Cerca nel blog

2019/03/29

Puntata del Disinformatico RSI del 2019/03/29

È disponibile lo streaming audio della puntata del 29 marzo del Disinformatico della Radiotelevisione Svizzera.

La versione podcast solo audio (senza canzoni, circa 20 minuti) è scaricabile da questa sezione del sito RSI (link diretto alla puntata) oppure qui su iTunes (per dispositivi compatibili) e tramite le app RSI (iOS/Android); questa settimana non c’è la versione video.

Buon ascolto!

Asus, utenti attaccati tramite aggiornamenti di sistema; come rimediare

Un attacco informatico molto strano ha colpito i computer Windows di Asus tramite gli aggiornamenti dei driver e del firmware. Qualcuno ha preso il controllo dei server di aggiornamento e ha iniettato nel sistema di aggiornamento del malware che si è propagato poi ad alcune migliaia di computer degli utenti. L’analisi dell’attacco è ancora in corso, ma sembra che il bersaglio sia un numero ristrettissimo (circa 600) di computer di questa marca.

Se volete saperne di più e soprattutto scaricare e usare il software predisposto da Asus per la verifica contro questo attacco, potete leggere il comunicato dell’azienda e queste info di Tripwire, Graham Cluley e Motherboard.

App di sorveglianza colabrodo: Family Locator


Family Locator, un’app di sorveglianza per famiglie, disponibile per i dispositivi iOS, aveva una falla micidiale: pubblicava la geolocalizzazione in tempo reale di circa 240.000 utenti. Come se non bastasse, il produttore dell’app non rispondeva alle segnalazioni della falla.

L’app è concepita per consentire per esempio a un genitore di sapere quando il figlio arriva a scuola o a un figlio di sapere se il genitore è arrivato in ufficio o è tornato a casa: il suo intento sarebbe dare sicurezza e tranquillità alle famiglie che la usano, ma il risultato è stato esattamente contrario.

I dati degli utenti venivano infatti accumulati in un database MongoDB non protetto, ospitato maldestramente nel cloud e quindi facilmente reperibile con un motore di ricerca specializzato come Shodan, e venivano custoditi (si fa per dire) senza cifratura. Nel database c’erano non solo le coordinate geografiche ma anche le foto di profilo, il nome, l’indirizzo di mail e la password di ciascun utente.

In altre parole, nota Naked Security, chiunque accedesse a questo database poteva sapere che aspetto aveva “vostra figlia tredicenne, dove si trovava in tempo reale, il suo nome, il suo indirizzo di mail, il suo indirizzo di casa, l’indirizzo della sua scuola e il suo percorso da casa a scuola e viceversa”.

La falla è stata scoperta da Sanyam Jain della GDI Foundation. La società australiana che gestisce Family Locator non ha risposto alle prese di contatto e quindi il sito di notizie informatiche TechCrunch ha contattato Microsoft, che ospitava il database, ed è riuscito a farlo rendere irraggiungibile via Internet.

App di sorveglianza colabrodo: MobiiSpy

Il mercato delle app che consentono di monitorare le attività svolte sugli smartphone è molto ricco, ma non tutti i suoi operatori sono attenti a proteggere i dati degli utenti. Naked Security segnala il caso di MobiiSpy per Android, che a causa di un errore di gestione aveva lasciato online oltre 95.000 immagini e 25.000 registrazioni audio estratte dagli smartphone monitorati. I dati erano in un database pubblicamente accessibile, il cui indirizzo era memorizzato in modo fisso (hardcoded) nell’app, per cui era facile scoprirlo e accedervi.

La falla di privacy, scoperta dal ricercatore di sicurezza Cian Heasley, era particolarmente grave non solo per i contenuti ma anche perché il proprietario dell’azienda creatrice del software non rispondeva alle segnalazioni di allarme. Intanto le immagini e le registrazioni continuavano ad accumularsi dove chiunque avrebbe potuto scaricarle.

Alla fine è stato necessario contattare Codero, la società di hosting che ospitava il database dei dati, e convincerla a scollegarlo da Internet.

Quando si installa un’app di monitoraggio così invasiva, che raccoglie dati anche da smartphone di bambini, bisogna insomma fare attenzione alla reputazione del creatore dell’app, altrimenti c’è il rischio che un genitore che pensa di proteggere il figlio monitorandolo tramite app finisca in realtà per renderlo più vulnerabile e sorvegliabile da sconosciuti.

Apple chiude 51 falle di sicurezza

Pioggia di aggiornamenti per i dispositivi Apple: il weekend potrebbe essere il momento ottimale per installarli. Risolvono una cinquantina di falle di sicurezza, spiegate in dettaglio nella pagina di supporto di Apple.

MacOS arriva alla versione 10.14.4 e iOS viene portato alla versione 12.2. Le falle riguardano principalmente il browser; ne spiccano inoltre due che avrebbero consentito a un’app iOS di accedere al microfono senza che comparisse l’indicatore di attività del microfono (CVE-2019-6222, CVE-2019-8566) e una (CVE-2019-8553) che avrebbe permesso di prendere il controllo di un dispositivo iOS convincendo il bersaglio a cliccare su un link in un SMS.

Un’altra falla, stavolta per MacOS, consentiva a un’app ostile di estrarre password dal gestore password dei Mac, ossia Keychain.

Come sempre, è importante aggiornare i propri dispositivi appena possibile, perché i criminali informatici non perdono tempo a creare nuovi attacchi che colpiscono chi non si aggiorna. Gli aggiornamenti si eseguono usando la solita procedura: su iPhone, Impostazioni - Generali - Aggiornamento Software; su Mac, clic sul menu Apple - Informazioni su - Aggiornamento software.


Fonte aggiuntiva: Naked Security.

2019/03/26

Passa la direttiva UE sul copyright. E adesso?

Ultimo aggiornamento: 2019/03/26 20:25.

Il Parlamento dell’Unione Europea ha approvato oggi il testo finale del progetto di direttiva sul diritto d’autore. Entrerà in vigore nell’UE dal 2021, se approvata dagli stati membri, e ha vari problemi.

  • La direttiva rischia di creare leggi differenti per ciascun paese UE.
  • È un salto nel buio, perché (come nota l’avvocato Guido Scorza su AgendaDigitale e sul Fatto Quotidiano) non è supportata da nessuno studio economico sul suo impatto, per cui non si sa quanto (e nemmeno se) i titolari dei diritti guadagneranno più soldi come promesso dai sostenitori della direttiva. Esperimenti analoghi in Germania non hanno ottenuto un soldo.
  • Il suo articolo 15 (ex articolo 11) crea in sostanza una sorta di tassa sulle citazioni: gli editori dovranno autorizzare espressamente ogni ripubblicazione delle loro notizie, salvo che si tratti di singole parole o “estratti molto brevi”. Quanto brevi? Non è specificato. Questo dovrà essere chiarito dalle norme più dettagliate basate sulla direttiva. Ma una norma dello stesso genere esiste già in Spagna e ha prodotto la concentrazione del traffico sui grandi editori, svantaggiando quelli piccoli. Piccoli come il blog che state leggendo, per esempio.
  • Il suo articolo 17 (ex articolo 13) impone che tutti i grandi siti che permettono agli utenti di caricare contenuti debbano ottenere una licenza su quei contenuti e debbano filtrare quelli che violano il diritto d’autore; inoltre saranno responsabili per i contenuti immessi dagli utenti. In pratica si tratta di un filtro preventivo sugli upload, ossia una soluzione tecnica irrealizzabile (come si filtra un modello per stampante 3D sotto copyright?), oltre che uno strumento di censura formidabile (se ne volete un assaggio, guardate come si comporta il ContentID di Youtube). Per non parlare dell’assurdità di procurarsi una licenza preventiva per ogni possibile contenuto coperto da copyright: non solo musica e film, ma libri, foto, video, software, disegni, testi. Chi potrà negoziare una licenza a tappeto del genere? Solo chi ha tanti soldi.
  • L’articolo 17 prevede alcune esenzioni per l’esercizio del diritto di critica, recensione, parodia e collage, per cui i memi dovrebbero essere salvi. Sono esentati anche i siti come Wikipedia (le enciclopedie online non a scopo di lucro), le piattaforme di sviluppo di software open source, i servizi cloud, i negozi online e i servizi di comunicazione.
In sintesi, la direttiva crea un pantano legale che solo chi ha stuoli di avvocati potrà permettersi di gestire e comporta il rischio serio di zittire le voci dei piccoli o dei singoli.

Per esempio, si chiede la BBC, cosa succederà a chi condivide le proprie sessioni di videogioco su Youtube o Twitch? Il video di una sessione è una nuova opera, i cui diritti spettano al giocatore, ma include opere di proprietà dell’azienda creatrice del gioco. Opere al plurale, perché un videogioco contiene grafica, musica, dialoghi e software, ciascuno vincolato da un diritto d’autore separato. Verrà filtrato automaticamente? Un video di una festa di compleanno che contiene una canzone in sottofondo verrà bloccato?

