2023/09/30

Carrying the Fire: se siete donatori cartacei, controllate la bozza!

Se siete fra i generosi donatori che hanno contribuito al progetto Carrying the Fire con una donazione che include la citazione nelle copie cartacee, controllate le bozze qui sotto: è l’ultima occasione per evitare refusi e omissioni, perché tra poco si va in tipografia! 

Se ci sono errori o sistemazioni da fare, scrivetemi a paolo.attivissimo@gmail.com. 

Per i donatori che hanno chiesto la citazione nell’e-book, invece, c’è ancora tempo.


2023/09/29

Piccolo esperimento di voce sintetica con intonazioni decise dall’intelligenza artificiale

Per il podcast settimanale per la RSI preparo sempre un cosiddetto lancio: un breve intervento preregistrato, che viene trasmesso sulla Rete Tre della RSI e serve a presentare i temi della puntata e a fornire le coordinate per scaricarlo. Questa settimana ho provato a generarne due versioni: una naturale, usando la mia voce dal vivo, e una sintetica, basata sulla mia voce clonata a pagamento da ElevenLabs. Eccole.

Riuscite a riconoscere quella sintetica?

Non dovrebbe essere difficile; quello che mi preme far notare, però, è il fatto che la versione sintetica è stata generata partendo da un testo completamente privo di informazioni di intonazione. Molti di questi software di sintesi vocale richiedono che vengano specificati, parola per parola, i toni e altre informazioni, e questo è un lavoro tedioso e lungo.

Il software di ElevenLabs, invece, determina automaticamente le intonazioni da usare, in base al contesto e alla struttura delle frasi: l’unica indicazione che gli ho fornito è il preambolo prima delle virgolette. Eppure notate il modo in cui cambia il tono alle parole “non vi preoccupate”, per esempio. Quello che segue è il testo che gli ho dato in pasto pari pari, scegliendo poi il “ciak” migliore fra i tre o quattro che ho generato per prova:

Paolo parla con voce veloce ed eccitata da disk-jockey radiofonico: "Se qualcuno vi dice che si sta dedicando al dropshipping, ma è stato coinvolto in una sextortion e sta cercando aiuto per un cryptoscam, e non avete la minima idea di cosa stia dicendo, non vi preoccupate: è normale! Sono parole recenti, create per descrivere nuovi fenomeni legati a Internet. Se volete sapere cosa significano o volete approfondirne la conoscenza, c’è una nuova puntata del podcast Il Disinformatico, pronta da scaricare o mettere in coda per l’ascolto, che risponde alle domande degli ascoltatori su trappole e truffe della Rete! Si possono davvero fare soldi con la tecnica di compravendita del "dropshipping", come sembrano voler fare anche molti minorenni? Qual è la strategia per difendersi dai ricatti basati su immagini esplicite ottenute con l'inganno? C’è qualcosa di vero dietro le agenzie che promettono di recuperare i soldi persi in truffe legate alle criptovalute? Sono Paolo Attivissimo, e vi aspetto presso vu vu vu punto erre esse i punto ci acca slash ildisinformatico e su tutte le principali piattaforme podcast!!"

Nel mio caso, il tempo necessario per generare varie volte la voce sintetica (trovando il modo giusto per farle dire cose come www.rsi.ch) è grosso modo lo stesso che ci ho messo a dire il testo dal vivo senza impaperarmi e con l’intonazione che avevo in mente, per cui non si può ancora parlare di risparmio di tempo. Ma ho potuto generare il lancio senza aver bisogno di un microfono e di un ambiente silenzioso, e avrei potuto generarlo anche se fossi stato afono per qualunque motivo. E fra dieci o vent’anni la mia voce sintetica sarà ancora quella di oggi.

Ora immaginate questa tecnica applicata alla lettura di un intero libro per produrre un audiolibro, cosa che normalmente richiede decine di ore di disponibilità di uno speaker o di un attore professionista. O applicata per far parlare chi non c’è più.

ALLERTA SPOILER: La soluzione

Confermo innanzi tutto che non ho rimescolato le due voci: uno dei lanci è interamente sintetico e l’altro è interamente reale. Non ho alterato la mia dizione o recitazione per confondere le acque: ho registrato il parlato esattamente come se lo dovessi usare in radio, e infatti uno dei due lanci è proprio quello che è stato usato per promuovere il podcast sulla Rete Tre della RSI. Aggiungo inoltre che da sempre rimuovo dal mio parlato quasi tutte le pause per prendere fiato.

Dai commenti qui sotto e su Mastodon emerge che moltissime persone non riescono a distinguere quale sia la voce generata e quale sia quella reale. 

Mi ha sorpreso tantissimo scoprire che anche persone che mi conoscono molto bene e hanno molta familiarità con la mia voce fanno fatica a riconoscere quale sia quella artificiale. Questo sembra indicare che falsificare una voce in modo credibile sia molto più facile di quanto io immaginassi, perché io riconosco molto chiaramente le caratteristiche tipiche di una voce sintetica come questa (non solo la mia), in una sorta di uncanny valley acustica, mentre a quanto pare molte persone non hanno la stessa sensibilità (che io probabilmente ho acquisito a furia di lavorare in radio e con le voci sintetiche).

Se volete sapere la soluzione e i dettagli che rivelano la natura sintetica della voce, selezionate il testo invisibile qui sotto per renderlo leggibile. Non pubblicate la soluzione nei commenti, per favore, per non rovinare il gioco agli altri lettori.

Inizio testo invisibile:

Quella sintetica è la seconda. La si può riconoscere dalla dizione migliore della mia (io ho un accento lombardo-ticinese), dalla pronuncia delle parole inglesi (che è italianizzata nella versione sintetica ed è invece quella corretta britannica nella versione reale), dalla cadenza non molto naturale di alcune delle domande e dal modo leggermente impacciato di pronunciare “www punto”. La cosa che mi ha impressionato di più della voce sintetica è che non solo imita perfettamente i miei toni e anche le mie caratteristiche (come la “C” piuttosto esagerata che ogni tanto mi scappa), ma ha generato da sola il cambio nettissimo di tono e velocità di “non vi preoccupate”, senza che io lo suggerissi in alcun modo. Ribadisco che ElevenLabs ha ricevuto solo il testo puro e semplice, senza alcuna istruzione di intonazione delle singole frasi o parole.

Fine testo invisibile.

Podcast RSI - Dropshipping, sextortion, cryptoscam: risposte agli ascoltatori su trappole e truffe

logo del Disinformatico

Ultimo aggiornamento: 2023/10/17 16:40.

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate qui sul sito della RSI (si apre in una finestra/scheda separata) e lo potete scaricare qui.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes (per ora mancano alcune puntate recenti), Google Podcasts, Spotify e feed RSS.

Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle fonti di questa puntata, sono qui sotto.

---

[CLIP: spezzoni di YouTuber che parlano di dropshipping]

Dropshipping, sextortion, cryptoscam: tre termini al centro di tre richieste di ascoltatori di questo podcast. Tre tipi di attività online che molto spesso hanno conseguenze dolorose, e a volte devastanti, per chi vi rimane coinvolto.

Benvenuti alla puntata del 29 settembre 2023 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo, e proverò a spiegare cosa si nasconde dietro queste parole nuove e insolite e come gestirne i pericoli.

[SIGLA di apertura]

Dropshipping, cos’è e cosa si rischia

Mi hanno scritto numerosi genitori, raccontando che i loro figli molto giovani chiedono di poter iniziare un’attività di dropshipping. Ragazzi e ragazze parlano di guadagni facili e cospicui, ispirandosi agli spot che vedono nei social e ai tutorial che trovano su YouTube, e i genitori spesso sono scettici all’idea di affidarsi ai consigli di sconosciuti forse non del tutto disinteressati, temono che un’attività del genere possa distogliere dallo studio e dal tempo libero, e spesso non hanno ben chiaro cosa sia questo dropshipping.

Cominciamo dalle basi: il dropshipping consiste nel vendere via Internet prodotti di vario genere, comprati sempre via Internet da vari fornitori all’ingrosso. La differenza principale rispetto alla compravendita tradizionale è che nel dropshipping il venditore non riceve la merce in un proprio magazzino per poi spedirla al compratore, ma ordina al fornitore di spedire direttamente la merce a quel compratore e guadagna sulla differenza fra il prezzo a cui vende e il prezzo a cui compra.

Il fatto che non serva disporre di un magazzino e spendere in anticipo per avere scorte di prodotti da vendere rende questa attività particolarmente adatta al lavoro da casa online e allettante per gli aspiranti imprenditori.

