Cerca nel blog

2022/02/28

Un tentativo di phishing molto realistico su Twitter rivela le tecniche d’inganno usate dai truffatori. E una mia figuraccia

Ultimo aggiornamento: 2022/03/03 8:15. Questo articolo è disponibile anche in versione podcast audio.

Poche ore fa mi è arrivato su Twitter questo messaggio diretto:


Laccount di nome Feedback Team, autenticato con tanto di bollino blu, mi ha segnalato una mia violazione del copyright e mi ha detto che il mio account sarebbe stato rimosso entro 48 ore se non avessi dato spiegazioni usando il link appositamente fornito.

Per qualche secondo mi sono allarmato, perché in effetti era possibile che io avessi commesso una violazione di copyright in qualche immagine che avevo postato, e l’account dal quale proveniva la segnalazione era davvero autenticato: cliccando sul suo bollino, infatti, compariva la normale informativa di Twitter sui motivi dell’autenticazione, che diceva che l’account dal quale mi era arrivata la segnalazione era “verificato poiché è considerato degno di nota nella categoria delle istituzioni, dell’attualità, dello spettacolo o di un altro settore specifico.”

 

Ma si trattava di una trappola ben costruita. Non era affatto un account tecnico di Twitter, nonostante fosse autenticato.

Il primo ingrediente di questa trappola era la psicologia. Il testo del messaggio era fatto su misura per creare ansia nel destinatario, tramite la minaccia di chiusura dell’account.

E confesso che ha funzionato. Nonostante io non sia -- come dire -- di primo pelo in fatto di sicurezza informatica, la mia mente non ha nemmeno fatto caso alle motivazioni dell’autenticazione: ha semplicemente registrato il fatto che l’account era autenticato. Non mi sono accorto che un account di supporto tecnico di Twitter non c’entrava nulla con “istituzioni”, “attualità” o “spettacolo”. Voi ci avete fatto caso? Ecco un esempio perfetto dei corti circuiti mentali che si instaurano quando si è agitati. I truffatori li conoscono benissimo e li sfruttano senza pietà. 

L’unico elemento che mi ha insospettito è stato il link a Google. Perché mai Twitter avrebbe dovuto appoggiarsi a Google per ospitare le pagine di richiesta di giustificazione?

Così mi sono fermato un momento a pensare e ho provato a controllare il nome dell’account del presunto Feedback Team di Twitter: non quello indicato da Twitter, ma quello presente nel link associato al messaggio: era https://twitter.com/reazlepuff

Decisamente non era un nome plausibile per un account tecnico di Twitter. Però era autenticato. Come era possibile che un truffatore avesse un account autenticato? 

Lo spavento che avevo preso, e la consapevolezza che la trappola ben congegnata avrebbe causato danni a tanti, mi ha fatto inviperire e quindi ho lasciato al truffatore un messaggio di risposta decisamente colorito ("F*** you, phishing ***hole", ma senza gli asterischi). 

Me ne sarei pentito poche ore dopo.

Lo scopo della trappola era il phishing, ossia il tentativo di rubare login e password. Me ne sono accordo quando ho visitato con molta cautela (cioè con un browser di una macchina virtuale) il link a Google indicato nel tweet del truffatore, ossia sites.google . com/view/case-02506828635-tw/ (copia permanente). Sullo schermo compariva quella che sembrava essere una pagina di login di Twitter, con tutta la grafica giusta e le diciture corrette, ma era in realtà gestita dal truffatore.

Chiunque avesse immesso il proprio nome utente e la propria password in questa pagina avrebbe inviato questi dati al ladro, dandogli tutto il necessario per prendere il controllo dell’account (salvo che avesse attivato l’autenticazione a due fattori, cosa che purtroppo molti utenti ancora non fanno).

Così ho segnalato subito a Twitter e a Google l’account truffaldino, rispettivamente tramite l’account @TwitterSafety e la pagina Safebrowsing.google.com.

Restava il mistero di come avesse fatto il truffatore ad avere un account autenticato. 

Una possibile spiegazione era che si trattasse di un account che era stato rubato a una persona reale, che in precedenza si era fatta autenticare da Twitter, in modo da avere il bollino blu di garanzia. In questo caso non sarebbe stato il ladro a ingannare i servizi di autenticazione di Twitter: più semplicemente, il truffatore avrebbe ereditato l’autenticazione fatta regolarmente dalla sua vittima. Questa sarebbe stata tutto sommato una buona notizia, perché avrebbe significato che il sistema di autenticazione non era stato compromesso.

Ma se le cose erano andate così, chi era la vittima autenticata? L’autenticazione su Twitter non è facile da avere, per cui doveva trattarsi di una persona o di un ente di una certa fama. Il nome reazlepuff non sembrava fornire indizi. Mi ci è voluta una ricerca approfondita nel motore di ricerca interno di Twitter (twitter.com/search) per trovare non tanto i suoi tweet, perché il truffatore li aveva nascosti, ma i tweet delle persone che le avevano scritto prima del furto dell’account (con la query https://twitter.com/search?lang=it&q=(to%3Areazlepuff)&src=typed_query). Questa ricerca indiretta mi ha permesso di scoprire di chi si trattava. 

Ed è lì che è partito il mio imbarazzato pentimento.

Infatti la vittima del furto di account, la persona il cui account autenticato veniva adesso usato per trarre in inganno altri utenti di Twitter e rubare i loro account, era Reality Winner, ex specialista di intelligence statunitense, condannata nel 2018 a cinque anni di carcere in una vicenda di whistleblowing molto clamorosa e controversa, finita in prima pagina su molti giornali statunitensi, per aver fornito alla stampa senza autorizzazione dei documenti governativi segreti sulle interferenze russe nelle elezioni americane del 2016: materiale di importanza cruciale per l’opinione pubblica.

In difesa di Reality Winner si erano schierate associazioni come la Electronic Frontier Foundation e la Freedom of the Press Foundation. La sua storia è raccontata qui da USA Today.

Sono riuscito a contattarla privatamente via Instagram, dove mi ha confermato di essere lei la titolare dell’account Twitter rubato e che stava cercando di riprenderne il controllo. L’autenticazione a due fattori non era stata violata.

È stato a quel punto che mi sono ricordato che avevo lasciato quel messaggio di insulti destinato al ladro, e mi sono reso conto che Reality Winner, una volta ripreso il controllo del proprio account, l’avrebbe letto e avrebbe pensato che fosse stato rivolto a lei. 

Insomma, le mie prime parole su Twitter a una nota whistleblower finita in prima pagina, a una persona che si era appena fatta cinque anni di carcere per difendere la libertà di stampa e fornire al pubblico informazioni politicamente vitali e che si stava da poco riaffacciando a Internet oltre che alla vita normale dopo cinque anni di sostanziale isolamento digitale, sarebbero state “F*** you".

Mi sono precipitato a tentare di cancellarle, ma Twitter non consente di eliminare i messaggi diretti. Così ho riscritto di corsa a Reality Winner via Instagram, scusandomi profondamente e avvisandola che ero io il colpevole della pessima accoglienza verbale che avrebbe trovato.

Per fortuna l’ha presa molto sportivamente e mi ha perdonato con garbo quando il suo account è stato ripristinato (e la pagina del truffatore ora viene segnalata molto vistosamente come pericolosa da Google, come mostrato qui sotto). Ma la mia figuraccia resta. Mi raccomando: non fidatevi dei messaggi di avviso, neanche se arrivano da account autenticati, e soprattutto imparate dalle mie gaffe.


2022/02/27

Dopo l’invasione russa dell’Ucraina, che si fa con Kaspersky?

Pubblicazione iniziale: 2022/02/27. L’articolo è stato modificato estesamente per tenere conto degli ultimi sviluppi della situazione. Ultimo aggiornamento: 2022/03/16 21:00.