E cosa cambierà in questo blog, per esempio? Per ora nulla: io vivo e lavoro in Svizzera, per cui quello che scrivo non è toccato dalla direttiva, salvo che la Svizzera decida di adottare norme analoghe. Lo stesso vale anche per tutti i contenuti prodotti fuori dall’UE. Il risultato, insomma, è che chi sta nell’UE verrà penalizzato e chi ne sta fuori (Google o Facebook, per esempio) continuerà come prima e anzi starà meglio di prima, perché nessun europeo se la sentirà di costituire un’azienda concorrente.

Ma soprattutto mi sembra che i creatori di questa direttiva, e i politici che l’hanno approvata, non abbiano tenuto conto di una cosa fondamentale: non è che siccome adesso c'è la direttiva, allora i siti dei pirati audiovisivi che distribuiscono film, telefilm, musica e libri violando il diritto d’autore smetteranno improvvisamente di farlo.

Come andrà a finire non lo sa nessuno. Staremo a vedere. Ma se padri di Internet come Tim Berners-Lee e tanti altri sono contrari, forse dovremmo ascoltarli. Anche perché ci hanno detto più volte che quando la Rete trova un ostacolo, trova anche la maniera di aggirarlo.

Ma se volete una sintesi perfetta di cosa non va in questa direttiva, leggete cosa ha tweetato Luca Sofri in proposito:





Fonti aggiuntive: Cory Doctorow, Gizmodo, EFF, Torrentfreak. Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

MySpace si è perso dodici anni di dati degli utenti. Le gioie del cloud

Questo articolo è il testo del mio podcast settimanale La Rete in tre minuti su @RadioInblu, in onda ogni martedì alle 9:03 e alle 17:03. Questa puntata può essere ascoltata qui.


Domanda a bruciapelo: dove sono le vostre foto di famiglia? Ne avete una copia di scorta, o fate quello che fanno quasi tutti, ossia avete quelle vecchie ammassate in una scatola da qualche parte in casa e quelle recenti nello smartphone? Non per menare gramo, ma avete già pensato cosa fareste se vi si guastasse lo smartphone o lo perdeste? Riuscireste a recuperare tutti i vostri ricordi digitali? Pensateci un momento.

Ormai è diventato normale affidarsi al cloud, ossia all’archiviazione dei propri dati presso un fornitore di servizi, sia per lavoro sia nella sfera privata. Gli smartphone archiviano quasi sempre automaticamente una copia dei dati presso i cloud di Google, se avete un telefonino Android, o di Apple, se avete uno smartphone di questa marca. Ma è importante ricordarsi una regola fondamentale: il cloud è il computer di qualcun altro. E quel qualcun altro non sempre ha a cuore i vostri ricordi più cari quanto li avete voi.

Lo hanno scoperto di recente, con amarezza, gli utenti di MySpace. Per chi non se lo ricorda, MySpace, nato nel 2003, era diventato il social network più popolare nella seconda metà degli anni duemila. Nel 2006 era addirittura più visitato di Google. Aveva centinaia di milioni di utenti e tantissime funzioni all’epoca innovative, come il caricamento di canzoni, e permetteva di elencare ben otto amici speciali nel proprio profilo. Nel 2009 fu travolto, come tanti altri, da Facebook.

Ma MySpace esiste ancora, anche se è quasi dimenticato, e milioni di persone vi hanno depositato i propri dati per anni. Foto, pensieri, ricordi, musica. Sembravano al sicuro, nel cloud. Finché un bel giorno, quei “computer di qualcun altro” hanno avuto un problema. Pochi giorni fa MySpace ha annunciato che a causa di un aggiornamento tecnico non riuscito ha perso irrimediabilmente tutte le foto, i video e i file audio caricati dagli utenti fino al 2015. Dodici anni di dati. Si stima che solo le canzoni perdute siano circa cinquanta milioni.

MySpace ha chiesto scusa per il disagio, come si dice sempre in questi casi, e ha consigliato agli utenti di ricorrere alle copie di scorta personali per recuperare i propri dati. La cosa suona parecchio ironica, visto che a quanto pare MySpace non aveva pensato di approntare una copia di scorta dei dati dei clienti prima di imbarcarsi nell’aggiornamento poi fallito.

La vicenda ha messo in luce uno dei limiti del cloud: certo, è meglio di niente, e ci sono fornitori di servizi cloud estremamente professionali e affidabili, ma alla fine se depositiamo i nostri dati nel computer di qualcun altro quei dati dipendono dalla competenza e dalle decisioni di quel qualcun altro.

Il consiglio degli esperti è quindi di usare il cloud come deposito facilmente accessibile, ma di avere comunque una copia personale, locale, dei propri dati. Spesso è sufficiente un buon disco rigido, scollegato da Internet, al sicuro da aggiornamenti tecnici mal riusciti e da eventuali virus e attacchi informatici. Magari protetto da una password e depositato a casa di un amico fidato. Pensateci.


2019/03/26 20:20. Cracked.com segnala che questa non è la prima purga drastica dei contenuti di Myspace: una perdita analoga di dati era già avvenuta nel 2013.

2019/03/22

Puntata del Disinformatico RSI del 2019/03/22

È disponibile lo streaming audio della puntata del 22 marzo del Disinformatico della Radiotelevisione Svizzera.

La versione podcast solo audio (senza canzoni, circa 20 minuti) è scaricabile da questa sezione del sito RSI (link diretto alla puntata) oppure qui su iTunes (per dispositivi compatibili) e tramite le app RSI (iOS/Android); questa settimana non c’è la versione video.

Buon ascolto!

Pasty.link: come scaricare copie dei video in streaming

Se vi è mai capitato di vedere un video in streaming di cui vorreste tenere una copia permanente, per esempio per poterlo rivedere in seguito o perché temete che venga cancellato o modificato, un lettore (cloppj) mi segnala un sito molto utile a questo scopo: è Pasty.link.

Usarlo è abbastanza semplice: si copia il link del video in streaming che volete conservare e lo si incolla nella casella di Pasty.link. Il sito restituisce un link sul quale è sufficiente fare un clic destro (se siete a un computer) per scaricare il video.

Per esempio, se volete conservare per sempre una copia di questa perla del TG5, secondo la cui redazione (specificamente Susanna Galeazzi, autrice del servizio) la Luna dista “centinaia di migliaia di anni luce dal nostro pianeta”, andata in onda il 21 marzo scorso (ieri), potete visitare il sito del TG5, che ospita uno streaming del servizio, copiarne il link e incollarlo in Pasty.link. Otterrete questa schermata:






A questo punto vi basta un clic destro per salvare il video sul vostro computer.


Facebook ha tenuto centinaia di milioni di password in chiaro. Per anni

Alcune centinaia di milioni di password degli utenti di Facebook sono state archiviate in chiaro, in formato cercabile da parte di oltre ventimila dipendenti dell’azienda, per anni: in alcuni casi fin dal 2012, come segnala l’esperto di sicurezza Brian Krebs.

La falla di sicurezza è stata causata dagli stessi dipendenti di Facebook, che in barba a tutte le buone regole di prudenza hanno scritto delle applicazioni per uso interno che registravano le credenziali degli utenti e le salvavano nei server dell’azienda.

Facebook ha pubblicato un comunicato stampa ammettendo la falla e avvisando che invierà notifiche a “centinaia di milioni di utenti di Facebook Lite, decine di milioni di altri utenti Facebook e decine di migliaia di utenti Instagram”.

Conviene cambiare le proprie password di Facebook e Instagram per sicurezza, anche se non ci sono, al momento, indicazioni che possano far pensare che queste password siano state trafugate o trovate da terzi. Ma non è questo il problema: il problema è che Facebook dimostra ancora una volta di non prestare attenzione alle regole di base della sicurezza informatica.

In un momento in cui Facebook si sta offrendo come intermediario per gli acquisti tramite Instagram, dimostrare di non essere capace di gestire bene una cosa fondamentale come le password non incoraggia certo ad affidarle transazioni che riguardino carte di credito.

Aiuto, la CIA mi vuole arrestare! Ma se pago si sistema tutto. Come no

Qualche giorno fa mi è arrivata da Peggy Nielsen, technical collection officer della CIA, la segnalazione che sono coinvolto come sospettato in un’indagine internazionale contro la pedofilia, che sta per arrivare all’arresto di oltre 2000 persone in 27 paesi. Gli arresti cominceranno l’8 aprile.

Peggy dice che ha allegato vari documenti che attestano la mia colpevolezza, però ha notato che sono “una persona facoltosa che potrebbe preoccuparsi per la sua reputazione” e così si offre di togliermi dalla lista delle persone da arrestare se le spedisco diecimila dollari in bitcoin entro il 27 marzo prossimo.