In sé il dropshipping non è illegale, se fatto bene. Il problema è riuscire a farlo bene, evitandone i rischi. Per esempio, il venditore, cioè il dropshipper, che molto spesso sarebbe un minorenne, è legalmente responsabile di un prodotto che non gli passa mai per le mani ma di cui deve garantire la qualità promessa. Se per caso il fornitore spedisce un prodotto difettoso o addirittura fraudolento o contraffatto, o non lo spedisce del tutto, è il venditore-dropshipper che ne deve rispondere e lo deve rimborsare, con tutte le conseguenze e i costi legali che ne possono derivare.

Il dropshipper deve inoltre spendere in pubblicità per farsi conoscere e trovare clienti, deve lottare contro la concorrenza degli altri dropshipper, deve creare un sito-catalogo nel quale offrire i prodotti, e deve pagare le tasse e rispettare tutti gli obblighi di legge. Tutte cose che hanno costi non trascurabili e richiedono tempo e impegno, con il rischio costante che dopo tutta la sua fatica i clienti decidano di tagliarlo fuori e risparmiare, comprando dalla concorrenza oppure direttamente dal fornitore. 

Infatti per i clienti non è difficile scoprire chi è quel fornitore, per esempio cercando in Google l’immagine o la descrizione testuale del prodotto offerto, che spessissimo è la stessa sul sito del dropshipper e sul sito del fornitore. Inoltre i clienti sanno riconoscere i segnali tipici di un sito di dropshipping: le foto della “sede aziendale” prese da siti di immagini stock, le offerte ad alta pressione del tipo “compra questo orologio entro 4 ore 17 minuti e 15 secondi per avere lo sconto dell’80%!!” e le testimonianze più o meno inventate dei clienti soddisfatti, tipo “Maria ha appena comprato questa felpa ed è contentissima!”.

Le speranze di vendita e i margini di guadagno, insomma, rischiano di essere molto bassi per il dropshipper, e basta qualche contestazione da parte di clienti insoddisfatti per intaccare quei margini. Chi fa veramente soldi con il dropshipping è chi fornisce i prodotti e i servizi, come il sito-catalogo, il software di gestione delle compravendite, le agenzie pubblicitarie, le consulenze tecniche. Nomi come AliExpress, Shopify, Oberlo.

E poi ci sono, purtroppo, i truffatori. Gente senza scrupoli che fa pubblicità al dropshipping e lo presenta come un modo facile per fare soldi senza essere esperti e standosene comodi a casa. Gente che però chiede soldi, per esempio per far avere all’aspirante dropshipper un elenco di fornitori affidabili (che in realtà sono solo prestanome), oppure per entrare in un circolo di “affiliati” che promettono di far aumentare le vendite in cambio di un compenso fisso, oppure ancora per partecipare a costosi “seminari” che promettono di insegnare tecniche per ottimizzare il proprio sito e per vendere con successo.

In sintesi: come per qualunque offerta online, anche per il dropshipping bisogna studiare bene e informarsi sui rischi prima di investirci tempo e denaro, senza farsi abbagliare dalle promesse di facili guadagni spesso presentate su YouTube, e ricordandosi sempre che se fossero davvero facili, quei guadagni li farebbero in tanti. Studiare il dropshipping, insomma, è una buona occasione per esercitarsi a capire le complicazioni di un’attività professionale; praticarlo, invece, rischia di essere una lezione di commercio molto salata.

Il mio consiglio è di non dire seccamente “no” agli entusiasmi dei figli, ma di proporre di esplorare insieme tutte le sfaccettature di questa forma di commercio, creando un business plan, facendo una tabella di costi e ricavi, trovandosi una nicchia di mercato esclusiva, informandosi sulle leggi e facendo ricerche, prima di fare qualunque investimento di denaro. Magari alla fine non se ne farà nulla, e magari invece qualcuno diventerà un grande imprenditore, ma di sicuro si porterà a casa conoscenze ed esperienze utili per qualunque lavoro futuro. Compresa la lezione più importante di tutte: in qualsiasi corsa all’oro, quelli che fanno sicuramente soldi sono sempre i venditori di picconi.

Fonti aggiuntive: Centro Europeo Consumatori Italia; Euroconsumatori.org; Michigan.gov.

Attenzione ai “servizi di recupero criptovalute”

[Immagine tratta da Lexica.art]

La seconda richiesta di aiuto di questo podcast arriva da Luca, che mi scrive che suo padre che è caduto vittima di una truffa online: alcuni anni fa aveva fatto un piccolo investimento di poche centinaia di euro con un trader che poi era sparito nel nulla. 

L’anno scorso è stato contattato da persone che dicevano di far parte di una società di recupero portafogli digitali che poteva aiutarlo a recuperare il suo investimento, che nel frattempo era aumentato di valore a un centinaio di migliaia di euro. 

Il padre di Luca, in un periodo economicamente delicato, ha iniziato a versare migliaia di euro in bitcoin a wallet sconosciuti, per sbloccare questa cifra, finché la famiglia se ne è accorta ed è intervenuta. Ma alcuni mesi dopo il padre è caduto di nuovo nella trappola e ha ricominciato a fare transazioni tramite bitcoin per cercare di recuperare quei soldi persi.

A questa storia fa eco quella di Max, un cui amico (che chiamerò Giorgio) è stato contattato su WhatsApp qualche mese fa da una donna che gli aveva scritto per errore, sbagliando numero di telefono. Dall’equivoco era nata una lunga conversazione amichevole, nella quale lei gli aveva raccontato qualcosa della sua vita: la sua passione per le arti marziali usate per l’autodifesa delle donne, il suo lavoro nella gestione delle criptovalute, e lui aveva ricambiato raccontando qualcosa della propria vita. I due si erano scambiati qualche foto, scrivendosi per giorni e tenendosi compagnia a vicenda con piccole chiacchiere quotidiane sulla cucina, la religione, il lavoro, le vacanze, i film preferiti.

Lei a un certo punto gli ha proposto di fare un piccolo investimento in un sito Web dedicato alle criptovalute, ma senza fretta, seguendo i suoi consigli, e le cose sono andate bene, con buoni guadagni iniziali, che Giorgio ha reinvestito. Alla fine, dopo aver versato circa 20.000 euro, ha provato a incassare quei guadagni, ed è lì che sono cominciati i problemi: con mille scuse, il sito ha rifiutato di ridargli i soldi. A quel punto Giorgio ha cercato su Internet qualcuno che potesse aiutarlo a riottenere il proprio denaro, e ha trovato molti servizi di recupero di investimenti pronti ad assisterlo in cambio di un anticipo.

Sono due storie di truffe che rivelano un secondo livello di inganno che sta mietendo molte vittime in questo periodo anche dalle nostre parti: i falsi servizi di recupero di denaro. Chi è incappato nel primo livello di truffa cerca online qualche esperto nella speranza di riavere i propri soldi, e facilmente trova sedicenti “hacker etici” che dicono di poterlo aiutare, ovviamente in cambio di una parcella, che però stranamente non sono disposti a detrarre dal denaro che dicono di essere così bravi a recuperare.

Infatti sono in realtà altri truffatori, che approfittano della situazione disperata per togliere altri soldi alla vittima già in crisi. In alcuni casi, questi secondi truffatori sono in combutta con i primi e arrivano addirittura a fingere di essere rappresentanti delle autorità inquirenti che vogliono restituire il maltolto alle vittime, ma per farlo, guarda caso, hanno bisogno di un anticipo.

Purtroppo in casi come questi la strategia più prudente è semplicemente troncare le comunicazioni, segnalare la vicenda alla polizia (quella vera), presumere che i soldi dati ai primi truffatori siano persi per sempre, e leccarsi le ferite prima che peggiorino. Qualunque presa di contatto da parte di persone e organizzazioni che dicono di poter recuperare il denaro va vista con grandissimo sospetto, specialmente se si parla di mandare altri soldi per “coprire le spese” oppure di fare hacking per recuperare le somme bloccate. Ma l’imbarazzo e la disperazione di chi è stato truffato rendono molto difficile una scelta così lucida. Siate prudenti, e se avete amici o familiari che considerate a rischio, parlatene con loro. La prevenzione aiuta.

---

2023/10/17. Mi stanno arrivando così tante segnalazioni di persone che sono state vittime di questa tecnica di truffa che ho dovuto preparare un testo di risposta standard. Se può esservi utile, usatelo anche voi per rispondere a chi vi chiede consiglio:

Sì, decisamente sei stato coinvolto in una truffa. Probabilmente nulla di quello che hai visto online è reale: né le identità delle persone, né i guadagni.

Hai affidato i tuoi soldi a dei professionisti del raggiro. Il mio consiglio tecnico, sulla base di casi analoghi, è di considerarli persi per sempre.

