Cerca nel blog

2020/07/31

Puntata del Disinformatico RSI del 2020/07/31

È disponibile la puntata di stamattina del Disinformatico della Radiotelevisione Svizzera, condotta da me insieme a Tiki.

Podcast solo audio: link diretto alla puntata.

Argomenti trattati:

Podcast audio precedenti: archivio sul sito RSI, archivio su iTunes e archivio su TuneIn, archivio su Spotify.

App RSI (iOS/Android): qui.

Video (con musica): è qui sotto.

Archivio dei video precedenti: La radio da guardare sul sito della RSI.

Buona visione e buon ascolto!


Star Trek, i filtri antipirateria della CBS bloccano lo streaming su Youtube. Quello ufficiale della CBS

C’è sempre chi propone di affidare il pattugliamento di Internet a sistemi automatici. Che ci vuole, dicono: basta impostare un filtro e i contenuti indesiderati spariscono.

Ma fra il dire e il fare, soprattutto in informatica, c’è un abisso: quello che sembra facile a parole diventa incredibilmente complicato quando bisogna mettersi a farlo concretamente.

Un esempio perfetto arriva dalla Comic-Con di San Diego, uno dei più grandi raduni di appassionati di fumetti, fantasy e fantascienza e grandissima vetrina per il marketing delle produzioni commerciali del settore dell’intrattenimento. Ma quest’anno il raduno si è svolto esclusivamente online per ovvie ragioni, e quindi gli abituali panel stracolmi di attori sono stati realizzati in videoconferenza e trasmessi in streaming su Youtube. O perlomeno questa era l’intenzione.

Infatti ci si sono messi di mezzo i filtri automatici di YouTube per il rispetto del copyright, voluti dai produttori di contenuti per impedire la diffusione abusiva di film e telefilm. Durante l’apparizione degli attori di Star Trek Discovery, la serie prodotta dalla CBS, è stato fatto un table read: gli attori hanno recitato dal vivo le proprie battute dell’episodio finale della seconda stagione, accompagnati da immagini, musiche ed effetti sonori. Tutto regolarmente autorizzato dalla CBS. Ma dopo una quindicina di minuti è scattato il filtro antipirateria di YouTube e lo streaming della CBS è stato oscurato e interrotto dalla dicitura “Video unavailable - This video contains content from CBS CID, who has blocked it on copyright grounds.” In altre parole, la CBS ha bloccato la CBS accusando se stessa di pirateria.

Lo stesso è successo anche a un altro streaming del Cartoon Network, di proprietà della Turner Broadcasting, che è stato rimosso in seguito a una segnalazione di violazione di copyright da parte della stessa Turner Broadcasting.

Ricordiamocelo la prossima volta che qualcuno propone di attivare filtri automatici.

Il table read integrale di Star Trek è ora disponibile, ma questo non cancella la figuraccia fatta in diretta.



Fonti: Deadline: BoingBoing, Gizmodo, Ars Technica.

Pirati che usano satelliti militari per comunicare e come ascoltarli

Credit: @TrackerIss.

Fra le cose strane del 2020 probabilmente non vi aspettavate di trovare che esistono pirati che prendono il controllo di satelliti militari americani per comunicare abusivamente e che vengono intercettati tramite radio digitali software-defined e tradotti in tempo reale tramite Google Translate.

Questo è un uso decisamente creativo e originale delle risorse tecnologiche di Internet e del digitale in generale, mostrato da un consulente di sicurezza informatica e radioamatore noto su Twitter come @TrackerIss.

Come spiegato in questo video, incorporato qui sotto, esistono dei satelliti della Marina militare statunitense, denominati FLTSATCOM (Fleet Satellite Communications System), lanciati fra il 1978 e il 1989 in orbita geostazionaria e usati per le comunicazioni radio in UHF fra le navi, i sommergibili, gli aerei e le basi su terraferma della Marina USA, oltre che per la rete di comando presidenziale.

Questi satelliti non sono più in uso da parte dei militari da oltre un decennio, ma due di essi funzionano ancora ben oltre la loro data di scadenza operativa e soprattutto non hanno nessuna protezione di accesso: sono sostanzialmente dei ripetitori che ritrasmettono qualunque segnale radio venga inviato verso le loro antenne.


Di conseguenza, è facile usare una piccola antenna e un impianto radio a basso costo per inviare un messaggio tramite questi satelliti, che lo diffonderanno su un’area vastissima. Oggi questa tecnica illegale viene usata soprattutto in Brasile da migliaia di persone, dai camionisti ai criminali a chi vive in località molto isolate, per comunicare gratuitamente su grandi distanze, come racconta Wired.

Questi utenti abusivi sono localizzabili, ma le autorità locali non investono molte risorse nella repressione di questa attività illecita e quindi il sottobosco dei pirati satellitari prospera. Oggi è tecnicamente possibile non solo ascoltare queste conversazioni a migliaia di chilometri di distanza (anche in Europa), ma anche trascriverle e farsele tradurre almeno approssimativamente grazie alle radio SDR (con il software SDRSharp) combinate con il riconoscimento vocale di Google e con i servizi di traduzione automatica di questo motore di ricerca.

Ne potete sentire un campione nel video qui sopra da 3:18 in poi: l’audio è molto disturbato, ma si capisce che è una voce che parla in portoghese. Se conoscete questa lingua, potete provare a decifrare la conversazione. Buon ascolto.

Telecamere IP. Telecamere IP insicure ovunque. Anche su Google

Nella puntata precedente del Disinformatico radiofonico ho parlato delle telecamere IP troppo facilmente accessibili anche a sconosciuti tramite siti come Insecam.org, che è sufficiente visitare per poter vedere le immagini trasmesse in diretta da questi dispositivi. Ma esistono metodi ancora più facili, e vale la pena conoscerli per far capire ai proprietari di queste telecamere che trovarle e anche identificarle con precisione è molto più facile di quello che pensano.

Quando dico “facile”, intendo che basta usare Google.

Ogni telecamera IP visibile, infatti, viene vista anche dai motori di ricerca, dato che le sue immagini vengono presentate come pagine Web, e quindi basta digitare il titolo di queste pagine (che è standard per ogni modello di telecamera) per trovarne intere collezioni. Aggiungendo altri parametri alla ricerca è possibile selezionare ulteriormente regioni geografiche. Queste ricerche si chiamano in gergo google dork. Questi sono alcuni esempi, segnalati dall’informatica Stefanie Proto:

"please visit" intitle:"i-Catcher Console" Copyright "iCode Systems"

intitle:"active webcam page"

inurl:”MultiCameraFrame?Mode=Motion”

intitle:”snc-rz30 home”

allintitle: “Network Camera NetworkCamera”

Per esempio, questa telecamera che riprende un ingresso è addirittura comandabile oltre che osservabile.



È sufficiente invertire l’immagine per leggere le scritte visibili sulle porte a vetri, inquadrate quando si fa muovere la telecamera, e ottenere il numero di telefono e il nome del locale e quindi capire, con una rapida ricerca in Google, che si tratta dell’ingresso di una chiesa a Glenville, a Wichita, in Kansas.



Google Street View ci permette di vederla anche da fuori:


Questo permetterebbe di sorvegliare chi entra e chi esce da questo luogo di culto. I gestori di questa telecamera lo sanno e ne sono contenti?

Gliel'ho chiesto ieri (30 luglio) via mail. Vediamo se rispondono.

