2021/11/29

Forum di hacking dice di offrire “dati alberghieri italiani” rubati in vendita: se li riconoscete, avvisate le vittime

Ultimo aggiornamento: 2021/11/29 17:30.

Un noto sito web di compravendita di dati rubati ha pubblicato poco fa un’offerta di dati alberghieri italiani sottratti, mettendoli in vendita a 250 dollari. La quantità è indicata come “155k”, ma non è chiaro se si intendano 155.000 record oppure 155 kilobyte di dati complessivi.

L’offerta (che non ho modo di verificare) include gli schemi dei database rubati e un campione di dati delle vittime. Pubblico qui solo gli schemi parziali, così se qualcuno li riconosce può agire opportunamente.

  • email, passwd, lastname, birthday, firstname, secure_key
  • city, phone, other, company, postcode, lastname, address1, address2, firstname, vat_number Notes, Name, Email, Surname, Address, Mobile phone, VAT number, Company name, Client type code, telephone_delivery, NameCartellaImages
  • piva, faxsede, capsede, codSito, nomeSito, emailsede, emailSito, comunesede, telefonoSito, responsabile, telefonosede, provinciasede, indirizzosede, welcomeMessage, ragionesociale, dominiCollegati, capresponsabile, pivaresponsabile, emailresponsabile, telefonoresponsabile 
  • email, Password, ipAddress, language, Name

 

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

2021/11/28

Perché SaluteLazio ha il tracciamento di Facebook e Google nell’area privata e chiede di accettare un’informativa privacy che non esiste?

Salutelazio.it, il sito del sistema sanitario regionale della Regione Lazio, ospita tracciatori di Facebook e di Google nell’area privata. Lo segnala Eugenio Petullà, mostrando queste immagini:


Le immagini pubblicate da Petullà mostrano che nel codice HTML dell’area privata è presente il codice del Facebook Pixel, che è il sistema di tracciamento di Facebook, e c’è un link a Google Analytics. Questo sembra indicare che l’utente viene tracciato da Facebook e da Google anche nella sua sessione sanitaria privata.

Non sono utente di SaluteLazio, per cui non posso verificare questa segnalazione (di cui non ho motivo di dubitare). Se potete farlo voi, segnalatemelo nei commenti o in privato via mail (a paolo.attivissimo@gmail.com).

È assolutamente folle che un ente sanitario pubblico immetta un tracciatore commerciale nel proprio sito.

Ieri ho chiesto chiarimenti via Twitter a SaluteLazio e oggi ho scritto una PEC al DPO indicato nell’informativa sulla privacy: finora non ci sono risposte.

Intanto Petullà ha scoperto che l’informativa sui cookie di SaluteLazio porta al nulla. Se ci si collega al sito per la prima volta (o in navigazione privata), compare infatti la richiesta di accettare i cookie, accompagnata dal link Leggi l’informativa cookie completa; ma questo link porta semplicemente a salutelazio.it (l’HREF è vuoto, nota Camelia Boban; copia permanente). 

In altre parole: Salutelazio.it chiede agli utenti di accettare un’informativa che non esiste.

Ci fanno una testa così con la tutela della privacy e il GDPR, e poi fanno sconcezze ridicole come queste.

Intanto, se volete farvi un’idea di quanto sia invasivo e pervasivo il tracciamento commerciale effettuato da Facebook (con il consenso dei vari siti), provate a sfogliare la vostra Attività fuori da Facebook, che “include informazioni che aziende e organizzazioni condividono con noi sulle tue interazioni con loro, ad esempio quando visiti le loro app o i loro siti web”

Sarà interessante scoprire perché la Regione Lazio manda a Facebook informazioni sulle interazioni degli utenti con il sito e in particolare con la sezione dedicata alla salute.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

2021/11/27

Perché la moderazione di questo blog è così severa? Ecco perché

Comunicazione di servizio: nei giorni scorsi un paio di commentatori arrivati da poco hanno intavolato una polemica. Dopo ripetuti avvisi, li ho bannati. Così sono rientrati con altri account, tentando di continuare la polemica e sfottendomi. Bannati una seconda volta, hanno creato un terzo account, ripartendo con i loro rantoli. Ban immediato anche di quelli.

Poi hanno iniziato a insultare e provocare mandandomi mail. Evidentemente facevano fatica a capire il concetto di moderazione (e non solo quello). Ora sono nel mio killfile, insieme a tanti altri, così non li vedo del tutto e i loro messaggi vengono cestinati automaticamente.

Di imbecilli litigiosi come loro ne ricevo tanti, tutti i giorni, e li cestino spesso prima che li vediate. Poi ci sono gli spammer. E poi oggi è arrivato il Genio che ha pensato bene di postare su questo blog un commento con un link a un “generatore di green pass EU”.

Che ovviamente è un malware, riconosciuto da Virustotal:


Quindi per favore, siate parsimoniosi nel linkare oggetti esterni, perché io controllo tutti i link prima della pubblicazione.

E se siete polemisti, statevene direttamente a casa vostra e non venite qui a romper l’anima. Tanto otterrete soltanto un ban immediato, il vostro commento verrà cestinato e mi dimenticherò di voi nel giro di trenta secondi.

Per questo mi scuso se a volte la pubblicazione dei commenti è lenta e se tronco sul nascere qualunque minimo accenno a idiozie complottiste o polemiche personali: controllo e approvo tutti i commenti, uno per uno, per tenere fuori spammer e imbecilli e tenere alto il livello della conversazione per i tanti che partecipano commentando costruttivamente.

Le opinioni differenti e documentate sono sempre ben accette. Invece le stronzate, le polemiche e le aggressioni verranno cestinate senza pietà.

 

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

2021/11/26

Podcast RSI - Perché devo sempre dimostrare che non sono un robot? Breve storia dei Captcha


È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto e condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto) e qui sotto.

I podcast del Disinformatico sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano il testo e i link alle fonti della storia di oggi, sono qui sotto!

---

[CLIP: digitazioni su tastiera]

Ormai è quasi impossibile girare su Internet senza imbattersi nella tediosa richiesta di cliccare su una casellina per confermare di non essere un robot o in quella di cliccare su delle immagini che mostrano autobus o semafori.

Perché è necessaria questa dichiarazione, e come mai così tanti siti sono così tanto interessati agli autobus e invece discriminano le eventuali forme di vita artificiali che sono online?

Questa è la storia dei captcha: uno dei tormenti moderni ma non troppo di Internet.

[SIGLA]

Nella preistoria di Internet, negli anni Novanta del secolo scorso per intenderci, quando Google non esisteva ancora (sì, è esistita un’epoca in cui Google non c’era), il motore di ricerca più popolare era un altro: AltaVista (ve lo ricordate?).

AltaVista nel 1995. Fonte: ThisDayInTechHistory.com.

Beh, in quell’epoca c’erano già gli spammer. Quelle simpatiche creature subumane che appestano qualunque cosa digitale riempiendola di pubblicità dei loro siti che vendono prodotti discutibili per risolvere problemi intimi ancora più discutibili.

A quell’epoca gli spammer prendevano appunto di mira AltaVista, che usava un metodo molto primitivo per catalogare Internet: erano gli utenti a compilarlo mandandogli le informazioni sui siti che ritenevano interessanti. E così gli spammer usavano programmi automatici per inondare AltaVista di segnalazioni dei propri siti pieni di cure miracolose. I tecnici di AltaVista le cancellavano sistematicamente, ma gli spammer ne mandavano altre, e quindi il problema non si risolveva.

Così AltaVista decise di introdurre un test che potesse essere superato soltanto da un essere umano. Questo avrebbe impedito ai programmi automatici degli spammer di funzionare.

Il test consisteva nel mostrare sullo schermo di chi voleva inviare dati ad AltaVista delle lettere molto deformate, che un umano di solito riusciva a riconoscere senza problemi ma che erano completamente incomprensibili per un programma automatico. Ovviamente questo causava problemi agli utenti onesti ipovedenti o ciechi, ma non c’era molta scelta.

