Cerca nel blog

2023/04/06

Podcast RSI - Ribellione delle celebrità su Twitter; riconoscere le foto sintetiche; antifurto online vulnerabili; blocco di ChatGPT

logo del Disinformatico

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto) e qui sotto.

Le puntate del Disinformatico sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle fonti di questa puntata, sono qui sotto.

---

Teaser

Attenzione a quello che leggete su Twitter: da pochi giorni le spunte blu, che un tempo indicavano che un utente era autenticato, non vogliono dire più nulla ed è diventato impossibile capire se un utente ha la spunta blu perché è chi dice di essere o se è semplicemente un impostore che ha pagato otto dollari per avere la spunta blu. Attori, sportivi e celebrità stanno boicottando in massa la proposta di Elon Musk di pagare per usare Twitter, perché la spunta blu ormai non conta più nulla.

Intanto le foto del Papa, di Putin, Macron, Julian Assange e di tanti altri nomi di spicco generate dall’intelligenza artificiale hanno ingannato milioni di persone, per cui è importante conoscere le tecniche per accorgersi di queste manipolazioni.

Dagli Stati Uniti arriva l’allarme per gli antifurto e apricancello della Nexx, che sono vulnerabilissimi perché incredibilmente hanno tutti la stessa password e quindi è banale prendere il controllo dei dispositivi altrui. E infine, due parole sul blocco di ChatGPT in Italia.

Benvenuti alla puntata del 7 aprile 2023 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.

[SIGLA di apertura]

Ribellione su Twitter: quasi nessuno vuole pagare

Ci sono novità importanti per chi ha un account su Twitter o consulta Twitter per avere informazioni e notizie: è diventato quasi impossibile distinguere gli account reali da quelli falsi, e quindi bisogna fare molta attenzione a non cadere nella trappola delle fake news o delle truffe create da account che fingono di essere fonti autorevoli e ora possono farlo in maniera molto credibile, perché hanno lo stesso aspetto visivo, con tanto di spunta blu di apparente autenticazione.

Il problema deriva dalla decisione, presa alcuni mesi fa, di cambiare radicalmente il significato della spunta blu, quella che per anni è stata appunto simbolo di autenticazione dell’account e permetteva di sapere che il tweet che si stava leggendo proveniva da una fonte verificata. Ora non è più così: chiunque può comprare la spunta blu per pochi dollari al mese, abbonandosi a Twitter Blue, e non c’è nessuna verifica di identità preliminare su chi la compra. Eppure chi ha la spunta blu viene presentato da Twitter come “account verificato”.

Il bello di Twitter, nonostante la sua infestazione da parte di troll, provocatori, complottisti e altri personaggi poco piacevoli, era che si poteva comunicare direttamente con le celebrità e si potevano ricevere notizie attendibili in tempo reale dalle testate giornalistiche di tutto il mondo. I loro account erano chiaramente distinguibili dai loro imitatori e impostori grazie alla spunta blu, che veniva assegnata da Twitter soltanto a chi inviava una scansione di un documento di identità ed era considerato sufficientemente notorio. Sotto la gestione di Elon Musk questa era sembra ormai essere chiusa definitivamente.

Infatti Twitter ha annunciato che dal primo di aprile gli account autenticati avrebbero gradualmente perso la spunta blu se non avessero deciso di pagare un abbonamento. Ma pochissimi utenti autenticati hanno aderito a questa richiesta. 

Molte testate giornalistiche hanno annunciato che non avrebbero pagato per la spunta, che per loro non è blu ma è color oro e costa mille dollari al mese più altri cinquanta al mese per ciascun dipendente affiliato. Si sono rifiutati per esempio il New York Times, il Los Angeles Times, il Washington Post, BuzzFeed, Politico e Vox (la Radiotelevisione Svizzera di lingua italiana, @rsionline, ha ancora la spunta blu gratuita) [ho chiesto ai colleghi; @Rainews, invece, ha la spunta oro; non so se a pagamento o gratis, ho chiesto ma non ho avuto risposta]. La Casa Bianca ha annunciato che non pagherà per avere la spunta grigia che identifica le organizzazioni governative. 

