Cerca nel blog

2022/08/19

Podcast RSI - Doom su un trattore per aiutare gli agricoltori, auto Hyundai hackerata, Janet Jackson causa crash nei laptop

logo del Disinformatico

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto) e qui sotto.

Le puntate del Disinformatico sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano i testi e i link alle fonti di questa puntata, sono qui sotto.

---

2022/08/18

Una canzone di Janet Jackson crashava i laptop

Questo articolo è disponibile anche in versione podcast audio.

Non capita a molte cantanti pop di essere la causa tecnica di un collasso di sistemi informatici, ma Janet Jackson può vantarsi di questo aspetto molto particolare della propria carriera musicale. La sua canzone Rhythm Nation, del 1989, è infatti citata ufficialmente come causa di un malfunzionamento informatico nel database Mitre delle vulnerabilità (CVE-2022-3892).

La curiosa citazione deriva da un articolo di Raymond Chen, di Microsoft, e anche se è targata 2022 risale in realtà ai tempi di Windows XP, intorno al 2005. Un’azienda leader nella fabbricazione di computer, di cui Chen non fa il nome, scoprì che quando veniva suonata specificamente questa canzone di Janet Jackson alcuni suoi modelli di laptop andavano in crash. Già questo era insolito, ma la cosa ancora più strana era che lo stesso succedeva anche ad alcuni laptop di marche concorrenti.

I ricercatori che investigarono il problema scoprirono inoltre che riprodurre il video della canzone su un laptop mandava in crash anche un altro laptop collocato nelle vicinanze, anche se quell’altro laptop non stava suonando il brano.

Alla fine, e probabilmente dopo un numero di esecuzioni di Rhythm Nation che deve averli spinti a odiare per sempre la canzone, i ricercatori scoprirono la causa del bizzarro problema: il brano conteneva una delle frequenze di risonanza dello specifico modello di disco rigido da 5400 giri al minuto installato su quei laptop. In altre parole, i suoni della canzone innescavano delle vibrazioni sempre più intense nel disco rigido che gli impedivano di funzionare.

Non vi preoccupate: si trattava di dischi rigidi tradizionali, del tipo con piatti e testine, non dei dischi rigidi a stato solido che si usano oggi e che sono infinitamente meno sensibili alle vibrazioni in generale.

La soluzione adottata dal fabbricante fu semplice: fu aggiunto al sistema audio un filtro che escludeva le frequenze colpevoli. Chissà se sapremo mai quali erano i dischi rigidi vulnerabili a Janet Jackson.

Fonti aggiuntive: The Register, Tenable.

Auto Hyundai “hackerata”: la chiave privata degli aggiornamenti si trova con Google

Questo articolo è disponibile anche in versione podcast audio.

Le chiavi di cifratura e di protezione del software della Hyundai Ioniq SEL sono pubblicamente disponibili con una semplice ricerca in Google. Lo ha scoperto Daniel Feldman, un ingegnere informatico di Minneapolis, negli Stati Uniti, che con questa chiave è riuscito a hackerare il sistema di informazione e intrattenimento o infotainment della propria vettura.

Feldman racconta nel proprio blog che la sua auto, un’ibrida del 2021, è dotata di un sistema di infotainment, appunto, che funziona adeguatamente, ma lui voleva vedere se era possibile personalizzarlo, e così ha scoperto che esistono già vari modi non ufficiali, ovviamente ad alto rischio, per entrare nella modalità manutenzione e installare applicazioni. Il sistema, infatti, è basato su Android e quindi accetta quasi qualunque applicazione realizzata per questo sistema operativo. A quanto pare, la password di accesso a questa modalità manutenzione è definita usando una tecnica piuttosto originale: è semplicemente composta dalle quattro cifre dell’ora e del minuto indicati dall’orologio di bordo.

Ma Feldman voleva fare di più: voleva scoprire se era possibile creare degli aggiornamenti personalizzati del firmware, ossia del software di base del sistema di infotainment. Gli aggiornamenti ufficiali, diffusi da Hyundai Mobis, sono distribuiti all’interno di un file ZIP protetto da una password e sono cifrati e anche firmati digitalmente. Sembrerebbe una tripla protezione più che ragionevole, ma purtroppo qualcuno in Hyundai ha commesso una serie di errori davvero imbarazzante.

Per prima cosa, Feldman è riuscito a scavalcare la password del file ZIP e a estrarne i contenuti; i dettagli della tecnica che ha usato sono nel suo blog. Per la cifratura degli aggiornamenti, ha trovato la chiave di decrittazione direttamente nel file ZIP. Due ostacoli su tre erano quindi rimossi.

Ma c’era ancora la firma digitale, ossia la protezione che consente di installare soltanto software che sia stato firmato e garantito usando una chiave segreta in due parti, una pubblica e una privata, nota soltanto ai tecnici di Hyundai Mobis. Senza quella chiave, Feldman era a un punto morto. È qui che ha avuto un’ispirazione molto felice.

Per verificare che nessun altro avesse già ottenuto i suoi stessi risultati, ha provato a cercare in Google la chiave di cifratura che aveva scoperto. E Google gli ha fatto scoprire che la chiave usata da Hyundai era quella usata come esempio nei manuali pubblici di crittografia (come il documento NIST SP800-38A). Era insomma come scoprire che i tecnici di Hyundai Mobis avevano “protetto” (si fa per dire) il proprio software usando la password pippo che si usa sempre nei tutorial e che conoscono tutti.

Ma non è finita qui. Frugando all’interno del software originale, l’ingegnere informatico ha scoperto che quel software conteneva la parte pubblica della chiave di firma digitale. Ispirato dall’errore precedente dei tecnici Hyundai, ha provato a cercare su Google una porzione di questa chiave, e ha scoperto che anche stavolta i tecnici avevano usato una chiave di firma digitale che è presente negli esempi dei tutorial, quelli che spiegano come firmare digitalmente qualunque file. E quei tutorial, ovviamente, includono anche la chiave privata corrispondente.

In altre parole: Hyundai ha usato una chiave privata di firma digitale presa da un tutorial e ha messo la chiave pubblica corrispondente nel proprio software. E così è emerso che tutto il suo castello di protezioni risulta essere fondato sull’argilla, e Feldman è riuscito a installare del software (più precisamente del firmware) scritto da lui sulla propria auto, come descrive in due altri articoli (primo, secondo). Missione compiuta, insomma.

Morale della storia: la sicurezza nel software non è cosa che si improvvisa. I protocolli e gli standard possono essere anche robustissimi e matematicamente inespugnabili, ma l’errore umano, o in questo caso la pigrizia di chi ha usato una chiave di firma digitale presa di peso da un tutorial, è sempre in agguato. Conviene ricordarlo quando qualche azienda, anche al di fuori del settore automobilistico, si vanta di usare i software di crittografia più sofisticati. Se li usa un pasticcione, sforneranno pasticci.

Fonte aggiuntiva: The Register.

Doom gira su un trattore per dimostrare la necessità del diritto di riparare

Credit: Kyle Wiens.

Questo articolo è disponibile anche in versione podcast audio.

A maggio 2022 ha avuto un forte impatto mediatico la notizia di un furto ingente di trattori in Ucraina, commesso da un gruppo di soldati russi; furto che si era trasformato in una beffa per i ladri. I trattori, infatti, erano stati bloccati e resi inutilizzabili grazie alla loro connessione a Internet. Ne avevo parlato anch’io in una puntata di questo podcast. Torno a parlarne perché c’è un seguito.