La soluzione sembrava semplice ed elegante e le fu presto però associato un nome molto meno elegante: Captcha, che sta per (tenetevi forte) Completely Automated Public Turing Test to tell Computers and Humans Apart. Traduzione: Test di Turing completamente automatizzato per distinguere i computer dagli umani. Turing, per chi non lo conosce, è uno dei padri dell’informatica: da lui nasce il Test di Turing, che serve appunto per distinguere un essere umano da un computer che finge di essere un essere umano.

Nel 2007 uscì una versione più sofisticata, denominata ancora peggio Recaptcha. Cercava di incoraggiare gli utenti a collaborare, spiegando che la loro azione contribuiva alla digitalizzazione dei libri cartacei e dei vecchi giornali. Recaptcha, infatti, mostrava due parole deformate: una che i suoi gestori già avevano identificato correttamente e una che invece i sistemi di riconoscimento automatico dei caratteri non avevano ancora decifrato. 

L’utente doveva scriverle entrambe: la prima doveva essere trascritta correttamente e serviva a dimostrare che l’utente era davvero un essere umano, mentre la seconda, quella sconosciuta, andava semplicemente tentata. Se tanti utenti davano la stessa risposta alla stessa parola, quella risposta diventava parte del testo digitalizzato del libro o giornale d’epoca. In altre parole, gli utenti contribuivano, parola dopo parola, a digitalizzare tantissimi testi cartacei.

La cosa piacque così tanto che Recaptcha fu comprato da Google e i captcha in generale furono usati per impedire la creazione massiccia e abusiva di account di mail usa e getta da parte dei venditori di spazzatura digitale.

Ma questi spammer non si arresero. Negli anni che erano passati da quei primi, semplici captcha, la tecnologia del riconoscimento delle immagini aveva fatto enormi progressi, soprattutto nel riconoscimento dei testi, per cui cominciarono a usare computer sempre più potenti per decifrare le parole distorte e scavalcare il filtro antispam.

Questo, però, era un metodo costoso, per cui gli spammer ne inventarono presto un altro molto meno tecnologico: subappaltarono il riconoscimento a degli esseri umani che vivevano in paesi a basso reddito. Migliaia di persone venivano pagate una miseria per risolvere un captcha dopo l’altro, per ore di fila. Nacquero addirittura aziende specializzate nella risoluzione dei captcha. Alcune di loro esistono ancora oggi.

Però questi lavoratori, autentici schiavi digitali, andavano comunque pagati, e in un mercato come quello dello spam, dove i margini sono bassissimi, il costo di quella paga era un problema.

Così gli spammer hanno inventato di recente un’altra soluzione: far risolvere i captcha agli utenti normali, senza che se ne rendano conto. Per esempio, basta creare un sito che contiene qualcosa che gli utenti desiderano (immagini, video, musica, film) e chiedere loro di risolvere un captcha prima di poterlo consultare. Il captcha, in realtà, viene preso di peso istantaneamente da un altro sito, quello nel quale gli spammer vogliono entrare superandone il filtro.

È a questo punto che Google ha risposto con la casella che oggi tutti conosciamo, quella che chiede di confermare che non siamo dei robot. Un solo clic su una sola casella, e il captcha è risolto. 

[CLIP: Clic di un mouse]

Sembra una cosa troppo facile, che persino un programma automatico sarebbe in grado di fare, ma c’è il trucco. In realtà dietro le quinte questo captcha trasmette moltissimi dati a Google, che permettono all’azienda di discriminare fra una cliccata fatta da un programma automatico e una fatta da un essere umano.

Quali siano questi dati non si sa. Google non vuole rivelarli per non dare aiuti agli spammer. Forse rileva i tempi di reazione o i movimenti del mouse o del dito; forse legge i cookie che Google deposita sui nostri dispositivi, visto che quando si prova a risolvere uno di questi captcha durante la navigazione privata compare puntualmente un secondo test, quello con la griglia di immagini di autobus, gattini o barche da identificare. Immagini che forse servono ad addestrare le future auto a guida autonoma, vista la loro particolare predilezione per le scene stradali complesse. 

Esiste anche una versione ulteriore di questo captcha, che ha debuttato alcuni anni fa, nel 2017, ed è ancora più sofisticata: infatti è completamente invisibile. In questo captcha, Google si limita a osservare il comportamento dell’utente, come muove il mouse o il dito, come fa scorrere lo schermo, come digita le informazioni, e poi usa sofisticati sistemi di intelligenza artificiale per decidere se si tratta di un essere umano o di un sistema automatico. Anche qui, bocche cucite: i dettagli del suo funzionamento non sono pubblici.

La rincorsa fra guardie e ladri continua: avrete notato che oggi alcune banche cominciano a chiedere di identificarsi apparendo in video in tempo reale, mostrando il proprio documento d’identità oltre che il proprio volto, e questo sembra un sistema molto difficile da eludere. Neppure i deepfake riescono a falsificare un video in tempo reale.

Resta il problema di tutti coloro che hanno disabilità e quindi sono tagliati fuori da questi sistemi. Non ci vuole molto: anch’io spesso vengo ingannato dai captcha. E resta anche il problema dell’invasività sempre maggiore di questi metodi per distinguere un umano da un robot. Per non parlare della frustrazione e dell’umiliazione di non riuscire a superare un test che dovrebbe, in teoria, essere alla portata di qualunque persona cosiddetta “normale”.

Dove finirà questa rincorsa è difficile da dire. I sistemi di certificazione dell’identità digitale, come l'EIDAS dell’Unione Europea o SwissID, sono una possibile soluzione, ma non sono universali e spesso incontrano resistenze da parte di chi li considera eccessivamente a rischio per la privacy, la sorveglianza governativa e lo sfruttamento commerciale dei dati degli utenti. E in molti paesi semplicemente non esistono o hanno costi e complicazioni che li rendono inavvicinabili per una fetta importante della popolazione.

Nessun vuole Internet divisa in due categorie: cittadini e internauti di serie A e di serie B. E forse dovremo tornare a chiedere di cliccare più spesso su tanti gattini.

 

Fonti aggiuntive: Tom Scott; Google; Digital.

2021/11/24

LIVE il 24/11: “Le auto elettriche rovineranno il mondo!” e altre bufale della mobilità elettrica

Sono stato invitato dall’azienda italiana Silla Industries a una live su YouTube sul tema della mobilità elettrica e dei miti che la circondano. L’appuntamento è per le 21 (ora italiana), in diretta, a questo link (o nell’embed qui sotto): Alberto Stecca, amministratore delegato di Silla, prenderà le vostre domande dalla chat di YouTube. Vi aspetto.

2021/11/23

Antivaccinisti, avete rotto i coglioni. Ecco, l’ho detto

Ultimo aggiornamento: 2021/11/24 13:40. Tratto da questo mio thread su Twitter, ripulito e ampliato.

A chi ancora pensa che l’antivaccinismo sia semplicemente una rivendicazione di un diritto personale o di una diversità di opinioni consiglio la lettura dell’ondata di odio che mi è arrivata per questo tweet.

Ovviamente silenzio tutti questi hater inesorabilmente, e presumo che sappiano benissimo che questa è la fine che fanno i loro insulti. Ma lo fanno lo stesso. Per cui no, mi spiace: l’antivaccinismo rabbioso non è una semplice differenza di opinioni. È odio. È violenza. E come tale va trattato.

Discutere, ragionare, portare i dati, spiegare concetti è inutile con questa gente che capisce solo l’odio. Quindi scusatemi se non perdo tempo ad argomentare con chi tanto ha già deciso in partenza che non ascolterà.

Scusatemi, inoltre, se non spiego per filo e per segno perché non debunko il video X o la frase Y. E scusatemi se non debunko puntualmente ogni singola frase Y, video X e grafico Z.