Puoi denunciare in polizia, se vuoi; è utile a fini statistici, ma non ti aspettare che la polizia abbia le risorse per indagare. I casi come questo sono numerosissimi.

ATTENZIONE: verrai probabilmente contattato da qualcuno che ti dirà che è in grado di farti riavere il denaro. Non crederci: è un complice dei truffatori.

Mi spiace doverti dare questo parere.

“Sono entrato in videochat con una bella ragazza, ora mi ricatta con le mie immagini intime, cosa devo fare?” 

[Immagine tratta da Lexica.art]

È l’una e mezza di notte: squilla il telefono, e una voce angosciata mi chiede aiuto. È un ragazzo che è appena stato vittima di una sextortion: è stato contattato online da una bella ragazza sconosciuta, che in videochiamata su un social network si è esibita spogliandosi e gli ha proposto di fare altrettanto. Lui lo ha fatto, ma poi ha scoperto che la ragazza disinibita era solo un’esca pilotata da un criminale, che ora lo ricatta pretendendo soldi per non pubblicare la registrazione di quello che ha fatto il ragazzo davanti alla telecamera.

È un copione classico, che però continua a fare vittime, per cui è il caso di ripassare i consigli degli esperti su come comportarsi quando è troppo tardi per parlare di prevenzione e ci si rende conto di essere finiti in una trappola del genere.

Prima di tutto, non pagate: è inutile e la Prevenzione Svizzera della Criminalità lo sconsiglia esplicitamente, spiegando che “pagare il riscatto non garantisce che le immagini o i filmati non siano pubblicati comunque. Inoltre, spesso, l’estorsione continua anche dopo il primo pagamento con la pretesa di una somma superiore.” Conviene invece interrompere subito i contatti, cancellarli dalla lista degli amici e non rispondere a nessun messaggio proveniente dal ricattatore. Se il video è stato pubblicato, contattate la piattaforma social che lo ospita e chiedetene immediatamente la rimozione. Queste piattaforme sono molto sensibili al problema e di solito agiscono molto rapidamente.

La Prevenzione Svizzera della Criminalità raccomanda inoltre di raccogliere tutti i mezzi di prova, “le immagini e i filmati oggetto dell’estorsione, i dati di contatto dei ricattatori e della donna, tutti i messaggi ricevuti da costoro (sequenze di conversazione via chat, e-mail ecc.), le indicazioni per il versamento del riscatto” e poi sporgere denuncia, dato che l’estorsione “è un reato perseguibile d’ufficio” e quindi “la polizia è tenuta a avviare le indagini non appena viene a conoscenza di un caso”.

Video della Prevenzione Svizzera della Criminalità (2020).

[Il sito della PSC dice testualmente: “La sextortion comporta sempre un tentativo di estorsione nei confronti della persona filmata. Dato che l’estorsione ai sensi dell’articolo 156 CP è un reato perseguibile d’ufficio, la polizia è tenuta a avviare le indagini non appena viene a conoscenza di un caso”]

Andare a denunciare una situazione del genere, specialmente se si è giovanissimi e magari in una situazione familiare poco aperta a queste questioni, è difficile. Ma se può essere di conforto, si tratta di comportamenti molto diffusi e soprattutto non punibili dalla legge. La Prevenzione Svizzera della Criminalità, infatti, precisa sul suo sito che “la giustizia persegue i reati e non le debolezze umane”, e qui l’unico reato è quello commesso dai criminali che stanno compiendo l’estorsione.

Alle raccomandazioni delle autorità posso aggiungere qualche suggerimento dettato dall’esperienza, visto che richieste di aiuto di questo genere mi capitano spesso. Il primo suggerimento è che rendere privati i propri profili social è utile, ma non conviene chiuderli completamente.

Il secondo, più importante, è che il punto debole dei criminali è che se resistete alle loro richieste di pagamento, il vostro video intimo per loro non vale più nulla e diventa anzi una perdita di tempo. Inoltre sanno che se lo pubblicano su una piattaforma social, verrà rimosso molto rapidamente dai filtri automatici e il loro account verrà bloccato e dovranno aprirne un altro. E se pubblicano il video altrove, a quel punto è ovviamente inutile che paghiate il riscatto, per cui normalmente si limitano a minacciare la pubblicazione. Dato che di solito hanno molte vittime di cui si stanno occupando contemporaneamente, è molto probabile che se opponete resistenza vi lasceranno perdere, senza pubblicare il video neppure per ripicca. A modo loro, sono professionisti, e non hanno tempo da perdere con gesti inconcludenti. Se considerate tutte queste cose, diventa più facile rendersi conto di essere tutto sommato in una posizione di forza, nonostante le apparenze.

E giusto per dare un’idea di quanto siano cinici e di quanto sia inutile pagare nella speranza di eliminare i video, vi segnalo un caso recentissimo che mi è capitato: un altro ragazzo, oggi ventunenne, è stato contattato da dei criminali che hanno minacciato di pubblicare un suo video intimo ottenuto con questo inganno anni prima da altri truffatori. Il ragazzo all’epoca aveva pagato, ma i criminali, invece di distruggere il video, lo hanno rivenduto ad altri malviventi, aggiungendo guadagno al guadagno. Il nuovo tentativo di estorsione, comunque, è stato respinto.

[NOTA: queste raccomandazioni valgono specificamente nel caso di criminali che agiscono a scopo di estorsione. Purtroppo esistono anche persone che usano la stessa tecnica per ricattare persone molto giovani e indurle a sottoporsi ad abusi personali durante incontri diretti con i ricattatori, come in questo caso britannico in cui un uomo di 24 anni si è finto una ragazzina sui social network, adescando ragazzi da 11 a 16 anni e facendosi mandare immagini intime che minacciava di diffondere se le vittime non assecondavano le sue richieste]

Dato che questi comportamenti riguardano fasce d’età sempre più giovanili, non è mai troppo presto per parlarne in famiglia e mettere in guardia contro questo genere di ricatto, messo in atto con ragazze molto convincenti che sono complici dei criminali. Anche qui, la prevenzione è sicuramente meglio della cura, e magari evita una telefonata di panico all’una e mezza di notte.

Fonti aggiuntive: Polizia Cantonale del Canton Ticino, Centro nazionale per la cibersicurezza NCSC, Prevenzione Svizzera della Criminalità, BBC.

Come ho festeggiato il mio compleanno? Così

La Dama del Maniero mi ha regalato un volo all’Aerogravity di Pero: una galleria del vento verticale. Meraviglioso. Questo è solo un pezzetto dell’avventura. Io sono quello in rosso.

2023/09/27

Chi c’è nello spazio? Aggiornamento 2023/09/27: 10 persone, nuovo record USA di durata

Oggi (27 settembre) sono rientrati sulla Terra due cosmonauti russi (Sergey Prokopyev e Dmitri Petelin) e un astronauta statunitense (Frank Rubio), usando un veicolo Soyuz MS-23 russo. Rubio ha stabilito il nuovo record statunitense di durata di una singola missione spaziale, con 371 giorni. I suoi colleghi russi sono rimasti a bordo per lo stesso tempo.

Questo è il consueto comunicato stampa della NASA:

September 27, 2023 
RELEASE 23-108
Record-Setting NASA Astronaut, Crewmates Return from Space Mission
NASA astronaut Frank Rubio seated with NASA personnel nearby moments after extraction from the Soyuz spacecraft after landing
Credits: NASA TV

After spending an American record-breaking 371 days in space, NASA astronaut Frank Rubio safely landed on Earth with his crewmates Wednesday.

Rubio departed the International Space Station, along with Roscosmos cosmonauts Sergey Prokopyev and Dmitri Petelin, at 3:54 a.m. EDT, and made a safe, parachute-assisted landing at 7:17 a.m. (5:17 p.m. Kazakhstan time), southeast of the remote town of Dzhezkazgan, Kazakhstan.

“Frank’s record-breaking time in space is not just a milestone; it’s a major contribution to our understanding of long-duration space missions,” said NASA Administrator Bill Nelson. “Our astronauts make extraordinary sacrifices away from their homes and loved ones to further discovery. NASA is immensely grateful for Frank’s dedicated service to our nation and the invaluable scientific contributions he made on the International Space Station. He embodies the true pioneer spirit that will pave the way for future exploration to the Moon, Mars, and beyond.”

Rubio launched on his first spaceflight on Sept. 21, 2022, alongside Prokopyev and Petelin. Rubio’s spaceflight is the longest single spaceflight by a U.S. astronaut, breaking the record previously held at 355 days by NASA astronaut Mark Vande Hei.

