Stasera sarò ospite in videoconferenza del ciclo di eventi
Indiscienza organizzato dal Collegio Ghislieri di Pavia (ghislieri.it/indiscienza) per una conferenza intitolata
Non è Marte, è Hollywood: bufale e realismo di “The Martian”.
Il film è un atto d’amore verso il metodo scientifico per risolvere i
problemi, ma ha alcuni scivoloni hollywoodiani che è meglio conoscere per non
confondere la fantasia degli sceneggiatori con la realtà delle missioni
spaziali.
Se vi va, dalle 21 la conferenza sarà fruibile in diretta per tutti su Youtube
(embed qui sotto) e su
Facebook.
Per chi la vede in seguito: la conferenza inizia a 7:40. Grazie a tutti per aver seguito e per le belle domande. La questione dell’ossidazione delle rocce marziane nonostante l’assenza di ossigeno nell’atmosfera, citata in una delle domande, ha risposta dettagliata qui e qui. In sintesi, la patina ossidata si sarebbe formata anticamente, quando l’atmosfera marziana conteneva molto più ossigeno.
Devo ancora riprendermi dalla sorpresa. Circolavano alcune indiscrezioni fra
gli addetti ai lavori, ma ora è
ufficiale: la NASA ha scelto la Starship di SpaceX come veicolo per il prossimo
allunaggio umano. Il PDF della NASA con i dettagli tecnici della selezione,
redatto e firmato da Kathy Lueders, direttore del programma spaziale
dell’ente, è
qui. Comincio a raccogliere qui sotto i primi fatti e ragionamenti insieme al
video della conferenza stampa.
---
Chiarisco subito un concetto importante: la Starship non sarà il
veicolo usato dagli astronauti per andare dalla Terra alla Luna. Sarà solo (si
fa per dire) il veicolo che trasporterà i prossimi esseri umani dall’orbita
intorno alla Luna fino alla superficie lunare. Il viaggio dalla Terra fino
all’orbita lunare verrà effettuato con una capsula
Orion, trasportata da un vettore
SLS. Da questa capsula, due dei quattro
astronauti si trasferiranno alla Starship, che sarà preposizionata in orbita
lunare, e useranno la Starship per scendere fino alla superficie della Luna,
vicino al polo sud selenico, e ripartirne una settimana più tardi.
La Starship sarà insomma una sorta di scialuppa, con la particolarità che la
“scialuppa” sarà enormemente più grande della nave che fa il grosso del
viaggio. Ma è comunque un successo sensazionale per SpaceX, che ha battuto i
concorrenti Dynetics e Blue Origin contro i quali era in gara, come avevo
descritto
ad aprile 2020.
Starship a confronto con i veicoli concorrenti (sì, sono in scala). Credit:
John MacNeill.
La NASA darà 2,9 miliardi di dollari a SpaceX per sviluppare la Starship in
versione lunare (denominata HLS o Human Landing System) e per
fornire due voli: il primo sarà senza equipaggio e il secondo avrà a bordo
degli astronauti.
Le date di questi voli non sono ancora state precisate, ma un allunaggio con
equipaggio entro il 2024 è ormai
impensabile
con il budget assegnato alla NASA dal Congresso statunitense per il veicolo di
allunaggio (850 milioni contro i 3,3 miliardi necessari per rispettare la
scadenza).
---
Se avete familiarità con Starship, vi starete probabilmente chiedendo come mai
la NASA ha scelto di far fare il viaggio agli astronauti su un veicolo
separato: perché non usare direttamente la Starship, che tanto deve partire
comunque dalla Terra?
La ragione è al tempo stesso politica e tecnica: politica perché se SpaceX
riesce a far volare Starship fino alla Luna, allora il costosissimo vettore
gigante SLS che la NASA sta sviluppando da anni per fare la stessa cosa non è
più necessario e quindi si perdono tutti i posti di lavoro (e i conseguenti
voti e finanziamenti) sparsi nei vari stati impegnati nella costruzione e nel
collaudo di SLS, per cui politicamente è inaccettabile rinunciare all’SLS (che
è anche protetto da leggi apposite). Tecnica perché la NASA ritiene
(giustamente) che il punto debole della Starship sia la sua necessità di fare
rendez-vous e rifornimento in orbita terrestre, cosa di cui SLS non ha
bisogno.
La Starship lunare, infatti, viene portata in orbita terrestre da un vettore
gigante riutilizzabile Super Heavy di SpaceX, ma per raggiungere la Luna ha
bisogno di essere rifornita mentre è in orbita intorno alla Terra da una
seconda Starship attrezzata come astronave-cisterna, che ha bisogno a
sua volta di un altro vettore Super Heavy (che in teoria potrebbe essere lo
stesso del primo lancio). Sincronizzare due lanci di un vettore gigante è già
un rischio; travasare grandi quantità di propellente mentre il veicolo è nello
spazio è una cosa complicatissima e mai tentata prima.
Lanciando l’equipaggio separatamente si ha il vantaggio che la Starship può
essere lanciata e anche rifornita prima ancora che gli astronauti lascino la
Terra. Se qualcosa va storto nella complessa coreografia di SpaceX, non ci
sono rischi per l’incolumità dell’equipaggio.
---
Va detto che Starship e Super Heavy, come del resto SLS, devono ancora volare
e dimostrare di essere affidabili. Ma la scelta di Starship come veicolo di
discesa e risalita dalla Luna comporta un salto di prestazioni enorme rispetto
alle alternative dei concorrenti e rispetto al passato: Starship può portare
sulla Luna
decine di tonnellate di cargo con una singola missione (contro gli 850
kg di Blue Origin, per esempio). Questo rende pensabile costruire una base
permanente.
Dal
documento tecnico della NASA
firmato da Lueders, che scrive in prima persona, emergono parecchi particolari
interessanti sulla Starship lunare:
dovrebbe avere la capacità di piazzarsi autonomamente in orbita lunare e
restarvi per 100 giorni prima dell’arrivo dell’equipaggio (quiescent lunar orbit operations capability): questo offre ampi margini in caso di problemi e rinvii nel lancio degli
astronauti dalla Terra.
Le sue dimensioni consentono di portare sulla Luna carichi pesanti e
ingombranti impensabili con i veicoli concorrenti.
Un suo aspetto critico è che i suoi finestrini e il suo portello di uscita
ed entrata saranno a oltre 30 metri dal suolo, mentre i concorrenti li
piazzavano a pochi metri.
Avrà propellente in eccesso che le consentirà di raggiungere l’orbita lunare
più rapidamente in caso di ritorno anticipato in emergenza, e sarà in grado
di operare anche con uno o più motori fuori uso.
Avrà due airlock (camere stagne per entrare e uscire).
Potrà ospitare quattro astronauti per soggiorni prolungati senza aver
bisogno di risorse esterne.
È un approccio monolitico e più semplice rispetto alla proposta di Blue
Origin, che prevedeva addirittura tre stadi (discesa, salita e
trasferimento); quella di Dynetics era anch’essa a stadio singolo, ma molto
più piccolo.