Ammiro la pazienza infinita dei colleghi debunker che in questi quasi due anni hanno diligentemente cercato di spiegare i miti, le bugie e le manipolazioni alla base dell’antivaccinismo.

Ma sinceramente, a questo punto, dopo tutto questo tempo, dopo oltre cinque milioni di morti nel mondo (centrotrentamila morti in Italia), chi non ha ancora capito non capirà mai. 

Perché il suo antivaccinismo non è basato su argomenti, dati, numeri, ricerche. Parte dall’odio, dal fottersene degli altri, dall’egoismo smisurato, dall’arroganza ignorante, e solo dopo sceglie i dati, i video, le frasi e gli “esperti” che gli confermano la sua visione del mondo.

L’antivaccinista hater non è uno che si è informato male. Non è una persona confusa che ha paura. È uno che odia in partenza e che nell’antivaccinismo ha trovato l’appiglio per vomitare il suo odio. Prima c’è l’odio, poi arriva l’antivaccinismo.

Se questa mia descrizione dell’antivaccinismo vi pare drastica o estrema, ripeto: guardate i commenti che arrivano a qualunque tweet o post sui vaccini. 

Quindi che si fa? Si rinuncia a fare debunking? Si smette di spiegare pazientemente cose che ormai sono o dovrebbero essere straovvie? Ossia che il Covid è un pericolo reale che fa collassare le terapie intensive (di nuovo) e l’intero sistema sanitario a danno di tutti, che il vaccino non è perfetto ma funziona bene, e che disquisire sull’ennesimo dettaglio è una perdita di tempo e bisogna semplicemente vaccinarsi, mettere bene la mascherina, tenere le distanze e non affollarsi in luoghi poco ventilati, punto e basta?

Opinione personale: , si smette. Io, perlomeno, smetto. I colleghi più pazienti di me che continueranno avranno tutta la mia ammirazione e tutto il mio rispetto. Ma per quel che mi riguarda, il tempo delle spiegazioni pazienti è finito.

È ormai chiaro che c’è una fetta di popolazione, in ogni paese, che è completamente refrattaria a qualunque spiegazione e ragionamento. Per colpa di questa fetta, ci stiamo andando di mezzo tutti. Da quasi due anni.

Si è cercato di puntare sul buon senso, sulla solidarietà, sullo spiegare con parole semplici, sulla fiducia nell’intelligenza del prossimo, ma alla fine siamo ancora qui, alla quarta e presto quinta ondata, con i malati gravi e i morti che aumentano. 

E alla fine qualcuno si è arreso all’evidenza e ha deciso che siccome dialogare non serve a nulla e per colpa degli idioti ci stiamo andando di mezzo tutti, resta una sola via, da affrontare con sconsolata rassegnazione dopo aver esaurito tutte le altre. L’obbligo.

L’Austria è la prima in Europa ad aver esaurito la pazienza. Altri stati non europei l’hanno già fatto da mesi.

Perché se ti dicono che se metti le dita nella presa di corrente rischi la scossa e tu insisti a dire che prendere la scossa è un tuo diritto e tanto un po’ di corrente non ha mai ucciso nessuno e la lobby degli elettricisti ce l’ha con te, allora mi spiace: sei scemo.

E con gli scemi non si perde tempo in spiegazioni. Ci provi una volta, perché è giusto provarci, dare una possibilità, ma quando vedi che non ti ascoltano ma anzi ti attaccano e ti insultano, allora lasci perdere. 

Se lo scemo che rivendica il diritto di mettere le dita nella presa di corrente contro la "dittatura elettrica" si folgora e toglie la corrente al palazzo, allora gli altri inquilini che devono fare? Sopportare? Mettersi a discutere con chi dice che 220 volt sono troppi e forse 110 o 50 sarebbero meglio, anzi facciamo 12 volt e non se ne parla più? Dibattere se togliere tutte le prese elettriche in ossequio al "principio di precauzione"? O semplicemente levare la corrente a lui?

Quante cretinate, quanti cavillamenti su numeri, percentuali, "di / con / per" dobbiamo sopportare, quanti altri malati cronici e morti, quante altre ondate, quanti altri mesi di chiusure e mascherine dobbiamo pagare per colpa degli scemi irrecuperabili?

In conclusione, scusatemi la schiettezza: mi sono rotto i coglioni di sopportare le idiozie degli antivaccinisti. E anche quelle di quei colleghi giornalisti che, puttane del clic, soffiano sul fuoco pur di vendere qualche copia in più e compiacere l’omuncolo politico di turno che cavalca qualunque scemenza pur di accaparrarsi qualche voto in più.

E mi rassegno all’idea che l’appello al buon senso e alla solidarietà è fallito miseramente. Sarebbe ora di ammettere questo fallimento e agire di conseguenza. Civilmente, educatamente, ma agire.

---

Piccolo avviso finale: se mi insultate, verrete silenziati. Se esigete da me il debunking di questa o quella affermazione sui vaccini, verrete silenziati. Se mi coinvolgete in battibecchi con gli antivaccinisti, verrete silenziati. Nessun preavviso, nessun meme con delfino, nessun appello. Non ho più né tempo né pazienza per queste cose.

Perché avete il sacrosanto diritto alla vostra opinione, ma io ho il sacrosanto diritto di non doverla ascoltare. E di non rispondere ai rompicoglioni attaccabrighe.

E per il vostro bene, vaccinatevi.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

2021/11/21

No, gli utenti Tesla non sono rimasti tutti chiusi fuori dalle proprie auto

Ultimo aggiornamento: 2021/11/21 16:30.

Molti giornali e siti hanno pubblicato la notizia di un guasto informatico ai server di Tesla che avrebbe appiedato tutti gli utenti di queste auto elettriche, chiudendoli fuori dai loro veicoli. Non è vero.

Semplicemente, ha smesso di funzionare per alcune ore il controllo remoto tramite app. Chi aveva con sé la chiave (telecomando come quello nella foto oppure tessera) ha potuto continuare a usare la propria Tesla. Lo so perché durante il guasto dei server di Tesla, avvenuto intorno alle 21:40 GMT, ero in giro con la mia e non mi sono nemmeno accorto del guasto. L’ho chiusa, aperta e avviata tranquillamente usando il telecomando apposito.

Ma l’idea degli utenti appiedati a causa delle loro auto troppo tecnologiche era giornalisticamente troppo ghiotta. Per esempio, BleepingComputer ha titolato “Tesla owners unable to unlock cars due to server errors” (poi ha corretto premettendo “Some”). Poi l’articolo stesso spiegava come stavano realmente le cose: “However, users can still unlock their cars using their phones over Bluetooth, via key card, or via key fobs.”

Anche la BBC ha titolato in modo ingannevole “Tesla drivers left unable to start their cars after outage”.

Una volta tanto, Repubblica ha invece tweetato correttamente: “Tesla, interruzione sul server: molte auto del marchio non si avviano con la app in diversi paesi del mondo. Musk: "Ora ok, faremo controlli"”

I server di Tesla sono ora di nuovo online e tutto è tornato alla normalità.

Lasciando da parte la non-notizia, può essere utile chiarire il funzionamento delle “chiavi” di una Tesla per chi non ha una di queste auto ed è stato fuorviato da dicerie e scarsa chiarezza delle informazioni diffuse da molte fonti.

In sostanza, le auto di Tesla non hanno una chiave propriamente detta per aprire le portiere o per avviarle: non hanno un oggetto metallico sagomato da infilare in una serratura (e non hanno serrature o blocchetti di avviamento dotati di toppa). Come molte altre marche, hanno una chiusura esterna (di portiere, cofano e bagagliaio) e un avviamento che sono elettronici e possono essere comandati in molti modi.

Per esempio, possono essere azionati usando un telecomando (keyfob) oppure una tessera (keycard). Entrambi funzionano comunicando direttamente con l’auto via radio se si è vicini al veicolo. Se il telecomando o la tessera si trova dentro l’auto, consente di guidarla: non c’è una chiave di avviamento da inserire in un blocco a serratura. Il telecomando e la tessera funzionano anche senza Internet e senza copertura cellulare. 