During his mission, Rubio completed approximately 5,936 orbits and a journey of more than 157 million miles, roughly the equivalent of 328 trips to the Moon and back. He witnessed the arrival of 15 visiting spacecraft and the departure of 14 visiting spacecraft representing crewed and uncrewed cargo missions.

Rubio’s extended mission provides researchers the opportunity to observe the effects of long-duration spaceflight on humans as the agency plans to return to the Moon through the Artemis missions and prepare for exploration of Mars.

Rubio, Prokopyev, and Petelin launched aboard the Soyuz MS-22 spacecraft but, due to a coolant leak, returned to Earth aboard the Soyuz MS-23. The affected Soyuz MS-22 capsule returned without its crew after the Soyuz MS-23 capsule launched as a replacement on Feb. 23, 2023.

Following post-landing medical checks, the crew will return to Karaganda, Kazakhstan. Rubio will then board a NASA plane bound for his return to Houston.

During his record-breaking mission, Rubio spent many hours on scientific activities aboard the space station, conducting a variety of tasks ranging from plant research to physical sciences studies.

With the undocking of the Soyuz MS-23 spacecraft, Expedition 70 officially began aboard the station. NASA astronauts Loral O’Hara and Jasmin Moghbeli remain aboard the orbital outpost alongside ESA (European Space Agency) astronaut Andreas Mogensen, who became station commander Sept. 26, JAXA (Japan Aerospace Exploration Agency) astronaut Satoshi Furukawa, and Roscosmos cosmonauts Konstantin Borisov, Oleg Kononenko, and Nikolai Chub.

Mogensen, Moghbeli, Furukawa, and Borisov will return to Earth in February 2024, after a short handover with the crew of NASA’s SpaceX Crew-8 mission. O’Hara is scheduled to return to Earth in March 2024, while Kononenko and Chub will spend a year aboard the station, returning in September 2024.

Stazione Spaziale Internazionale (7)

Jasmin Moghbeli (NASA) (dal 2023/08/26)

Andreas Mogensen (ESA) (dal 2023/08/26, attuale comandante della Stazione dal 2023/09/26)

Satoshi Furukawa (JAXA) (dal 2023/08/26)

Konstantin Borisov (Roscosmos) (dal 2023/08/26)

Loral O’Hara (NASA) (dal 2023/09/15)

Oleg Kononenko (Roscosmos) (dal 2023/09/15)

Nikolai Chub (Roscosmos) (dal 2023/09/15)

Stazione Nazionale Cinese (3)

Jing Haipeng (dal 2023/05/30)

Zhu Yangzhu (dal 2023/05/30)

Gui Haichao (dal 2023/05/30)

Fonte aggiuntiva: Whoisinspace.com.

2023/09/23

Thunderbird aggiornato, come si riattiva la colorazione alternata nel pannello dei messaggi?

Pubblicazione iniziale: 2023/09/23 18:03. Ultimo aggiornamento: 2023/12/03 15:05.

Ho appena aggiornato Thunderbird alla versione più recente, la 115.2.3, e vedo che è scomparsa un’impostazione che trovavo utilissima e che vorrei ripristinare: la colorazione alternata delle righe dell’elenco dei messaggi ricevuti.

Ora l’elenco è un mare bianco di righe tutte uguali, come vedete qui sotto, ed è facile (perlomeno per me) perdere l’allineamento e pensare che un titolo si riferisca a un mittente che non è quello giusto. Con la colorazione alternata, come quella della carta dei moduli continui di una volta, è tutto molto più semplice e chiaro, specialmente quando la finestra di Thunderbird è molto larga. Ho sempre adottato questa colorazione e adesso mi manca; anche la Dama del Maniero lamenta la sua scomparsa.

Prima era così:

Avete idee su come risolvere la questione?

Ho già cercato nei Temi (Themes) per Thunderbird e non ho trovato nulla; molti mi sembrano molto obsoleti o comunque incompatibili, e nessuno sembra indicare specificamente di avere quest’impostazione.

Cercando online ho trovato questo suggerimento, riferito però a Thunderbird 91.8, che consiglia quanto segue:

  1. Andare nel Config Editor di Thunderbird (tre trattini in alto a destra, Settings/Impostazioni, scorrere giù, Config Editor/Editor di configurazione) e cambiare toolkit.legacyUserProfileCustomizations.stylesheets a True.
  2. Identificare la cartella del profilo generale di Thunderbird: la si trova cliccando in Thunderbird sui tre trattini in alto a destra - Help/Aiuto - Troubleshooting information/Informazioni sulla risoluzione dei problemi, trovando Profile Folder/Cartella del profilo e cliccando su Show in Finder/Mostra nel Finder, perlomeno su macOS.
  3. In questa cartella, creare una sottocartella di nome chrome (se non esiste già).
  4. Creare un file di testo semplice di home userChrome.css (con la C maiuscola) e metterlo nella cartella chrome suddetta.
  5. Nel file userChrome.css, immettere le proprie preferenze e salvare il file.
  6. Chiudere e riavviare Thunderbird: le modifiche immesse in userChrome.css vengono attivate e valgono per tutti gli account di mail.

Ho visto che questo modo di usare userChrome.css non è ufficialmente supportato ma funziona in Thunderbird 115, perlomeno per alcune impostazioni: per esempio, le seguenti righe (trovate qui) evidenziano in rosso qualunque mail non ancora letta.

#threadTree tbody [data-properties~="unread"] {
color: red !important;
}

Queste righe (trovate qui) cambiano la spaziatura fra le righe dell’elenco:

html|tr[is="thread-row"] {
   height: 24px !important;
   }

Queste (trovate qui) tracciano una sottile riga grigia fra un messaggio e l'altro, facilitando la lettura; non è una soluzione perfetta, ma è meglio di niente:

table[is="tree-view-table"] td {
     border-bottom: solid 1px #d3d3d3 !important;
}

Tuttavia le righe suggerite a suo tempo per impostare la colorazione alternata delle righe dell’elenco messaggi non sembrano funzionare:

#threadTree treechildren::-moz-tree-row(odd) {
   -moz-appearance: none !important;
   background-color: rgb(232,232,232) !important;
}

Non è facile trovare informazioni sulla questione, anche perché non ha un nome preciso. Nell’help di Thunderbird “antico” ho trovato che viene citata a volte come Zebra striping.

Se avete suggerimenti, segnalateli nei commenti. Grazie anticipate!

2023/09/23 19:25

La soluzione è nei commenti, fornita da Nikybiasion, ed è qui sotto. Funziona! Grazie!!

#threadTree tr:nth-child(2n) {
background-image: linear-gradient(rgba(0,0,0,.08), rgba(0,0,0,.08)) !important;
}

2023/10/09

Ho aggiornato Thunderbird alla versione 115.3.1 sul mio Macbook Air M1 e il suggerimento non mi funziona più.

2023/12/03

Ho aggiornato Thunderbird alla versione 115.5.1, sempre sul mio Macbook Air M1, e il suggerimento adesso funziona.

La moderazione di questo blog diventa più aperta, grazie ai troll. Sì, avete capito bene

Se frequentate questo blog da un po’ di tempo, avrete notato che ci sono alcuni personaggi particolarmente ossessivi che tentano in tutti i modi di intrufolarsi fra i commentatori per creare polemiche sul nulla e avviare discussioni estenuanti e inutili. È anche per scoraggiare questi comportamenti che da sempre la moderazione di questo blog è principalmente preventiva: con pochissime eccezioni, nessun commento viene pubblicato senza essere prima letto da un moderatore.

Per filtrare ulteriormente gli ossessivi che vengono bannati e poi si ripresentano con un altro account Disqus, da tempo ho attivato la regola che qualunque nuovo account deve mandarmi una prova informale di identità. Niente di fiscale e infallibile, ma un semplice deterrente in più.

Questo metodo funziona bene, ma non mi piace fare solo repressione e dissuasione, per cui da oggi introduco gradualmente una maggiore apertura dei commenti. I commentatori che hanno dimostrato di essere responsabili e costruttivi in quello che scrivono, di non essersi iscritti a Disqus solo per postare qui e trollare, e che hanno un account Disqus di lunga data vedranno che i loro commenti verranno pubblicati automaticamente e immediatamente. Chi si presenta qui con un account nuovo di pacca (o quasi) e ignora l’invito a identificarsi verrà semplicemente cestinato o bannato. Ci sono anche altri criteri, che non pubblico qui per non facilitare i tentativi dei succitati troll.

Tutti i commenti continueranno a essere letti da un moderatore e qualunque commento inaccettabile verrà moderato. Le critiche e le opinioni differenti restano ovviamente ben accette (meglio se sono ben documentate e argomentate).