Pochi giorni fa un informatico australiano che si fa chiamare Sick Codes è riuscito a prendere il pieno controllo degli apparati elettronici di un trattore della John Deere, la stessa marca di quelli rubati e brickati da remoto in Ucraina. Lo ha fatto durante una presentazione alla conferenza internazionale di sicurezza DEF CON 30, tenutasi a Las Vegas, e da buon informatico ha dimostrato il proprio successo facendo girare sull’elettronica del trattore il gioco classico Doom.

Ovviamente, per fare le cose per bene, la versione di Doom giocata da Sick Codes non è quella di base, ma è appositamente modificata: si svolge in un campo agricolo e bisogna colpire i mostri senza ferire gli animali da fattoria.

Tutto questo può sembrare un colossale esercizio di frivolezza, ma in realtà il fatto che qualcuno sia riuscito a prendere il controllo dell’elettronica di questi sofisticatissimi macchinari agricoli rivela che sono basati su hardware e software fragili e non aggiornati. Dato che dipendiamo dall’agricoltura di precisione realizzata tramite macchine agricole computerizzate di questo genere, questa non è una buona situazione.

Credit: Kyle Wiens.

Sick Codes non è nuovo a queste dimostrazioni: ad aprile 2021 aveva fatto vedere che era possibile trasmettere dati senza autorizzazione ai trattori della John Deere, che era stata avvisata e aveva chiuso le falle che consentivano questa intrusione. Ma ora l’informatico è tornato alla carica facendo addirittura un jailbreak locale di questi trattori, ossia uno sblocco che consente all’utente di eseguire qualunque software, e la cosa è importante per gli agricoltori, perché scavalca i blocchi che impediscono loro artificialmente di riparare le proprie macchine agricole e li obbligano a dipendere dai concessionari ufficiali. In altre parole, come sugli smartphone, il jailbreak dei trattori ridà ai proprietari il pieno controllo degli apparati che hanno acquistato e consente loro di ripararli o modificarli.

Il diritto di riparare gli oggetti di cui si è proprietari viene spesso ostacolato da protezioni artificiali di questo tipo, ma negli Stati Uniti, in Unione Europea e nel Regno Unito si sta facendo strada una serie di leggi che proteggono questo diritto, e scoperte come quella di Sick Codes sono preziose per documentare il fatto che le giustificazioni presentate dalle aziende per l’esistenza di questi blocchi software non reggono.

Di solito, infatti, le aziende dicono che impedire la riparazione a persone non autorizzate è necessario per tutelare i sofisticati sistemi software installati. Ma Sick Codes ha dimostrato che questi sistemi sono in realtà tutt’altro: alcuni usano Windows CE, altri usano versioni antiche di Linux, e tutto, persino l’intero firmware, gira come root, ossia con pieni permessi di amministratore, e non c’è alcun controllo sulla provenienza del software che viene eseguito, nessuna firma digitale o checksum. In parole povere, i “sofisticati sistemi” vanno contro tutte le regole di sicurezza informatica.

Grazie anche a iniziative come questa insieme alle nuove normative sul diritto di riparare, John Deere ha annunciato a marzo che renderà disponibile ai proprietari delle sue macchine agricole una porzione più consistente del software di riparazione e consentirà ai clienti e ai riparatori esterni di scaricare e installare gli aggiornamenti software ufficiali, invece di obbligare gli agricoltori a portare i mezzi alle officine autorizzate. Perché se può essere una scocciatura trovarsi con un laptop che decide di scaricare e installare i propri aggiornamenti proprio mentre si sta facendo una presentazione o si sta cercando di concludere un lavoro urgente, potete immaginare quanto sia devastante trovarsi con un trattore che non va solo per un problema software mentre il raccolto ottenuto con tanta fatica si sta rovinando sul campo.

Fonti aggiuntive: Ars Technica, The Register, Fierce Electronics.

Antibufala: Per il Corriere, una persona è morta “durante una prova di guida autonoma” di una BMW. Non è vero

Maurizio Bertera sul Corriere della Sera, nella sezione a pagamento, scrive (copia permanente) che “la Polizia tedesca ha dichiarato che una persona è morta e nove sono rimaste gravemente ferite dopo che un'auto impegnata in un test di guida autonoma ha improvvisamente cambiato direzione innescando una serie di collisioni che hanno coinvolto quattro veicoli.” La polizia lo ha dichiarato, ma non è vero.

L’auto è una BMW iX elettrica, che non è dotata di guida autonoma: ha soltanto un sistema di guida assistita, nel quale il conducente rimane costantemente responsabile della condotta del veicolo. Per cui non poteva essere in corso alcuna “prova di guida autonoma”.

La polizia tedesca ha affermato inizialmente che il veicolo era un’auto elettrica di prova a guida autonoma e che non era chiaro se al momento dell’incidente fosse sotto il controllo del conducente. BMW ha smentito, sottolineando che il veicolo non era dotato di guida autonoma. L’auto, tuttavia, era contrassegnata come veicolo di test a scopo di protezione dei dati, dato che stava effettuando delle riprese video, scrive Euronews. Da qui, forse, l’equivoco. 

Il Corriere, al momento in cui scrivo, non ha ancora rettificato, nonostante sia stato avvisato che la notizia è falsa. 

Visto il bilancio tragico dell’incidente, è importantissimo ricordare che i sistemi di guida assistita possono sbagliare (e sbagliano spesso nel momento peggiore) e che la responsabilità della guida del veicolo è sempre e comunque del conducente per tutti i sistemi di questo tipo che sono classificati come SAE Livello 0, 1 e 2.

Nel 1978 ero uno skater. Ne ho le terribili prove

C’è gente che mi guarda incredula quando dico che da ragazzino ero uno skater. Questo mio filmato sgranatissimo risale ad aprile e maggio del 1978. Una puntata del programma RAI Odeon mi aveva fatto conoscere l’esistenza della skateboard-mania, che dilagava principalmente negli Stati Uniti e nel Regno Unito ma era totalmente sconosciuta nel paesino lombardo in cui vivevo, e per me fu amore a prima vista.

Uscii subito a comperare il primo skate che trovai (una vera schifezza), imparai a usarlo e poi me ne comprai uno migliore, quello che si vede in queste riprese, durante un viaggio in UK. Poi passai a una tavola della Newporter, una Pro Slalom, che ho ancora.

Ci si divertiva con poco. Non avevamo caschi o altro. Al massimo un paio di guanti e gomitiere, le cadute e le sbucciature sull’asfalto erano all'ordine del giorno. E sì, andavamo in mezzo alle (poche) auto.

Ho appena riattivato il server delle foto e dei video di famiglia del Maniero Digitale, e mentre lo stavo sfogliando è riemerso questo vecchio riversamento da pellicola Super8 muta, che adesso ho rimontato alla buona e ho messo online come prova dei miei passatempi giovanili poco conosciuti.

La musica del video è generata automaticamente da Mubert. La cinepresa era una Canon 518 SV (lo ricordo perché lo annotai nei titoli di testa originali). Per chi volesse sapere il luogo esatto, è Bereguardo (in provincia di Pavia), alla discesa del castello. Non è cambiato praticamente nulla, da allora. Viene voglia di tornarci con lo skate.