Fra l’altro, il telecomando funziona anche se la batteria è scarica: basta appoggiarlo in un punto specifico della carrozzeria, dove c’è un apposito sensore che riconosce i componenti passivi presenti nel telecomando. La keycard non ha batteria e funziona passivamente, come fanno le carte di credito contactless.

Ma c'è anche un altro modo per aprire, chiudere e avviare una Tesla: l’app, da installare su uno smartphone. Se si è vicini all’auto, l’app comunica direttamente con essa via Bluetooth, senza aver bisogno di Internet. Se invece si è lontani dal veicolo, l’app comunica via Internet attraverso i server di Tesla.

Pertanto l’unico caso in cui un guasto ai server di Tesla impedisce l’uso dell’auto è se l’utente ha con sé soltanto il telefonino e vuole comandare l’auto da remoto. Il comando remoto è utile, per esempio, per accendere il riscaldamento o l’aria condizionata prima di arrivare all’auto. 

A parte questo, una Tesla rimane perfettamente guidabile e tutti i comandi di bordo essenziali (luci, condizionatore, riscaldamento, eccetera) continuano a funzionare anche se i server di Tesla non sono accessibili. Del resto, può capitare di viaggiare in zone non coperte dalla rete cellulare o semplicemente di lasciare l’auto in un parcheggio molto schermato, per cui è ovvio che l’auto deve poter funzionare anche senza connettività cellulare.

Chi è rimasto a piedi durante l’interruzione del servizio dei server Tesla si è probabilmente affidato soltanto all’app, invece di portare con sé il telecomando e/o la tessera, e non sapeva come usare l’app via Bluetooth.

Andare in giro in auto contando su un’app e lasciando a casa il telecomando o la tessera è una totale sconsideratezza. Con qualunque marca di auto.


Fonti aggiuntive: Engadget, Electrek.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

2021/11/20

Antibufala: Tutti i green pass italiani sono su eMule! Spoiler: no

Vedo che si parla molto della scoperta di numerosi green pass italiani su eMule; è partita un’indagine d’urgenza del Garante Privacy italiano. 

Matteo Flora, nel video qui sotto, Dario Fadda su Cybersecurity360.it e Bufale.net hanno già fatto egregiamente il punto della situazione, per cui non mi dilungo, ma in estrema sintesi: lo scenario più plausibile, al momento attuale, è che molto banalmente numerosi utenti di eMule hanno scaricato il proprio certificato Covid e lo hanno lasciato nella cartella Downloads... che è quella che hanno messo in condivisione col mondo in eMule.

Per cui qualcuno ha semplicemente cercato il nome standard dei file dei certificati Covid e ne ha fatto incetta. Poi ha lasciato l’incetta a disposizione degli altri su eMule.

Non c’è nulla, al momento, che faccia pensare a una violazione dei sistemi informatici che generano i “green pass”.

Certo che bisogna essere dei Veri Geni per 

a) usare ancora eMule nel 2021

b) settarlo per accedere alla cartella Downloads generica 

c) salvare il proprio certificato Covid nella cartella Downloads...

... e poi indignarsi perché su eMule si trovano certificati Covid.

Prima che salti fuori il Solito Polemista che dice che lui usa eMule da anni e non gli è mai successo niente, vorrei ricordare che esiste Shareaza LE, una versione di Shareaza usata per il monitoraggio dei circuiti peer-to-peer, dove LE sta per Law Enforcement. Se usate eMule e simili, siete sorvegliati. Se scaricate o condividete (anche per errore) qualunque cosa il cui checksum sia nelle liste di contenuti proibiti gestite dalle agenzie governative di lotta al crimine, verrete identificati in men che non si dica.

Lo so perché ho avuto modo, pochi mesi fa, di vedere concretamente come funziona Shareaza LE e tutto il sistema internazionale di segnalazione per lavoro. Posso solo dire che è stato molto interessante. Linko un paio di esempi statunitensi (uno; due), ma i princìpi tecnici valgono anche in Europa.

Poi non dite che non vi ho avvisato.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

2021/11/19

Podcast RSI - Il punitore di cheater: chi bara ai videogiochi diventa pagliaccio


È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto). Questa è la versione Story, dedicata all’approfondimento di un singolo argomento.

I podcast del Disinformatico di Rete Tre sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano il testo e i link alle fonti della storia di oggi, sono qui sotto!

---

[CLIP: Giocatore indignato che protesta]

Siamo nel bel mezzo di una sessione del gioco Counter-Strike: Global Offensive. Il personaggio comandato da un giocatore è impazzito e ha cominciato a sparare agli altri personaggi suoi alleati. Ovviamente gli altri giocatori non la prendono bene e protestano.

Quello che questi altri giocatori non sanno è che il personaggio impazzito è comandato da un cheater, un giocatore disonesto che ha installato un software, denominato cheat, che gli dovrebbe consentire di barare e vincere più facilmente con dei trucchi ma che in realtà in questo caso altera il funzionamento del gioco in senso opposto, facendo compiere al disonesto azioni assurde tipo buttare via tutte le proprie armi o lanciarsi una granata sui piedi. L’effetto comico è garantito e il baro viene prontamente punito.

Questa è la storia di un punitore di cheater, che adesca chi non vuole giocare onestamente nei videogiochi e poi pubblica i risultati dell’adescamento su YouTube, e di come fa a ottenere questa dolce, comica vendetta.

[SIGLA]

I cheater sono una piaga dei videogiochi online: sono giocatori che installano software speciali che danno poteri maggiori rispetto agli altri giocatori. Per esempio, fanno diventare invulnerabili, aumentano le munizioni, migliorano la mira (sono i cosiddetti aimbot o triggerbot), permettono di vedere attraverso i muri oppure rallentano gli avversari.

Giocare a un videogame multiplayer quando ci sono i cheater è una pena totale: rovina il piacere della competizione. Comportamenti di questo genere sono vietati da quasi tutte le piattaforme di gioco, che sorvegliano la regolarità delle sessioni usando i cosiddetti programmi anti-cheat che rilevano situazioni anomale o successi sospetti. Fare il cheater significa rischiare di essere bannati, ossia buttati permanentemente fuori dal gioco. Ma i disonesti sono tanti e c’è sempre qualcuno che ci prova.

C’è però qualcun altro, una persona che si fa chiamare su Internet ScriptKid, che ha intrapreso una battaglia personale contro questi cheater e li punisce sfruttando la loro disonestà.

Nel 2019 ScriptKid ha creato una falsa cheat per Playerunknown’s Battlegrounds, o PUBG come lo chiamano comunemente i gamer, l’ha messa online presentandola come se fosse un’app di potenziamento e ha aspettato che i giocatori disonesti la scaricassero e installassero.

I risultati non si sono fatti attendere. I video delle sessioni di gioco in cui i bari pensano di stravincere e invece si lanciano inesplicabilmente fuori dalle auto in corsa, carambolando comicamente, o si buttano nel vuoto dagli edifici terminando la sessione di gioco e lasciando in pace i giocatori onesti hanno accumulato milioni di visualizzazioni su YouTube.

ScriptKid ha deciso così di dedicarsi anche a Counter-Strike: Global Offensive, un gioco sparatutto non nuovissimo ma ancora molto popolare. Ha scritto due finte cheat, CSGOReaper e RageMaker, che fanno fare cose assurdamente comiche a chi le installa sperando di acquisire superpoteri, poi le ha messe online pubblicizzandole tramite le inserzioni di Google per farle comparire nei risultati di ricerca di chi cerca soluzioni per barare ai giochi, e ha aspettato che i cheater di tutto il mondo le scaricassero.