Questo cambiamento avverrà progressivamente ed è già attivo da alcuni mesi per alcuni commentatori. Altri si aggiungeranno man mano. Non prendetevela se non siete fra i preapprovati: il criterio principale è la lunga data, e per ora ho scelto una data molto lunga.

Insomma, i troll che volevano far danni hanno invece prodotto benefici, e questa credo che sia la retribuzione migliore per la loro imbecillità.

Le regole sono semplici: non scrivete cazzate, non fate carognate, usate il buon senso e divertitevi!

Mastodon 4.2 aggiunge la funzione di ricerca globale: se volete essere trovabili, ecco come fare

La nuova versione di Mastodon, la 4.2, introduce moltissime novità e semplificazioni, descritte in italiano su Gomoot.com. Una delle principali è la ricerca, che prima funzionava solo per gli hashtag: ora invece si può cercare testo nei post, nei profili e nelle bio e si può cercare un utente.

Come tante cose in Mastodon, anche per la ricerca è fondamentale il principio della protezione dell’utente, per cui rendersi visibili richiede una scelta volontaria precisa dell’utente e non viene imposto dall’alto.

Quindi se volete essere cercabili e trovabili su Mastodon, andate nel vostro profilo, scegliete la sezione Privacy e copertura e controllate che siano attive le seguenti opzioni:

  • Include il profilo e i post negli algoritmi di scoperta
  • Includi i post pubblici nei risultati di ricerca
  • Includi la pagina del profilo nei motori di ricerca

Fatto questo, cliccate su Salva modifiche.

Se scrivete un post (o toot) che non volete che sia cercabile, potete escludere quel singolo post cliccando sull’icona del mondo, che regola la visibilità del post, e scegliere Non elencato, che significa che il post sarà visibile a tutti ma non sarà incluso nelle funzioni di ricerca o scoperta.

Dato che Mastodon è un social network federato, non centralizzato, la nuova funzione di ricerca sarà disponibile soltanto sulle istanze che si aggiornano alla versione 4.2 e scelgono di implementare la cercabilità. Chi non vuole essere trovato è al sicuro. È anche così che si fanno notare le differenze rispetto ai social network commerciali, nei quali al centro c’è il profitto, non l’utente.

2023/09/22

Stasera alle 21 sarò su YouTube per parlare di missioni lunari passate e future

Questa sera alle 21 sarò qui su YouTube per una chiacchierata sul tema Missioni lunari ieri oggi domani - quale futuro?, in compagnia di Dario Kubler, Giorgio Di Bernardo Nicolai e Fabio Ippoliti. L’embed è qui sotto.

Podcast RSI - Las Vegas sotto attacco, bitcoin rubati e rischi con Google Authenticator

logo del Disinformatico

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate qui sul sito della RSI (si apre in una finestra/scheda separata) e lo potete scaricare qui.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, Google Podcasts, Spotify e feed RSS.

NOTA: questa puntata al momento è disponibile solo sul sito della RSI ma non sulle altre piattaforme podcast.

Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle fonti di questa puntata, sono qui sotto.

---

[CLIP: audio dal trailer di Ocean's Thirteen (2007)]

Il film Ocean’s Thirteen di Steven Soderbergh racconta la vicenda immaginaria di un attacco a un casinò di Las Vegas, basato in gran parte sull’elusione dei suoi controlli di sicurezza computerizzati. Nella fantasia hollywoodiana, questo richiede una gigantesca scavatrice sotterranea e varie altre diavolerie, acrobazie e seduzioni.

Nella realtà, invece, le cose vanno molto diversamente. Sì, perché in questo momento la MGM Resorts, proprietaria di alcuni dei più celebri casinò di Las Vegas, è sotto attacco da parte di un gruppo di informatici che da due settimane ha reso inservibili i sistemi di prenotazione online e di pagamento elettronico, le chiavi elettroniche delle camere e i bancomat, creando il caos, ed è riuscito a forzare la disattivazione di molte slot machine gestite dalla MGM Resorts, non solo a Las Vegas ma anche in gran parte degli alberghi della catena in altre località. Le perdite economiche, i disagi per gli ospiti e il danno d’immagine sono incalcolabili.

[Jason Koebler è andato a Las Vegas e ha documentato anche fotograficamente la situazione dei casinò colpiti]

A differenza della versione cinematografica, questo attacco non ha richiesto trivelle, acrobati o George Clooney: è bastata una telefonata. E non è la prima volta che succede.

Questa è la storia assurda e spettacolare di questo attacco informatico, ricca di lezioni di sicurezza che si applicano a qualunque azienda, grande o piccola, e preziosa per conoscere lo stato dell’arte del crimine online e imparare a difendersene.

Benvenuti alla puntata del 22 settembre 2023 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.

[SIGLA di apertura]

Pochi giorni fa una cliente dell’MGM Grand, un albergo di lusso a Las Vegas di proprietà della catena MGM Resorts, è entrata nella camera sbagliata perché le chiavi elettroniche dell’hotel non funzionavano correttamente. Il personale è stato costretto a distribuire migliaia di chiavi fisiche sostitutive. La cliente ha postato su TikTok un video che mostra che molte slot machine dell’albergo sono state spente.

Altri clienti dell’MGM Grand hanno scoperto di avere le prenotazioni annullate, non sono riusciti a fare check-in o pagare con le carte di credito, e sono stati costretti ad andare in cerca di bancomat al di fuori dell’albergo per procurarsi contanti per pagarsi da mangiare. I telefoni interni e il servizio TV nelle camere sono diventati inservibili.

Il sito principale della catena, Mgmresorts.com, è stato bloccato e ha iniziato a mostrare solo un invito a contattare telefonicamente il servizio clienti. Lo stesso caos ha colpito altri alberghi e casinò della MGM Resorts nella stessa città e in tutti gli Stati Uniti (BBC), costringendo il personale a lavorare con carta e penna. A distanza di due settimane, le prenotazioni online sono ancora inaccessibili e i disagi per i clienti continuano (Kevin Beaumont su Mastodon).

Screenshot del sito MGMresorts.com alle 9 del mattino del 22 settembre 2023.

Il 12 settembre la MGM Resorts ha pubblicato sul sito della SEC, la Securities and Exchange Commission, l’ente federale statunitense che vigila sulle borse, un avviso che parla molto diplomaticamente di una “questione di sicurezza informatica che riguarda alcuni sistemi dell’Azienda”. Ma la realtà è assai meno diplomatica.

La MGM Resorts è stata vittima di un attacco informatico, messo a segno usando una tecnica classica, descritta brutalmente su X (il social network un tempo noto come Twitter) da alcuni alleati degli aggressori con queste parole: “Per compromettere MGM Resorts, il gruppo ransomware ALPHV è semplicemente andato su LinkedIn, ha trovato un dipendente, e poi ha chiamato l’helpdesk. Un’azienda valutata 33 miliardi e 900 milioni di dollari è stata sconfitta da una telefonata di dieci minuti.”

Screenshot del post di vx-underground.

La telefonata in questione è stata preparata con molta cura dagli attaccanti. Secondo le informazioni rese pubbliche fin qui, l’helpdesk aziendale di MGM Resorts sarebbe stato vulnerabile perché “per ottenere un reset della password, i dipendenti dovevano fornire solo informazioni personali di base, come il nome e cognome, il loro numero identificativo in azienda e la data di nascita” (Bloomberg, paywall). Tutte informazioni facili da ottenere andando semplicemente su un sito come LinkedIn, dove le persone pubblicano curriculum, dati anagrafici e situazione di lavoro, senza rendersi conto che in questo modo forniscono ai criminali il primo appiglio necessario per scavalcare il muro della sicurezza informatica.

Armati di queste informazioni, gli aggressori avrebbero appunto contattato l’helpdesk per i dipendenti di MGM Resorts, spacciandosi per uno di quei dipendenti e convincendo l’addetto all’helpdesk a fare un reset della password del dipendente impersonato. Sarebbero poi entrati nella rete informatica dell’azienda usando questa password. Si sa per certo che hanno usato dei normali software di accesso remoto e la consueta VPN aziendale per fingere di essere quel dipendente, e che hanno lanciato un malware remoto, riuscendo a entrare nel sistema nel giro di cinque ore e sfuggendo ai controlli per otto giorni, fino al 10 settembre scorso. La loro incursione ha costretto gli addetti di MGM Resorts a spegnere gran parte della propria rete informatica interna per tentare di contenere l’attacco, scatenando appunto grande confusione (Financial Times).