La NASA è ben consapevole di aver scommesso su una Starship i cui prototipi
attualmente si schiantano all’atterraggio, ma ha capito che SpaceX sta
risolvendo questi problemi nella fase iniziale dello sviluppo invece di
doverli affrontare più avanti, con costi maggiori, come dovrebbero fare i
concorrenti, che non hanno ancora fatto neanche un volo di test.
L’ente spaziale statunitense sembra aver scelto SpaceX anche perché la sua
proposta era l’unica che rientrasse nel budget assegnato dal Congresso.
La Starship è alta 50 metri, ha un diametro di 9 metri e un peso a vuoto
stimato di circa 120 tonnellate (1320 quando è carica di propellente,
costituito da ossigeno e metano): un colosso rispetto al Modulo Lunare delle
missioni Apollo degli anni Sessanta, che era alto sette metri e pesava a vuoto
circa sette tonnellate.
Questa illustrazione mette a confronto in scala la Starship con quel Modulo
Lunare (credit:
@AlzayaniAR):
La versione lunare della Starship ha inoltre parecchie differenze rispetto
alla versione “standard”:
Non avrà uno scudo termico.
Sarà priva di ali per la planata atmosferica, dato che opererà
esclusivamente nel vuoto dello spazio.
Avrà dei motori supplementari a metà altezza, usati per la fase finale di
allunaggio e per la ripartenza dalla Luna. Questa soluzione consente di
ridurre il rischio che i loro getti scaglino polvere e rocce della
superficie in direzioni pericolose per il veicolo e per eventuali strutture
umane adiacenti. In assenza di atmosfera frenante e in una gravità ridotta,
infatti, polvere e detriti possono coprire distanze enormi.
Avrà un ascensore esterno per calare gli astronauti e l’equipaggiamento fino
alla superficie.
Sarà dotata di un anello di pannelli fotovoltaici per generare energia
elettrica sulla Luna.
---
Che fine farà a questo punto il Gateway, la mini-stazione orbitante che
dovrebbe accogliere gli astronauti prima della discesa verso la Luna? A questo
punto non è chiaro. E a lungo termine anche il destino di SLS sembra molto
incerto.
---
Certo che per SpaceX è una bella soddisfazione. Una startup senza alcuna
tradizione aerospaziale bagna il naso alle aziende tradizionali del settore
due volte. Non solo per questo contratto lunare con la NASA, ma anche perché
SpaceX è già adesso il fornitore commerciale attuale dei voli non russi verso
la Stazione Spaziale Internazionale, mentre la rivale Starliner di Boeing è
ancora in attesa di dimostrare la propria affidabilità.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle
donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere
ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o
altri metodi.
È disponibile il podcast di oggi de Il Disinformatico della Rete Tre
della Radiotelevisione Svizzera, condotto da me insieme a Tiki. Questi sono
gli argomenti trattati, con i link ai rispettivi articoli di approfondimento:
Google ha
annunciato
un aggiornamento molto importante di Google Earth, la sua mappa mondiale 3D:
ora è possibile esplorare un luogo anche nel tempo. L’azienda ha elaborato 24
milioni di fotografie satellitari scattate nel corso di quasi quattro decenni e le ha rese accessibili presso
http://goo.gle/timelapse o
https://g.co/timelapse.
Questo modo di vedere i dati rende chiarissima l’evoluzione del pianeta nel
corso degli ultimi quarant’anni: urbanizzazione, deforestazione,
prosciugamento di grandi laghi, cambiamenti nei corsi dei fiumi, ma anche
riconquiste di porzioni di deserto.
C’è anche una collezione di
circa 800 video
che mostrano la trasformazione, positiva o negativa, di vari luoghi del
pianeta. È particolarmente impressionante l’evoluzione del lago d’Aral situato fra Kazakistan e Uzbekistan: quando ero ragazzino lo si studiava in geografia come quarto lago al mondo, con
una superficie di 68.000 chilometri quadrati (più dell’intera Svizzera, che
occupa 41.285 kmq, o della Pianura Padana, che ne occupa 47.820); oggi è
praticamente scomparso a causa dell’eccessivo sfruttamento delle sue acque.
L’interfaccia è piuttosto semplice: si digita il nome del luogo d’interesse
nella casella di ricerca e poi si aspetta che venga caricata la sequenza
d’immagini del timelapse. Come con il normale Google Earth, anche qui è
possibile sorvolare virtualmente in 3D le località e vederle da varie quote e
angolazioni.
Chi spera di vedere dettagli specifici dell’evoluzione della propria località,
come la costruzione della propria casa o di un quartiere, potrebbe restare
deluso, perché le immagini satellitari pubblicamente disponibili che risalgono
agli anni Ottanta non hanno questo tipo di risoluzione in buona parte del pianeta. Ma la trasformazione
delle grandi aree urbane è quasi sempre esaminabile e sicuramente questa
risorsa informatica offrirà tanti spunti di riflessione. Buon viaggio, nel
tempo e nello spazio.
La settimana scorsa Neuralink, una
delle aziende di Elon Musk, ha pubblicato su Youtube un video che mostra un
macaco che gioca a Pong letteralmente con la forza del pensiero. Si tratta di
una demo impressionante per vari motivi, che va spiegata e capita con
attenzione nelle sue varie implicazioni.
Il video mostra Pager, un macaco di nove anni, che gioca al computer.
Inizialmente muove un joystick per spostare un cursore su uno schermo. Quando
mette il cursore dentro un quadrato colorato che si sposta periodicamente,
riceve una ricompensa: un assaggio di frullato di banana.
Fin qui niente di speciale. Ma a circa metà del video, il joystick viene
staccato: Pager continua ad azionarlo per abitudine, ma il joystick in realtà
non sta facendo nulla. Il cursore si muove lo stesso sullo schermo perché
Pager ha due piccoli sensori della Neuralink impiantati nella corteccia
motoria del suo cervello. Questi sensori leggono circa 2000 neuroni di questa
regione del cervello e ne decodificano i segnali. In pratica, captano le sue
intenzioni di movimento e le trasmettono a un ricevitore che le converte
istantaneamente in movimenti corrispondenti del cursore.
A un certo punto, il joystick viene rimosso completamente e Pager capisce che
può continuare a giocare semplicemente pensando di muovere il braccio.
Diventa talmente bravo da poter appunto giocare a Pong, il videogioco
classico, semplicemente con il pensiero. Il video spiega che Pager non è
obbligato a giocare, ma sceglie di farlo perché gli piace il frullato di
banana.
È tutto confezionato in modo molto rassicurante, ma resta una sperimentazione
su animali, che è comunque eticamente problematica. Pager non ha certo chiesto
di farsi impiantare dei chip nel cervello.