L’invasione russa in Ucraina ha attivato una serie di sanzioni internazionali che riguardano molte aziende russe o legate alla Russia, e fra queste c’è anche il noto produttore di software di sicurezza Kaspersky

Mi stanno arrivando parecchie domande su cosa fare in particolare con gli antivirus di Kaspersky. La tesi che gira maggiormente è che siccome il fondatore e CEO, Eugene Kaspersky, è un ex membro del KGB, allora non ci si dovrebbe fidare dei prodotti della sua azienda. Inoltre si fa notare che il governo statunitense ha vietato già nel 2017 alle agenzie federali di usare software di Kaspersky.

È vero che Eugene Kaspersky ha studiato alla scuola del KGB e ci ha lavorato (Stefano Quintarelli), però temere che l'azienda annidi trappole pro-Russia nei suoi prodotti perché il suo CEO è un "ex KGB" suona un po' come dire "non mi fido dei consigli informatici di Edward Snowden, è un ex dell’NSA". Tantissimi dei migliori esperti del settore informatico sono passati dalle rispettive scuole tecniche militari.

Inoltre l'azienda non è composta solo dal suo CEO. Ci lavorano tecnici esperti di moltissimi paesi del mondo, e in seguito alle accuse statunitensi Kaspersky ha attivato una serie di Centri di trasparenza o Transparency Center che consentono ai partner fidati e agli enti governativi di esaminare il codice dei suoi prodotti. Uno di questi Centri di Trasparenza si trova a Zurigo.

Alcuni giorni fa Kaspersky Lab Italia ha inviato una lettera ai suoi clienti (di cui ho copia ma che non pubblico per tutela delle fonti), nella quale rassicura sui princìpi aziendali e sulle misure prese per mantenere la continuità operativa nonostante gli embargo verso la Russia. Queste misure comprendono i data center, che già da novembre 2018 sono stati gradualmente trasferiti in Svizzera e altri paesi. Resta da vedere se tutto questo basterà a convincere i clienti.

Come sempre in questi casi, bisognerebbe basarsi sulle prove, non sui sospetti. Ci sono prove? Bene, allora si può ragionare. Non ci sono prove? Allora forse è meglio evitare decisioni di pancia. Anche il divieto statunitense è stato emanato senza fornire alcuna prova concreta, e anche il Centro per la cibersicurezza britannico (NCSC) nota che non ci sono motivi robusti (“no compelling case at present”) per sconsigliare l’uso del software di Kaspersky.

Fabio Pietrosanti ha fatto un’inchiesta su Kaspersky (l’azienda): leggetela. Leggete anche l’articolo di Stefano Quintarelli su Il Post che nota che Kaspersky è certificata per l’uso in ambiti classificati, ma solleva “la questione dell’opportunità di una riflessione a lungo termine in merito a chi affidare la scansione di tutti i contenuti digitali (con antivirus ed altre tecnologie), in particolare di quelli ospitati nelle organizzazioni pubbliche e private che rientrano nel “perimetro cibernetico” italiano.” Ma sempre Quintarelli, nello stesso articolo del Post, nota anche che Kaspersky si occupa molto direttamente della sicurezza informatica delle infrastrutture governative russe.

Il problema, in effetti, è che un antivirus è un software che ha pieno accesso ai dati e al sistema operativo, per necessità, e quindi è indispensabile potersene fidare completamente.

Conviene insomma ragionare con calma per decidere se si vuole cambiare prodotto o no, quale prodotto scegliere e come fare bene una migrazione che non crei una vulnerabilità proprio in un momento delicato come questo. Le decisioni avventate raramente si sposano bene con la sicurezza informatica.

Nel passare a un prodotto alternativo, bisogna anche valutare quanta fiducia si può dare al paese dal quale proviene quel prodotto alternativo. Sarebbe ingenuo pensare che solo le aziende russe possano avere legami governativi scomodi. L’ente statunitense di sorveglianza NSA, per esempio, ha alterato di nascosto i router della Cisco, tanto per dire, e nel 2020 è emerso il caso della società Svizzera Crypto AG, che produceva dispositivi di cifratura venduti in tutto il mondo ma modificava quelli forniti ad alcuni paesi, in modo da consentire alla CIA e ai servizi segreti tedeschi di sorvegliare gli utenti di quei paesi.

In questa valutazione è opportuno considerare, per esempio, se il prodotto è open source e quindi liberamente ispezionabile. È più difficile annidare trappole in un prodotto open source che in uno a sorgente chiuso. 

[2022/03/13: l’esperto di sicurezza informatica Corrado Giustozzi, sul Corriere, descrive un modo elegante in cui un antivirus, pur essendo open source e completamente trasparente e anche ispezionato da autorità terze affidabili, può agire per conto di un aggressore: è sufficiente che i creatori dell’antivirus intenzionalmente non gli facciano rilevare il malware usato dall’aggressore. Una tecnica, aggiungo, già usata in passato da alcuni antivirus nei confronti di malware commerciale e forse anche malware governativo.] 

Infine non va dimenticato il contributo dei ricercatori di tutto il mondo che lavorano per Kaspersky Labs, che danno una mano importante da anni nella difesa contro il malware e pubblicano info preziose sui malware circolanti. Fra l’altro, la qualità del software antivirus di Kaspersky è ritenuta molto alta e superiore a molti prodotti alternativi come Norton o Trend Micro:

“Kaspersky’s malware scanner has been tested as recently as fall of 2020 by major testing labs. It performed extremely well, capturing 100% of zero-day malware and 100% of widespread malware, with fewer false positives than a close competitor Norton. SE Labs in London confirmed that this 100% record resulted from blocking the malware from being installed, rather than dismantling it once it had been installed. Only Trend Micro had a similarly perfect record, while top products like Norton and Microsoft allowed a few pieces of malware to be installed before neutralizing them.” (Cybernews).

C’è anche un altro aspetto pratico importante da considerare a proposito di Kaspersky: in caso di embargo sui prodotti russi potrebbero esserci problemi di supporto tecnico o di aggiornamento. E c’è anche la questione del messaggio politico di isolamento e di protesta che si potrebbe dare abbandonando un prodotto considerato “russo”. 

Non è una situazione facile, insomma. Ma in sintesi: se usate Kaspersky e vi sentite più tranquilli a cambiare prodotto di sicurezza, è perfettamente comprensibile. Però pensateci bene e pianificate altrettanto bene l’eventuale sostituzione.

---

Full disclosure: non uso prodotti Kaspersky, a parte un porta-carte di credito schermato che ho ricevuto in omaggio. Ma se essere contigui è indice di colpa, preciso che sì, una volta sono stato a pochi metri da Eugene. Insieme a Neil deGrasse Tyson, Oliver Stone e Larry King. Allo Starmus Festival, a Trondheim, nel 2017. Non ci siamo parlati :-)

---

2022/03/15 23:10. L’ente di sicurezza informatica governativo tedesco BSI (Bundesamt für Sicherheit in der Informationstechnik) ha pubblicato un avviso ufficiale (in tedesco) sull’uso dei prodotti Kaspersky, mettendo in guardia non solo a proposito di quello che potrebbero fare, ma anche di quello che potrebbero essere costretti a fare da altri. Il BSI ha anche pubblicato una FAQ apposita dedicata a Kaspersky e altre info sono su Der Spiegel, sempre in tedesco.

Kaspersky ha pubblicato una replica.

---

2022/03/16 6:45. Il CSIRT italiano ha pubblicato una raccomandazione sulle “implicazioni di sicurezza derivanti dall’utilizzo di tecnologie informatiche fornite da aziende legate alla Federazione Russa”. Non cita per nome Kaspersky, ma il senso è evidente. Consiglio di leggerla.


Fonti aggiuntive: SafetyDetectives, Wired UK.

2022/02/25

No, la Russia non ha minacciato di far precipitare la Stazione Spaziale. È una minchiata di un fanfarone, pompata dai giornalisti inetti

Per tutti quelli che mi stanno segnalando la "notizia" delle "minacce" russe di far precipitare la Stazione Spaziale Internazionale: È UNA SCEMENZA. Una trollata di un fanfarone. Alla quale non bisognerebbe abboccare. Fine della questione. Non intendo regalarle altro tempo.