“Falò” e gli attacchi informatici bancari

Ieri sera (30 luglio) è andata in onda una puntata di Falò dedicata al fenomeno degli “spalloni digitali”, ossia le persone che riciclano inconsapevolmente denaro rubato: un problema che colpisce anche la Svizzera, nonostante le misure di sicurezza prese dalle banche per proteggere le transazioni online.

In uno dei casi citati, al quale ho collaborato, il denaro (11.400 CHF) era stato rubato dai criminali da un conto corrente e trasferito sul conto corrente dello “spallone” inconsapevole. La puntata è visibile qui sotto.


Ma come fanno i criminali a prendere il controllo dei conti correnti eludendo le protezioni antifrode? L'esperto di sicurezza informatica Oliver Hough ha seguito e raccontato su Twitter un esempio delle tecniche utilizzate, che è meglio conoscere per evitare di esserne gabbati.

Tutto comincia con un SMS che sembra provenire da una banca e avvisa "È stato effettuato un tentativo di pagamento tramite un dispositivo nuovo. Se non sei stato tu, visita Payee-alert[punto]cc/hsbc”.

Se si seguono queste istruzioni (provenienti in realtà dai truffatori), si viene portati a un sito (gestito sempre dai truffatori) che somiglia a quello della banca. La vittima immette le proprie credenziali di accesso in questo sito, e in tempo reale uno dei truffatori prende queste credenziali e le immette nel vero sito della banca prima che scadano.

A questo punto se la banca chiede password o altre verifiche, il truffatore presenta alla vittima delle pagine che richiedono queste informazioni, le intercetta e le immette nel vero sito della banca. Per esempio, spiega Hough, se la banca invia un SMS con un codice di verifica, i truffatori mandano alla vittima una finta pagina in cui immettere il codice.

La vittima crede di interagire con la banca vera e quindi immette quanto richiesto nella pagina finta; il truffatore legge quello che è stato immesso e lo digita nel sito vero della banca. Questo sistema funziona anche con le app di autenticazione e con i vari dispositivi generatori di codici usati da alcune banche.

Il fatto che ci sia un truffatore che segue personalmente e in tempo reale ogni vittima può sembrare incredibile, ma per i truffatori ha molto senso, perché una singola vittima può fruttare decine o centinaia di migliaia di franchi, euro, dollari o altra valuta. Un collega di Hough lo ha verificato immettendo, al posto delle credenziali, delle parole di scherno verso i truffatori e ha ricevuto in risposta una pagina su misura.



La difesa, in casi come questi, è solo la prevenzione: non bisogna mai cliccare su link apparentemente bancari ricevuti via SMS, WhatsApp, mail o altro, ma bisogna visitare manualmente il sito della propria banca oppure lanciare l’app della banca stessa.

Hough è andato oltre: si è procurato il software usato dai truffatori e l’ha installato e configurato in una decina di minuti, notando quanto sia facile da usare. Questo significa che saranno sempre più numerosi i criminali che lo useranno. Meglio essere prudenti e consapevoli.

2020/07/27

Giovedì 30 alle 21:10 parliamo di spalloni digitali alla TV svizzera grazie anche alla vostra missione segreta

A ottobre 2019 avevo pubblicato su questo blog un’enigmatica richiesta rivolta a eventuali lettori a Mosca o dintorni.

Ora posso dirvi di cosa si trattava: un servizio di inchiesta della Radiotelevisione Svizzera sul fenomeno degli “spalloni digitali”: persone che in buona fede rispondono a inserzioni di lavoro e finiscono per diventare riciclatori inconsapevoli di soldi rubati o comunque di provenienza illecita.

Il servizio (teaser qui) verrà trasmesso nel programma Falò giovedì 30 alle 21:10 su RSI La1 e dovrebbe essere visibile in streaming anche dall’estero almeno in differita.

Questa è la presentazione del programma:

MAFIE, HACKER E SPALLONI DIGITALI

Sono i nuovi spalloni nell’era digitale: in gergo li chiamano «money mules» ovvero persone adescate su internet e costrette a riciclare denaro per bande di hacker e la criminalità organizzata. È così che è iniziato l’incubo di Katia Ronchi, un’impiegata di commercio del luganese alla ricerca di un lavoro. La donna ha risposto ad un’offerta di lavoro, apparentemente seria, pubblicata addirittura sul sito della Segreteria di Stato dell’Economia e già pochi giorni dopo l’assunzione ha ritrovato sul suo conto una grossa somma di denaro, da prelevare cash e spedire a Mosca in una busta. Falò ha seguito il flusso del denaro fino in Russia, il paradiso degli hacker.

2020/07/26

Pronta l’edizione aggiornata e impaginata di “Luna? Sì, ci siamo andati!”: PDF gratuito

Visto che ho ripreso in mano, aggiornato e riveduto il mio libro di debunking spaziale Moon Hoax: Debunked! per farlo impaginare, ho fatto lo stesso con la versione italiana, ossia “Luna? Sì, ci siamo andati!”, che è ora disponibile per lo scaricamento gratuito in formato PDF.

Questa versione PDF rispecchia il contenuto sfogliabile online nell’apposito sito allo stato dell’1 luglio 2020, è allineata all’edizione inglese ed è impaginata in formato A4 per valorizzare al massimo le grandi immagini e consentirvi di stamparlo agevolmente.

I link per scaricarlo sono questi (se non funzionano, ritentate più tardi, ci potrebbe essere un po’ di ressa):


Il libro è liberamente stampabile per uso personale (non per rivenderlo). Include anche codici QR che consentono di vedere facilmente i video citati nel testo se si usa un telefonino o un tablet in grado di leggere questi codici.

Come sempre, il PDF non è protetto da sistemi anticopia (DRM) ed è fruibile su qualunque dispositivo e copiabile liberamente secondo la licenza Creative Commons inclusa nel testo.

Se volete diventare donatori ed essere citati nella prossima edizione, seguite questo link per fare una donazione, specificando come volete essere citati. Importante: non usate altri link, altrimenti non saprò che la donazione è per il libro. L’elenco dei donatori nel PDF viene aggiornato ogni qualche mese; quello online viene aggiornato ogni mese.

Se trovate nel libro refusi, errori, passaggi non chiari o se avete suggerimenti, segnalatemeli: ne terrò conto per la prossima edizione.

A tutti i donatori, grazie!

2020/07/24

Sfogatevi gridando in Islanda

È un periodo difficile per tutti: che ne dite di sfogarvi gridando? Pare che sia terapeutico. Ma perché limitarsi a farlo in casa, quando si può avere a disposizione un’intera valle islandese? Non c’è neanche bisogno di andarci di persona, grazie a Internet. Potete mandare il vostro grido liberatorio a un sito, che lo diffonderà per voi.

È la bizzarra ma divertente proposta che arriva dall’ente di promozione turistica dell’isola, Inspired by Iceland.

Visitate il sito Lookslikeyouneediceland.com, cliccate su Tap to scream, date il permesso di accedere temporaneamente al vostro microfono e sfogatevi gridando. Vi verrà indicato il luogo nel quale un grande altoparlante giallo, piazzato all’aperto, diffonderà il vostro grido ad altissimo volume.

Il sito Lookslikeyouneediceland.com è stato registrato a fine aprile 2020. Secondo le sue informative, può essere usato dai 13 anni in su.

Sul sito ci sono anche vari campioni di utenti che hanno approfittato del servizio. Buon divertimento, e gridate responsabilmente, anche perché le condizioni d’uso specificano che se violate un copyright o esclamate qualcosa di diffamatorio siete legalmente perseguibili.