Non ha dovuto aspettare a lungo neanche stavolta. Ciliegina sulla torta, le sue finte cheat registrano le figuracce dei bari e le mandano a lui. ScriptKid così pesca le migliori scene e le pubblica su YouTube, così tutti possono assistere per esempio a BurningMan, dove il baro si molla una granata sui piedi invece di lanciarla e poi sta fermo ad attendere che esploda; oppure a NoSpray4U, dove il cheater butta via tutte le proprie armi invece di azionarle a raffica; oppure a InvertMouseADS, che inverte i comandi del mouse quando si aziona il mirino, peggiorando catastroficamente la mira che il baro voleva invece migliorare disonestamente.

Le reazioni dei cheater quando vedono il loro personaggio ballare una sorta di tarantella o scagliare il fucile, venendo poi prontamente eliminato dagli altri giocatori invece di stravincere, sono imperdibili.

E poi c’è la penitenza finale: con BloodBrothers, ScriptKid modifica il gioco in modo che quando il mirino del baro passa sopra un compagno di squadra, il baro gli spara. Un autogol al quale gli altri giocatori rispondono subito facendo una kick, un’espulsione, del giocatore disonesto.

Lo spettacolo di questi personaggi super-macho che fanno cadere le proprie armi come dei dilettanti e rimangono impietriti a chiedersi cosa stia succedendo è irresistibilmente ridicolo. Ma come fa ScriptKid a mostrarci quello che è successo in una sessione di videogioco?

C’è un trucco nel trucco: le condizioni d’uso della falsa cheat creata da ScriptKid dicono esplicitamente che i replay, le registrazioni delle sessioni di gioco di chi installa quella cheat, gli verranno inviate. Solo che i disonesti cliccano sull’accettazione di queste condizioni senza leggerle e quindi non si rendono conto che non solo verranno sbeffeggiati pubblicamente ma hanno anche dato il consenso per farlo a ScriptKid.

Con questa tecnica il vendicatore comico ha accumulato quasi quattrocentomila iscritti sul proprio canale YouTube e sta cominciando a crescere anche su Discord e Twitch. Ha scritto delle false cheat per burlarsi anche dei bari in Minecraft. E cominciano ad arrivare le prime sponsorizzazioni. ScriptKid ha trovato il modo di far diventare remunerativo il mestiere di moderatore di videogiochi, sia pure con una tecnica piuttosto drastica.

Ovviamente il lavoro di ScriptKid non è stato accolto con entusiasmo dai bari, che lo odiano, per cui di lui si sa poco o nulla: non si fa vedere in viso e non si sa dove abiti o quanti anni abbia. Dall’accento si capisce solo che l’inglese non è la sua lingua madre. Ho cercato di intervistarlo per questo podcast, ma finora non ha risposto al mio invito. 

[2021/11/19 10:45. ScriptKid mi ha risposto, dandomi alcune informazioni molto limitate su di sé, ma non mi ha ancora dato il permesso di pubblicarle] 

[2021/11/22 9:50. Ho ricevuto il permesso: ScriptKid dice di avere una trentina d’anni e di provenire da un paese europeo. Aggiunge che ha speso ben più dei 600 dollari iniziali che mostra nei suoi video per pubblicizzare su Google la propria falsa cheat: ne ha spesi oltre 3000 in tutto, ma una volta arrivati gli sponsor li ha recuperati e sta reinvestendo i guadagni; questa attività resta per lui un hobby.]

Questo tipo di contrasto alla piaga dei cheater che rovinano tanti giochi può sembrare una forma di vigilantismo, ma la vena comica e la relativa innocuità della punizione hanno il sopravvento sulle preoccupazioni per eventuali abusi, e sapere che le cheat che si scaricano da Internet potrebbero avere effetti disastrosi può magari indurre qualche aspirante baro a stare sulla retta via e restare aspirante.

In ogni caso, le disonestà via software nei videogame sono un problema molto serio: alcuni paesi, come la Corea del Sud e la Cina, hanno reso legalmente punibile la vendita o l’uso di cheat, e non mancano le azioni legali anche in altri paesi. Per esempio, nel 2017 in California una sentenza ha condannato una ditta tedesca che distribuiva cheat a pagare 8 milioni e mezzo di dollari alla Blizzard, l’azienda creatrice di titoli popolarissimi come World of Warcraft e Overwatch.

La ragione di questo accanimento è molto semplice: la presenza dei cheater nei giochi online allontana i giocatori onesti e riduce gli incassi delle aziende che producono videogiochi. 

Le vendette digitali di ScriptKid, quindi, sono tutto sommato poca cosa rispetto alle punizioni inflitte dalle aziende produttrici di videogame: in alcuni casi il giocatore o la giocatrice che bara non solo si vede bannare l’account, ma si vede disabilitare direttamente la CD Key (la chiave unica e personale del gioco acquistato), per cui deve comprarne una nuova copia se vuole continuare a giocare. A volte i giochi intercettano anche i numeri seriali dei dischi rigidi o altri dati identificativi della console di gioco o del computer, per cui il giocatore disonesto che volesse rientrare nel gioco dovrebbe sostituire integralmente questi dispositivi.

Insomma, il gaming è una cosa seria: è un’industria che avrà ricavi, nel 2021, per circa 180 miliardi di dollari, ossia quasi il doppio di quelli dell’industria cinematografica mondiale, e che continua a crescere. Pensateci, la prossima volta che giocate. E se vedete qualcuno che ha una bravura sovrumana in un videogame, consolatevi e non sentitevi imbranati: magari è solo un cheater che non è ancora stato scoperto.

2021/11/16

Milioni di dati vaccinali italiani in vendita su Internet? Si cercano conferme e fonti

Un noto forum di hacking ha pubblicato un annuncio, al momento non verificato, secondo il quale sarebbero in vendita sette milioni e mezzo di dati vaccinali italiani risalenti a giugno 2021. Il venditore dice che i dati includono indirizzi di mail, password (per lo più hashed), “nomi, indirizzi, numeri di telefono, codici fiscali, date di nascita e altre informazioni personali”.

Il venditore ha pubblicato due campioni di questi dati, di cui riporto qui soltanto le strutture e i nomi dei campi:

Per il primo campione (circa 900 record): mail, nome, ruolo, cognome, data_nascita, gia_positivo, verificato_2, codice_fiscale, tel cellulare

Per il secondo campione: anno, mese, nome, email, giorno, status, cognome, altre_asl, privacy_1, privacy_2, verificato, data_nascita, verificato_2, cap_domicilio, cap_residenza, codice_fiscale.

Come sempre in questi casi, non è possibile verificare l’autenticità di queste asserzioni e un controllo a campione dei dati richiede tempo che non ho (anche perché quando ci provo le vittime si allarmano, si offendono o proprio non rispondono). Il riferimento vaccinale potrebbe benissimo essere stato aggiunto dal venditore per rendere più vendibili i dati sottratti.

Se le strutture e i nomi dei campi vi sono familiari perché siete fra i gestori di questi dati, prendete le misure opportune. Adesso sapete che siete stati probabilmente vittima di una sottrazione di dati personali.

 

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

2021/11/15

Follia russa nello spazio: un’arma antisatellite ha creato una nuvola di detriti orbitanti che minaccia la Stazione Spaziale Internazionale

Pubblicazione iniziale: 2021/11/15 23:46. Ultimo aggiornamento: 2021/11/17 11:00.

Oggi (15 novembre) la Russia ha compiuto un atto di totale incoscienza spaziale lanciando un’arma antisatellite, che ha colpito un suo vecchio satellite militare e lo ha trasformato in una nube di frammenti che ora orbitano intorno alla Terra e minacciano di colpire ad altissima velocità altri satelliti e anche la Stazione Spaziale Internazionale, con esiti potenzialmente catastrofici.

Gli astronauti a bordo della Stazione hanno dovuto interrompere le attività previste, chiudere i portelli divisori e collocarsi in aree meno esposte del loro avamposto.