Ars Technica
nota che sperimentazioni analoghe sono già state condotte su persone
tetraplegiche, che sono riuscite a muovere un braccio robotico semplicemente
pensando di farlo. Questo è un esempio che risale a quasi dieci anni fa:
Ma se questa tecnologia esiste da quasi un decennio, come mai non la vediamo in giro? Qui sta la novità reale della demo di Neuralink: la miniaturizzazione e la portabilità.
Finora, infatti, queste interfacce dirette con il cervello richiedevano un ingombrante ricevitore situato vicinissimo alla testa della persona o dell’animale dotato di sensore intracraniale, e una potenza di calcolo notevole per elaborare i segnali provenienti dai neuroni. In alcuni casi c’erano anche delicati cavi e connettori che attraversavano il cranio.
La soluzione presentata da Neuralink, invece, fa a meno del ricevitore e dei connettori: il sensore impiantato trasmette via Bluetooth, quindi anche a distanza di vari metri, ed ha una propria batteria interna, per cui una volta innestato è completamente autosufficiente.
L’altra innovazione significativa è la compressione dei dati prima della trasmissione: duemila neuroni generano un sacco di dati, che vanno decodificati. La decodifica qui avviene nel sensore impiantato, eliminando l’ingombro del computer esterno e semplificando il segnale da trasmettere. Questo rende possibile l’uso di un canale radio a banda relativamente ristretta come il Bluetooth.
A dieci anni di distanza, insomma, la tecnologia sembra più vicina all’uso pratico: la portabilità e la miniaturizzazione fanno una differenza cruciale. Questo accende speranze straordinarie in chiunque abbia difficoltà motorie o anche di comunicazione verbale. Ma ci sono anche applicazioni non mediche, per esempio nell’estensione delle capacità umane. Immaginate, per esempio, di poter scrivere al computer semplicemente pensando di digitare su una tastiera. Oppure di poter fare il magazziniere o il muratore o il soccorritore semplicemente pensando i movimenti che vengono eseguiti da un robot, magari in luoghi pericolosi o inaccessibili.
Presumo inoltre che qualcuno, da qualche parte, stia già pensando alle applicazioni militari di un sistema del genere per migliorare i tempi di reazione di truppe o piloti e lasciare libere le loro mani per altri compiti. E che da qualche altra parte qualcun altro stia già pensando a come intercettare e disturbare questi segnali, e a come proteggerli da queste intercettazioni. Dovremo creare anche leggi sulla privacy dei pensieri. Benvenuti nel Nuovo Mondo.
Flight Simulator di Microsoft è
un software meraviglioso, con un livello di dettaglio e realismo assolutamente
ipnotico per qualunque appassionato di volo. Consente addirittura di avere non
solo le condizioni di luce reali di qualunque luogo del mondo a qualunque ora,
ma anche di ambientare il volo nella situazione meteo effettiva di quel luogo
in quel momento.
Intorno a questo simulatore, che mi sembra riduttivo definire videogioco, è
nata una comunità di utenti che ne snidano le chicche più bizzarre, e c’è
una di queste chicche che ha fatto sorridere molti utenti che conoscono bene la storia di
Microsoft.
L’azienda fondata da Bill Gates, infatti, è diventata famosa per i suoi
prodotti software che funzionano, sì, però hanno avuto una storica tendenza ad
andare in crash nei momenti meno opportuni. Anni fa avevo iniziato una
rubrica dedicata ai crash di Windows
nei luoghi più divertenti (ne trovate altri sotto l’etichetta wincrash). Poi ho smesso per eccesso di segnalazioni.
Il crash di Windows 98 durante la presentazione al pubblico ad aprile
1998, fece epoca: il dimostratore, Chris Capossela, stava presentando alla
platea del COMDEX, una delle più grandi fiere mondiali dell’informatica, la
nuova versione di Windows, sotto l’occhio vigile del suo capo, Bill
Gates.
Windows 98 andò in crash sullo schermo gigante della sala facendo
comparire il mitico Schermo Blu della Morte, fra le incontenibili risate della
platea. Gates salvò la situazione con una battuta:
“È per questo che non lo stiamo ancora distribuendo?”
Insomma, le barzellette sugli inceppamenti di Windows sono un classico della
cultura informatica, ma torno sull’argomento perché mi è stata segnalata una
chicca di Flight Simulator: il tutorial del software che dovrebbe
insegnare a volare porta invece il malcapitato giocatore a schiantarsi sulle
case, perdendo man mano quota mentre la voce dell’istruttore continua
serenamente a spiegare come leggere gli strumenti.
dark laughter at how Microsoft Flight Simulator currently has a bug in the
tutorial that causes the instructor to calmly do a Controlled Flight Into
Terrain while explaining how to read the instruments
pic.twitter.com/Dgfs30G1Mo
Il bello è che l’allievo non può riprendere i comandi e lo schianto avviene proprio quando la calmissima voce femminile
dell’istruttore dice
“E ora, per ultimo ma non meno importante, controlla il tuo
altimetro...”
È, insomma, un crash vero e proprio.
Un Disinformatico e appassionato simmer, Luca, mi ha inviato questo
video che mostra tutto il tutorial, e mi dice che ha verificato
l’esistenza di questo crash nella versione 1.14.6.0 di Flight
Simulator, ma che l’aggiornamento di ieri alla 1.15.7.0 lo ha corretto.
La spada laser di Star Wars, con la sua lama di luce solida, è un’arma
assolutamente iconica, che rimane impressa sin dalla sua prima apparizione.
Averne una è il sogno di ogni nerd.Ma realizzarla
concretamente, anche solo come oggetto di scena, non è stato possibile.
Certo, si possono acquistare ottime spade laser dotate di lama rigida luminosa
e di sensori che generano il suo classico ronzio usando degli accelerometri e
un piccolo altoparlante, e l’effetto è notevole...
... ma la magia finisce quando viene il momento di spegnere o accendere la
spada. Infatti queste repliche hanno una “lama” luminosa fissa, e quindi non
possono in alcun modo emulare l’effetto di accensione e spegnimento che si
vede nei film di Star Wars, che fa “estendere” e “ritrarre” la lama nel
manico.
Chi ha una di queste repliche è costretto ad andare in giro con la “lama”
sempre sporgente, anche quando è spenta, rovinando l’effetto e impedendo la
portabilità che è una caratteristica essenziale delle spade laser: piccole e
compatte quando non sono in uso, si possono appendere alla cintura e portare
in giro comodamente.
Ma la Disney ha presentato di recente una
spada laser con lama luminosa retrattile.
Lo ha fatto, durante una conferenza stampa virtuale, il presidente del reparto
parchi a tema della Disney, Josh D’Amaro. Le riprese video erano vietate, per
cui abbiamo soltanto le descrizioni di chi c’era, e tutte indicano che questa
spada laser si comporta esattamente come quelle nei film. Eccetto, ovviamente,
per la capacità di tranciare qualunque cosa come se fosse burro.