Se proprio volete dedicare il vostro tempo a questa minchiata, potete leggere le misurate parole di Adrian Fartade:

L’unica cosa che precipita, qui, è la qualità del giornalismo che abbocca a qualunque provocazione propagandistica e contribuisce a fare terrorismo mediatico spaventando i lettori con pericoli totalmente irrealistici.

Podcast RSI - Piccola storia di phishing bancario: il seguito

Questo è il testo, con link, della seconda parte del mio podcast di questa settimana. Il testo della prima parte è invece qui.

Ho un aggiornamento sulla vicenda del ladro informatico che tenta di rubare i conti correnti alle vittime di cui vi ho parlato nella puntata precedente di questo podcast [e qui]. Riassunto veloce: qualcuno sta mandando moltissimi SMS a persone a caso, facendo sembrare che si tratti di messaggi provenienti da una banca. I messaggi contengono un link e un invito a cliccarvi su per verificare la propria situazione sul conto. Il link porta a un sito, gestito dal truffatore, che ha lo stesso aspetto del sito della banca presa di mira. Se la vittima cade nella trappola e vi immette i dati, regala le proprie credenziali al criminale.

Sembrava una vicenda classica di phishing, ma poi è emerso che il truffatore stava commettendo un errore tecnico madornale: il file nel quale registrava le login, le password e i dati delle carte di credito delle vittime era pubblicamente accessibile via Internet e quindi chiunque poteva leggerlo semplicemente conoscendone il nome (che è un nome assolutamente banale che si usa spessissimo in questi casi).

Questo mi ha permesso di contattare le vittime, molte delle quali immettevano nel sito del truffatore anche il proprio numero di telefonino, e così le ho allertate evitando il danno o perlomeno riducendo la portata del furto di credenziali.

Ma la vicenda non è finita: prima di tutto l’ufficio stampa della banca mi ha contattato per ringraziare delle segnalazioni e per avvisare che gli uffici interni della banca stessa sono stati allertati in modo che possano prendere le contromisure necessarie e fare le segnalazioni opportune. Questo proteggerà meglio i clienti e conferma che segnalare questi tentativi di furto non è inutile ma è anzi apprezzato.

In secondo luogo, è emerso che questo errore grossolano non è successo una sola volta, ma fa parte di una serie.

Non è chiaro se si tratti dello stesso ladro pasticcione che ripete l’errore in tutti i siti che crea o se si tratti di un kit standard per creare frodi bancarie che contiene questo difetto. Ma di fatto ci sono numerosissimi siti-truffa che hanno lo stesso schema colabrodo. Questo è bene, perché così è possibile avvisare le vittime.

In attesa che i ladri imbranati vengano assicurati alla giustizia o perlomeno neutralizzati, ognuno di noi può dare una mano a contrastarli. Ecco come.

La prima cosa da fare è, ovviamente, non abboccare a questi falsi allarmi e avvisare parenti, colleghi e amici di questo tipo di trappola. Non bisogna mai, mai, mai cliccare sui link presenti in questi messaggi.

La seconda cosa da fare è segnalarli a Google, presso Safebrowsing.google.com, cliccando su Report phish. In Svizzera si può inviare una segnalazione anche ad Antiphishing.ch per allertare il Centro nazionale per la cibersicurezza della Confederazione. In Italia si può inviare una segnalazione allo sportello online della Polizia Postale e delle Comunicazioni. Più in generale, si può segnalare il sito-trappola ad Antiphishing.org. Inoltre molti antivirus per telefonini avvisano l’utente se tenta di visitare un sito che finge di essere una banca e in molti casi bloccano direttamente l’accesso al sito in questione.

Se siete utenti più esperti, potete poi usare il comando whois in una finestra di terminale per sapere chi è il responsabile tecnico del server di hosting che ospita il sito dei truffatori e mandargli una mail di segnalazione, preferibilmente in inglese [qualcosa del tipo “Please note that you're hosting a phishing site that is stealing credentials from victims”, seguito dal link del sito]. Molti di questi responsabili non sono al corrente di tutto quello che succede sui loro server: non sono complici ma vittime, per cui ricevono volentieri segnalazioni che evitino un loro coinvolgimento in frodi bancarie. 

[Per esempio, ho trovato il sito di phishing mostrato qui sopra in hosting su Tripulante.mx. Così ho fatto un whois per scoprire che indirizzo di mail hanno i responsabili tecnici, amministrativi e di abuse di Tripulante.mx: il record whois punta (stranamente) direttamente a tech-iana chiocciola nic.mx, adm-iana chiocciola nic.mx e abuse chiocciola nic.mx. Ho mandato loro una mail con la segnalazione dell’URL di phishing e ho ricevuto conferma dell’apertura di un ticket al quale verrà data risposta entro 24 ore. Al momento in cui scrivo, però, l’URL è ancora attivo, anche se si sta riempiendo di credenziali farlocche immesse da utenti consapevoli del raggiro.


Meraviglioso.]

[Un’altra mia segnalazione, invece, è andata a buon fine. Il sito isp-info-intesa-com.preview-domain punto com ospitava una pagina di phishing che simulava Banca Intesa San Paolo:

Prima...
... e dopo.

Anche in questo caso ho usato whois per trovare la mail dell’abuse (abuse chiocciola hostinger punto com) e ho mandato una mail di segnalazione. Lo stesso è successo anche per un altro sito di phishing, aggiornadati2022 punto com.]

Se tutto questo vi sembra troppo complicato, per voi o per qualcuno che conoscete, ricordate soltanto la regola fondamentale: nessuna banca seria vi manderà mai un messaggino di allarme chiedendovi di cliccare su un link per avere maggiori informazioni. Quindi qualunque messaggio che faccia queste cose va semplicemente cestinato. E se è troppo tardi e avete immesso i vostri dati confidenziali nel sito dei truffatori, non perdete tempo e bloccate immediatamente il vostro conto corrente e la relativa carta di credito, chiamando direttamente la vostra banca o andandoci di persona. Non usate Internet.

Io, intanto, proseguo in buona compagnia il pedinamento dei ladri pasticcioni.

Podcast RSI - AirTag Apple, stalking troppo facile: ecco come rimediare

logo del Disinformatico

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto e condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto) e qui sotto.

I podcast del Disinformatico sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano il testo e i link alle fonti di questa puntata, sono qui sotto.

---

Sto pedinando digitalmente una donna per le vie di Lugano. La vedo mentre va a trovare un’amica, ha un incontro di lavoro, si ferma davanti ai negozi, entra in un centro commerciale e prende l’autobus per tornare a casa. La seguo comodamente, tramite un’apposita app sul mio smartphone, fino al suo indirizzo di abitazione. La cosa più strana è che i passanti mi stanno dando una mano a pedinarla, e neanche lo sanno.

Niente paura: la donna in questione è mia moglie e si è offerta volontaria per un test degli AirTag, i localizzatori elettronici di Apple, piccoli come bottoni, basati sulla tecnologia Bluetooth già usata per gli auricolari e per tanti altri accessori per smartphone, tablet e computer. Si attaccano per esempio alle chiavi di casa o a qualunque oggetto che si tema di perdere e permettono di ritrovarlo in caso di smarrimento. 

Non sono i primi localizzatori del genere sul mercato, ma gli AirTag hanno una caratteristica molto particolare: funzionano a grandi distanze, anche fuori dalla normale portata del Bluetooth, che è di qualche decina di metri, perché si appoggiano a tutti i telefonini Apple che si trovino nelle vicinanze. Lo fanno anche altri localizzatori di altre marche, come per esempio gli SmartTag di Samsung, ma nessun concorrente può contare su un numero così elevato di smartphone degli utenti, che diventano sensori inconsapevoli di una rete di tracciamento vastissima e capillare.