Potrebbe essere una sottile forma di umorismo, o forse no, ma su Snagajob è comparsa questa offerta di lavoro urgente per un sysadmin Red Hat Linux a Las Vegas, con inizio immediato il 21 settembre, per “aiutare l’MGM Grand Casino a creare il suo nuovo ambiente informatico dopo il recente attacco ransomware”.

Attacchi come questi sono l’incubo di ogni addetto alla sicurezza informatica, perché fanno leva su due fattori incontrollabili: le dimensioni dell’azienda, che portano ad avere una rete informatica vasta e molte persone autorizzate ad accedervi che non si conoscono fra loro, e la psicologia umana, le cui fragilità sono ben note in questo campo e sono universali.

Questo caso, però, è diverso dal solito, non solo per la scala dell’attacco e per il bersaglio così vistoso, ma anche perché i criminali hanno sfruttato una risorsa non informatica molto particolare.

Parli come me, mi fido di te

Sulla scena virtuale del crimine sono arrivati l’FBI, il governatore dello stato del Nevada Joe Lombardo, e numerosi consulenti di sicurezza informatica in aggiunta a quelli già impiegati dalla MGM Resorts. Questi esperti hanno indicato i probabili colpevoli dell’attacco: un gruppo noto come “Scattered Spider” (letteralmente “ragno diffuso”), che ha già effettuato intrusioni informatiche di questo tipo a scopo di estorsione, con la tecnica classica del ransomware, che consiste nel rubare o bloccare dati sensibili della vittima e poi chiedere denaro per non pubblicarli o per sbloccarli. Il gruppo ha poi rivendicato pubblicamente l’attacco in un’intervista al Financial Times.

Scattered Spider ha avuto successo perché le procedure di sicurezza del bersaglio erano troppo deboli e verificavano le identità usando soltanto dati personali facilmente reperibili, ma soprattutto perché molti dei membri del gruppo parlano inglese come madrelingua. Secondo gli esperti, infatti, il gruppo è composto da persone molto giovani che risiedono negli Stati Uniti e in Europa, e la loro competenza linguistica e culturale rende molto credibili le loro telefonate in cui simulano di essere dipendenti di aziende statunitensi. Questo li distingue nettamente dagli altri gruppi criminali operanti nello stesso settore, che sono prevalentemente russofoni e quindi farebbero molta fatica a spacciarsi plausibilmente al telefono per un dipendente americano.

MGM Resorts non è l’unico gestore di casinò preso di mira da attacchi di questo tipo. Poche settimane fa la Caesars Entertainment Inc., quella del celebre Caesar’s Palace, è stata oggetto di un’intrusione analoga, per la quale è stato chiesto un riscatto per non pubblicare i dati trafugati. L’azienda dichiara di “aver preso misure per garantire che i dati rubati vengano cancellati dall’attore non autorizzato, anche se non possiamo garantire questo risultato”. Traduzione: è stato pagato un riscatto di alcune decine di milioni di dollari, secondo gli addetti che hanno seguito la vicenda (Wall Street Journal).

Se vi state chiedendo come mai sono stati scelti come bersaglio i casinò, la ragione non è certo legata a scelte etiche dei criminali, che hanno chiarito molto cinicamente che se un’azienda ha soldi, la attaccheranno, in qualunque settore sia. Le uniche eccezioni, dicono, sono ospedali e aeroporti, perché si rischia troppo il carcere e l’accusa di terrorismo. Siamo insomma ben lontani dai ladri gentiluomini di Ocean’s Thirteen e di tanta tradizione cinematografica.

Ci sono almeno tre lezioni fondamentali che si possono trarre dalla spietatezza di questi attacchi: la prima è che pubblicare su LinkedIn, Crunchbase e simili il nome dell’azienda nella quale si lavora, e in quale ruolo ci si lavora, è una pessima abitudine che andrebbe abbandonata, magari sostituendola con un’indicazione generica del tipo di azienda o del suo settore.

La seconda è che gli aggressori attaccheranno qualunque punto debole: per esempio prenderanno di mira le procedure di verifica di identità, che non devono basarsi quindi su dati personali facilmente reperibili, oppure colpiranno i sistemi informatici ausiliari ma indispensabili, come quello degli impianti antincendio o quello delle prenotazioni, oppure quello di un fornitore esterno, che sono meno difesi.

La terza lezione è che i vari sistemi informatici di un’azienda non devono fidarsi l’uno dell’altro, perché se lo fanno è sufficiente violarne uno per avere accesso agli altri e si produce un effetto domino che paralizza l’intera azienda. Nel caso della MGM Resorts, appunto, il caos è stato causato dal fatto che sono stati gli addetti alla sicurezza a spegnere molti sistemi, per evitare che gli aggressori li raggiungessero. Ovviamente creare un sistema aziendale nel quale non ci sono barriere interne è molto più facile e offre anche una grande efficienza, ma in caso di attacco quell’efficienza diventa una costosa debolezza. Ed è così che può bastare una telefonata ben studiata per far crollare un’azienda miliardaria.

Ma c’è anche una quarta lezione, che arriva da un caso diametralmente opposto a questo.

Quando la MFA non è MFA

Retool è una società californiana che sviluppa software, con un paio di centinaia di dipendenti in tutto: l’esatto contrario del colosso MGM Resorts. Ma anche Retool è stata attaccata pochi giorni fa: l’aggressore ha iniziato l’attacco inviando degli SMS ai dipendenti, spacciandosi per un collega in difficoltà e chiedendo ai destinatari di cliccare su un link dall’apparenza innocua per risolvere un presunto problema di stipendi.

Un solo dipendente è caduto nella trappola, ma è bastato. Il link, infatti, portava a una pagina di login fasulla, nella quale il dipendente ha immesso le proprie credenziali, dandole così all’aggressore.

Fin qui nulla di speciale, ma a questo punto, come racconta Retool sul proprio sito, il criminale ha telefonato al dipendente, fingendo di essere quel collega in difficoltà e ne ha simulato la voce con un software apposito, dimostrando anche di conoscere la planimetria della sede, i nomi di molti colleghi e le procedure interne dell’azienda. La voce è stata riconosciuta dalla vittima e l’ha convinta ad abbassare le proprie difese e a dare un singolo codice temporaneo di autenticazione a due fattori a quel falso collega al telefono.

Quel codice ha permesso all’aggressore di aggiungere un proprio dispositivo al sistema di autenticazione aziendale e da lì acquisire il controllo di ben ventisette account di clienti di Retool nel settore delle criptovalute. Uno di questi clienti è stato così derubato di circa 15 milioni di dollari.

Di solito l’autenticazione a due fattori viene presentata come una soluzione di sicurezza estremamente efficace, e normalmente lo è, ma in questo caso ha fallito, e secondo Retool la colpa è di Google, perché la sua app di autenticazione, Google Authenticator, da qualche tempo spinge gli utenti a sincronizzare nel cloud una copia dei codici di autenticazione. Questo è considerato pericolosissimo dagli esperti, perché vuol dire che se qualcuno prende il controllo di un account Google, ottiene accesso anche ai codici di autenticazione di tutti i siti gestiti tramite Authenticator. Il dipendente di Retool che è stato ingannato aveva attivato questa sincronizzazione, e questo è un problema che tocca tutti gli utenti di Authenticator, grandi e piccoli.

Se usate Google Authenticator e avete attivato, come tanti, la sincronizzazione dei codici nel cloud e adesso vorreste disattivarla, aprite l’app, cliccate sull’icona del profilo e scegliete Utilizza senza un account. Ma tenete presente che se il dispositivo sul quale avete Authenticator si guasta o viene perso, non avrete più modo di riottenere i codici di autenticazione. Anche in informatica, comodità e sicurezza sono spesso in contrasto tra loro.

Questi casi di attacchi informatici molto sofisticati, con voci clonate, ricognizione del bersaglio, sfruttamento di una vulnerabilità poco considerata e un bottino ingentissimo, dimostrano che il crimine informatico non va assolutamente sottovalutato. Un recentissimo rapporto di swissVR, Deloitte e dell’Università di Lucerna rileva che il 45% delle grandi aziende svizzere è stata vittima di un attacco informatico e che di queste vittime il 42% ha subìto un danneggiamento delle proprie attività; il 18% delle aziende con meno di 50 dipendenti è stata oggetto di attacchi importanti. Il Centro Nazionale per la Cibersicurezza ha documentato oltre 34.000 attacchi solo nel 2022: il triplo rispetto al 2020. Eppure il 30% delle imprese svizzere non ha nemmeno nominato un gruppo interno per la gestione degli incidenti informatici (Swissinfo; Swissinfo). Viene da chiedersi se per caso quel 30% stia aspettando che la lezione di sicurezza informatica arrivi direttamente da George Clooney in persona.