Come sarebbe possibile un effetto del genere? I segugi di Internet hanno
scoperto questo brevetto del 2018, lo
US10065127B1,
“Sword device with retractable, internally illuminated blade”. Oltre
alla descrizione tecnica, in puro brevettese, il documento include delle
figure abbastanza comprensibili, come questa:
L’illusione di scena sarebbe tutto sommato semplice, almeno in termini
concettuali: la “lama” è formata da due lamine semitrasparenti avvolgibili,
che sono arrotolate all’interno dell’impugnatura e che vengono incurvate a U
longitudinalmente quando un motorino le fa uscire dall’impugnatura. Le due
curvature sono contrapposte e formano così una struttura tubolare. Se riuscite
a immaginare due metri a nastro avvolgibili messi l’uno contro l’altro
probabilmente diventa tutto più comprensibile.
It won't melt through metal blast
doors, or cut off your hand, but it does feature an illuminated blade that
will extend and retract at the push of a button.
Next, widen the tapes and increase the curve, allowing them to partially
wrap around each other and form a complete cylinder. Drive this system with
a motor so both reels can be extended and retracted in synch at the push of
a button. Now, you've got a lightsaber!
pic.twitter.com/B3lLMmclDN
Come avevo preannunciato qui, il primo aprile scorso ASIMOF (Associazione Italiana Modelli Fedeli) ha organizzato una serata in diretta Zoom con Andrey Korolëv, nipote di Sergey Korolëv, il Capo Ingegnere artefice dei grandi successi sovietici in campo spaziale, dallo Sputnik alla Vostok di Yuri Gagarin fino al tentativo di raggiungere la Luna con un cosmonauta prima degli Stati Uniti.
La registrazione della serata è ora disponibile online in originale e con la mia traduzione simultanea:
Il programma Patti Chiari della Radiotelevisione Svizzera di lingua
italiana sta cercando testimonianze di persone (studenti, ma anche adulti) che
sono state vittime di cyberbullismo e di altri reati online (adescamenti,
cybertruffe, reati finanziari, pornografia vietata, sexting, eccetera) per un
servizio dedicato a queste tematiche.
È disponibile la tutela dell’anonimato per chi la desidera.
Se potete dare una mano, perché siete vittime o conoscete vittime di queste
situazioni, leggete la
pagina apposita di Patti Chiari
e il
post su Facebook
della trasmissione. Non mandate le vostre testimonianze o segnalazioni a me, per favore: contattate direttamente la redazione del programma.
Il 12 aprile 1961 il sovietico Yuri Gagarin si fece caricare in cima a un
missile militare intercontinentale modificato, all’interno di una capsula
spaziale, la Vostok, realizzata con mille compromessi (perché doveva
fungere anche da satellite spia nella variante
Zenit-2
senza equipaggio), e fece quello che molti all’epoca ritenevano impossibile:
sopravvivere a un volo nello spazio.
Nei 108 minuti della sua singola orbita intorno al globo, il giovanissimo
pilota (27 anni) scrisse una pagina di storia non solo dell’esplorazione
spaziale ma anche della politica. L’“arretrato”, chiusissimo regime sovietico
aveva battuto tutti ed era diventato il primo paese a far volare un essere
umano oltre l’atmosfera.
Oggi sappiamo tanti dettagli della storia di Gagarin, ma all’epoca l’impresa
fu avvolta in una coltre di segretezza quasi surreale: non si sapeva nulla del
suo veicolo spaziale e del suo razzo vettore, non si sapeva neanche dove fosse
di preciso la sua base di partenza, non si sapeva il nome del progettista che
aveva creato il razzo e la capsula o dove fosse la fabbrica che lo realizzava.
L’uomo nella fotografia qui sopra, quello in piedi dietro Gagarin, fu
letteralmente cancellato dalle foto ufficiali (era Grigory Nelyubov). Questa è
la versione della stessa foto diffusa nel 1961 e pubblicata dal Corriere della Sera il 15 aprile dello stesso anno: notate la cancellazione di moltissimi dettagli, compreso il volto di Nelyubov, e il ritocco pesantissimo del volto di Gagarin.
Il governo sovietico, ossessionato dal timore che paesi rivali potessero
carpire le sue tecnologie o capire che in realtà le sue competenze spaziali
erano molto più primitive di quello che la propaganda dava a intendere,
nascondeva tutto.
Le copertine della Domenica del Corriere e di Stampa sera di
quel periodo mostrano chiaramente la differenza fra le fantasie dei cronisti e
la grezza, rudimentale realtà.
La Domenica del Corriere.
La prima pagina di Stampa Sera.
La vera forma della Vostok.
Ne abbiamo parlato stamattina (12 aprile) alla Rete Uno della Radio Svizzera, insieme a
Loris Fedele, storico cronista spaziale della RSI, e Nicola Colotti. Abbiamo
ospitato un’intervista con Samantha Cristoforetti e siamo riusciti a
contattare Andrei Korolev, nipote del Progettista Capo Sergei Korolev, il cui
nome era segreto di stato, per un racconto della sua esperienza come erede e
custode della figura storica del nonno.
Lo streaming (anche video) del programma è
qui
e anche qui sotto:
Per quel che riguarda i segreti del volo di Gagarin, ce ne sono due in
particolare che tuttora sono
misconosciuti.
Il primo è che la sua missione fu monitorata dall’NSA statunitense, che
confermò la presenza a bordo di un essere umano intercettando i segnali radio
e TV della capsula, come ho raccontato
qui
cinque anni fa. Il governo americano sapeva di Gagarin ancora prima che Radio
Mosca ne desse l’annuncio ufficiale.
Il secondo segreto è che per anni fu tenuto nascosto il fatto che la capsula
di Gagarin non era in grado di atterrare: il cosmonauta doveva lanciarsi con
il paracadute prima di schiantarsi al suolo. Questo ingannò l’opinione
pubblica mondiale sulla reale capacità spaziale dei sovietici, che erano molto
più indietro di quel che si pensasse. Il segreto rimase tale per molti anni in
Occidente; alcuni storici sostengono che fu ammesso formalmente dal governo sovietico solo dieci
anni dopo, nel 1971, anche se
La Stampa del 15 aprile 1961
scriveva che
“I testimoni raccontano che Yuri è disceso col paracadute (fino a ieri si
diceva che la stessa cabina spaziale lo avesse ricondotto a terra)” e il Corriere della sera dello stesso giorno ribadiva il concetto, come segnalato nei commenti). Ho anche trovato un
libro per ragazzi
distribuito in Russia nel 1965 che mostra inequivocabilmente Gagarin che
atterra separatamente.
Insomma, i ragazzini russi sapevano, beffando gli storici occidentali. Ma
tanto nessuno di quei ragazzini poteva parlare con l’Occidente: il paese che aveva
aperto la frontiera dello spazio teneva severamente chiusa la propria.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle
donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere
ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o
altri metodi.
The Intercept
ha segnalato il fatto che Zoom offre ai suoi clienti un’opzione che inietta un watermark o
audio signature (marcatore di tracciamento) nell’audio delle sessioni,
perlomeno in quello delle sessioni degli account professionali. Se vedete
quest’icona circolare accanto allo scudo verde in una sessione di Zoom, vuol
dire che la sessione è dotata di questi watermark, che includono in
modo inudibile i vostri dati personali.