Finché un AirTag è a pochi metri dal suo proprietario, comunica direttamente usando i segnali radio del suo piccolo trasmettitore Bluetooth e gli può anche indicare in che esatta direzione e a che distanza si trova. Ma questo trasmettitore è intenzionalmente molto debole, per far durare a lungo la batteria incorporata. Così Apple usa una tecnica ingegnosa per estendere il raggio d’azione del suo localizzatore: qualunque iPhone che passi nelle vicinanze di qualunque AirTag e abbia il Bluetooth attivo riceve automaticamente il segnale identificativo di quell’AirTag e lo inoltra via Internet ad Apple. Se avete un iPhone, fate parte della rete di rilevamento degli AirTag e magari non lo sapete nemmeno.

[CLIP da Il Cavaliere Oscuro]

Lucius Fox: Hai trasformato ogni cellulare di Gotham in un microfono spia.

Batman: E in un generatore ricevitore ad alta frequenza.

Lucius Fox: Lei ha preso il mio concetto di sonar e lo ha applicato a tutti i telefoni della città. Con mezza città che le dà segnali, può tracciare la mappa di Gotham.

Per tutelare la privacy, il segnale di ogni AirTag ha una chiave digitale che è nota soltanto al localizzatore stesso e al proprietario, e i dati che vengono trasmessi sono ulteriormente mascherati tramite hashing. In parole povere, un passante il cui iPhone riceva   il segnale Bluetooth di un AirTag non può sapere a chi appartiene quel localizzatore o altre informazioni: si limita a ricevere gli impulsi radio e a inoltrare automaticamente i dati ricevuti, che non può decifrare. Ci sono anche vari altri strati di protezione digitale che permettono, in sostanza, soltanto al legittimo proprietario di un AirTag di ricevere informazioni da quell’AirTag.

Ma di fatto, praticamente tutti gli iPhone in circolazione sono sensori della rete di tracciamento di Apple. Questo è incredibilmente utile quando si tratta di ritrovare le proprie chiavi smarrite, o di localizzare la propria valigia in aeroporto magari mentre qualcuno la sta portando via per errore al posto della propria identica o la sta proprio rubando. Ma cosa succede se qualcuno decide di usare questo potere per pedinare una persona senza il suo consenso? È già accaduto: per esempio, negli Stati Uniti la modella Brooks Nader ha raccontato di aver trovato un AirTag non suo nella tasca del proprio cappotto dopo aver visitato un bar di Manhattan, e non è l’unico caso del suo genere.

Questi localizzatori, facilissimi da configurare, estremamente piccoli e discreti, poco costosi, con una durata che si misura in mesi e una portata enorme, possono essere annidati facilmente: in una tasca di un indumento, in uno zaino di scuola, in una cucitura di un cappotto, nelle pieghe della carrozzeria di un’automobile. Il loro design ultraminimalista non li identifica vistosamente come dei dispositivi di tracciamento. Sembrano, effettivamente, dei grossi bottoni bianchi. Si apre insomma l’era dello stalking digitale di massa, a portata dell’utente comune. Non occorre nessuna conoscenza tecnica.

----

Ovviamente Apple, come gli altri produttori di dispositivi analoghi, si è resa conto del rischio di abusi e ha integrato negli AirTag una serie di limitazioni apposite. 

Per esempio, qualunque AirTag che si allontani a lungo dal proprietario e rilevi di essere in movimento farà suonare un cicalino, per cui una vittima di stalking potrebbe udire questo avviso acustico e accorgersi di avere un localizzatore addosso. Ma dai primi test sembra che “a lungo” significhi fino a 24 ore, per cui c’è tempo in abbondanza per un pedinamento quotidiano, per esempio di una persona convivente. Inoltre il cicalino può essere difficile da udire se l’AirTag è sepolto sul fondo di una borsetta o applicato a un’automobile. E inevitabilmente è nato anche un mercato di AirTag modificati, nel quale il cicalino è completamente silenziato.

Apple ha predisposto anche un’altra misura antipedinamento: un AirTag che sia lontano dal proprietario e si muova insieme a voi farà comparire un avviso sul vostro telefonino, ma soltanto se avete un iPhone. Se avete uno smartphone di qualunque altra marca, niente avviso.

Chi ha uno smartphone Android può installare un’app di nome Tracker Detect, disponibile nel Play Store di Google, che permette di cercare manualmente eventuali AirTag indesiderati e indurli a produrre un avviso acustico (sempre che non siano stati modificati). Ci sono anche altre app che fanno una scansione generica di qualunque dispositivo Bluetooth, come LightBlue e BLE Scanner per iPhone o BLE Scanner e Bluetooth Scanner per Android. Anche Samsung offre un’app analoga, SmartThings, per i propri dispositivi di localizzazione [Android; iOS]. Ma in ogni caso si tratta di un procedimento macchinoso e manuale, che l’utente deve fare appositamente e periodicamente.

Chi trova un AirTag sconosciuto può inoltre appoggiarlo contro il proprio smartphone di qualunque marca (basta che sia dotato di sensore NFC) e riceverà un link che rivelerà il numero seriale e le tre cifre finali del numero di telefono del proprietario del localizzatore. Lo stesso link informerà anche su come disabilitare un AirTag trovato: in sostanza, spiegherà come si toglie la sua batteria.

Attenzione, però , ai falsi allarmi: alcuni utenti di iPhone hanno segnalato che il loro smartphone avvisava di aver rilevato un accessorio sconosciuto e quindi hanno temuto che si trattasse di un AirTag abusivo. In realtà l’avviso veniva prodotto da alcuni modelli di cuffie senza filo. Va chiarito anche che la localizzazione remota funziona bene soltanto se ci sono degli iPhone nelle immediate vicinanze. Se siete da soli in aperta campagna o su una strada poco battuta, gli AirTag non potranno comunicare la vostra presenza.

Se temete che qualcuno vi stia tracciando, insomma, queste app sono un aiuto, ma conviene abbinarne l’uso alla tecnica classica manuale di frugare nelle proprie borse, negli indumenti e in qualunque altro luogo in cui un malintenzionato potrebbe nascondere un localizzatore.

Da parte sua, Apple sta aggiornando iOS in modo che chi configura un AirTag riceva un avviso molto chiaro del fatto che usare questo dispositivo per tracciare le persone senza il loro consenso è un reato in molte regioni del mondo e del fatto che il dispositivo è progettato per essere rilevato da eventuali vittime e per consentire alle forze dell’ordine di richiedere informazioni che consentano di identificare il proprietario dell’AirTag. L’azienda dice di aver già collaborato con la polizia in diverse occasioni per rintracciare chi aveva piazzato abusivamente degli AirTag. È confortante, ma è anche una conferma del fatto che il problema è reale.

---

Una dimostrazione positiva della potenza di questi dispositivi di tracciamento è arrivata dalla Germania, dove la ricercatrice di sicurezza e attivista informatica berlinese Lilith Wittmann ha usato gli AirTag per dimostrare che un’agenzia governativa tedesca è in realtà una copertura di un’attività di spionaggio. Ha spedito per posta dei plichi contenenti questi localizzatori e ne ha tracciato il percorso, scoprendo che venivano reinviati a strutture usate dai servizi di intelligence tedeschi. Il tracciamento ha funzionato sfruttando presumibilmente gli iPhone degli stessi addetti dell’intelligence. Chi si occupa di sicurezza dovrà ora fare i conti anche con questo aspetto delle tecnologie commerciali.

---

I ricercatori di sicurezza, infatti, si sono lanciati sugli AirTag per studiarli e capire come ottimizzare le loro funzioni positive e indebolire quelle negative. L’Università di Darmstadt ha già messo gratuitamente a disposizione AirGuard, un’app disponibile nello store ufficiale di Android che per certi versi è più potente delle app fornite da Apple, perché fa una scansione periodica automatica alla ricerca di AirTag e simili. Se trova ripetutamente lo stesso dispositivo di tracciamento, l’app avvisa l’utente. Se usate quest’app, tutte le informazioni di localizzazione restano nel vostro telefonino. Se nessuno vi sta tracciando, l’app vi lascia in pace, restando vigile.