Molte celebrità hanno detto chiaramente che non pagheranno: Jack Black, Ben Stiller, Seth Rogen, Mark Hamill, William Shatner (il capitano Kirk originale di Star Trek), Karl Urban, Jason Alexander, la modella Chrissy Teigen, Patton Oswalt, il cestista statunitense LeBron James (50 milioni di follower), il rapper Ice-T, Dionne Warwick e molti altri esponenti dello sport e dello spettacolo [elencati per esempio da Iheart, Cracked e Gizmodo].

Ovviamente non è una questione di soldi, ma di significato: la spunta blu adesso non solo è inutile, perché non autentica più nulla, ma è anche imbarazzante, perché fa sembrare che sei “il tipo di persona che pagherebbe otto dollari al mese per sentirsi speciale”, per citare le parole del comico Mike Drucker (se per caso ve lo state chiedendo, la mia spunta blu è quella originale gratuita; neanch’io ho intenzione di pagare per mantenerla, visto che adesso non significa più nulla).

I dati raccolti dal ricercatore informatico Travis Brown parlano molto chiaro: dei circa 420.000 account verificati secondo il vecchio sistema, quindi appartenenti ai power user che sono la linfa vitale di qualunque social network, finora solo circa dodicimila hanno pagato: poco più del tre per cento. E la battuta del comico statunitense Drucker sul pagare per sentirsi speciale sembra azzeccata: metà degli utenti paganti di Twitter ha meno di mille follower. In tutto, questi account paganti sono poco meno di mezzo milione, ossia meno dello 0,2% degli utenti giornalieri totali di Twitter.

La reazione di Twitter a questo rifiuto collettivo è stata che le spunte blu autenticate non sono state rimosse in massa come era stato invece annunciato. Cosa più importante, Twitter ha aggiunto a questo dietrofront una scelta particolarmente infelice e pericolosa dal punto di vista della sicurezza informatica: ha disattivato l’avviso che permetteva di distinguere facilmente gli account realmente autenticati da quelli semplicemente paganti. Dal 3 aprile scorso, infatti, cliccando sulla spunta blu di entrambi i tipi di account compare un avviso che dice semplicemente che “Questo account è verificato in quanto è abbonato a Twitter Blue o poiché è stato verificato secondo i criteri precedenti”.

La nuova dicitura unificata.

Prima, invece, questo avviso specificava se un account era autenticato oppure a pagamento, usando due diciture differenti.

La dicitura distinta precedente, nel caso di un account realmente autenticato.
La dicitura distinta precedente, nel caso di un account a pagamento.

C’è insomma grande confusione, e il rischio di truffe e inganni è altissimo: per esempio, per qualche ora l’account di Bill Oakley, una persona che a scopo dimostrativo ha finto di essere il New York Times su Twitter, ha avuto un aspetto più attendibile rispetto a quello dell’account vero del giornale: l’account finto, infatti, aveva la spunta blu, mentre quello vero no [forse in seguito a un intervento personale di Elon Musk].

L’account finto.
L’account vero.

Cominciano già a comparire account con la spunta blu che fingono di essere qualcun altro, per esempio a scopo politico o satirico, come “MFA Russia”, che sembra l’account Twitter del Ministero per gli Affari Esteri della Federazione Russa, con tanto di logo, bandiera e ovviamente spunta blu, ma è tutt’altro; e Monica Lewinsky (sì, proprio lei) ha dimostrato bene l’entità del problema elencando tutti gli account che su Twitter usano il suo nome e sono oltretutto “verificati” secondo le nuove regole, mentre lei lo è secondo quelle vecchie e quindi la sua spunta blu è destinata, in teoria, a scomparire.

Al momento esistono solo alcuni modi piuttosto macchinosi per capire se un account Twitter è autenticato o è un impostore a pagamento, per cui è consigliabile semplicemente non fidarsi ciecamente di nessun account.

Fonti aggiuntive: GizmodoMashable.