Non è il primo test di un’arma antisatellite: ne hanno compiuti vari altri paesi (Stati Uniti, Cina, India e Russia). Ma questo è stato fatto in una fascia orbitale particolarmente pericolosa, perché è occupata da molti satelliti e in particolare dalla Stazione Spaziale Internazionale.

---

Le prime notizie sono arrivate nel tardo pomeriggio di oggi, segnalando che lo US Space Command era a conoscenza di un “evento generante detriti nello spazio” a seguito di voci di un test russo di un’arma antisatellite. Gli esperti civili hanno poi ritrovato un annuncio generico (NOTAM) russo che citava un lancio di un razzo Nudol dal cosmodromo di Plesetsk, sopra il quale era passato il satellite-bersaglio, rendendo credibile che il lancio sia stato un test antisatellite.

In ogni caso, i detriti di questo “evento” rischiavano di colpire e trapassare la Stazione Spaziale Internazionale, per cui si è resa necessaria una procedura d’emergenza a bordo.

Questa non è una scena tagliata da Gravity: è la chiamata molto reale del Controllo Missione agli astronauti della Stazione per avvisarli del pericolo.

Poco dopo si è saputo che il bersaglio colpito dall’arma russa era un vecchio satellite militare russo, o meglio sovietico, il Kosmos-1408 o Tselina-D, risalente al 1982 e in disuso. La sua frammentazione è stata confermata da LeoLabs.

Si tratta di un satellite piuttosto grande (massa di circa 2000 kg), di aspetto simile a quello mostrato qui accanto (fonte: Gunter’s Space Page), per cui ci si aspetta che la sua distruzione abbia generato centinaia o forse migliaia di frammenti. 

La sua orbita, a circa 480 km dalla superficie terrestre, è relativamente vicina a quella della Stazione, che sta a circa 400 km.


Il Dipartimento di Stato statunitense ha confermato questa ricostruzione e ha condannato pubblicamente l’azione russa, parlando di un test eseguito “sconsideratamente” e di comportamento “irresponsabile” della Russia.

Lo US Space Command ha preso posizione molto nettamente, dichiarando fra l’altro che “la Russia ha dimostrato deliberata indifferenza per la sicurezza, la stabilità e la sostenibilità a lungo termine dell’ambiente spaziale per tutti i paesi” e precisando che il test russo ha generato “oltre 1500 frammenti di detriti orbitali tracciabili e probabilmente ne genererà centinaia di migliaia di più piccoli” (che non sono tracciabili e quindi sono particolarmente pericolosi).

Questi detriti, dice lo US Space Command, “continueranno a essere una minaccia per le attività spaziali per anni, mettendo a rischio i satelliti e le missioni spaziali e obbligando a effettuare un maggior numero di manovre per evitare collisioni. Le attività spaziali sono alla base del nostro modo di vivere e questo tipo di comportamento è semplicemente irresponsabile”:

Il Daily Press Briefing del Dipartimento di Stato ne parla a 44:25:

Manca, al momento, qualunque dichiarazione russa [aggiornamento: è arrivata successivamente e la trovate più sotto].

L’equipaggio a bordo della Stazione Spaziale Internazionale si era nel frattempo rifugiato nei rispettivi veicoli spaziali di rientro in attesa del passaggio di una nube di detriti (presumibilmente la stessa) nelle vicinanze della Stazione. Gli astronauti Raja Chari, Tom Marshburn e Kayla Barron della NASA e l’astronauta europeo dell’ESA Matthias Maurer si sono piazzati nella loro Crew Dragon; i cosmonauti russi Anton Shkaplerov e Pyotr Dubrov e l’astronauta NASA Mark Vande Hei sono saliti a bordo della loro Soyuz.

Successivamente il Controllo Missione ha avvisato gli astronauti della Stazione che alcuni portelli stagni che dividono le varie sezioni della Stazione stessa dovranno restare chiusi fino a martedì (16 novembre) a causa del pericolo derivante dalla nube di detriti. Sono state annullate le attività di utilizzo del braccio robotico e l’equipaggio ha ricevuto un elenco degli orari dei vari passaggi della nube di detriti.

La Stazione attraverserà la nube di detriti ogni 90 minuti circa per almeno un giorno. Secondo LeoLabs, la nuvola ha attualmente (al 15/11) un diametro di circa 40 chilometri.

Questo è il Controllo Missione che consiglia (diciamo pure ordina) a Matthias Maurer di non dormire nella sezione russa ma di stare in quella statunitense invece che nel suo alloggio abituale (il modulo Columbus, che è stato chiuso).

La NASA ha pubblicato una dichiarazione nella quale il direttore generale (Administrator) dell’ente spaziale, Bill Nelson, parla di “azione irresponsabile e destabilizzante [...] È impensabile che la Russia metta in pericolo non solo gli astronauti statunitensi e internazionali sulla Stazione, ma anche i suoi stessi cosmonauti. Le sue azioni sono sconsiderate e pericolose e minacciano anche la stazione spaziale cinese e i taikonauti che sono a bordo”

La dichiarazione precisa che sono stati chiusi tutti i portelli che portano ai moduli della Stazione che sono disposti radialmente: Columbus, Kibo, il Permanent Multipurpose Module, il modulo espandibile Bigelow e l’airlock Quest. Restano aperti i portelli fra la sezione russa e quella statunitense.

Nel tweet qui sotto, i moduli accessibili all’equipaggio sono indicati in azzurro; quelli isolati sono in giallo. L’autore, Raffaele di Palma, mi segnala che “[r]ispetto alla situazione mostrata nella immagine, dall'ultima press release di NASA, si sa che il Node-3 è rimasto aperto (chiusi i moduli ad esso collegati BEAM/Cupola/PMM).”

Nelson ha dichiarato inoltre che ha “motivo di credere” che i funzionari dell’ente spaziale russo Roscosmos non fossero a conoscenza dell’intenzione del ministero della difesa russo di lanciare un missile antisatellite.

Qui invece vengono mostrati alcuni frammenti avvistati da Terra:

La nube si estende già fra 440 e 520 km di quota:

La diffusione stimata dei detriti di questo test russo è mostrata in questo tweet:

Molte ore più tardi l’ente spaziale russo Roscosmos ha pubblicato una prima reazione (in russo e in inglese) in cui dice (insieme a molte altre parole autoelogiative) “Per noi la priorità principale è stata e resta quella di assicurare la sicurezza incondizionata dell’equipaggio” e “Il sistema automatizzato russo di allerta per le situazioni pericolose nello spazio vicino (ASPOS OKP) continua a monitorare la situazione allo scopo di prevenire e contrastare ogni possibile minaccia alla sicurezza della Stazione Spaziale Internazionale e del suo equipaggio” .

I militari russi hanno confermato di aver distrutto il satellite sovietico Tselina-D e dicono che i suoi detriti non costituiscono e non costituiranno un pericolo per le attività orbitali (Interfax tramite Katya Pavlushchenko).

Sputnik News ha pubblicato (in italiano) una presa di posizione del Ministero della Difesa russo e del relativo ministro, Sergey Shoigu, secondo il quale “I frammenti del vecchio satellite, che si sono formati durante il test dell'armamento, non rappresentano una minaccia per le attività spaziali”.

Due astronauti, ossia due delle persone che hanno rischiato in passato di essere colpite da frammenti di detriti spaziali, la pensano diversamente. Terry Virts: “Space debris is an urgent matters [sic] that humanity needs to address, because it is essentially permanent. Russia’s anti-satellite weapons test today (near the ⁦ISS⁩ orbit) was beyond irresponsible, causing the ⁦@Space_Station⁩ crew to take shelter”. Chris Hadfield: “Deliberately creating space debris threatens the human lives on the space stations, and all space commerce. It is a selfish, short-sighted act”

Come sempre, l’ottimo Scott Manley fa il punto della situazione con dati, cifre e simulazioni:

Aggiornerò questo articolo man mano che ci saranno ulteriori sviluppi.

---

Questo è quello che si sa fino a questo punto. 