Il vostro Garmin non si sincronizza? Non è colpa vostra, l’azienda è sotto attacco

Ultimo aggiornamento: 2020/07/27 22:40.

Mentre scrivo queste righe il sito della Garmin ospita una dicitura piuttosto inquietante: “We are currently experiencing an outage that affects Garmin.com and Garmin Connect. This outage also affects our call centers, and we are currently unable to receive any calls, emails or online chats. We are working to resolve this issue as quickly as possible and apologize for this inconvenience.”

Il sito è in queste condizioni da almeno mezza giornata (dai commenti mi dicono da ieri mattina, ora europea). Quindi se avete uno smartwatch o un altro dispositivo di quest’azienda e non riuscite a sincronizzarlo, non è colpa vostra: tutti i servizi di sincronizzazione sono fermi. Ci sono alcuni workaround per i più impazienti.

Secondo le informazioni raccolte da ZDNet, la Garmin è stata colpita da un attacco di ransomware e prevede di restare in queste condizioni per alcuni giorni mentre procede al ripristino dei propri sistemi, anche se ufficialmente l’azienda parla di un generico “outage” (guasto o interruzione).

Il problema non è banale, perché oltre ai vari appassionati di fitness che usano i suoi prodotti ci sono anche molte aziende che usano il servizio Garmin Connect per coordinare le proprie flotte e la propria logistica.

Sono infatti bloccati anche i suoi sistemi di navigazione aerea, senza i cui aggiornamenti molti piloti non possono volare legalmente. Anche l’app Garmin Pilot di pianificazione dei voli è fuori uso.



Lo stato dei servizi è consultabile in tempo reale presso Connect.garmin.com/status. Al momento è un bagno di sangue.


Garmin ha pubblicato un breve aggiornamento presso Garmin.com/en-US/outage/:

GARMIN OUTAGE

Garmin is currently experiencing an outage that affects Garmin services including Garmin Connect and flyGarmin. As a result of the outage, some features and services across these platforms are unavailable to customers. Additionally, our product support call centers are affected by the outage and as a result, we are currently unable to receive any calls, emails or online chats.

We are working to restore our systems as quickly as possible and apologize for the inconvenience. Additional updates will be provided as they become available.


FREQUENTLY ASKED QUESTIONS

Was any Garmin Connect customer data lost during the outage?

Although Garmin Connect is not accessible during the outage, activity and health and wellness data collected from Garmin devices during the outage is stored on the device and will appear in Garmin Connect once the user syncs their device.

I’m an inReach customer. Can I still use SOS and messaging during the outage?

inReach SOS and messaging remain fully functional and are not impacted by the outage. This includes the MapShare website and email reply page. The status for inReach can be found here.

I have a new Garmin product. When will I be able to pair it with Garmin Connect?

We are working as quickly as possible to restore Garmin Connect functionality. The status of Garmin Connect can be found here.

Was my data impacted as a result of the outage?

Garmin has no indication that this outage has affected your data, including activity, payment or other personal information.


2020/07/26 12:10


Bleepingcomputer scrive di avere conferma che si tratta di un attacco di ransomware e specificamente del ransomware denominato WastedLocker.


2020/07/27 22:40


Un comunicato stampa di Garmin conferma che si è trattato di un “attacco informatico che ha cifrato alcuni dei nostri sistemi” e che il ripristino dei sistemi colpiti è in corso. Questa è la parte saliente del comunicato:

OLATHE, Kan.--()--Garmin Ltd. (NASDAQ: GRMN), today announced it was the victim of a cyber attack that encrypted some of our systems on July 23, 2020. As a result, many of our online services were interrupted including website functions, customer support, customer facing applications, and company communications. We immediately began to assess the nature of the attack and started remediation. We have no indication that any customer data, including payment information from Garmin Pay™, was accessed, lost or stolen. Additionally, the functionality of Garmin products was not affected, other than the ability to access online services.
Affected systems are being restored and we expect to return to normal operation over the next few days. We do not expect any material impact to our operations or financial results because of this outage. As our affected systems are restored, we expect some delays as the backlog of information is being processed. We are grateful for our customers’ patience and understanding during this incident and look forward to continuing to provide the exceptional customer service and support that has been our hallmark and tradition.


2020/07/30 22:50


Secondo quanto riportato da Sky News, Garmin avrebbe ottenuto una chiave di decrittazione dei propri dati. Di solito questo significa che l’azienda ha trovato il modo di far arrivare il riscatto ai criminali informatici; meno frequentemente, significa che gli esperti informatici che aiutano l’azienda hanno trovato un modo per calcolare questa chiave.

Telecamere IP. Telecamere IP insicure ovunque

Le telecamere IP o webcam sono diffusissime ma moltissimi utenti si ostinano a installarle senza cambiarne le password predefinite o addirittura senza impostare una password. Il risultato è che online si trovano migliaia di queste telecamere le cui immagini possono essere viste in diretta da chiunque, con tutte le conseguenze del caso.

Alcuni siti, come il classico Insecam.org, catalogano queste telecamere pubblicamente accessibili (e in molti casi comandabili) per area geografica (in maniera molto imprecisa), per marca e per tema delle immagini mostrate.



Insecam sottolinea che queste telecamere non sono state “hackerate”: sono pubblicamente accessibili, anche se forse i proprietari non se ne rendono conto. Le FAQ di Insecam spiegano inoltre quanto è facile usare semplicemente Google per trovare queste telecamere aperte: non è necessaria alcuna particolare abilità informatica, per cui se avete una di queste telecamere non pensate (come fanno molti) “ma tanto chi vuoi che perda tempo a cercare e trovare proprio la mia”, perché il tempo necessario è zero e i curiosi vanno a caso.

Qualche esempio: l’interno di una chiesa, un rifugio per animali in Svizzera, un ingresso di un edificio, un refettorio (forse) e un campo d’aviazione a Kaegiswil, nel canton Obvaldo. In alcuni casi la località è indicata direttamente sullo schermo; in altri è facilmente deducibile da qualche elemento presente nell’inquadratura (insegne, cartelli, edifici caratteristici); in tutti è facilmente circoscrivibile, dato che i loro indirizzi IP sono visibili e questo permette di risalire al luogo di installazione.

Pensateci bene, insomma, prima di lasciare la vostra webcam visibile al mondo.

Vigilantismo digitale: qualcuno sta sostituendo i payload di Emotet con GIF di James Franco e Tom DeLonge

Ultimo aggiornamento: 2020/07/26 12:05.

Emotet è un malware molto diffuso, usato soprattutto per frodi bancarie da alcuni anni nelle sue varie versioni. La sua incarnazione più recente colpisce via mail, usando un allegato in formato Microsoft Word che la vittima viene indotta ad aprire per curiosità o per altri motivi. Se la vittima abbocca e apre l’allegato, il documento Word chiede di attivare le macro; se la vittima le attiva, l’allegato scarica e installa un programma, che a sua volta scarica il payload, ossia il malware infettante vero e proprio che consente la frode.

Questo payload cambia in continuazione, per evitare di essere riconosciuto dagli antivirus. I criminali sono furbi.

Ma a volte c’è qualcuno più furbo di loro. Emotet scarica il payload da URL pubblici di Internet sempre diversi (spesso siti di terzi, che non sanno di essere sfruttati), e in queste ore qualcuno sta trovando il modo di scoprire questi URL e sostituire rapidamente il loro payload con una GIF dell’attore James Franco o di Tom DeLonge dei Blink-182.