[CLIP: audio dal trailer di Ocean's Thirteen (2007)]

Fonti aggiuntive: Engadget, Dark Reading, BitDefenderTechCrunch, The Hustle, The Hacker NewsArs Technica.

2023/09/21

Il Delirio del Giorno: Darwin aveva torto, lo dimostrano i geoglifi di umani e rettili

Mail ricevuta poco fa, con nome e numero di telefono del mittente:

Caro Paolo,

Mi chiamo [omissis]. Le piacera avere conoscienza di questa scoperta. Contribuirà alla pace, alla prosperità e allo sviluppo del nostro pianeta e dell’umanità.. Può pubblicarlo sui loro social network.

Quest'informazione proverá che la teoria di Darwin è falsa,

[segue chilometrica teoria illustrata sulla sua interpretazione di alcuni geoglifi in Giordania come disegni che “rappresentano esperimenti di embrioni, e se osservati con grande attenzione vedrete il risultato di due specie: quella umana e quella rettile.”]

La mia risposta:

Buonasera,

se davvero vuole contribuire alla pace, può cominciare a farlo subito smettendo di mandarmi messaggi di questo genere.

Cordiali saluti

Paolo Attivissimo

PS Qualunque altro messaggio verrà immediatamente cestinato senza essere letto.

Mi spiace, ma ho proprio esaurito la pazienza con questa gente.

Come prevedibile, è infatti arrivata la sua risposta di piena e serena apertura al dialogo:

Ho visto che hai pubblicato un articolo sui cerchi nel grano. Ti piaccerà. Utilizza il tuo spirito critico. Idiota!

2023/09/19

Antibufala: no, Elon Musk non ha detto che Twitter/X diventerà a pagamento per tutti

Pubblicazione iniziale: 2023/09/19 12:04. Ultimo aggiornamento: 2023/09/20 10:50. Immagine generata da Lexica.art.

Sta circolando la diceria, riportata da moltissime testate giornalistiche, che Elon Musk avrebbe dichiarato che X (quello che una volta si chiamava Twitter) diventerà a pagamento per tutti. Non è così.

Tutto nasce da una dichiarazione fatta da Musk durante un incontro pubblico con Benjamin Netanyahu, trasmesso in streaming su X, a 34 minuti e 45 secondi dall’inizio (ringrazio Andrea Bettini per quest’indicazione). Netanyahu chiede a Musk se esiste un modo per frenare gli “eserciti di bot” che diffondono e amplificano l’odio, in modo che se c’è un hater perlomeno agisca solo con la propria voce invece di trovarsela amplificata dai bot.

Musk risponde dicendo:

“This is actually a super tough problem. And really, I'd say the single most important reason that we're moving to having a small monthly payment for use of the X system is, it's the only way I can think of to combat vast armies of bots. Because a bot costs a fraction of a penny, call it a tenth of a penny. But if somebody even has to pay a few dollars or something, some minor amount, the effective cost of bots is very high. And then you also have to get a new payment method every time you have a new bot. So that actually, the constraint of how many different credit cards you can find, even on the dark web or whatever. And then, so, prioritizing posts that are written by basically X Premium subscribers. And we're actually going to come out with a lower tier pricing. So we want it to be just a small amount of money...”

In altre parole, non ha detto che tutti gli account diventeranno a pagamento: ha detto solo che X si sta spostando verso l’adozione di un piccolo pagamento mensile per l’uso del sistema X e che X intende presentare un’opzione con un prezzo inferiore. “Spostarsi” non significa “obbligare”.

Sembra, insomma, che Musk stia soltanto proponendo di aggiungere un’iscrizione più a buon mercato per incentivare l’uso di X a pagamento, che attualmente langue intorno allo 0,3% di tutti gli utenti. E da come ne parla, non sembra che questa proposta sia già stata discussa o pianificata in dettaglio: sembra più un’idea partorita sul momento. Musk ha dimostrato ampiamente in passato di ventilare scenari che poi non si concretizzano.

Le Community notes, ossia il debunking interno di X coordinato dagli utenti, definiscono “ingannevoli” i post che parlano di un passaggio di X a un modello a pagamento per tutti, precisando che “in una recente intervista con il primo ministro di Israele, Elon ha dichiarato che [X] introdurrà "una fascia tariffaria ridotta" per i membri premium. Non c’è stato alcun riferimento a far pagare tutti per usare X” (“Misleading post. In a recent interview with the PM of Israel, Elon stated they will introduce "lower tier pricing" for premium members. There was absolutely no mention of charging everyone to use X.”).

Va detto che quest’ipotetica strategia sarebbe efficace contro i bot solo se fosse un pay-to-post universale; per contro, un pay-to-read sarebbe un suicidio. Per dirla in altre parole: “a pagamento per tutti” significherebbe che bisognerebbe pagare anche solo per leggere i post. Significherebbe pagare semplicemente per avere un account X che permetta di seguire specifici account. Questo sarebbe un colossale autogol commerciale, l'equivalente di un paywall intorno a X. Quindi, a meno che Elon Musk non abbia intenzioni autodistruttive per X, parlare di “a pagamento per tutti” non ha assolutamente senso.

La questione sarebbe differente se si trattasse di un ipotetico canone per poter postare (e/o mettere like, fare repost o commenti); ma a quel punto non sarebbe più un “per tutti”.

Fonti aggiuntive: Ars Technica, BBC, Social Media Today.

2023/09/18

Ci vediamo il 13-14 gennaio 2024 a Peschiera del Garda per Sci-Fi Universe? Due giorni di fantascienza, astronomia e astrofisica

Pubblicazione iniziale: 2023/09/18 15:43. Ultimo aggiornamento: 2023/09/22 9:35.

Finalmente posso annunciare pubblicamente un progetto che ho in lavorazione da parecchi mesi (chi è venuto al Pranzo dei Disinformatici ha avuto un’anteprima): la co-organizzazione di una convention dedicata a scienza e fantascienza. Formalmente si chiama Sci-Fi Universe, ma per gli amici è la SciallaCon: due giorni (13 e 14 gennaio 2024) a Peschiera del Garda, presso il Parc Hotel, per incontrarsi tra gente che ha la passione per la fantascienza e la scienza, per chiacchierare sciallamente faccia a faccia con persone che magari si conoscono solo online e per vedere e ascoltare cose e conferenze che è impossibile trovare online o fare altrove.

La Sci-Fi Universe è organizzata dallo Stargate Fanclub Italia, un’associazione a carattere culturale che si occupa di divulgare la passione per la saga di Stargate e per la fantascienza in generale in Italia. Non posso ancora annunciarvi gli ospiti e i relatori, ma posso già dirvi che sarò il conduttore dei due giorni di incontri e farò da traduttore per gli ospiti non italofoni. Inoltre, per i fan di Doctor Who ma non solo, terrò una conferenza inedita, intitolata Doctor Who Secrets, con contenuti introvabili sul dietro le quinte della produzione, sulle scene tagliate (e sul perché dei tagli) e sulla traduzione di alcune puntate di questa serie. E se volete vedermi in costume, preparatevi a una sorpresa, visto che il cosplay a tema fantascientifico è incoraggiato :-)

Se vi state chiedendo il motivo di una data così insolita come metà gennaio, è stata scelta intenzionalmente per non sovrapporsi ad altri eventi analoghi: la SFU non sostituisce, si aggiunge. Perché le occasioni per trovarsi fra appassionati e fare festa non bastano mai.

Cito inoltre dal sito della SFU: si tratta di un “evento concentrato soprattutto sulla divulgazione e la condivisione, non solo della passione per la fantascienza ma anche per tutte quelle scienze legate all’universo e al progresso: astronomia, astrofisica, chimica… Sci-Fi Universe sarà l’evento dedicato a tutti gli appassionati del genere, ai club e ai gruppi legati alla fantascienza, nonché ai loro associati e a chiunque sia interessato ad avvicinarsi al mondo delle convention. Sarà l’occasione per indossare ancora una volta la maglietta nerd che teniamo in quel cassetto, per continuare a dire che la TOS è sempre la serie Trek che più ci è rimasta nel cuore, per creare un nuovo costume o comprare la divisa per la quale aspettavamo solo la giusta occasione… per ritrovare vecchi amici e conoscerne di nuovi, appassionati come noi a questo immenso e magnifico universo letterario, televisivo, cinematografico e videoludico.”