Questa funzione, annunciata
qui
a settembre 2019 e documentata
qui
(screenshot qui sotto), consente a Zoom (l’azienda) di identificare chi ha
registrato e diffuso una sessione (“The Audio Watermark, or Audio Signature, feature embeds a user's personal
information into the audio as an inaudible watermark if they record during a
meeting”).
L’esistenza di questo watermark ultrasonico è molto importante da
conoscere per chiunque faccia investigazioni su fughe di notizie e anche per
chi volesse fare da whistleblower e far pervenire alle autorità o ai
giornalisti delle informazioni sensibili senza rivelarne la fonte.
La stessa cautela sarà necessaria anche da parte dei giornalisti che dovessero
pubblicare spezzoni di audio di sessioni Zoom ricevute da fonti confidenziali
(in sintesi, è meglio non pubblicarle ma descriverle).
The Intercept precisa che non è chiaro se Zoom inietti questo
watermark direttamente nel flusso audio che viene ricevuto dal singolo
partecipante o se l’iniezione avvenga soltanto se si usa la funzione integrata
di registrazione. Zoom
dice
che per identificare il partecipante che ha registrato la sessione servono
almeno due minuti di audio.
Esiste anche il watermark video esplicito e ben visibile in Zoom, come
nota anche
Lifehacker: è un’opzione, documentata
qui
da Zoom, che sovrappone una grossa scritta semitrasparente su qualunque
contenuto condiviso. La scritta è costituita da una porzione dell’indirizzo di
mail dell’utente che sta guardando il contenuto. Qui sotto vedete un
esempio di un watermark riguardante un utente che ha come indirizzo di
mail admin@qualchecosa[punto]com.
Mi viene però il dubbio che nelle sessioni Zoom possa essere anche un altro tipo di
watermark video, uno non dichiarato, per cui chiedo il vostro aiuto.
Questa è uno screenshot di una porzione di una schermata
completamente bianca (creata con PowerPoint e la definizione di uno sfondo semplicemente bianco), acquisito durante una sessione Zoom:
notate le tenui righe verticali e le colonne di pallini?
Ho provato a esagerare i livelli RGB per rendere più visibili questi strani segni:
Questo fenomeno si nota anche in questo video tutorial di Zoom, prodotto dall’azienda stessa, quando lo sfondo è bianco:
Forse è solo un artefatto di compressione e io sono eccessivamente paranoico, visto che mi pare improbabile che io sia il primo a notare questo fenomeno, ma mi piacerebbe saperne di più. Se avete idee, segnalatele nei commenti.
È disponibile il podcast di oggi de Il Disinformatico della Rete Tre
del Radiotelevisione Svizzera, condotto da me insieme a Tiki. Questi sono gli
argomenti trattati, con i link ai rispettivi articoli di approfondimento:
Correzione: nel podcast ho detto che Wellington è in Australia, ma in realtà è ovviamente in Nuova Zelanda. Nell’articolo corrispondente l’ho scritto giusto.
Sono stati disseminati su Internet, e sono facilmente reperibili, i dati
personali di oltre 500 milioni di utenti di Facebook. Questi dati includono il
nome e cognome dell’utente, la sua situazione relazionale, la data di nascita,
l’indirizzo di casa, il luogo di lavoro e il numero di telefono.
Gli account italiani colpiti sono circa 36 milioni; quelli svizzeri sono circa
1,6 milioni. Un elenco della quantità di account colpiti in ciascun paese è
per esempio
qui.
Il pericolo principale, al momento, è che i numeri di telefono che gli utenti
hanno affidato a Facebook possano essere usati per molestie e per tentativi di
furto d’identità. Chi è vittima di partner o ex partner violenti e molestatori
è particolarmente a rischio.
In generale, chi ha affidato al social network un numero di telefono
confidenziale deve presumere che quel numero non sia più confidenziale e che
chiunque possa associarlo al suo nome. Sono già stati trovati i numeri di
telefono personali di politici e celebrità, compresi Donald Trump, ex
presidente degli Stati Uniti, e Mark Zuckerberg, boss di Facebook.
Al momento c’è un solo sito affidabile che permette di sapere se il proprio
numero è fra quelli resi pubblici:
Haveibeenpwned.com. Potete
provare
a immettere il vostro numero di telefono, con prefisso internazionale ma senza
00 iniziale (il “+” non è necessario e viene ignorato), oppure l’indirizzo di
mail che avete associato al vostro account Facebook. Diffidate di qualunque
altro sito che proponga servizi analoghi.
Un sito italiano,
Haveibeenfacebooked.com, che
offriva in buona fede questo controllo, ha deciso di sospenderlo a seguito di
un
comunicato stampa
del Garante per la privacy italiano.
Consiglio a tutti di seguire le raccomandazioni di sicurezza pubblicate da
Il Post
e soprattutto di non usare il numero di telefono come metodo di conferma di
accesso (autenticazione a due fattori) e usare invece un’app apposita. E se
appena potete, smettete di usare Facebook, o perlomeno dategli dati
inventati.
---
Sul versante tecnico, il dump di dati di Facebook è stato offerto
inizialmente su un noto sito di hacking a giugno 2020, come spiega
BleepingComputer.com. I dati risalgono a prima di settembre 2019.
Facebook ha
commentato
la disseminazione dei dati dicendo che sono il risultato di un’operazione di
scraping, non di una violazione dei suoi sistemi, e che oggi questo
scraping non sarebbe più possibile e comunque era vietato dalle regole
di Facebook (questa precisazione ha causato l’ilarità
di molti esperti, visto che pensare che i criminali rispettino le regole è
perlomeno ingenuo).
In ogni caso, è troppo tardi per oltre 500 milioni di utenti, che vedono
ancora una volta dimostrato il fatto che non si possono affidare dati
personali ai social network.
Mikko Hypponen di F-Secure ha
ipotizzato
che lo scraping sia stato effettuato creando una rubrica contenente
tutti i numeri di telefono del mondo e poi chiedendo a Facebook di trovare gli
“amici” presenti nella rubrica. Un
thread Twitter di Ashkan Soltani
riassume molti dettagli tecnici della vicenda, cita molti esempi di persone in
posizioni di responsabilità di cui sono stati resi pubblici i numeri di
telefono e sembra confermare la possibilità di una enumeration massiva
usata per fare scraping. Precisa inoltre che il dump include
anche numeri di telefono che erano stati impostati come “privati” e non
visibili a nessuno in Facebook.
Avete mai provato a far dire cose strane o addirittura parolacce agli
assistenti vocali? Se l’avete fatto, o se avete seguito i miei podcast
recenti, avrete notato che si rifiutano.