Il risultato è che al posto di scaricare il payload infettante, il malware scarica un’immagine animata innocua e la vittima viene salvata.

Non si sa chi stia facendo quest’azione di vigilantismo digitale, che sta salvando dall’infezione centinaia di siti in tutto il mondo, ma di certo è qualcuno che ha un discreto senso dell’umorismo e ha familiarità con i memi di Internet. Infatti se vi state chiedendo perché siano stati scelti proprio James Franco e Tom DeLonge, il motivo è che quelle loro GIF sono usate spessissimo per indicare sorpresa e perplessità, che è l’emozione che proveranno i criminali quando scopriranno che la loro trappola ha fallito miseramente.

Va chiarito che la mail-esca Emotet ha effetto solo su chi non usa precauzioni basilari, come un antivirus costantemente aggiornato, e soprattutto colpisce le organizzazioni che non insegnano ai propri utenti a non attivare MAI le macro di Word o e a non eseguire mai cose ricevute via Internet in modo inatteso.

Anche i siti terzi che ospitano il malware a propria insaputa hanno una parte di responsabilità perché non hanno preso misure per impedire agli aggressori che usano Emotet di depositare il payload, ma non spetta a loro avvisare gli utenti: sono gli utenti a doversi premunire e difendere.

2020/07/22

Il Delirio del Giorno: “L'organizzazione non richiede sacrifici di sangue”. Ah be’

Non mancare di vedere la luce. siamo consapevoli che ci sono molte persone online che fingono di essere uno dei nostri agenti della fratellanza degli Illuminati. Fai attenzione, non tutti quelli che vedi online qui sono reali. Questa organizzazione è per PACE, WEALTH, POWER e FAME. L'organizzazione non richiede sacrifici di sangue Se interessati, cortesemente Whatsapp: +1(315)*******


Questo è un commento arrivato poco fa a un altro Delirio del Giorno che invitava ad unirsi agli Illuminati nel 2016. Lo stesso commento è stato spedito ad altri due siti/blog di lingua italiana. Sospetto che si tratti di un’esca per una truffa, che seleziona le persone ingenue e manipolabili.

2020/07/20

Avventurette in auto elettrica: da Lugano a La Chaux-de-Fonds e ritorno (655 km)

Ultimo aggiornamento: 2020/07/23 14:30.

Oggi (20 luglio) parto con la Dama del Maniero e una delle nostre figlie per La Chaux-de-Fonds, dove ci fermeremo fino all’indomani. Ci andiamo in auto elettrica per la prima volta: è il debutto nei viaggi lunghi di Tess, la nostra Tesla Model S 70 di seconda mano. Se vi interessa seguirne lo svolgimento in diretta, proverò a trasmettere la nostra posizione e velocità in tempo reale tramite Glympse. Non occorre che installiate nulla, basta che clicchiate su questo link in qualunque browser:

http://glympse.com/!tess001

Non garantisco nulla e non potrò rispondere a segnalazioni di problemi o a commenti fino alla prima sosta o all’arrivo, visto che sarò impegnato con la guida; lancerò Glympse prima di partire.

Dal Maniero a Barbengo (Lugano) a La Chaux ci sono circa 320 km, quasi tutti autostradali, secondo Google Maps. Tess ha circa 330 km di autonomia a velocità autostradali, e in più ci sono da considerare le arrampicate fino al Gottardo (che sta a 1100 m) e poi fino a La Chaux (990 m), per cui chiaramente sarà necessaria qualche tappa per ricaricare. Serve quindi un pochino di pianificazione. Non tanta, visto che la strada e la destinazione sono ben servite da punti di ricarica e ho cavi e adattatori che mi consentono di caricare praticamente ovunque, ma è meglio non partire senza un piano di massima.

Il pianificatore online di Tesla mi propone (usando una Model X Standard Range, che è quella la cui autonomia più si avvicina a quella di Tess), se chiedo andata e ritorno, di fermarmi a caricare a Egerkingen per 60 minuti all’andata, in modo da poter arrivare a La Chaux, parcheggiare Tess ovunque per la notte e poi ripartire per il Maniero facendo una sola tappa di 30 minuti a Beckenried. Però questo è un piano che usa solo le colonnine rapide di Tesla (Supercharger) dislocate lungo il percorso (o nelle sue vicinanze) e non considera l’ipotesi di caricare lentamente una volta giunti a destinazione.

A Better Routeplanner (ABRP), che ho configurato specificamente per Tess, propone invece più dettagliatamente di:
  • partire da Barbengo con il 100% di carica, fare 253 km fino a Kriegstetten, arrivando con il 13% di carica e caricando per 28 minuti fino al 57%;
  • fare 71 km fino a La Chaux, arrivando con il 30%;
  • per il ritorno, fare tappa a Kriegstetten dopo 71 km, arrivando con il 12% e caricando per 19 minuti fino al 44%;
  • fare 100 km fino a Beckenried, arrivando con il 10% e caricando fino al 62% per 35 minuti;
  • fare 155 km per arrivare a Barbengo con il 10%.
ABRP considera le colonnine rapide di tutte le marche ma, come il pianificatore Tesla, non tiene conto della possibilità di ricarica all’arrivo.

Però a La Chaux, a due passi dal luogo dove soggiorneremo, sappiamo grazie a Internet che c’è una colonnina Tipo 2 di Vmotion, alla quale possiamo stare per un massimo di due ore per volta, caricando quindi circa 22 kWh (l’abbiamo trovata sull’app Chargemap). Costa 0,50 CHF/kWh, contro gli 0,30 CHF/kWh dei Supercharger Tesla. Abbiamo anche in programma una visita a un parco locale, accanto al quale c’è un’altra colonnina lenta (11 kW). La città è davvero ben fornita: ci sono anche altri sei punti di ricarica, anche senza limiti di tempo, ma sono tutti un po’ più lontani da dove intendiamo andare.

Potremmo quindi fare giusto una breve ricarica rapida all’andata, quando ci fermiamo comunque per una pausa per pipì, riposo mentale del conducente e spuntino, arrivare a destinazione e poi, grazie alle cariche “lente” locali ripartire con il “serbatoio” già mezzo pieno, facendo un breve rabbocco durante la pausa normale a metà strada. Questo sarà il nostro Piano A, per ridurre le soste durante il viaggio. Se il Piano A non sarà attuabile (per esempio perché le colonnine a destinazione sono già occupate o fuori servizio), arriveremo a destinazione e torneremo a casa lo stesso ma con un po’ di tempo di sosta in più.

---

A titolo di confronto, a marzo 2019 abbiamo fatto lo stesso viaggio con una Opel Mokka a benzina. Siamo partiti da casa alle 9:57, abbiamo fatto pausa fisiologica e scelto i panini per pranzo a Härkingen alle 12:30, dopo 232 km, e siamo ripartiti 18 minuti dopo alle 12:48. Siamo arrivati a La Chaux alle 14:23, mettendoci in tutto 4 ore e 26 minuti per un percorso di 326,4 km alla media di 80,9 km/h. L’indomani siamo ripartiti alle 15:25, abbiamo fatto tappa qualche minuto per fare benzina e siamo arrivati al Maniero alle 19:10, dopo 3 ore e 45 minuti, percorrendo 324,7 km a 92,3 km/h di media. Abbiamo consumato in tutto 38 litri di benzina, al costo di 1,510 CHF/litro, per cui abbiamo speso in tutto 57,51 CHF per fare 651,1 km. Tutti i dati di consumo e percorrenza provengono dal computer di bordo della Mokka; non sono stime.