È indubbio che avere un dispositivo economico che permette di trovare i propri oggetti smarriti sia utile: la sfida tecnologica è trovare il modo di consentire questo potere senza allo stesso tempo rendere troppo facile un abuso. La soluzione perfetta è ancora tutta da trovare: nel frattempo, qualche aiuto tecnologico c’è, ma come sempre è indispensabile affidarsi anche al buon senso pratico. Ogni tanto vuotate la borsa, lo zaino e il cassetto dell’auto: magari troverete cose che credevate perse per sempre.

E se vi siete persi qualcuno dei nomi delle app citate in questo podcast, non c’è bisogno di un AirTag per recuperarli: trovate il testo integrale, con i link alle singole app, sul mio blog Disinformatico.info.

[il testo della seconda parte del podcast è qui]

Fonti aggiuntive: Sophos, Gizmodo, New York Times, Gizmodo, Engadget.

2022/02/21

Vent’anni di Bonsaikitten, fake news ante litteram

Questo articolo è disponibile anche in versione podcast audio.

Vent’anni fa, il 18 febbraio 2002, Repubblica pubblicò un ormai storico articolo firmato da Ferruccio Sansa per denunciare l’orrendo crimine dei gatti bonsai, con tanto di fotografia a illustrare il dramma.

Il giornale lo ha archiviato qui con un testo differente, ma quello che segue è il suo testo originale, come riportato nella scansione dell’epoca, tratta dai miei archivi, che vedete qui accanto.

Un calvario che dura quattro mesi. Poi la vendita su Internet

Quei mici condannati a crescere in bottiglia

ROMA – Bonsai. Non di un albero, ma di un gatto. Anche questo si trova su Internet: www.bonsaikitten.com. Così, pagando qualche centinaio di dollari, potrete portarvi a casa un gatto in miniatura. Andando a vedere le immagini e le descrizioni che pubblicizzano il prodotto, però, c'è da rabbrividire. Una vetrina dell'orrore. Per bloccarne la crescita, i cuccioli vengono rinchiusi per quattro mesi dentro un contenitore dove non hanno lo spazio per muovere un muscolo.

«Produrre bonsai è una delle più nobili arti orientali», dicono con orgoglio i responsabili della Bonsaikitten, una ditta di New York. Nonostante centinaia di messaggi di protesta e raccolte di firme sulla rete, vanno avanti per la loro strada, anche perché, assicurano, «i gatti bonsai vanno forte, soprattutto negli Stati Uniti, in Australia e Nuova Zelanda». Insomma, sta nascendo una moda. Provare per credere. È tutto fotografato e documentato su Internet, a cominciare «dalla tecnica per rimpicciolire l' animale». Gatti, ma con un piccolo sovrapprezzo sono disponibili anche altre specie.

«Bisogna cominciare subito, perché dopo una settimana l'ossatura del gatto diventa rigida», spiega con voce vellutata uno degli autori di questi "capolavori". Aggiunge: «Appena nato, il gatto ha ossa flessibili che possono essere modellate secondo i vostri desideri». Il resto lo mostrano le fotografie. Agghiaccianti. Il cucciolo viene imbottito di tranquillanti o anestetizzato, «anche se così gli animali spesso muoiono». E comincia il calvario: bisogna infilare l'animale in un contenitore di cristallo e non è facile, c'è da far passare la testa, da piegare le ossa senza spezzarle. «Ci vogliono perizia e delicatezza per evitare lesioni allo scheletro che danneggerebbero il risultato finale», avvertono quelli della Bonsaikitten.

È un lavoro di ore, ma alla fine eccolo, il micio: un groviglio di zampe e coda, la spina dorsale piegata fino a spezzarsi, il muso premuto contro il vetro. È solo l'inizio della tortura. «Con un trapano facciamo un foro nel vetro, inseriamo un tubo in bocca al gatto e lo nutriamo di cibi liquidi», spiegano alla Bonsaikitten. Ma non basta: c' è il problema degli escrementi. Un altro tubo viene inserito nell'ano. Poi comincia la crescita. Giorno dopo giorno le ossa del gatto premono per allungarsi, i muscoli si contraggono. I dolori sono lancinanti. Il cuore batte impazzito fino quasi a esplodere, ma non c’è spazio, nemmeno per miagolare. Alla fine, dopo quattro mesi, il bonsai è pronto: un gatto adulto, ma grande come un batuffolo. «Un prodotto ideale per i bambini» garantiscono alla Bonsaikitten.


Queste sono le differenze principali fra la copia attualmente archiviata da Repubblica e quella uscita in stampa:

  • Su carta: Così, pagando qualche centinaio di dollari, potrete portarvi a casa un gatto in miniatura.
    In digitale: Così, pare che pagando qualche centinaio di dollari, potrete portarvi a casa un gatto in miniatura.  
  • Su carta: ...una ditta di New York. Nonostante...
    In digitale: ...una ditta di New York. Al principio sembrava soltanto una montatura, qualche tempo fa la notizia venne addirittura smentita, ma il sito esiste realmente, per rintracciare l'azienda basta comporre un numero di telefono, lo 0012126627544. Nonostante...
  • Su carta: Nonostante centinaia di messaggi di protesta e raccolte di firme sulla rete, vanno avanti per la loro strada, anche perché...
    In digitale: Nonostante centinaia di messaggi di protesta e raccolte di firme sulla rete, quelli della Bonsaikitten vanno avanti per la loro strada, anche perché...
  • Su carta: È tutto fotografato e documentato su Internet, a cominciare «dalla tecnica per rimpicciolire l'animale». Gatti, ma con un piccolo sovrapprezzo sono disponibili anche altre specie. «Bisogna cominciare subito...
    In digitale:  È tutto fotografato e documentato su Internet, a cominciare «dalla tecnica per rimpicciolire l'animale». «Bisogna cominciare subito...
  • Su carta: «Ci vogliono perizia e delicatezza per evitare lesioni allo scheletro che danneggerebbero il risultato finale», avvertono quelli della Bonsaikitten. È un lavoro di ore...
    In digitale: «Ci vogliono perizia e delicatezza per evitare lesioni allo scheletro che danneggerebbero il risultato finale». È un lavoro di ore... 
  • Su carta: Giorno dopo giorno le ossa del gatto premono per allungarsi, i muscoli si contraggono. I dolori sono lancinanti. Il cuore batte impazzito fino quasi a esplodere, ma non c’è spazio, nemmeno per miagolare. Alla fine, dopo quattro mesi, il bonsai è pronto: un gatto adulto, ma grande come un batuffolo. «Un prodotto ideale per i bambini» garantiscono alla Bonsaikitten.
    In digitale: Giorno dopo giorno le ossa del gatto premono per allungarsi, i muscoli si contraggono. Alla fine, dopo quattro mesi, il bonsai è pronto: un gatto adulto, ma grande come un batuffolo. 

La differenza più interessante fra l’originale cartaceo e la copia archiviata in digitale è quel “pare che” aggiunto a posteriori, che sembra rendere tutto più incerto, come se Ferruccio Sansa riferisse una diceria, mentre l’originale su carta era ben più categorico e certo sull’esistenza del servizio di produzione e vendita di gattini imbottigliati vivi.

Non vi preoccupate: la notizia era falsa.

Sarebbe interessante capire come mai la copia archiviata non sia fedele all’originale cartaceo, ma questa è un’altra storia. A distanza di vent’anni si è un po’ persa la memoria della genesi di una delle burle più classiche di Internet, per cui la ripropongo qui partendo dalla mia indagine originale del 2002.

----

A dicembre 2000 (più di un anno prima dell’articolo di Sansa) circolava su Internet un appello, sotto forma di catena di Sant’Antonio (quindi con preghiera di inoltro a tutti i propri contatti via mail), che segnalava il sito Bonsaikitten.com. Una delle versioni in italiano, entrata in circolazione successivamente, descriveva il sito come “l’affare di un CRETINO di un giapponese che vende GATTI IMBOTTIGLIATI VIVI” e “LA STA FACENDO DIVENTARE UNA MODA in USA”.