Ma se una delle vostre aspirazioni
fondamentali nella vita è riuscire a convincere la compassatissima voce di un
computer a dire cosacce o ridicolaggini, o più seriamente vi serve una voce
neutra che legga un testo o un annuncio, ho una soluzione facile per voi.
È sufficiente avere un Mac e aprire una finestra di Terminale (Applicazioni - Utility - Terminale). Qui si digita say seguito dalla frase che volete far declamare alla
voce computerizzata. Tutto qui.
L’accento della voce è quello della lingua scelta per l’interfaccia di MacOS,
per cui preparatevi a letture bislacche se usate testi in lingue differenti.
Potete però andare nelle Preferenze di Sistema, nella sezione Accessibilità, e
scegliere altre voci, oppure scrivere il nome della voce che vi interessa dopo
il comando say.
Per sapere quali voci sono disponibili potete digitare
say -v '?' (compreso il punto interrogativo fra apici). Questo è il risultato sul mio Mac:
In italiano, per esempio, potete scegliere Alice o Luca. In inglese ci sono vari accenti: Alex, Fred, Samantha e Victoria (US), Daniel (GB), Fiona (Scozia), Karen (Australia), Moira (Irlanda), Rishi e Veena (India), Tessa (Sud Africa), con vari livelli di qualità. Per esempio:
say -v SamanthaSpace, the final frontier. These are the voyages of the Starship Enterprise...
Il comando say ha moltissime altre opzioni, compresa quella di salvare su file: per richiamarle tutte basta
digitare man say. Buon divertimento.
Con un miliardo di account creati dalla sua nascita nel 2010 e circa 100 milioni di foto condivise ogni giorno dai suoi utenti, Instagram è ormai uno dei social network fondamentali. Naked Security di Sophos ha pubblicato una miniguida per usarlo e vivere felici che riassumo qui nei suoi punti salienti. Se vi interessa la versione completa, è qui in inglese.
Occhio al furto di account. Gli account Instagram fanno gola ai criminali e ai molestatori, che s’inventano mille modi per rubarli e saccheggiarne i contenuti o semplicemente toglierli ai legittimi utenti. Questo è un reato che vedo avvenire sempre più spesso, soprattutto a danno degli utenti più giovani. La trappola è solitamente un messaggio che chiede alla vittima di cliccare su un link che la porta a una pagina web che finge di essere quella di richiesta password di Instagram ma è in realtà gestita dai truffatori. Un altro trucco frequente è la finta segnalazione di violazione di copyright, come quelle mostrate qui sotto.
Finte offerte di sponsorizzazione. I truffatori fingono di essere un marchio famoso e offrono agli utenti di diventare influencer pagati per promuovere il loro brand. Poi chiedono le coordinate bancarie sulle quali pagare i compensi e le usano per le loro altre attività criminose.
Truffe sentimentali. Un classico: il finto corteggiatore (o corteggiatrice) costruisce un rapporto di lunga durata con la vittima, adulandola anche per mesi, e ne conquista la fiducia per poi chiederle denaro con la scusa di doversi tirare fuori da un guaio. Non è vero nulla, ma la vittima ci crede e manda i soldi, che non rivedrà più.
Offerte allettanti. I truffatori fingono di offrire un prodotto esclusivo a prezzo stracciato a pochi fortunati, ma per riceverlo bisogna pagare delle “spese di spedizione”. Il prodotto non arriva e i soldi pagati non tornano.
Investimenti sicuri. I criminali si mostrano come persone di grande successo materiale e dicono di aver fatto fortuna con un “sistema” che sono disposti a rivelare a chi manda loro un piccolo anticipo. Chi abbocca riceve spesso dei finti “estratti conto” che fanno sembrare che il “sistema” stia rendendo bene. Così la vittima manda altri soldi da “investire” e magari coinvolge anche parenti e amici. Un bel giorno il truffatore svanisce e con lui spariscono anche tutti i soldi.
Naked Security ha quattro consigli di base per vivere serenamente su Instagram:
Password robuste e differenti. Non usate su Instagram una password che usate altrove. Se temete di aver dato la vostra password a un sito ingannevole, cambiatela subito, prima che lo facciano i criminali. Valutate la possibilità di usare un password manager.
Condivisione limitata. Anche se oggi è considerato normale condividere pubblicamente su Instagram gran parte della propria vita, non è obbligatorio raccontare tutto a tutti. Chiedetevi chi o cosa c’è anche sullo sfondo delle foto prima di pubblicarle.
Siate vigili. Se un account o un messaggio vi insospettisce, non interagite, non rispondete e non cliccate sui link che vi manda. Se una cosa sembra troppo bella per essere vera, presumete che non sia vera.
Rendete privato il vostro account. Se non avete ambizioni di diventare influencer e invece usate Instagram per restare i contatto con gli amici, impostate il vostro account in modo che sia privato. Solo chi vi segue potrà vedere le vostre foto. Controllate periodicamente l’elenco di questi follower e bloccate chiunque non riconoscete e chiunque non volete più fra coloro che hanno accesso ai fatti vostri. Per rendere privato un account è sufficiente andare nelle Impostazioni e poi scegliere Privacy e attivare il selettore Account privato.
Ormai conosciamo fin troppo bene il ransomware, ossia la tecnica di
attacco informatico che consiste nel penetrare nei sistemi informatici della
vittima, cifrarne i dati e poi chiedere un riscatto per dare alla vittima la
chiave di decrittazione.
Questa tecnica purtroppo funziona molto bene per i criminali, ma richiede
comunque un certo sforzo da parte loro: il malware che usano per cifrare i
dati della vittima deve non solo funzionare nel senso di bloccarli con una
password impossibile da indovinare, ma deve anche garantire che una volta
pagato il riscatto la vittima riesca a decrittare tutto correttamente. Se si
spargesse la voce che è inutile pagare il riscatto perché tanto i dati non
sono recuperabili, alle vittime passerebbe in fretta la tentazione di cedere
al ricatto e mandare soldi ai ricattatori.
Questo vuol dire che il criminale deve spesso impegnarsi a fornire assistenza
tecnica alla vittima, e farlo in maniera efficace. Può sembrare surreale, ma
ho assistito a casi di questo genere nei quali il ricattatore è stato un
helpdesk più servizievole e competente di tanti servizi commerciali
legali.
Ma i criminali sono sempre alla ricerca di modi per ottimizzare le proprie
attività, e quindi dopo il ransomware è arrivato
l’extortionware: un attacco nel quale il malvivente non ha bisogno di fornire
assistenza tecnica, perché non ha crittato i dati della vittima, ma li ha
semplicemente copiati e chiede soldi per non pubblicarli e non causare danni alla reputazione
personale o aziendale.
La BBC descrive, per esempio, il
caso di un responsabile informatico di un’azienda statunitense che è stato
ricattato dai criminali che hanno scoperto la sua collezione segreta di
pornografia digitale e hanno pubblicato online schermate con tutti i dettagli; un altro caso riguarda un’altra azienda statunitense che viene ricattata pubblicando il nome utente e la password usate da un suo dipendente per frequentare un sito pornografico.