---


2020/07/20: andata


13:35. Partenza dal Maniero. Ho caricato Tess un po’ per volta durante le notti precedenti (per approfittare della tariffa elettrica notturna ridotta) fino all’80% e poi l’ho caricata lentamente fino al 100%, finendo poco fa, appena prima di partire, per non stressare inutilmente la batteria (le batterie tendono a deteriorarsi leggermente se tenute cariche al 100% a lungo). Ho gestito tutte le operazioni di carica direttamente dal telefonino, senza andare in garage. Comodissimo.


16:47. Dopo tre ore e un quarto di guida, con molto traffico e tante code che ci hanno fatto perdere oltre tre quarti d’ora, ci fermiamo al Supercharger di Kriegstetten per 15 minuti di ricarica rapida (che raggiunge picchi di 90 kW). Tess ci ha pianificato la ricarica e ci ha condotto al Supercharger, che è in un bel paesino ma è dannatamente ben nascosto: è in una stradina a fondo chiuso ed è invisibile dalla strada, senza cartelli o altre indicazioni. Sembrava che stessimo entrando nel cortile di qualcuno, e invece abbiamo trovato un piazzale molto ampio con un numero abbondante di colonnine, come vedete qui sotto.


Per arrivare fin qui abbiamo percorso 257 km, andando sempre alla massima velocità consentita e tenendo l’aria condizionata a 24° per contrastare i 31° all’esterno (e il calore irraggiato dal tetto in vetro, che è bestiale e dovrò far isolare). Siamo arrivati al punto di ricarica con il 22% di batteria e Tess ci ha detto che sarebbe bastata una ricarica di 15 minuti per arrivare con buon margine a destinazione a La Chaux. Alle 17:02, dopo i 15 minuti di carica pianificati, la batteria era al 46% (ho caricato 16 kWh). Raggiungere il Supercharger ha richiesto una deviazione di circa 8 minuti all’andata e al ritorno, per cui la sosta di ricarica ci è costata in tutto mezz’ora.


18:15. Arriviamo a destinazione a La Chaux, dopo 333 km, avendo consumato 64,9 kWh (195 Wh/km). Abbiamo il 18% di batteria.



Come previsto, c'è una colonnina lenta a due passi da dove stiamo: mettiamo Tess sotto carica a 11 kW per due ore (il massimo tempo di sosta consentito; beh, abbiamo sforato di undici minuti per un contrattempo) e carichiamo 23,8 kWh, pagati senza problemi con la tessera Swisscharge che ho da tempo, intanto che ceniamo, smaltiamo un po’ di lavoro e ci facciamo un giro per la città. Certo che con colonnine ovunque così, il tempo di ricarica non pesa: arrivi, parcheggi, appoggi la tessera alla colonnina, attacchi il cavo e te ne vai. Fatto così, ci vuole meno tempo che a far benzina.



Siamo arrivati senza nessun problema tecnico: l’unico disagio è stato il traffico intensissimo, ma quello l’avremmo avuto anche con un’auto tradizionale.

Per il resto, Tess si è comportata benissimo e ho avuto occasione di usare estesamente il suo mantenimento di velocità adattivo (niente Autopilot, per ora): magnifico, ma va abbinato alla modalità “soft” per evitare accelerazioni brusche che consumano energia e fanno venire nausea a chi soffre di mal d’auto, ed è un po’ esitante e confuso quando rileva davanti a noi una moto (la riconosce, ma la “perde di vista” spesso e quindi cerca di accelerare per raggiungere l’auto successiva ma poi si riprende). In coda è un sollievo enorme: quando la coda riparte, l’auto riparte e si ferma da sola, seguendo quella che ci precede. Il mio piede è stato sempre a un passo dal freno, perché non si sa mai, ma è stato decisamente più rilassante. Francamente non sento l’esigenza di un mantenimento di corsia.

Insomma, un viaggio di media lunghezza è fattibile, e senza perdere granché di tempo in ricariche. Avremmo potuto ridurre il tempo di ricarica andando alle colonnine rapide di altri fornitori, che sono situate direttamente nei posti di ristoro sulle autostrade (mentre i Supercharger di Tesla sono vicino alle uscite delle autostrade), ma sono più care e all’andata volevamo sperimentare la capacità di Tess di pianificare le ricariche.

Ora abbiamo il 50% di carica; Tess passa la notte in un posto senza prese di ricarica, ma domani a pranzo faremo un altro rabbocco e ci lanceremo nel viaggio di ritorno. Vi terrò aggiornati: grazie, intanto, di aver seguito fin qui.

---


2020/07/21: ritorno


14:00. Mentre ci gustavamo un ottimo pranzo all’aperto a La Chaux e facevamo alcune commissioni abbiamo lasciato Tess sotto carica per un paio d’ore a un’altra colonnina lenta vicinissima e abbiamo aggiunto 22 kWh, portando la carica al 77%, e poi ci siamo avviati verso il Maniero Digitale.

Stavolta non abbiamo pianificato il viaggio: abbiamo lasciato che Tess gestisse tutto. Tanto abbiamo notato all‘andata che tutti i punti di rifornimento e ristoro lungo l’autostrada sono dotati di colonnine di ricarica rapida (non di Tesla, ma di altri gestori che possiamo comunque usare grazie all’adattatore CCS che ho fatto installare su Tess di recente).

La Dama e io abbiamo improvvisato in cinque minuti una schermatura interna del tetto in vetro usando carta stagnola (o carta alu come la chiamano qui in Canton Ticino) e nastro adesivo di carta per pittori. Esteticamente discutibile, ma molto efficace: a differenza del viaggio di andata, non ho dovuto indossare cappellini e non mi si è cotta la testa.

L’elegantissima schermatura improvvisata del tettuccio, vista dal basso guardando indietro. Funziona anche contro le scie chimiche, i nodi di Hartmann e il 5G, e ci puoi pure avvolgere il formaggio. I due cosi bianchi sono i poggiatesta anteriori.


16:10. Con la complicità di qualche centinaio di metri di dislivello (in discesa) e di una temperatura esterna più mite, abbiamo consumato parecchio meno che all’andata: alle 16:10 siamo arrivati al Supercharger di Beckenried, vicinissimo all’autostrada e consigliato da Tess, dopo 165,5 km, con il 35% di carica, consumando 25,9 kWh (156 Wh/km). Avremmo potuto usare una delle colonnine di altre marche che abbiamo visto lungo la strada, ma sarebbero state più care (ai Supercharger pago 0,3 CHF/kWh).



Il tempo di una visita alla toilette, di un paio di mail urgenti e di un succo di frutta al bar/ristorante davanti al Supercharger e ci è arrivata la notifica di Tess: aveva già caricato al 70% e quindi aveva energia sufficiente per arrivare al Maniero con buon margine. La sosta di carica è durata mezz’ora, ma per colpa nostra, perché Tess era pronta prima che avessimo finito di bere.

Da lì abbiamo percorso altri 154 km, sempre alle massime velocità consentite, e siamo arrivati al Maniero alle 18:30, con il 26% di carica residua, dopo aver consumato 27,5 kWh per quest’ultima tratta. Vicino a casa ho apprezzato di nuovo il particolare piacere del cruise control adattivo durante le code in autostrada, che gestisce automaticamente le fermate e le ripartenze. Il consumo complessivo, da La Chaux al Maniero (322 km) è stato di 53,3 kWh (166 Wh/km).