2022/08/14

Ho sbufalato otto minuti di documentario lunacomplottista

Su richiesta di Open, ho esaminato otto minuti di un video complottista dedicato agli allunaggi da Massimo Mazzucco che è un perfetto esempio dell’approccio noto come metodo dello spandiletame: il complottista spara mille teorie sballate e annuncia mille misteri farlocchi, nella speranza che qualcuno di quei proiettili di scemenza aderisca alle pareti della teca cranica del malcapitato spettatore e lo convinca che “beh, dai, qualcosa di vero ci deve essere, non possono essere tutte balle, sono troppe”.

Ne è venuta fuori un’intervista che fa a fettine quegli otto minuti: se vi interessa, la trovate qui insieme ai video e ai dati che smentiscono una per una le insinuazioni fatte da Mazzucco. L’intervista integrale in video, con il debunking approfondito, è qui sotto.

Aggiungo solo qualche link utile che dà la misura dell’inettitudine investigativa di Mazzucco (parlo di inettitudine perché l’alternativa è il dolo): quando il complottista dice che Neil Armstrong non partecipò alle celebrazioni del quarantennale, nel 2009, mostra una pagina del sito di Paris-Match, specificamente questa, il cui testo dice “ne participera pas à la célébration du 40ème anniversaire du premier alunissage le lundi 20 juillet aux quartiers généraux de la NASA à Washington.” Il che è formalmente corretto, nel senso che Armstrong non andò al quartier generale della NASA a Washington. Ma celebrò altrove: specificamente al National Air and Space Museum (fonte), dove tenne un discorso insieme a Aldrin e Collins (video), alla cerimonia di conferimento della Congressional Gold Medal (video) e alla Casa Bianca con Obama (video). Scusate se è poco.

Mica male, per uno che secondo Mazzucco si sarebbe rifiutato di partecipare ai festeggiamenti.

Il discorso di Neil Armstrong che secondo Mazzucco non esiste.

Metto subito in chiaro che non ho nessuna intenzione di debunkare tutto il video lunacomplottista di Massimo Mazzucco. Ho fatto questo pezzetto solo perché me l’ha chiesto Open, e mi fermo qui perché già in otto minuti le cretinate che ho dovuto sentire hanno superato il livello di guardia e i neuroni hanno iniziato a scappare per mettersi in salvo. 

E per gli ottusangoli che diranno “Eh ma non hai debunkato il resto!”, chiarisco che quando il livello di incompetenza e di assurdità è quello che emerge da questi otto minuti, non c’è motivo di pensare che il resto possa essere differente.

2022/08/13

Piero Angela, 1928-2022. Settant’anni di divulgazione della conoscenza

Alberto Angela ha dato poco fa la notizia della scomparsa del padre, Piero. Una persona squisita, un signore della divulgazione e della comunicazione. Ha fatto la storia del giornalismo, con mano precisa e garbata; ha ispirato tantissimi ad appassionarsi alla scienza e al piacere della conoscenza. Le mie condoglianze e la mia sommessa gratitudine vanno a tutta la sua famiglia.

Io sono uno dei suoi tanti figli culturali. Gli devo praticamente tutta la mia forma mentis e la mia carriera: leggere da ragazzino il suo Viaggio nel mondo del paranormale mi aprì un universo di conoscenza e di metodo investigativo che non avevo nemmeno sognato potesse esistere. E nel 1995, a SuperQuark, Piero presentò il mio libro Internet per tutti, facendone esplodere le vendite e incoraggiando così l’editore a farmi continuare a scrivere.

Mai avrei immaginato che io, cresciuto come milioni di telespettatori a pane e Piero Angela”, un giorno avrei avuto l’onore non solo di incontrarlo, chiacchierare con lui e sentire la sua forte, ruvida stretta di mano e il suo spiazzante “diamoci del tu”, ma anche di collaborare con lui in varie occasioni legate al complottismo e alla rievocazione degli allunaggi insieme ad Alberto. E, grazie a lui, conoscere tante persone straordinarie, troppe per citarle una per una, che ho il privilegio di chiamare amici ed amiche e alle quali va il mio pensiero e il mio abbraccio in un momento di lutto condiviso.

Piero Angela mancherà immensamente a tutta la divulgazione scientifica, ma ci lascia un modello di stile e di comunicazione chiara e precisa a cui ambire ogni giorno e un’eredità inestimabile di persone e di istituzioni, prima fra tutte il Cicap, che continuano il suo lavoro paziente di scoperta e di gioiosa condivisione del sapere e di contrasto ai ciarlatani e ai manipolatori.

Piero ha lasciato su Facebook questo messaggio di congedo:

Cari amici, mi spiace non essere più con voi dopo 70 anni assieme. Ma anche la natura ha i suoi ritmi. Sono stati anni per me molto stimolanti che mi hanno portato a conoscere il mondo e la natura umana.

Soprattutto ho avuto la fortuna di conoscere gente che mi ha aiutato a realizzare quello che ogni uomo vorrebbe scoprire. Grazie alla scienza e a un metodo che permette di affrontare i problemi in modo razionale ma al tempo stesso umano.

Malgrado una lunga malattia sono riuscito a portare a termine tutte le mie trasmissioni e i miei progetti (persino una piccola soddisfazione: un disco di jazz al pianoforte…). Ma anche, sedici puntate dedicate alla scuola sui problemi dell’ambiente e dell’energia.

È stata un’avventura straordinaria, vissuta intensamente e resa possibile grazie alla collaborazione di un grande gruppo di autori, collaboratori, tecnici e scienziati.

A mia volta, ho cercato di raccontare quello che ho imparato.

Carissimi tutti, penso di aver fatto la mia parte. Cercate di fare anche voi la vostra per questo nostro difficile Paese.

Un grande abbraccio

Piero Angela

 

In suo onore e ricordo, teniamo accesa la luce della ragione. Sempre.

2022/08/16

Nel giorno dei funerali di Piero Angela, il figlio Alberto ci ha donato queste parole perfette di ricordo e sereno incoraggiamento.

Repubblica scrive che “le auto saranno ancora più razziste”. Eh?

In un articolo senza firma del 12 agosto 2022, dedicato alla Formula E (il campionato per auto elettriche), Repubblica scrive che “L'auto Gen 2 ha raddoppiato la capacità della batteria e ha rimosso la necessità di pitstop per cambiare auto. Con Gen 3, le auto saranno ancora più razziste.”

Screenshot e link a copia permanente per gli increduli:

Come è possibile scrivere una scemenza simile? E non è l’unica, visto che si parla anche di “traguardo secolare” in una gara di auto che è nata otto anni fa e che festeggia la centesima gara.

Ci sono anche altre fesserie colossali, che non cito pubblicamente perché non voglio fare il revisore di bozze gratuito.

Ho segnalato pubblicamente la stupidaggine a Repubblica. È ancora lì, online in tutto il suo splendore, mentre scrivo queste righe. E raccatta incassi pubblicitari grazie agli spot applicati in abbondanza all’articolo. Sembra quasi che lo scopo di questo tipo di giornalismo non sia informare il lettore, ma generare fuffa nella quale ospitare pubblicità.


