso gratuitamente da Let’s Encrypt.

Dopo aver cliccato su Login nella pagina dei ladri di password si viene portati alla vera pagina di login della SUPSI (https://webmail.ti-edu.ch/). Questo fa credere all’utente che ci sia stato semplicemente un banale errore di immissione, perfezionando l’inganno.


La falsa pagina di login.

La vera pagina di login.

Ovviamente non bisogna mai immettere password in pagine come questa. Se l’avete fatto, cambiate immediatamente la vostra password visitando il sito vero. Per essere sicuri di visitare il sito vero, digitatene a mano il nome nel vostro browser.





Può avere senso visitare in massa la pagina dei ladri di password e immettere dati fasulli, in modo da inquinare e rendere inservibile l’archivio di login e password che stanno accumulando? È probabile. In ogni caso, prudenza.

2018/12/14 10:30. Firefox ora segnala il sito truffaldino come pericoloso, grazie a Google Safe Browsing.