In sintesi: il primo viaggio lungo è andato molto bene. L’auto è grossa e scomoda in città, ma capientissima e comoda per le lunghe tratte autostradali. Guidarla sulle strade di collina, ricche di curve in mezzo al verde, è stato un piacere inaspettato. Cosa più importante, sono arrivato a casa riposato grazie al silenzio e all’assenza di vibrazioni a bordo.

La morale della storia è che sì, i viaggi lunghi in auto elettrica sono fattibili e piacevoli, a patto di fare un investimento importante a lungo termine e di organizzarsi un po’. Non ho pretese di salvare il mondo; può darsi che non fare rumore e non emettere gas di scarico dia una mano anche a questo, ma lasciamo stare: se è così, è un piacevole effetto collaterale. Quello che è certo è che ci divertiamo un mondo.


---

Questo è un consuntivo dei consumi, costi e dei tempi di ricarica indicati dal computer di bordo per fare questi 655 chilometri:

  • Andata (Maniero-La Chaux): 333 km, 64,9 kWh, 195 Wh/km.
  • Ritorno (La Chaux-Maniero): 322 km, 53,3 kWh, 166 Wh/km.
  • Costi: 51,57 CHF totali. Il “pieno”di circa 70 kWh fatto a casa, di notte, mi è costato poco meno di 12 CHF tasse comprese; la carica rapida al Supercharger di Kriegstetten (16 kWh) è costata 4,80 CHF; la prima carica lenta a La Chaux è costata 14,44 CHF; la seconda carica lenta a La Chaux è costata 13,53 CHF; la carica rapida al Supercharger di Beckenried (23 kWh) è costata 6,90 CHF (e ci è avanzato un 26% di carica per altri viaggi).
  • Tempi dedicati alla ricarica in viaggio: mezz’ora all’andata e mezz’ora al ritorno, incorporate nelle pause di ristoro che avremmo fatto comunque.
  • Tempi dedicati alla ricarica sul posto: 4 ore, durante le quali abbiamo semplicemente parcheggiato l’auto vicino a dove volevamo andare.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

51 anni fa, il primo allunaggio: immagini nuove grazie alle tecnologie digitali


Idea geniale: le immagini della telecamera e della cinepresa che documentarono il primo allunaggio umano fra il 20 e 21 luglio 1969 hanno un’inquadratura fissa e sono a bassa risoluzione. Ma prima di fissarle su quell’inquadratura furono realizzate delle panoramiche della zona.

Oggi, grazie all’elaborazione video digitale, queste panoramiche possono essere riassemblate e abbinate all’inquadratura fissa, creando un effetto straordinario. Sì, sono dei “falsi” ed è importante che sia ben chiaro che si tratta di elaborazioni, ma il risultato è davvero notevole. Un bel modo di celebrare questa ricorrenza.

Meno artefatto, anche se comunque fortemente elaborato digitalmente, è questo breve spezzone di Buzz Aldrin che ispeziona il Modulo Lunare durante il viaggio verso la Luna e viene ripreso contemporaneamente su pellicola 16 mm a colori e in video dalla telecamera a colori di bordo: la ripresa su pellicola è stata interpolata (con qualche artefatto) per portarla dai 6 fotogrammi al secondo dell’originale a 24 fotogrammi al secondo, ed è stata modificata per correggere la distorsione prodotta dall’obiettivo grandangolare. L’audio è quello effettivo di quel momento della missione. Di questo video esiste anche una versione VR.


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

2020/07/19

Avventurette in auto elettrica: primi conticini sui costi di viaggio, domani il primo viaggio lungo

Ieri ho speso 7 euro di energia per fare 256 km in autostrada (Lugano-Pavia-Lugano) con TESS, la mia Tesla Model S 70 usata. Viamichelin mi dice che col diesel ne avrei spesi quasi 24 (più del triplo). Vi quadra? Ho provato a porre la stessa domanda su Twitter e pare di sì. Qui sotto trovate i dati in dettaglio.

Screenshot dal display dell’auto (Trip A è la riga di riferimento):



Ho caricato comodamente TESS di notte in garage, attaccandola alla mia presa domestica, e abbiamo viaggiato in cinque adulti, con l’aria condizionata accesa e fissata su 24°C. Ho sempre mantenuto la velocità appena sotto i limiti di velocità, ossia 120 km/h in autostrada in Svizzera, 130 km/h in Italia e 90 km/h sulla tangenziale di Milano, consumando 46,4 kWh per una media di 181 Wh/km. In teoria, quindi, la batteria da 70 kWh di TESS potrebbe consentirmi circa 386 km in queste condizioni di guida, ma sarebbe un caso estremo e sconsigliabile per non stressare la batteria. Io prudenzialmente stimo 330 km di autonomia pratica, sufficienti per quasi tutti i miei viaggi attuali.

Per chi vuole fare i conticini precisi, il punto di partenza è stato Barbengo (appena fuori Lugano) e il punto di arrivo è stato Travacò Siccomario, dove abitano i miei genitori. Tempo speso in ricariche durante il viaggio: zero. Siamo partiti con TESS carica all’89% e siamo tornati con l’8% di carica residua.

Il costo dell’energia (di provenienza idroelettrica) include IVA, quota di canone e tasse varie del mio fornitore svizzero (AIL).

Il prezzo d’acquisto della Tesla è stato di 35.000 euro (37.300 CHF): è un esemplare usato, con su 80.000 km e con 4 anni di garanzia residua su motore e batteria.

Le emissioni di CO2 sono state, ovviamente, zero.

Per Viamichelin.it ho invece scelto una familiare e ho immesso il prezzo medio del gasolio in Italia indicato oggi da Prezzibenzina.it. Ho scelto quello italiano per facilitare i lettori italiani nel confronto. Se avessi scelto quello svizzero non sarebbe cambiato molto, visto che è leggermente più caro: attualmente è a 1,49 CHF (1,39 euro) al litro.



Notate i 46,3 kg di emissioni di CO2, assenti nell’auto elettrica.

Sembrano insomma grosso modo confermate le mie stime di risparmio sull’energia: con l’auto elettrica spendo un terzo di quello che spendevo prima in carburante.

Domani (lunedì) farò il primo viaggio lungo (nel senso di “oltre l’autonomia di andata e ritorno”) con Tess, per andare a La Chaux-de-Fonds e ritorno: 652 km in tutto, quindi con tappe di ricarica obbligatorie. Ho già un piano A e un piano B, ma è tutto da verificare all’atto pratico. Segnalerò in questo blog come seguire l‘avventuretta in diretta via Glympse, se vi interessa.


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

2020/07/17

Puntata del Disinformatico RSI del 2020/07/17

È venerdì 17, ma non sono superstizioso e quindi sono partito dal Maniero e sono andato agli studi della RSI per condurre la puntata di stamattina del Disinformatico della Radiotelevisione Svizzera insieme ad Angelo Caruso.

Podcast solo audio: link diretto alla puntata.

Argomenti trattati:

Podcast audio precedenti: archivio sul sito RSI, archivio su iTunes e archivio su TuneIn, archivio su Spotify.

App RSI (iOS/Android): qui.

Video (con musica): è qui sotto.

Archivio dei video precedenti: La radio da guardare sul sito della RSI.

Buona visione e buon ascolto!