Naturalmente si tratta di una truffa: Peggy non lavora per la CIA ma è un impostore. Lo si nota dal fatto che la sua mail arriva da un indirizzo, peggynielsen@gov1.cia-govn.cf, che finge di essere quello della CIA ma è della Repubblica Centrafricana. Quindi non c’è nessun arresto imminente che riguarda me o le altre migliaia di persone che hanno ricevuto questa mail. E gli allegati sono fasulli (nel mio caso si tratta semplicemente di immagini del logo della CIA).

Il conto in bitcoin al quale inviare il denaro è al momento vuoto: questo indica che nessuno, finora, è cascato nella trappola. Speriamo che continui così.

Se ricevete questa mail, non vi preoccupate: cancellatela e basta. Soprattutto non pagate.


TikTok, trucchi di sicurezza

Musical.ly, il popolare servizio che permette di creare e pubblicare su Internet brevi video musicali nei quali gli utenti mimano una canzone, adesso si chiama TikTok.

Ha un miliardo di utenti in tutto il mondo e alcuni dei suoi utenti hanno decine di milioni di follower. Ne avevo parlato un annetto fa, ma vale la pena di ritornare sull’argomento ripassando le regole per usare TikTok in modo sicuro e divertirsi.

  • Per prima cosa, il limite di età di 13 anni impostato dai creatori dell’app va rispettato: su TikTok ci sono anche cose non adatte per bambini. Se mentite sulla vostra età e TikTok se ne accorge, il vostro account verrà eliminato.
  • Impostate il vostro account in modo che sia privato, così quello che create sarà visto solo dagli amici. Molti usano TikTok in modo pubblico sperando di diventare famosi, ma le probabilità sono scarse e invece il rischio molto reale è di diventare perseguitati da hater, bulli e altri personaggi poco raccomandabili.
  • Bloccate e filtrate i commenti: si possono vietare certe parole o disabilitare del tutto i commenti. Non affidatevi al giudizio degli sconosciuti.
  • Chattate solo con le persone che conoscete nella vita reale.
  • Non fate video in posti facilmente riconoscibili che possano rivelare dove siete.
  • Ricordatevi che un video messo su Internet ci resterà per sempre: una cosa che adesso trovate divertente potrebbe tornare a perseguitarvi in futuro. Pensate prima di postare.
  • Se vedete su TikTok qualcosa che secondo voi non ci dovrebbe stare, segnalatelo e TikTok provvederà a valutarlo ed eliminarlo.
Per i genitori, segnalo che è possibile fare acquisti tramite l’app e che quindi è opportuno attivare i controlli parentali per evitare truffe e acquisti indesiderati.


Fonte: BBC.

Torna la truffa dell’amico che chiede aiuto per un concorso, stavolta con Swisscom

Se un amico vi contatta tramite un social network e vi chiede un aiuto per partecipare a un concorso, fate molta attenzione: c’è il rischio che sia una trappola di un truffatore.

Da un’ascoltatrice del Disinformatico radiofonico che abita a Zurigo mi arriva la segnalazione di un raggiro che l‘ha colpita. La chiamerò Anna per chiarezza, ma non è il suo vero nome.

Anna ha ricevuto su Instagram la richiesta di amicizia di un’amica e l’ha accettata, pensando che l’amica l’avesse cancellata per sbaglio. L’amica le ha poi chiesto il numero di cellulare, e Anna gliel’ha dato immaginando che l’amica avesse avuto un problema con il telefonino.

A questo punto l’amica ha mandato ad Anna un messaggio privato su Instagram, chiedendo ad Anna di aiutarla per un concorso. Anna avrebbe semplicemente ricevuto sul proprio telefonino un codice e avrebbe dovuto inoltrarlo all’amica. Tutto qui: un favore semplice da fare a un’amica. Ma quando l’ha fatto, Anna ha ricevuto da Swisscom un messaggio che la ringraziava per aver speso 200 franchi su Natel Pay.

Come funziona questo raggiro costoso? In realtà l’amica era un impostore: era un truffatore che aveva creato una copia del profilo dell’amica su un social network e poi aveva contattato gli amici del profilo clonato. L’elenco degli amici social è pubblico, normalmente, per cui è facile procurarselo.

Il truffatore ha chiesto l’amicizia e il numero di telefono alla vittima e poi li ha usati per fare un acquisto online tramite sistemi di pagamento come Natel Pay di Swisscom (o Sunrise Pay in un caso simile che ho segnalato un paio di anni fa), che consentono di fare acquisti online che vengono poi addebitati sulla fattura telefonica o sul credito prepagato. Il truffatore ha immesso in Natel Pay il numero di telefono della vittima.

Per evitare frodi, questi acquisti sono protetti da un PIN, che viene mandato al numero di telefono immesso in Natel Pay, ossia in questo caso al telefonino di Anna, la vittima. Anna, pensando che si tratti di un’amica, gira il PIN inconsapevolmente al truffatore, che quindi fa l’acquisto e lo addebita alla vittima.

L’acquisto è costituito spesso da carte iTunes o altra merce digitale facilmente rivendibile in forma anonima.

Difendersi da questa truffa, che fa leva sulla psicologia e sulla fiducia naturale che abbiamo verso gli amici, non è semplice:
  • diffidate degli amici che vi chiedono di mandare loro dei PIN o codici;
  • controllate le identità di chi vi chiede amicizia e non accettate amicizie non verificate
  • leggete attentamente i messaggi che vi arrivano: il PIN viene infatti inviato in un messaggio che contiene l’avvertenza di non dare il codice a nessuno e avvisa che verrà addebitato un acquisto (ma ad Anna il messaggio è arrivato in inglese e lei, come è normale, si è fidata della presunta amica)

Fare prevenzione, però, è possibile e facile:
  • La possibilità di fare acquisti tramite fattura o credito è attiva automaticamente per tutti gli utenti, ma si può disabilitare preventivamente tramite l’apposita pagina di Swisscom.
  • Parlate di questa tecnica di truffa agli amici, ai famigliari e ai figli per metterli in guardia: mai dare a nessuno un PIN. Neanche agli amici.

Se invece la truffa è già avvenuta, non disperate: Anna, con molta difficoltà, ha raggiunto la persona giusta del servizio clienti Swisscom, che le ha detto che l’addebito verrà risolto nella prossima fattura se Anna sporge denuncia in polizia.

2019/03/19

Christchurch: social network manipolati dal terrorismo, ma anche suoi istigatori

Questo articolo è il testo del mio podcast settimanale La Rete in tre minuti su @RadioInblu, in onda ogni martedì alle 9:03 e alle 17:03.


In risposta all’attentato terroristico che ha ucciso decine di persone inermi in due moschee di Christchurch, in Nuova Zelanda, Facebook ha annunciato di aver rimosso circa un milione e mezzo di copie del video trasmesso sul social network in diretta dal terrorista durante l’attacco e di averne bloccate un milione e duecentomila già all’istante del caricamento.

Sono cifre che possono sembrare un successo, ma in realtà rivelano che ben trecentomila copie del video non sono state bloccate preventivamente e sono finite online.

E non va dimenticato che sono stati proprio i social network (non solo Facebook ma anche Youtube) a rendere possibile una diffusione così enorme, mettendo a disposizione di chiunque, gratuitamente, la possibilità di pubblicare qualunque video in diretta e di disseminarlo a milioni di persone, senza pensare agli abusi orrendi ai quali si presta questa possibilità. E sono loro a guadagnare miliardi sulla condivisione di video senza però destinare una parte significativa di quei miliardi alla moderazione efficace dei contenuti di quei video.

Infatti pare contraddittorio che Youtube sia capace di bloccare prontamente un video di una festa di compleanno perché ha in sottofondo una canzone vincolata dal diritto d’autore ma non sia capace di fare altrettanto con un video di terrorismo, il cui audio ha delle caratteristiche altrettanto ben riconoscibili.

Sembra assurdo che i social network, così abili nel profilare tutti i nostri gusti, orientamenti e consumi, non siano capaci di rilevare i deliri di un aspirante terrorista che li sbandiera con tanto di foto.

E pare incredibile che i grandi social network non abbiano le risorse per bloccare seriamente almeno gli hashtag e le parole chiave più ovvie che promuovono l’ideologia e il video dell’attentatore di Christchurch, che infatti continuano a circolare usando lingue e alfabeti diversi dall’inglese. I social network hanno una copertura planetaria, ma a volte sembrano pensare che il mondo finisca ai confini della California.