Ma il sito, oggi chiuso ma archiviato da Archive.org, era in realtà una burla inventata da studenti dell’MIT. Wired lo aveva spiegato già a febbraio 2001, un anno prima dell’articolo di Sansa, raccontando anche dell’indagine dell’FBI sul sito (copia permanente). La natura satirica di Bonsaikitten.com era stata spiegata anche da Salon.com il 29 gennaio 2001 (copia su Archive.org), dall’associazione animalista PETA (copia su Archive.org) e dal sito antibufala Urban Legends (copia su Archive.org).

In italiano ne avevano parlato, chiarendo ancora una volta che si trattava soltanto di uno scherzo discutibile, il WWF (copia su Archive.org) e la trasmissione RAI Golem del 17 gennaio 2001 (copia su Archive.org).

Tuttavia il primo giornalista italiano a pubblicare quella che oggi chiameremmo una fake news su Bonsaikitten.com non fu Ferruccio Sansa. Infatti un anno prima dell’articolo di Sansa su Repubblica Josto Maffeo aveva pubblicato sul Messaggero un primo indignatissimo articolo sullo stesso tema: era il 15 gennaio 2001. L’articolo “I mostri esistono e mettono i mici in bottiglia” (copia su Archive.org) era addirittura in prima pagina (lo potete intravedere nell’immagine qui sotto, in basso a destra).

Maffeo aveva poi pubblicato un secondo articolo il 18 gennaio 2001 (“Il «mostro dei gattini» batte in ritirata dal Web”), nel quale rifiutava di accettare le smentite di Golem e di altri esperti e menzionava addirittura un esposto alla Procura della parlamentare Annamaria Procacci per far oscurare il sito.

I testi di entrambi gli articoli di Maffeo sono disponibili nella mia indagine originale.

Nacque anche un sito satirico emulatore italiano, Gattibonsai.it, che fu però chiuso in seguito a una denuncia della conduttrice televisiva Licia Colò, come racconta Hoax.it citando anche il legale che difese il creatore del sito.

Stando a quanto riportato da Punto Informatico l’11 luglio 2001, forse la conduttrice credeva che Bonsaikitten.com fosse realmente un sito di vendita di gattini vivi in bottiglia. Tuttavia le parole pubblicate sul sito della Colò, Animalieanimali.it, sono ambigue: da un lato descrivono “una vicenda assurda e inquietante che potrebbe però diventare vera”, dall’altro parlano concretamente di “folli esperimenti” di un “violentatore di gatti” a proposito del sito statunitense.

Il sito Animalieanimali.it oggi è accessibile solo immettendo login e password, ma ne possiamo leggere lo stesso il contenuto integrale dell’epoca a proposito di Bonsaikitten e del sito emulatore italiano grazie alla copia archiviata presso Archive.org il 2 agosto 2001 (evidenziazioni mie):

[...] La storia era iniziata nei mesi scorsi negli Stati Uniti. Una vicenda assurda ed inquietante che potrebbe però diventare vera grazie ai possibili emuli dei loro folli esperimenti. A seguito di indagini, si è scoperto che il violentatore di gatti, noto come l'inesistente Mister Michael Wong è in realtà un anonimo studente americano fornito di una buona apparecchiatura digitale. L'uomo è riuscito a diffondere le sue idee dal mese di dicembre 2000 quando è cresciuto negli USA l'allarme per la creazione di "felini bonsai", gatti messi in bottiglie di vetro. Sul sito Internet www.bonsaikitten.com si trovano minuziose descrizioni su questa pratica barbara [...].

----

Insomma, Sansa arrivò a scrivere il suo articolo di denuncia un anno dopo che la storia era già stata smontata anche sui giornali italiani e dopo la denuncia molto pubblica fatta da Licia Colò. Sarebbe bastato un minimo di ricerca per scoprire questi precedenti. E sarebbe bastato un briciolo di lucidità mentale per rendersi conto che le cose descritte su Bonsaikitten erano semplicemente impossibili.

Le cattive abitudini odierne del giornalismo arrivano da lontano, e in questi vent’anni è stato fatto poco o niente per correggerle. I risultati sono il disastro delle fake news sulla pandemia e su mille altri argomenti ben più drammatici degli ipotetici gattini in bottiglia.

----

Per prevenire le obiezioni di chi dirà che satira o meno, Bonsaikitten.com promuoverebbe la crudeltà nei confronti degli animali, ripubblico qui quello che scrissi vent’anni fa.

Di solito non mi intrometto nel merito morale delle bufale sulle quali indago, ma questa è particolarmente controversa. Burla o meno, c'è chi argomenta che il sito istiga comunque alla crudeltà verso gli animali.

Tuttavia non posso fare a meno di considerare che la crudeltà verso gli animali esiste da molto prima che nascesse Internet. So di attirarmi molte reazioni adirate, ma non è un po’ come dire che i siti pornografici istigano allo stupro? E anche in questo caso, mi tocca notare con tristezza che lo stupro esiste da molto prima dell’invenzione della Rete, e che i diritti delle donne sono calpestati più brutalmente nei paesi in cui Internet e la pornografia manco sanno cosa sono. Per non parlare del fatto che le edicole italiane sono piene di pornografia, messa all’altezza degli occhi dei bambini, eppure nessuno organizza petizioni o denunce in Procura in proposito. Come mai?

Un’altra considerazione sollevata da questo sito-burla è il fatto che ci inalberiamo per un ipotetico gattino in bottiglia ma mangiamo disinvoltamente polli allevati in batteria (in gabbie in cui non possono nemmeno girarsi, non molto più grandi delle bottiglie di Bonsaikitten.com). Forse lo scopo del sito-burla è indurci a riflettere sulla nostra coerenza morale prima di trinciare giudizi su cosa è crudele e cosa non lo è. Ha senso commuoversi per un film come Babe maialino coraggioso e continuare a mangiare prosciutto?

Infine c’è da ponderare il concetto della tentata censura al sito: anche quando viene usata per scopi discutibilissimi, la libertà di espressione e di satira è uno dei capisaldi della nostra cultura. È considerato un diritto fondamentale. Ha senso mandare al diavolo questo principio e stabilire un precedente pericolosissimo?

Nel frattempo sono passati due decenni, durante i quali Bonsaikitten.com ha vagato da un servizio di hosting all’altro perché veniva sistematicamente bandito a causa delle proteste di chi non si rendeva conto della presa in giro. Ne rimane comunque traccia nella grande memoria storica di Internet costituita da Archive.org. 

Oggi c‘è chi in Svizzera ha un sito di vendita di gatti (non imbottigliati) che si chiama Bonsaikitten.ch. Chissà se i suoi proprietari sono al corrente delle origini del nome che hanno scelto. Gliel’ho chiesto e sono in attesa di risposta.

 

Fonti aggiuntive: Wikipedia in italiano, Wikipedia in inglese. Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

2022/02/20

Dedicato a chi pensa che l’inglese abbia delle regole di pronuncia

Consolatevi: neanche la maggior parte dei madrelingua inglese sa la pronuncia corretta di tutti gli esempi assurdi ma realissimi presentati in questa poesiola di Gerard Nolst Trenite intitolata The Chaos (1922), che riporto nella versione tratta da qui. Buon divertimento.

Dearest creature in creation
Studying English pronunciation,
   I will teach you in my verse
   Sounds like corpse, corps, horse and worse.

I will keep you, Susy, busy,
Make your head with heat grow dizzy;
   Tear in eye, your dress you'll tear;
   Queer, fair seer, hear my prayer.

Pray, console your loving poet,
Make my coat look new, dear, sew it!
   Just compare heart, hear and heard,
   Dies and diet, lord and word.

Sword and sward, retain and Britain
(Mind the latter how it's written).
   Made has not the sound of bade,
   Say-said, pay-paid, laid but plaid.