“Romance scam”: un arresto e due vittime liberate

Le truffe sentimentali, o romance scam, quelle nelle quali uomini e donne credono di aver incontrato online l’anima gemella ma finiscono per essere depredate da impostori, vengono viste da molti come delle trappole per ingenui gestite da dilettanti: il commento tipico di chi ne parla senza averle vissute è “ma chi vuoi che ci caschi? Quelli che le organizzano devono essere disperati”.

Non è affatto così, come raccontano la BBC e la polizia nigeriana: una donna americana è stata salvata dalla prigionia nella quale veniva tenuta da oltre un anno a Lagos, in Nigeria, da un truffatore che l’aveva convinta a raggiungerlo con una falsa promessa di matrimonio dopo un incontro su Facebook.

La donna, arrivata in Nigeria a febbraio 2019, si era sposata a maggio dello stesso anno con il truffatore, che l’aveva poi imprigionata in una camera d’albergo, che aveva preso il controllo delle carte di credito e dei pagamenti della pensione della quarantaseienne, depredandola di 48.000 dollari nel corso di quindici mesi.

Il truffatore aveva inoltre sfruttato la vittima per frodare i conoscenti e colleghi della donna, che è stata liberata grazie a una soffiata giunta alla polizia. L’uomo è stato arrestato e ora è accusato di crimine informatico.

Il caso della donna americana non è l’unico: la polizia nigeriana segnala di aver salvato anche una donna delle Filippine che era finita nello stesso raggiro ed era stata tenuta prigioniera per sei mesi.

La raccomandazione, come sempre, è non fidarsi degli incontri online, anche se vanno avanti a lungo; non condividere informazioni personali e non pubblicarle sui social network, perché verranno usate come appigli dai truffatori; non dare mai a nessuno coordinate bancarie; e non mandare mai soldi a nessuno conosciuto soltanto online.

Perché Apple mette in guardia contro le coperture per webcam sui portatili?

Dopo anni di raccomandazioni da parte degli esperti di sicurezza, che invitano a coprire la webcam del computer per evitare di essere visti e sorvegliati, Apple ha pubblicato un articolo nel quale consiglia di “[n]on chiudere il tuo MacBook, MacBook Air o MacBook Pro con una copertura applicata sulla videocamera”.

L’azienda avvisa che “[c]hiudere il notebook Mac con una copertura sulla videocamera potrebbe danneggiare il display [...] in quanto lo spazio tra il display e la tastiera è progettato per sopportare tolleranze minime. Coprire la videocamera integrata potrebbe anche interferire con il sensore di luce ambientale e impedire il funzionamento di funzioni quali la luminosità automatica e True Tone.”

Chi usa computer fissi o tablet non ha problemi, perché le tolleranze citate da Apple riguardano solo i portatili, e non si tratta comunque di una contrarietà totale alle webcam cover: Apple precisa infatti che se è necessario coprire la webcam, lo si può fare benissimo anche sui laptop, se si usa una copertura che non sia spessa più di un decimo di millimetro (un comune foglio di carta da stampante).

L’azienda specifica inoltre che l’indicatore luminoso si accende sempre quando la webcam viene usata e che si può andare nelle Preferenze di Sistema per verificare quali app la possono usare, ma ovviamente questo indicatore è inutile se si sta già facendo uso della webcam (per esempio per una videoconferenza) e quindi la sua luce è già accesa per altre ragioni.

Una falla vecchia di 17 anni in Windows: turatela

Microsoft ha rilasciato un aggiornamento che risolve una falla, denominata SigRed, presente in Windows da ben 17 anni. Denominata CVE-2020-1350, riguarda principalmente i server, non i computer personali, ma è comunque importante da conoscere per tutti e l’aggiornamento correttivo va installato appena possibile usando la consueta procedura (Windows Update).

La falla riguarda il DNS, o Domain Name System, vale a dire la “rubrica telefonica” di Internet che associa il nome di un sito all’indirizzo IP del server che ospita quel sito, un po’ come la vostra rubrica telefonica associa i nomi dei vostri contatti ai loro numeri telefonici.

Il problema è che la sicurezza del DNS dei computer Windows era difettosa, come ha scoperto la società di sicurezza israeliana Check Point, e questo è importante per tutti noi perché il difetto rende molto più facile per un aggressore dirottarci verso un sito falso, nel quale magari immettiamo dati personali o coordinate di carte di credito.

La falla normalmente sarebbe difficile da sfruttare, perché solitamente i server sono ben protetti e non sono esposti direttamente a Internet e quindi l’aggressore dovrebbe accedere al Wi-Fi aziendale o alla rete cablata dell’azienda bersaglio, ma la pandemia ha imposto a molte aziende dei rapidi cambi di struttura delle proprie reti che potrebbero renderle più vulnerabili.

Il difetto è classificato al massimo livello di criticità (10 su 10), tanto che il Dipartimento per la Sicurezza Interna statunitense ha ordinato alle autorità federali del paese di installare immediatamente l’aggiornamento correttivo, riguarda tutte le versioni di Windows Server dal 2008 a oggi ed è wormable, ossia propagabile automaticamente da un server all’altro, ma la buona notizia è che non è ancora stato sfruttato dagli aggressori. Una volta tanto, le guardie sono in anticipo sui ladri.


Fonti aggiuntive: Sophos, Ars Technica, Wired, Gizmodo.

Antibufala: Wayfair vende mobili che contengono bambini!

Pensavo di aver raccontato la tesi di complotto più bislacca di tutta la mia carriera di debunker la settimana scorsa, parlando di Wind of Change commissionata dalla CIA (no), ma la realtà, o perlomeno quella che i complottisti considerano realtà, non finisce mai di stupire.

Questa settimana è il turno del presunto complotto Wayfair: quello secondo il quale ci sarebbe un negozio di mobili online statunitense, Wayfair, i cui mobili avrebbero tutti nomi di bambini e prezzi stranamente elevati, e che questo significherebbe che al loro interno ci sarebbero nascosti dei bambini rapiti.

La diceria è stata diffusa su Reddit dai seguaci della comunità denominata QAnon, molti dei quali, spiega la specialista Marianna Spring della BBC, “credono a una tesi di complotto dell’estrema destra [statunitense] secondo la quale esisterebbe una cospirazione segreta da parte di un cosiddetto ‘stato sommerso’ contro il presidente Trump e i suoi sostenitori”.

Perché ovviamente se ci fosse una tratta segreta di bambini, verrebbe pubblicizzata tramite un mobilificio online con tanto di nomi dei bambini sui mobili. Non fa una grinza.

L‘azienda ha rimosso temporanemente i prodotti in questione dal proprio sito e sta dando loro nomi nuovi e una descrizione più dettagliata che spiega le ragioni dei loro prezzi, ma non è finita: gli attivisti di QAnon sono tornati alla carica dicendo che immettendo nel motore di ricerca russo Yandex i numeri di riferimento (SKU) di certi mobili della Wayfair comparivano immagini di giovani donne. Ma questo succede immettendo in Yandex qualunque sequenza di numeri a caso. Yandex ha comunque cambiato il funzionamento del proprio sistema in modo da eliminare quest’effetto.

Se state pensando che tutto questo sia il delirio di pochi svitati, tenete presente che la vicenda ha generato 4 milioni e mezzo di interazioni su Instagram e 12.000 post su Facebook, con quasi un milione di engagement. Il paese in cui è diventata più popolare dopo gli Stati Uniti è la Turchia.

2020/07/16

Pronta l’edizione aggiornata e impaginata di “Moon Hoax: Debunked!”: PDF gratuito

È pronta da scaricare la versione impaginata integrale di Moon Hoax: Debunked!, l’edizione inglese dei mio libro di risposta alle tesi di complotto lunare; la trovate presso l’apposito sito Moonhoaxdebunked.com.

È disponibile sia come PDF (ad alta risoluzione e a media risoluzione), sia direttamente online, come pagine Web sfogliabili, presso lo stesso sito.

La versione PDF, impaginata da Gabriella Cordone Lisiero, è stampabile (anche in fronte/retro) e include codici QR e link abbreviati per i contenuti video, in modo da poterla leggere su carta e guardarne i video sul telefonino.

Buona lettura, vostra o dei vostri conoscenti dubbiosi e/o complottisti che capiscono l’inglese.

2020/07/15

Violati moltissimi account Twitter: exchange di criptovalute, Elon Musk, Bill Gates, Uber, Apple e tanti altri

Ultimo aggiornamento: 2020/07/17 06:45.

Poco fa, intorno alle 21:30 italiane del 15 luglio 2020, è stata segnalata una raffica di tweet truffaldini pubblicati da numerosi exchange di criptovalute. Da allora è iniziata quella che vedo ormai definire una twitpocalypse: una violazione di un numero di account, anche di altissimo profilo.

Anche l’account Twitter di Elon Musk e quello di Bill Gates (entrambi verificati) hanno pubblicato lo stesso genere di tweet: un’offerta (falsa) di raddoppiare i bitcoin che vengono mandati alle coordinate indicate nel tweet. Non fatelo: non rivedrete mai più i vostri soldi, perché li avrete inviati ai truffatori.



È un bagno di sangue.







Anche Uber:





Prime congetture sulla causa:




Intanto i truffatori trovano le prime vittime che abboccano: hanno già incassato oltre 22.000 dollari.




A quanto pare Cryptoforhealth punto com, sito citato in molti dei tweet truffaldini, è stato creato oggi:




Anche Apple:



Intanto l’incasso è arrivato a 58.000 dollari:




Violati anche Jeff Bezos e Kanye West:



Ormai gli account violati non si contano più, come potete vedere facendo questa query o (meglio ancora) questa che seleziona solo gli account verificati:

bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh filter:verified



Violato Mike Bloomberg:


Mi arrivano segnalazioni di violazione anche degli account di Warren Buffett e Joe Biden, che però sono tornati subito a posto. Dalle prime informazioni non si tratterebbe di un hackeraggio vero e proprio (furto di password e credenziali) dei singoli account, ma sembra che qualcuno stia abusando del sistema di autorizzazione di Twitter o di un accesso di dipendenti di Twitter.

Barack Obama:



Prime reazioni di Twitter: “We are aware of a security incident impacting accounts on Twitter. We are investigating and taking steps to fix it. We will update everyone shortly.”




Verso mezzanotte Twitter ha iniziato a bloccare qualunque mio tweet (anche di solo testo, anche i DM, anche solo immagini). Poco dopo Twitter ha postato questo: “You may be unable to Tweet or reset your password while we review and address this incident.”


2020/07/16 00:30. Gli account verificati sono stati tutti bloccati: niente DM, solo retweet. Gli account non verificati sono liberi di postare.


2020/07/16: 00:55. Mi sto arrangiando scrivendo i tweet su @AttivissimoLIVE e poi retweetandoli dal mio account principale (@disinformatico).


2020/07/16: 01:35. Twitter ha scritto “We’re continuing to limit the ability to Tweet, reset your password, and some other account functionalities while we look into this. Thanks for your patience.”



Nel frattempo viene ricordato un altro brutto caso di insicurezza di Twitter: “A little over ten years ago: Twitter settled with the FTC as a result of an internal tools breach. Their internal tooling was available directly over the web and accessed through an employee account protected by the password "happiness"”




2020/07/16 09:00. Gli account verificati, compreso il mio, possono di nuovo postare e tutto sembra essere tornato alla normalità. @TwitterSupport ha postato un po’ di informazioni nelle scorse ore: sembra che si sia trattato di un attacco coordinato di social engineering ai danni dei dipendenti di Twitter, ottenendo accesso ai sistemi e agli strumenti dell’azienda.

Most accounts should be able to Tweet again. As we continue working on a fix, this functionality may come and go. We're working to get things back to normal as quickly as possible.
Our investigation is still ongoing but here’s what we know so far:
We detected what we believe to be a coordinated social engineering attack by people who successfully targeted some of our employees with access to internal systems and tools.
We know they used this access to take control of many highly-visible (including verified) accounts and Tweet on their behalf. We’re looking into what other malicious activity they may have conducted or information they may have accessed and will share more here as we have it.
Once we became aware of the incident, we immediately locked down the affected accounts and removed Tweets posted by the attackers
We also limited functionality for a much larger group of accounts, like all verified accounts (even those with no evidence of being compromised), while we continue to fully investigate this.
This was disruptive, but it was an important step to reduce risk. Most functionality has been restored but we may take further actions and will update you if we do.
Internally, we’ve taken significant steps to limit access to internal systems and tools while our investigation is ongoing. More updates to come as our investigation continues.


2020/07/16 21:35. Twitter ha pubblicato un ulteriore aggiornamento informativo:

Here’s an update addressing questions we’ve heard around passwords and account access specifically:
We have no evidence that attackers accessed passwords. Currently, we don’t believe resetting your password is necessary.
Out of an abundance of caution, and as part of our incident response yesterday to protect people’s security, we took the step to lock any accounts that had attempted to change the account’s password during the past 30 days.
As part of the additional security measures we’ve taken, you may not have been able to reset your password. Other than the accounts that are still locked, people should be able to reset their password now.
If your account was locked, this does not necessarily mean we have evidence that the account was compromised or accessed. So far, we believe only a small subset of these locked accounts were compromised, but are still investigating and will inform those who were affected.
We're working to help people regain access to their accounts ASAP if they were proactively locked. This may take additional time since we’re taking extra steps to confirm that we’re granting access to the rightful owner.
We’ve been working around the clock and will continue to provide updates here.


2020/07/17 06:45. Altro aggiornamento da TwitterSupport:

We want to share some more specific updates coming out of the second day of our investigations.
Based on what we know right now, we believe approximately 130 accounts were targeted by the attackers in some way as part of the incident. For a small subset of these accounts, the attackers were able to gain control of the accounts and then send Tweets from those accounts.
We’re working with impacted account owners and will continue to do so over the next several days. We are continuing to assess whether non-public data related to these accounts was compromised, and will provide updates if we determine that occurred.
For all accounts, downloading Your Twitter Data is still disabled while we continue this investigation.
We have also been taking aggressive steps to secure our systems while our investigations are ongoing. We’re still in the process of assessing longer-term steps that we may take and will share more details as soon as we can.
Thank you for your continued patience and understanding while we investigate this incident. We’ll continue to provide updates when we have them.

Intanto l’incasso complessivo degli autori della truffa ammonta all’equivalente di circa 120.000 dollari. Per chi si sta chiedendo come faranno a convertire questa criptovaluta in soldi convenzionali senza farsi identificare, visto che ogni transazione fatta con criptovalute è solitamente pubblica e tracciabile, Engadget ha un articolo che spiega le tecniche di tracciamento e di elusione del tracciamento (tumbling, conversione in altra criptovaluta meno pubblica, come Monero, o gioco d’azzardo).