Certo, filtrare senza eccedere e prestarsi a censure è un problema tecnicamente complesso. Per questo le carenze dei filtri automatici vengono da sempre compensate usando moderatori in carne e ossa. Ma questi moderatori costano e riducono i profitti, per cui i social network non hanno alcun incentivo ad assumerli. Costa meno fare le condoglianze, dire che si sta lavorando per migliorare e fare qualche gesto di facciata, invece di rendersi conto che è il concetto stesso di dare a tutti il potere di pubblicare video in tempo reale a incoraggiare orrori come quello di Christchurch.

Da queste considerazioni è nata una proposta tecnica interessante: eliminare le dirette di massa e introdurre un ritardo di un’oretta prima che qualunque video non giornalistico diventi pubblico. Questo darebbe ai filtri e ai moderatori il tempo di valutarlo ed eventualmente bloccarlo. Il disagio di dover aspettare un pochino prima di poter mostrare a tutti le prodezze del proprio bambino o gattino sarebbe compensato dal fatto che nessun terrorista potrebbe più avere la garanzia che i suoi video di morte finiscano online. Vediamo se i social network avranno il coraggio di provare questa strada.

2019/03/18

Siete vittime di sextortion? La TV svizzera vorrebbe ascoltarvi

La redazione di un programma di approfondimento giornalistico della Radiotelevisione Svizzera con il quale collaboro sta lavorando a un’indagine sulla sextortion, ossia il ricatto basato sul possesso (vero o millantato) di immagini intime della vittima.

Se ve la sentite di raccontare la vostra esperienza, naturalmente con tutte le tutele di riservatezza del caso se le desiderate, scrivetemi a paolo.attivissimo@rsi.ch. Grazie.

L’attracco della Crew Dragon, accelerato: magia del software

Il recente attracco del veicolo spaziale per equipaggi di SpaceX, la Crew Dragon, alla Stazione Spaziale Internazionale è stato spettacolare, ma la lentezza cauta delle manovre fra due oggetti che stanno correndo a 28.000 chilometri l’ora spesso non permette di cogliere quanto ha lavorato il software di manovra e di controllo dell’assetto della capsula.

A differenza delle Dragon precedenti, che si limitavano ad avvicinarsi e poi venivano agguantate da un astronauta tramite il grande braccio robotico della Stazione, le Crew Dragon attraccano direttamente alla Stazione e lo fanno in modo completamente automatico. Le Progress russe (cargo) lo fanno da anni, ma le Soyuz con equipaggio usano una procedura manuale.

Qui, invece, c’è una capsula per equipaggi che attracca in modo del tutto automatico, con un comando umano solo in caso di malfunzionamento. Stavolta, essendo il primo volo, l’equipaggio non c’è, ma ci sarà nel prossimo. Buona visione.





Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Il primo lunacomplottista della storia?

Mi è capitato tra le mani un esemplare originale del Corriere della Sera del 21 luglio 1969 (cose che possono capitare, qui al Maniero) e mi è caduto l’occhio su questa chicca pubblicata a pagina 4 dell’edizione milanese.

La pagina è infatti intitolata Corriere Milanese e racconta le reazioni della città alla notte straordinaria dell’allunaggio. L’articolo descrive anche la situazione nello Studio 3 della RAI di corso Sempione, includendo anche questo quadretto che avviene poco dopo il contatto con il suolo lunare:

Un signore magro esprime clamorosamente la sua protesta: “Avevano detto che facevano vedere il ragno che atterrava: la verità è che sono tutti eversivi alla Televisione e non hanno voluto farcelo vedere”. Un funzionario spiega che l’allunaggio del “ragno” non l’hanno visto neppure in America. Il signore magro tace ma non sembra convinto.

La sera stessa dell’allunaggio, insomma, c’era già chi straparlava di complotti.

I decenni passano ma i comportamenti umani non cambiano: il complottista, invece di chiedersi se c’è una spiegazione semplice a un fenomeno, se ne inventa una complicatissima che soddisfa la sua visione paranoica del mondo. E quando pacatamente gli viene fornita la spiegazione reale del fenomeno, non si convince lo stesso. Oggi come allora.

Non vi ricorda ogni sciachimista, antivaccinista, complottista undicisettembrino, ufologo, noeuro, signoraggista, paranormalista che avete mai incontrato?

Per i lunacomplottisti che dovessero avventurarsi da queste parti, e per i dubbiosi che volessero finalmente levarsi i dubbi invece di tenerseli, il mio libro Luna? Sì, ci siamo andati! è ora disponibile completamente online, gratuitamente e in versione massicciamente aggiornata. E c’è anche la versione in inglese, Moon Hoax: Debunked!, sempre gratuita, aggiornata e integralmente online. Fatene buon uso.

2019/03/15

Come disinnescare un commento complottista

Poco fa un filocomplottista commentatore ha pensato malauguratamente di postare nei commenti di questo blog un link a un video di un lunacomplottista, regalandogli un po' di visibilità in casa del “nemico”. E lo ha fatto in un post che non c’entra assolutamente nulla con il lunacomplottismo.

Lo sventurato non ha tenuto conto del fatto che i commenti sono editabili dal moderatore. Che sono io. E quindi sono editabili anche i link. Che ho pertanto editato:


Per correttezza ho aggiunto una nota del moderatore che avvisa di non cliccare sul link o di farlo a proprio rischio e pericolo.

Il link porta, naturalmente, a youtube.com/watch?v=dQw4w9. Et voilà, complottista disinnescato.

Certe cose mi vengono istintive e non so resistere.


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Puntata del Disinformatico RSI del 2019/03/15

È disponibile lo streaming audio della puntata del 15 marzo del Disinformatico della Radiotelevisione Svizzera.

La versione podcast solo audio (senza canzoni, circa 20 minuti) è scaricabile da questa sezione del sito RSI (link diretto alla puntata) oppure qui su iTunes (per dispositivi compatibili) e tramite le app RSI (iOS/Android); questa settimana non c’è la versione video.

Buon ascolto!

Chat segrete? Social bloccati da filtri? Basta usare Google Docs

Se pensate che un filtro sulle app di messaggistica (da WhatsApp a Telegram a Snapchat) sia sufficiente a impedire lo scambio nascosto di messaggi online, forse state sottovalutando l’inventiva di un adolescente motivato. The Atlantic segnala infatti una tecnica che consente di chattare eludendo completamente i filtri di controllo parentale o scolastici sulle singole app. Ne parlo qui, pur sapendo di regalare ispirazione a qualcuno, perché credo che sia importante che genitori e docenti siano al corrente di questa tecnica ingegnosa e creativa.

La tecnica è questa: usare Google Docs. Docs viene usato spesso per attività collaborative a scuola, e Google non è quasi mai filtrato, a differenza dei siti dei social network, e così è possibile sfruttare la chat interna di Google Docs per scambiarsi messaggi in classe a insaputa dei docenti, che spesso non sanno neanche che esiste questa funzione di chat.

In alternativa, sempre in Google Docs si può evidenziare una frase o una parola e poi commentarla. La chat viene effettuata tramite questi commenti, magari all’interno di una copia temporanea di un documento sul quale gli studenti devono lavorare, così se qualcuno butta un occhio distrattamente sullo schermo gli sembra di vedere che gli studenti stanno lavorando sul documento. Con un clic sul pulsante Risolvi sparisce tutto.

In alternativa, viene creato un documento Docs condiviso, nel quale ciascuno scrive la propria parte della conversazione, identificandosi per esempio tramite font differenti. Alla fine si elimina il documento e tutto sparisce.

Quanto è realmente privata una conversazione del genere? Dipende. In teoria, Google ha accesso a tutto quello che viene scritto in Docs, per cui non la si può considerare realmente privata. Ma in molti casi si tratta di un livello di riservatezza sufficiente. Prudenza.

Che fine fanno i nostri dati quando cancelliamo un account social?

Da un lettore del Disinformatico, Marco P., arriva una domanda che penso possa incuriosire molti: che fine fanno i nostri dati dopo la cancellazione di un account da un social network? Le nostre informazioni e i nostri metadati rimangono sui server di Facebook, Instagram o Twitter a tempo indeterminato anche dopo l'eliminazione di un account o vengono davvero cancellate senza lasciarne traccia?

Dice Marco: “Chiedo ciò perché dopo i vari scandali che hanno riguardato Facebook negli ultimi anni avevo pensato di cancellare il mio profilo, ma mi chiedo se abbia senso farlo se poi di fatto trattengono i dati degli utenti e considerando che creano persino profili fantasma di gente che non è nemmeno iscritta. Qual è il tuo consiglio?”

In teoria Facebook, come qualunque custode dei nostri dati, è tenuto a cancellarli quando non ne ha più bisogno per gestire i nostri account. Tuttavia la garanzia che i dati spariscano davvero non è assoluta, perché un errore tecnico nella cancellazione può sempre capitare, specialmente in un social network che ha avuto uno sviluppo caotico come Facebook. Ma il problema principale è che i nostri dati social esistono anche altrove: per esempio sui dispositivi degli utenti con i quali li abbiamo condivisi.