Now I surely will not plague you
With such words as vague and ague,
   But be careful how you speak,
   Say: gush, bush, steak, streak, break, bleak,

Previous, precious, fuchsia, via
Recipe, pipe, studding-sail, choir;
   Woven, oven, how and low,
   Script, receipt, shoe, poem, toe.

Say, expecting fraud and trickery:
Daughter, laughter and Terpsichore,
   Branch, ranch, measles, topsails, aisles,
   Missiles, similes, reviles.

Wholly, holly, signal, signing,
Same, examining, but mining,
   Scholar, vicar, and cigar,
   Solar, mica, war and far.

From "desire": desirable-admirable from "admire",
Lumber, plumber, bier, but brier,
   Topsham, brougham, renown, but known,
   Knowledge, done, lone, gone, none, tone,

One, anemone, Balmoral,
Kitchen, lichen, laundry, laurel.
   Gertrude, German, wind and wind,
   Beau, kind, kindred, queue, mankind,

Tortoise, turquoise, chamois-leather,
Reading, Reading, heathen, heather.
   This phonetic labyrinth
   Gives moss, gross, brook, brooch, ninth, plinth.

Have you ever yet endeavoured
To pronounce revered and severed,
   Demon, lemon, ghoul, foul, soul,
   Peter, petrol and patrol?

Billet does not end like ballet;
Bouquet, wallet, mallet, chalet.
   Blood and flood are not like food,
   Nor is mould like should and would.

Banquet is not nearly parquet,
Which exactly rhymes with khaki.
   Discount, viscount, load and broad,
   Toward, to forward, to reward,

Ricocheted and crocheting, croquet?
Right! Your pronunciation's OK.
   Rounded, wounded, grieve and sieve,
   Friend and fiend, alive and live.

Is your r correct in higher?
Keats asserts it rhymes Thalia.
   Hugh, but hug, and hood, but hoot,
   Buoyant, minute, but minute.

Say abscission with precision,
Now: position and transition;
   Would it tally with my rhyme
   If I mentioned paradigm?

Twopence, threepence, tease are easy,
But cease, crease, grease and greasy?
   Cornice, nice, valise, revise,
   Rabies, but lullabies.

Of such puzzling words as nauseous,
Rhyming well with cautious, tortious,
   You'll envelop lists, I hope,
   In a linen envelope.

Would you like some more? You'll have it!
Affidavit, David, davit.
   To abjure, to perjure. Sheik
   Does not sound like Czech but ache.

Liberty, library, heave and heaven,
Rachel, loch, moustache, eleven.
   We say hallowed, but allowed,
   People, leopard, towed but vowed.

Mark the difference, moreover,
Between mover, plover, Dover.
   Leeches, breeches, wise, precise,
   Chalice, but police and lice,

Camel, constable, unstable,
Principle, disciple, label.
   Petal, penal, and canal,
   Wait, surmise, plait, promise, pal,

Suit, suite, ruin. Circuit, conduit
Rhyme with "shirk it" and "beyond it",
   But it is not hard to tell
   Why it's pall, mall, but Pall Mall.

Muscle, muscular, gaol, iron,
Timber, climber, bullion, lion,
   Worm and storm, chaise, chaos, chair,
   Senator, spectator, mayor,

Ivy, privy, famous; clamour
Has the a of drachm and hammer.
   Pussy, hussy and possess,
   Desert, but desert, address.

Golf, wolf, countenance, lieutenants
Hoist in lieu of flags left pennants.
   Courier, courtier, tomb, bomb, comb,
   Cow, but Cowper, some and home.

"Solder, soldier! Blood is thicker",
Quoth he, "than liqueur or liquor",
   Making, it is sad but true,
   In bravado, much ado.

Stranger does not rhyme with anger,
Neither does devour with clangour.
   Pilot, pivot, gaunt, but aunt,
   Font, front, wont, want, grand and grant.

Arsenic, specific, scenic,
Relic, rhetoric, hygienic.
   Gooseberry, goose, and close, but close,
   Paradise, rise, rose, and dose.

Say inveigh, neigh, but inveigle,
Make the latter rhyme with eagle.
   Mind! Meandering but mean,
   Valentine and magazine.

And I bet you, dear, a penny,
You say mani-(fold) like many,
   Which is wrong. Say rapier, pier,
   Tier (one who ties), but tier.

Arch, archangel; pray, does erring
Rhyme with herring or with stirring?
   Prison, bison, treasure trove,
   Treason, hover, cover, cove,

Perseverance, severance. Ribald
Rhymes (but piebald doesn't) with nibbled.
   Phaeton, paean, gnat, ghat, gnaw,
   Lien, psychic, shone, bone, pshaw.

Don't be down, my own, but rough it,
And distinguish buffet, buffet;
   Brood, stood, roof, rook, school, wool, boon,
   Worcester, Boleyn, to impugn.

Say in sounds correct and sterling
Hearse, hear, hearken, year and yearling.
   Evil, devil, mezzotint,
   Mind the z! (A gentle hint.)

Now you need not pay attention
To such sounds as I don't mention,
   Sounds like pores, pause, pours and paws,
   Rhyming with the pronoun yours;

Nor are proper names included,
Though I often heard, as you did,
   Funny rhymes to unicorn,
   Yes, you know them, Vaughan and Strachan.

No, my maiden, coy and comely,
I don't want to speak of Cholmondeley.
   No. Yet Froude compared with proud
   Is no better than McLeod.

But mind trivial and vial,
Tripod, menial, denial,
   Troll and trolley, realm and ream,
   Schedule, mischief, schism, and scheme.

Argil, gill, Argyll, gill. Surely
May be made to rhyme with Raleigh,
   But you're not supposed to say
   Piquet rhymes with sobriquet.

Had this invalid invalid
Worthless documents? How pallid,
   How uncouth he, couchant, looked,
   When for Portsmouth I had booked!

Zeus, Thebes, Thales, Aphrodite,
Paramour, enamoured, flighty,
   Episodes, antipodes,
   Acquiesce, and obsequies.

Please don't monkey with the geyser,
Don't peel 'taters with my razor,
   Rather say in accents pure:
   Nature, stature and mature.

Pious, impious, limb, climb, glumly,
Worsted, worsted, crumbly, dumbly,
   Conquer, conquest, vase, phase, fan,
   Wan, sedan and artisan.

The th will surely trouble you
More than r, ch or w.
   Say then these phonetic gems:
   Thomas, thyme, Theresa, Thames.

Thompson, Chatham, Waltham, Streatham,
There are more but I forget 'em-
   Wait! I've got it: Anthony,
   Lighten your anxiety.

The archaic word albeit
Does not rhyme with eight-you see it;
   With and forthwith, one has voice,
   One has not, you make your choice.

Shoes, goes, does *. Now first say: finger;
Then say: singer, ginger, linger.
   Real, zeal, mauve, gauze and gauge,
   Marriage, foliage, mirage, age,

Hero, heron, query, very,
Parry, tarry fury, bury,
   Dost, lost, post, and doth, cloth, loth,
   Job, Job, blossom, bosom, oath.

Faugh, oppugnant, keen oppugners,
Bowing, bowing, banjo-tuners
   Holm you know, but noes, canoes,
   Puisne, truism, use, to use?

Though the difference seems little,
We say actual, but victual,
   Seat, sweat, chaste, caste, Leigh, eight, height,
   Put, nut, granite, and unite.

Reefer does not rhyme with deafer,
Feoffer does, and zephyr, heifer.
   Dull, bull, Geoffrey, George, ate, late,
   Hint, pint, senate, but sedate.

Gaelic, Arabic, pacific,
Science, conscience, scientific;
   Tour, but our, dour, succour, four,
   Gas, alas, and Arkansas.

Say manoeuvre, yacht and vomit,
Next omit, which differs from it
   Bona fide, alibi
   Gyrate, dowry and awry.

Sea, idea, guinea, area,
Psalm, Maria, but malaria.
   Youth, south, southern, cleanse and clean,
   Doctrine, turpentine, marine.

Compare alien with Italian,
Dandelion with battalion,
   Rally with ally; yea, ye,
   Eye, I, ay, aye, whey, key, quay!

Say aver, but ever, fever,
Neither, leisure, skein, receiver.
   Never guess-it is not safe,
   We say calves, valves, half, but Ralf.

Starry, granary, canary,
Crevice, but device, and eyrie,
   Face, but preface, then grimace,
   Phlegm, phlegmatic, ass, glass, bass.

Bass, large, target, gin, give, verging,
Ought, oust, joust, and scour, but scourging;
   Ear, but earn; and ere and tear
   Do not rhyme with here but heir.

Mind the o of off and often
Which may be pronounced as orphan,
   With the sound of saw and sauce;
   Also soft, lost, cloth and cross.

Pudding, puddle, putting. Putting?
Yes: at golf it rhymes with shutting.
   Respite, spite, consent, resent.
   Liable, but Parliament.

Seven is right, but so is even,
Hyphen, roughen, nephew, Stephen,
   Monkey, donkey, clerk and jerk,
   Asp, grasp, wasp, demesne, cork, work.

A of valour, vapid vapour,
S of news (compare newspaper),
   G of gibbet, gibbon, gist,
   I of antichrist and grist,

Differ like diverse and divers,
Rivers, strivers, shivers, fivers.
   Once, but nonce, toll, doll, but roll,
   Polish, Polish, poll and poll.

Pronunciation-think of Psyche!-
Is a paling, stout and spiky.
   Won't it make you lose your wits
   Writing groats and saying "grits"?

It's a dark abyss or tunnel
Strewn with stones like rowlock, gunwale,
   Islington, and Isle of Wight,
   Housewife, verdict and indict.

Don't you think so, reader, rather,
Saying lather, bather, father?
   Finally, which rhymes with enough,
   Though, through, bough, cough, hough, sough, tough??

Hiccough has the sound of sup...
My advice is: GIVE IT UP!

2022/02/18

Podcast RSI - Auto in tilt per un'immagine, Star Wars e deepfake, furto di dati bancari con lieto fine

logo del Disinformatico

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto e condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto) e qui sotto.

I podcast del Disinformatico sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano il testo e i link alle fonti di questa puntata, sono qui sotto.

2022/02/17

Le voci deepfake in Star Wars: The Book of Boba Fett

Questo articolo è disponibile anche in versione podcast.

Allerta spoiler: questo articolo rivela alcuni avvenimenti importanti delle serie TV The Mandalorian e di The Book of Boba Fett. 

Se state seguendo le serie TV The Mandalorian e The Book of Boba Fett, conoscerete già una delle loro sorprese più emozionanti: torna un personaggio amatissimo da tutti i fan di Star Wars, e torna ringiovanito, grazie alla tecnologia digitale, con risultati incredibilmente realistici. Non vi preoccupate: non dirò di chi si tratta. Non subito, perlomeno [non è Yoda come l’immagine qui accanto potrebbe far pensare].

Ma a differenza di altri attori e attrici del passato, che sono stati ricreati o ringiovaniti creando un modello digitale tridimensionale dei loro volti e poi allineando faticosamente questo modello alle fattezze attuali dell’attore o di una sua controfigura, con risultati spesso discutibili e innaturali, sembra (ma non è ancora confermato ufficialmente) che in questo caso sia stata usata la tecnica del deepfake.

In pratica, nei deepfake si attinge alle foto e alle riprese video e cinematografiche che mostrano quella persona quando era giovane, si estraggono le singole immagini del suo volto da tutto questo materiale e poi si dà questo repertorio di immagini in pasto a un software di intelligenza artificiale, che le mette a confronto con le riprese nuove dell’attore o della controfigura e sovrappone al volto attuale l’immagine di repertorio, correggendo ombre e illuminazione secondo necessità. Sto semplificando, perché il procedimento in realtà è molto complesso e sofisticato, e servono tecnici esperti per applicarlo bene, ma il principio di fondo è questo.

Sia come sia, il risultato in The Book of Boba Fett, in una puntata uscita pochi giorni fa, lascia a bocca aperta: le fattezze del volto ricreato sono perfette, le espressioni pure, e il personaggio rimane sullo schermo per molto tempo, in piena luce, interagendo in maniera naturale con gli altri attori, mentre in passato era apparso in versione ringiovanita solo per pochi secondi e in penombra, in disparte. 

Mentre la prima apparizione di questo personaggio digitale in The Mandalorian nel 2021 aveva suscitato parecchie critiche per la sua qualità mediocre, nella puntata di Boba Fett uscita di recente l’illusione è talmente credibile che fa passare in secondo piano un dettaglio importante: anche la voce del personaggio è sintetica.

Può sembrare strano, visto che la persona che lo interpreta è ancora in vita e recita tuttora (non vi dico chi è, ma l’avete probabilmente già indovinato). Invece di chiamarla a dire le battute e poi elaborare digitalmente la sua voce per darle caratteristiche giovanili, i tecnici degli effetti speciali hanno preferito creare un deepfake sonoro.

Lo ammette candidamente Matthew Wood, responsabile del montaggio audio di The Mandalorian, in una puntata di Disney Gallery dedicata al dietro le quinte di questa serie: delle registrazioni giovanili dell’attore sono state date in pasto a una rete neurale, che le ha scomposte e ha “imparato” a recitare con la voce che aveva l’attore quando era giovane. 

La rete neurale in questione è offerta dall’azienda Respeecher, che offre servizi di ringiovanimento digitale per il mondo del cinema, permettendo per esempio a un attore adulto di dare la propria voce a un bambino oppure di ricreare la voce di un attore scomparso o non disponibile.

La demo di Respeecher in cui la voce di una persona normale viene convertita in tempo reale in quella molto caratteristica di Barack Obama è impressionante:

In The Book of Boba Fett, il tono è corretto, le inflessioni della voce sintetica sono azzeccate, ma la cadenza è ancora leggermente piatta e innaturale.

Ci vuole ancora un po’ di lavoro per perfezionare questa tecnologia, ma già ora il risultato della voce sintetica è sufficiente a ingannare molti spettatori e a impensierire molti attori in carne e ossa, che guadagnano dando la propria voce a personaggi di cartoni animati o recitando audiolibri.

Ovviamente per chi ha seguito la versione doppiata della serie tutto questo lavoro di deepfake acustico è stato rimpiazzato dalla voce assolutamente reale del doppiatore italiano (Dimitri Winter), ma a questo punto si profila all’orizzonte la possibilità che il deepfake della voce possa consentire a un attore di “parlare” anche lingue straniere e quindi permetta di fare a meno del doppiaggio. Con il vantaggio, oltretutto, che siccome il volto dell’attore è generato digitalmente, il labiale potrebbe sincronizzarsi perfettamente con le battute in italiano, per esempio.

C’è il rischio che queste voci manipolabili a piacimento consentano di creare video falsi di politici o governanti che sembrano dire frasi che in realtà non hanno detto, come ha fatto proprio Respeecher nel 2019 in un caso molto particolare: ha creato un video, ambientato nel 1969, in cui l’allora presidente degli Stati Uniti Richard Nixon annuncia in televisione la tragica morte sulla Luna degli astronauti Neil Armstrong e Buzz Aldrin (mai avvenuta), mettendo in bocca al presidente parole ispirate al discorso che era stato scritto nell’eventualità che la loro missione Apollo 11 fallisse.

Respeecher non è l’unica azienda del settore. Google, per esempio, offre il servizio Custom Voice, che permette di replicare la voce di una persona qualsiasi mandandole un buon numero di campioni audio di alta qualità. Funziona molto bene: infatti non vi siete accorti che da qualche tempo a questa parte i miei podcast sono realizzati usando la mia voce sintetica, data in pasto a un file di testo apposito.

Tranquilli: sto scherzando. Per ora.