Per chi non ha familiarità con la meccanica del volo spaziale è facile sottostimare il pericolo rappresentato da questi frammenti. Sono piccoli, specialmente quelli che non sono tracciabili dai radar sulla Terra, e quindi hanno una massa molto modesta. Però hanno una velocità elevatissima e quindi contengono enormi quantità di energia cinetica. Questo li trasforma in proiettili estremamente penetranti anche se sono piccoli.

Facciamo due conti. Un oggetto orbitante alla quota del satellite distrutto (480 km) deve muoversi a circa 7,6 km al secondo (27.300 km/h) intorno alla Terra per restare in orbita. A titolo di confronto, un proiettile d’arma da fuoco viaggia a 0,9-1,5 km al secondo (3200-5400 km/h). 

Anche la Stazione Spaziale Internazionale orbita grosso modo alla stessa velocità, per cui in caso di impatto le velocità possono sommarsi (in caso di collisione frontale, con il detrito che viaggia in direzione opposta), annullarsi parzialmente (se il detrito e la Stazione viaggiano nella stessa direzione) o combinarsi in vari modi (se le direzioni sono differenti). In altre parole, comunque vadano le cose, la Stazione verrebbe colpita da oggetti di vari grammi (o chili) che viaggiano più veloci di un proiettile.

Schema della collisione fra un frammento del satellite cinese Fengyun 1C, distrutto intenzionalmente dalla Cina in un test di armi antisatellite nel 2007, e il satellite russo BLITS 35871 (gennaio 2013). Fotogramma tratto dal video di Scott Manley citato sopra.

Per farsi un’idea dei danni potenziali, questo è il risultato della collisione di un frammento di plastica del peso di quattordici grammi che viaggia a 24.000 km/h.

Altri video di collisioni dimostrative a ipervelocità sono qui presso la NASA.

Piccolo inciso: la scena di Gravity in cui gli astronauti vedono arrivare la nuvola di frammenti è totalmente irrealistica. In qualunque caso, i detriti viaggerebbero a velocità talmente elevate che non ci sarebbe il minimo preavviso visivo. Tanto varrebbe aspettarsi di vedere una palla di cannone che ti sta arrivando addosso.

Un altro aspetto poco intuitivo è che la nube di detriti non ricade: ha la stessa velocità orbitale che aveva il satellite ora distrutto, e quindi continua a restare in orbita, diffondendosi progressivamente. Molti di questi frammenti restano in orbita a lungo: un frammento cinese prodotto nel 2007 ha rischiato la collisione con la Stazione Spaziale di recente.

E anche se lo spazio è vasto, le collisioni prima o poi accadono: la Stazione è già stata colpita varie volte, fortunatamente in modo non letale, ma porta i segni di questi danni nei sui grandi pannelli solari trapassati da microdetriti. 

Questi sono i dati principali dei vari test antisatellite effettuati con successo (ossia con distruzione del bersaglio) finora:

  • Russia/Unione Sovietica (1970)
  • Stati Uniti (1985): 525 km; colpisce il satellite statunitense Solwind P78-1
  • Cina (2007): 865 km; colpisce il satellite cinese Fengyun-1C.
  • Stati Uniti (2008): circa 250 km; colpisce il satellite militare statunitense USA-193
  • India (2019): 300 km; colpisce il satellite indiano Microsat-R
  • Russia (2021); colpisce il satellite sovietico Kosmos 1408.

Il problema a lungo termine è che una nube di detriti prodotta da uno di questi test possa colpire e distruggere altri satelliti, che a loro volta creerebbero altre nubi di frammenti, che colpirebbero altri satelliti, e così via, disabilitando moltissimi servizi satellitari civili e militari, da Internet alle TV alla meteorologia al monitoraggio del territorio e dell’atmosfera, in una reazione a catena denominata Sindrome di Kessler perché fu ipotizzata nel 1978 da Donald Kessler e Burton Cour-Palais in un articolo fondamentale intitolato Collision frequency of artificial satellites: The creation of a debris belt

Specialmente con l’avvento delle grandi costellazioni di satelliti per telecomunicazioni come StarLink di SpaceX, composte da migliaia di piccoli satelliti collocati a circa 550 km di quota, il rischio di un effetto valanga diventa ancora più alto.


Una scena dal film di fantascienza Gravity (2013). Fonte: Movie Screencaps.

Non siamo nello scenario catastrofico di Gravity, ma poco ci manca.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

2021/11/12

Podcast del Disinformatico RSI 2021/11/12: Api e robotaxi, gli inganni della guida autonoma


Ultimo aggiornamento: 2021/11/14 9:30.

È disponibile subito il podcast di oggi de Il Disinformatico della Rete Tre della Radiotelevisione Svizzera, condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto). Questa è la versione Story, dedicata all’approfondimento di un singolo argomento. 

Questa puntata è una riedizione aggiornata e ampliata di un mio articolo di giugno 2021, che contiene informazioni di sicurezza automobilistica che credo meritino di essere ripetute e soprattutto diffuse anche a chi ascolta i podcast, magari in auto, ma non legge i blog, ora che le auto a guida assistita, specialmente le Tesla, stanno avendo un picco di vendite.

I podcast del Disinformatico di Rete Tre sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano il testo e i link alle fonti della storia di oggi, sono qui sotto!

---

Si parla tanto di intelligenza artificiale applicata alla guida autonoma, e YouTube è piena di pubblicità e dimostrazioni di come le auto più moderne siano, almeno in apparenza, in grado di viaggiare da sole. Nomi come Waymo, Cruise, Tesla annunciano l’imminenza dei robotaxi: alcune aziende già offrono il servizio a livello sperimentale. Ma questi video possono essere molto ingannevoli.

Dimostrazione del “robotaxi” di Waymo a guida interamente autonoma.
Dimostrazione del software FSD beta di Tesla (non ancora disponibile in Europa e rilasciato in USA solo a un numero limitato di utenti).

Questa è la storia di tre princìpi che possono creare un’illusione di competenza di questi robotaxi annunciati, che può portare a gravi incidenti in cui l’informatica incompresa ha un ruolo centrale, e di come le menti migliori del settore stanno cercando di risolvere questo problema.

---

Ci sono tre princìpi fondamentali per capire il motivo e il pericolo degli attuali sistemi di guida assistita, quella in cui il conducente resta comunque responsabile, e di guida autonoma, quella in cui il conducente non conduce ma è semplice passeggero passivo.

Il primo principio è questo: l’intelligenza artificiale usata per la guida autonoma o assistita, più precisamente la sua parte denominata machine learning, è semplicemente un riconoscimento di schemi e non costituisce “intelligenza” in alcun senso significativo della parola.

Secondo principio: il riconoscimento di schemi fallisce in maniera profondamente non umana e in situazioni che un umano invece sa riconoscere in maniera assolutamente banale. Questo rende difficilissimo prevedere e gestire i fallimenti del machine learning e quindi rende pericolosa la collaborazione umano-macchina.

Terzo principio: qualunque sistema di guida autonoma o assistita basato esclusivamente sul riconoscimento degli schemi è destinato a fallire in maniera imbarazzante e potenzialmente catastrofica.

    Prima di spiegare i dettagli di questi tre princìpi, riassumo cosa si intende per machine learning: in estrema sintesi, si danno in pasto a un software tantissimi esempi di una cosa, tantissimi esempi di cose differenti (ossia che non sono quella cosa) e lo si “premia” quando riconosce correttamente la cosa in questione.

    Questo apprendimento automatico può raggiungere livelli di affidabilità altissimi e in molti casi funziona egregiamente. Il riconoscimento ottico dei caratteri e il riconoscimento vocale sono esempi di grande successo del machine learning

    Ma si può dire che un sistema di riconoscimento di testi sia intelligente? Capisce che sta leggendo un sonetto di Shakespeare o una mail di spam, e può quindi adeguarsi di conseguenza? È in grado di considerare il contesto e di usarlo per risolvere ambiguità?

    No, perché non ha conoscenza del mondo reale; conosce soltanto delle forme (le lettere) e assegna loro una probabilità di corrispondere a uno dei modelli che conosce. Non sa nulla del loro significato e quindi non può correggersi di conseguenza. E non importa quanti miliardi di campioni di lettere o di parole gli si danno: non acquisirà mai la comprensione del testo.

    Ogni tanto questi sistemi di riconoscimento sbagliano, ma non è un problema. Se un sistema di riconoscimento di testi “legge” una parola al posto di un’altra non muore nessuno. Se Alexa crede che l’abbiate chiamata, quando invece stavate pronunciando il nome della vostra spasimata Alessia durante un momento di passione, il peggio che può succedere è che la registrazione del vostro amplesso finisca nel cloud di Amazon e venga scambiata fra i dipendenti dell’azienda che fanno il monitoraggio dei campioni audio. Imbarazzante, ma probabilmente non letale.

    La ragazza che si chiama Alessia è un cosiddetto edge case: un caso limite, una situazione rara che però fa sbagliare clamorosamente il sistema di riconoscimento.

    Questi sbagli avvengono in modi strani, perché l’addestratore umano, quello che insegna al software a riconoscere una forma o un suono, non riesce a calarsi nella “visione del mondo” che ha quel software e non riesce ad anticipare tutti i modi possibili nei quali potrebbe prendere un granchio, e non riesce quindi a insegnargli a riconoscere tutti questi casi limite.

    Lo ha spiegato benissimo uno che di queste cose ne capisce a pacchi, Andrej Karpathy. È direttore del reparto di intelligenza artificiale di Tesla, un’azienda che sta basando i propri sistemi di guida assistita (per ora) e autonoma (in futuro) sul riconoscimento visivo degli oggetti. In una sua lezione magistrale del 2018 ha mostrato due esempi fra i tanti. 

    [Mi correggo rispetto a quello che dico nel podcast: gli esempi del 2018 sono quelli qui sotto; l’esempio della bici è tratto invece da una sua conferenza del 2019, linkata più avanti]

    Quante auto sono? Una, quattro o due?
    Come si possono annotare (identificare per il software) le linee di corsia quando fanno così?

    Un’auto caricata a coda in avanti su una bisarca: è un’auto in contromano?

    Credit: Roman Babakin / Shutterstock (fonte).

    Una bici montata di traverso sul retro di un’auto: è una bici che sta tagliando la strada al conducente, che quindi deve frenare?

    Dal Tesla Autonomy Day (2019) a 2:06:25.

    Un altro esempio molto concreto di questi edge case viene successivamente pubblicato con clamore e divertimento su Reddit: un camion ha dei cartelli di stop dipinti sul portellone posteriore, e il sistema di riconoscimento ottico dei cartelli di una Tesla li etichetta e li mostra come se fossero cartelli reali.

    Cosa succede se il sistema di decisione dell’auto ritiene che quei cartelli disegnati siano reali e quindi inchioda in mezzo alla strada, creando la situazione perfetta per un tamponamento a catena? 

    Ìl sistema è sufficientemente sofisticato da tenere conto del contesto e quindi “sapere” che i cartelli stradali normalmente non si muovono lungo le strade, e quindi è in grado di rigettare il riconoscimento e ignorarlo nelle sue decisioni di guida?

    Un conducente umano, avendo conoscenza del mondo, non avrebbe la minima esitazione: “sono chiaramente cartelli dipinti sul retro di un camion, li posso tranquillamente ignorare”. Un sistema di guida autonoma o assistita non è necessariamente altrettanto consapevole. E soprattutto il conducente potrebbe essere in difficoltà nell’anticipare questi possibili errori che lui non commetterebbe mai.

    Si potrebbe pensare che incontrare un veicolo con dei cartelli stradali disegnati sul retro sia un caso raro. Ma è stato pubblicato online un altro caso ancora più bizzarro: una Tesla Model 3 viaggia a 130 km/h e mostra un flusso costante di semafori che appaiono dal nulla sulla corsia del conducente.

    Un essere umano sa in un millisecondo che questo è impossibile, perché ha conoscenza del mondo e sa che i semafori non volano e non compaiono dal nulla; il sistema di guida assistita no, perché non “sa” realmente che cosa sono i semafori nel mondo reale e quindi non “sa” che non possono apparire dal nulla a 130 km/h.

    Che cosa ha causato questo clamoroso errore di riconoscimento? Un camion che trasportava semafori.

    E non è l’unico caso segnalato dagli utenti di queste auto: altri conducenti hanno citato addirittura camion che trasportavano semafori accesi, che sono stati riconosciuti come impossibili semafori volanti dalle loro auto.

    Per non parlare delle bandiere verticali della Coop, nelle quali la forma circolare delle lettere viene scambiata per quella delle luci di un semaforo.

    [Ho aggiunto i due esempi seguenti, che mostrano la Luna scambiata per un semaforo e un camion il cui retro è uno schermo che mostra la strada davanti al camion stesso, dopo la chiusura della registrazione del podcast]

    Questo è esattamente il tipo di errore che un conducente umano non commetterebbe mai e che invece un sistema di guida basato esclusivamente sul riconoscimento delle immagini farà, e farà in circostanze imprevedibili. Con conseguenze potenzialmente mortali. Se state valutando un’auto dotata di questi sistemi, pensateci bene. Se ne avete una, pensateci ancora di più.

    Certo, gli umani commettono altri tipi di errori, per cui alla fine l’obiettivo di questi sistemi non è creare una soluzione di guida assolutamente infallibile, ma semplicemente una che fallisca mediamente meno (ossia causi meno incidenti) della media dei conducenti umani.

    Ma tutto questo vuol dire che la guida autonoma basata sul riconoscimento puro degli schemi è impossibile? Non è detto.

    Una soluzione potrebbe essere semplificare l’ambiente operativo, creando strade su misura, rigidamente normate, accessibili soltanto a veicoli autonomi o assistiti. Per esempio, un ascensore (che in sostanza è un treno verticale in una galleria verticale chiusa) è un sistema di “guida autonoma” affidabilissimo, che richiede pochissima “intelligenza” grazie a un ambiente operativo ipersemplificato.

    Allo stesso tempo, va notato che ci sono esempi di sistemi che interagiscono egregiamente con un ambiente operativo complesso pur avendo una “intelligenza” molto limitata: le api. Con un solo milione di neuroni riescono a navigare, interagire con i fiori, comunicare con le altre api, gestire gli aggressori e avere una società complessa e organizzata. hanno persino delle “votazioni”).

    Noi abbiamo cento miliardi di neuroni, cioè centomila cervelli d’ape, a testa e a volte non riusciamo a capire come indossare una mascherina o perché. Chiaramente c’è un margine di ottimizzazione che le api sfruttano e noi no, ma è anche vero che un’ape va in crisi quando incontra l’edge case di una cosa che non esiste in natura, tipo una barriera trasparente: il vetro di una finestra.

    È anche possibile che estendendo il concetto di riconoscimento degli schemi all’asse del tempo (ossia imparando a riconoscere come cambia un oggetto nel corso del tempo) ed estendendo il concetto di schema a oggetti complessi come incroci, rotatorie e attraversamenti pedonali, si riesca a ottenere risultati accettabili.

    [Aggiungo un esempio di tentativo di ricostruzione dell’ambiente 3D tramite riconoscimento di immagini lungo l’asse del tempo, proposto da Karpathy di Tesla nel 2019. Il video dovrebbe partire già posizionato nel momento esatto, altrimenti andate a 2:16:40]

    Ma tutto questo richiede un database di esempi colossale, una classificazione vastissima e una potenza di calcolo ancora più colossale. Nessuno dei sistemi attualmente in commercio ci si avvicina. Siate prudenti e non fidatevi dei video su YouTube.

    Pagine per dispositivi mobili