C’è anche un altro modo in cui i nostri dati social possono persistere dopo la richiesta di cancellazione: gli scraper. Si tratta di organizzazioni con vari livelli di legalità che usano programmi automatici per raccattare in massa i dati pubblicati dagli utenti nei social network e poi usarli per analisi di mercato oppure per estrarre indirizzi di mail, foto, elenchi di amici o altri dati da sfruttare per attacchi informatici.

Nonostante tutto questo, suggerirei comunque di cancellare: male non fa, e perlomeno riduce l’esposizione di contenuti sfruttabili.

Panico da blackout social

Facebook piange e Telegram ride. Per circa 14 ore Facebook è rimasto inaccessibile in buona parte del mondo. È stato il blackout più lungo nella storia di questo social network. Ora tutto è tornato a posto, ma non si sa cosa sia successo.

Facebook dice (BBC) che si è trattato di un “cambiamento di configurazione di server” che ha “innescato una serie di problemi in cascata” che hanno toccato anche WhatsApp e Instagram. Non c’è stato nessun attacco informatico, secondo l’azienda.

Per contro, Telegram, rivale di WhatsApp, ha aggiunto tre milioni di nuovi utenti nel giro di ventiquattro ore, festeggiando pubblicamente questo incremento. Il distacco fra Telegram e WhatsApp resta comunque grande: i 200 milioni di utenti dell’app di messaggistica di Pavel Durov sembrano tanti finché non si considera che WhatsApp ne ha circa un miliardo e mezzo. Tuttavia l’improvviso balzo indica che molti utenti sono prontissimi a cambiare social network e a portare con sé i propri amici, con un probabile effetto valanga.

Anche gli inserzionisti non sono contenti del blackout, perché hanno pagato Facebook per le proprie campagne pubblicitarie ma nessuno le vede. La sospensione del servizio sarebbe costata alle aziende di Zuckerberg circa 90 milioni di dollari di ricavi mancati. La BBC segnala intanto che Facebook ha perso circa 15 milioni di utenti negli Stati Uniti.

2019/03/14

Come mandare un SMS dalla Casa Bianca e altre truffe telefoniche

Ieri, durante la trasmissione Filo Diretto della Radiotelevisione Svizzera, ho inviato in diretta al conduttore, Enea Zuber, un SMS facendo in modo che il numero del mittente, sul suo telefonino, fosse quello della Casa Bianca (+1(202) 456-1414), con il seguente testo:

Hi Enea, it's Donald here. When are you coming to see me here at the White House for a good hamburger? Bring Charlie as well!

Ovviamente si tratta di un classico spoofing del numero del mittente, effettuato tramite uno dei tanti servizi disponibili online, e in questo esempio volutamente innocuo l’inganno è molto evidente. Ma se il numero di telefonino che ho simulato fosse stato quello di un amico o familiare di Enea presente nella sua rubrica telefonica, sul telefonino del conduttore sarebbe apparso anche il nome di quell’amico o familiare.

Questo rende estremamente credibile una truffa in cui per esempio il truffatore manda alla vittima un SMS spacciandosi per un familiare che è in viaggio all’estero (informazione facile da trovare grazie ai social network) e dice di essere stato derubato di tutto e di non poter pagare l’albergo, per cui ha bisogno che la vittima gli mandi subito dei soldi tramite Western Union. Le coordinate per il trasferimento di denaro sono nell’SMS e sono ovviamente quelle del conto Western Union del truffatore.

Un altro esempio: il truffatore manda un SMS imitando il numero di telefono della banca della vittima, informandola che c’è un grave problema sul suo conto, che risulta vuoto e chiedendo di richiamare l’assistenza clienti al numero indicato nel messaggio. Il numero è ovviamente quello del truffatore, che chiede alla vittima le coordinate del conto e i codici di accesso dicendo che gli servono per una verifica, e il gioco è fatto.

Se le restrizioni regionali ve lo consentono, potete vedere l’esperimento qui (da 4.21 in poi) oppure (senza restrizioni) qui, insieme a molti consigli su come difendersi dalle truffe telefoniche della giurista Katia Schober-Foletti e del giornalista Francesco Lepori.


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

2019/03/12

Puntata del Disinformatico RSI del 2019/03/08

È disponibile lo streaming audio e video della puntata dell’8 marzo del Disinformatico della Radiotelevisione Svizzera.

La versione podcast solo audio (senza canzoni, circa 20 minuti) è scaricabile da questa sezione del sito RSI (link diretto alla puntata) oppure qui su iTunes (per dispositivi compatibili) e tramite le app RSI (iOS/Android); la versione video (canzoni incluse, circa 55 minuti) è nella sezione La radio da guardare del sito della RSI ed è incorporata qui sotto.

Buona visione e buon ascolto!

E-voting svizzero ha problemi di affidabilità: l’analisi tecnica in breve

Secondo la ricerca pubblicata poco fa da Sarah Jamie Lewis, Olivier Pereira e Vanessa Teague (OpenPrivacy, UCLouvain e University of Melbourne), il sistema di voto elettronico svizzero proposto da SwissPost e oggetto di un test pubblico di sicurezza ha delle falle notevoli.

Sarebbe infatti possibile creare una “manipolazione dei voti non rilevabile”: “nel sistema SwissPost, i voti elettronici cifrati devono essere rimescolati per proteggere la riservatezza del singolo voto. Ogni server che rimescola i voti dovrebbe dimostrare che l’insieme di voti in ingresso che ha ricevuto corrisponde esattamente ai voti diversamente cifrati in uscita. Questo ha lo scopo di fornire un equivalente elettronico dell’uso pubblicamente osservabile di un’urna fisica o teca trasparente”.

I ricercatori forniscono “due esempi di come un’autorità che implementasse o amministrasse un server di rimescolamento potrebbe produrre una trascrizione che viene verificata perfettamente mentre in realtà i voti vengono manipolati.”

Aggiungono inoltre che nella loro analisi “nulla suggerisce che questo problema sia stato introdotto intenzionalmente. È totalmente compatibile con un’implementazione ingenua di un protocollo crittografico complesso da parte di persone con buone intenzioni che non hanno una piena comprensione dei suoi assunti di sicurezza e di altri dettagli importanti.” 

In questo flusso di tweet, Sarah Jamie Lewis osserva che SwissPost ha dichiarato che si tratta effettivamente di un difetto e che lo si sapeva sin dal 2017, ma che Scytl (società partner del progetto) non l’aveva corretto. Ora SwissPost ha annunciato la correzione.

Si potrebbe dire che lo scopo del test pubblico del sistema di voto elettronico sia stato parzialmente raggiunto: evidenziare eventuali lacune prima che venga utilizzato. Ma è importante sottolineare che è stato raggiunto grazie al fatto che questi ricercatori non hanno rispettato i paletti inaccettabili di riservatezza proposti dal test, che richiedevano ai partecipanti al test di sottoscrivere un accordo di non pubblicazione salvo approvazione da parte di SwissPost.

La domanda, a questo punto, è come mai questi difetti del software di voto sono stati scoperti e corretti soltanto oggi, dopo anni, e da tre ricercatori esterni che si sono chinati per qualche giorni sulla questione, invece di essere rivelati dalle ripetute verifiche interne di SwissPost e Scytl. E soprattutto quanti altri errori attendono di essere scoperti.


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Internet delle Cose: antifurto “smart” per auto non è affatto smart

Questo articolo può essere ascoltato qui su Radio Inblu.

In informatica, e soprattutto nella sicurezza informatica, ci sono due regole non scritte ma fondamentali. La prima è che la parola “smart”, anche se letteralmente significa “intelligente”, deve essere capita come sinonimo di “vulnerabile”. Far diventare “smart” un oggetto lo fa diventare attaccabile. Un orologio normale non è un rischio di sicurezza: un orologio “smart”, invece, contiene dati e connessioni usabili per esempio per localizzare una persona o sapere quando è sveglia o dorme o è in intimità. I battiti del cuore e i movimenti, registrati da questi dispositivi, sanno essere molto rivelatori.

La seconda regola è che non bisogna mai vantarsi che il proprio prodotto sia “inattaccabile” o “a prova di hacker”, perché farlo è un invito a nozze per qualunque appassionato esperto che abbia voglia di divertirsi a saggiare questa presunta invulnerabilità e far fare al produttore una pessima figura pubblica.

Indovinate cos’è successo quando due aziende che vendono antifurto per auto hanno deciso di violare entrambe queste regole, introducendo un antifurto “smart” e vantandosi che era “a prova di hacker”. I ricercatori si sono scatenati e hanno dimostrato in pochissimo tempo che questi antifurto erano attaccabilissimi e anzi rendevano meno sicura l’auto rispetto agli antifurto non “smart”.

Questi antifurto, distribuiti sotto vari marchi, sono comandabili tramite smartphone e via Internet. Idea interessante, ma realizzata talmente male che tutto quello che doveva fare un aggressore era inviare un indirizzo di mail differente da quello del proprietario nei parametri passati al sito di gestione degli antifurto. Questo gli faceva ricevere un codice di reset o reimpostazione dell’account dell’antifurto e gli permetteva di prendere il controllo di questo account.

Fatto questo, poteva localizzare l’auto tramite GPS, sapere di che marca e modello si tratta (per non perdere tempo con auto che valgono poco), aprirne le serrature e persino avviarne il motore. In uno dei modelli di antifurto “smart” era anche possibile attivare i microfoni di bordo e ascoltare le conversazioni delle persone presenti nell’auto.

Un video dimostrativo, realizzato dalla società di sicurezza Pen Test Partners, mostra tutto questo e aggiunge una chicca finale: l’aggressore fa scattare l’allarme di un’auto in movimento, disorientando il conducente, che accosta, e poi gli spegne il motore, immobilizzando l’auto. Uno scenario perfetto per un’aggressione fisica.


Ma per fortuna il video è realizzato in condizioni controllate e la vittima è un collega consenziente degli esperti di sicurezza, che oltretutto si sono comportati responsabilmente e hanno già provveduto ad allertare con discrezione i fabbricanti, che hanno corretto la falla.

La morale di questa storia è chiara ma frequentemente trascurata: nella corsa verso soluzioni “smart”, che fanno sembrare all’avanguardia un prodotto, ci si dimentica spesso che la sicurezza non si ottiene a colpi di slogan e che ogni funzione in più è un appiglio in più per un aggressore. Conviene quindi adottare soluzioni semplici, con meno effetti speciali e più sostanza reale, e tenere d’occhio le recensioni degli esperti prima di fare qualunque acquisto digitale.


Fonti: The Register, Hot for Security.

2019/03/10

Linkiesta e le auto elettriche: perché tante sciocchezze tecniche?

Ultimo aggiornamento: 2019/03/10 14:30.

Non so se è scoppiata una moda o se si tratta di emulazione o semplicemente di un argomento che giornalisticamente “tira”, ma ultimamente noto molti articoli allarmisti a proposito dei presunti pericoli delle auto elettriche.

Dopo le baggianate pubblicate da Difesaonline, stavolta mi state segnalando un articolo di Linkiesta.it (link intenzionalmente alterato, togliete “togliquesto” dall’URL) a firma di Marco Bentivogli (che, secondo la segnalazione di un lettore, è questo Marco Bentivogli, segretario generale metalmeccanici FIM CISL, autore anche di questo articolo di critica alle auto elettriche).

Ho salvato qui su Archive.is l’articolo de Linkiesta, così potete leggerlo senza regalare clic e visibilità.

Se volete darmi una mano a correggerne gli errori grossolani, che sono frammisti a considerazioni condivisibili, i commenti sono a vostra disposizione. Comincio io segnalandone un paio di dimensioni epiche.

...per ricaricare un auto elettrica serve una rete che sostenga i 150 kW e per quella rapida almeno i 300kW. Significa che se mettiamo sotto carica una Porsche o una Tesla di ultima generazione a Piazza Barberini oggi mandiamo in black-out elettrico diversi isolati.

Questa è una scempiaggine terroristica che si poteva benissimo evitare. Io carico senza problemi la mia auto elettrica, una piccola Peugeot iOn di seconda mano, anche a casa mia, sul mio contatore domestico. A casa mia posso caricare anche una Tesla. L’ho fatto, giusto per provare, e non è andato in blackout l’isolato.

Una Tesla Model S, sotto carica sulla mia presa domestica, assorbe 11 kW. La presa è da 400 V, ma il display indica 230 V perché visualizza la tensione fra fase e neutro, mentre i 400 V sono fra fase e fase. I dettagli sono su Fuori di Tesla.


Anche in Italia conosco proprietari di auto elettriche che caricano tranquillamente di notte, sul normale contatore domestico, senza causare blackout condominiali.

Infatti non è vero che “serve una rete che sostenga i 150 kW e per quella rapida almeno i 300kW.” Nessuna auto elettrica attualmente in commercio carica a 300 kW, tanto per cominciare, e comunque 150 kW è un valore necessario soltanto per le cariche ultrarapide, che sono una situazione rara e occasionale. La maggior parte delle auto elettriche oggi in circolazione non è neanche in grado di accettare 150 kW.

Normalmente un‘auto elettrica si carica con calma, durante la notte o nelle ore di sosta, impegnando pochi kW (la mia iOn, per esempio, non assorbe mai più di 2,3 kW sulla presa domestica). La carica ultrarapida serve soltanto durante i viaggi. E ovviamente le colonnine con questa potenza sono installate non da imbecilli che tirano una prolunga, ma da specialisti che dimensionano gli impianti in modo da non mandare “in black-out elettrico diversi isolati.”

Questo, per esempio, è il Supercharger (fino a 120 kW per auto) del Monte Ceneri, in Svizzera, in una foto che ho scattato ieri. Funziona e non ci sono blackout.



E questa è invece la stazione di ricarica gratuita dell’Ikea di Grancia, vicino a Lugano: sotto carica contemporaneamente una Tesla, la mia piccola iOn e (credo) una Zoe. Nessun blackout anche qui.



Simpatica anche quest’affermazione:

Non è la prima volta che sollecitiamo, prima la Fiat e poi la Fca a investire sulla nuova mobilità e su questo è evidente il nostro dissenso sui ritardi che la strategia di Marchionne su questo tema ha generato. Ma dal 29 novembre siamo riusciti a far cambiare strada al gruppo.

Avete letto bene. Linkiesta (o Bentivogli, come rappresentante del sindacato) si prende il merito di aver fatto cambiare la politica aziendale di un’intera casa automobilistica. Poteri forti, George Soros, fatevi da parte.

Come dimostrato da ricercatori italiani nel 2004, bastano 3 sigarette fumate in un box per generare 10 volte più PM10 di un motore diesel Euro 3 in 30 min.

Chi siano questi ricercatori italiani non si sa: peccato non includere un link alla loro ricerca. Siamo su Internet, suvvia, le fonti si possono anche citare. Tim Berners-Lee ha inventato i link apposta. Ma a parte questo, il paragone è insensato e tende a far sembrare trascurabile l’inquinamento prodotto da un motore diesel.

È insensato perché io posso anche scegliere di non essere così stupido da fumare tre sigarette in un box, ma non posso scegliere di non respirare l’aria che c’è per strada. E chiunque voglia asserire che un diesel Euro 3 acceso in un box sigillato è meno pericoloso di tre sigarette è pregato di dimostrarlo concretamente. Preferibilmente con Vigili del Fuoco e ambulanza pronto a soccorrerlo.

C’è poi da affrontare il tema della standardizzazione delle tecnologie di ricarica che richiederebbe di essere affrontata almeno a livello europeo.

Non è vero: come notato nei commenti qui sotto, a livello europeo le tecnologie di ricarica sono già standardizzate intorno a due tipi di connettore: il Tipo 2 per le auto che caricano in corrente alternata e il CCS Combo 2 per quelle che caricano in corrente continua.

Per il resto, l’articolo dice cose abbastanza sensate: per esempio, dice che non basta adottare le auto elettriche per risolvere il problema dell’inquinamento, visto che anche i riscaldamenti domestici antiquati sono un fattore molto importante nella generazione di emissioni inquinanti. Verissimo. Ma non siamo mica obbligati a fare una sola cosa per volta, come sembra suggerire l’articolo.

Non è che dobbiamo prima aspettare che siano sistemati tutti i riscaldamenti per poi passare alle auto elettriche. Possiamo fare le due cose insieme, cimentarci col problema su due fronti. Questa storia di “prima di fare X dobbiamo fare Y” suona molto come una classica scusa per non fare niente.

Chi può permettersi l’auto elettrica, di fatto, toglie dalla strada un’auto inquinante e rumorosa. Chi può cambiare riscaldamento in favore di un impianto meno inquinante riduce le emissioni per tutti. Scusate se è poco.

Scrivere “L’inquinamento delle auto a combustione è minimo rispetto a quello dei riscaldamenti: finiamola, quindi, con le mode” significa incoraggiare a ignorare il problema. Significa che chi ha i soldi per comprarsi un’auto elettrica comprerà invece un altro mega-SUV inquinante, usando come alibi dichiarazioni come quelle de Linkiesta.

Proviamo a fare meno terrorismo e più concretezza. Altrimenti, oltre all’aria inquinata, ci troveremo assediati dall’aria fritta.


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

2019/03/08

Paper.io è pericoloso? No, ma è meglio conoscerlo bene

Da una lettrice, Pascale, ricevo una richiesta a proposito di Paper.io2, successore di Paper.io, un gioco molto popolare per smartphone (qui su Google Play).