Un lettore, Luca, mi suggerisce che si tratti di una traduzione a neuroni spenti di questo articolo di Reuters.

In effetti il confronto è illuminante (le evidenziazioni sono mie):

REUTERS: From a debut in 2014 around the stadium built for Beijing’s 2008 Summer Olympics, Formula E reaches its century milestone on Sunday by racing near the stadium that hosted the 1988 Seoul Games.

REPUBBLICA: Da un debutto nel 2014 intorno allo stadio costruito per le Olimpiadi estive di Pechino 2008, la Formula E raggiunge il suo traguardo secolare domenica correndo vicino allo stadio che ha ospitato i Giochi di Seoul del 1988.

Nella terminologia sportiva inglese, century significa centinaio. Sì, leggendo il dizionario senza ragionare si trova che century significa principalmente secolo, ma è per questo che esistono i traduttori umani dotati di cervello tenuto acceso: per capire dal contesto il senso delle parole, invece di tradurre meccanicamente una parola alla volta senza pensare che parlare di secolare per un tipo di gara iniziato otto anni fa non ha il benché minimo senso.

REUTERS: The Gen 2 car doubled the battery capacity and removed the need for pitstops to change cars. With Gen 3, the cars will be racier still.

REPUBBLICA: L'auto Gen 2 ha raddoppiato la capacità della batteria e ha rimosso la necessità di pitstop per cambiare auto. Con Gen 3, le auto saranno ancora più razziste.

Qui racier è il comparativo di racy, ossia (in questo contesto) corsaiola, nel senso di un’auto particolarmente adatta alle corse. Razzista non c’entra assolutamente nulla ed è un errore vergognoso che nasce probabilmente dall’assonanza fra racy (corsaiolo) e racist (razzista) ma soprattutto dal non chiedersi nemmeno vagamente quale possa essere il senso di quello che si sta traducendo.

Ho fatto notare la questione a Reuters chiedendo un commento. Vedremo se ci saranno sviluppi.

Ringrazio Stefano per la segnalazione della perla.

2022/08/12

Podcast RSI - Story: Di chi sono i tuoi dati quando muori?

logo del Disinformatico

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto) e qui sotto.

Le puntate del Disinformatico sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano il testo integrale e i link alle fonti di questa puntata, sono qui sotto.

Prologo

NOTA: questo podcast contiene informazioni di natura legale, ottenute da una consulenza con uno specialista della materia, ma non sostituisce una consulenza legale personale.

[CLIP: Rumore di traffico cittadino]

Siamo a Lugano, in una caldissima giornata d’estate. La persona davanti a me mi sta chiedendo una consulenza tecnica molto particolare: vuole sbloccare il telefonino di un familiare morto in circostanze tragiche. Su quello smartphone ci sono informazioni che permetterebbero alla famiglia di capire meglio quelle circostanze e forse trovare pace, o recuperare dati essenziali per gestire le conseguenze pratiche del lutto improvviso. Ma c’è un problema: la persona è morta senza lasciare alla famiglia il codice di sblocco del dispositivo.

I dati sono quindi inaccessibili, a meno che si riesca a trovare la maniera di scoprire quel codice oppure scavalcarlo, e gli informatici spesso questi metodi li conoscono. Ma a questo punto c’è un altro problema: il diritto della famiglia di accedere ai dati della persona che non c’è più. Dati che potrebbero contenere segreti o confidenze che la persona non voleva assolutamente condividere con i propri familiari. Cosa si fa in questi casi?

Questa è la storia, non facile da raccontare, delle nostre eredità digitali, e di come oggi sia necessario pensarci per tempo, perché nei nostri dispositivi elettronici chiudiamo a chiave parti sempre più consistenti della nostra vita e dei nostri rapporti personali e professionali, custodiamo segreti, codici di accesso e foto intime. E se da una parte la tecnologia rende sempre più difficile scavalcare le protezioni di questi dispositivi, dall’altra c’è un fatto legale sorprendente, che probabilmente toglierà il sonno a molti: i morti non hanno privacy.

Benvenuti a questa puntata del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.

[SIGLA di apertura]

Lo so, è un argomento che molti considerano macabro o addirittura tabù, ma prima o poi capita praticamente a tutti che un familiare ci lasci per sempre, e oggi a tutti gli altri problemi che questa dipartita comporta si aggiunge quello della gestione dei dati digitali di chi non c’è più.

Anche nelle circostanze meno drammatiche, la scomparsa di una persona cara comporta che chi le sopravvive debba mettere ordine nelle cose del defunto. E quelle cose, oggigiorno, sono spesso in formato digitale, custodite esclusivamente nello smartphone e nei servizi cloud associati a quello smartphone. Dalle bollette agli abbonamenti, dai contratti alle iscrizioni, è tutto sempre meno su carta. Chiudere questi rapporti, o anche solo scoprirne l’esistenza, diventa sempre più difficile, perché in giro per casa non ci sono lettere o bollette cartacee nelle quali imbattersi.

C’è poi la questione degli account sui social network: se non si hanno le loro password, non è possibile accedervi, nemmeno per comunicare il lutto o per chiuderli. E se si hanno le password ma non si ha il PIN di sblocco dello smartphone, non si possono ricevere neanche i codici di verifica di questi account.

È importante fermare subito le ipotesi un po’ morbose sul prendere le impronte dalle dita della salma o usare il riconoscimento facciale: lasciamole ai telefilm, perché sono state tentate ma funzionano solo nell’universo degli sceneggiatori. Molti sensori d’impronta moderni, per esempio, rilevano la conduttività elettrica dei polpastrelli, che cambia dopo la morte, mentre il riconoscimento facciale richiede che gli occhi siano aperti e il viso non abbia subìto i mutamenti fisiologici inevitabili del decesso.

Dal punto di vista tecnico, a volte è possibile aggirare tutte queste protezioni. Gli smartphone meno recenti hanno delle falle di protezione dei dati per cui è possibile scavalcare il PIN o reimpostarlo con opportuni comandi o con software abbastanza facilmente reperibile. Gli specialisti delle forze di polizia sono dotati di apparati appositi, come quelli fabbricati dalla Cellebrite, che sbloccano praticamente ogni smartphone esistente, ma vengono usati solo in circostanze molto particolari, per esempio se ci sono aspetti non chiari nel decesso o se c’è un procedimento legale in corso, e normalmente non sono disponibili al pubblico.

Capita spesso, insomma, che un informatico riceva la richiesta degli eredi di sbloccare uno smartphone di una persona deceduta. È capitato anche a me, appunto, in varie occasioni, che naturalmente non posso raccontare in dettaglio per rispetto delle persone coinvolte. A volte la motivazione è puramente pratica, perché servono le password per chiudere dei contratti o degli account o recuperare somme magari ingenti in bitcoin, e altre volte è profondamente emotiva, per esempio perché una famiglia vuole recuperare le ultime foto scattate insieme a una persona cara che non c’è più oppure vuole cercare di capire le ragioni di un gesto estremo. Ma in ogni caso è una richiesta sempre più frequente.

In situazioni come queste, però, oltre all’aspetto tecnico c’è anche quello legale. Ammesso di riuscire a scoprire o scavalcare il PIN di uno smartphone, è lecito dare ai familiari o agli eredi pieno accesso alle informazioni di una persona deceduta? Magari aveva dei segreti che non voleva condividere con queste persone: una malattia che teneva per sé, per non angosciare i cari, o una storia sentimentale che voleva tenere privata per proteggere qualcuno, per esempio. Molte persone tengono sul proprio smartphone pensieri personali e immagini intime che probabilmente non desiderano condividere con i propri figli o genitori.

La risposta a questo dubbio è piuttosto sorprendente: una volta decedute, le persone non sono più persone, dal punto di vista legale, e quindi con poche eccezioni non hanno più diritti personali, compreso quello alla riservatezza. I dati dei defunti non sono più privati.

---

Si tratta di un principio diffuso in molti ordinamenti giuridici, compreso quello svizzero, e solleva la questione della cosiddetta postmortem privacy (pronunciato privasi, se preferite la pronuncia britannica). Ma questo non vuol dire che eredi e familiari possano rivolgersi disinvoltamente a informatici per scardinare le protezioni di computer, tablet e smartphone e accedere a tutti i dati presenti o addirittura renderli pubblici. Ereditare materialmente un dispositivo digitale, infatti, non significa automaticamente ereditare pieno accesso ai dati contenuti nel dispositivo.

La ragione è semplice. È quasi inevitabile che quei dati riguardino anche le persone viventi con le quali il deceduto ha intrattenuto comunicazioni: i loro indirizzi e numeri di telefono, delle fotografie e dei video che li ritraggono, i loro messaggi confidenziali, i segreti professionali e altro ancora. Queste comunicazioni vengono considerate corrispondenza, e quindi in Svizzera, per esempio, sono tutelate dall’articolo 13 della Costituzione Federale e dalla Legge Federale sulla Protezione dei Dati. Tutele analoghe sono previste in tutti i paesi dell’Unione Europea e anche in molti paesi di diritto anglosassone.

Non è l’unico ostacolo legale da superare. Un codice di blocco su uno smartphone o una password su un computer o un account social vengono normalmente considerati dalla legge come “provvedimenti tecnici” atti a proteggere i dati personali contro un trattamento non autorizzato. Normalmente vengono usati per proteggersi dai ladri digitali, ma possono anche indicare un’intenzione di proteggere quei dati da chiunque, compresi eredi e familiari.

Allo stesso tempo, però, va considerato che molti telefonini e computer si bloccano automaticamente se non vengono usati e che non è materialmente possibile aprire account per mail e social network senza impostare una password, e quindi è difficile capire se i familiari siano stati esclusi dall’accesso intenzionalmente o se la persona deceduta semplicemente non abbia pensato a questo scenario.

Situazioni ambigue come queste possono essere risolte rivolgendosi a un consulente legale e poi chiedendo a un giudice di valutare gli interessi in gioco e decidere quali siano preponderanti, tenendo conto anche del fatto che fotografie e testi del defunto possono essere considerate proprietà intellettuale e quindi devono seguire le norme di successione riguardanti il diritto d’autore. Ma in ogni caso si tratta di un procedimento oneroso, anche dal punto di vista emotivo. E manca, a tutt’oggi, una rete di assistenza legale e psicologica chiara per chi si trova in queste situazioni, specialmente in seguito a un lutto improvviso.

Ma perlomeno per la parte pratica esiste una via più semplice.

---

Tutte queste complicazioni, infatti, si possono prevenire agendo in anticipo. Molti social network prevedono un’opzione che consente di designare degli eredi: Facebook, per esempio, ha il cosiddetto “contatto erede”, come spiegato nel Centro assistenza online del social network. Lo stesso fa Google, offrendo un piano per l’eredità digitale. In alcuni casi si può invece scegliere di far cancellare automaticamente i propri account in caso di decesso.

Si può anche scegliere di affidare i propri PIN e le proprie password a una o più persone di fiducia, sigillando queste informazioni in una busta da aprire solo in caso di morte, escludendo le credenziali dei servizi che non si desidera condividere e lasciando istruzioni su cosa fare dei vari account, per esempio eliminarli o renderli commemorativi, come previsto da Instagram e Facebook.

Per gli eredi, invece, ci sono due raccomandazioni tecniche di base: la prima è tenere aperto per qualche tempo il contratto telefonico cellulare della persona deceduta, perché potrebbe essere necessario per ricevere gli SMS dell’autenticazione a due fattori o i link personalizzati per il recupero degli account. La seconda è di non buttare via i dispositivi digitali del defunto, anche se sono tecnicamente inaccessibili: c’è sempre la possibilità che qualcuno, in futuro, scopra una tecnica inedita che consente di eludere o sbloccare le loro protezioni.

Tutto questo può sembrare così lugubre e complicato da far passare la voglia di affrontare il problema, ma la questione esiste e negarla non la risolverà: l’aldilà digitale è una delle incombenze inaspettate della vita del ventunesimo secolo.

Fonti aggiuntive

  • Un mio articolo molto più breve su questo stesso tema è uscito sul numero 2/22 della rivista La Borsa della Spesa dell’ACSI (Associazione consumatrici e consumatori della Svizzera italiana).
  • Come inviare una richiesta relativa all'account Google di un utente deceduto.

2022/08/10

Una videocollezione di chicche e retroscena di “2001: Odissea nello spazio"

Se, come me, siete appassionati di questo film di Stanley Kubrick, questa serie di video vi rivelerà tantissimi dettagli poco conosciuti e tante immagini girate dietro le quinte di un capolavoro che ha ormai più di cinquant’anni e fu girato prima dello sbarco sulla Luna, con difficoltà tecniche e narrative incredibili. Il video è in inglese, ma le immagini spesso parlano da sole, proprio come in 2001: Odissea nello spazio. Buona visione.

Part 1: The Dawn of Man
Part 2: The Floyd Section
Part 3: The Lunar Surface (TMA-1)
Part 4: Jupiter Mission [A]
Part 5: Jupiter Mission [B]
Part 6: Jupiter and Beyond the Infinite [A]
Part 7: Jupiter and Beyond the Infinite [B]

2022/08/09

Olivia Newton-John ci ha lasciato. Rainews la ricorda traducendo "You're The One That I Want" in "Non puoi avere tutto quello che vuoi"

Questo è uno screenshot del tweet nel quale RaiNews ha tradotto il titolo della celeberrima canzone di Olivia Newton-John (morta ieri a 73 anni) e John Travolta, "You're The One That I Want", scrivendo che significa "Non puoi avere tutto quello che vuoi".

Il tweet è stato poi rimosso, in seguito alle proteste dei lettori (compresa la mia). Ne ho salvato una copia permanente qui, per gli increduli che non riescono a capacitarsi che la Rai faccia scrivere i suoi tweet a qualcuno che non sa l’inglese (l’inglese, non l’urdu o il tagalog) ma è convinto di saperlo.

La traduzione corretta è "Sei tu quello che desidero/voglio". Sarebbero bastati tre secondi di Google Translate.

2022/08/07

Instagram mi blocca l’account: piccola cronologia del recupero

Questo non è un articolo tecnico: consideratelo semplicemente come un appunto pubblico che magari può essere utile a qualcuno che si trovi nella mia stessa situazione.

Ieri mi sono collegato al mio account Instagram e ho trovato questo avviso.

“Il tuo account è stato bloccato temporaneamente” dice l’avviso sul mio smartphone. “Abbiamo scoperto un’attività sospetta sul tuo account Instagram e lo abbiamo bloccato temporaneamente per precauzione. Il tuo account potrebbe essere stato compromesso perché hai inserito la tua password su un sito web creato per assomigliare a Instagram. Questo tipo di frode è chiamato "phishing"”.

Come avrete intuito, non ho affatto inserito la mia password in un sito di phishing e ho l’autenticazione a due fattori. Ma allora cosa sta succedendo realmente?

L’avviso dice che nei passaggi successivi mi verrà chiesto di verificare la mia identità. Va be’, proviamo. Clicco su Continua.

Mi viene chiesto come voglio ricevere un codice di sicurezza: via mail o tramite SMS al mio telefonino. Scelgo la seconda opzione.

Mi arriva via SMS un codice di sei cifre e lo immetto nella schermata di verifica di Instagram.

L’app mi chiede poi di modificare la mia password. Eseguo.

Ta-da! Account sbloccato. Mistero totale sulle cause del blocco. Colgo l’occasione per ricordare che è indispensabile attivare sempre l’autenticazione a due fattori, per proteggersi da tentativi di phishing, e che con un “supporto tecnico” criptico del genere non è mai una buona cosa far dipendere una propria attività economica o comunicativa essenziale da un singolo account social, in ossequio alla Clausola del Gatto Sitwoy.

2022/08/06

Alex Jones, milionario della menzogna, è stato condannato

Alex Jones, il sostenitore di infinite tesi di complotto tanto caro a parecchi complottisti nostrani, deve pagare il conto per le fandonie oscene che ha smerciato in questi anni. Fandonie oscene come quella, detta e ridetta nei suoi video interminabili su YouTube, che i bambini uccisi nel 2012 nella strage della scuola elementare di Sandy Hook, negli Stati Uniti, e i loro genitori sarebbero tutti in realtà attori pagati dal governo americano.

Ora Alex Jones è sotto processo e una giuria lo ha condannato all’unanimità a pagare oltre 45 milioni di dollari di danni come punizione e in parte come risarcimento a una di quelle famiglie. Famiglie che, nei dieci anni passati dopo la tragedia nella quale hanno perso i propri figli, spesso hanno dovuto scappare e cambiare casa, perché i seguaci di Alex Jones li perseguitavano, grazie anche al fatto che Jones divulgava nei suoi video i loro indirizzi di abitazione.

Ma lo faceva intanto che vendeva kit di sopravvivenza e prodotti pseudomedicinali e quindi i soldi per pagare quella cifra li ha. Eh sì: quello che molti pensano sia una “voce libera”, uno che “dice le cose come stanno”, uno che “parla fuori dal coro” ha ammassato oltre 130 milioni di dollari dicendo le stesse fesserie di Napalm 51 ma parlando sul serio. Così sul serio da essere stato anche elogiato da Donald Trump.

Alex Jones si è fatto le ossa con le tesi di complotto sugli attentati dell’11 settembre 2001: su Undicisettembre.info trovate il repertorio delle sue accuse, totalmente infondate ma accolte a braccia aperte da persone come Maurizio Blondet.

I messaggini trovati sul telefonino di Jones documentano che le sue aziende (sì, il guru complottista che lotta contro il potere e che si atteggia a “uno di noi” è un imprenditore che ha una rete di aziende) nel 2018 incassavano fino a 800 mila dollari al giorno.

La BBC riassume i momenti salienti del processo qui, con le false testimonianze di Jones, il confronto diretto con le famiglie colpite dalla strage di Sandy Hook, e lo shock di Alex Jones nello scoprire che il suo avvocato difensore ha fatto avere per errore all’accusa tutto il contenuto del suo telefonino, compresi messaggi enormemente incriminanti. Trovate altre info su Il Post.

Se vi chiedete come mai ci sono così tante notizie false in giro, questo è uno dei motivi: raccontar balle, aizzare l’odio, fa diventare milionari. Non sono pensatori indipendenti o combattenti contro il sistema: sono ciarlatani arraffasoldi. La loro ambizione non è salvare il mondo, ma fare soldi come Alex Jones.

Li ospitate in TV? Siete complici.

 

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

2022/08/05

I Rolling Stones del 1968 restaurati in 4K

Il restauro digitale fatto bene è una macchina del tempo reale. Questi sono gli Stones. Nel 1968. In 4K. Per fortuna usarono la pellicola cinematografica, così ricca di dati e di risoluzione recuperabile con le tecniche digitali di oggi, invece del nastro video.

Podcast RSI - È sicuro usare "Accedi con..."?; come perdere 200 milioni di dollari in criptovalute; robot con ragni morti al posto delle mani, perché?

logo del Disinformatico

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto) e qui sotto.

Le puntate del Disinformatico sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano i testi e i link alle fonti di questa puntata, sono qui sotto.

2022/08/04

Robot a base di ragni morti. Perché? PERCHÉ?

Nella versione podcast di questo articolo, lo spezzone audio che si sente all’inizio è tratto da questa scena di Doctor Who.

Ci sono invenzioni delle quali non si può più fare a meno una volta che vengono fatte, e invenzioni delle quali si vorrebbe fare subito a meno e anzi ci si chiede perché mai siano state fatte. Una di queste ultime arriva da un gruppo di ricercatori della Rice University, in Texas. Se avete paura o disgusto dei ragni come me, tenetevi forte.

Questi ricercatori hanno pubblicato sulla rivista Advanced Science un articolo che descrive un loro esperimento, nel quale hanno usato un ragno morto come elemento di presa di un mini braccio robotico, simile a quegli artigli presenti in certi giochi da luna park. Le otto zampe del cadavere sono state rianimate per afferrare piccoli oggetti aventi forme irregolari o per azionare interruttori.

La forza di presa di questo apparato per nulla inquietante è tale, a detta dei ricercatori, che è possibile afferrare oggetti che hanno fino al 130% della massa dell’ex ragno. Può essere confortante, a modo suo, l’osservazione dei ricercatori che i cadaveri di ragno diventano meno efficienti man mano che aumentano le loro dimensioni, per cui perlomeno non rischiamo di trovarci attorniati da robot che hanno ragni giganti morti al posto delle mani.

Le motivazioni dell’esperimento sono meno morbose di quel che si potrebbe pensare. Usare un cadavere di ragno, spiegano gli autori, è di gran lunga più semplice ed economico rispetto a progettare e fabbricare un manipolatore meccanico convenzionale miniaturizzato. Inoltre l’aracnide è molto durevole, dato che “può reggere 700 cicli di azionamento prima dell’inizio del deterioramento” e soprattutto è biodegradabile quando non serve più, e questo elimina l’impatto ambientale che avrebbe una soluzione tradizionale.

Anche la scelta specifica del ragno, invece di qualche altra creatura meno controversa, ha ragioni tecniche ben precise: le zampe dei ragni, infatti, “non hanno coppie di muscoli antagonisti; hanno invece soltanto muscoli flessori” che le fanno contrarre verso l’interno, mentre si estendono verso l’esterno grazie alla pressione dell’emolinfa, che è grosso modo l’equivalente del sangue negli artropodi. Questo significa che se si riesce a generare e controllare una pressione equivalente a quella dell’emolinfa è possibile comandare il movimento di apertura e chiusura delle zampe di un ragno morto, trasformandole in un dispositivo di presa di precisione.

I ricercatori della Rice University hanno quindi usato una siringa per pompare nel corpo del ragno dell’aria ed aspirarla, variando così la pressione interna e ottenendo un’apertura e contrazione delle zampe, ideale per la manipolazione delicata di piccoli componenti elettronici. Questa tecnica è stata chiamata dai ricercatori necrobotica.

Va detto che i ricercatori, e in particolare la studentessa laureata Faye Yap che ha avuto l’idea dell’esperimento notando un ragno morto raggomitolato e chiedendosi il motivo di questa posizione, lavorano in un laboratorio specializzato nella cosiddetta soft robotics, ossia “robotica morbida”, che cerca di evitare le materie plastiche, i metalli e l’elettronica e preferisce usare materiali non tradizionali. Per cui l’idea di usare un cadavere di aracnide non è del tutto stravagante. Perlomeno per questi ricercatori.

Non li pubblico qui, ma se ci tenete, i video degli esperimenti di presa e rilascio tramite ragno siringato sono a vostra disposizione insieme al testo integrale dell’articolo dei ricercatori. E se ora avete bisogno di levarvi dagli occhi l’immagine del ragno necrobotico zombi, vi propongo come antidoto una pucciosissima lontra, molto viva, vispa e affamata. Meglio, vero?

 

Fonti aggiuntive: Ars Technica, Rice University, The Register.

Come perdere 200 milioni di dollari in criptovalute

Nota: nella versione podcast di questo articolo, lo spezzone audio introduttivo è tratto da Breaking bad.

Il mondo delle criptovalute attira molta attenzione con le sue apparenti promesse di guadagni facili, ma anche le perdite sono almeno altrettanto facili. Non c’è solo il problema del controvalore, che varia con andamenti da montagne russe; c’è anche quello dell’affidabilità degli intermediari. Non perché siano disonesti, ma semplicemente perché il loro lavoro si basa interamente sul software e basta un piccolo errore in quel software per causare disastri costosissimi, senza che i clienti abbiano diritto a risarcimenti garantiti dalla legge.

La società di sicurezza informatica Sophos racconta il caso recentissimo di Nomad, un servizio di cosiddetto bridging, ossia di scambio fra criptovalute. Se per esempio avete dei bitcoin e li volete convertire in Ethereum o viceversa, potete usare un servizio di bridging.

Nomad in questo momento è completamente bloccato e si stima che abbia perso circa 200 milioni di dollari, o meglio l’equivalente di questo valore in criptovalute. E ha perso questi soldi in una maniera decisamente imbarazzante, nota nel settore come replay attack.

Immaginate di andare da un cambiavalute con cento euro e chiedere di convertirli in, che so, rupie indonesiane. L’addetto ritira i vostri cento euro, ma non ha subito a disposizione la valuta che avete chiesto e quindi vi rilascia uno scontrino numerato. Quando le rupie arrivano, voi presentate lo scontrino e l’addetto vi consegna le rupie, ritirando lo scontrino.

Ora immaginate di presentare all’addetto una fotocopia dello scontrino chiedendo di nuovo le rupie e che l’addetto, particolarmente smemorato, non si ricordi di voi e di avervele già date e non controlli il numero dello scontrino per vedere se è già stato usato. L’addetto vi dà di nuovo le rupie senza che gli abbiate dato dei soldi equivalenti. E se gli presentate un’altra fotocopia del medesimo scontrino, vi dà altri soldi, e così via all’infinito. O perlomeno finché il cambiavalute esaurisce tutto il denaro che ha in cassa.

Questo è, grosso modo, quello che è successo a Nomad: un aggiornamento del suo software aveva inavvertitamente disattivato la verifica delle transazioni completate, per cui era sufficiente presentarsi al sito con i dati di una transazione già avvenuta e ripeterla per prelevare criptovalute senza averne versate. Non solo: era anche possibile modificare le coordinate del beneficiario mettendoci le proprie.

Non servivano conoscenze sofisticate: era sufficiente trovare una transazione completata correttamente, copiarla, e incollarla cambiando il beneficiario.

La semplicità del raggiro ha scatenato una frenesia di transazioni fasulle che in breve tempo ha prosciugato appunto circa 200 milioni di dollari dalle casse virtuali di Nomad. 200 milioni di dollari che erano stati versati da utenti che si erano fidati del servizio e che adesso hanno pochissime speranze di riavere i propri risparmi.

Nomad ha annunciato di aver comunicato l’accaduto alle forze dell’ordine e di aver incaricato degli esperti per identificare gli utenti che hanno approfittato dell’errore nel software e per recuperare il maltolto. Ha anche messo a disposizione un wallet, ossia un conto, sul quale possono essere restituiti i soldi che sono stati ottenuti indebitamente o, come dice nel suo annuncio, sono stati presi per “custodirli al sicuro”.

Ma incidenti spettacolari come questo sottolineano il fatto, spesso trascurato, che moltissimi servizi legati alle criptovalute operano senza nessuna delle garanzie e tutele legali degli istituti finanziari convenzionali e quindi se uno di questi servizi viene depredato da criminali informatici che sfruttano una falla le speranze di riavere il maltolto sono minime. Prima di affidare i vostri soldi a uno di questi servizi, conviene assolutamente verificare quali sono le garanzie offerte dalla legge nel paese in cui operano.

Ma non è finita: Sophos, infatti, mette in guardia contro gli sciacalli delle criptovalute, ossia truffatori che fingono di essere vittime di uno di questi incidenti e raccontano la loro disavventura nei commenti ad articoli dedicati alle valute digitali. Dicono di aver recuperato tutto grazie ai servizi di una certa persona o azienda, ma in realtà si tratta di pubblicità ingannevoli per servizi fraudolenti che fingono di offrire il recupero di criptovalute. Soprattutto se vi chiedono altri soldi per recuperare quelli che avete perso online, ignorateli: rischiate di perdere altro denaro.

2022/08/03

“Accedi con…”, pessima idea; e occhio ad associare app al proprio account Twitter

Questo articolo è disponibile anche in una versione podcast, rispetto alla quale è stato aggiornato.

Quando capita di dover creare un nuovo account da qualche parte, per esempio per accedere a un nuovo social network o sistema di messaggistica, c’è quasi sempre un dilemma: creare un ennesimo account distinto e separato, con un suo nome utente e password che poi bisogna segnarsi e ricordare, oppure usare la comoda scorciatoia di cliccare su “Accedi con Google” o “Accedi con Facebook” e simili, senza ulteriori preoccupazioni e complicazioni?

Molti utenti sanno bene che la cosa più prudente è creare un account separato, per evitare che qualcuno possa mettere in relazione quello che si fa in un sito con quello che si fa in un altro, ma è una preoccupazione di privacy, non di sicurezza, e quindi viene spesso trascurata. Cliccare su “Accedi con” è così pratico e allettante.

Ma in realtà non usare “Accedi con”, e in generale non associare i propri account social ad app di terzi, è anche una questione di sicurezza. Lo segnala la società di sicurezza informatica indiana CloudSEK, annunciando di aver scoperto oltre 3200 app per dispositivi mobili che per un errore commesso dagli sviluppatori espongono pubblicamente le cosiddette chiavi API di Twitter: in parole povere, nei casi peggiori questo errore permette a un aggressore di prendere il controllo degli account Twitter degli utenti che usano queste app difettose, se hanno associato ad esse il loro account su questa piattaforma social.

Gli aggressori che sfruttano questa falla possono leggere i messaggi diretti degli utenti-bersaglio, mettere like e condividere contenuti spacciandosi per loro, creare o cancellare tweet, aggiungere o rimuovere follower, accedere alle impostazioni dell’account Twitter e altro ancora.

Prima che diciate “facciano pure, tanto a chi vuoi che interessi il mio account Twitter”, CloudSEK fa notare che lo scopo più frequente di questi aggressori non è ficcare il naso nei fatti vostri, ma usare il vostro account, insieme a quelli di moltissime altre vittime, per creare un esercito di account “zombi”, che possono comandare per esempio per fare campagne di spam, diffondere notizie false o pubblicizzare truffe sulle criptovalute. Gli account verificati, quelli con il bollino blu, sono particolarmente desiderabili per questi criminali, perché gli utenti di Twitter tendono a fidarsi maggiormente di quello che scrivono questi utenti verificati.

Il problema è serio, insomma: se si usa l’opzione “Accedi con” e si associa il proprio account social a queste app difettose, c’è il rischio di trovarsi coinvolti in truffe e inganni di vario genere, e non solo su Twitter. 

Inoltre, notano giustamente i commenti qui sotto, se si fa un “Accedi con” a un sito/app e poi si perde il controllo dell’account usato per accedere, si perde l’accesso anche a quel sito o app.

CloudSEK non ha reso pubblico l’elenco di queste 3200 app difettose, ma stando al sito BleepingComputer, che ha preso visione di una copia di questo elenco, si tratta di app che hanno da 50.000 a cinque milioni di download e includono guide ai trasporti cittadini, app di ascolto radiofonico, lettori di libri digitali e persino app per transazioni bancarie online.

Come se non bastasse, la maggior parte di queste app fallate non è ancora stata corretta, ed è per questo che non è possibile farne i nomi. C’è però un’eccezione notevole: un’app della casa automobilistica Ford, chiamata Ford Events, che aveva il grave difetto segnalato da CloudSEK ma è stata corretta e quindi può essere citata.

Visto che incidenti come questo continuano a capitare, conviene evitare in generale di usare qualunque opzione che proponga di accedere a un’app o a un sito usando le credenziali di un account che avete altrove. Lasciate insomma perdere tutti i vari inviti a base di “Accedi con” e create invece un account separato. Evitate, inoltre, di associare i vostri account social ad app non strettamente indispensabili. 

Questi comportamenti non sono una soluzione perfetta, perché gran parte della colpa è di chi sviluppa maldestramente queste app, e richiedono un pochino di impegno e diligenza, ma sono molto meglio di niente. Non ve ne pentirete.

Svizzera, bug bounty di stato per migliorare la sicurezza informatica federale

Il Centro nazionale per la cibersicurezza (NCSC) della Confederazione Svizzera ha annunciato oggi che l’amministrazione federale ha acquisito una piattaforma centrale per gestire dei bug bounty “allo scopo di potenziare la sicurezza dell’infrastruttura IT e ridurre i ciber-rischi in modo efficace ed economicamente vantaggioso”. L’annuncio è stato dato anche dal Dipartimento federale delle finanze.

Secondo lo schema classico dei bug bounty, gli hacker verranno invitati a testare la sicurezza dei sistemi informatici dell’amministrazione rispettando un regolamento e dei vincoli di riservatezza. Il progetto verrà gestito in collaborazione con la società lucernese Bug Bounty Switzerland SA. I dettagli delle condizioni di partecipazione non sono ancora stati resi pubblici.

Non è la prima esperienza federale del genere: per esempio, nel 2021 è stato realizzato un progetto pilota che ha scoperto dieci vulnerabilità (una delle quali era considerata critica) nei sistemi informatici del Dipartimento federale degli affari esteri e del Parlamento. Un analogo test pubblico di sicurezza è stato effettuato a giugno 2021 per verificare la sicurezza dell’app Covid Certificate di gestione dei certificati Covid. Nel 2019 un bug bounty organizzato dalla Posta svizzera per testare il sistema di voto elettronico, offrendo premi fino a 50.000 CHF, ha rivelato errori che hanno poi portato alla sospensione del progetto di e-voting.

I bug bounty possono sembrare strani ai non addetti ai lavori: vengono spesso considerati l’equivalente di pagare uno scassinatore per far valutare la sicurezza di una cassaforte. In realtà il paragone andrebbe fatto coinvolgendo un fabbro più che uno scassinatore. In ogni caso, si è visto che il sistema funziona e costa relativamente poco, tant’è vero che praticamente tutte le società informatiche più grandi del mondo offrono bug bounty, spesso molto sostanziosi.

Fonti aggiuntive: La Regione, RSI, Swissinfo, Netzwoche, Bugbounty.

2022/08/01

“Forever Young”, l’autobiografia tradotta in italiano dell’astronauta Gemini, Apollo e Shuttle John Young, in sconto a €9,99. Ne traduciamo un’altra?

L’editore Cartabianca mi segnala che da oggi la traduzione italiana di Forever Young, autobiografia del leggendario astronauta John Young alla cui traduzione italiana ho avuto il piacere di collaborare, è disponibile in formato digitale a un prezzo ridotto: €9,99 anziché €11,99.

Se volete saperne di più, date un’occhiata alla mia presentazione del libro.

Intanto ho una proposta: tradurre un’altra biografia di un astronauta lunare. Intanto che le trattative estenuanti per quella di Michael Collins vanno avanti (è dura ma non molliamo), Cartabianca potrebbe tradurre quella di Fred Haise (Apollo 13), Never Panic Early, che è uscita di recente. E io sarei di nuovo disponibile a collaborare alla traduzione.

Le traduzioni astronautiche fatte fin qui con Cartabianca (oltre al libro di Young ricordo L’Ultimo uomo sulla Luna di Gene Cernan) non sono certo best-seller, ma sono andate abbastanza bene da incoraggiare l’editore a proseguire la serie: l’importante è che ci sia un numero di potenziali acquirenti sufficiente almeno a coprire le spese. 

Vi chiedo quindi di dirmi se sareste interessati a leggere una traduzione italiana dell’autobiografia di Haise, che ha avuto un curriculum di tutto rispetto: oltre ad aver ricoperto il ruolo di pilota del Modulo Lunare durante la sfortunata missione Apollo 13, è stato pilota collaudatore e membro dell'equipaggio di riserva delle missioni lunari Apollo 8, Apollo 11 e Apollo 16, e ha effettuato cinque voli planati con lo Shuttle Enterprise per collaudarne le caratteristiche di volo atmosferico al rientro, prima dell’inizio delle missioni orbitali. 

L’edizione italiana dell’autobiografia di Fred Haise Never Panic Early costerebbe €9,99 in ebook e €17,50 in versione cartacea.

A questi prezzi, l’acquistereste? Se sì, mandatemi una mail a paolo.attivissimo chiocciola gmail.com con l’oggetto FRED. È solo un sondaggio, non una promessa di acquisto: per ora si tratta solo di capire se i numeri sono sostenibili. Avete tempo fino a questo venerdì, poi pubblicherò i risultati.

 Grazie!