Questo mio annuncio è per ora solo un promemoria per darvi modo di sapere le date e tenerle libere se vi interessa partecipare: programma dettagliato, iscrizioni, nomi e temi dei relatori e tutto il resto arriveranno a breve. Potete già leggere le FAQ per sapere qualche dettaglio e i prezzi e contattare la SFU per avere maggiori informazioni. Posso già dirvi che potete alloggiare e mangiare dove preferite, anche se stare al Parc Hotel è ovviamente più comodo, e che gli orari sono stati scelti per permettere anche di non alloggiare del tutto e venire solo per la giornata (o le giornate). Le prenotazioni alberghiere sono indipendenti dalla convention; se volete prenotare camere, potete farlo anche subito (anzi, è consigliabile, soprattutto se volete alloggiare al Parc Hotel). Non occorre che aspettiate l’apertura delle iscrizioni alla SFU.

La struttura e la convention sono pienamente accessibili a portatori di handicap. Come scrive il sito della SFU, nella scelta del luogo abbiamo valutato diversi dettagli: oltre alla comodità nel raggiungerla sia in auto che con i mezzi pubblici e alla graziosa posizione geografica, abbiamo pensato anche al benessere degli eventuali accompagnatori che, meno interessati all’evento, potessero avere a disposizione attività alternative come la piscina, la palestra e la spa. Abbiamo cercato un ambiente curato e confortevole, con camere accoglienti e sale riunioni all’avanguardia sotto il punto di vista tecnologico, di taglia adeguata alla misura del nostro evento, dove si potesse anche consumare i pasti tutti insieme e con la comodità di non doversi spostare di luogo, in modo da trasformare anche quelle occasioni in un’opportunità di aggregazione ed amicizia.

Nei prossimi giorni verranno annunciati i relatori e le relatrici di Sci-Fi Universe 2024. Se volete saperne di più, cominciate a seguire la SFU sui social network: Facebook, X/Twitter, YouTube, Instagram, WhatsApp e TikTok. Naturalmente c’è anche la mail: info chiocciola scifiuniverse.it.

2023/09/17

Foto del Pranzo dei Disinformatici, beneficenza e avventuretta elettrica

Ultimo aggiornamento: 2023/09/18 11:25. 

Come è ormai tradizione felicemente consolidata, pubblico la foto ufficiale (scattata da Qarboz) del Pranzo dei Disinformatici tenutosi ieri in Località Segreta, dotando ogni partecipante (quadrupedi esclusi) dei notissimi Censurex® 3000, i sofisticati dispositivi anti-stalking complottista.

Grazie a tutti per le chiacchiere, le parole (anche scritte) di sostegno, il bel regalo (che adesso dovrò farmi firmare almeno da “Lewis Coates”); è sempre bello stare in vostra compagnia, conoscervi meglio e parlare di cose che magari non è possibile raccontare online. Grazie anche per la fantastica adesione all’asta di beneficenza, che ha fruttato ben 500 euro, che ho devoluto oggi a Medici senza Frontiere (il cambio sarebbe stato 478 CHF e spicci, ma ho arrotondato). 

---

Aggiungo una breve annotazione dell’avventuretta in auto elettrica legata a questo Pranzo; non è particolarmente drammatica, ma la includo per completezza e per ricordare che per ora non è sempre possibile ottimizzare e sfruttare le pause naturali di un viaggio, come riesco a fare di solito, perché a volte capita di andare per due volte di fila in posti dove non ci sono colonnine locali o a distanze ragionevoli. E quando non si possono sfruttare quelle pause naturali, i tempi di ricarica incidono, e questo non va nascosto.

La Dama del Maniero e io siamo partiti da Lugano alle 10:45 con il 100% di carica e siamo arrivati alla Località Segreta (alla periferia di Milano) alle 12:42 (c’era una fila interminabile in dogana e dopo la dogana per i soliti cantieri). L’ideale sarebbe stato ricaricare durante il Pranzo, ma la colonnina più vicina era ben oltre la distanza percorribile a piedi in tempi accettabili (una ventina di minuti a piedi, zero trasporti), per cui TESS è rimasta semplicemente parcheggiata fino alle 17:06, quando siamo ripartiti alla volta di un’altra Località Segreta nella quale si teneva un Raduno Segreto di altro tipo al quale non potevamo mancare (c’erano anche i Men in Black, e non sto scherzando).

Abbiamo scelto di percorrere la A7, in modo da sfruttare il comodissimo Supercharger di Dorno, che è uno dei pochissimi punti di ricarica Tesla italiani situati lungo un’autostrada invece che fuori da qualche casello. Il pianificatore di bordo ci ha permesso di ottimizzare le soste di ricarica, per cui ci sono bastati pochi minuti a Dorno (18:06-18.20) per essere sicuri di arrivare alla destinazione torinese, procedendo alla massima velocità consentita dai limiti. Diluviava, per cui mi sono infradiciato per collegare il cavo all’auto (ma una tettoia proprio no?), ma se non altro ho dimostrato concretamente che si può maneggiare tranquillamente un cavo di ricarica anche sotto la pioggia più intensa. Non sono sicuro di aver riconosciuto i Teslari che erano anche loro sotto carica a Dorno e che ci hanno salutati (e noi abbiamo ricambiato). Se leggete questo blog, fatevi vivi :-) [Aggiornamento: si sono fatti vivi :-)]

Siamo arrivati a Torino alle 19.45, con il 13% di carica residua, come previsto, dopo 290 km, con una deviazione non prevista perché abbiamo sbagliato strada (il Luogo Segreto era molto ben nascosto). Anche qui, niente colonnina nelle vicinanze, per cui è stato di nuovo impossibile ottimizzare caricando durante la Riunione Segreta. A fine Riunione (00:20 circa) siamo ripartiti e dopo una ventina di km siamo arrivati al Supercharger di Moncalieri con un risicato ma previsto 3% di carica residua, alle 00:43, e abbiamo caricato per 32 minuti (fino alle 1:16).

Ne abbiamo approfittato per un power nap e per arrivare ad avere carica sufficiente per una tappa successiva al Supercharger di Dorno, dove arriviamo alle 2:25 dopo 125 km con il 12% di carica residua. Alle 2:53 siamo arrivati al 56% di carica (e ci siamo intanto rimpinzati di focaccia, grazie a chi l’ha portata al Pranzo!), e l’auto ci ha detto che era sufficiente per tornare a casa, e così siamo ripartiti e arrivati a casa alle 4.22 con il 16% residuo, dopo 242 km e una simpatica deviazione in giro per Como perché l’autostrada a cavallo del confine è stata completamente chiusa per lavori.

Avremmo potuto fermarci per la notte in albergo (era una delle opzioni previste, con valigia pronta in auto), ma alla fine abbiamo preferito tornare a casa. Abbiamo usato solo i Supercharger perché lì abbiamo la carica gratuita, ma non sarebbe cambiato nulla neanche se avessimo usato le colonnine rapide lungo l’autostrada: avremmo dovuto fermarci comunque. 

Abbiamo inoltre spezzato il viaggio con due tappe di ricarica invece di farne una sola lunga a Moncalieri, perché man mano che la batteria si avvicina al “pieno” la potenza di carica si riduce e quindi due soste fatte quando la batteria è molto scarica durano meno di una sosta lunga che la carichi quasi completamente: è la strategia di carica nota come “biberonaggio” (che però conviene solo quando le colonnine sono lungo il percorso e quindi non si perde tempo in deviazioni per raggiungerle e rimettersi in strada). Infatti TESS, arrivando così scarica, inizia la carica con un picco di 114 kW che per lei è molto raro (le auto più recenti caricano anche a 300 kW di picco). Infatti portare la batteria al 100% necessario per fare Moncalieri-Lugano avrebbe richiesto un’ora e mezza, mentre due ricariche fatte quando la batteria era molto scarica e portandola solo al 50-60% hanno richiesto un’ora in tutto.

In sintesi: un viaggio di 540 km, fatto con un’auto che ha 350 km di autonomia, nelle condizioni di ricarica meno favorevoli, ha richiesto tre soste: due di mezz’ora e una di 15 minuti. Mezz’ora vola quando ci si gode focaccia, si risponde a qualche mail e si chiacchiera. Considerato che abbiamo perso 45 minuti in coda per via dei cantieri, forse i tempi di ricarica non sono tutto sommato un dramma. E se qualcuno osserva che ho perso un’ora e un quarto di tempo, posso sempre rispondere che quel tempo è la somma di tutti gli “esco cinque minuti a far benzina” che non ho fatto in questi anni, e che inganno il tempo di ricarica pensando agli oltre 5000 euro che ho risparmiato fin qui in carburante (anche questi 540 km mi sono costati esattamente zero, visto che l’indomani ho caricato gratuitamente al Supercharger vicino al Maniero). E che mezz’ora in compagnia della Dama e di una dose di focaccia stracciano cinque minuti passati ad aspirare benzene svenandosi.

Pagine per dispositivi mobili