Non sempre, però, il ricatto riguarda la minaccia di divulgare abitudini private sensibili. La BBC cita anche un tentativo di estorsione che riguarda delle mail trafugate che dimostrerebbero frodi assicurative in un’azienda canadese e il caso di una catena di cliniche di chirurgia estetica ricattata con la minaccia di pubblicare le foto “prima e dopo” dei clienti.
Il problema di questa tecnica di attacco è che rende abbastanza inutili le difese sviluppate finora contro il ransomware. Con l’extortionware non c’è nulla da ripristinare: i dati imbarazzanti hanno ormai preso il volo e non c‘è modo di toglierli dalle mani di chi li ha trovati.
L’unica difesa possibile è preventiva e comportamentale: i dipendenti (e, diciamolo, soprattutto i dirigenti) non devono tenere sui server aziendali (o sui computer portatili aziendali che vengono affidati a loro) dati personali che potrebbero causare un danno di reputazione se trafugati, e i dati effettivamente necessari per lavoro devono essere custoditi in maniera sicura e il più possibile isolata da accessi via Internet che ne consentano l’esportazione in massa.
È difficile quantificare il costo globale del ransomware (in generale, incluso l’extortionware), visto che spesso le vittime non dichiarano di essere state colpite, ma secondo Emsisoft (citata da BBC) il totale per il 2020, compresi i pagamenti e i costi di ripristino e di inattività ammonterebbero a circa 170 miliardi di dollari.
Se pensate che la vostra giornata informatica stia andando maluccio, consolatevi: c’è qualcuno a cui è andata assai peggio.
Un paio di settimane fa i tecnici informatici della Victoria University di Wellington, in Nuova Zelanda, hanno avviato una procedura di manutenzione che aveva lo scopo di liberare spazio sulla rete informatica universitaria.
Il loro intento era eliminare i profili degli ex studenti che non erano più iscritti, ma le cose sono andate un po’ diversamente dal previsto, e la storia ha fatto il giro del mondo.
Infatti, come riferiscono Ars Technica e una delle riviste degli studenti,The Critic, l’eliminazione ha avuto una portata leggermente superiore alle intenzioni: sono scomparsi anche i file dai desktop degli studenti attivi e i loro computer sono stati azzerati.
Si sono salvati soltanto i dati presenti sui dischi di rete dell’istituto e quelli custoditi sul cloud OneDrive di Microsoft. Alcuni studenti lamentano di aver perso un anno intero di dati che erano salvati esclusivamente sui loro computer locali (che ora, appunto, sono azzerati).
L’ipotesi formulata da Ars Technica è che si sia trattato di un errore di policy in Active Directory.
Disastri come questo sono sempre un promemoria importante della necessità di fare backup personali dei dati essenziali, anche se quei dati risiedono su una rete informatica che in teoria dovrebbe farne copie di sicurezza automaticamente.
In una situazione aziendale, tuttavia, le cose si complicano per via della necessità dell’azienda di tutelarsi (e tutelare i propri clienti) contro le fughe di dati. Sarebbe spiacevole che i dipendenti si portassero a casa la contabilità dell’intera società o i piani e progetti riservati, per poi dimenticarseli in giro o farseli rubare. Per non parlare dei dipendenti che attraversano la frontiera Svizzera-Italia con i dati bancari confidenziali dei clienti, ma questa è un’altra storia.
Morale della storia: se i dati sono strettamente vostri (una tesi, per esempio), non affidatevi ciecamente al reparto informatico pensando che tanto provvederanno loro di farne una copia. Fatela voi, fatene più di una, verificate periodicamente che siano leggibili e custodite il tutto con cura. Se invece i dati sono dell’azienda, parlate con il reparto informatico e verificate che ne venga fatto periodicamente un backup custodito in modo sicuro. In particolare, chiedete cosa succede ai dati salvati localmente.
Lifehacker segnala una piccola chicca annidata in iOS: oltre a essere pratica, può anche risultare divertente per sorprendere gli amici mostrando una cosa “nascosta” nei loro smartphone.
L’elenco delle app di iOS 14, infatti, non mostra tutte le app come ci si potrebbe aspettare. Ce n’è una, uno scanner di codici QR, che non compare.
Per trovarla bisogna fare swipe down (far scorrere un dito sullo schermo dall’alto verso il basso), in modo da far comparire il menu di ricerca, e poi bisogna digitare Scansione codici, oppure richiamare il menu Centro di controllo (facendo scorrere dall’alto in basso un dito sul bordo destro dello schermo).
Questo fa comparire l’app, che è quella integrata in Fotocamera ma è anche disponibile separatamente, con una differenza utile: Scansione Codici apre i link con un browser tutto suo invece di usare Safari, per cui tiene separate le scansioni dal resto della navigazione e non le riapre la volta successiva che si usa il browser.
Ho deciso di installare una dashcam fronte/retro a bordo di TESS, che essendo
una “vecchia” Tesla non integra direttamente questa funzione. Un giorno,
magari alla prossima Cena dei Disinformatici, vi racconterò il motivo di
questa decisione.
Quella che mi serve è una dashcam che registri automaticamente in HD tutto quello
che avviene davanti e dietro il veicolo mentre è in marcia. Per
“automaticamente” intendo che quando avvio l’auto si accende da sola e fa
partire la registrazione video continua su entrambe le telecamere, in loop
(sovrascrivendo la registrazione più vecchia quando esaurisce lo spazio in
memoria).
Sono gradite ma non indispensabili funzioni come l’etichettatura automatica
degli eventi (decelerazioni rapide, sbandate, eccetera), la localizzazione GPS
e la registrazione della velocità (rilevata tramite GPS) con indicazione fissa
sullo schermo (sovrimpressione). La connessione Wi-Fi al telefonino non è indispensabile: mi va benissimo poter estrarre fisicamente la schedina di memoria e leggerla con un computer.
La chiacchierata di ieri sera Memorie digitali: dove finiranno le nostre testimonianze?, organizzata dal CICAP con il sottoscritto come ospite e relatore, è a vostra disposizione qui.
“RE è basato su altissimi standard di sicurezza, i nostri server sono tutti
in Italia (Arezzo), tutte le connessioni sono effettuate tramite il
protocollo HTTPS e crittografia SSL con certificato dei più importanti CA al
mondo: Verisign Symantec e GeoTrust. Ma non basta, prima di essere inviati
tutti i dati sono crittografati a priori e questa tecnologia, unica nel suo
genere, raddoppia le garanzie di sicurezza rendendo RE sicuro come nessun
altro.”
Così scriveva Axioscloud.it, il sito che ospita il Registro Elettronico di
molte scuole italiane (circa il 40%, secondo
ANSA). Sito che ora è
irraggiungibile.
Un attacco ransomware ha infatti buttato giù il sito
“sicuro come nessun altro” e
“basato su altissimi standard di sicurezza”. Questo è uno screenshot di
com’era prima dell’attacco,
come si può vedere su Archive.org.