Si tratta di un gioco in sé innocuo come concezione: non ci sono spargimenti di sangue o altre situazioni di violenza ed è estremamente astratto, ma allora come mai viene classificato come “rara e/o moderata violenza”? È solo questione di classificazione prudenziale: nel dubbio, i classificatori scelgono una categoria superiore a quella che potrebbero assegnare.

Il gioco in sé non comporta problemi particolari di sicurezza informatica o privacy (anche se durante l’installazione avvisa che raccoglie dati personali, senza specificare quali) e non consente interazioni con altri giocatori.

Tuttavia è concepito per creare dipendenza, per cui va giocato ponendosi dei limiti, e il suo scopo è indurre i giocatori a guardare pubblicità, da cui deriva gran parte del profitto dell'azienda produttrice. Su Gamasutra trovate (in inglese) una sintesi dei trucchi psicologici usati per sedurre i giocatori.

Password svizzere rubate, che fare? Niente panico

Molti utenti si sono preoccupati per la notizia di un nuovo grande archivio di password rubate, denominato Collection #1-5, contenente “almeno 78 conti di parlamentari federali”, quelli di migliaia di impiegati della Confederazione e dei Cantoni, e circa 3 milioni di altri account svizzeri.

Ricevo da Michela una domanda: di recente ha controllato se i suoi indirizzi di mail sono su Haveibeenpwned.com e Breachalarm.com, siti che consentono di sapere se un indirizzo è stato incluso in uno di questi archivi e quindi potrebbe essere stato violato. Quanto sono attendibili questi siti?

I siti in sé sono attendibili e gestiti responsabilmente: ma si basano su dati prodotti da criminali informatici, che non hanno necessariamente una grande attendibilità. Questi criminali, infatti, mirano a far soldi vendendo archivi di milioni di indirizzi, per cui riempiono questi archivi con dati non sempre esatti.

Il fatto che fra gli account trovati in questi archivi ci siano quelli di parlamentari federali o di membri dell'esercito non vuol dire che queste persone si siano fatte rubare i dati o le credenziali di accesso. Vuol dire semplicemente che il loro indirizzo di mail è negli archivi.

Ma per i criminali è facile raccattare gli indirizzi di mail di funzionari pubblici, visto che sono pubblicati sui rispettivi siti istituzionali, e poi abbinarli a qualcosa che somigli a una password ma che non è affatto la vera password dell’account, per gonfiare il numero di credenziali presenti nell’archivio da vendere. Lo so perché un “furto” di password analogo l’ho subito anch’io, e la password che era abbinata al mio account non era mia e non lo era mai stata.

Vale tuttavia la pena di cogliere l’occasione per ripassare e magari migliorare le proprie regole di sicurezza informatica:

  • usando password lunghe
  • usando password differenti per ogni servizio
  • attivando l’autenticazione a due fattori
  • usando un password manager di buona reputazione per gestire tutte queste password

Antibufala: le frasi di Shakespeare sulle donne

La faccio molto, molto breve, perché i colleghi di Bufale un Tanto al Chilo hanno già approfondito la questione qui: in occasione della Giornata Internazionale delle Donne stanno circolando due frasi poetiche attribuite nientemeno che a William Shakespeare.

Per tutte le umiliazioni che ha subito,
per il suo corpo che avete calpestato,
per la bocca che le avete tappato,
per la libertà che le avete negato,
Per tutto questo, in piedi, signori
davanti a una donna

La donna uscì dalla costola dell’uomo,
non dai piedi per essere calpestata,
non dalla testa per essere superiore ma dal lato,
per essere uguale,
sotto il braccio per essere protetta,
accanto al cuore per essere amata.

Come avrete già sospettato dal fatto che ne parlo qui, le frasi non sono affatto di Shakespeare. BUTAC ha tutti i dettagli e anche il nome del probabile vero autore.

Le parole di Internet: shadowban

Praticamente tutti conoscono il significato di ban, con il suo verbo derivato bannare: vuol dire essere estromessi da un forum, da una rete di gioco o da un social network.

Ma il termine shadowban è un po’ meno conosciuto: è una forma di ban nella quale l’utente non viene bandito formalmente da un sito, avvisandolo di questo fatto, ma quello che scrive viene reso silenziosamente invisibile agli altri utenti.

Il risultato è che un utente può essere colpito da uno shadowban senza rendersene conto, perlomeno finché qualcuno non gli chiede che fine ha fatto o come mai non pubblica più nulla.

I complottisti spesso lamentano di essere colpiti da uno shadowban, ossia di essere volutamente nascosti e oscurati dai “poteri forti”, per cui lo shadowban è spesso ritenuto un parto della fantasia di un paranoico, ma in alcuni casi il fenomeno è reale.

Se volete saperne di più, l’apposita pagina di Wikipedia in italiano è un buon punto di partenza.

Molti social network, come Instagram o Twitter, sono stati accusati di praticare lo shadowbanning; Twitter ha negato pubblicamente di adottarlo e ha dichiarato che si tratta di interpretazioni errate, da parte degli utenti, di alcune sue regole interne di moderazione e filtraggio di comportamenti non accettabili.

Se volete provare se il vostro account Twitter è stato shadowbannato (perdonatemi l’orrido neologismo), usate Shadowban.eu: basta immettervi il nome del vostro account Twitter e attendere qualche secondo intanto che Shadowban.eu effettua una serie di test. Cliccando sui risultati di ciascun test si ottiene una breve spiegazione.

Se scoprite di essere shadowbannati, lamentarsi è inutile: è più costruttivo capire quali sono stati i comportamenti che hanno portato a questa situazione ed evitarli in futuro. Non è giusto, secondo molti, ma è così.

A proposito di quell’archivio clienti italiano lasciato online: l’ho segnalato alla Postale

Ultimo aggiornamento: 2019/03/10 9:20.

A fine febbraio ho segnalato il caso di un’azienda italiana, che gestisce prenotazioni online per ristoranti, che aveva lasciato accessibile online quello che sembrava essere un archivio dei dati dei propri clienti (circa 140.000).

L’azienda non ha risposto alle mie segnalazioni private, ma di fatto l’archivio non è più reperibile all’indirizzo IP presso il quale si trovava a disposizione di chiunque. Non mi è arrivata nessuna risposta neanche dal campione di indirizzi di mail dei clienti presenti nell‘archivio. La questione resterà quindi un mistero, e siccome potrebbe trattarsi di un archivio fittizio di prova (anche se mi pare improbabile), non credo che sia corretto fare pubblicamente il nome dell’azienda.

Su Internet ci sono tanti altri archivi di questo genere altrettanto accessibili e vulnerabili; trovarli è facile, usando gli appositi servizi di ricerca (come nello screenshot mostrato qui sopra), che per uno specifico tipo di database mi restituiscono oltre 700 risultati sparsi per il mondo.

Se vi interessa sapere quali sono questi servizi di ricerca, utilissimi anche per verificare la propria sicurezza informatica aziendale (un esempio è qui), ne segnalo alcuni:

  • Shodan.io
  • Binaryedge.io
  • Zoomeye.org
  • Censys.io
  • FoFa.so


Prima che me lo chiediate: consultare questi servizi, dopo aver creato un account, è legale e non costituisce violazione di domicilio informatico, visto che visitate le pagine di questi motori di ricerca e non quelle dei siti contenenti dati vulnerabili. Ma abusare delle informazioni contenute in questi servizi per violare un sistema informatico è palesemente illegale.

Se vi state chiedendo se sia pericoloso mettere a disposizione questi motori di ricerca, la risposta forse sorprendente è no: gli intrusi informatici esperti sanno benissimo come agire anche senza questi servizi. L’esistenza di questi motori consente semmai di facilitare il lavoro agli addetti alla sicurezza delle aziende, che grazie a questi strumenti possono verificare più rapidamente se hanno dati visibili esternamente.


2019/03/08 16:25


Come non detto: poco dopo la pubblicazione iniziale di questo articolo mi è arrivata la segnalazione che un altro database della stessa azienda, con i dati di circa 1000 account, è online, senza password (basta conoscerne l’indirizzo IP) e pubblicamente accessibile in lettura e (presumo) scrittura o cancellazione, presso un indirizzo IP diverso da quello precedente.



Visto che il problema si ripete, ho allertato via mail la Polizia Postale fornendo tutti i dettagli. Sarà così possibile capire se si tratta di un database di clienti reali, messo online senza alcun riguardo per GDPR e protezione dei clienti, o se si tratta di un database di prova.


2019/03/09 13:20


Ho contattato alcuni degli indirizzi di mail presenti nel database e tre di essi hanno risposto: si tratta di indirizzi di ex dipendenti. Uno di loro mi ha telefonato ieri sera ed è riuscito ad allertare gli ex colleghi. A quanto pare il database era concepito per contenere dati fittizi di prova che però erano frammisti anche a dati autentici. Il database è stato rimosso: al suo indirizzo IP non viene più esposta l’interfaccia di gestione.

2019/03/07

Difesaonline.it e “le verità scomode delle auto ecologiche”

Ultimo aggiornamento: 2019/03/07 13:00. Per maggiori informazioni sulle auto elettriche, con le risposte ai dubbi più frequenti, segnalo il mio blog apposito, Fuori di Tesla.

Il sito Difesaonline.it ha deciso, non si sa bene perché, di occuparsi di auto elettriche. E lo ha fatto non con un articolo, ma pubblicando una lettera di un lettore. Un lettore di cui non viene pubblicata la firma ma che dichiara di essere “un professionista del settore”. Di quale settore? Non lo possiamo sapere, perché è anonimo.

Difesaonline decide di dare alla lettera (archiviata qui su Archive.is) un titolo assolutamente sobrio e pacato e per nulla acchiappaclic: “La morte viaggia su auto elettrica: le verità scomode delle auto ecologiche”.

La morte, addirittura. E per illustrare la morte che “viaggia su auto elettrica” mostra incidenti di auto a pistoni.

Infatti basta usare Tineye per scoprire che la foto in testa alla lettera mostra un incidente fra due minivan (non elettrici) avvenuto negli Stati Uniti nel 2016. La seconda foto mostrata nella lettera, invece, è tratta da qui e mostra un vistoso tubo di scappamento. Neanche questa è un’auto elettrica. Cominciamo bene.

A tutti quelli che da un paio di giorni mi chiedono di debunkare queste presunte “verità scomode” ho risposto ricordando appunto che non si tratta di un articolo, ma di una lettera, e per di più anonima. Preferite fidarvi di un anonimo che non ha il coraggio di esporsi, o degli esperti che quotidianamente ci mettono la firma e la faccia?

In ossequio alla Teoria della Montagna di M*, non ho quindi intenzione di perdere tempo a smontare una per una tutte le baggianate scritte in questa lettera, che non solo è anonima, ma è completamente priva di qualunque pezza d’appoggio. Difesaonline.it vi sta chiedendo, insomma, di accettare ciecamente, sulla fiducia, le affermazioni non documentate di un anonimo. Valutate voi se sia il caso.

Segnalo giusto un paio di perle:

...le prese elettriche domestiche solitamente sono limitate ad un carico massimo di 1500 Watt. A 2300W per 8 ore consecutive il rischio di incendio del garage tende a diventare una certezza…

Il “professionista del settore” mi dovrà allora spiegare come mai il mio garage, nel quale carico da un anno la mia auto elettrica, non ha ancora preso fuoco. Come mai? Semplice. Perché non sono così cretino da collegare un apparecchio elettrico a una presa non adatta. Una regola elementare che vale per un tostapane come per una Tesla. Però Difesaonline non ha sentito il bisogno di titolare “La morte viaggia sul pane a fette: le verità scomode dei tostapane”.

E come notano i commenti arrivati dopo la pubblicazione iniziale di questo articolo, la frase dell’anonimo “le prese elettriche domestiche solitamente sono limitate ad un carico massimo di 1500 Watt” è semplicemente falsa. Se fosse vera, sarebbe impossibile usare una lavatrice o un trapano. Se questo è il livello di competenza del “professionista del settore”, non è un buon segno.

La lettera contiene anche sparate come questa:

TIR da 1.500.000 km/anno a veicolo

Faccio il conticino della serva: un milione e mezzo di chilometri l’anno fanno 4109 km al giorno per 365 giorni l’anno. Per fare 4109 km in un giorno, guidando per 24 ore filate, bisogna percorrere 170 chilometri ogni ora senza mai fermarsi. TIR che corrono a 170 all’ora? Se tutti i conti e ragionamenti del “professionista” sono fatti cinofallicamente come questo, siamo a posto.

Lasciamo stare, poi, il fatto che la lettera del “professionista” parta con un lungo discorso su navi e sottomarini. Che cosa c’entri con le auto non si sa, a meno che l’anonimo pensi che abbiamo tutti la Lotus Esprit di 007.



Superata questa prolissa divagazione, finalmente si arriva al dunque: il pericolo mortale sta nel rischio di folgorazione da parte delle batterie delle auto elettriche in caso di incidente.

Stiamo parlando di batterie in grado di accumulare tensioni di circa 400 Volt DC ed erogare correnti fino a 125 Ampère. Tutti sapete cosa succede se mettete due dita nella presa di corrente di casa vostra, dalla quale escono 220V (AC) e al massimo 16 Ampère!

Certo, e siccome lo sappiamo, non mettiamo le dita nella presa di corrente. E se dobbiamo lavorare su componenti in tensione, li isoliamo o ci proteggiamo adeguatamente. È quello che fanno i Vigili del Fuoco.

E chi progetta le auto elettriche, non essendo scemo, predispone sezionatori e fusibili in ciascun modulo della batteria. L’anonimo lo sa, ma sostiene che “il singolo modulo, individualmente, possa costituire un pericolo letale istantaneo.” Prove? Nessuna. Esempi concreti? Zero. Calcoli? Nemmeno l’ombra.

Ma fa niente: bisogna credergli sulla fiducia. I soccorritori, ribadisce l’anonimo, rischiano comunque di essere folgorati, con tanto di lettere tutte maiuscole:

...se c’è stata la rottura dell’involucro della batteria di alta tensione i suoi moduli interni potrebbero essere in corto circuito con la carrozzeria e così UCCIDERE chi entra in contatto con la carrozzeria.

Mentre se c’è stata la rottura di un serbatoio in un’auto a pistoni e ci sono in giro vapori di benzina non succede assolutamente nulla, giusto?



L’anonimo forse non considera che i soccorritori professionisti indossano indumenti protettivi e guanti e scarponi isolanti. Non arrivano a tirarti fuori dall’auto indossando le Crocs e una camicia hawaiana.

Servirebbe inoltre un miracolo di sfiga per far in modo che dei moduli di batterie si rompano catastroficamente senza che scattino i loro fusibili interni e si dispongano (chissà come) proprio in modo da scaricare tensione sulla carrozzeria e poi sui soccorritori.

Come spiega bene questa risposta su Quora, le batterie delle auto elettriche sono composte da tante piccole batterie da circa 4 volt ciascuna, collegate in configurazione mista serie/parallelo. Per prendere una scossa significativa, una persona dovrebbe quindi usare il proprio corpo per chiudere il circuito fra una lunga serie intatta di queste batterie. In altre parole, farlo apposta. Come mettere le dita nella presa.

Nelle auto elettriche ci sono anche cavi sotto tensione. Ma se date un’occhiata alle informazioni per soccorritori di Tesla, per esempio, diventa chiaro che questi cavi sono pochi, protetti e ben localizzati. È quasi impossibile collegare accidentalmente positivo e negativo attraverso il proprio corpo in modo da prendere una scossa.



Certo, questo non impedisce a soccorritori male informati di rifiutarsi di intervenire su un’auto elettrica per paura di essere folgorati, come raccontato qui su Electrocuted.com, ma questo documento della Insurance Institute for Highway Safety del 2016 trova che le auto elettriche “sono più resistenti agli incidenti di quanto lo siano le loro controparti a energia tradizionale”.

Ma l’anonimo preferisce ignorare i fatti e lanciare profezie di sventura:

Con la diffusione di queste auto ci saranno sempre più morti folgorati.

Davvero? Ci sono in circolazione circa due milioni di auto elettriche (dati Statista 2017). Tesla, da sola, nel 2018 ne ha messe circolazione altre 245.000 e spiccioli. Alcune, purtroppo, sono state coinvolte in incidenti violentissimi. Quanti “morti folgorati” ci sono stati? Non me ne risulta neanche uno, né fra i passeggeri né fra i soccorritori. Correggetemi se sbaglio.

La lettera è invece sfacciatamente pro-metano, proposto come se fosse inesauribile e fatto di eterei peti d’unicorno. La realtà è ben diversa: lo dice il CNR, ossia gente che ci mette nome, cognome e qualifica invece di fare l’anonimo che lancia il sasso e nasconde la mano. Lo dice anche questo studio di Transport and Environment, spiegato da Qualenergia.

---

In sintesi: Difesaonline ha pubblicato uno scritto di puro terrorismo mediatico, perfetto per attirare clic (ha già oltre 63.000 visualizzazioni) ma completamente ingannevole, privo di qualunque fonte e socialmente irresponsabile. Voglio sperare che il movente sia semplicemente l’ignoranza e l’incompetenza dell’anonimo che l’ha redatto e della redazione che ha scelto di pubblicarlo.

E vorrei tanto sapere perché un sito dedicato alla difesa militare si sia sentito in dovere di parlare di auto elettriche.


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.