Distinguere le foto vere da quelle generate

Le foto del Papa che indossa un enorme giubbotto e di Donald Trump in fuga dai poliziotti hanno fatto il giro del mondo e hanno dimostrato la viralità e la potenza delle immagini generate dai software di intelligenza artificiale come Midjourney e DALL-E 2. Ne ho parlato nella puntata del 23 marzo 2023, e torno sull’argomento per segnalare le guide preparate da AFP e FullFact per aiutare i giornalisti e anche gli utenti comuni a non farsi ingannare da queste immagini sempre più realistiche.

Il consiglio principale di questi esperti è chiedersi prima di tutto se l’immagine sia plausibile. Per esempio, è realistico che il presidente francese Macron si trovi da solo in mezzo a una protesta violenta per le strade di Parigi, come sembrano mostrare certe foto?

Il timbro “FAKE” l’ho aggiunto io per non contribuire a diffondere immagini false e per evitare equivoci.

Certo, a volte le fotografie bizzarre e sorprendenti di persone molto conosciute sono reali, e poi tendiamo a credere alle immagini che confermano le nostre opinioni, ma come regola generale se un foto sembra troppo bella per essere vera, ricordiamoci che probabilmente non è vera.

Il secondo consiglio è cercare l’immagine originale, usando le funzioni di ricerca di immagini di Google o Yandex: questo potrebbe far emergere l’autore della foto, oppure una versione a maggiore risoluzione che permette un’analisi più dettagliata oppure ancora un sito che spiega se la foto è falsa o reale.

Queste funzioni di ricerca permettono anche di scoprire se l’immagine è presente solo sui social network, cosa che la rende molto sospetta, oppure se è stata pubblicata anche da siti giornalistici autorevoli. Si può inoltre cercare se esistono altre angolazioni della stessa scena: questo capita spesso nelle foto reali ed è invece difficile da generare con i software di intelligenza artificiale.

Anche l’ambientazione può rivelare eventuali falsificazioni. È successo per esempio con le foto false di Putin che si inginocchia apparentemente davanti a Xi Jinping, in cui l’arredamento, generato dal software, non corrisponde a quello del luogo del loro incontro.

Poi ci sono gli errori classici di questi software: le mani distorte o un numero di dita eccessivo o insufficiente, troppi denti, occhiali e capelli deformati e asimmetrici, oppure oggetti troncati o distorti, specialmente sullo sfondo. Nelle foto sintetiche si nota spesso anche che la pelle delle persone è troppo lucida e uniforme, come se fosse stato applicato un “filtro bellezza” o qualcosa di simile. Le foto reali, specialmente se scattate con fotocamere professionali, non hanno questo effetto. Ma i nuovi software di intelligenza artificiale stanno man mano eliminando questi errori.

Un altro indizio rivelatore è il testo. Le didascalie, le insegne dei negozi o le scritte sui cartelli, per esempio, vengono generate molto maldestramente dai software: guardandole bene si nota che sembrano lettere ma non lo sono.

Per notare tutti questi indizi, però, occorre sviluppare un’abilità insolita, che è quella di non farsi travolgere dall’emotività e non farsi distrarre dal soggetto principale della foto e invece concentrarsi sull’esame spassionato dei dettagli. E questa è una cosa che nessuna app può fare per noi. Nel dubbio, comunque, rimane valida la regola che è meglio non condividere nulla di cui non si sia assolutamente certi.

Aprire cancelli in tutto il mondo, grazie all’IoT

[CLIP: la combinazione da “Balle spaziali”]

Gli informatici dicono spesso, ridendo, che “la S nella sigla IoT (quella dell’Internet delle Cose) sta per ‘sicurezza’”, e quando qualcuno immancabilmente fa notare nella sigla IoT non c’è la S, rispondono “Appunto”. È un modo umoristico per sottolineare che troppo spesso nei dispositivi connessi a Internet per la gestione remota di apparecchi di vario genere la sicurezza è scadente se non addirittura inesistente.

I toni del CISA, il dipartimento per la sicurezza informatica e delle infrastrutture degli Stati Uniti, sono stati invece molto meno umoristici quando questo ente ha avvisato pubblicamente che tutti gli apricancello, le porte automatiche e i sistemi di gestione degli antifurto della marca Nexx, una delle più popolari nel settore [oltre 40.000 dispositivi residenziali e commerciali], sono incredibilmente vulnerabili.