Secondo
Quotidiano Piemontese, il problema è iniziato sabato 3 aprile ed è poi peggiorato. Il quotidiano
pubblica uno screenshot di Axios Italia che dice di stare
“lavorando alacremente con l’obiettivo di rendere disponibili tutti i
servizi web entro pochi giorni”.
Su Facebook,
Axios Italia ha
dichiarato
inizialmente (3 aprile) che si trattava di un
“improvviso malfunzionamento tecnico occorso durante la notte” che
avrebbe
“reso necessario un intervento di manutenzione straordinaria”. Lo
stesso risulta dalla
copia salvata su Archive.org
il 5 aprile.
Oggi (5 aprile) l’azienda ha
scritto, sempre su Facebook, che
“a seguito delle approfondite verifiche tecniche messe in atto da Sabato
mattina in parallelo con le attività di ripristino dei servizi, abbiamo
avuto conferma che il disservizio creatosi è inequivocabilmente conseguenza
di un attacco ransomware portato alla nostra infrastruttura. Dagli
accertamenti effettuati, al momento, non ci risultano perdite e/o
esfiltrazioni di dati. Stiamo lavorando per ripristinare l'infrastruttura
nel più breve tempo possibile e contiamo di iniziare a rendere disponibili
alcuni servizi a partire dalla giornata di mercoledì. Sarà nostra cura
tenervi costantemente aggiornati.”
Fonti confidenziali mi segnalano una situazione piuttosto pesante. Non
pubblico altri dettagli, per il momento, in attesa di conferme e riscontri:
sarebbe utile che Axios facesse una dichiarazione pubblica sullo stato dei
backup, su quale infrastruttura sia stata compromessa e su eventuali negoziati
con gli autori dell’attacco. Comunque stiano le cose, temo che per il DPO di
Axios il ritorno dalle ferie di Pasqua sarà piuttosto impegnativo.
2021/04/06 13:10. Secondo la mail inviata da Axios alle scuole,
l’azienda è stata informata dell’attacco ransomware da parte del servizio di
sicurezza di Aruba intorno alle due del mattino del 3 aprile e il
disaster recovery avrebbe mitigato i danni. L’amministratore unico di
Axios Italia, Stefano Rocchi, dice a
Giornalettismo
che è stato “deciso di non pagare alcun riscatto”.
2021/04/08 13:00. Al momento in cui scrivo questo aggiornamento il
Registro Elettronico è ancora offline; redemo.axioscloud.it mi risponde
con un timeout. Ilsito di Axios Italia
ospita ora un’informazione più dettagliata (screenshot qui sotto, cliccabile
per leggerlo), che invita a consultare una comunicazione (PDF). Questa comunicazione dice, fra le altre cose, che
“I dati personali gestiti non sono stati persi/distrutti e non vi è stata
alcuna visione/estrapolazione indebita"
e che
“Le misure di sicurezza adottate, incluse le soluzioni di Disaster
Recovery, nonostante un “attacco brutale con finalità estorsive” similare a
quello ricevuto recentemente da multinazionali (esempio ACER), hanno
consentito di preservare i dati gestiti nel rispetto della normativa
privacy.”
Intanto la notizia è ormai riportata da molti siti e giornali (Cybersecurity360,
Punto Informatico,
Giornalettismo, per fare qualche esempio) e mi è arrivata una diffida dall’avvocato di
Axios, alla quale ho risposto per quanto riguarda gli aspetti tecnici
ricordando inoltre l’inevitabile Effetto Streisand.
2021/04/08 22:00. Come segnalato nei commenti, quella del 3 aprile 2021
non è la prima aggressione informatica che colpisce il Registro Elettronico di
Axios Italia; il 9 aprile 2020 era stato bloccato da un attacco DDOS,
riferiscono per esempio
Repubblica
e
RAI.
2021/04/10 22:40. Axios ha dichiarato, sul proprio sito, quanto
segue:
Gentili Clienti, siamo lieti di comunicarVi che sono tornati online il
Registro Elettronico, le funzionalità per le famiglie ed ulteriori servizi. Stiamo
inoltre continuando a monitorare la corretta funzionalità di tutti i sistemi
ripristinati. Vi ringraziamo ancora per la vicinanza e la pazienza
dimostrata in questi giorni.
Continueremo a mantenerVi
costantemente aggiornati sugli sviluppi.
10/04/2021 - Ore 18:05
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle
donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere
ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o
altri metodi.
Martedì prossimo, 6 aprile, sarò ospite di CICAP Live per una chiacchierata-conferenza intitolata Memorie digitali. Dove finiranno le nostre testimonianze? insieme all’informatico Francesco Sblendorio, socio attivo del CICAP dal 2009, coordinatore del gruppo Lombardia dal 2011 al 2012, e webmaster del sito del CICAP Lombardia.
2021/04/07 8:30. La registrazione della chiacchierata è qui sotto. Buona visione, e fate bene i vostri backup.
A gennaio scorso ho trovato un sito statale italiano che mette a disposizione
di chiunque i CV di avvocati, autorizzazioni di contratti, fatture con nomi,
IBAN, cognomi e importi, scansioni di documenti d'identità. Tutto facilmente
reperibile con una semplice ricerca in Google.
Ho avvisato il sito via mail il 28 gennaio:
Buongiorno,
sono un giornalista informatico. Da segnalazione
confidenziale mi risulta che sul vostro sito siano disponibili a
chiunque, con semplice ricerca in Google, documenti contenenti
informazioni confidenziali o sensibili, comprese immagini di carte
d'identità.
Esempio: [omissis]
Allego immagine
opportunamente anonimizzata.
Segnalo questa situazione affinché
possiate rimediare.
Cordiali saluti
Paolo
Attivissimo
Siamo al 2 aprile: non ho ricevuto nessun riscontro e i dati sono tuttora a
disposizione di chiunque.
Trovo davvero vergognoso che nel 2021 un ente di stato non solo non sia capace
di tutelare digitalmente i suoi utenti, ma non abbia nemmeno la cortesia di
rispondere a chi segnala educatamente il problema in privato.
Sottolineo che tutti questi dati, sotto forma di documenti PDF, sono
reperibili semplicemente con una ricerca banale in Google. Non ci vuole
nessuna password o conoscenza informatica sofisticata. È deprimente.
Stasera ho mandato una
segnalazione dettagliata al
CSIRT (Computer Security Incident Response Team) della Presidenza del
Consiglio dei Ministri.
Poi la gente mi chiede perché segnalo pubblicamente questi casi invece di
limitarmi a contattare in privato gli interessati. Semplice: gli interessati
non sono interessati. Si muovono solo se vengono denunciati pubblicamente per
la loro inettitudine.
---
2021/04/07 8:30. I dati sono ancora perfettamente accessibili. Un
esempio (immagine parziale per proteggere i malcapitati):
2021/04/11 15:00. I dati sono ancora accessibili come prima.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle
donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere
ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o
altri metodi.