Tutti questi dispositivi, infatti, hanno una stessa password universale, facile da trovare, e trasmettono in chiaro, senza alcuna crittografia, l’indirizzo di mail, l’identificativo del dispositivo e altri dati insieme a ogni messaggio di apertura o chiusura o programmazione.

In altre parole [come scrive Ars Technica], chiunque abbia competenze tecniche anche modeste può frugare nei server della Nexx, cercare un dato indirizzo di mail associato a un dispositivo che gli interessa, e poi dare comandi a quel dispositivo, per esempio disabilitando un antifurto o aprendo la porta di un garage altrui.

L’azienda è stata contattata da Sam Sabetan, il ricercatore di sicurezza che ha notato queste falle, ma non ha risposto, neanche quando è stata raggiunta dal Dipartimento per la Sicurezza Nazionale. L’esperto consiglia di scollegare qualunque dispositivo di questa marca e il CISA raccomanda di isolare i prodotti Nexx da Internet e dalle reti aziendali, di proteggerli con un firewall e di usare una VPN per tutti gli accessi.

Gli errori di progettazione rivelati dal ricercatore sono davvero elementari: è da incoscienti usare una password identica in tutti i dispositivi di controllo remoto, perché questo permette a un aggressore di comandare i dispositivi degli altri, come ha fatto appunto Sam Sabetan in un video per dimostrare l’entità della falla. Ed è ancora più preoccupante che l’azienda non si sia finora degnata di rimediare.

Non è il primo caso del suo genere, e quindi resta da chiedersi quanti altri dispositivi domotici e di controllo remoto, i cosiddetti dispositivi smart, sono progettati altrettanto maldestramente e non sono ancora stati scoperti.

Fonti aggiuntive: Sophos, Ars TechnicaGraham Cluley.

Due parole sul blocco di ChatGPT

Per finire, spendo due parole a proposito di quello che molti hanno definito impropriamente il blocco di ChatGPT in Italia voluto dal Garante per la Privacy nazionale. In realtà [come nota per esempio Cybersecurity360.it] è stata OpenAI, l’azienda che gestisce ChatGPT, ad autosospendere il servizio per gli utenti italiani in attesa di regolarizzare la propria posizione legale, visto che il Garante italiano le ha segnalato che non rispettava il regolamento europeo sulla privacy e sul trattamento dei dati, per esempio dando libero accesso anche ai minori di 13 anni.

[Nota: anche il Canada ha avviato un’istruttoria; Germania, Francia e Irlanda si appresterebbero a seguire l’esempio del Garante italiano, secondo La Regione/Ats/Reuters]

È molto probabile che questa autosospensione cessi presto, quando OpenAI si metterà in regola. Però nel frattempo molti utenti si sono indignati e si sono affrettati a tentare di aggirare questa autosospensione, usando software di VPN e simili per far sembrare di non essere in Italia. 

Tuttavia la questione della privacy dei dati degli utenti, con questi software di intelligenza artificiale, è seria e fondata: lo sanno bene i dipendenti di Samsung, per esempio, che hanno subìto una fuga di dati sensibili su progetti industriali perché hanno immesso in ChatGPT il codice sorgente dei loro software aziendali per farselo controllare. Ma OpenAI avvisa che quello che si immette può essere letto dai dipendenti dell’azienda [dalle sue FAQ: “Your conversations may be reviewed by our AI trainers to improve our systems”; informativa sulla privacy].

Se immaginate un medico che carica in ChatGPT un referto per farselo riassumere o analizzare, con nomi e cognomi, o un ragazzo che si rivolge a ChatGPT per avere risposte su argomenti delicati come la sessualità e i rapporti interpersonali pensando che sia uno spazio privato, forse le motivazioni del Garante diventano più chiare. Anche perché è già stato segnalato il primo caso documentato di una persona incoraggiata a suicidarsi da un servizio di chat basato sull’intelligenza artificiale.

ChatGPT e simili sono degli strumenti utili, ma è essenziale conoscerne i limiti e il reale funzionamento: non sono veramente intelligenti, danno facilmente suggerimenti falsi o pericolosi, e quello che vi immettete non resta segreto.

Nessun commento: